Open in app

Sign in

Write

Sign in

Cisco ASA Firewall Ailesi ve Yapılandırılması

Emre Emanet
7 min readFeb 28, 2020

Cisco Adaptive Security Appliance (ASA) kurumların güvenli, yüksek performanslı bağlantı sağlamasına yardımcı olur. Kanıtlanmış güvenlik duvarı teknolojisi, IPS teknolojisi, yüksek performanslı VPN teknolojisi ve hata toleransı için yük devretme özelliklerini sağlayan bir firewall ve güvenlik çözümlerini sunan ürünleridir.

Gelişmiş ASA Firewall Özellikleri

4 adet gelişmiş firewall ASA özelliği mevcuttur.

1- Virtualization

  • Aşağıdaki şekilde de görüleceği üzere tek bir ASA birden çok sanal cihaza bölünebilir.
  • Her bir cihaza güvenlik bağlamı denilmektedir.
  • Her bir sanal cihaz içerikleri ve poliçeleri ile tek başına bir cihazmış gibi hareket edebilmektedir.
ASA Virtualization

2- High Avability (Yüksek Erişilebilirlik)

  • Kısaca firewal’ın (ASA) yedekliliği’dir.
  • Active — Active yada Active — Passive (Standby) çalışabilir.
  • Her iki taraftada lisans, yazılım, bellek yapıları aynı olmalıdır.
High Availability

3- Identity Firewall (Kimlik Duvarı)

AD üzerinde bulunan kullanıcılar üzerinden erişim kontrolü sağlayabilmektedir.

Identity Firewall

4- ASA Threat Control

ASA’lar temel IPS özelliklerini desteklerken gelişmiş IPS’ler için ise modül kullanımını gerektirmektedir.

Ağ Tasarımında Güvenlik Duvarlarının Konumu

  • Inside İç Ağ (Güvenlik duvarının koruduğu bölgedir.)
  • Outside Dış Ağ (Güvenlik duvarının koruması dışında kalan bölgedir.)
  • DMZ Arındırılmış Bölge ( Hem içerideki hemde dışarıdaki kullanıcılarının korunan ağ kaynaklarına erişmesini sağlayan bölgedir.) Kısaca güvenlik duvarları iç ağları, dış ağlardan gelebilecek yetkisiz erişim taleplerine karşı koruduğu gibi iç ağdaki kullanıcıları da böylelikle korumuş olmaktadır.

ASA Güvenlik Duvarı Modları

2 türünü inceleyelim,

Routed Mode

Route Mod’unda Layer3 özelliklerinide kullanarak çalışmaktadır. Firewallımız Route modunda yapılandırıldığı zaman farklı interfacelerindeki farklı IP ve Subnet Masklara sahip networkleri üzerinden gerekli işlemleri (yasak, izin, süzme vb.) yaparak geçirmektedir.

Transparent Mode

Transparent mod yapılandırılmasında ASA Firewalımız mevcut networkun içine, mevcut networkde ki boşta bulunan bir IP adresi atamamız ile dahil etmiş oluyoruz. Tabirde yanlışlık olmadığını varsayarsak Bridge mod olarak yapılandırdığımızı söyleyebiliriz.

Routed Mode ve Transparent Mode

ASA Komut Yapısı

ASA ve IOS için komutları birbirlerine çok benzemekle birlikte, farklılıklarından bazılarını aşağıdaki tabloda görebilirsiniz

ASA CLI üzerinden yapılandırılabildiği gibi ASDM GUI tarafında ‘da yapılandırılabilir.

ASA cihazlarında Layer 3 ve Layer 2 gibi davranan portların olduğu modeller mevcuttur. Layer 2 cihazlarda switchlerdeki Vlan konfigürasyonu yapılmaktadır. Aşağıda örneğini görebilirsiniz.

help route 
Bu tür yazımlarda route komutunu nasıl kullanacağınızı gösterir.
hostname ASAFIREWALL
ASA cihazımıza isim vermek için kullanılır.
configure factory-default
Cihazı varsayılan ayarlar döndürür.
nameif
interface’lere tanımlama (WAN, INSIDE vb.) yapılabilir.
show interface ip brief
Interface’ler hakkında bilgi verir.
route OUTSIDE 0.0.0.0 0.0.0.0 192.168.1.1
Default rota yazımına bir örnektir.
show ip address
Sadece ip’leri gösterecek şekilde özet verir.
show route
Route tablosunu getirir.
ip address dhcp setroute
Ip’yi dhcp’den alması için interface bazında girilen komut’tur. 
security level 100
“0 ile 100” arasındadır. Security level ile ilgili olarak bilinmesi gereken durum ise küçük olan site’den level değeri büyük olana erişim gerçekleşmez, yada ACL yazılarak özellikle izin vermek gerekir.Tam tersi durumlarda ise erişim vardır.
Security Level

Temel ASA Yapılandırması

Cisco ASA 5505, küçük işletmeler, şubeler ve kurumsal uzaktan çalışma ortamları için tam özellikli bir güvenlik çözümü sunar. Modüler, tak ve çalıştır bir cihazda yüksek performanslı bir güvenlik duvarı, SSL VPN, IPsec VPN ve zengin ağ hizmetleri sunar.

