Umstieg von PIX auf ASA für KMUs

Unterschiede zweier Firewallgenerationen von Cisco

Präsentation unter: http://www.coufal.info/presentations/pix2asa.html

Klaus Coufal

13.3.2012

Übersicht

• Ziel
• Einführung
• Szenario
• Ausgangspunkt
• Wesentliche Unterschiede zwischen PIX und ASA
• Schlußfolgerungen
• Praktisches Beispiel

Ziel

• Die Unterschiede zwischen PIX und ASA für KMUs darzustellen
• Welche Vorteile bietet der Umstieg
• Welche Nachteile sind zu erwarten
• Tipps für den Umstieg
• Überraschungen nach dem Umstieg vermeiden
• Live-Demonstration

Einführung

• Warum diese Thematik?
• Warum in diesem Rahmen?
• Beschränkung auf KMUs
• Die Grundlagen gelten aber für alle Größen
• Kenntnisse zu Cisco IOS und Firewalltechniken werden
  vorausgesetzt, sind aber für das Verständnis des
  Vortrages nicht wesentlich

Szenario

Ausgangspunkt

• Das dargestellte Szenario ist derzeit mit einer PIX 501 realisiert
• Die PIX 501 ist von Cisco mit End-Of-Live klassifiziert
• Support und Ersatzteile (Netzteil) problematisch
• Entscheidung über Alternativen
• Umstieg auf eine ASA 5505
• Neuanschaffung oder Trade-In?
• Umstellung durch "Umstecken"!
• Sind alle Funktionen von vorher gewährleistet?

Unterschiede PIX501 ASA5505

• Physische Daten
• Netzteile
• Stromverbrauch
• Konfigurationsunterschiede
• Was kann die ASA weniger
• Neue Funktionen

Physische Daten

	Abbildung
	Höhe	2,54 cm	4,45 cm
	Breite	16,2 cm	20 cm
	Tiefe	14 cm	17,45 cm
	Masse    (inkl. Netzteil,    exkl. Netzkabel)	0,9 kg	1,5 kg

Netzteil/Stromverbrauch

		Pix 501	ASA 5505
	Eingangsanschluß	IEC 60320-1 C14 Kaltgerätestecker	IEC 60320-1 C6 "Mickymaus-Stecker"
	Stecker zur FW	Hohlstecker (5,5x2,5)
	Spannung	3,3 V=	48 V=
	Stromstärke max.	4,5 A	2,08A
	Stromverbrauch Betrieb	~5 W	~20 W
	Stromverbrauch Max.	~15 W	~96 W

Konfigurationsunterschiede

• Schnittstellen
• Protokollspezifika
• Schlüsselverwaltung
• VPN-Tunnelkonfiguration

Schnittstellen - PIX

• Mode festlegen und aktivieren/deaktivieren
  interface ethernet<nr> <mode> [shutdown]
• Namen und Sicherheitsstufe vergeben
  nameif ethernet<nr> <name> <perimeter>
• IP-Adresse zuordnen
  ip address <name> <ip> <maske>
  oder
  ip address <name> dhcp [setroute]

Schnittstellen - ASA

• Schnittstelle auswählen
  interface <InterfaceID>
• Name und Sicherheitsstufe vergeben
      nameif <name>
     security-level <perimeter>
• IP-Adresse zuordnen
      ip address <name> <ip> <maske>
  oder
      ip address <name> dhcp [setroute]

Protokollspezifika - PIX

• Um auf gewisse Spezifika einzelner Protokolle eingehen zu können
• PIX-Kommando: fixup protocol
• z.B.:
  fixup protocol pptp 1723
  oder
  fixup protocol smtp 25
  oder
  fixup protocol ftp 21

Protokollspezifika - ASA

• ASA Kommando: service-policy
• und Festlegen einer Policy mit dem Kommando: policy-map
• z.B.:
  class-map inspection_default
    match default-inspection-traffic
 policy-map global_policy
    class inspection_default
       inspect pptp
       inspect smtp
       inspect ftp
 service-policy global_policy global
• Eingabe mittels "fixup protocol" wird aber umgewandelt

Schlüsselverwaltung - PIX

• Schlüssel generieren
  ca generate rsa key <keylength>
• Schlüssel ansehen
  show ca mypubkey rsa
• Schlüssel speichern
  ca save all
• Schlüssel löschen
  ca zeroize all

Schlüsselverwaltung - ASA

• Schlüssel generieren
  crypto key generate rsa modulus <keylength>
• Schlüssel ansehen
  show crypto key mypubkey rsa
• Schlüssel speichern
  copy running-config startup-config
• Schlüssel löschen
  crypto key zeroize rsa

VPN-Tunnel

• Gleich bleibt die ACL für die betroffenen Pakete
• Der Befehl "sysopt connection permit-ipsec" wird zu
  "sysopt connection permit-vpn" und zur Defaulteinstellung
• Die "isakmp policy"-Befehle werden zu einem
  "crypto isakmp policy" mit Subbefehlen
• Die "map"-Befehle werden zu "crypto map"-Befehlen
• Der neue Befehl "tunnel-group" übernimmt den PSK

VPN-Tunnel Beispiel Teil1 PIX

• access-list vpn permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
• sysopt connection permit-ipsec
• isakmp policy 10 authen pre-share
• isakmp policy 10 encrypt 3des
• isakmp policy 10 hash md5
• isakmp policy 10 group 2
• isakmp key test address 192.168.0.2
• isakmp enable outside

