Furor Teutonicus blog | over | volg | teuto | lyme | archief | doneer | todo
🕰️
  ⬩  
✍️ Evert Mouw
  ⬩  
⏱️ 4 min

Weer terug online; Cisco ASA 5505 firewall geplaatst

asa5505

Het voordeel van half ziek zijn is dat je ineens tijd hebt om in je luie stoel een router te configureren. De webserver waar deze website op draait staat bij mij thuis, dus een firewall is geen overbodige luxe. Door wat tegenslag — het meer technische verhaal hieronder — was de site eventjes uit de lucht, maar desondanks ben ik tevreden.

Starten met de Cisco ASA 5505

Al tijden ligt mijn Cisco ASA 5505 firewall stof te vergaren. Zonde, het is een mooi apparaat. Natuurlijk zal het SpeedTouch modem de simpele ellende wel buiten de deur houden, en ook de Linux server die erachter staat is niet slecht, maar een firewall tussen die beiden is hoe het eigenlijk “hoort”.

Nu ben ik niet zo thuis in de wereld van de Cisco configuraties. Google is je vriend? Niet als de mooie voorbeelden verouderd zijn omdat Cisco sinds de ASA 8.3 versie een andere methode gebruikt om NAT in te stellen.

Begin met een schone configuratie, oftewel met de fabrieksinstellingen:

configure factory-default

Met behulp van de grafische ASDM software is het niet al te lastig om een ASA 5505 vanaf de fabrieksinstelling geschikt te maken om tussen je modem en de rest van je netwerk te zitten. Af en toe is het werken met een GUI wat tijdrovend, en in zulke gevallen is het handig om met SSH of Telnet in te kunnen loggen. Dus je start met het instellen van die mogelijkheden. Het is fijn als je ergens een computer hebt met een seriële COM poort zodat je desnoods daarmee de instellingen van je ASA kunt wijzigen — wat trouwens het beste gaat met Putty.

Hieronder twee screenshots die tonen hoe je een port forwarding maakt naar een server in je netwerk. Voor elke port forward moet er zowel de forward zelf alsook een access rule aangemaakt worden. Klik op de afbeeldingen om ze groter te krijgen.

portfw - static NAT rule
portfw - access rule

Belangrijk is dat de algemene van binnen naar buiten PAT regel als laatste komt. Specifieke port forwards van buiten naar binnen moeten dus eerst komen.

Hier ook een paar CLI commando’s die het leven misschien aangenamer kunnen maken.

Een enkele port forward aanmaken:

static (inside,outside)  tcp interface 5000 10.0.0.1 5000 netmask 255.255.255.255 tcp 0 0 udp 0

In de GUI wordt dan iets dat vergelijkbaar is met onderstaande zichtbaar. (Klik op de afbeelding om ’m groot te maken.)

NAT_rules

Vergeet ook niet om daarna de access rule in te stellen. Dat kan grafisch gemakkelijker.

Hieronder zie je hoe je een smtp service group maakt in de CLI, die daarna gemakkelijk in de GUI gebruikt kan worden. Onderstaande bevat alle veel voorkomende SMTP poorten. De “smtp” is al voorgeconfigureerd en staat gelijk aan “25”.

object-group service smtp-all tcp
  description 25, 2525, 465, 587
  port-object eq 2525
  port-object eq 465
  port-object eq 587
  port-object eq smtp

Een default gateway instellen is ook wel handig. Hieronder is het 192 adres het standaard adres van een SpeedTouch modem.

route outside 0.0.0.0 0.0.0.0 192.168.178.1 1

Uiteraard niet vergeten e.e.a. op te slaan!

write

De instellingen bekijken

Behalve de GUI kun je ook via de CLI veel instellingen snel bekijken. Hiermee zie je snel een overzicht van alle IP adressen en interfaces:

show interface ip brief
show switch vlan
show ip

De NAT / PAT mappings krijg je snel in beeld met deze commando’s:

show run nat
show nat

In de Cisco wereld zijn zulke NAT mappings onvoldoende; er moeten ook bijpassende access lists zijn.

show access-list
Deze 3Com Gigabit switch werkte niet mee.

Pas op met Gigabit switches

Standaard heeft de 5505 geen ondersteuning voor Gigabit Ethernet. Mij heeft het uren gekost om erachter te komen waarom ik een enorm hoge packet loss had van 25% bij een simpele ping test. De 5505 moet qua switchport instellingen correct ingesteld worden voor speed en duplex. Auto volstaat meestal. Zelf geef ik er de voorkeur aan op het handmatig in te stellen op 100 duplex. Maar als de 5505 is aangesloten op een Gigabit switch kan het voorkomen dat je veel packet loss krijgt als je probeert te pingen naar je ASA. Je ziet dan ook een hoge “overrun”. Het kan helpen om een andere switch te gebruiken. In mijn geval had ik de 25% packet loss met de 3Com Gigabit 3CGSU05A switch. Maar met de Gigabit OfficeConnect 3C1670800A, ook van 3Com, was er geen enkel probleem.

Pingen naar buiten

Als je van binnen in je netwerk naar buiten toe wilt kunnen pingen voor testdoeleinden, bv. ping www.google.com, dan moet je in de ASDM GUI het volgende doen: Configuration –> Firewall –> Service policies rules –> Inspection –> edit –> Rules Action –> ICMP –> apply –> save.

Een backup van je instellingen maken

Na alle moeite van het testen en configureren wordt het tijd een backup te maken. Vanuit de ASDM kun je de instellingen naar een bestand op je computer kopiëren via TFTP.

DNS en DHCP

Omdat mijn GNU/Linux server dat al heel goed doet sla ik deze stap hier over.

Je modem instellen

Stel je modem (bv. je SpeedTouch) zo in dat alle netwerkverkeer naar je ASA gestuurt wordt. De instellingen verschillen per modem / router.

ASA 5505 en bijbehorend spul

Deze blogpost werd in december 2022 overgezet van WordPress naar een methode gebaseerd op Markdown; het is mogelijk dat hierbij fouten of wijzigingen zijn ontstaan t.o.v. de originele blogpost.