Cisco ASA 5505 Özellikleri:
* DRAM belleği 256 MB (512 MB’a yükseltilebilir),
* Dahili flash bellek 128 MB’dir.
Yük devretme yapılandırmasında, iki birim aynı donanım yapılandırmasına, aynı sayıda ve türde arabirime ve aynı miktarda RAM’e sahip aynı modeller olmalıdır.

ASA 5505'in ön panelinde şunlar bulunur:
— USB Bağlantı Noktası İleride kullanılmak üzere ayrılmıştır.
— Hız ve bağlantı etkinlik LED’leri Sabit yeşil hız göstergesi LED’i 100 Mb /s gösterir. LED kapalıysa, bu 10 Mb / s gösterir. Bağlantı etkinliği gösterge LED’i yandığında, bir ağ bağlantısının kurulduğunu gösterir. Yanıp sönüyorsa, ağ etkinliğini gösterir.
— Güç LED’i Sabit yeşil, cihazın açık olduğunu gösterir.
— Durum LED’i Yanıp sönen yeşil ışık , sistemin önyükleme yaptığını ve açılış testlerinin yapıldığını gösterir. Sabit yeşil, sistem testlerinin geçtiğini ve sistemin çalışır durumda olduğunu gösterir. Koyu sarı, sistem testlerinin başarısız olduğunu gösterir.
— Aktif LED Yeşil, bu Cisco ASA’nın yük devretme için yapılandırıldığında etkin olduğunu gösterir.
— VPN LED’i Sabit yeşil, bir veya daha fazla VPN tünelinin etkin olduğunu gösterir.
— Güvenlik Hizmetleri Kartı (SSC) LED’i Sabit yeşil, SSC yuvasında bir SSC kartının bulunduğunu gösterir.

Cisco ASA 5505'in arka panelinde şunlar bulunur:
— 8 bağlantı noktalı 10/100 Hızlı Ethernet anahtarı . Her bağlantı noktası, ağ bölümlendirmesini ve güvenliğini desteklemek için üç adede kadar ayrı VLAN veya bölge oluşturmak üzere dinamik olarak gruplandırılabilir. Bağlantı Noktaları 6 ve 7, Cisco IP telefonlarının ve harici kablosuz erişim noktalarının dağıtımını kolaylaştırmak için Ethernet Üzerinden Güç (PoE) bağlantı noktalarıdır.
— Üç USB bağlantı noktası . Bu bağlantı noktaları (biri önde, ikisi arka panelde) ek hizmetler ve yetenekler sağlamak için kullanılabilir.
— Genişletme için bir Güvenlik Servis Kartı (SSC) yuvası.Yuva, Cisco Gelişmiş İnceleme ve Önleme Güvenlik Hizmetleri Kartını (AIP-SSC) eklemek için kullanılabilir. AIP-SSC kartı, Cisco ASA 5500'ün bir ağı etkilemeden önce kötü niyetli trafiği durdurmak için izinsiz giriş önleme hizmetleri sunmasını sağlar. Global Korelasyonlu Cisco IPS, geleneksel IPS’nin etkinliğini artırır. Global Correlation özellikli Cisco IPS, her beş dakikada bir güncellenerek, Cisco IPS, güvenlik duvarı, e-posta ve web cihazlarından gelen gerçek zamanlı küresel zeka ile hızlı ve doğru tehdit koruması sağlar.

ASA, iç ve dış ağlar arasında ayrım yapmak için güvenlik seviyeleri atar.
Güvenlik seviyeleri , bir arayüzün güvenilirlik seviyesini tanımlar. Seviye ne kadar yüksek olursa arayüz o kadar güvenilirdir.Güvenlik seviyesi numaraları 0 (güvenilir olmayan) ile 100 (çok güvenilir) arasında değişir. Her işletim arabiriminin bir adı ve 0 (en düşük) ile 100 (en yüksek) arasında bir güvenlik düzeyi atanmış olması gerekir.
Trafik, daha yüksek güvenlik düzeyine sahip bir arabirimden daha düşük güvenlik düzeyine sahip bir arabirime geçtiğinde, giden trafik olarak kabul edilir .
Daha düşük güvenlik seviyesine sahip bir arayüzden daha yüksek güvenlik seviyesine sahip bir arayüze geçen trafik gelen trafik olarak kabul edilir .

