Cisco Firewall - ASA FAQ

بسیار خوب ... بنده تمام 2 ماه گذشته رو صرف و سرگرم طراحی سناریوهای امنیتی بودم . خلاصه همان توهم امنیتی همیشگی ؛ تازه میان اون توهم ؛ مجبور به پاسخگویی به سئوالات Routing هم بودم . ولی خوشبختانه دارم می بینم که توی فیس بوک هم همه توهم امنیتی زدند . برای اینکه ماهم عقب نمانیم ؛ گفتیم به چند تا سئوالی که برام ایمیل شده بود جواب دهم :
.....
سئوال اول : در مورد ریفرنس های فایروال CCNP :

باید بگم که CCNP Security Firewall با کد 617-642 ارائه شده بود که پر از اغلاط تکنیکی و علمی بود . در نگارش بعدی ؛ کد آن به 618-642 تغییر کرد که در آن غیر از اصلاح موارد مذکور ؛ بعضی از مسائل علمی جدید اضافه شد . مانند ارائه کانفیگ های NAT در ورژن های ASAی 8.2 و 8.3 به بعد ... همینطور مبحث Etherchannel و غیره ... در مورد VPN هم تغییر کد به صورت 642-648 انجام شده است . خلاصه حواستون باشه . سایت سیسکو همه ی این موارد رو توضیح داده است . حتما برید یه سری بزنید .
.....
سئوال دوم : در مورد ساخت ID سیسکو در سایت سیسکو :

باید عرض کنم که جواب مثبت است . همه می توانند در سایت سیسکو آی-دی بسازند . لطفا از V...P...N استفاده کنید .
.....
سئوال سوم : در مورد DNS Doctoring در ASA :

باید بگم که این امکان علمی عالی در ASA وجود دارد و معنی آن اینست که هنگامی که از وجود سرورهای DNS در شبکه مان بهره مند هستیم با استفاده از آن ، مقصدها از محیط اینترنت هنگام اتصال به آی پی های VALID آن سایت ؛ آدرس مربوطه را به آدرس داخلی و حقیقیه آن تبدیل می کنند . پس در اصل بوسیله ی آن به ASA می گوییم که ترافیک های DNS را نگاه کند و ادامه داستان .
.....
سئوال چهارم : در خصوص ماژولار پالیسی فریم ورک و ACL :

در مورد انتخاب IP ؛ بعد و قبل از اعمال ACL به اینترفیس ها ... باید عرض کنم که اگر ACL را هنگام ورود اعمال کنیم ؛ ACL ، آی پی قبل از NAT را عملیاتی می کند و اگر در موقع خروج اعمال شود ، ACL ، آی پی بعد از NAT را عملیاتی می کند . فقط اینو اضافه کنم که در IOS 8.3 به بعد ؛ همیشه Real IP ی سرور را قبول می کند و اینترفیس خروجی و یا ورودی فرقی در دستور و اعمال آن ندارد .

سئوال پنجم : در خصوص ASA و اینکه کجاها نباید NAT پیاده سازی شود ؟

در 3 جا نباید NAT پیاده سازی شود :

اول ) در جاهایی که کل ترافیک ؛ بصورت End to End ، رمز شده یا Encrypted هست . چون دستگاه NAT کننده نمی تواند آنرا NAT کند .

دوم ) در جایی که در ترافیک ها ؛ کل پاکت ها ، Authenticate می شود . مانند BGP که در برقراری ارتباط بصورت دوطرفه ، هر دو سمت ، بوسیله ی Hash پاکت ها ، همدیگر را Authenticate می کنند . حالا اگه توی مسیر NAT انجام بشه و آدرس ها Translate بشوند ، Authentication سمت مقابل به درستی انجام نمیشه و اتصال BGP آپ نخواهد شد .

سوم ) در جایی که IP ی مبدا و مقصد ، در لایه ی App ذخیره شود . مانند ترافیک های FTP . چرا که هنگامی که Reply از FTP بر می گردد ؛ در اصل به آی پی یی که در Header لایه ی App هست ، Reply داده می شود و نه Header آی پی . پس چون IP InValid از اینترنت به درستی دیده نمی شود ؛ ارتباط به درستی بر قرار نخواهد شد .
.....
سئوال ششم ) در خصوص راه حل مربوط به سئوال پنجم :

برای هر 3 مورد بهتر است از راه حل NAT Exemption استفاده کنیم و یا بوسیله ی Application NAT ؛ به NAT بگوییم که غیر از هدر IP ، هدر لایه ی App ؛ یا به اصطلاح هر دوی آنها را Translate کند . فقط حواستون باشه که چون ASA به اصطلاح Application Ever NAT است ، App را درک می کند و NAT را هم درک می کند . پس به راحتی سرور FTP از داخل و بیرون شبکه مان دیده می شود . ولی اگر بجای ASA از Router استفاده کنیم ، ارتباط FTP برقرار نمی شود .
.....
سئوال هفتم ) در مورد Outside NAT هست . که خواستند بگم یعنی چی ؟

جوابش که خیلی راحته . یعنی اگر از سمت LAN1 با آدرس X بخواهیم به مثلا LAN2 با همان آدرس X ؛ که مابین آنها یک اتصال WAN هست ، متصل شویم ، این NAT را Outside می گویند . یعنی برقراری ارتباط ما بین 2 شعبه با Range آدرس یکسان که باید دوطرفه هم باشد . همین .

..................

خوب دوستان . نیم دو جین سئوال دیگه هم برام رسیده و ایمیل شده که یک کم حالم بهتر بشه و حس اش بیاد براتون کاور می کنم . فدای همتون . یا حق