Modely začínají od malého 5505 a 5510 (který může dostačovat řadě firem v ČR) přes výkonnější modely 5520, 5540, 5550 až po výkonné 5580 a 5585. Cisco ASA v sobě spojuje několik typů zařízení (která se dříve prodávala samostatně). Mezi jeho vlastnosti patří Firewall, Intrusion Prevention System (IPS), VPN Concentrator, antivirus (content security), síťové služby (routing). Některé vlastnosti jsou licencované samostatně (musí se dokupovat). Pro většinu modelů je podporováno zapojení v clusteru a tedy vysoká dostupnost.
Pro konfiguraci se používá Java aplikace Cisco Adaptive Security Device Manager (ASDM), kterou můžeme stáhnout přímo z ASA přes webové rozhraní (nebo rovnou spustit). Nebo standardně přes příkazovou řádku - CLI (Command Line Interface). ASDM nabízí slušné grafické rozhraní, kde můžeme nakonfigurovat většinu vlastností. I když jsem zastáncem využívání CLI (IOSu) u switchů, tak u ASA (zatím) upřednostňuji ASDM.
V oblasti VPN nabízí ASA IPsec site-to-site nebo remote access VPN, kde značný počet klientů je v základní ceně. Dále modernější SSL VPN a IPsec IKEv2 VPN, pro oboje jsou potřeba speciální licence a klient AnyConnect. Clientless SSL VPN (jinak řečeno Web VPN) a mobile VPN (podpora mobilních klientů), opět potřebujeme licenci. U SSL VPN existuje technologie Cisco Secure Desktop, otestuje klientskou stanici, vytvoří virtuální prostředí (šifrovaný desktop) v kterém se pracuji při připojení do VPN, při odpojení přepíše (důkladné smazání) všechna dočasná data. Podporuje také různé kontroly klienta (AV, FW, aktualizace) před připojením do VPN a politiky (ACL, omezení přístupu) po připojení.
Závěrem je, že Cisco se soustředí primárně na AnyConnect klienta, který nabízí velkou funkcionalitu, ale je samostatně licencovaný a jeho použití je drahé.
Verze ASA a ASDM
Operační systém u Cisco ASA se neoznačuje jako IOS, ale prostě jako ASA software. Není ani úplně stejný jako IOS, ale je mu docela podobný.
V poslední době byla rozšířená ASA verze 8.2, s příchodem verze 8.3 došlo k řadě rozsáhlých změn a verze 8.4 (v současnosti poslední) přidala ještě několik dalších. Například novinkou je podpora IPsec VPN přes klienta AnyConnect 3.0, ale je tu finta, že se musí použít IKEv2 a spotřebovává se SSL licence (AnyConnect licence) a ne IPsec licence (kterých máme hodně). V nových verzích se hodně změnilo i umístění položek v ASDM, k ASA verzi 8.4 je ASDM verze 6.4, které má dost špatnou nápovědu (nefungují odkazy, umístění menu, apod.). Pro určitou verzi ASA potřebujeme vždy odpovídající verzi ASDM.
Změna verze ASA, ASDM
Stejně jako u switche můžeme mít uložených několik verzí IOSu a určitou verzi startovat, tak u ASA můžeme mít několik verzí ASA i ASDM. Volba defaultního obrazu ASA se provede následně (disk0:
se v tomto případě rovná flash:
).
ASA(config)#boot system disk0:/asa841-k8.bin
Volba defaultního ASDM je podobná.
ASA(config)#asdm image disk0:/asdm-641.bin
První přistup na ASA
- v továrním nastavení má ASA IP adresu 192.168.1.1, připojíme se síťově přes MGMT interface, na kterém běží DHCP
- defaultní adresa je
https://192.168.1.1/admin/public/index.html
- výchozí username a password je prázdné
- potom nainstalujeme ASDM a připojíme se přes něj
- úvodní konfigurace pomocí ASDM – menu Wizards – Startup wizard
Zobrazování příkazů před odesláním
ASDM má hezkou vlastnost, že když ukládáme změny provedené v grafickém prostředí, tak nám může zobrazit příkazy, které provede. Jde o nastavení ASDM a nachází se v menu Tools > Preferences, zde je položka:
Preview commands before sending them to the device
Povolení SSH
Jako úvodní krok konfigurace je dobré si nastavit možnosti, jak se na ASA připojit. Standardně není povoleno ani SSH. Konfigurace přístupu se nachází:
Configuration > Device management > Management Access > ASDM/HTPS/SSH/Telnet
Defaultní SSH username je asa
a heslo cisco
. Defaultní enable password je prázdné. Nastavení uživatelů pro autentizaci:
Configuration > Device Management > Users/AAA > AAA Access > Authentication
Uživatelé
Pro zabezpečení musíme nastavit heslo do privilegovaného režimu (enable password):
Configuration > Device Setup > Device Name/Password
A administrátorský účet pro přihlášení na ASA (můžeme samozřejmě nastavit autentizaci přes RADIUS, ale pro problémy s komunikací je dobré mít jeden účet lokální):
Configuration > Device Management > Users/AAA > User Accounts
Routing na ASA a VPN
Ještě se podíváme na pár pokročilejších vlastností, které využijeme příště, až budeme vytvářet IPsec VPN.
Při směrování paketu na Cisco ASA s připojeným klientem přes VPN, se postupuje následovně:
- prvně se hledá naučená routa (přímo připojené rozhraní) nebo statická routa
- pokud se nenalezne, tak
- pokud přijde provoz šifrovaný (tedy VPN), tak se pošle na Default Tunnel Gateway (DTGW)
- v opačném případě se pošle na Default Gateway (DGW)
Statické routy se konfigurují v
Configuration > Device Setup > Routing > Static Routes
Management interface
Speciální rozhraní pro správu není routované s jinými interface, ale routovací tabulka se počítá i s ním. Když přijde požadavek, který by měl projít na management interface, tak je zahozen.
