Schlagwort-Archive: DMZ

Mit einer Cisco ASA 5505 mit Basic Lizenz eine DMZ aufbauen

DMZ in Cisco ASA 5505

Die Cisco ASA 5505 Firewall ist ja ein super tolles Gerät mit dem man allerlei Sachen anstellen kann. Leider gibt es für die kleine ASA aber zwei unterschiedliche Lizenzen, einmal die Basic Lizenz und einmal die Security Plus Lizenz. Die Preisdifferenz macht dann zwischen den beiden Lizenzen Modellen ca. 400 € aus, die man eventuell sparen kann.

Mit der Basic Lizenz kann man zwar theoretisch 3 Vlans anlegen, leider ist das dritte Vlan aber kein vollwertiges Vlan. Somit ist es fast unmöglich eine DMZ aufzubauen, da das dritte Vlan nur zu einem der beiden anderen Vlans eine Verbindung aufbauen kann. Wenn man nun doch eine DMZ benötigt, dann muss man sich im Vorfeld darüber Gedanken machen ob Geräte in der DMZ mit dem Inside oder dem Outside Vlan Verbindungen aufbauen müssen. Beides gleichzeitig geht nicht. Hosts die von Inside oder Outside  eine Verbindung zur DMZ aufbauen wollen funktionieren dagegen einwandfrei.

Cisco ASA 5505 mit DMZ Hier einmal die Konfiguration für das Inside und Outside Vlan:

!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 192.168.2.1 255.255.255.0
!

Und nun das Vlan 3 für die DMZ:

!
interface Vlan3
description DMZ
no forward interface Vlan2
nameif DMZ
security-level 50
ip address 172.16.1.1 255.255.255.0
!

Besonderheit der Konfiguration

Beim Anlegen der DMZ per ASDM wird ein Fehler gemeldet, da der ASDM erst den nameif DMZ Eintrag erstellt und dann den no forward interface Vlan2 Eintrag. Mit der Basic Lizenz muss die Reihenfolge genau umgedreht sein, so wie im Beispiel. Die ASA setzt hier mit der Lizenz Prüfung an und meldet den Fehler

ciscoasa(config)# int vlan 3
ciscoasa(config-if)#  description DMZ
ciscoasa(config-if)#  nameif DMZ
ERROR: This license does not allow configuring more than 2 interfaces with nameif and without a "no forward" command on this interface or on 1 interface(s) with nameif already configured.
ciscoasa(config-if)#  no forward interface Vlan2
ciscoasa(config-if)#  nameif DMZ
INFO: Security level for "DMZ" set to 0 by default.
ciscoasa(config-if)#  security-level 50
ciscoasa(config-if)#  ip address 172.16.1.1 255.255.255.0

falls die Einträge in der falschen Reihenfolge eingegeben werden.

Entscheidend ist also der Eintrag no forward interface VlanX mit dem ich vorher bestimmen muss zu welchem Interface ich aus der DMZ keine Verbindung aufbauen möchte. Wer einen Web-Server betreiben will, der wählt das Outside Interface zum Sperren aus, da dort die Verbindungen immer vom Kunden aufgebaut werden, also von Außen. Gleichzeitig muss der Web-Server aber Logfiles oder Syslog-Meldungen an das Interne Interface weiter leiteten, um sie dort auf einem sicheren Server zu speichern.