docCisco PIX 501 firewall configuration (german)
download 
Plainte Transcription
Cisco PIX 501 firewall configuration (german)
d@enu<dot>net Cisco PIX 501 firewall configuration (german) Wednesday, 01 January 2003 Die Cisco PIX Firewalls enthalten zur Konfiguration ein Java-Web-Client. Leider musste ich feststellen, dass dieser nur schlecht für die Konfiguration geeignet ist. Daher sollte die Konfiguration der Firewall mit dem CLI (Command Line Interface, sprich Telnet) erstellt werden. Die Schreibweise der Befehle im CLI ist sehr unterschiedlich. Für verschiedene Befehle gibt es Synonyme. wri = write oder sh = show Ich versuche in diesem Manual möglichst die offiziellen Befehle zu verwenden. Die Befehle für das CLI werden so dargestellt. Die Ausgaben des CLI werden so dargestellt. Konfiguration der Firewall Bei der erstmaligen Konfiguration der Firewall, sollte diese Vorzugsweise an den seriellen Port angeschlossen werden. Mit der Hilfe eines Telnet-Programms (z.B. Hyperterminal in Windows), kann eine Verbindung zu der Firewall hergestellt werden. Ist die Verbindung hergestellt worden, erscheint die erste Passwort Abfrage. Dort muss das Passwort für eine TelnetSitzung eingegeben werden (default = cisco). Wenn die Anmeldung erfolgreich war, ist es nun möglich das CLI aufzurufen. Dies können Sie mit dem Befehl enable tun. Danach wird das Passwort für das CLI verlangt (default = cisco). Nach der erfolgreichen Anmeldung, ist es nun möglich die Firewall zu konfigurieren. Es erscheint der Prompt: pixfirewall# Sollten Sie zu irgendeinem Zeitpunkt Hilfe gebrauchen, so müssen Sie nur ? eingeben und die gesamte Befehlsreferenz erscheint. Diese Hilfe kann auch bei den verschiedenen Befehlen gebraucht werden, z.B. show ? um zu sehen wie der Befehl 'show' angewandt wird. Um die Konfiguration der Firewall zu machen, sollten Sie noch in den Konfigurationsmodus wechseln. Dies können Sie mit dem Befehl: configure Terminal Nun erscheint folgender Prompt: pixfirewall(configure)# Mit dem Befehl show conf ist es Ihnen möglich, die aktuelle Konfiguration zu sehen. Um die getätigten Konfigurationen nicht zu verlieren und sie zu speichern, geben Sie den folgenden Befehl ein: write mem Der erste Schritt bei der Konfiguration ist neben dem einschalten, das Ändern der diversen Systempasswörter. Folgende Systempasswörter sind vorhanden: - Telnet-Passwort (default: cisco) - CLI-Passwort (default: ‘keines’) Das Passwort für den Web-Client (PDM) ist dasselbe wie das für das CLI. Um diese Passwörter ändern zu können, gehen sie wie folgt vor. Passwort CLI PDM Telnet-Passwort: passwd System Properties -> PIX Administration -> Password http://daenu.net/joomla Powered by Joomla! Generated: 16 January, 2017, 04:11 d@enu<dot>net CLI-Passwort: enable System Properties -> PIX Administration -> Password Der nächste Schritt ist die Konfiguration der Firewall-Systemeinstellungen (IP-Adressen, Hostname, Domain). Um diese Einstellungen ändern zu können, geben sie bitte folgenden Befehl in der Konsole ein: setup Dieser Befehl startet ein kleines Konfigurationsprogramm um die wichtigsten Einstellungen der PIX-Firewall zu ändern. Diese Einstellungen können später auch einzeln geändert werden. Um eine korrekte Installation der Firewall zu erhalten, darf das Outside-interface und das Inside-Interface nicht im selben Subnetz sein. Zum Beispiel:   Outside -> 10.10.1.1, 255.255.255.0                        Inside -> 192.168.1.1 255.255.255.0 (default) Sollten Sie die Grundkonfiguration abgeschlossen haben, wird es nun Zeit, die Konfiguration der Access-Filter in Angriff zu nehmen. Diese Access-Filter werden benötigt, um eine Verbindung nach aussen herzustellen und auch um die Daten zu erhalten ohne das sie von der Firewall geblockt werden. Die Access-Filter werden auf bestimmte Protokolle und deren Ports angewandt (TCP,UDP). Es ist aber auch möglich Access-Filter für ICMP-Packete zu erstellen. Die Erstellung eines Access-Filter sieht wie folgt aus: access-list ifout permit tcp 192.168.1.0 255.255.255.0 any eq 80 Diese Regel gehört zu der Access-Gruppe 'ifout' und lässt den TCP-Verkehr auf dem Port 80 (http) für alle Clients im internen Netz 192.168.1.0 mit der Submaske 255.255.255.0 zu und lässt auch den TCP-Verkehr auf dem Port 80 (http) von allen externen Hosts zu (um die Antworten auf die Anfragen erhalten zu können. Natürlich ist es auch möglich diesen Verkehr nur auf ein paar externe Hosts zu beschränken. Dazu würde man anstelle des any Statements einfach die Netz und Subnetz Daten des externen Hosts angeben. Die Erstellung weiterer Filter kann analog durchgeführt werden. Das heisst, dass je nach Anwendung der Port und das Protokoll verschieden angegeben werden muss. Hier sind einige Beispiele: FTP: TCP, Port 21 DNS: TCP, Port 53 und UDP, Port 53 Telnet: TCP, Port 23 SSH: TCP, Port 22 usw. Eine Liste sämtlicher Ports mit deren Zuweisung finden Sie im Internet unter http://www.iana.org/assignments/portnumbers Bitte beachten Sie, dass