Cisco ASA eigenes Objekt „INTERNET“

Jeder der schon mit einer Cisco ASA zu tun hatte, der hat sich viellicht auf schon darüber genervt, dass es kein Objekt gibt, welches das Internet, also alle Netze, ausser private Adressbereiche. 

Solche Objekte gibt eis bei anderen Hersteller wie beispielsweise Sophos schon längst. Deren Definition geht sogar noch ein Schritt weiter indem sie das Obekt noch auf die WAN Schnittstelle(n) binden.

 

(mehr …)

ASA Upgrade Pfade auf 9.x

Heut in der aktuellen Release note der ASA 9.1 Software folgendes entdeckt:

Upgrade Path and Migrations

You cannot upgrade directly to 9.0 or later. You must first upgrade to Version 8.3 or 8.4 for a successful migration.

If you are upgrading from one of the following versions, you can successfully upgrade to 9.1(2.8) and 9.1(3) or later:
–8.4(5) or later
–9.0(2) or later
–9.1(2)

(mehr …)

ASA 8.3+ ACL CHANGES

Alles in Allem hat sich bei den ACLs nicht viel geändert, einzig dass nicht mehr direkt IPs/Netze verwendet werden können. Neu muss zwingend ein Objekte verwendet werden, beim Upgrade allerdings automatisch “dummy” Objekte für jedes Netz/IP an: 

1.1.1.1/32 wird zu Obj_1.1.1.1_32

Eine signifikante Änderung gibt es allerdings doch. Interface ACLs werden jetzt nicht mehr auf die globalen IP Adressen (“translated”, “post-NAT”), sondern auf die reale IP Adressen gemacht.

(mehr …)

ASA 8.3+ Static NAT einzelner Ports AKA PAT

Der Beitrag ist etwas zusammen geklaut… aber jeder der mit ASA vor 8.3 gearbeitet hat und irgendwann mit ASA 8.3+ zu tun hatte, wird sich sicher ab der neuen NAT Syntax genervt haben.
Mittlerweile muss ich zugeben, dass ich die neue NAT Syntax recht cool, wenn auch grottenschlecht implementiert finde….. mal ehrlich Objekte Anlegen und referenzieren ist cool…. aber was sollen die vereinzelten Reiter wo man nicht referenzieren kann und  dann im Hintergrund ein Dummy-Objekt mit cryptischem Namen angelegt wird…. c’mon!? 

Ein Simples Beispiel einer PAT Rule:

Der interne Exchange (172.21.1.45) soll seinen https Port gegen aussen auf der IP 81.92.106.10 natten. Das NAT soll bidirectional sein, dh. er geht auch mit der IP raus bei https Verbindungen
Die mittlere NAT Rule

(mehr …)