# Cisco ASA 5500 Series Adaptive Security Appliance



## Nohh (25. September 2008)

Servus Leutz,

ich such ne Installationsanleitung für die Hardware-Firewall: Cisco ASA 5500.

Ich bräuchte eine auf Deutsch wenns geht, denn ich soll eine einrichten und Ports auf PCs Weiterleiten (3 Server) IPs von Ipv4 am ende: 1,2,3... jeder Rechner soll auf einen bestimmte Port dann antworten, wenn eine anfrage von außen her kommt.

Könnt ihr mir da weiterhelfen?

Ich soll zu Morgen alles aus dem Schlaf können, so zusagen.

Die Firewall anzustöpseln, installiern und zu konfigurieren.

Und mein englisch is:"more then ****".

wenn ihr versteht^^

gruß und bitte um gehör zu finden

Nohh


----------



## Nohh (26. September 2008)

wow leute, nicht alle auf einmal


----------



## Dennis Wronka (26. September 2008)

Also wenn es auf http://www.cisco.de keine deutsche Anleitung gibt dann gibt es diese entweder nur gedruckt oder aber garnicht. Letzteres faende ich persoenlich nichtmal ueberraschend.

Und dass Dir jemand die Anleitung uebersetzt glaube ich eher nicht.

Raten hilft leider auch nicht, da solche Funktionen in unterschiedlichen Devices an unterschiedlichen Stellen im Menue versteckt sind und auch gern mal unter verschiedenen Namen daherkommen.

Frage ist natuerlich auch warum man von Dir erwartet dies zu tun wenn Du doch keinen Schimmer davon hast.


----------



## Nohh (26. September 2008)

Nagut.
ich erzähl mal ein kleines Geschichtschen:

Ich mach eine Ausbildung zum Fachinformatiker für Anwendungsentwicklung, befinde mich zur Zeit in der 4. Woche.

Meine Firma hatte vorher immer einen Rechner (intern) für alles.

Sprich: DHCP, DNS, Zertifikats, DC-Server und Active Directory halt.

Bis vor 4 Wochen wusste ich nicht annähernd, was das alles heißt. Vielleicht Buchstabensuppe. Aber nein.

Jetzt kam die Idee, einen alten Schulungsserver und eine alten Tower Server zu nehmen.

Folgendes:

Der IBM-Server hat ein Windows Server 2008 64 Bit DataCenter System:
Ist primärer Domain Controller hat die wichtige Active Directory an Bord.
Wenn alles gut läuft und demnächst die zweite Festplatte für den Server ankommt, wird diese verbaut und es wird ein Exchange Server drauf gemacht.

Der Tower, den ich schon erwähnt habe, hat ein Windows Server 2003 64 Bit System und dient nur als Sicherung ! + (als SharePoint 2003 Server) Sprich sollte der eine ausfallen muss der Tower hin halten. Auch dafür gabs ne DC auf den Server 2003, so dass er sich immer wieder aktualisiert, abhängig vom IBM Server.

Jetzt sieht es so aus, da ja mehrere Server in eine Domain gespeist werden. Das die Hardware-Firewall von Cisco Verwendung finden wird.

Mir wurde nun ein Handbuch ausgehändigt um mich perfekt darauf vorbereiten zu können um später die Firewall auf die Firma abstimmen zu können.

Die Sache mit den Servern wird so laufen, dass die beiden Server mit Firewall zur Telekom kommen und dort immer laufen werden. Ich soll dann, so nehme ich an die HardwareFirewall vor Ort konfigurieren und in Betrieb nehmen. Die Firewall erhält eine statische IP.

Ich mache mir derzeit zwar Notizen wie die einzelnen Schritte ablaufen werden und kläre für mich unklare Begriffe. Dennoch wird ich sicher ins kalte Wasser geworfen, wenn ich versage.

