6 min Lesezeit
Die hier beschriebene Methode umfasst nur die unbedingt benötigte Basiskonfiguration des Firewall-Clusters. Denn alle weiterführenden Konfigurationen von Policies, Firewall-Regeln erfolgen im Anschluss nur noch über die aktive Cluster-Unit. Für die Initialisierung eines Firewall-Clusters im Active/Standby Modus können die benötigten Schritte in die folgenden Kapitel gruppiert werden.
Überprüfung und Update der Firmware
- Über die Konsole sich mit der ASA verbinden und im Anschluß den Privileg-Level 15 aktiveren
- die aktuelle Version der Firmware- und Managementsoftware (ASDM) auslesen und überprüfen ob die installierten Versionen auf den beiden Firewalls (ASAs) identisch sind (show version)
- sollten die beiden Versionen nicht gleich sein, muss ein Update auf die gleiche Version erfolgen oder besser beider Firewalls werden auf die gerade aktuellste Firmware angehoben
- Zum Abschluss sollten alle nicht mehr benötigten Firmware-Versionen gelöscht werden. Über die CLI umgesetzt (delete flash:/asa“x.y.z“k8.bin - delete flash:/asdm-„x.y.z“.bin)
Basisinstallation der späteren Primary-Cluster-Unit
- um sicherzustellen, dass nicht noch alte Konfigurationsfragmente von früheren Tests vorhanden sind, setzte ich alle Einstellungen auf den Werkszustand zurück
conf t
configure factory-default
exit - Speichere die neue Konfiguration
write memory - Nach dem Speichern der Konfiguration führe ich einen Neustart durch. Jetzt muss ich mir keine Gedanken wegen alten Konfigurationszeilen mehr machen.
reload - Durch das Zurücksetzen auf den Werkszustand (Factory-Defaults) muss natürlich wieder eine Basis-Konfiguration hinterlegt werden. Die Basis Konfiguration muss zum Glück nur auf der späteren Primary-Cluster-Unit hinterlegt sein. Aus diesem Grunde sind die nachfolgenden Schritte nur notwendig für die Primary-Cluster-Unit. Wie die Slave-Unit konfiguriert beschreibe ich später. Beispielsweise soll kein DHCP-Service auf dem Management Interface aktiv sein. Ebenfalls soll der eigene DNS und ein abgestimmter Hostnamen genutzt werden. Ebenfalls soll das Management des Cluster via HTTP und SSH später möglich sein.
conf t
no dhcpd address 192.168.1.2-192.168.1.254 management
no dhcpd enable management
no http 192.168.1.0 255.255.255.0 management
hostname golem
domain-name je-ru.de
interface Management0/0
ip address 10.10.10.2 255.255.255.0 standby 10.10.10.3
no shut
http 10.10.10.0 255.255.255.0 management
exit - Da ich nicht möchte, dass alle meine Passwörter auslesen können, aktiviere ich die Passwortverschlüsselung. Denn jeder kennt die default Passwörter von Cisco also auch die noch schnell ausgetauscht.
conf t
password encryption aes
enable password „verdammt_streng-geheim“
password „streng-geheim“
exit - Bevor ich mich nicht mehr anmelden kann, noch schnell ein personalisiertes Konto für den Administrator anlegen.
conf t
username meiner password „mein-passwort“ privilege 15
exit - Da ich nicht die von Cisco mitgelieferten Zertifikate verwenden möchte muss ich diese natürlich löschen und neue erstellen. Um aber nicht gleich in die nächste Falle zu laufen, werde ich zuvor noch schnell die aktuelle Uhrzeit setzen.
conf t
clock set 14:31:00 20 April 2018
crypto key zeroize rsa
crypto key generate rsa label „golem“ modulus 2048
exit - Für den SSH-Zugang erlaube ich nur die Version 2 und setze den Timeout-Wert auf 5 Minuten bei Inaktivität, ebenfalls erlaube ich den File-Transfer mittels secure copy (scp).