VPN-Tunnel Beispiel Teil2 PIX

• ipsec transform-set filiale esp-3des esp-md5-hmac
• map filialmap 10 ipsec-isakmp
• map filialmap 10 match address vpn
• map filialmap 10 set peer 192.168.0.2
• map filialmap 10 set transform-set filiale
• map filialmap interface outside
• nat (inside) 0 access-list vpn

VPN-Tunnel Beispiel Teil1 ASA

• access-list 100 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
• sysopt connection permit-vpn
• crypto ipsec transform-set filial esp-3des esp-md5-hmac
• crypto map filialmap 30 match address 100
• crypto map filialmap 30 set peer 192.168.0.2
• crypto map filialmap 30 set transform-set filial
• crypto map filialmap interface outside

VPN-Tunnel Beispiel Teil2 ASA

• crypto isakmp enable outside
• crypto isakmp policy 10
      authentication pre-share
      encryption 3des
      hash md5
      group 2
• tunnel-group 192.168.0.2 type ipsec-l2l
• tunnel-group 192.168.0.2 ipsec-attributes
      pre-shared-key test
• nat (inside) 0 access-list 100

Was kann die ASA weniger

• Der "static"-Befehl funktioniert nur mehr in Richtung
  vom höherem Perimeterwert zum niedrigerem Perimeterwert
• Laut Dokumentation sollte das anders sein,
  laut Hilfe soll das so sein
• Beispiel:
  static (extern,inside) udp 192.168.13.254 domain 195.58.160.194 domain netmask 255.255.255.255
• Durch obigen Befehl sind die Nameserver nicht mehr erreichbar!
• Lösungsmöglichkeit für obiges Beispiel
  alias (inside) 192.168.13.254 208.67.222.222 255.255.255.255

Neue Funktionen 1

• Erweiterungsslot (z.B.: IPS-Möglichkeit)
• Konfiguration für CCNA-Kundige leichter
• 2 ACLs pro Schnittstelle (neu: auch "out")
• DMZ bzw. mehrere Zonen je nach Lizenz
• Hilfe auch für Subebenen
• Traceroute
• Telnetclient

Neue Funktionen 2

• DHCP Verbesserungen
• -Support und neue Befehle (analog IOS)
• Verkehr zwischen zwei Schnittstellen mit gleichem Perimeterwert ist möglich
  same-security-traffic permit inter-interface
• Pakete, die von einer Schnittstelle empfangen werden, können auf dieser auch versendet werden
  same-security-traffic permit intra-interface
• SSH Version 2 Unterstützung
• call-home

Mehrere Zonen

• 10-Benutzer- und 50-Benutzer-Versionen unterstützen 2½ Zonen
• "outside", "inside" und eine dritte Zone, die mit einer(!) der anderen kommunizieren kann
• ASA mit "Unlimited/Security Plus License" kann so viele Zonen, wie VLANs unterstützt werden
• ASA 5505 unterstützt 20 VLANs, davon 8 auf der ASA selbst
• Damit kann z.B.: das VoIP-Netz völlig vom Datennetz getrennt werden

DHCP-Verbesserungen

• DHCP-Support nicht nur für die inside-Schnittstelle
• Beispiel:
     dhcpd address 192.168.1.11-192.168.1.99 inside
    dhcpd enable inside
    dhcpd address 192.168.2.11-192.168.1.20 telco
    dhcpd enable telco
• Möglichkeit ein anderes Default-Gateway vorzugeben
• Beispiel:
      dhcpd option 3 ip 192.168.1.254

Neue Befehle

• Viele wurden schon vorgestellt
• -Support zur Befehlsvervollständigung
• Konfigurationssupport
      copy running-config startup-config
     copy running-config tftp:
     copy running-config smb:
     ...
• MAC-Adresse an der Schnittstelle einstellbar
      mac-address 000f.1234.4567
• ...

call-home

• Beim ersten Aufruf von "config terminal" erscheint die Frage, welche "call-home"-Einstellung gewünscht wird
• Sämtliche "call-home"-Einstellungen sind bereits vorkonfiguriert
• z.B.:
     destination address http https://tools.cisco.com/...
    destination address email callhome@cisco.com
    destination transport-method http
    subscribe-to-alert-group telemetry periodic daily
• Abhilfe:
     clear config call-home
    no call-home reporting anonymous

Keine Änderungen

• Der Aufbau der ACLs bleibt erhalten
• NAT/PAT-Support und die Befehle dazu
• ntp/Zeit-Konfiguration
• name-Support
• Verwendung von object-group
• Remotemanagement
• ...

Schlußfolgerungen

• Die Ablöse der PIX sollte unbedingt geplant werden (EOL)
• Der Stromverbrauch der ASA ist deutlich höher
• Für den Administrator ist die ASA eine Erleichterung (ähnlich IOS)
• Einige der neuen Funktionen sind auch für KMUs interessant
• Die Umstellung ist einfach durchzuführen
• Die damit verbundenen Herausforderungen sind mit wenig Aufwand zu meistern
• Empfehlung: Umstellung sinnvoll!

Quellen

• Cisco PIX Command References
• Cisco ASA Documentation Overview
• S5: A Simple Standards-Based Slide Show System
• Mein Informationsportal (www.coufal.info)

Fragen

?

Danke für Ihre Aufmerksamkeit