Cisco ASA ou Cisco Adaptive Security Appliances é uma linha de Firewall Stateful da Cisco bastante presente no mercado. Esse conteúdo não aborta FWSM (embora muitos comandos sejam semelhantes).
Todo tráfego encaminhado por um ASA é inspecionado usando o Adaptive Security Algorithm sendo esse permitido negado. O Algoritmo leva em consideração o estado (state), todos, de conexões associados com o pacote.
(Essa página não aborta tudo de ASA porém dá uma base satisfatória.)
Principais diferenças entre os comandos de Roteadores Cisco e Cisco ASA Router x ASA
ASA ou Adative Security Apliance é o sucessor do PIX (Private Internet eXchange). A Série ASA se estende desde processamento básico a processamento robusto:
Se o pacote criar uma nova conexão, o ASA verifica se há ACL e realiza tarefas para encaminhar o pacote. Para realizar essas tarefas o primeiro pacote passa pelo “Caminho de Gerenciamenot de Sessões” (session management path). Dependendo do tipo de tráfego ele pode pasasr também pelo “plano de controle caminho” (control plane path)
O caminho de gerenciamento de sessões é responsável pelas seguintes tarefas:
Se você está familiarizado com Wildcard bits (Máscara Curinga), meus parabéns mas você não irá utilizar isso em um ASA. Tudo que fizermos (ACL, NAT, Grupos, Roteamento, OSPF, EIGRP, RIP) será usando a máscara normal.
Um ASA pode ser configurado para estar em dois estados: Router Mode ou Transparent Mode
Para chegar em qual modo está operando o firewall:
Wendy# show firew
Firewall mode: Router
Wendy#
No modo de roteamento o ASA (modo padrão) ele irá funcionar como um roteador porém com todas as features de segurança dele, basicamente cada interface ativa recebe um endereço IP e a tabela de roteamento será maior do que no modo transparente.
O ASA no modo transparente a parece no tracert (traceroute)
Deixar o ASA no modo Router:
Wendy(config)# no firewall transparent
No modo Transparente o ASA recebe apenas 1 IP para administração e todas as suas interfaces não possuem IP. O ASA vai operar na camada 2 para os outros dispositivos da rede, ele não irá aparecer em tracert (traceroute) e não irá rotear nenhum tráfego pela rede, sua tabela de roteamento normalmente tem 2 ou 3 rotas.
Mas isso não vai impedir o ASA the filtrar pacotes.
Deixar o ASA no modo transparente:
Wendy(config)# firewall transparent
As interfaces de um ASA precisam ter NOMES que serão usandos para configuração de ACL, NAT, PAT, Rotas, AAA e muitas outras coisas
Uma novidade do ASA é o nível de segurança que é configurado nas interfaces. O Security Level é um número de 0 a 100 que indica o nível de segurança de determinada interface (valor apenas local). Exemplo:
Mas pra quê? Caso não haja ACL configurada no dispositivo o security level irá definir qual interface pode falar com a outra, seguindo o exemplo anterior temos:
Interfaces com mesmo nível de segurança não trocam informações por padrão, para permitir essa comunicação digite o seguinte comando:
same-security-traffic permit inter-interface
Após atribuir uma ACL a interface tudo isso é descartado
No entando o Security Level não serve apenas para isso, ele é bastante importante para o Nat Estático. Interfaces de maior security level são chamados primeiro que interfaces de menor security level. (na ordem do nat ser feito, sendo que a interface com maior security level terá o seu nat feito primeiro)
Configurando um nat estático entre DMZ(sec level 50) e Outside (sec level 0)
!Versão 8.2 ou anterior
static (DMZ,Outside) 200.204.0.10 172.20.0.1 netmask 255.255.255.255
!Versão 8.3 ou superior
object network obj-200.204.0.10
host 200.204.0.10
object network obj-172.20.0.1
host 172.20.0.1
nat (dmz,outside) source static obj-200.204.0.10 obj-172.20.0.1
No ASA é possível agrupar hosts, redes, subredes ou portas em grupos, tornando a sua configuração mais fácil, limpa e rápida de se editar. Usa-se object-group network NOME: Para criar grupos de hosts ou redes
Wendy(config)# object-group network ListaDePermitidos
Wendy(config-network)# network-object host 10.0.0.1
Wendy(config-network)# network-object 20.0.0.0 255.255.255.0
Wendy(config-network)# network-object 192.168.0.0 255.255.255.240
Usa-se object-group service NOME tcp: Para criar grupos de portas tcp
Wendy(config)# object-group service remoteAccess tcp
Wendy(config-service)# port-object eq 23
Wendy(config-service)# port-object eq 22
Wendy(config-service)# port-object eq 3389
Usa-se object-group service NOME udp: Para criar grupos de portas udp
Wendy(config)# object-group service portasUDP udp
Wendy(config-service)# port-object eq 53
Wendy(config-service)# port-object eq 520
O ASA (dependendo da licença) possui o recurso de FailOver Active/Standby. Faiolver é quando se usa 2 ASA com a configuração praticamente idêntica porém um é configurado como ativo (Active) e o outro como espera (Standby), quando o ativo (active) cair (perder conexao, explodir, ou parar de funcionar) o espera (standby) se torna o ativo (active) sem impactar a rede.
O Failover pode ser por link LAN, WAN e pode ser Failover ou Failover Statefull (na troca de ativo para espera não há perda de conexão para os hosts da rede).
Basicamente é uma redundância entre firewalls nativa do ASA IOS
Para visualizar uma página com vários exemplos de configuração de ASA clique aqui -> ASA Como fazer
Lista completa de comandos da série 5500 http://www.cisco.com/en/US/docs/security/asa/asa82/command/reference/cmd_ref.html Cisco Command Reference 5500
Category:Cisco Category:Security Category:Cisco Certification Category:ASA