[Firewall] ASA Object / Object Group 설정

1. Object

-   특정 네트워크 대역 혹은 서비스에 대해 Object를 생성하여 관리하는 것이 가능하다.
-   Object는 Network-Object와 Service-Object로 구성된다.

-   Object에 2개 이상의 정의하면 마지막에 설정된 항목만 저장된다.\

 

Network Object 구축

 

부서 이름	IP 주소
관리부 (MGR_NET)	1.1.1.0 /24
인사부 (HR_NET)	1.1.2.0 /24
판매부 (Sales_NET)	1.1.3.0 /24
IT 지원팀 (IT_SUPPORT)	200.1.1.0 /24
DNS 서버 (DNS_SVR)	100.1.1.250
WEB 서버 (WEB_SVR)	100.1.1.251
FTP 서버 (FTP_SVR)	100.1.1.252
Mail 서버 (MAIL_SVR)	100.1.1.253

 

ASA 방화벽 설정

 

<ASA> conf t object network MGR_NET  subnet 1.1.1.0 255.255.255.0 ! object network HR_NET  subnet 1.1.2.0 255.255.255.0 ! object network Sales_NET  subnet 1.1.3.0 255.255.255.0 ! object network IT_SUPPORT  subnet 1.1.4.0 255.255.255.0 ! object network DNS_SVR  host 100.1.1.251 ! object network WEB_SVR  host 100.1.1.252 ! object network FTP_SVR  host 100.1.1.253 ! object network MAIL_SVR  host 100.1.1.254 !

 

-   show running-config object 명령어로 확인

 

 

Service Object 구축

 

-   DNS (DNS_SER), FTP 서비스 (FTP_SER) Object 구축

ASA 방화벽 설정

 

<ASA> object service DNS_SER  service udp destination eq 53 ! object service FTP_SER  service tcp destination eq 21 !

 

Object Group

 

-   Object의 경우 하나의 네트워크 대역 혹은 하나의 서비스만 정의하는 것이 가능하다.

-   만약 다수의 네트워크, 서비스, 프로토콜 등을 묶어서 관리하고자 하는 경우 Object-Group을 사용해야 한다.

 

Network Object Group구축

 

위에서 설정한 관리부, 인사부, 영업부, IT지원팀 네트워크 대역을 하나의 Object-Group으로 묶어서 관리하려고 한다.

 

ASA 방화벽 설정

 

-   object-group network에서 다른 오브젝트, 다른 오브젝트 그룹 둘 다 가져올 수 있다.

<ASA> conf t object-group network HQ_NET  network-object object MGR_NET  network-object object HR_NET  network-object object Sales_NET  network-object object IT_SUPPORT !   오브젝트를 생성하지 않았을 경우   object-group network HQ_NET  network-object 1.1.1.0 255.255.255.0  network-object 1.2.1.0 255.255.255.0  network-object 1.3.1.0 255.255.255.0  network-object 1.4.1.0 255.255.255.0 !

 

-   show running-config object-group 명령어를 통해 확인

 

 

Service Object Group구축

 

Web 서비스:   HTTP / HTTPS

Mail 서비스:   SMTP / POP3 / IMAP

 

<ASA> conf t object-group service WEB_SER   service-object tcp destination eq 80  service-object tcp destination eq 443 ! object-group service MAIL_SER   service-object tcp destination eq 25  service-object tcp destination eq 110  service-object tcp destination eq 143 !

 

-   show running-config object-group 명령어를 통해 확인

 

 

Object와 Object Group을 활용한 ACL 설정

 

-   clear config access-list 명령어로 기존 설정되어있던 ACL 설정 삭제

 

ACL 설정 (관리부, 인사부, 영업부, IT 지원팀이 모두 포함되어 있다고 가정한다.)

 

1.   Inside → DMZ 정책은 DNS / Web / FTP / Mail 프로토콜 허용하고 Inside → Outside는 모든 트래픽을 차단한다.

 

access-list permit Inside_IN object DNS_SER object-group HQ_NET object DNS_SVR

   포트를 Object인 DNS_SER로 지정 (DNS 포트번호 53)

   출발지 주소를 Object-group인 HQ_NET으로 지정 (모든 부서)

   목적지 주소를 Object인 DNS_SVR로 지정 (DNS 서버 IP)

access-group Inside_IN in interface Inside

   설정한 ACL을 Inside(1.1.1.0/24)에서 들어올 경우(in) 정책 수행

<ASA> conf t access-list Inside_IN permit object DNS_SER object-group HQ_NET object DNS_SVR access-list Inside_IN permit object-group WEB_SER object-group HQ_NET object WEB_SVR access-list Inside_IN permit object FTP_SER object-group HQ_NET object FTP_SVR access-list Inside_IN permit object-group MAIL_SER object-group HQ_NET object MAIL_SVR access-group Inside_IN in interface Inside

 

-   show running-config access-list  / access-group 명령어 확인

 

 

-   show access-list 명령어로 확인해 보면 Object로 설정한 항목이 세세하게 나온 것을 확인할 수 있다. (28개)

 

-    Inside → DMZ의 마지막에는 ip deny any any가 설정돼 있어서 위 ACL을 제외한 Inside로 들어오는 모든 패킷을 차단한다.

-   ASA방화벽에 명령어를 추가하여 HQ_NET에 있는 IP대역은 외부로 나가는 것을 막고 Inside → Outside의 모든 트래픽을 허용시킨다.

 

access-list Inside_IN deny ip object_group HQ_NET 100.1.1.0 255.255.255.0 log 4 interval 60

   HQ_NET에서 외부로 가는 패킷을 막고 레벨 4 로그 발생 시 60초마다 출력한다.

 

<ASA> access-list Inside_IN permit object DNS_SER object-group HQ_NET object DNS_SVR access-list Inside_IN permit object-group WEB_SER object-group HQ_NET object WEB_SVR access-list Inside_IN permit object FTP_SER object-group HQ_NET object FTP_SVR access-list Inside_IN permit object-group MAIL_SER object-group HQ_NET object MAIL_SVR access-list Inside_IN deny ip object-group HQ_NET 100.1.1.0 255.255.255.0 log 4 interval 60 access-list Inside_IN permit ip any any access-group Inside_IN in interface Inside

 

2.   DMZ → Inside 정책은 모든 트래픽 차단하고 DMZ → Outside 정책은 DNS / SMTP(메일 전송) 프로토콜을 허용한다.

 

<ASA> access-group DMZ_IN in interface DMZaccess-list DMZ_IN deny ip 100.1.1.0 255.255.255.0 object-group HQ_NET access-list DMZ_IN permit object DNS_SER object DNS_SVR any access-list DMZ_IN permit tcp object MAIL_SVR any eq 25 access-list DMZ_IN deny ip any any log 4 interval 60 access-group DMZ_IN in interface DMZ

 

3.   Outside → Inside 정책은 모든 트래픽 차단하고 Outside → DMZ 정책은 DNS / Web / Mail 프로토콜을 허용한다.

 

<ASA> access-list Outside_IN permit object DNS_SER any object DNS_SVR access-list Outside_IN permit object-group WEB_SER any object WEB_SVR access-list Outside_IN permit object-group MAIL_SER any object MAIL_SVR access-list Outside_IN deny ip any any log 4 interval 60 access-group Outside_IN in interface Outside