Cisco ASA 5505 Basit Yapılandırılması

Topolojiyi oluşturduktan sonra ilk olarak ASA Firewall’ın varsayılan ayarlarını kapatıyoruz.

ciscoasa>enable
ciscoasa#configure terminal
ciscoasa#show running-config
ciscoasa(config)#interface vlan 1
ciscoasa(config-if)#no ip address
ciscoasa(config)#no dhcpd address 192.168.1.5–192.168.1.36 inside
ciscoasa(config)#end
ciscoasa# show running-config

Ardından VLAN oluşturuyoruz. Çünkü ASA 5505’de Firewall’ın çıkış portları Layer 2 switch gibidir. Interface’lerine IP verilemez. VLAN yapılandırılabilir.

ciscoasa#configure terminal
ciscoasa(config)#interface vlan 1
ciscoasa(config-if)#ip address 172.16.1.1 255.255.255.0
ciscoasa(config-if)#nameif inside
ciscoasa(config-if)#security-level 100
ciscoasa(config-if)#exit
ciscoasa(config)#interface ethernet 0/1
ciscoasa(config-if)#switchport access vlan 1
ciscoasa(config-if)#exit
ciscoasa(config)#interface vlan 2
ciscoasa(config-if)#ip address 203.1.1.2 255.255.255.0
ciscoasa(config-if)#nameif outside nameif’e istediğimiz ismi verebiliriz.
ciscoasa(config-if)#security-level 0 security leveli istediğimiz gibi ayarlanabilir
ciscoasa(config-if)#exit
ciscoasa(config)#interface ethernet 0/0
ciscoasa(config-if)#switchport access vlan 2
ciscoasa(config-if)#exit

DHCP ve DNS ayarlarını yapıyoruz.

ciscoasa(config)#dhcpd address 172.16.1.5–172.16.1.6 inside
ciscoasa(config)#dhcpd dns 8.8.8.8 interface inside

Son olarak NAT konfigürasyonu ve internete çıkış için kurallar yazıyoruz.

ciscoasa(config)#object network LAN
ciscoasa(config-network-object)#subnet 172.16.1.0 255.255.255.0
ciscoasa(config-network-object)#nat (inside,outside) dynamic interface
ciscoasa(config-network-object)#exit
ciscoasa#configure terminal
ciscoasa(config)#access-list internet_icin_kural extended permit tcp any any
ciscoasa(config)#access-list internet_icin_kural extended permit icmp any any
ciscoasa(config)#access-group internet_icin_kural in interface outside
ciscoasa(config)#exit

Router’a yapılan yapılandırma interface’lerine IP vermek ve basit OSPF yapılandırmasından ibarettir.

Cisco 1841 Router Yapılandırması

Router>enable
Router#configure terminal
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip address 203.1.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#int fa0/1
Router(config-if)#ip address 8.8.8.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#router ospf 1
Router(config-router)#network 203.1.1.0 0.0.0.255 area 0
Router(config-router)#network 8.8.8.0 0.0.0.255 area 0
Router(config-router)#exit
Router#copy running-config startup-config

Cisco ASA 5505 Yapılandırma

ciscoasa>enable
ciscoasa#configure terminal
ciscoasa#show running-config
ciscoasa(config)#interface vlan 1
ciscoasa(config-if)#no ip address
ciscoasa(config)#no dhcpd address 192.168.1.5–192.168.1.36 inside
ciscoasa(config)#end
ciscoasa#show running-config
ciscoasa#configure terminal
ciscoasa(config)#interface vlan 1
ciscoasa(config-if)#ip address 172.16.1.1 255.255.255.0
ciscoasa(config-if)#nameif inside
ciscoasa(config-if)#security-level 100
ciscoasa(config-if)#exit
ciscoasa(config)#interface ethernet 0/1
ciscoasa(config-if)#switchport access vlan 1
ciscoasa(config-if)#exit
ciscoasa(config)#interface vlan 2
ciscoasa(config-if)#ip address 203.1.1.2 255.255.255.0
ciscoasa(config-if)#nameif outside
ciscoasa(config-if)#security-level 0
ciscoasa(config-if)#exit
ciscoasa(config)#interface ethernet 0/0
ciscoasa(config-if)#switchport access vlan 2
ciscoasa(config-if)#exit
ciscoasa(config)#dhcpd address 172.16.1.5–172.16.1.6 inside
ciscoasa(config)#dhcpd dns 8.8.8.8 interface inside
ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 203.1.1.1
ciscoasa(config)#object network LAN
ciscoasa(config-network-object)#subnet 172.16.1.0 255.255.255.0
ciscoasa(config-network-object)#nat (inside,outside) dynamic interface
ciscoasa(config-network-object)#exit
ciscoasa#configure terminal
ciscoasa(config)#access-list internet_icin_kural extended permit tcp any any
ciscoasa(config)#access-list internet_icin_kural extended permit icmp any any
ciscoasa(config)#access-group internet_icin_kural in interface outside
ciscoasa(config)#exit
ciscoasa#copy running-config startup-config

--

--

Emre Emanet

Written by Emre Emanet

124 Followers

https://www.emanetemre.com

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams