Tweet
Bùi Nguyễn Hoàng Long
VnPro
Thực hiện cấu hình cơ bản ASA
I. Mô tả:
Thực hiện cấu hình quản lý thiết bị bảo mật ASA với Telnet, SSH và HTTPS
II. Cấu hình
Cấu hình thông tin cổng e0/0 với địa chỉ, nameif và mức bảo mật
ciscoasa(config)# interface e0/0
ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
Xác định mạng hoặc địa chỉ được phép thực hiện truy cập telnet từ cổng inside
ciscoasa(config)# telnet 192.168.1.0 255.255.255.0 inside
Tùy chọn bạn có thể cần thực hiện xác thực khi truy cập telnet với thông tin đăng nhập là cục bộ
ciscoasa(config)# aaa authentication telnet console LOCAL
Xác định mạng hoặc địa chỉ được phép thực hiện truy cập ssh từ cổng inside
ciscoasa(config)# ssh 192.168.1.0 255.255.255.0 inside
Thực hiện xác thực khi truy cập ssh với thông tin đăng nhập là cục bộ
ciscoasa(config)# aaa authentication ssh console LOCAL
Xác định Version hoạt động của SSH, điều này được khuyến khích vì cung dịch vụ bảo vệ an toàn hơn
ciscoasa(config)# ssh version 2
Không có mật khẩu mặc định cho mật khẩu enable, bạn có thể xác định mật khẩu qua dòng lệnh enable password
Kích hoạt dịch vụ https
ciscoasa(config)# http server enable
Xác định mạng hoặc địa chỉ được phép thực hiện truy cập https từ cổng inside
ciscoasa(config)# http 192.168.1.0 255.255.255.0 inside
Tùy chọn bạn có thể cần thực hiện xác thực khi truy cập telnet với thông tin đăng nhập là cục bộ
ciscoasa(config)# aaa authentication http console LOCAL
Vì bạn thực hiện truy cập https qua tiện ích ASDM, nên bạn cần đảm bảo trong flash có
asdm-602.bin (cũng có thể phiên bản asdm khác) và dòng lệnh asdm image flash:/asdm-602.bin tồn tại trong cấu hình, nếu bạn cài tiện ích ASDM sẵn trong PC thì không cần bước này.
Định nghĩa tài khoản đăng nhập
ciscoasa(config)# username vnpro password 123456
III. Cấu hình đầy đủ
ciscoasa
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/1
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
asdm image disk0:/asdm-602.bin
aaa authentication telnet console LOCAL
aaa authentication ssh console LOCAL
aaa authentication http console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh 192.168.1.0 255.255.255.0 inside
ssh timeout 5
ssh version 2
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
username vnpro password E1W6hUMdsPROmOmT encrypted
prompt hostname context
Cryptochecksum:78cf59a0893129f9c01ea495adb5cb53
: end
IV. Kiểm tra
Thực hiện truy cập Telnet vào ASA
Thực hiện truy cập SSH vào ASA
Yêu cầu chấp nhận Public Key
Thực hiện đăng nhập
Truy cập thành công
Thực hiện truy cập https với ASDM
Yêu cầu chấp nhận Certificate
Chọn Install ASDM Launcher and Run ASDM, để cài tiện ích lên PC quản lý, lần sau chỉ cần truy cập tiện ích được cài đặt bạn sẽ truy cập trực tiếp vào thiết bị.
Trong trường hợp này ta sẽ chọn Run ASDM
Chọn Yes để tiếp tục
Đăng nhập với thông tin người dùng được định nghĩa (nếu thông tin người dùng chưa định nghĩa bạn có thể để trống)
Tiến trình tải ASDM Launcher
Bạn có thể kiểm tra thông tin và trạng thái của thiết bị qua Device Dashboard và Firewall Dashboard
Với quyền tài khoản đăng nhập hiện tại không cho phép bạn thực hiện cấu hình, cần cấp đặc quyền cho người dùng với câu lệnh
ciscoasa(config)# username vnpro password 123456 privilege 15
Bạn cần thực hiện đăng nhập lại để truy cập vào phần cấu hình
Trong phần Device Setup, có thể thông tin cổng, thông tin định tuyến....
Trong phần Firewall, có thể cấu hình NAT, PAT, chính sách bảo mật...
