ที่ผ่านมาเราได้มีบทความเกี่ยวกับ Firewall Cisco FTD Series และพูดถึงการใช้งาน Cisco FMC และ Cisco FTD กันไปบ้างแล้วนะครับ ใครยังไม่ผ่านหู ผ่านตา ลองไปหาอ่านย้อนหลังกันได้ครับ ส่วนฉบับนี้จะเป็นการเริ่มต้นอย่างง่าย ๆ ในการติดตั้ง Cisco Firewall ในไซต์งานของเราด้วยกันครับ ซึ่งเราสามารถใช้บทความนี้ ไปติดตั้ง Cisco Firepower ได้ด้วยตัวเองเลยครับ
เอาหล่ะ!! ไปลุยกันครับ หากจะพูดถึงการ Deploy Firewall ก็มีหลายกระบวนท่าด้วยกันครับ ไม่ว่าจะเป็นโหมด Routed หรือ Transparent แต่โดยท่าพื้นฐานที่เรามักจะทำกันก็คือ การเลือก Deploy แบบ Routed Mode ซึ่งเป็นตัวเลือกที่เรามักจะเลือกเพื่อติดตั้ง FTD โดยก่อนอื่นเราต้องทำการเชื่อมต่อ FTD ให้สามารถบริหารจัดการผ่าน FMC ในเครือข่ายให้ได้ และในบทความนี้เอง เราจะใช้ FTD เป็น Firewall ที่ทำหน้าที่คล้าย ๆ กับพนักงานรปภ. ขวางระหว่างวง LAN และ Internet นั่นเองครับ
อีกทั้งยังมีในส่วนของการกำหนดค่าอินเทอร์เฟซ การกำหนดค่าเกตเวย์เริ่มต้น และการกำหนดค่า NAT ซึ่งจะเป็นการกำหนดค่าพื้นฐานที่จำเป็นใน FTD เพื่อให้สามารถเชื่อมต่อเครือข่ายทั้ง 2 ฝั่ง และเป็นการป้องกันการเข้าถึงของผู้บุกรุกได้ครับ
ถ้าจะมีคนถามว่า Firewall เอาไปวางในตำแหน่งไหนดี ตอบได้เลยว่า ก็วางในตำแหน่งที่มีเครือข่าย 2 เครือข่ายมาชนกัน แล้วเราก็ไม่อยากให้ Traffic มันไหลไปไหลมาได้เปิดเผย และอิสระจนเกินไป Firewall จะไปอยู่ในตำแหน่งนั้นเลยครับ ขวางทางระหว่าง 2 วงนี้ซะเลย!! บางครั้งเองเราจะพูดถึง 2 วงนี้ว่า เป็นวง Trust และ Untrust ครับ (วงที่เราไว้ใจ กับวงที่เราไม่ไว้ใจมาเจอกัน มาชนกัน มาจ๊ะเอ๋กัน ควรต้องมี Security มาเป็นตัวตรวจสอบเสมอครับ)
Cisco FTD Routed Mode Topology
ด้านล่างนี้เป็น ส่วนของไดอะแกรมการเชื่อมต่อที่เราจะเข้ามาคอนฟิกด้วยกันในบทความนี้นะครับ
การคอนฟิกค่าเริ่มต้นให้กับ Firewall Cisco FTD จะมี 3 ขั้นตอนหลัก ๆ เพื่อตรวจสอบการรับส่งข้อมูลระหว่างเครือข่าย LAN และอินเทอร์เน็ต
ก่อนอื่นลำดับแรกต้องกำหนดค่าอินเทอร์เฟซ โดยจะกำหนดค่า GigabitEthernet0/0 เป็นอินเทอร์เฟซขาภายนอก ทำหน้าที่เชื่อมต่อกับอินเทอร์เน็ต โดยมีไอพีเป็น 192.168.1.101/24
อินเทอร์เฟซ GigabitEthernet0/1 จะถูกกำหนดค่าเป็นอินเทอร์เฟซภายใน โดยโซนภายในจะเชื่อมต่อกับเครือข่าย LAN ซึ่งกำหนดไอพีเป็น 192.168.10.101/24
ในขั้นตอนที่สอง จะมีการกำหนดค่า default route ให้กับ Cisco FTD เพื่อให้ FTD สามารถสื่อสารกับอินเทอร์เน็ต หรือโลกภายนอกได้นั่นเองครับ
ขั้นตอนที่สามคือการกำหนดค่า NAT เพื่อให้ปลายทางบนเครือข่าย LAN สามารถสื่อสารกับอินเทอร์เน็ตได้ ในส่วนนี้ จะใช้ Outside NAT อย่างง่าย ๆ ก่อนที่จะมีบทความอื่น ๆ หลังจากนี้ ที่จะพูดถึงเรื่อง NAT โดยละเอียดนะครับ
1. Cisco FTD Interface configuration
การคอนฟิกอินเทอร์เฟซ การใส่ชื่อและ IP เป็นสิ่งจำเป็นในการเปิดใช้งานอินเทอร์เฟซ แต่ขอแนะนำว่าให้เราเพิ่มโซนความปลอดภัยสำหรับอินเทอร์เฟซ เนื่องจากนโยบายบางอย่างสามารถเปิดใช้งานระหว่างโซนต่างๆ ได้ครับ เช่น ในกรณีที่เราต้องทำ Access Rule เราจะอนุญาตให้ Inside Zone สามารถ ping (icmp echo) ไปสู่ Outside Zone ได้ เป็นต้น
Devices -> Device Management -> choose FTD -> Edit
Interfaces -> GigabitEthernet0/0 -> Edit
General
Name; outside
Enabled: set
Security Zone: New -> outside-zone
IPV4
IP Type: Use Static IP
IP Address: 192.168.1.101/24
Interfaces -> GigabitEthernet0/1 -> Edit
General
Name; inside
Enabled: set
Security Zone: New -> inside-zone
IPV4
IP Type: Use Static IP
IP Address: 192.168.10.101/24
!!! อย่าลืม save และ deploy หลังทุกการเปลี่ยนแปลงค่าคอนฟิกนะครับ !!!
หลังจากกำหนดค่าอินเทอร์เฟซแล้ว เรายังสามารถตรวจสอบสถานะสุดท้ายได้โดยใช้คำสั่ง CLI คำสั่งจะเหมือนกันทุกประการกับ Cisco ASA เนื่องจาก Cisco ได้ใช้คำสั่ง Cisco ASAใส่ไว้ใน cisco FTD ด้วยเช่นกันครับ
> show running-config interface
!
interface GigabitEthernet0/0
description outside
nameif outside
security-level 0
ip address 192.168.1.101 255.255.255.0
!
interface GigabitEthernet0/1
description inside
nameif inside
security-level 0
ip address 192.168.10.101 255.255.255.0
!
> show interface ip brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0 192.168.1.101 YES manual up up
GigabitEthernet0/1 192.168.10.101 YES manual up up
GigabitEthernet0/2 unassigned YES unset administratively down up
GigabitEthernet0/3 unassigned YES unset administratively down up
GigabitEthernet0/4 unassigned YES unset administratively down up
GigabitEthernet0/5 unassigned YES unset administratively down up
GigabitEthernet0/6 unassigned YES unset administratively down up
GigabitEthernet0/7 unassigned YES unset administratively down up
Internal-Control0/0 127.0.1.1 YES unset up up
Internal-Control0/1 unassigned YES unset up up
Internal-Data0/0 unassigned YES unset down up
Internal-Data0/0 unassigned YES unset up up
Internal-Data0/1 169.254.1.1 YES unset up up
Internal-Data0/2 unassigned YES unset up up
Management0/0 unassigned YES unset up up
>
2. Cisco FTD default route configuration
ในขั้นตอนที่สอง เราจะกำหนดค่าเส้นทางเริ่มต้นใน FTD เพื่อสร้างการเชื่อมต่อระหว่าง FTD และอินเทอร์เน็ต ที่อยู่ Default Gateway ตามไดอะแกรมของเราคือ 192.168.1.1
Devices -> Device Management -> choose FTD -> Edit
Routing -> Static Route -> Add Route
Type: IPv4
Interface: outside
Selected Network: any-ipv4
Gateway -> New
Name: internet-gw
host: 192.168.1.1
เราสามารถตรวจสอบ Routing Table ที่สร้างขึ้นใน Cisco FTD ผ่านคำสั่งตามด้านล่างนี้ได้ครับ
> show running-config route
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
ทดสอบการ ping ออกไปยัง 8.8.8.8 เป็น dns ของทาง google
> ping 8.8.8.8
Please use 'CTRL+C' to cancel/abort...
