Virtuální firewall Cisco ASA1000V Daniel Gryžbon / GRY143, Jan Pytela / PYT0004
Abstrakt: Cílem práce bylo ukázat teoretické a základy praktického využití virtuálního firewallu Cisco ASA 1000V. Dokument poskytuje informace o virtuálním firewallu a vše potřebné k jeho nasazení na virtuálním switchi Cisco Nexus 1000V. Klíčová slova: Cisco ASA 1000V, firewall, virtuální, Cisco Nexus 1000V, switch, VEM, VSM, Hyper-V, VMware, ASDM, VNMC 1 Úvod.............................................................................................................................2 1.1 Nexus 1000v přepínač...........................................................................................2 1.2 VSG a ASA 1000v................................................................................................4 2 Nasazení........................................................................................................................6 2.1 Nasazení na produktu VMware.............................................................................6 2.1.1 Logická topologie..........................................................................................7 2.1.2 Doporučená konfigurace strojů a sítě............................................................7 2.2 Instalace ASA 1000V..........................................................................................18 2.3 ASDM a VNMC.................................................................................................19 2.3.1 Nastavení ASDM........................................................................................20 2.3.2 Asociace bezpečnostního profilu s port profilem........................................23 2.3.3 Rulebase......................................................................................................24 2.4 Nasazení na produktu MS Hyper-V....................................................................26 2.5 ASA 1000V – instalace a konfigurace ...............................................................28 2.5.1 Instalace.......................................................................................................28 2.5.2 Konfigurace rozhraní..................................................................................28 2.5.3 Bezpečnostní profil.....................................................................................29 2.6 Management........................................................................................................30 2.6.1 VNMC s ASDM..........................................................................................31 2.6.2 Konfigurace SSH........................................................................................31 3 Závěr...........................................................................................................................32 4 Zdroje..........................................................................................................................33
leden 2014
1/33
1 Úvod Cisco ASA1000V je virtuální firewall, který se nasazuje na virtuální cloudová řešení, aby se zabezpečila komunikace na rozhraní fyzické a virtuální síti. K zabezpečení virtuální sítě od společnosti Cisco poslouží produkty ASA1000V a také VSG (Virtual security gateway). Oba produkty slouží jako nadstavba nad virtuální přepínač Nexus 1000V a oba dva se vzájemně doplňují v činnosti.
1.1 Nexus 1000v přepínač Nexus 1000V se dodává s dvěma licencemi a to jako Essential edition nebo Advanced edition s 60-denní trial licencí, kterou je pak po vypršení nutné zakoupit (licence registrována pro 1 CPU). Essential licence tedy dle tabulky funguje jako neomezený plně konfigurovatelný přepínač, kterému akorát chybí bezpečnostní mechanizmy na 2. vrstvě OSI modelu a integrovaný VSG firewall. VSG firewall bude dodáván v budoucnosti pouze s licencí Advanced edition a nebude moci se koupit zvlášť a rozšířit tak funkcionalitu Nexus přepínače 1000V.
Features
Essential Edition
Advanced Edition
Layer 2 switching: VLANs, private VLANs, VXLAN, loop prevention, multicast, virtual PortChannels, LACP, ACLs
Yes
Yes
Network management: SPAN, ERSPAN, NetFlow 9, vTracker, vCenter Server plug-in
Yes
Yes
Enhanced QoS features
Yes
Yes
Cisco vPath
Yes
Yes
Security: DHCP Snooping, IP Source Guard, Dynamic ARP Inspection, Cisco TrustSec SGA support
No
Yes
Cisco Virtual Security Gateway
Supported
Included
Other virtual services (Cisco ASA Available separately 1000V, Cisco vWAAS, etc.)
Available separately
Tabulka č. 1 Rozdíly mezi licencemi u přepínače Nexus 1000V
leden 2014
2/33
Nexus 1000V přepínač lze tedy umístit na dnes rozšířené Hypervizory (Hypervizor řídí činnost virtualizované části na serveru) VMware ESX, Microsoft Hyper-V, Linux Kernel-Based Virtual Machine (KVM) a Citrix Xen. Nahrazuje tak nativní přepínače těchto virtualizačních programů (VMware Virtual Distributed Switch (vDS), Microsoft Hyper-V switch a Open vSwitch (OVS). Může být nainstalován na virtuální stroj či na fyzický Nexus 1100 přepínač. Nexus 1000V se skládá ze dvou částí. První částí softwarového přepínače je tzv. Virtual Ethernet Module (VEM). Tento software poskytuje vlastní síťové služby pro každý VM uvnitř serveru. Druhou částí přepínače je tzv., Virtual Supervisor Module (VSM), software řídící všechny individuální moduly VEM. Jak napovídá jeho jméno, můžeme si jej představit jako supervisor modul. Konfigurace je prováděna pomocí Virtual Supervisor Module a automaticky propagována k modulům VEM. Místo konfigurace softwarových přepínačů uvnitř hypervisoru pro každý hostitelský systém samostatně, lze definovat okamžité změny konfigurace všech modulů VEM, které jsou spravovány pomocí Virtual Supervisor Module. Každý virtuální stroj je připojen k virtuálnímu přepínači a ten je svázán s fyzickou síťovou kartou. Cloudová řešení ale používají složitější topologii s více přepínači a NIC kartami pro zaručení teemingu, záložních cest, atd.