VnPro
Thực hiện cấu hình cơ bản ASA
Thực hiện cấu hình quản lý thiết bị bảo mật ASA với Telnet, SSH và HTTPS
II. Cấu hình
Cấu hình thông tin cổng e0/0 với địa chỉ, nameif và mức bảo mật
ciscoasa(config)# interface e0/0
ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
Xác định mạng hoặc địa chỉ được phép thực hiện truy cập telnet từ cổng inside
ciscoasa(config)# telnet 192.168.1.0 255.255.255.0 inside
Tùy chọn bạn có thể cần thực hiện xác thực khi truy cập telnet với thông tin đăng nhập là cục bộ
ciscoasa(config)# aaa authentication telnet console LOCAL
Xác định mạng hoặc địa chỉ được phép thực hiện truy cập ssh từ cổng inside
ciscoasa(config)# ssh 192.168.1.0 255.255.255.0 inside
Thực hiện xác thực khi truy cập ssh với thông tin đăng nhập là cục bộ
ciscoasa(config)# aaa authentication ssh console LOCAL
Xác định Version hoạt động của SSH, điều này được khuyến khích vì cung dịch vụ bảo vệ an toàn hơn
ciscoasa(config)# ssh version 2
Không có mật khẩu mặc định cho mật khẩu enable, bạn có thể xác định mật khẩu qua dòng lệnh enable password
Kích hoạt dịch vụ https
ciscoasa(config)# http server enable
Xác định mạng hoặc địa chỉ được phép thực hiện truy cập https từ cổng inside
ciscoasa(config)# http 192.168.1.0 255.255.255.0 inside
Tùy chọn bạn có thể cần thực hiện xác thực khi truy cập telnet với thông tin đăng nhập là cục bộ
ciscoasa(config)# aaa authentication http console LOCAL
Vì bạn thực hiện truy cập https qua tiện ích ASDM, nên bạn cần đảm bảo trong flash có
asdm-602.bin (cũng có thể phiên bản asdm khác) và dòng lệnh asdm image flash:/asdm-602.bin tồn tại trong cấu hình, nếu bạn cài tiện ích ASDM sẵn trong PC thì không cần bước này.
Định nghĩa tài khoản đăng nhập
ciscoasa(config)# username vnpro password 123456
III. Cấu hình đầy đủ
ciscoasa
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/1
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
asdm image disk0:/asdm-602.bin
aaa authentication telnet console LOCAL
aaa authentication ssh console LOCAL
aaa authentication http console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh 192.168.1.0 255.255.255.0 inside
ssh timeout 5
ssh version 2
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
username vnpro password E1W6hUMdsPROmOmT encrypted
prompt hostname context
Cryptochecksum:78cf59a0893129f9c01ea495adb5cb53
: end
IV. Kiểm tra
Thực hiện truy cập Telnet vào ASA
Thực hiện truy cập SSH vào ASA
Yêu cầu chấp nhận Public Key
Thực hiện đăng nhập
Truy cập thành công
Thực hiện truy cập https với ASDM
Yêu cầu chấp nhận Certificate
Chọn Install ASDM Launcher and Run ASDM, để cài tiện ích lên PC quản lý, lần sau chỉ cần truy cập tiện ích được cài đặt bạn sẽ truy cập trực tiếp vào thiết bị.
Trong trường hợp này ta sẽ chọn Run ASDM
Chọn Yes để tiếp tục
Đăng nhập với thông tin người dùng được định nghĩa (nếu thông tin người dùng chưa định nghĩa bạn có thể để trống)
Tiến trình tải ASDM Launcher
Bạn có thể kiểm tra thông tin và trạng thái của thiết bị qua Device Dashboard và Firewall Dashboard
Với quyền tài khoản đăng nhập hiện tại không cho phép bạn thực hiện cấu hình, cần cấp đặc quyền cho người dùng với câu lệnh
ciscoasa(config)# username vnpro password 123456 privilege 15
Bạn cần thực hiện đăng nhập lại để truy cập vào phần cấu hình
Trong phần Device Setup, có thể thông tin cổng, thông tin định tuyến....
Trong phần Firewall, có thể cấu hình NAT, PAT, chính sách bảo mật...
Comment