ASA Routing(Static, RIPv2)
ASA Static Route 명령어
route inside 192.168.15.0 255.255.255.0 192.168.10.1
route dmz1 192.168.25.0 255.255.255.0 192.168.20.1
route outside 192.168.35.0 255.255.255.0 192.168.30.1
route dmz2 192.168.45.0 255.255.255.0 192.168.40.1
Default Route 명령어
route outside 0 0 1.1.1.2
Ex. Static Route
사진첨부
방법
ASA)
route inside 192.168.15.0 255.255.255.0 192.168.10.1
route dmz1 192.168.25.0 255.255.255.0 192.168.20.1
route outside 192.168.35.0 255.255.255.0 192.168.30.1
route dmz2 192.168.45.0 255.255.255.0 192.168.40.1
- 방화벽에서 ICMP 허용
policy-map global_policy
class inspection_default
inspect icmp
service-policy global_policy global
결과
사진첨부
vIOS2)
#ping 192.168.25.1 source 192.168.15.1
#ping 192.168.35.1 source 192.168.15.1
#ping 192.168.45.1 source 192.168.15.1
ASA RIPv2
사진첨부
명령어
ASA)
router rip
version 2
network 192.168.10.0
network 192.168.20.0
network 192.168.30.0
network 192.168.40.0
no auto-summary
결과
사진첨부
사진첨부
ASA EIGRP
- RIPv2 AD = 120
- EIGRP AD = 90
명령어
ASA)
router eigrp 100
network 192.168.10.0
network 192.168.20.0
network 192.168.30.0
network 192.168.40.0
no auto-summary
결과
사진첨부
사진첨부
ASA OSPF
- OSPF AD = 110
EIGRP 지우기
- ASA는 wildcard mask대신 subnet mask를 사용함.
명령어
ASA)
router ospf 1
network 192.168.10.2 255.255.255.0 area 0
network 192.168.20.2 255.255.255.0 area 0
network 192.168.30.2 255.255.255.0 area 0
network 192.168.40.2 255.255.255.0 area 0
결과
사진첨부
사진첨부
Ex. Topology
사진첨부
방법
ASA)
policy-map global-policy
class inspection_default
inspect icmp
service-policy global_policy global
route outside 0 0 1.1.13.1
router ospf 1
network 1.1.13.2 255.255.255.255 area 0
default-information originate
결과
- 가장 높은 level 에서는 모두 ping이 가야 한다.
Ex. 02
사진첨부
사진첨부
방법
ASA)
access-list out_dmz line 1 extended permit udp host 223.255.255.1 host 192.168.10.1 eq 53
access-list out_dmz line 2 extended permit tcp host 223.255.255.1 host 192.168.10.2 eq 80
access-list out_dmz line 3 extended permit icmp host 223.255.255.1 host 192.168.10.3
access-group out_dmz in interface outside
결과
W7)
http://www.x.com - O
ping 192.168.10.3 - O
ping www.x.com - time out
사진첨부
사진첨부
Ex. 03
사진첨부
- 방화벽 콘솔창에 뜨는 것을 확인하고 싶은 것.
방법
ASA)
logging console 4
logging enable
결과
사진첨부
- W7에서 10.1로 ping을 하니 ASA에 메시지가 뜬다.
Ex. 04
사진첨부
방법
ASA)
logging console 4
logging enable
access-list out_dmz deny ip any any log 4 interval 20
결과
사진첨부
W7에서 계속 10.1로 ping을 해도 메시지가 1개 밖에 안 뜬다.
- 위와 같이 log메시지를 발생시키는 경우 문제점은 차단되는 Packet 마다 각각 log메시지가 발생된다는 점이다.
- 만약 외부에서 DDoS와 같은 Flooding 공격이 발생되고 log를 확인하는 순간 수 많은 log메시지가 생성되면서 장비에 과부하가 발생될 수 있다.
- 이러한 문제를 해결할 수 있는 방법은 차단되는 Packet 마다 log를 발생시키는 것이 아니라 일정 시간 동안 차단된 Packet의 숫자를 통계치로 log를 발생시키도록 설정하는 것이다.