Obrázek č. 1 Funkce virtuální přepínače [6]
leden 2014
3/33
1.2 VSG a ASA 1000v Rozdíl mezi firewallem VSG a ASA 1000V je hlavně odkud-co chceme zabezpečit. VSG je zónový firewall a zabezpečuje komunikaci napříč virtuálními instancemi (virtuálními stroji v různých zónách). ASA 1000V naopak pracuje jako běžně známý softwarový či hardwarový firewall a zabezpečuje komunikaci zvenčí fyzické sítě. Cisco ASA 1000V Cloud Firewall Secures the tenant edge
Cisco Virtual Security Gateway Secures intra-tenant (inter-VM) traffic
Default gateway (All packets pass through the Cisco VSG offloads traffic to the vPath offering ASA 1000V) performance acceleration; only the first packet goes through the VSG Layer 3 firewall (for north-to-south traffic)
Layer 2 firewall (for east-to-west traffic)
Edge firewall features and capabilities including Network attribute and VM-attribute based policies network-attribute-based access control lists (ACLs), site-to-site VPN, Network Address Translation (NAT), Dynamic Host Configuration Protocol (DHCP), stateful inspections, IP audit, TCP intercept, authentication, authorization, and accounting (AAA)
Tabulka č. 2 Rozdíly mezi VSG a ASA 1000V VSG tedy, jak je na obrázku č. 2, zabezpečuje komunikaci mezi virtuálními stroji na základě síťových atributů a atributů virtuálních strojů (hostname, IP adresy, zóna, port, atd.). Virtuální stroje se přidávají do zón, tyto zóny jsou nezávislé na nastaveném VLAN. Zdržení je minimální, jelikož se kontroluje jen první paket.
Obrázek č. 2 Zapezpečení uvnitř VSG [6] Cisco ASA 1000v slouží jako výchozí brána do fyzické sítě s funkcemi ACL, site-to-site VPN, NAT, DHCP a auditem. Pro funkčnost musejí být vymezené 4 rozhranní, jeden pro řízení, dvě čistě pro síťový provoz a jeden pro HA (High availability) konfiguraci Failoveru, sloužící pro souběžný provoz dvou ASA 1000v firewallů, kdy jeden pracuje v aktivním módu a druhý v pasivním módu a kontroluje tak status aktivního souseda. V případě nedostupnosti dokáže během velmi krátkého výpadku převést veškerou komunikaci na sebe a zastoupí plně jeho činnost. leden 2014
4/33
Obrázek č. 3 Požadavky na virtuální stroj [5]
Na obrázku č. 4 můžeme zhlédnout celkovou spolupráci těch tři produktů, pokud se naráz nasadí v produkci. Veškerý provoz z vnější sítě jde nejprve na ASA firewall, kde je paket buď vpuštěn či zahozen, poté dojde na Cisco 1000v přepínač a nakonec zasahuje jako poslední VSG.
Obrázek č. 4 Činnost přepínače Nexus 1000v, VSG a ASA 1000v firewallů [6] leden 2014
5/33
2 Nasazení Cisco Nexus 1000V se může tedy nasadit na produkt VMware či Hyper-V. Co se týče nadstavby ASA 1000V, tak je zde zatím problém v nedostupnosti API rozhranní pro nasazení ASA1000V firewallu, který ale v nejbližší době jistě bude už minulostí, jelikož produkt Microsoftu chce co nejvíce rozšířit portfolio a funkčnost svých produktů. ASA 1000V se stahuje ze stránek CISCO, kde je nutné mít založený účet User ID. Cisco ASA 1000V je nutné mít s licencí, kterou dodá Cisco a je nutné instalovat na přepínač Nexus 1000V. Licence pro Virtual Service Modul (VSM) kontroluje počet CPU soketů na každém Virtual Ethernet Module (VEM) používaný pro ASA 1000V. Pokud licence nebude platná, pak není dovolený provoz napříč ASA 1000V a nastanou dva stavy na základě, odkud paket pochází: 1
Provoz ze zóny Inside (vnitřní síť) do Outside (vnější síť) nikdy nedosáhne ASA 1000V firewallu, je zablokován ještě na přepínači Nexus 1000V.