conf t
ssh scopy enable
ssh timeout 5
ssh version 2
ssh 10.10.10.0 255.255.255.0 management
exit - Schon geht es weiter mit der Konfiguration der AAA-Parameter
Authentifizieren via lokaler Datenbank für ssh und http. Deaktivieren des Accounts nach 2 fehlerhaften Anmeldeversuchen. Aktivieren der Authentifizierung via TLS. Limitierung der möglichen Verbindungen von der gleichen Source-IP auf 3. Aktivieren der maximal erlaubten Zeit die eine Authentifizierung gespeichert werden darf von 1 Sekunde.
conf t
aaa authentication http console LOCAL
aaa authentication ssh console LOCAL
aaa local authentication attempts max-fail 2
aaa authentication secure-http-client
aaa proxy-limit 3
timeout uauth 0:0:1
exit - Nun brauch ich nur noch die Konfiguration der Primary-Cluster- und des Monitoring durchführen.
conf t
failover lan unit primary
interface GigabitEthernet0/3
no shutdown
failover lan interface SYNC GigabitEthernet0/3
failover interface ip SYNC 10.10.20.1 255.255.255.252 standby 10.10.20.2
failover key „sehr-lang“
failover link SYNC
monitor-interface WAN
monitor-interface DMZ
monitor-interface LAN
failover interface-policy 50%
end - Fast fertig schnell noch zum Abschluss die laufende Konfiguration der Authentication, Authorization und Accounting Parameter usw. abspeichern.
write memory
Basisinstallation der späteren Standby-Cluster-Unit
- Um sicherzustellen, dass nicht noch alle Konfigurationsfragmente von früheren Tests konfiguriert sind, setzte ich alle Einstellungen auf den Werkszustand zurück.
conf t
configure factory-default
exit - Speichere die neue Konfiguration
write memory - Nach dem Speichern der Konfiguration führe ich einen Neustart durch. Jetzt muss ich mir keine Gedanken wegen alten Konfigurationszeilen mehr machen.
reload - Durch das Zurücksetzen auf den Werkszustand (Factory-Defaults) muss natürlich wieder eine Basis-Konfiguration hinterlegt werden. Beispielsweise soll kein DHCP-Service auf dem Management Interface aktiv sein.
conf t
no dhcpd address 192.168.1.2-192.168.1.254 management
no dhcpd enable management
no http 192.168.1.0 255.255.255.0 management
exit - Da ich nicht die von Cisco mitgelieferten Zertifikate verwenden möchte muss ich diese natürlich löschen und neue erstellen. Um aber nicht gleich in die nächste Falle zu laufen, werde ich zuvor noch schnell die aktuelle Uhrzeit setzen.
conf t
clock set 14:31:00 20 April 2018
crypto key zeroize rsa
crypto key generate rsa label „golem“ modulus 2048
exit - Nun brauch ich nur noch die Konfiguration der Primary-Cluster- und des Monitoring durchführen.
conf t
failover lan unit secondary
interface GigabitEthernet0/3
no shutdown
failover lan interface SYNC GigabitEthernet0/3
failover interface ip SYNC 10.10.20.1 255.255.255.252 standby 10.10.20.2
failover key „sehr-lang“
failover link SYNC
monitor-interface WAN
monitor-interface DMZ
monitor-interface LAN
failover interface-policy 50%
end - Fast fertig zum Abschluss noch die laufende Konfiguration der Authentication, Authorization und Accounting Parameter usw. abspeichern.
write memory
Aktivieren der permanenten Synchronisation zwischen den Cluster-Units
- Zum Abschluss muss auf der Standby-Unit noch die permanente Synchronisation der Konfiguration aktiviert werden. Achtung: Eine Synchronisation von Zertifikaten zwischen den beiden Cluster-Units wird nicht durchgeführt.
conf t
failover
end