Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

ACL trong Cisco ASA

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • ACL trong Cisco ASA

    Mô hình của ASA như sau:



    Mình đặt ra các tình huống như sau:

    a. Người dùng từ bên ngoài outside được cho phép (ví dụ như TCP-http, ICMP-ping...) vào Dmz
    b. Tất cả các miền đều có thể truy cập vào Dmz (như TCP-http, ICMP-ping...)
    c. Miền outside không thể truy cập vào miền inside và management (như TCP-telnet)
    d. Chỉ có miền inside mới được truy cập vào management (như TCP-telnet)

    Mình áp dụng các luật ACL sau:
    Với tình huống a và b:
    + access-list DMZ_out remark ACL cho phep tat ca cac mien vao dc Dmz
    access-list DMZ_out extended permit tcp any 2.2.2.0 255.255.255.0 eq www
    access-list DMZ_out out interface outside
    Với tình huống c:
    + access-list INSIDE_out remark ACL cam outside vao inside
    access-list INSIDE_out extended deny tcp 10.20.254.0 255.255.255.0 3.3.3.0 255.255.255.0 eq telnet
    + access-list MANAGEMENT_out remark ACL cam outside vao management
    access-list MANAGEMENT_out extended deny tcp 10.20.254.0 255.255.255.0 1.1.1.0 255.255.255.0 eq telnet
    access-list INSIDE_out out interface outside
    access-list MANAGEMENT_out out interface management
    Với tình huống d:
    + access-list MANAGEMENT_out remark ACL cho inside vao management
    access-list MANAGEMENT_out extended permit tcp 3.3.3.0 255.255.255.0 1.1.1.0 255.255.255.0 eq telnet
    access-list MANAGEMENT_out out interface management


    Nhờ mọi người cho ý kiến xem được chưa? và mình cũng đang thắc mắc giữa nơi áp dụng ACL. Vì trong router người ta thường áp dụng extended ACL ở nguồn, và standart ACL ở đích.

  • #2
    Chào bạn,

    Với ASA bạn chú ý các điểm sau:

    1. Mỗi interface trên ASA đều có mức bảo mật(security level).
    2. Từ mức bảo mật cao -> bảo mật thấp => Không cần ACL (ngoại trừ gói ICMP echo-reply).
    Từ mức bảo mất thấp -> bảo mật cao => Cần được cho phép bởi ACL.
    3. Mỗi ASA đều mặc định có câu lệnh nat-control, vì thế từ Interface này muốn qua Interface kia ngoài dùng ACL, bạn phải dùng thêm NAT. Còn Lab ảo thì có thể tính năng này được tắt cho bạn dễ cấu hình.

    Vì thế, làm lab ảo bạn có thể bị một số nhầm lẫn khi chuyển qua làm trên thiết bị thật.
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

    Comment


    • #3
      Thank loginmevietnam, về những chú ý rất bổ ích!mình làm trên lab ảo bằng vmware (như hướng dẫn trong Thread "hướng dẫn giả lập asa và asdm"). Vậy khi security-level bằng nhau thì có cần ACL không? (ví dụ như insidemanagement mình đều để security-level 100, và từ inside muốn được phép TCP-telnet vào management).
      Còn vấn đề về inbound và outbound ACL nữa. Ví dụ như ở Router,người ta thường chú ý Standart ACL áp dụng ở đích, còn Extended ACL áp dụng ở nguồn. Vậy trong ASA thì sao hả bạn?

      Comment


      • #4
        Originally posted by namthanhvu View Post
        Thank loginmevietnam, về những chú ý rất bổ ích!mình làm trên lab ảo bằng vmware (như hướng dẫn trong Thread "hướng dẫn giả lập asa và asdm"). Vậy khi security-level bằng nhau thì có cần ACL không? (ví dụ như insidemanagement mình đều để security-level 100, và từ inside muốn được phép TCP-telnet vào management).
        Còn vấn đề về inbound và outbound ACL nữa. Ví dụ như ở Router,người ta thường chú ý Standart ACL áp dụng ở đích, còn Extended ACL áp dụng ở nguồn. Vậy trong ASA thì sao hả bạn?
        Hi bạn,
        Việc muốn các site có Security-level bằng nhau có thể truy cập được vào nhau hay không, trên ASA sẽ có một option cho phép bạn làm việc đó.
        Ex :

        hostname(config)# same-security-traffic permit inter-interface

        Việc Cisco recommend bạn về việc đặt ACLs ở nguồn hay ở đích tùy theo Standard hay Extended vẫn áp dụng chuẩn trong ASA. Đây là khuyến cáo "bất di bất dịch", bạn tìm hiểu kĩ trong tài liệu.

