Cisco ASA 방화벽

Cisco ASA

이번 포스팅은 Cisco의 ASA에 대해 하겠습니다. ASA는 시스코의 방화벽 역할을 할 수 있는 장비입니다. 시스코는 스위치, 라우터를 납품하는 회사였는데 보안 제품을 만드는 회사들을 인수하며 보안에도 발을 들이게 되었습니다. 많은 돈을 보안회사를 인수하는데 사용하며 보안제품을 강하게 밀고 있습니다. 시스코의 ASA도 시스코에서 자체 개발한 것이 아닌 인수를 통해 제품을 확장한 것입니다.

예전에는 FIX와 같은 다른 이름이었지만 기능에 변화를 주며 이름도 같이 변화하게 되었습니다. ASA에 대해 설명해보도록 하겠습니다. 네트워크를 배우시는 분은 Cisco의 Packet tracer라는 프로그램으로 시뮬레이션을 돌려볼 수 있었을겁니다. 어떤기능과 어떤 식으로 동작하는지 설명해보도록 하겠습니다. 정말 간단한 설명만 하도록 하겠습니다. 더 전문적인 내용들은 시스코 홈페이지에 가면 잘 나와있으니 참조하시면 될 것 같습니다.

ASA란?

ASA( Adaptive Security Appliance ) 는 내부 및 외부 보안 관문역할을 수행하는 제품으로 지능형 네트워킹 상황인식기반 방화벽입니다. Firewall, NAT, VPN 기능을 지원하는 통합 보안 서비스 플랫폼이라고 할 수 있습니다. ASA에 처음 접속 시 console로 연결하여 설정 후 inside쪽에서 Telnet 혹은 Https(ASDM)를 사용하여 설정할 수 있으며 5505이상 버전에는 management포트를 이용해서 접속할 수도 있습니다.

[ASA console 연결]

방화벽(Firewall)

서로 다른 네트워크를 지나는 데이터를 허용하거나 검열, 수정하는 하드웨어나 소프트웨어 장치입니다. 방화벽의 기본 역할은 신뢰수준이 다른 네트워크 구간들 사이에 놓여서 신뢰수준이 낮은 네트워크로부터 오는 해로운 트래픽이 신뢰수준이 높은 네트워크로 오지 못하게 막는 것입니다.

DMZ(DeMilitarized Zone) – 비무장지대

조직 내부의 네트워크와 외부 네트워크 사이에 위치한 서브넷, 내부 네트워크와 외부 네트워크가 DMZ로 연결할 수 있도록 허용 DMZ 내의 컴퓨터는 오직 외부 네트워크에만 연결할 수 있도록 합니다. 내부 네트워크로 불법적 연결을 시도하는 외부의 네트워크의 누군가가 있다면 DMZ는 그들에게 막다른 골목이 됩니다. 따라서Mail 서버나 Web 서버, DB서버 같은 밖에서 접속해도 상관이 없는 것들을 둡니다.

Interface

ASA에는 Mgmt 포트, Console 포트, 이더넷 포트 등이 있으며 이러한 포트들은 Interface라고 합니다. 인터페이스 안에서 security level, name, description, ip address 등을 설정할 수 있습니다.

Security Level

ASA를 이해하기 위해서는 Security Level의 개념을 알아야 합니다. ASA가 동작하는 방법은 네트워크를 Security Level로 나누어서 Level 신뢰에 따라 결정을 내리게 됩니다. Security level이 높을수록 신뢰성이 높다고 생각되며 0에서 100까지의 레벨이 있는데 100은 신뢰성 100이라고 생각되고,  inside 인터페이스에 설정하게 됩니다. 내부망에서는 신뢰도가 100이라는 뜻입니다. 0은 outside 인터페이스에 설정하게 됩니다. 밖에서 오는 외부망은 신뢰도가 없기 때문입니다.

1.     모든 인터페이스는 security level을 갖습니다.

2.     트래픽은 높은 레벨에서 낮은 레벨로 갈 수 있습니다.

3.     낮은 레벨에서 높은 레벨로 가는 트레픽은 기본값으로 deny되어 있습니다.

ASA의 방향

항상 안으로 들어오는 방향은 자기 자신을 향해 있으며 ASA에서 Outside인터페이스의 IN방향은 밖에서 안쪽을 향하고 있고 Inside인터페이스에서 IN방향은 안에서 밖으로 나가는 방향을 의미합니다.

[inbound IN 방향]

ASDM(Adaptive Security Device Manager)

ASA를 컨트롤 할 수 있는 JAVA 기반의 매니지먼트 프로그램입니다. Home, Configuration, Monitoring, Deploy, Refresh 등의 탭이 있으며 현재 상황을 볼 수 도 있고 설정도 할 수 있습니다. 다른 방화벽에 비해 GUI가 좋은 것 같지는 않습니다. 최신 바화벽들은 GUI가 더 이쁘고 깔끔하게 나오는 것들이 많은데 조금 옛날 느낌이 나는 것 같습니다. 그래도 적응되면 보기 편해집니다. 

HTTPS로 통신하며 명령어는 http server enable을 통한 서버 오픈과 http 0.0.0.0 0.0.0.0 inside 모든 inside interface에서 ASDM 가능하게 해주는 명령어가 있습니다. ASA로 접속하고 https://ASA IP주소를 치고 들어가게 되면 ASDM을 다운받는 사이트가 나오게 되고 설치 후 접속을 하면 다음과 같은 모습을 볼 수 있습니다.

[ASDM 실행화면]

ASA OS upgrade

ASA의 OS를 업그레이드를 할 때는 Ftp, Tftp, http 등을 사용할 수 있습니다. 명령어는 Copy로 시작하며 가져올 곳을 선택합니다. Ex) ASA# copy ftp: disk0: - remote host, source file name, Destination file name를 설정해주면 바로 가져올 수 있습니다. 가져온 후에는 boot system disk0:/경로 명령을 통해서 원래 있던 OS를 바꿔줍니다. 이러한 업데이트는 FTP프로그램을 이용하는 것이 더 편하게 할 수 있습니다.

 

Configuration 탭

각종 configuration을 설정할 수 있습니다. 기본적인 interface 설정(Security level, description, ip address), Routing관련 설정 등을 할 수 있습니다. GUI로 되어 있어 간편하고 Access rule, nat rule, Object 등 CLI에서 지원하는 모든 기능을 지원하며 클릭만으로 쉽게 설정할 수 있습니다. 또한 Site-to-Site VPN설정이나 Remote Access VPN등을 설정할 수 있습니다.

 

Monitoring 탭

Monitoring 탭에서는 현재 설정되어 있는 것들에 대한 트래픽이나 세션 등을 볼 수 있으며 그래프로 나타내어 주는 기능을 포함합니다. 현재 상황을 전반적으로 모니터링 가능하며 ARP table, VPN 세션, 시스템 로그 등 모니터링에 필요한 기능들이 있습니다. 사용자가 원하는 기능을 상황에 맞춰 쓰면 될 것 같습니다.