Příkazy
Zobrazení routovací tabulky je malinko jiné, než na switchi.
ASA#show route
Pro testování můžeme použít rozšíření základních příkazů, jako je ping s určením interface.
ASA#ping management 10.0.0.10
Nebo zobrazení routy pro určitou adresu a interface.
OKVPN#show route inside 10.0.0.10 Gateway of last resort is 86.55.13.254 to network 0.0.0.0 S 10.0.0.0 255.255.255.0 [1/0] via 192.168.10.254, inside C 192.168.10.0 255.255.255.0 is directly connected, inside S 0.0.0.0 0.0.0.0 [255/0] via 192.168.10.254, inside tunneled
VPN autentizace pomocí certifikátu a RADIUS serveru
V dalším díle se budeme věnovat konfiguraci IPsec Remote Access VPN, kde počítač se bude autentizovat pomocí certifikátu a uživatel přes RADIUS pomocí účtu v AD. Zde se podíváme na související problémy.
Certifikát pro klientský počítač
V první fázi IKE se použije zabezpečení komunikace šifrováním pomocí serverového a klientského certifikátu. Zároveň to pro nás znamená, že se klient autentizuje tímto certifikátem (pokud nesplní definované podmínky, tak je komunikace odmítnuta). Pro vydání certifikátu použijeme MS CA, která je součástí Windows Serveru.
V Microsoft Certification Authority (CA) se vytváří certifikát pro IPsec s účelem (Intended Purposes), nebo jinak řečeno použitím (Enhanced Key Usage), IP Security IKE Intermediate (OID 1.3.6.1.5.5.8.2.2). Ale Cisco vyžaduje účel IP Security Tunnel Endpoint (OID 1.3.6.1.5.5.7.3.6). Pokud máme účel certifikátu nesprávný, tak se při použití certifikátu loguje chyba na ASA:
ERROR: Certificate validation failed. Peer certificate key usage is invalid, serial number:
Na ASA můžeme tuto kontrolu vypnout, ale lepší je vystavit certifikát s požadovaným účelem (což na MS CA není problém, zadáme Type of Certificate Needed: Other a vyplníme OID: 1.3.6.1.5.5.7.3.6).
ASA(config)#crypto ca trustpoint MOJE_CA ASA(config-ca-trustpoint)#ignore-ipsec-keyusage
Autentizace uživatelů přes MS RADIUS - NPS
V dalším kroku IKE se využije rozšíření XAUTH a to nám dovolí provést autentizaci uživatele vůči RADIUS serveru a díky tomu vůči Active Directory. Možné nastavení je následující. Jako RADIUS server využijeme Network Policy and Access Services (NPS) z Windows Server 2008. ASA je klient a pro spojení nastavíme shared secret. Na NPS vytvoříme Network Policy, kde nastavíme Grant access a Ignore user account dial-in properties. Podmínky jsou: podle klienta ASA a Windows Group G VPN (tak můžeme řídit, kteří klienti se mohou do VPN připojit). Autentizaci povolíme pomocí MS-CHAP-v2. Šifrování pouze Strongest encryption.
Dakujem, velmi mi pomohlo. Len jedna otazocka, neviete niekto kde najdem navod ako nastavit IPSec VPN Site-to-Site medzi dvoma Cisco ASA?? Dakujem
Chtěl bych zmínit k AnyConnect klientovi. Existuje licence Anyconnect Essentials, která umožňuje připojení pouze klientem ( neumožňuje clientless a Cisco Secure Desktop ), ale cena nízká.
Dobrý den,
zlobím se s ASA 5510 (asa843-k8.bin a asdm-647.bin). Po počátečních potížích jsem rozjel SSH přístup dle návodu www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/access_management.html#wp1186644.
SSH v podstatě funguje, ale...
... funguje jen občas (někdy ASA nereaguje na výměnu klíčů). A zarazila mě extrémní doba ICMP echo reply (na jediný zkonfigurovaný outside iface).
8ms
731ms
18ms
312ms
840ms
atd.
Napadlo by někoho v čem je chyba?
Zbytek konfigurace je default, routa je v pořádku, doba opakování ICMP echo request nehraje roli. Jiná ASA ze stejné dodávky se chová stejně.
Díky Petr
Popis upgradu www.cisco.com/c/en/us/td/docs/security/asa/asa93/upgrade/upgrade93.html
Důležité informace při upgradu ASDM na verzi 7.3(x), je podporována pouze Java 7 (na 6 to opravdu nechodí) a může být problém s certifikátem na management rozhraní.
www.cisco.com/c/en/us/td/docs/security/asdm/7_3/release/notes/rn73.html
Dobrý den, řeším s asou dva problémy. První nevím jak se do ní dostat? Přes webové rozhraní to asi nejde a ten program MGMT nevím kde stáhnout.
Druhý problém proč do asa chci, je změna poskytovatele internetu. Vše jede jak má až na vzdálenou správu. DO teď vše jelo přes Cisco any connet. Předpokládám, že v asa musím někde změnit IP. Nebo je to nesmysl?
Díky všem za nápady. Jinak IP i heslo od asa mám..
odpověď na [6]motor:
Do ASA jsem se dostal, teď už jen ta druhá otázka. Proč nejde po změně poskytovatele VPN. Jak opravit(přenastavit) VPN?