Segurança : Cisco Adaptive Security Appliance (ASA) Software

ASA com exemplo de configuração do módulo CX/FirePower e do conector CWs

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como usar a ferramenta de segurança adaptável de Cisco (ASA) com o módulo ciente do contexto (CX), igualmente conhecido como o Firewall da próxima geração, e Cisco nubla-se o conector da Segurança da Web (CWs).

Contribuído por Jennifer Halim, por Ashok Sakthivel, e por Chirag Saxena, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Cisco recomenda que você tem:

  • Licença 3DES/AES em ASA (licença livre)

  • Serviço válido/licença CWs usar o CWs para o número obrigatório de usuários

  • Alcance ao portal de ScanCenter para gerar a chave de autenticação

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

Escopo

Este documento mostra estas áreas de tecnologia e de Produtos:

  • As ferramentas de segurança adaptáveis do 5500-X Series de Cisco ASA fornecem a Segurança e a prevenção de intrusão do Firewall da borda do Internet.

  • Cisco nubla-se a Segurança da Web fornece o controle granulado sobre todo o conteúdo da Web que é alcançado.

Use o caso

O módulo ASA CX/FirePower tem a capacidade de apoiar a exigência satisfeita da Segurança e da prevenção de intrusão, dependente das características da licença permitidas do ASA CX/FirePower. A Segurança da Web da nuvem não é apoiada com o módulo ASA CX/FirePower. Se você configura a ação ASA CX/FirePower e se nubla a inspeção da Segurança da Web para o mesmo fluxo de tráfego, o ASA executa somente a ação ASA CX/FirePower. A fim leverage as características CWs para a Segurança da Web, você precisa de assegurar-se de que o tráfego esteja contorneado na instrução compatível para ASA CX/FirePower. Tipicamente, em tal encenação, os clientes usarão o CWs para a Segurança da Web e o módulo AVC (porta 80 e 443) e CX/FirePower para todas portas restantes.

Pontos chaves

  • O comando do padrão-inspeção-tráfego do fósforo não inclui as portas padrão para a inspeção da Segurança da Web da nuvem (80 e 443).

  • As ações são aplicadas para traficar bidirecional ou unidirectionally dependente em cima da característica. Para as características que são aplicadas bidirecional, todo o tráfego que entra ou retira a relação a que você aplica o mapa de política é afetado se o tráfego combina o mapa da classe para ambos sentidos. Quando você usa uma política global todas as características são unidirecionais; as características que são normalmente bidirecionais quando aplicadas a uma interface única aplicam-se somente ao ingresso de cada relação quando aplicadas globalmente. Porque a política é aplicada a todas as relações, a política é aplicada nos ambos sentidos assim que a bidirecionalidade é neste caso redundante.

  • Para o tráfego TCP e UDP (e o Internet Control Message Protocol (ICMP) quando você permite a inspeção de ICMP do stateful), as políticas de serviços operam sobre fluxos de tráfego e não apenas pacotes individuais. Se o tráfego é parte de uma conexão existente que combine uma característica em uma política em uma relação, esse fluxo de tráfego não pode igualmente combinar a mesma característica em uma política em uma outra relação; somente a primeira política é usada.

  • As políticas de serviços da relação tomam a precedência sobre a política de serviço global para uma característica dada.

  • O número máximo de mapas da política é 64, mas você pode somente aplicar um mapa de política pela relação.

Configurar

Diagrama de Rede

 

Fluxo de tráfego para o ASA e o CWs

  1. As requisições de usuário a URL através do navegador da Web.

  2. O tráfego é enviado ao ASA para sair o Internet. O ASA executa o NAT exigido e baseia no protocolo HTTP/HTTPS, fósforos à política da interface interna e obtém-no reorientado a Cisco CWs.

  3. O CWs analisa o pedido baseado na configuração feita no portal de ScanCenter e se a política permite, para a frente o pedido aos locais aprovados.

  4. O CWs inspeciona o tráfego retornado e reorienta o mesmos ao ASA.

  5. Baseado no fluxo da sessão mantido, o ASA envia o tráfego de volta ao usuário.

Fluxo de tráfego para o ASA e o CX/FirePower

  1. Todo o tráfego a não ser o HTTP e o HTTPS é configurado para combinar o ASA CX/FirePower para a inspeção e reorientado a CX/FirePower sobre o backplane ASA.

  2. O ASA CX/FirePower inspeciona o tráfego baseado nas políticas configuradas e toma exigido reserva/ação do bloco/alerta.