Mein Anliegen ist eigentlich, dass ich nicht wirklich weiß wie ich:

-Welche IP-Adresspools ich verwenden soll

Ich weiß zwar das alles über ne DMZ laufen soll. Wie gesagt aber über die Feinheiten, bin ich mir nicht bewusst.

z.B. Part 2 - Die Remote Access VPN (Virtual Private Network)

-Welche Verschlüsselung soll ich wählen?

Fakt ist: Die Server sollen über die Firewall via bestimmten Port angesprochen werden können, sodass man von einem anderen Ort aus dem Internet auf die Server kommt und sogar auf die Firewall. 

Vielleicht verstehst du mich jetzt ein wenig besser, wenn nicht sag mir bescheid, dann werde ich näheres schildern.

Gruß
Nohh


----------



## Dennis Wronka (30. September 2008)

Nohh hat gesagt.:


> ich such ne Installationsanleitung für die Hardware-Firewall: Cisco ASA 5500.


Also erstmal: Da ich selbst noch keine Moeglichkeit hatte so ein Geraet in die Finger zu bekommen kann ich leider keine Details nennen, sondern eher eine theoretische Abhandlung zur allgemeinen Methodik (wenn man mein wirres Getippsel ueberhaupt so nennen darf) abliefern.

Wo Du das also machst wirst Du also nicht von mir erfahren, so leid es mir auch tut.

Das einzige worauf ich Zugriff habe was einer Cisco-Firewall am naechsten kommt ist mein LinkSys WLAN-Router, und dieser ist meilenweit davon entfernt. 



Nohh hat gesagt.:


> Ich bräuchte eine auf Deutsch wenns geht, denn ich soll eine einrichten und Ports auf PCs Weiterleiten (3 Server) IPs von Ipv4 am ende: 1,2,3... jeder Rechner soll auf einen bestimmte Port dann antworten, wenn eine anfrage von außen her kommt.



Wie gesagt, ich weiss leider nicht wo das bei Deinem Geraet gemacht wird. Mit IPTables-Regeln koennte ich Dir helfen, aber die bringen Dir sicher nichts.
Entsprechend wirst Du entweder probieren muessen auf der deutschen Cisco-Seite eine deutsche Anleitung zu beziehen (oder einfach mal beim Support anrufen und nachfragen) oder Dich aber durch die englische Anleitung und/oder das Konfigurations-Interface hangeln.



Nohh hat gesagt.:


> Ich mach eine Ausbildung zum Fachinformatiker für Anwendungsentwicklung, befinde mich zur Zeit in der 4. Woche.


Als Anwendungsentwickler solltest Du, um es mal uebertrieben zu sagen, die Finger von solchen Geraeten lassen. Das ist was fuer uns System-Integratoren. Wir fummeln ja auch nicht in eurem Code rum. 



Nohh hat gesagt.:


> Meine Firma hatte vorher immer einen Rechner (intern) für alles.


Das ist nicht ungewoehnlich. Eine DMZ, wie Ihr sie (wie ich annehme, ohne bislang den Rest gelesen zu haben) plant, kommt meiner Meinung nach erst bei groesseren Installationen zum Einsatz. Wobei "groesser" jetzt nicht wirklich genau bestimmbar sondern eher recht abstrakt ist.



Nohh hat gesagt.:


> Bis vor 4 Wochen wusste ich nicht annähernd, was das alles heißt. Vielleicht Buchstabensuppe. Aber nein.


Wie gesagt, eigentlich brauchst Du das in Deinem FI-Zweig auch nicht wissen. Klar, grundlegende Networking-Kenntnisse sind wichtig (so wie bei mir im Unterricht auch C, Java und SQL drankamen), aber im Grunde bist Du, als FI-AE, nicht fuer die Einrichtung der Infrastruktur verantwortlich.

Aber naja, zusaetzliche Informationen aufzunehmen kann ja im Grunde nie schaden.



Nohh hat gesagt.:


> Die Sache mit den Servern wird so laufen, dass die beiden Server mit Firewall zur Telekom kommen und dort immer laufen werden. Ich soll dann, so nehme ich an die HardwareFirewall vor Ort konfigurieren und in Betrieb nehmen. Die Firewall erhält eine statische IP.


