Secure Firewall - NAT Parte 1
Artigo originalmente publicado no medium em Setembro de 2020 pelo mesmo autor. As configurações e exemplos continuam válidos.
Fala pessoal!!! Primeiramente uma satisfação pra vocês: mudei de emprego e as 24h ficaram pequenas. Minha intenção era continuar com os artigos de ISE - o próximo seria RADIUS com AAA - mas perdi o lab. Então, como o foco no trabalho agora está no grandioso - e digo de verdade - Firepower, vamos com Cisco Threat Defense na veia!
Até a versão 8.2 do ASA, havia somente uma versão de NAT disponível - com algumas variações na sua aplicação. À partir da 8.3, a Cisco incluiu uma possibilidade adicional.
O que o ASA tem a ver com o FTD? Bom, o código do ASA faz parte do FTD e o nome dele é LINA. Após o processamento do pacote em camada 3 e 4, ele envia ao motor do SNORT para inspeção profunda. Em um outro artigo, falaremos mais disso.
Mas enfim, o NAT clássico do ASA agora é o Auto NAT e o NAT "novo" se chama Manual NAT.
Começando pelo NAT clássico então, nossa topologia é essa: vamos traduzir da DMZ para a Internet.
Obs: Os IPs das interfaces do FW são sempre final .1
Imaginando o FW como uma parede, pensamos que o IP 192.168.0.10, ao atravessar a parede, virará um outro IP, no caso o 200.200.200.100.
Simples dessa forma. Não importa pra "onde" queremos ir =)
Na imagem abaixo, repare na regra de NAT e no tipo dele em vermelho. Já o amarelo, mostra a interface de origem e a de destino.
Abaixo, repare no pacote original, com o IP 192.168.0.10 e o pacote traduzido 200.200.200.100.
Ao salvar, veja como fica a política de NAT. Em amarelo, significa que vamos traduzir as requisições DNS que derem match nessa regra - essa parte é especificamente importante para o PAT de acesso à internet que veremos adiante.
No router de Internet, conseguimos pingar o 200.200.200.100 e ao dar telnet, acessamos o router da DMZ.
Esse tipo de NAT traduz a origem da requisição, e ele é indicado pela Cisco para os casos simples de tradução de IP, como por exemplo ao acessarmos a Internet. Da mesma forma poderíamos traduzir uma rede para o IP da interface externa do firewall, fazendo dessa forma um PAT - Port Address Translation - clássico.
Veja na figura abaixo como ficaria: O tipo de NAT é dinâmico, e a origem é toda a rede da DMZ_Inside. O destino é o IP da interface de destino, no caso, a interface internet.
Ao acessar o router de Internet, à partir do router da DMZ_Inside, veja que a conexão de origem parte do IP 200.200.200.1, que é o IP da interface internet do Firewall.
Nossa política de NAT ficou assim:
No próximo artigo, falaremos do Manual NAT, uma abordagem mais complexa e granular.
Obrigado por lerem!
Abraços!
Você pode baixar esse artigo em formato PDF no botão abaixo: