Switches de LAN : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA 7.X: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo não-padrão

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve como remover a inspeção padrão da política global de um aplicativo e como habilitar a inspeção em um aplicativo fora do padrão.

Refira ASA 8.3 e mais atrasado: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo não-padrão usando o ASDM para obter mais informações sobre da configuração idêntica usando o ASDM com a ferramenta de segurança adaptável de Cisco (ASA) com versão 8.3 e mais recente.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada na ferramenta de segurança PIX que executa a imagem do software 7.x.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração pode igualmente ser usada com a ferramenta de segurança adaptável (ASA) essas corridas a imagem do software 7.x.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Opte pela política global

À revelia, a configuração inclui uma política que combine todo o tráfego da inspeção do aplicativo padrão e aplique determinadas inspeçãos ao tráfego em todas as relações (uma política global). Não todas as inspeçãos são permitidas à revelia. Você pode aplicar somente uma política global. Se você quer alterar a política global, você deve editar a política padrão ou desabilitá-la e aplicar um novo. (Uma política da relação cancela a política global.)

A configuração da política padrão inclui estes comandos:

class-map inspection_default
 match default-inspection-traffic
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
service-policy global_policy global

Inspeção global do padrão do desabilitação para um aplicativo

A fim desabilitar a inspeção global para um aplicativo, não use nenhuma versão do comando inspect.

Por exemplo, a fim remover a inspeção global para o aplicativo de FTP que a ferramenta de segurança escuta, use o nenhum inspecionam o comando ftp no modo de configuração de classe.

O modo de configuração de classe é acessível do modo da configuração de mapa de política. A fim remover a configuração, não use nenhum formulário do comando.

pixfirewall(config)#policy-map global_policy
pixfirewall(config-pmap)#class inspection_default
pixfirewall(config-pmap-c)#no inspect ftp

Nota: Para obter mais informações sobre da inspeção FTP, refira PIX/ASA 7.x: Permita o exemplo de configuração dos serviços FTP/TFTP.

Permita a inspeção para o aplicativo não-padrão

A inspeção aumentada HTTP é desabilitada à revelia.

A fim permitir a inspeção de aplicativo HTTP ou a fim mudar as portas que a ferramenta de segurança escuta, use o comando HTTP da inspeção no modo de configuração de classe.

O modo de configuração de classe é acessível do modo da configuração de mapa de política. A fim remover a configuração, não use nenhum formulário deste comando.

Quando usado conjuntamente com o argumento do HTTP-mapa, o comando HTTP da inspeção protege contra os ataques específicos e as outras ameaças que puderam ser associados com o tráfego de HTTP.

Para obter mais informações sobre de como usar o argumento do HTTP-mapa com o comando HTTP da inspeção, refira a seção HTTP da inspeção de inspecionam o ctiqbe inspecionam completamente comandos do xdmcp.

Nota:  O Mensagem de Erro aparece como mostrado quando a dobro-codificação é usada em algumas URL. Se você deve permitir o acesso a este tipo de Web site, você pode desabilitar a inspeção restrita HTTP a fim resolver esta edição.

"%PIX-4-415012:15 HTTP Deobfuscation signature detected - Reset HTTP deobfuscation
detected IDS evasion technique from x.x.x.x to y.y.y.y

Nota: onde x.x.x.x e o y.y.y.y representam os endereços IP de Um ou Mais Servidores Cisco ICM NT

Neste exemplo, toda a conexão de HTTP (tráfego TCP na porta 80) que entra a ferramenta de segurança através de qualquer relação é classificada para a inspeção HTTP. Porque a política é uma política global, a inspeção ocorre somente enquanto o tráfego incorpora cada relação.

hostname(config)#class-map http_traffic
hostname(config-cmap)#match port tcp eq 80
hostname(config)#policy-map http_traffic_policy
hostname(config-pmap)#class http_traffic
hostname(config-pmap-c)#inspect http
hostname(config)#service-policy http_traffic_policy global

Neste exemplo, toda a conexão de HTTP (tráfego TCP na porta 80) que entra ou retira a ferramenta de segurança através da interface externa é classificada para a inspeção HTTP.

hostname(config)#class-map http_traffic
hostname(config-cmap)#match port tcp eq 80
hostname(config)#policy-map http_traffic_policy
hostname(config-pmap)#class http_traffic
hostname(config-pmap-c)#inspect http
hostname(config)#service-policy http_traffic_policy interface outside

Este exemplo mostra como identificar o tráfego de HTTP, definir um mapa HTTP, definir uma política, e aplicar a política à interface externa:


hostname(config)#class-map http-port 
hostname(config-cmap)#match port tcp eq 80
hostname(config-cmap)#exit
hostname(config)#http-map inbound_http
hostname(config-http-map)#content-length min 100 max 2000 action reset log
hostname(config-http-map)#content-type-verification match-req-rsp reset log
hostname(config-http-map)#max-header-length request bytes 100 action log reset
hostname(config-http-map)#max-uri-length 100 action reset log
hostname(config-http-map)#exit
hostname(config)#policy-map inbound_policy 
hostname(config-pmap)#class http-port
hostname(config-pmap-c)#inspect http inbound_http 
hostname(config-pmap-c)#exit
hostname(config-pmap)#exit
hostname(config)#service-policy inbound_policy interface outside

Informações Relacionadas


Document ID: 91891