2
Provoz ze zóny Outside do Inside ASA povolí první paket, ale modul vPatch na přepínači Nexus 1000V zahodí paket a ASA tak zruší další pakety související s tímto provozem.
K administraci firewallu můžeme využít tyto možnosti: · ASDM (Adaptive Security Device Manager) s (CLI) · VNMC (Cisco Virtual Network Management Center)
2.1 Nasazení na produktu VMware K nasazení ASA1000V v domácím prostředí je nutná tato infrastruktura: • • • • • • • • •
VMware ESX host 5.5 VMware workstation 10.0.1 VMware Virtual network management center (VNMC) 2.1.1a VMware vCenter server appliance 5.5 VMware vSphere Update Manager 5.5 Cisco Nexus1000v Cisco CSR1000v Cisco ASA1000v 3 PC (2 virtuální)
• • • • • • • • • •
VMware ESX host 5.5 VMware workstation 10.0.1 VMware Virtual network management center (VNMC) 2.1.1a VMware vCenter server appliance 5.5 VMware VMware vSphere Update Manager 5.5 VMware vSphere Client VMware Web client, Single Sign-on, Inventory servic Microsof Server 2008 R2 Microsoft Server 2012 2 uživatelské OS
Software:
leden 2014
6/33
2.1.1 Logická topologie
Obrázek č. 5 Logická topologie
2.1.2 Doporučená konfigurace strojů a sítě Stroj
Ram
ESX
13,7 GB
vCenter
8192 MB
VUM
1024 MB
VNMC
1024 MB
CSR 1000V
2048 MB
Nexus 1000v
3072 MB
ASA 1000V
1536 MB
Tabulka č. 3 Doporučená konfigurace strojů
VLAN
IP rozsah
VLAN 6
192.168.2.64 - 192.168.2.127
VLAN 200 (Vnější)
192.168.200.0 – 192.168.200.255
VLAN 150 (Vnitřní)
192.168.210.0 – 192.168.210.255
Tabulka č. 4 Doporučená konfigurace sítě
leden 2014
7/33
Na hostované PC v aplikaci Workstation se vytvoří virtuální stroj čistě pro ESX hypervizor, jinak je možné tento hypervizor instalovat i na holé PC bez OS (tzv. Bare metal). Zároveň pro funkčnost VLAN je nutné mít L3 fyzický přepínač nebo si pomoci virtuálního CSR1000V směrovače vytvořit Inter-VLAN routing. V takovém případě je nutné i na PC vytvořit loopbackové síťové karty se subnety (adaptér zpětné smyčky Microsoft KM).
Obrázek č. 6 Ukázka administrace ESX
Administrace ESX je možná z přímo daného hypervizoru nebo aplikace vSphere client. Na hypervizoru pomocí klávesy F2 se vchází do administrace ESX a v sekci „configure management network“ nastavíme IP adresu, subnet a vlan management rozhranní pro správu na vlan 6. Zde lze také vybrat počet dostupných fyzických karet pro management rozhranní (je nutné mít alespoň 2). Pro nasazení dalších strojů je nutné použít grafickou administraci vSphere klient.
leden 2014
8/33
Obrázek č. 7 vSphere client VMware vSphere client nainstalujeme na přístupový server. Tuto aplikaci není možné instalovat na doménový řadič, v takovém případě je nutné pro administraci vytvořit virtuální PC s vhodným OS bez rolí. Virtuální přepínač, vCenter a jiné aplikace se instalují na virtuální stroje a proto je nutné na hypervizor ESX založit virtuální stroje. VMware dodává virtuální stroje v šabloně OVF, které běží na linuxové distribuci, mají předem připravenou instalaci a doporučenou hardwarovou konfiguraci stroje. Tyto šablony je možné instalovat pouze přes vSphere klient nebo Web client na vCenter pomocí Deploy OVF Template.