Okay, also keine DMZ sondern externes Server-Housing.
Welche Server genau kommen zur Telekom? Der ADS (Active Directory) und der Exchange-Server?

Finde ich persoenlich wenig sinnvoll, vor allem da dadurch beim Ausfall der Internet-Verbindung das Active Directory lahmgelegt wird, was im Betrieb weitreichende Konsequenzen haben duerfte.



Nohh hat gesagt.:


> Ich mache mir derzeit zwar Notizen wie die einzelnen Schritte ablaufen werden und kläre für mich unklare Begriffe. Dennoch wird ich sicher ins kalte Wasser geworfen, wenn ich versage.


Das sollte eigentlich nicht der Fall sein, denn immerhin bist Du Azubi.
Ist diese Installation denn zu Testzwecken oder ist das fuer echten Einsatz? Wenn letzteres: Fuer die eigene Firma oder einen Kunden?

Mein Anliegen ist eigentlich, dass ich nicht wirklich weiß wie ich:



Nohh hat gesagt.:


> -Welche IP-Adresspools ich verwenden soll


Ich bin grad nicht ganz sicher, vor allem weil ich auch nicht sicher bin welche Server nun ausgelagert werden sollen (und Tequila hat auch etwas mit meiner Verwirrung zu tun), ob SMB gern geroutet wird.
Falls dies kein Problem darstellt (ich denke es sollte keines sein, bin aber, wie gesagt, nicht sicher) dann ist es im Grunde egal welches Netz die externen Server haben, das Routing wird dann von den VPN-Gateways geregelt.
Um den Pool des internen Netzes wirst Du Dich wahrscheinlich nicht sorgen muessen da dies, nehme ich einfach mal an, bereits existiert und somit auch bereits IPs hat.
Falls auch das interne Netz erst aufgebaut wird dann steht Dir die Wahl mehr oder weniger frei und wird wohl hauptsaechlich durch die erwartete Groesse, natuerlich mit Spielraum fuer Expansion, des Netzes bestimmt.



Nohh hat gesagt.:


> Ich weiß zwar das alles über ne DMZ laufen soll. Wie gesagt aber über die Feinheiten, bin ich mir nicht bewusst.
> 
> z.B. Part 2 - Die Remote Access VPN (Virtual Private Network)


DMZ und VPN sind zwei ganz verschiedene paar Schuhe. DMZ ist im Grunde im eigenen Haus, aber es sind eben Server die, durch die Art der Nutzung, nicht den Vertrauensstatus haben wie Server die "direkt im LAN stehen".



Nohh hat gesagt.:


> -Welche Verschlüsselung soll ich wählen?


Das duerfte wohl von der Dir verfuegbaren Software/Hardware abhaengen, also wahrscheinlich vom Cisco-Geraet.
Allgemein empfehlenswert duerften wohl AES, RSA oder Twofish sein. Wikipedia kennt Details zu diesen Algorithmen und kann Dir sicher auch behilflich sein einen guten zu waehlen.

So, das ist jetzt erstmal alles was mir um 10 vor 2 morgens nach 2 Tequila-Red Bull einfaellt... Und jetzt guck ich weiter "The Stand".


----------



## Nohh (1. Oktober 2008)

Hallo Dennis,

erstmal vielen Dank das du dich morgen frühs noch quälst um mir eine gescheite Antwort abzuliefern zu können.

Es mag stimmen, das die Hardware-Komponenten nicht wirklich später mein hauptberufliches Ziel sind, trotzdem soll ich sie machen, aber mir gefällt es auch mich mit der Hardware auseinanderzusetzen.;-)

Nun zum Thema:

Ich hab mich die Tage mal intensiver über die Verschüsselungsart bekümmert, durch intensives "googeln", hab ich herausgefunden welche Verschlüsselung die längste Bit-Länge hat und daher sicher ist. Die Art wurde auch schon genannt.

