alle Blog Artikel
6 min Lesezeit

Die hier beschriebene Methode umfasst nur die unbedingt benötigte Basiskonfiguration des Firewall-Clusters. Denn alle weiterführenden Konfigurationen von Policies, Firewall-Regeln erfolgen im Anschluss nur noch über die aktive Cluster-Unit. Für die Initialisierung eines Firewall-Clusters im Active/Standby Modus können die  benötigten Schritte in die folgenden Kapitel gruppiert werden.

Überprüfung und Update der Firmware
  • Über die Konsole sich mit der ASA verbinden und im Anschluß den Privileg-Level 15 aktiveren
  • die aktuelle Version der Firmware- und Managementsoftware (ASDM) auslesen und überprüfen ob die installierten Versionen auf den beiden Firewalls (ASAs) identisch sind (show version)
  • sollten die beiden Versionen nicht gleich sein, muss ein Update auf die gleiche Version erfolgen oder besser beider Firewalls werden auf die gerade aktuellste Firmware angehoben
  • Zum Abschluss sollten alle nicht mehr benötigten Firmware-Versionen gelöscht werden. Über die CLI umgesetzt (delete flash:/asa“x.y.z“k8.bin - delete flash:/asdm-„x.y.z“.bin)
Basisinstallation der späteren Primary-Cluster-Unit
  • um sicherzustellen, dass nicht noch alte Konfigurationsfragmente von früheren Tests vorhanden sind, setzte ich alle Einstellungen auf den Werkszustand zurück
    conf t
    configure factory-default
    exit
  • Speichere die neue Konfiguration
    write memory
  • Nach dem Speichern der Konfiguration führe ich einen Neustart durch. Jetzt muss ich mir keine Gedanken wegen alten Konfigurationszeilen mehr machen.
    reload
  • Durch das Zurücksetzen auf den Werkszustand (Factory-Defaults) muss natürlich wieder eine Basis-Konfiguration hinterlegt werden. Die Basis Konfiguration muss zum Glück nur auf der späteren Primary-Cluster-Unit hinterlegt sein. Aus diesem Grunde sind die nachfolgenden Schritte nur notwendig für die Primary-Cluster-Unit. Wie die Slave-Unit konfiguriert beschreibe ich später. Beispielsweise soll kein DHCP-Service auf dem Management Interface aktiv sein. Ebenfalls soll der eigene DNS und ein abgestimmter Hostnamen genutzt werden. Ebenfalls soll das Management des Cluster via HTTP und SSH später möglich sein.
    conf t
    no dhcpd address 192.168.1.2-192.168.1.254 management
    no dhcpd enable management
    no http 192.168.1.0 255.255.255.0 management
    hostname golem
    domain-name je-ru.de
    interface Management0/0
    ip address 10.10.10.2 255.255.255.0 standby 10.10.10.3
    no shut
    http 10.10.10.0 255.255.255.0 management
    exit
  • Da ich nicht möchte, dass alle meine Passwörter auslesen können, aktiviere ich die Passwortverschlüsselung. Denn jeder kennt die default Passwörter von Cisco also auch die noch schnell ausgetauscht.
    conf t
    password encryption aes
    enable password „verdammt_streng-geheim“
    password „streng-geheim“
    exit
  • Bevor ich mich nicht mehr anmelden kann, noch schnell ein personalisiertes Konto für den Administrator anlegen.
    conf t
    username meiner password „mein-passwort“ privilege 15
    exit
  • Da ich nicht die von Cisco mitgelieferten Zertifikate verwenden möchte muss ich diese natürlich löschen und neue erstellen. Um aber nicht gleich in die nächste Falle zu laufen, werde ich zuvor noch schnell die aktuelle Uhrzeit setzen.
    conf t
    clock set 14:31:00 20 April 2018
    crypto key zeroize rsa
    crypto key generate rsa label „golem“ modulus 2048
    exit
  • Für den SSH-Zugang erlaube ich nur die Version 2 und setze  den Timeout-Wert auf 5 Minuten bei Inaktivität, ebenfalls erlaube ich den File-Transfer mittels secure copy (scp).
    conf t
    ssh scopy enable
    ssh timeout 5
    ssh version 2
    ssh 10.10.10.0 255.255.255.0 management
    exit
  • Schon geht es weiter mit der Konfiguration der AAA-Parameter Authentifizieren via lokaler Datenbank für ssh und http. Deaktivieren des Accounts nach 2 fehlerhaften Anmeldeversuchen. Aktivieren der Authentifizierung via TLS. Limitierung der möglichen Verbindungen von der gleichen Source-IP auf 3. Aktivieren der maximal erlaubten Zeit die eine Authentifizierung gespeichert werden darf von 1 Sekunde.
    conf t
    aaa authentication http console LOCAL
    aaa authentication ssh console LOCAL
    aaa local authentication attempts max-fail 2
    aaa authentication secure-http-client
    aaa proxy-limit 3
    timeout uauth 0:0:1
    exit
  • Nun brauch ich nur noch die Konfiguration der Primary-Cluster- und des Monitoring durchführen.
    conf t
    failover lan unit primary
    interface GigabitEthernet0/3
    no shutdown
    failover lan interface SYNC GigabitEthernet0/3
    failover interface ip SYNC 10.10.20.1 255.255.255.252 standby 10.10.20.2
    failover key „sehr-lang“
    failover link SYNC
    monitor-interface WAN
    monitor-interface DMZ
    monitor-interface LAN
    failover interface-policy 50%
    end
  • Fast fertig schnell noch zum Abschluss die laufende Konfiguration der Authentication, Authorization und Accounting Parameter usw. abspeichern.
    write memory
Basisinstallation der späteren Standby-Cluster-Unit
  • Um sicherzustellen, dass nicht noch alle Konfigurationsfragmente von früheren Tests konfiguriert sind, setzte ich alle Einstellungen auf den Werkszustand zurück.
    conf t
    configure factory-default
    exit
  • Speichere die neue Konfiguration
    write memory
  • Nach dem Speichern der Konfiguration führe ich einen Neustart durch. Jetzt muss ich mir keine Gedanken wegen alten Konfigurationszeilen mehr machen.
    reload
  • Durch das Zurücksetzen auf den Werkszustand (Factory-Defaults) muss natürlich wieder eine Basis-Konfiguration hinterlegt werden. Beispielsweise soll kein DHCP-Service auf dem Management Interface aktiv sein.
    conf t
    no dhcpd address 192.168.1.2-192.168.1.254 management
    no dhcpd enable management
    no http 192.168.1.0 255.255.255.0 management
    exit
  • Da ich nicht die von Cisco mitgelieferten Zertifikate verwenden möchte muss ich diese natürlich löschen und neue erstellen. Um aber nicht gleich in die nächste Falle zu laufen, werde ich zuvor noch schnell die aktuelle Uhrzeit setzen.
    conf t
    clock set 14:31:00 20 April 2018
    crypto key zeroize rsa
    crypto key generate rsa label „golem“ modulus 2048
    exit
  • Nun brauch ich nur noch die Konfiguration der Primary-Cluster- und des Monitoring durchführen.
    conf t
    failover lan unit secondary
    interface GigabitEthernet0/3
    no shutdown
    failover lan interface SYNC GigabitEthernet0/3
    failover interface ip SYNC 10.10.20.1 255.255.255.252 standby 10.10.20.2
    failover key „sehr-lang“
    failover link SYNC
    monitor-interface WAN
    monitor-interface DMZ
    monitor-interface LAN
    failover interface-policy 50%
    end
  • Fast fertig zum Abschluss noch die laufende Konfiguration der Authentication, Authorization und Accounting Parameter usw. abspeichern.
    write memory
Aktivieren der permanenten Synchronisation zwischen den Cluster-Units
  • Zum Abschluss muss auf der Standby-Unit noch die permanente Synchronisation der Konfiguration aktiviert werden. Achtung: Eine Synchronisation von Zertifikaten zwischen den beiden Cluster-Units wird nicht durchgeführt.
    conf t
    failover
    end


Suche
tags-stack
Kategorie
calendar-2
Zeitraum