Obrázek č. 8 Ukázka Deploy OVF Template
leden 2014
9/33
Takto nainstalujem produkt vCenter pro centrální správu virtuálních hypervizorů. vCenter se dovává se svojí Embedded databází, takže není nutné instalovat databázi MS Server. Po instalaci vCenter stroje bude možná nutné nastavit ručně IP adresu stroje, ta se provádí v příkazovém řádku pomocí příkazu /opt/vmware/share/vami/vami_config_net. Pro přístup na vCenter server se používá tento hypertextový odkaz s daným portem: https://IP_VCENTER_SERVERU:9443/vsphere-client/
Obrázek č. 9 vSphere Web client vCenter Appliance v šabloně OVF se dodává bez aplikace VUM (vSphere Update Manager 5.5), tu je nutné doinstalovat na jiný virtuální stroj s operačním systém minimálně Server 2008 R2 a propojit s vCenter serverem. Na vCenter musíme povolit plug-in VUM (Plug-ins -> Manage plug-ins -> New Plug-in), ten lze pouze pomocí aplikace vSphere client a ne přes webové rozhranní. Pouze přes webové rozhranní lze nyní nasadit OVF šablony ASA1000va VNMC. Nainstalujeme VNMC, ASA 1000V až po řádné instalaci a konfiguraci přepínače Nexus1000v.
leden 2014
10/33
Přes klienta nebo webové rozhranní založíme na VMware virtuálním přepínači Management group s VLAN 6 a všechny servery přesuneme do této Management (VLAN 6).
Obrázek č. 10 VMware ESXi
leden 2014
11/33
Přes java aplikaci nainstalujeme VSM s přepínačem 5.2.1.SM1.5.1.msi v HA modu s tímto nastavením:
1000v
(Nexus1000V-VSEMProvider-
Obrázek č. 10 Instalace Cisco Nexus 1000V
leden 2014
12/33
Obrázek č. 11 Průběh instalace Cisco Nexus 1000V
Ke konci instalace doinstalujeme VEM (Virtual ethernet module) na ESX hosta a převedení hostů provedeme ručně.
Obrázek č. 12 Zobrazení IP adres leden 2014
13/33
Obrázek č. 13 Výsledek instalace Cisco Nexus 1000V Po instalaci se připojíme na VSM (Virtual supervisor module) a nakonfigurujeme Port-profily pro Uplink a taky vEthernet pro tolik VLAN, kolik používáme. Uplink rozhranní je trunk linka spjatá s fyzickou NIC kartou a slouží k propojení s fyzickou sítí, pomocí ní definujeme, jaký provoz přes ni projde (pomocí VLAN). vEthernet jsou virtuální ethernety, tedy klasické rozhraní pro propojení přístupové vrstvy se servery a PC. Definují se jako Access port pro konkrétné vlanu. Předtím ještě na přepínači v konfiguračním modu ručně vytvoříme dané VLANY! Definice Uplink portu: port-profile type ethernet system-uplink vmware port-group switchport mode trunk switchport trunk allowed vlan all channel-group auto mode on mac-pinning system vlan 1,6,50,110,120 no shutdown state enabled end Definice vEthernetu (ukázka pro jednu VLAN): port-profile type vethernet Network_vlan6 vmware port-group ---------- zobrazí se ve vCenter jako Group rozhranní (stejně jako Management) switchport mode access switchport access vlan 6 vmware max-ports 5 -------- počet portům distribuovaném switchi 1000v no shutdown state enabled end leden 2014
14/33
Výsledné port-profily uvidíme ve vCenter u distribuovaného přepínače.
Obrázek č. 14 Výsledné port-profily ESXi hosta (VEM) přidáme na distribuovaný přepínač přes Add Host.
Obrázek č. 15 Přidání ESXi hosta
leden 2014
15/33
Zvolíme jednu NIC, zatímco druhou necháme stále připojenou k původnímu VMware přepínači, jinak bychom přišli o konektivitu se serverem. NIC kartu přidělíme ze seznamu Uplink portů k našemu vytvořenému. Následně převedeme servery a PC pomocí Migrate Virtual Machine a vybereme pro ně naopak patřičné vEthernet porty. Přiřazené porty uvidíme zde:
Obrázek č. 16 Zobrazení přiřazených portů
leden 2014
16/33
V konzoli můžeme pomocí tohoto příkazu vidět konkrétní přidělené rozhranní: Nexus1000V# Show port-profile virtual usage
Obrázek č. 17 Zobrazení rozhraní v konzoli
leden 2014
17/33
2.2 Instalace ASA 1000V Firewall nasazujeme přes Web klient ve vCenter přes OVF šablonu. Pro instalaci je nutné mít nainstalovaný VNMC a znát jeho adresu. Dále ASA1000v instalujeme jako Standalone, tedy samostatně ne ve dvojici pro HA. Dále administrace bude probíhat přes ASDM software a z části přes VNMC.
Obrázek č. 18 Kroky instalace ASA 1000V
leden 2014
18/33
Obrázek č. 19 Shrnutí instalace ASA 1000V Instalace je u konce a ASA1000v se může spustit.
