Scribd Logo
Upload

Welcome to Scribd!

  • Lab 09 - 2019

    Uploaded by

    Lê Hoàng Quân
    14 views6 pages

    Original Title

    LAB 09_2019

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    14 views6 pages

    Lab 09 - 2019

    Uploaded by

    Lê Hoàng Quân

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 6

    Thực hành an ninh mạng 2019

    LAB 09
    Configure ASA basic by CLI

    Giới thiệu bài Lab


    Bài lab mô tả network của một công ty có kết nối internet qua một ISP, trên sơ đồ
    R1 đại diện cho CPE được quản lý bởi ISP. R3 là remote router được quản lý bởi một
    công ty outsource quản lý hạ tầng network cho công ty từ xa. Thiết bị ASA được xem
    như là thiết bị biên kết nối network công ty với internet có 3 interface VLAN layer 3, kết
    nối tới 3 vùng Inside, Outside và DMZ. ISP cung cấp range IP Public
    209.165.200.224/29 cho công ty.

    Các router đã được cấu hình địa chỉ, password và định tuyến:

     Console password R2: ciscoconpa55


     Enable password R2: ciscoenpa55
    Thực hành an ninh mạng 2019

     VTY password R2: ciscovtypa55


     Static routing
     Dịch vụ syslog trên PC-B
     IP default gateway trên các switch
     Hostname trên các thiết bị
     Địa chỉ IP trên các thiết bị

    Yêu cầu thực hành


     Cấu hình cơ bản ASA, interface security level bằng CLI
     Cấu hình routing, NAT và policy bằng CLI
     Cấu hình DHCP, AAA, SSH cho ASA
     Cấu hình DMZ, Static NAT và ACL

    Task 1: Kiểm tra kết nối và ASA


    Bước 1: Kiểm tra kết nối (đứng từ PC-C có thể ping đến bất kì interface router ngoại trừ
    ASA do chưa được cấu hình)

    Bước 2: Kiểm tra version ASA


    Thực hành an ninh mạng 2019
    Sử dụng lệnh show version

    Bước 2: Kiểm tra file hệ thống

    Chuyển sang mode privileged EXEC

    Sử dụng lệnh show system

    Sử dụng lệnh show flash:

    Task 2: Cấu hình bảo mật ASA và interface


    Bước 1: Cấu hình hostname và domain-name
    ASA(config)# hostname CCNAS-ASA

    CCNAS-ASA (config)# domain-name ccnasecurity.com

    Bước 2: Cấu hình enable password


    CCNAS-ASA (config)#enable password ciscoenpa55

    Bước 3: Thiết lập thời gian


    CCNAS-ASA (config)# clock set 13:52:51 June 10 2019

    Bước 4: Cấu hình inside và outside interface trên ASA

    interface vlan 2

    nameif outside

    ip address 209.165.200.226 255.255.255.248

    security-level 0

    Sử dụng lệnh show interface ip brief, show ip address, show switch vlan

    Bước 5: Kiểm tra kết nối từ ASA có thể ping tới PC-B
    Thực hành an ninh mạng 2019

    Task 3: Cấu hình routing, NAT Policy trên ASA


    Bước 1: Cấu hình default route trên ASA
    CCNAS-ASA(config)# route outside 0.0.0.0 0.0.0.0 209.165.200.225

    Kiểm tra kết nối từ ASA đến 10.1.1.1 Interface S0/0/0 của R1

    Bước 2: Cấu hình NAT trên ASA

    Tạo object network đặt tên là inside-net, khai báo subnet của interface inside, bật nat từ
    inside ra outside.

    Kiểm tra kết nối từ PC-B đến 209.165.200.225 Interface Fa0/0 của R1, ping không thành
    công, do gói icmp trả về bị block tại interface outside của ASA

    Bước 3: Hiệu chỉnh default MPF inspection để tạo policy kiểm tra kết nối từ inside ra
    outside và cho phép traffic trả về

    Kiểm tra kết nối từ PC-B đến 209.165.200.225 Interface Fa0/0 của R1 lại lần nữa.

    Task 4: Cấu hình DHCP, AAA và SSH


    Bước 1: Tạo pool ip range từ 192.168.1.5 đến 192.168.1.36 trên interface inside của ASA
    CCNAS-ASA(config)# dhcpd address 192.168.1.5-192.168.1.36 inside
    Thực hành an ninh mạng 2019
    Cấu hình DNS Server cho pool
    CCNAS-ASA(config)# dhcpd dns 209.165.201.2 interface inside

    Bật DHCP trên interface inside


    CCNAS-ASA(config)# dhcpd enable inside

    Chuyển cấu hình IP trên PC-B sang DHCP để nhận lại ip

    Bước 2: Cấu hình AAA cho phép xác thực user bằng account local
    CCNAS-ASA(config)# username admin password adminpa55

    CCNAS-ASA(config)# aaa authentication ssh console LOCAL

    CCNAS-ASA(config)# crypto key generate rsa modulus 1024

    Chọn no

    Kiểm tra lại kết quả, đứng từ PC-C và PC-B ssh đến ASA sử dụng địa chỉ interface tương
    ứng
    PC-C> ssh -l admin 209.165.200.226

    PC-B> ssh -l admin 192.168.1.1

    Task 5: Cấu hình DMZ, static NAT và ACL


    Bước 1: Tạo interface DMZ trên router, default interface dmz sẽ có security level là 0,
    phải thay đổi security level sang 70.
    interface vlan 3
    ip address 192.168.2.1 255.255.255.0
    no forward interface vlan 1
    nameif dmz
    security-level 70
    interface Ethernet0/2
    switchport access vlan 3
    Thực hành an ninh mạng 2019
    Bước 2: Cấu hình Static NAT để chuyển đổi IP interface DMZ sang IP public

    Bước 3: Cấu hình ACL để permit traffic từ outside đi vào router, sử dụng địa chỉ IP local
    address của server làm destination host.

    Bước 4: Kiểm tra lại kết nối từ bên ngoài, đứng từ PC-C ping đến địa chỉ IP public của
    Server 209.165.200.227

    You might also like