        Chúc vui vẻ
        Doan Quang Hoa (Mr.)
        E-mail : hoadqtk4@gmail.com
        Y!M : hoadq_tk4
        Phone : 0916.816.527
        CCNP, CCSP

        Comment


        • #5
          Hay lên vnpro học SNAF đi bạn,hi,
          Hugo

          Comment


          • #6
            Originally posted by thanhnam0707 View Post
            Hay lên vnpro học SNAF đi bạn,hi,
            Sr, tớ ở tận ngoài HN :(

            Comment


            • #7
              Originally posted by hoadqtk4 View Post
              Hi bạn,
              Việc muốn các site có Security-level bằng nhau có thể truy cập được vào nhau hay không, trên ASA sẽ có một option cho phép bạn làm việc đó.
              Ex :

              hostname(config)# same-security-traffic permit inter-interface

              Việc Cisco recommend bạn về việc đặt ACLs ở nguồn hay ở đích tùy theo Standard hay Extended vẫn áp dụng chuẩn trong ASA. Đây là khuyến cáo "bất di bất dịch", bạn tìm hiểu kĩ trong tài liệu.

              Chúc vui vẻ
              Thank!Vậy với các tình huống như trên (a,b,c,d) bạn có thể đưa ra lời khuyên nên đặt các ACL như thế nào thì hợp lí được không?

              Comment


              • #8
                a. Người dùng từ bên ngoài outside được cho phép (ví dụ như TCP-http, ICMP-ping...) vào Dmz
                b. Tất cả các miền đều có thể truy cập vào Dmz (như TCP-http, ICMP-ping...)
                c. Miền outside không thể truy cập vào miền inside và management (như TCP-telnet)
                d. Chỉ có miền inside mới được truy cập vào management (như TCP-telnet)
                a. Việc user outside được phép vào DMZ, thực tế bạn sẽ phải PAT các server trong DMZ ra ngoài interface outside của ASA.(Việc này còn gọi là Public servers) Sau đó user sẽ truy cập vào IP address của interface outside, việc này không cần thiết sử dụng ACLs.
                b. Ex : DMZ của bạn có Sec-level là 50, vậy bạn sẽ cần ACLs cho phép các traffic từ DMZ quay ngược trở lại inside (inside có sec-lev = 100).Ngoài ra vẫn phải NAT(overload) từ inside vào DMZ. Việc outside truy cập, bạn làm tương tự (a)
                c. Mặc định thì outside không thể truy cập inside (default trên ASA) nên bạn không cần sử dụng ACLs
                d. Để management thiết bị từ inside hay bất kì vùng nào khác, bạn sử dụng Command trên ASA như sau:
                ciscoasa(config)# aaa authentication telnet console LOCAL
                ciscoasa(config)# telnet 0 0 inside
                ciscoasa(config)# username cisco password cisco priviledge 15
                ............
                trên đây chỉ là 1 ví dụ, bạn có thể sử dụng authen method khác, service khác...

                Chúc bạn vui vẻ.
                Doan Quang Hoa (Mr.)
                E-mail : hoadqtk4@gmail.com
                Y!M : hoadq_tk4
                Phone : 0916.816.527
                CCNP, CCSP

                Comment


                • #9
                  không biết VNPRO có khóa riêng dành cho ADSM không ta.

                  Comment


                  • #10
                    Originally posted by ManInBlackX View Post
                    không biết VNPRO có khóa riêng dành cho ADSM không ta.
                    Nếu tập hợp đủ số lượng tối thiểu (7 người) thì chắc là sẽ có lớp thôi. Nhưng mà theo mình thì cố gắng học hiểu command line sẽ dễ trouble shoot hơn. Còn ASDM thì trong sách SNAF cũng hướng dẫn khá kỹ.
                    Từ nay quyết chí đi tu, ráng luyện công mong ngày thành chính quả. Nam mô a di đà phật. Thiện tai. Thiện tai.

                    Comment


                    • #11
                      Sao bạn ko mua quyển SNAF ở Vnpro về để nghiên cứu nhỉ, chắc là sẽ có cái bạn cần đó. Mình cũng đang nghiên cứu quyển này.
                      YM & Email: dinhcuongvnvn@yahoo.com

                      Comment


                      • #12
                        Originally posted by samson79 View Post
                        Sao bạn ko mua quyển SNAF ở Vnpro về để nghiên cứu nhỉ, chắc là sẽ có cái bạn cần đó. Mình cũng đang nghiên cứu quyển này.
                        Đó là sách LAB mà, không học lý thuyết sao hiểu nổi. Còn cứ nhìn y chang đó mà gõ vô thì đến lúc bị lỗi lại không biết troubleshoot chỗ nào. Tốt nhất là đăng ký 1 khóa học tại VnPro, còn không thì phải kiếm sách đọc trước, khi nào hòm hòm rồi thì mới quay lại đọc sách LAB, chứ không là dễ tẩu hỏa nhập ma lắm.
                        Từ nay quyết chí đi tu, ráng luyện công mong ngày thành chính quả. Nam mô a di đà phật. Thiện tai. Thiện tai.

                        Comment


                        • #13
                          chảng hiểu các ông đang nói gì nữa nhưng tôi củng đang quan tâm đến ACL cua con ASA đấy có tài liệu j thi chia sẽ nhé

                          Comment


                          • #14
                            Originally posted by phanthong View Post
                            chảng hiểu các ông đang nói gì nữa nhưng tôi củng đang quan tâm đến ACL cua con ASA đấy có tài liệu j thi chia sẽ nhé
                            Không hiểu thì lo mà nghiên cứu đi.
                            YM & Email: dinhcuongvnvn@yahoo.com

                            Comment

                            Working...
                            X