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/66/80 ms
>
3. Cisco FTD outside NAT (PAT) configuration
ตอนนี้ FTD เชื่อมต่อกับอินเทอร์เน็ตแล้ว แต่อุปกรณ์ที่อยู่ภายใน LAN ยังไม่สามารถออกไปสู่โลกภายนอกได้ เนื่องจากเป็น IP ที่เป็น Private ซึ่งเราจำเป็นต้องแปลง Private IP ไปเป็น Public IP ก่อน เพื่อสามารถทำให้เราออกสู่โลกอินเตอร์เนตได้
ในบทความนี้จะใช้การกำหนดค่า NAT/PAT อย่างง่าย ๆ นะครับ เพื่อให้อุปกรณ์ปลายทาง LAN สามารถเชื่อมต่อกับอินเทอร์เน็ตได้ โดยเราต้องกำหนดค่า NAT จากโซนภายในไปยังโซนภายนอก ซึ่งภายในจะมีค่า IP เป็น 192.168.10.0/24 จะถูก NAT ไปยังอินเทอร์เฟซในโซนภายนอกแบบ PAT หรือ Port Address Translation ซึ่งมักจะเป็นท่านี้ในการใช้งานทั่วไปครับ
Devices -> NAT -> New Policy -> Threat Defense NAT
Name: FTD NAT Policy
Selected Devices: 192.168.200.101
Add Rule
NAT Rule: Auto NAT Rule
Type: Dynamic
Interface Objects
Source Interface Objects: inside-zone
Destination Interface Objects: outside-zone
Translation
Original Source: -> Add
Name: NET_192_168_10
Network: 192.168.10.0/24
Translated Source: Address
PAT Pool
Enable PAT Pool
PAT: Destination Interface IP
หลังจากติดตั้ง NAT เรียบร้อยแล้ว ให้เราตรวจสอบโดยใช้คำสั่ง “show running-config nat” ภายในโหมดของ CLI
> show running-config nat
!
object network NET_192_168_10
nat (inside,outside) dynamic pat-pool interface
รวมไปถึงการใช้คำสั่ง “show nat” เพื่อดูค่า hit count ที่ FTD ได้บันทึกไว้
> show nat
Auto NAT Policies (Section 2)
1 (inside) to (outside) source dynamic NET_192_168_10 pat-pool interface
translate_hits = 167, untranslate_hits = 0
>
เป็นอันว่าเรียบร้อยนะครับ สำหรับการคอนฟิกเบื้องต้น ของ FTD ซึ่งเป็น Firewall ตัวปัจจุบันของ Cisco ครับ สามารถดู Link ต่าง ๆ ที่พูดถึง FTD เพิ่มเติมได้ตามด้านล่างนี้ครับ
https://www.ablenet.co.th/2023/05/02/start-configure-cisco-ftd-fmc
https://www.ablenet.co.th/2023/05/02/basic-of-cisco-ftd
ที่มา: Cisco FTD Routed Mode
#Firewall #NGFW #IPS #Cisco #FTD #Security #FMC