nur die Ports 1 - 1024 fest und offiziell belegt sind. Die Ports 1025 - 65'435 sind rein theoretisch zur freien Verfügung. Viele dieser Ports werden von Firmen für ihre eigenen Programme benutzt. Wenn Sie all Ihre benötigten Dienste freigeschalten haben, ist es an der Zeit allen übrigen Verkehr zu unterbinden. Dies erreichen Sie mit dem Befehl: access-list ifout deny any any Dieser Filter muss zwingend am Schluss der Liste aller Filter enthalten sein. Da die Firewall eine Regel nach der anderen abarbeitet wenn ein Paket kommt, werden bei dieser letzten Regel alle Pakete die nicht weitergeleitet wurden verworfen. Sollten Sie zu einem späteren Zeitpunkt eine weitere Regel hinzufügen wollen, müssen sie zuerst die 'deny' Regel löschen. Das können Sie mit dem folgenden Befehl tun: no access-list ifout deny any any Sie können auch alle anderen Regelen mit dem no Statement ausser Kraft setzten. Sobald Sie die gewünschten Regeln hinzugefügt haben, sollten Sie den Rest des Verkehrs wieder blockieren. Wenn Sie alle Ihre Access-List eingegeben haben, müssen diese nun noch einer Gruppe zugeordnet werde, damit diese Filter auch angewandt werden. Um eine Gruppe zu erstellen geben Sie folgenden Befehl ein: access-group ifout in interface inside Mit diesem Befehl erstellen Sie die Gruppe 'ifout' die auf dem inside interface angewendet wird. Um diese Konfiguration zu speichern, geben sie den Befehl wirte mem ein. Nun haben Sie schon die Möglichkeit durch die Firewall auf dem Internet zu surfen. Um auch durch die Firewall pingen zu können ist es nötig folgende access-lists zu erstellen: Von innen nach aussen: no access-list ifout deny any any access-list ifout permit icmp any any echo … http://daenu.net/joomla Powered by Joomla! Generated: 16 January, 2017, 04:11 d@enu<dot>net Diese Access-Lists gestattet allen ICMP-Verkehr mit dem Code echo. Hier ist eine Auflistung einiger ICMP-Codes: echo-reply, source-quench, unreachable, time-exceeded, traceroute, ... access-list ifout deny any any  Von aussen nach innen: access-list icmp_acl permit icmp any any echo … access-group icmp_acl in interface outside Diese Access-Lists erlauben den ICMP-Verkehr der definierten Codes von aussen nach innen. Sind diese Filter eingegeben, ist es notwendig das Memory zu speichern (write mem) Routing Um den gesamten Traffic durch die Firewall passieren zu lassen, ist es notwendig, der Firewall mitzuteilen wie die erhaltenen Pakete weitergeleitet werden sollen. Es ist nötig, den Weg von der Firewall zum Router und vom internen Netzwerk zum Router zu definieren. Dies erreichen sie mit dem Befehlen: route outside 0.0.0.0 0.0.0.0 10.10.1.2 1 Das ist die Default-Route wobei 10.10.1.2 die IP-Adresse des Routers ist. route outside 10.10.1.0 255.255.255.0 10.10.1.1 1 Diese Route definiert, dass alle Anfragen mit der IP-Adresse 10.10.1.0 – 10.10.1.255 auf die IP-Adresse 10.10.1.1 (Firewall outside-Interface) weitergeleitet werden. route inside 192.168.1.0 255.255.255.0 192.168.1.10 1 Diese Route definiert, dass alle Anfragen von den IP-Adressen 192.168.1.0 – 192.168.1.255 and die IP-Adresse 192.168.1.10 (Firewall inside-Interface) weitergeleitet. Um den Verkehr zwischen der Firewall und dem Router sicherzustellen, ist es nötig auch eine Route auf dem Router zu definieren. Logging Die PIX-Firewall hat die Möglichkeit, die unerlaubten Events an einen Syslog-Server weiterzuleiten. Auf Unix-Systemen ist dieser Deamon schon beinhaltet. Wenn Sie einen solchen Deamon auf einem Windows-System installieren wollen, empfehle ich Ihnen den Kiwi Syslog Deamon (http://www.kiwisyslog.com). Um diese Events auf den Syslog-Server senden zu können sind folgende Befehle auf der PIX-Firewall einzugeben: logging on logging timestamp logging trap warnings logging history warnings logging facility 23 logging host inside 192.168.1.100 Der letzte Eintrag definiert, wohin die Meldungen gesendet werden sollen. Dort ist der Computer mit dem SyslogDeamon anzugeben. Mit dem dritten und der vierten Befehl wird definiert, welche Events geloggt werden sollen (hier wird ab dem Level 4 (Warning) geloggt). Dazu gibt es verschiedene Levels: Emergency -> Level 0 -> System unusable http://daenu.net/joomla Powered by Joomla! Generated: 16 January, 2017, 04:11 d@enu<dot>net Alert -> Level 1 -> Immediate action needed Critical -> Level 2 -> Critical condition Error -> Level 3 -> Error condition http://daenu.net/joomla Powered by Joomla! Generated: 16 January, 2017, 04:11 d@enu<dot>net Warning -> Level 4 -> Warning condition Notification -> Level 5 -> Normal but significant condition Informational -> Level 6 -> Informational Message only Debug http://daenu.net/joomla Powered by Joomla! Generated: 16 January, 2017, 04:11 d@enu<dot>net -> Level 7 -> Appears during debugging only Quellen: - Cisco-Documentation-CD - http://www.cisco.com - Ein grosses Dankeschön für die grosse Hilfe geht ausserdem an Defender.  http://daenu.net/joomla Powered by Joomla! Generated: 16 January, 2017, 04:11
