16.Видео уроки Cisco Packet Tracer. Курс молодого бойца. Cisco ASA

• «class-map inspection_default»
• «match default-inspection-traffic»
• «exit»
• «policy-map global_policy»
• «class inspection_default»
• «inspect icmp»
• «inspect http»
• «exit»
• «service-policy global_policy global»

Спасибо вам огромное.Заканчиваю курс ICND1.Так как на уроках все приходится делать быстро, большей часть я просто не понимаю что я делал и делаю. Благодаря вам я смогу как говорится обсосать все косточки, углубится больше в урок , по 10 раз пересмотреть, нажать на паузу,почитать документацию в интернете и многое другое.От души огромное вас спасибо за ваши труды.

Cisco ASA - Adaptive Security Appliance - Межсетевой экран
3 уровень модели OSI
Firewall - на периметре и в сегменте серверов
Функции схожи с роутером: - динамическая маршрутизация (RIP, OSPF, EIGRP), NAT, фильтрация трафика (Access-List),
VPN (Site-to-Site, RA VPN)
Состав лабораторной работы:
1. Подключение к Cisco ASA
2. Проверка лицензии
3. Настройка удаленного доступа к МЭ
4. Настройка Security Level
5. Настройка маршрута по умолчанию
6. Настройка инспектирования трафика
(Stateful Inspection)
7. Настройка NAT
show version
Нельзя юзать транковые порты в CPT, 3 порт - ограниченная DMZ -> лучше в PT FW не работать
ASA 5505 = l3-коммутатор с функцией FW
Необходимая настройка - назввание интерфейса
Security Level
Vlan2 ждет IP-адрес от провайдера по dhcp
Уже настроен dhcp-сервер
enable password cisco
username admin password cisco
По умолчанию пароль зашифрован, encryption не нужен
Выбор протокола удаленного подключения. Безопасен ssh
ssh 192.168.1.0 255.255.255.0 inside - внутренний интерфейс
aaa authentication ssh console LOCAL - Параметры аутентификации пользователей: используем локальные базы пользователей
show run работает из любого режима - удобно
Настроили удаленный доступ
Настройка Security level (SL):
Это уровень доверия к интерфейсу (самый опасный - внешний интерфейс)
Больший Security Level -> большая защищенность (величина для локальной сети больше, чем для глобальной)
int vlan 1
security-level 95
int vlan 2
ip address 210.210.0.2 255.255.255.252
no shutdown
На роутере:
int fa0/0
ip address 210.210.0.1 255.255.255.252
int fa0/1
ip address 210.210.1.1 255.255.255.0
Маршрут по умолчанию на сервер:
route outside 0.0.0.0 0.0.0.0 210.210.0.1
Теперь пингуется и сервер
Организуем связь для компьютеров:
На роутере - маршрут в лок. сеть:
ip route 192.168.1.0 255.255.255.0 210.210.0.2
Пинг с компьютеров не проходит, т.к. трафик с требуемым SL возможен только с механизмом Stateful Packet Inspection (запоминание состояния):
Пользователь инициирует соединение с маршрутизатором -> пакет доходит до МЭ -> запоминание сессии прихода пакета из сети с
интерфейса с большим SL, выпуск пакета; маршрутизатор отправляет встречный пакет. ASA инспектирует пакет на соответствие сессии, которую запомнили, то пакет проходит. Пакет пройдет только, если сессия инициирована с интерфейса с более высоким SL. Иначе МЭ не пропустит пакет.
На ASA инспектирование трафика по умолчанию не настроено:
1). тип трафика class-map
2). политика - действие над трафиком - инспектирование
3). service-policy - направление трафика
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect icmp
service-policy global_policy global
Теперь всё пингуется
Но по hhtp трафик не проходит, т.к. инспектируется только icmp-трафик.
Добавить inspect http
Мы полностью обезопасили внутреннюю сеть, не прописав ни единого access-listа. Благодаря SL, используя МЭ!
Настройка NAT:
удаляем на роутере маршрут в лок. сеть
no ip route 192.168.1.0 255.255.255.0 210.210.0.2
object network FOR-NAT
subnet 192.168.1.0 255.255.255.0 - определяем сеть для NAT
nat (inside,outside) dynamic interface

Евгений, огромное спасибо! ОЧень жду сдедующих уроков.