- ex.access-list out_dmz deny ip any any log 4 interval 60 ← 60초 간격마다 통계치 출력
Ex. 05
사진첨부
사진첨부
방법
ASA)
no logging enable
clear configure access-list out_dmz
[ Inside → DMZ ]
object network DNS_SVR
host 192.168.10.1
object network WEB_SVR
host 192.168.10.2
object service DNS_P
service udp destination eq 53
object service WEB_P
service tcp destination eq 80
object network inside_net
subnet 192.168.20.0 255.255.255.0
object network dmz_net
subnet 192.168.10.0 255.255.255.0
object network outside_net
subnet 223.255.255.0 255.255.255.0
access-list inside_in permit object DNS_P object inside_net object DNS_SVR
access-list inside_in permit object WEB_P object inside_net object WEB_SVR
access-list inside_in permit ip object inside_net object outside_net
access-group inside_in in interface inside
결과
사진첨부
W8)
http://www.x.com - O
ping 192.168.10.x - X
http://223.255.255.1 - O
ping 223.255.255.1 - O
Object
- 특정 네트워크 대역 혹은 서비스에 대해 Object를 생성하여 관리하는 것이다.
- Object는 Network-Object와 Service-Object로 구성된다.
- Object에 2개 이상의 정의하면 마지막에 설정된 항목망 저장된다.
Network Object
object network HR_NET
subnet 1.1.1.0 255.255.255.0
objject network Sales_NET
range 192.168.10.10 192.168.10.20
object network DNS_SVR
host 192.168.20.1
Service Object
object service DNS_SER
service udp destination eq 53
object service FTP_SER
service tcp destination eq 21
Object Group
- Objet의 경우 하나의 네트워크 대역 혹은 하나의 서비스만 정의하는 것이다.
- 만약 다수의 네트워크, 서비스, 프로토콜 등을 묶어서 관리하고자 하는 경우 Object-Group을 사용해야 한다.
Network Object Group
object-group network 에서 다른 오브젝트, 다른 오브젝트 그룹 둘 다 가져올 수 있다.
Object 있는 경우
object-group network HQ_NET
network-object object MGR_NET
network-object object HR_NET
- Object 없는 경우
object-group network HQ_NET
network-object 1.1.1.0 255.255.255.0
network-object 1.2.1.0 255.255.255.0
Service Object Group
- Web 서비스 : HTTP / HTTPS
- Mail 서비스 : SMTP/POP3/IMAP
object-group service WEB_SER
service-object tcp destination eq 80
service-object tcp destination eq 443
object-group service MAIL_SER
service-object tcp destination eq 25
service-object tcp destination eq 110
service-object tcp destination eq 143
access-list test_dmz extended permit object-group WEB_SER(서비스/프로토콜 자리) object HQ_NET(출발지) any(목적지)
Ex. 06
사진첨부
방법
ASA)
no logging enable
clear configure access-list out_dmz
[ Outside → DMZ ]
object network out_net1
subnet 223.255.255.0 255.255.255.0
object network out_net2
subnet 1.1.12.0 255.255.255.0
object network dmz_net
subnet 192.168.10.0 255.255.255.0
object-group network out_net
network_object object out_net1
network_object object out_net2
object-group service WEB_DNS_S
service-object tcp destination eq 80
service-object udp destination eq 53
access-list outside_in permit object-group WEB_DNS_S object-group out_net object dmz_net
access-group outside_in in interface outside
결과
사진첨부
Ex. 07
사진첨부
사진첨부
- 특정 시간만 적용하려고 할 때,
방법
ASA)
no logging enable
clear configure access-list outside_in
object network out_net4
subnet 223.255.255.0 255.255.255.0
object network dmz_net
subnet 192.168.10.0 255.255.255.0
object-group service WEB_S
service-object tcp destination eq 80
access-list outside_in permit object-group WEB_S object out_net4 object dmz_net
access-group outside_in in interface outside
결과
사진첨부
W9)
http://192.168.10.1 - O
ping 192.168.10.1 - X
추가 01
no access-list outside_in permit object-group WEB_S object out_net4 object dmz_net
time-range Work_Time
periodic weekdays 09:00 to 18:00
access-list outside_in permit object-group WEB_S object out_net4 object dmz_net time-range Work_Time
clock set 09:30:30 4 MAY 2022
show clock
결과 01
사진첨부
웹 서버 접근에 성공했다.
추가 02
clock set 21:30:30 4 MAY 2022
show clock
결과 02
사진첨부
웹 서버에 접근 실패했다.