خانوادهی دستگاههای ASA شرکت سیسکو از دستگاه های امنیتی محافظت از شبکههای سازمانی و مراکز دادهای هستند که امکان دسترسی کاربران به اطلاعات و منابع شبکه را در هر زمان و هر مکان و با استفاده از هر دستگاهی فراهم میکند. دستگاه های ASA شرکت سیسکو، در سرتاسر جهان گسترده شدهاند که این موضوع نشان دهنده قدرت این نوع فایروالها است.
ویژگی ها و قابلیت ها
Cisco Adaptive Security Appliance) ASA ( نرم افزار اصلی سیستم عامل برای خانواده سیسکو ASA است. ASA همچنین با سایر فناوریهای امنیتی ادغام شده است تا راه حلهای جامع را ارائه دهند که به طور مداوم نیازهای امنیتی را در بر میگیرد.
از مزایای ASA میتوان به موارد زیر استفاده کرد:
- یکپارچه کردن ارتباطات VPN و IPS
- پشتیبانی از AAA که در اوایل کتاب در مورد آن صحبت کردیم
- ایجاد Access Listهای استاندارد و پیشرفته که به اختصار ACL نام دارد.
- انجام سرویسهای NAT، Routing، DHCP و….
- یکی از قابلیتهای مهم ASA این است که تهدیدات مهم شبکه را شناسایی میکند و اجازه ورود به شبکه را نخواهد داد و همچنین میتواند تهدیدات پیشرفته را هم با الگوریتم خاص خودش شناسایی کند.
فایروال مفهومی است که توسط یک دستگاه واحد و یا گروهی از دستگاهها اجرا میشود و عملکرد اصلی فایروال جلوگیری از ورود ترافیک ناخواسته است.
نصب و راهاندازی فایروال سیسکو ASA
برای راهاندازی فایروال سیسکو نیاز به دستگاه سختافزاری آن داریم که در بازار امروز (۶ شهریور ۱۳۹۷) یک فایروال ASA 5550 قیمتی بالای ۳۰ میلیون دارد که برای ما که میخواهیم کارهای تستی بر روی ان انجام دهیم واقعاً بالا است، به خاطر همین باید به صورت مجازی بر روی GNS3 پیاده سازی کنید.
روش اول:
برای شروع کار فایل آماده VMware مربوط به فایروال ASA را از لینک زیر دانلود کنید:
http://dl.hellodigi.ir/dl.hellodigi.ir/dl/cisco/asa/ASAv931.rar
بعد از دانلود ماشین مجازی مربوط به فایروال ASA آن را اجرا کنید، در شکل روبرو این کار انجام شده است و ماشین به درستی اجرا شده است، برای ورود به مد جدید دستور Enable را وارد و بر روی Enter فشار دهید و در قسمت Password هم فقط بر روی Enter فشار دهید، در ادامه میخواهیم نحوه کانفیگ آن را با هم یاد بگیریم.
برای تنظیم فایروال در GNS3 به مانند شکل از منوی Edit گزینهی Preferences را انتخاب کنید.
در این صفحه از سمت چپ گزینهی VMware VMs را انتخاب کنید و بر روی New کلیک کنید.
در این صفحه گزینهی Run this VMware on my local computer را انتخاب و بر روی Next کلیک کنید.
در این صفحه باید ماشین مورد نظر که مربوط به فایروال ASA است را از لیست انتخاب کنید، توجه داشته باشید برای اینکه مانند روتر یا سوئیچ چند دستگاه فایروال بر روی GNS3 فعال کنید میتوانید تیک گزینهی مورد نظر را بزنید تا یک کپی از این ماشین ایجاد شود.
در نرمافزار GNS3 وارد قسمت Browse End Devices شوید و فایروال مورد نظر را به لیست اضافه کنید، توجه داشته باشید از همین فایروال میتوانید چند تا دیگه هم در صفحه قرار دهید.
روش دوم:
در روش دوم که روش راحتتر و قابل اعتمادتری است استفاده از فایل qcow2 که میتوانید از لینک زیر آن را دانلود کنید:
http://dl1.technet24.ir/Downloads/Cisco/ASA/asav9-12-2-4.qcow2
بعد از دانلود فایل مورد نظر وارد نرمافزار GNS3 شوید و از منوی Edit بر روی گزینهی Prefrences کلیک کنید.