Configurações

Lista de acessos para combinar todo o tráfego encadernado da Web do Internet (TCP/80) e para excluir todo o tráfego interno

!ASA CWS HTTP Match
access-list cws-www extended deny ip any4 10.0.0.0 255.0.0.0
access-list cws-www extended deny ip any4 172.16.0.0 255.240.0.0
access-list cws-www extended deny ip any4 192.168.0.0 255.255.0.0
access-list cws-www extended permit tcp any4 any4 eq www

Lista de acessos para combinar todo o tráfego encadernado do Internet HTTPS (TCP/443) e para excluir todo o tráfego interno

!ASA CWS HTTPS Match
access-list cws-https extended deny ip any4 10.0.0.0 255.0.0.0
access-list cws-https extended deny ip any4 172.16.0.0 255.240.0.0
access-list cws-https extended deny ip any4 192.168.0.0 255.255.0.0
access-list cws-https extended permit tcp any4 any4 eq https

A lista de acessos para combinar todo o tráfego interno, exclui toda a Web encadernada do Internet e tráfego HTTPS e todas portas restantes

!ASA CX/FirePower Match
access-list asa-ngfw extended permit tcp any4 10.0.0.0 255.0.0.0 eq 80 
access-list asa-ngfw extended permit tcp any4 172.16.0.0 255.240.0.0 eq 80
access-list asa-ngfw extended permit tcp any4 192.168.0.0 255.255.0.0 eq 80
access-list asa-ngfw extended deny tcp any4 any4 eq www
access-list asa-ngfw extended permit tcp any4 10.0.0.0 255.0.0.0 eq 443
access-list asa-ngfw extended permit tcp any4 172.16.0.0 255.240.0.0 eq 443
access-list asa-ngfw extended permit tcp any4 192.168.0.0 255.255.0.0 eq 443
access-list asa-ngfw extended deny tcp any4 any4 eq https
access-list asa-ngfw extended permit ip any4 any4

Configuração de mapa da classe para combinar o tráfego para o CWs e o CX/FirePower

! Match HTTPS traffic for CWS
class-map cmap-https
match access-list cws-https

! Match HTTP traffic for CWS
class-map cmap-http
match access-list cws-www

! Match traffic for ASA CX/FirePower
class-map cmap-ngfw
match access-list asa-ngfw

Configuração de mapa de política para associar ações com os mapas da classe

!Inspection policy map to configure essential parameters for the rules and
optionally !identify the whitelist for HTTP traffic
policy-map type inspect scansafe http-pmap
parameters
default group cws_default
http

!Inspection policy map to configure essential parameters for the rules and
optionally !identify the whitelist for HTTPS traffic
policy-map type inspect scansafe https-pmap
parameters
default group cws_default
https

! Interface policy local to Inside Interface
policy-map cws_policy
class cmap-http
inspect scansafe http-pmap fail-open
class cmap-https
inspect scansafe https-pmap fail-open

! Global Policy with Inspection enabled using ASA CX
policy-map global_policy
class inspection_default
<SNIP>
class cmap-ngfw
cxsc fail-open
class class-default
user-statistics accounting

Ative a política globalmente para CX/FirePower e CWs na relação

service-policy global_policy global
service-policy cws_policy inside

Nota: Neste exemplo, supõe-se que o tráfego de web origina somente do interior da zona de Segurança. Você pode usar políticas da relação em todas as relações onde você espera o tráfego de web ou usa as mesmas classes dentro da política global. Esta é apenas demonstrar o funcionamento do CWs e o uso do MPF a fim apoiar nossa exigência.

Permita o CWs no ASA (nenhuma diferença)

scansafe general-options
server primary ip 203.0.113.1 port 8080
server backup ip 203.0.113.2 port 8080
retry-count 5
license xxxxxxxxxxxxxxxxxxxxxxxxxxx
!