2.3 ASDM a VNMC VNMC (Virtual Network Management Center) je univerzální webová aplikace pro správu zabezpečení jak pro VSG tak pro ASA. ASDM (Adaptive Security Device Manager) je aplikace čistě pro administraci FW ASA. Pokud při instalaci bylo zvoleno, že budeme preferovat správu přes VNMC, budeme přes konzoli ASA 1000v registrovat k VNMC. Pokud bylo zvoleno ASDM, pak přes ASDM se ASA bude registrovat k VNMC. Předtím je nutné ještě registrovat VNMC k vCenter a povolit plug-in. Pro autentizaci vůči VNMC se používá Shared Secret key, které se nastavovalo při instalaci VNMC. Přihlásíme se k VNMC a přes Administration -> VM managers -> VM managers -> Add VM manager.
Obrázek č. 20 Přihlášení do VNMC
leden 2014
19/33
Po přidání vCenter serveru vyexportujeme extension, a ten přidáme přes vSphere klienta na vCenter serveru v plug-inech.
Obrázek č. 21 Extesion export
2.3.1 Nastavení ASDM K ASDM se přihlásíme pomocí webového rozhranní, kde si můžeme stáhnout aplikaci ASDM přímo do počítače nebo přistupovat pomocí JAVA bez jakékoliv softwaru na PC.
Obrázek č. 22 Ukázka Cisco ASDM
leden 2014
20/33
Po najetí aplikace lze hlavní část nastavení provést pomocí Startup Wizard, který pomůže nastavit hostname, rozhraní, NAT, povolit přístup konkrétním uživatelům k management rozhranní přes protokoly telnet, SSH, HTTPS. Výsledek nastavení:
Obrázek č. 23 Instalace Cisco ASDM Registraci k VNMC provedeme přes Configuration -> interfaces.
Obrázek č. 24 Konfigurace rozhraní leden 2014
21/33
Dále zapisujeme náš firewall do organizační struktury root/ASA_ASDM. Rozvětvená struktura se například hodí, pokud chceme používat více firewallů ASA1000V v jednotné organizaci. Tuto organizační strukturu musíme nejprve vytvořit pomocí VNMC v Teenant Management a poté zapsat v ASDM.
Obrázek č. 25 Zápis do organizační struktury Poslední věc v ASDM je vytvoření bezpečnostního profilu – Security-profil, který se nasazuje pouze na Inside rozhraní. Bezpečnostní profil se vytváří zde v ASDM a poté se přenese do VNMC nebo ve VNMC v sekci Edge security profiles. Dále pod rozhranním definujeme tzv. Service interface, což není nic jiného než definování ze seznamu rozhranní na ASA FW Inside rozhranní. Poslední věc je maximální velikost vPath paketu. Název bezpečnostního profilu ještě budeme potřebovat při asociaci s Port-profilem na přepínači 1000v.
Obrázek č. 26 Vytvoření bezpečnostího profilu Změnu vždy provádíme pomocí Apply, což znamená uložení změn do běžícího konfiguračního souboru a pomocí Save přepíšeme startovací konfigurační soubor běžícím souborem.
leden 2014
22/33
2.3.2 Asociace bezpečnostního profilu s port profilem Dále necháme asociovat námi vytvořený bezpečnostní profil s port-profilem (ano s vEthernetem) na přepínači Nexus 1000v. Ve VNMC si zjistíme Management hostname, zde je edge-firewall.
Obrázek č. 27 Asociace profilu s port-profilem Přepneme se na konzoli VSM (Nexus1000v) a zadáme tyto příkazy: switch(config)# vservice node vservice_name type asa switch(config)# vservice node edge-firewall type asa switch(config)# ip address inside_interface_ip_address switch(config)# ip address 192.168.210.5 switch(config)# adjacency l2 vlan vlan_number switch(config)# adjacency l2 vlan 150 switch(config)# port-profile type vethernet port_profile_name switch(config)# port-profile type vethernet Network_Inside150 switch(config-port-prof)# vservice node vservice_name profile edge_profile_name switch(config-port-prof)# vservice node edge-firewall profile Win7_profil switch(config-port-prof)# org org_path switch(config-port-prof)# org root/ASA_ASDM Nyní je ASA1000V plně připravena k posílání paketů z přepínače na vstupní rozhranní Outside přes Inside a zpátky do port-profilu a naopak.
leden 2014
23/33
2.3.3 Rulebase Rulebase neboli základna pravidel obsahuje pravidla, neboli ACL listy, nad kterými probíhá inspekce paketů. ACL listy mohou paket povolovat, či zahazovat. Pravidla vytvořená v ASDM se při uložení konfigurace odešlou do běžícího konfigurace na ASA1000v ve formě ACL listů.
