Am 8.3.2010 ist das ASA Release 8.3 mit dem ASDM 6.3 erschienen. Wer nun meint das wäre kein Beitrag Wert, der täuscht sich. Cisco hat in diesem Release einiges an Änderungen vorgenommen und diesmal geht es auch an die Konfiguration der ASA. So ändert sich die Konfiguration vom NAT gewaltig und auch Access-List sind davon betroffen.
Aber erstmal der Reihe nach.

Folgendes ist zu beachten beim Wechsel auf 8.3, es hat sich die min. RAM Speicher Anforderung geändert. In der folgenden Tabelle ist ersichtlich welche min. RAM Speicher eingebaut werden muss. Bei der ASA5505 geht es noch immer mit 256MB RAM. Wobei mir dann gleich die Meldung im ASDM angezeigt wurde das ich nicht genügend RAM in der 5505 eingebaut habe und somit keine Support Ansprüche habe.

min. RAM Übersicht

ASA Model Default DRAM Memory Default Internal Flash Memory Required DRAM for 8.3
5505 256 MB 128 MB 512 MB
5510 256 MB 512 MB 1 GB
5520 512 MB 512 MB 2 GB
5540 1 GB 512 MB 2 GB
5550 4 GB 512MB 4 GB
5580-20 8 GB 1 GB 8 GB
5580-40 12 GB 1 GB 12 GB


Durch das erscheinen vom Release 8.3 wurden wieder viele neue Features eingeführt, diese möchte ich hier nich auflisten. Diese lassen sich aus den Release Notes (Link am Ende des Beitrages) entnehmen. Mir geht es um wirklich Änderungen die Einfluss auf die Konfiguration haben. Durch das einspielen des Release 8.3 wird nachdem Neustart die Konfiguration auf der ASA angepasst, Was ist passiert?
Cisco hat die Konfiguration vom NAT verändert. Nach Jahren der nat/global und static Befehle, wird nun das NAT Objekt basierend konfiguriert. Das ganze hat somit Auswirkungen auf die CLI und genauso auf den ASDM. Werde hier noch einige Beispiele zeigen. Das ganze sieht sehr nach Check Point Firewal aus. Der Grund ist das Cisco mehr in Richtung Bedienerfreundlichkeit gehen will. Dadurch ergibt sich zwei Arten von NAT Konfiguration “Automatic NAT” und “Manual NAT”. Bedeutet das man nun direkt im Objekt eine NAT Funktion konfiguriert und diese nicht weiter verändert kann, oder da z.B. ein Policy NAT benötigt wird die manuelle Variante nutzen kann.
Durch die Veränderung der NAT Konfiguration hat Cisco auch entschieden, das die Konfiguration der Access-Listen auf den Interfacen sich verändern wird. Musste man bisher immer überlegen welche IP Adresse nun gilt (Pre ACL) und dadurch viele Fehler passierten, wurde nun entschieden mit POST ACL zu arbeiten. Dadurch werden in den ACL nur noch die realen IP Adresse (also nicht mehr die NAT Adressen) verwendet.
Seit dem Release 8.3 gibt es nun noch eine sogenannte “Global Access-List”, diese wird erst ausgewertet wenn das Paket die ACL auf dem Interface passiert hat und eine Global ACL existiert. Diese soll die Migration von z.B. einer Check Point Firewall auf die ASA erleichtern. Der Grund ist das auf einer Check Point Firewall auch nur mit einer Security Policy gearbeitet wird und diese nicht auf ein Interface bezogen ist. Somit lässt sich nun die Check Point Security Policy komplett während einer Migration auf die ASA übernehmen und später dann auf die ASA anpassen. Bei der Global ACL gibt es einige Einschränkungen, diese sollte jeder vor der Nutzung aus den Release Notes oder User Guide entnehmen.

Beispiele von NAT (Automatic NAT) Konfiguration:

vor Release 8.3 Ab Release 8.3
PAT für ein bestimmtes Subnet
nat (inside) 1 10.0.0.0 255.255.255.0
global (outside) 1 interface
PAT für ein bestimmtes Subnet
object network Inside_Network
subnet 10.0.0.0 255.255.255.0
nat (inside,outside) dynamic interface
Static NAT für eine Server
static (inside,outside) 62.11.11.11 10.0.0.11
Static NAT für eine Server
object network Inside_Server
host 10.0.0.11
nat (inside,outside) static 62.11.11.11

Weitere Befehle die jetzt in der Object Rubrik möglich sind

object network 〈Name
nat 〈No〉 source … Durch diesen Befehl würde eine Manual NAT Regel vor die Automatic NAT Regel eingeführt, durch die Nummer lässt sich die Position der Regel spezifizieren.
nat after-auto 〈No〉 source … Manual NAT Regeln hinter den Automatic NAT Regeln einfügen, durch die Nummer lässt sich die Position der Regel spezifizieren.
nat after-auto source … Manual NAT Regel hinter den Automatic NAT Regeln einfügen, diese aber ganz an das Ende setzen.
Durch das verwenden der Manual NAT Regeln, lassen sich die alten Policy NAT Regeln abbilden. Dadurch lässt sich nun mit einem NAT Statement sowohl ein Source NAT als auch ein Destination NAT durchführen. Des weiteren ist es nun auch möglich bestimmte NAT Regeln auf “inaktive” zu setzen.
Für die jeweiligen Manual NAT Regeln, gilt es dann wieder mit Objekten bzw. Objekt Gruppen zu arbeiten. Durch diese Gruppen, wird das konfigurieren auf der CLI sehr erschwert, Bei Benutzung des ASDM ist dieses wiederum sehr einfach, da dieser die Erzeugung der Objekte bzw. Objekt Gruppen übernimmt. Als Admin müssen nur die jeweiligen Felder ausgefüllt werden.


Auch im Thema Lizenzen hat sich einiges getan. Somit lassen sich jetzt gerade Firewalls im Failover Mode, besser mit den Lizenzen verwalten. Hier sollte jeder unbedingt die Release Notes lesen. Auch das Thema Zeitbasierende und feste Lizenzen hat sich verändert. Auch hier muss ich sagen, hat sich Cisco deutlich in Richtung Kunde bewegt, auch wenn es am Anfang nicht wirklich übersichtlich erscheint.


Der letzte Punkt sind viele Neuerungen im SSL VPN Umfeld. Somit ist nun z.B. es möglich mit dem AnyConnect dafür zu sorgen das Daten gegen die Ironport überprüft werden. Cisco wird in diesem Jahr sich deutlich in die Richtung SSL VPN und Cloud Anbindungen orientieren. Werde zu diesem Thema zu einem anderen Zeitpunkt einen Artikel verfassen.




Denke das der Weg deutlich in Richtung Kunde geht, um diesen den Einsatz der ASA zu vereinfachen. Was denkt Ihr? Ist Cisco auf dem richtigen Weg?


Links:
Release Notes: Release Notes for the Cisco ASA 5500 Series, 8.3(x)
Command Refernce: Cisco ASA 5500 Series Command Reference, 8.3
Configuration Guide: Cisco ASA 5500 Series Configuration Guide using the CLI, 8.3
ASDM Configuration Guide: Cisco ASA 5500 Series Configuration Guide using ASDM, 6.3 for ASA 8.3
NetFlow Collector: Cisco ASA 5500 Series Implementation Note for NetFlow Collectors, 8.3
SNMP Version 3: SNMP Version 3 Tools Implementation Guide, 8.3

  1. ein frustrierter sysadmin sagt:

    ich finde das Ganze ziemlich unausgereift …

    Ist ja toll, wenn das ähnlich wird wie bei Checkpoint – nur dass ich gar keine Checkpoint habe (und auch keine will). Dass ganze ist genau dann nicht bedienerfreundlich, wenn man einen Upgrade auf 8.3 macht und eine Menge von NAT + ACL-Kombinationen hat.

    Im Vergleich zu IPtables o.ä. war die Cisco-
    Syntax vorher seltsam – und jetzt ist sie auch seltsam aber anders UND umständlicher.

    Wenn man static NAT-Regeln abhängig vom angesprochenen Port hat, dann sieht das ganze für mich in der CLI und auch im ASDM deutlich mühsamer und unklarer aus.

    Die mehrzeiligen object-Regeln sind schlechter zu greppen. Und überall statt names leider auch nicht verwendbar: Bei ACLs mit object kann man anscheinend nicht auf Port filtern.

    Besonders ärgerlich: Vorher fein säuberlich vergebene „names“ verbleiben zwar in der Config werden aber nicht mehr so schön konsequent aufgelöst wie vorher … juhu, jetzt darf man wieder mit IP-Adressen fummeln?

    Im nächsten Wartungsfenster spielen wir wohl eine 8.2 ein und warten ab, wann Cisco eine hoffentlich ausgefeiltere Version 8.4 liefert.

    Sorry für den Rant, aber ich habe gerade mein Wartungsfenster damit beendet, das Upgrade wieder rückgängig zu machen …