A fim assegurar-se de que todas as conexões usem a política nova, você precisa de desligar as conexões atual assim que podem reconectar com a política nova. Veja a conexão clara ou os comandos claros do host local.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Inscreva o comando statistics do scansafe da mostra a fim verificar o serviço a ser permitido e que o ASA reorienta o tráfego. As tentativas subsequentes mostram o incremento nos contagens de sessão, nas sessões atual, e nos bytes transferidos.

csaxena-cws-asa# show scansafe statistics 
Current HTTP sessions : 0
Current HTTPS sessions : 0
Total HTTP Sessions : 1091
Total HTTPS Sessions : 5893
Total Fail HTTP sessions : 0
Total Fail HTTPS sessions : 0
Total Bytes In : 473598 Bytes
Total Bytes Out : 1995470 Bytes
HTTP session Connect Latency in ms(min/max/avg) : 10/23/11
HTTPS session Connect Latency in ms(min/max/avg) : 10/190/11

Inscreva o comando service-policy da mostra a fim ver os incrementos em uns pacotes inspecionados:

asa# show service-policy         
Global policy:
Service-policy: global_policy
Class-map: inspection_default
<SNIP>
<SNIP>
Class-map: cmap-ngfw
CXSC: card status Up, mode fail-open, auth-proxy disabled
packet input 275786624, packet output 272207060, drop 0,reset-drop 36,proxied 0
Class-map: class-default
Default Queueing Packet recieved 150146, sent 156937, attack 2031

Interface inside:
Service-policy: cws_policy
Class-map: cmap-http
Inspect: scansafe http-pmap fail-open, packet 176, lock fail 0, drop 0,
reset-drop 0, v6-fail-close 0
Class-map: cmap-https
Inspect: scansafe https-pmap fail-open, packet 78, lock fail 0, drop 13,
reset-drop 0, v6-fail-close 0

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

A fim pesquisar defeitos todas as edições relativas à configuração acima e compreender o fluxo de pacote de informação, incorpore este comando:

asa(config)# packet-tracer input inside tcp 10.0.0.1 80 192.0.2.105 80 det

Phase: 1
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
<SNIP>
<This phase will show up if you are capturing same traffic as well>

Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
Forward Flow based lookup yields rule:
in <SNIP>

Phase: 3
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
in 0.0.0.0 0.0.0.0 via 198.51.100.1, outside
<Confirms egress interface selected. We need to ensure we have CWS
connectivity via the same interface>

Phase: 4
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
in 10.0.0.0 255.255.254.0 via 10.0.0.0.1, inside

Phase: 5
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside_in in interface inside
access-list inside_in extended permit ip any any
Additional Information:
<SNIP>

Phase: 6
Type: NAT
Subtype:
Result: ALLOW
Config:
object network obj-inside_to_outside
nat (inside,outside) dynamic interface
Additional Information:
Dynamic translate 10.0.0.1/80 to 198.51.100.1/80
Forward Flow based lookup yields rule:
in <SNIP>

Phase: 7
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in <SNIP>

Phase: 8
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in <SNIP>

Phase: 9
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
class-map cmap-http
match access-list cws-www
policy-map inside_policy
class cmap-http
inspect scansafe http-pmap fail-open
service-policy inside_policy interface inside
Additional Information:
Forward Flow based lookup yields rule:
in id=0x7fff2cd3fce0, priority=72, domain=inspect-scansafe, deny=false
hits=8, user_data=0x7fff2bb86ab0, cs_id=0x0, use_real_addr,flags=0x0,protocol=6
src ip/id=10.0.0.11, mask=255.255.255.255, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=80, tag=0, dscp=0x0
input_ifc=inside, output_ifc=any
<Verify the configuration, port, domain, deny fields>

Phase: 10
Type: CXSC
Subtype:
Result: ALLOW
Config:
class-map ngfw-cx
match access-list asa-cx
policy-map global_policy
class ngfw
cxsc fail-open
service-policy global_policy global
Additional Information:
Forward Flow based lookup yields rule:
in id=0x7fff2c530970, priority=71, domain=cxsc, deny=true
hits=5868,user_data=0x7fff2c931380,cs_id=0x0,use_real_addr,flags=0x0,protocol=6
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=80, tag=0, dscp=0x0
input_ifc=inside, output_ifc=any

Phase: 11
Type:
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
out <SNIP>

Phase: 12
Type:
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
out <SNIP>

Phase: 13
Type: USER-STATISTICS
Subtype: user-statistics
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
out <SNIP>
<In this example, IDFW is not configured>

Phase: 14
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
in <SNIP>

Phase: 15
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
in <SNIP>

Phase: 16
Type: USER-STATISTICS
Subtype: user-statistics
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
out <SNIP>

Phase: 17
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 3855350, packet dispatched to next module
Module information for forward flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_tcp_normalizer
snp_fp_inline_tcp_mod
snp_fp_translate
snp_fp_tcp_normalizer
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Module information for reverse flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_tcp_normalizer
snp_fp_translate
snp_fp_inline_tcp_mod
snp_fp_tcp_normalizer
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

Informações Relacionadas



Document ID: 118687