Obrázek č. 28 Ukázka Rulebase Každé rozhranní zde má svoji vlastní tabulku, jeden pro provoz vstupující do rozhranní (Inbound) a druhý pro výstup z rozhranní (Outbound). Pravidla se vždy vkládají pouze do té tabulky, kam bude provoz routován. Tedy pokud z vnitřího rozhranní půjde paket do internetu přes vnější rozhranní, stačí dát access-list na vnější rozhranní (Outgoing). Pro reply pakety není třeba zadávat pravidlo na opačnou stranu, jelikož se jedná stejnou seanci a pakety budou propuštěny. Výjimkou je například icmp zpráva, která se takto nechová a musejí být pravidla jak pro provoz ven, tak i pro odpovědi nazpět. Tohoto nešvaru se lze vyhnout, pokud přidáme ICMP do inspection_default.
Obrázek č. 29 Ukázka - Access-list
leden 2014
24/33
Pro kontrolu, zdali je v pořádku routování a access-list pro konkrétní provoz, můžeme využít utilitu Packet tracer z tools. Jako interface volíme rozhranní, odkud provoz začíná, dále zdrojovou a cílovou adresu a port. Následně start nám ukáže, zda je provoz propuštěn, aniž bychom prováděli reálný test. Hlavně se nesmí zapomínat, že provoz z rozhranní o vyšším Security level vždy bude propuštěn na rozhranní s menším Security level, pokud ho explicitně nezakážeme. Také provoz na rozhranní o stejných levelech bude zakázan, pokud ho nepovolíme. Pokud nějaký provoz narazil na pravidlo, který ho ověřoval, tak se jeho číslo zvýší o 1 v Rulebase. Takto lze vidět, která pravidla a provoz jsou více používána a která vůbec.
Obrázek č. 30 Ukázka - Packet Tracer
leden 2014
25/33
2.4 Nasazení na produktu MS Hyper-V K funkčnosti Nexus 1000V přepínače je nutné mít Hyper-V ve verzi 3. Ten je dodáván s každým operačním systémem Server 2012. Jelikož Hyper-V virtualizuje nad hardwarem, je nutné mít Server 2012 nainstalovaný přímo na PC a ne ve formě virtuálního stroje. K funkčnosti musí být na síti doména a v síti tedy musí existovat PC v roli řadiče. Tuto roli Active Directory můžeme nainstalovat přímo na operačním systému Server 2012, ten nainstaluje zároveň službu DNS serveru nutnou pro jmenné vyhledávaní v AD Dále je potřeba mít SQL databázi, tu supluje Microsoft SQL server 2008 (i standart edice). Po instalaci těchto části se může přejít k manažerovi virtuálních strojí - SCVMM 2012 SP1 (Microsoft System Center 2012 - Virtual Machine Manager) v nejaktuálnější verzi. Nejaktuálnější verze se stáhne pomocí Windows Update – minimálně SP1 UR2 build version 3.1.6020.0. Dále pro běh je nutné mít minimálně čtyři fyzické síťové karty pro běžnou topologii (Management, Cluster, Live migration, VM). V SCVMM se vytvoří nebo naimportují virtuální stanice s parametry, dále hostitelský server, na kterém běží SCVMM a nastaví se topologie sítě, tedy vytvoří se logické sítě, upling porty, network sites, logický přepínač a síť virtuálních strojů. Následně se v kartě konfigurace hostitelského serveru přiřadí k němu logický přepínač a nastaví se fyzické NIC karty. Minimálně jedna NIC karta by měla být management pro komunikaci mezi SCVMM a VM. Ze stránek CISCO stáhneme aktuální verzi přepínače Nexus 1000V a spustíme instalaci VSM (Nexus1000V-VSEMProvider-5.2.1.SM1.5.1.msi), která se řádí mezi automatické. Pokud chceme instalovat manuálně, je třeba postupovat dle manuálu. Na začátku nás vyzve zadání IP adresy, kde je spuštěn SCVMM server a uživatele, který má roli admina v této aplikaci.
Obrázek č. 31 Instalace Cisco Nexus 1000V na Hyper-V
leden 2014
26/33
Obrázek č. 32 Nastavení parametrů při instalaci V druhém kroku provedeme výběr volné síťové karty určené pro management, zvolíme zda bude přepínač instalován v HA módu pro failover režim nebo single pouze s jedním přepínačem a nastaví se další důležité parametry.