در این صفحه برای اضافه کردن فایل ASA به نرمافزار GNS3 باید بر روی New کلیک کنید.
در این صفحه گزینهی Run this Qemu vm on the GNS3 VM را انتخاب کنید تا فایل ASA بر روی ماشین GNS3 آپلود شود.
یک نام برای فایروال خود در نظر بگیرید و تیک گزینهی مورد نظر را هم انتخاب کنید با این کار تنظیمات اضافه تری را در ادامه کار مشاهده خواهید کرد.
تذکر: اگر از ویندوز۱۰ یا ویندوز سرور ۲۰۱۹ استفاده میکنید نیاز به انتخاب این تیک نیست.
مقدار رم مربوط به این دستگاه را مشخص کنید که بهتر است که حداقل ۲ گیگابایت باشد.
در این قسمت گزینهی VNC را انتخاب کنید، توجه داشته باشید به صورت پیشفرض گزینهی Telnet برای آن فعال نشده است و باید بعد از اجرا شدن فایروال آن را فعال کنید.
در این صفحه باید بر روی Browse کلیک کنید و فایل دانلود شده مربوط به ASA که با پسوند qcow2 است را انتخاب کنید تا مانند شکل روبرو آپلود شود.
بعد از ایجاد فایروال ASA بر روی Edit کلیک کنید.
در تب General از قسمت Symbol بر روی Browse کلیک کنید و آیکون مربوط به ASA را از لیست اول انتخاب کنید و از قسمت Category هم گزینهی Secuirty Devices را انتخاب کنید.
در تب Network و در قسمت Asapters عدد ۶ را وارد کنید تا ۶ کارت شبکه برای این دستگاه در نظر گرفته شود، در قسمت First Port Name نام Management0/0 را وارد کنید که اولین پورت در ASA است، در قسمت Name format نام G0/{0} را وارد کنید تا ۵ پورت بعدی هم با نام گیگابایت اسم گذاری شوند.
تذکر: اگر این قسمت را به درستی تنظیم نکنید ASA به خوبی اجرا نخواهد شد.
در این قسمت بعد از ایجاد ASA از قسمت Security Devices آیکون ASA را کشیده و در صفحه رها کنید بر روی آن کلیک راست کنید و گزینهی Start را کلیک کنید تا فایروال ASA روشن شود، اگر بر روی آن دو بار کلیک کنید کنسول VNC باز خواهد شد.
همانطور که در شکل روبرو مشاهده میکنید فایروال ASA به صورت کامل اجرا شده.
تذکر: توجه داشته باشید در بعضی مواقع فایروال یک بار اجرا و بعد Restart میشود و دوباره شروع به بوت میکند که مشکلی خاصی نیست.
فعال کردن Telnet در ASA
برای اینکه دسترسی راحتتری به ASA داشته باشید بهتر است که قابلیت Telnet را برای آن فعال کنید تا بتوانید با نرمافزارهای دیگر مانند Putty یا SecurCRT آن را باز کنید، برای این کار ASA را از طریق کنسول VNC فعال کنید و دستورات زیر را اجرا کنید:
ciscoasa#conf t
ciscoasa(config)# cd coredumpinfo
ciscoasa(config)# copy coredump.cfg disk0:/use_ttyS0
بعد از دستور آخر دو بار بر روی Enter فشار دهید تا تنظیات اعمال شود، بعد از انجام تنظیمات بالا یک با رفایروال را خاموش و دوباره روشن کنید تا تنظیمات بر روی Telnet قرار گیرد بعد از این کار فایروال را خاموش کنید و بر روی آن کلیک راست کنید و گزینهی Configure را انتخاب کنید.
در این صفحه از قسمت Console type گزینهی Telnet را انتخاب و بر روی OK کلیک کنید و بعد از ان فایروال را روشن کنید، اگر کنسول آن را اجرا کنید با نرمافزار Telnet که در GNS3 تنظیم کردید باز خواهد شد.
همانطور که در شکل روبرو مشاهده میکنید فایروال روشن شده است؛ برای اینکه وارد مد Privilage شوید از دستور Enable یا اختصار en استفاده میکنیم که بعد از آن از شما رمز عبور جدید درخواست میشود که آن را وارد و با فشار Enter میتوانید وارد مد Privilage شوید، بعد از وارد شد به مد مورد نظر با دستور Show Interface IP brief میتوانید لیست Interfaceهایی که ایجاد کردید را مشاهده کنید.