Es sieht wie folgt aus:

Ein Tower Server: 192.168.100.4 (Windows Server 2003 64 Bit, SharePoint und Groove Server) << Der Server der vorrübergehend den DC kopiert hat (AC) um auf dem selben Stand zu bleiben wie der IBM.
IBM Server: 192.168.100.3 (Windows Server 2008 DataCenter 64 Bit, Exchange Server, Domain Controller)
Und anscheinend kommt noch ein DB-Server (MIR UNBEKANNT) - wird auch so bleiben, das ich den vorerst nicht kennen darf 192.168.100.2 kommt auch mit zur Telekom

Als Big Supervisor kommt die Cisco FW zum Einsatz.

Also ich denke, als Grund, das die ganzen Gerätschafften zur Telekom kommen:
Ist A)
Bandbreite
B) Das sie immer an bleiben.

Wir haben es uns jetzt folgendermaßen vorgestellt, bzw. so wurde es mir gesagt:

Das die Server und die Firewall von außen erreichbar sind, sagen wir von unserem Netz, und alles über ein DMZ Netz läuft und eine VPN erstellt wird. Das wir von außen per Authentifizierung in das Virtual Privat Network kommen um dort, wenn es nötig ist auf den Server zu kommen, z.b. auf den SharePoint Server, damit wir dort dann, wenn es Probleme gibt die behehen können.

Tut mir leid, durch das durcheinander, ich mache zur Zeit eine andere Arbeit *durcheinander bin*

Ich danke dir, euch für eine Antwort

Nohh


----------



## Navy (1. Oktober 2008)

Dennis Wronka hat gesagt.:


> Als Anwendungsentwickler solltest Du, um es mal uebertrieben zu sagen, die Finger von solchen Geraeten lassen. Das ist was fuer uns System-Integratoren. Wir fummeln ja auch nicht in eurem Code rum.



Leider ist das heute so. Ich bin der Meinung das eine so weitreichende Trennung nur die Fachidiotie begünstigt. Man sollte als Entwickler mit Dingen wie VPN, Verschlüsselung, Firewall usw. mehr als nur grundlegend konfrontiert werden.



> Wie gesagt, eigentlich brauchst Du das in Deinem FI-Zweig auch nicht wissen. Klar, grundlegende Networking-Kenntnisse sind wichtig (so wie bei mir im Unterricht auch C, Java und SQL drankamen), aber im Grunde bist Du, als FI-AE, nicht fuer die Einrichtung der Infrastruktur verantwortlich.



Bei der Ausbeute an guten Fachkräften in D wäre es aber sehr kurzsichtig, sich nur auf sein Fachgebiet zu beschränken und nur mal nebenbei etwas nach rechts und links zu schielen.



> Finde ich persoenlich wenig sinnvoll, vor allem da dadurch beim Ausfall der Internet-Verbindung das Active Directory lahmgelegt wird, was im Betrieb weitreichende Konsequenzen haben duerfte.



Das Disaster-Management vom CIO wird das dann aber sicher eingeplant haben und dementsprechen eine Fallbacklösung anbieten. Schließlich werden dort Produktiv-Server in Tower (== x86?) verbaut, also werden die schon wissen was sie tun... Ähhh...



> Ich bin grad nicht ganz sicher, vor allem weil ich auch nicht sicher bin welche Server nun ausgelagert werden sollen (und Tequila hat auch etwas mit meiner Verwirrung zu tun), ob SMB gern geroutet wird.



SMB läßt sich ganz hervorragend routen.



> DMZ und VPN sind zwei ganz verschiedene paar Schuhe. DMZ ist im Grunde im eigenen Haus, aber es sind eben Server die, durch die Art der Nutzung, nicht den Vertrauensstatus haben wie Server die "direkt im LAN stehen".



Der VPN-Server steht bestimmt *nur* in der DMZ (und zwar auf *allen* Interfaces), 



> So, das ist jetzt erstmal alles was mir um 10 vor 2 morgens nach 2 Tequila-Red Bull einfaellt... Und jetzt guck ich weiter "The Stand".



Prost!


----------