Obrázek č. 33 Souhrn instalace Cisco ASA 1000V na Hyper-V V případě manuální instalace bychom museli provádět určité kroky sami a tento instalátor je vyřešil za nás. Po instalaci je nutné přidat hosta k virtuálnímu přepínači a u jednotlivých VM nastavit nový Cisco Nexus 1000V přepínač.
leden 2014
27/33
2.5 ASA 1000V – instalace a konfigurace Jelikož Hyper-V zatím nemá API na podporu ASA1000V, tak čistě hypoteticky bude instalace probíhat stejně jako na VMware produktu. Je třeba ještě jednou zkontrolovat požadavky: vCenter VSphere Hypervisor software (Hyper-V) vCenter Server software (SCVMM 2012) Cisco Nexus 1000V s nastavením čtyř rozhraní pro běh ASA Cisco Virtual Network Management Center (VNMC) appliance – Jednotný manažer pro VSG a ASA 1000V.
• • • •
Jako první kroky nutné je importovat ASA 1000V pomocí OVF, zařídit SSH přístup, přidat uživatele jako správce pro přístup k zařízení přes síť a registrovat se k ASDM nebo VNMC. ASDM a VNMC je grafický software k administraci firewallu, při instalaci se musíme rozhodnout, jestli budeme používat ASDM nebo VNMC. VNMC je předem určený jako preferovaný a ve virtuálním zabezpečení i více protlačován jako software s více benefity, než které může nabídnout ASDM. ASDM je standard, přes který se konfigurují veškeré hardwarové Cisco ASA firewally a zachová se administrace přes CLI. V případě nasazení v roli HA je třeba na obou zařízeních mít stejný software k administraci. Zkontrolovat nakonfigurované rozhraní na přepínači Nexus 1000V: • • • •
Port konfigurovaný jako inside rozhranní pro inside VLAN Port konfigurovaný jako outside rozhranní pro outside VLAN Port konfigurovaný pro administraci (management) Port konfigurovaný pro HA (failover), jen pokud se bude používat
2.5.1 Instalace Nasazení ASA 1000V se provádí pomocí OVF souboru ze stránek Cisco. Pomocí import OVF v VMware vSphere Client vybereme daný OVF a provedeme import. Při nasazování ASA 1000V firewall na virtuální switch Nexus 1000V můžeme zvolit ze tří konfigurací: • ASA as Standalone – konfigurace při selhání nebude nasazena • ASA as Primary – ASA bude při selhání nakonfigurována jako primární jednotka • ASA as Secondary - ASA bude při selhání nakonfigurována jako sekundární jednotka Dále zvolíme hostitele, na kterém bude ASA 1000V spuštěn. V našem případě to byl virtuální switch Nexus 1000V. Vybereme formát ukládání dat na disku. Přiřadíme firewallu sítě, které bude zabezpečovat. Dále musíme zvolit tvz. Management mode, proto zvolíme jednu z vlastností (správu IP adres, správu masky sítě, DHCP) dříve než firewall spustíme. Toto nastavení nelze později změnit bez vymazání celé konfigurace. Zkontrolujeme souhrn konfigurace a spustíme firewall ASA 1000V.
2.5.2 Konfigurace rozhraní Rozhranní na firewallu ASA obecně přiřazujeme do vnitřní sítě nebo vnější sítě. Každé rozhranní používá „security level“, kde rozhraní vnitřní sítě má security level nastaven na 100 a neměl by se měnit. Vnější rozhraní má 0. „Security profile“ rozhraní má 0 a má se doporučeně navýšit na vyšší číslo, třeba 100. Management rozhraní má 0 a má se tak ponechat. Na základě čísla security level se síťový provoz chová, tak že z vyššího čísla je implicitně povolen přístup do menšího čísla. Komunikace na stejných číslech je zablokována.
leden 2014
28/33
Konfigurace vnitřního a vnějšího rozhraní: Krok 1 hostname(config)# interface gigabitethernet 0/0 Krok 2 hostname(config-if)# nameif inside Krok 3 hostname(config-if)# ip address 10.1.1.1 255.255.255.0 (pro DHCP ip address dhcp) Krok 4 hostname(config-if)# no shutdown
2.5.3 Bezpečnostní profil Na síti můžeme virtuální stanice roztřídit do tříd a odlišit tak virtuální stroje v různých třídách od sebe (například webový server od aplikačního). Security profile umožní aplikovat bezpečnostní politiku na základě symbolických tříd oproti síťovým atributům (IP adres). Po vytvoření Security profile rozhraní vznikne v VNMC automaticky stejně pojmenovaný security profile. Když na vnitřní rozhraní přijde komunikace, 1000V firewall pozná daný security profile na základě tagu v paketu (vPath tagging). Pokud na vnitřím rozhraní přijde neotagovaný provoz, pakety budou zahozeny. Provoz na vnějším rozhraní je netagován. Konfigurace bezpečnostního profilu: Krok 1 hostname (config)# interface security-profile 1 Krok 2 hostname (config-if)# nameif profile1-ifc Krok 3 hostname(config-if)# security-profile test-profile-1 Krok 4 hostname(config-if)# no shutdown Krok 5 hostname(config-if)# service-interface security-profile all inside
Obrázek č. 34 Bezpečnostní profil
leden 2014
29/33
2.6 Management Na základě výběru administrace při instalaci máme dvě možnosti jak konfigurovat firewall – ASDM a VNMC.
Obrázek č. 35 ASDM
Obrázek č. 36 VNMC
leden 2014
30/33
2.6.1 VNMC s ASDM Pokud během instalace byla zvolena volba upřednostnění administrace přes VNMC, stále můžeme použít software ASDM pro monitorování, ale ne pro konfiguraci Rulebase (pravidla pro komunikaci) a celkové administrace. Krok 1 Spustíme 1000V konzoli přes VMware vSphere Client. Krok 2 Přidejde routovací cestu na rozhranní pro administraci (management) do subnetu, kde se nachází ASDM klient. ASA1000V(config)# route interface ip subnet next hop ip Kde interface management rozhranní do sítě klienta ASDM, ip je IP adresa a subnet subnet klienta ASDM a next hop ip je IP adresy brány. Krok 3 Umožnění HTTP (HTTPS) přístupu k ASDM klientovi ASA1000V(config)# http ip subnet interface Kde ip je IP adresa hosta přistupujícího k ASDM, subnet poskytuje masku hosta přistupujícího k HTTP serveru a interface je rozhranní ASDM klienta.
2.6.2 Konfigurace SSH Konfigurace SSH s lokálními účty: Krok 1 Spustíme 1000V konzoli přes VMware vSphere Client. Krok 2 Vytvoříme účet pro s heslem: username name password password privilege priv_level username dan password cisco.vsb privilege 15 Privilege je autorizace, jaké bude moct uživatel módy prohlížet. Krok 3 Umožnění lokální SSH autentizaci pomocí aaa authentication console příkazu: aaa authentication ssh console LOCAL Krok 4 Povolení SSH následujícím příkazem: ssh ip_address mask management ssh 1.1.1.1 255.255.255.255 management
leden 2014
31/33
3 Závěr Cisco rozšířilo svoje portfólium virtuálních produktů o celou řadu dalších. První to byl Nexus1000v, pak zónový firewall VSG následovaný routrem CSR1000v pospolu s hraničnám firewallem ASA1000v. Takto je možné si vybudovat zcela virtuální síť složenou z produktů Cisco. Škálovatelností a možnostmi virtuálního firewallu Cisco ASA1000v se blíží možnostem, které má jeho fyzický bratr. Z našeho pohledu je správa Cisco ASA1000v přes ASDM více přehlednější než přes webového klienta VNMC a taktéž správa přes grafickou nadstavbu je rychlejší a bezpečnější než v konzoli přes Access-listy. V této práci jsme nakonec vyzkoušeli nejenom FW ASA1000v a přepínač Nexus 1000v, ale z důvodu chybějícího vybavení doma v podobě L3 switche jsme byli nuceni vybudovat virtuální síť i na dalším produktu a to router CSR1000v, u kterého byla dodatečně aktivovaná trial licence na 60 dní pro rychlejší provoz. Nakonec se to vše skoupilo ve velice hezký balík, s kterým je radost pracovat.
leden 2014
32/33
4 Zdroje [1] http://www.cisco.com/en/US/docs/security/asa/quick_start/asa1000V/setup_vnmc.html [2] http://www.cisco.com/en/US/products/ps13056/products_configuration_example09186a0080c175b2. shtml#anc29 [3] http://www.vmware.com/cz/support/vsphere/ [4] http://www.cisco.com/en/US/products/ps6121/ [5] http://thepracticalsysadmin.com/nexus-1000v-in-a-hyper-v-2012-environment-part-1/#comment-756 [6] http://www.slideshare.net/Ciscodatacenter/virtual-network-management-center-20-ebc-presentation [7] http://www.cisco.com/en/US/docs/security/asa/quick_start/asa1000V/sample-configs.html [8] http://www.bajty.info/2013/06/cisco-virtual-switch-nexus-1000v-pro-ms.html
leden 2014
33/33