Спасибо большое за урок! Впервые разбираюсь с ciso asa, интересный урок! Жду следующего урока.

ты крут, спасибо)

Присоединился к изучению не давно, использую свежую на сегодняшний момент версию 7.2.2 и здесь Cisco ASA 5506-X. В ней сняты ограничения которые упомянуты в этом видео уроке. Есть смысл переснять видео урок :)

Огромное спасибо за урок!

Было бы неплохо услышать о ARP и DHCP спуфинге в ваших уроках

Здравствуйте, такой вопрос, ASA 5505 сильно чем-то отличается от 5506? Настройка у них схожая или для 06 придется проводить совершенно другие действия? Заранее спасибо

Что значит строчка в "Настройка удаленного доступа к МЭ" -
ciscoasa(config)#crypto key generate rsa modulus 1024?
На слайдах она есть. а в уроке о ней ни слова.

Доброго времени суток, можете сказать если не трудно, для чего служат команды inside и outside, я несколько раз пересматривал ролики с этими командами, но ничего не понял, можете объяснить коротко?)

здравствуйте! у меня есть вопрос. asa имеет stateful packet inspect. значит если мы создаём rule(acl), для разрешения трафика из внутри в вне( например http), то обратный трафик будет автоматически проходит ( несмотря на acl). ну почему это правило не включает протокол icmp.зон inside security-level 100, зон outside security-level 0, значит трафик icmp запрос всегда разрешенный из внутри через asa в outside, но почему ответный трафик не разрешенный как протокол http...объясните! пожалуйста. ранее спасибо вам

Большое спасибо за ролики

Курс пора дополнить, в Pocket Tracer появился 5506-х, там лицензия уже другая "This platform has an ASA 5506 Security Plus license."

В Packet Tracer 7.3 появилась ASA 5506 с лицензией Security Plus. Обновить бы урок на базе нее

Добрый день!
Подскажите, почему ASA и Router соединяются прямым кабелем? Это же оба устройства 3-го уровня (L3)

А возможно ли подключить ко входу inside маршрутизатор? есть сеть с несколькими маршрутизаторами в rip связке и нужен выход в "интернет" с asa на границе

А ведь проток http работает поверх протокола tcp а почему мы инспектируем не tcp трафик, или инспектор состояния на прикладной уровне работает?

Как поведет себя сетевой экран в сети с коммутатором? И куда СЭ включать: до К или после? (Пардон, я чайник в железе)

Добрый день! Про настроку asdm у вас есть урок?

21:20 С чего это логично предполагать что на роутере провайдера должны быть прописанны маршруты в наши внутренние сети????
В уроке про нат он гооворил что так злоумышленники делают получив доступ к роутеру провайдера!

Что за ДЖенес 3 8:46 ??????

Ребят а как он смог подключится к серваку без NAT? Когда инспектировал трафик, он смог по HTTP подключится к серваку, а компы у него с серым ip. Как?

А часто приходилось с ним работать? Покупает вообще такие вещи бизнес? Цена то космос.

добавьте gns3 ссылку к уроку, за урок спасибо

FOR THE NAT, КАРЛ

Олды тут? B)

лакамативв

"Логично предположить, что на маршрутизаторе должен быть прописать маршрут до нашей локальной сети" - Почему? Вообще не логично! Для чего его прописывать для обычного пинга с компов? Почему это угроза в предыдущем уроке, а в этому уроке, видите ли, "ЛОГИЧНО"! Бред