Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

PIX/ASA 7.x ou Posterior: Exemplo de Configuração de Bloqueio do Tráfego de Mensagens Instantâneas (IM) Usando MPF

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (13 Setembro 2013) | Inglês (10 Outubro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Visão Geral da Estrutura de Política Modular
Configuração do Bloqueio de Tráfego de IM
      Diagrama de Rede
      Configuração do PIX/ASA 7.0 e 7.1
      Configuração do PIX/ASA 7.2 ou Posterior
      PIX/ASA 7.2 ou Posterior: Permitir que Dois Hosts Usem o Mesmo Tráfego de IM
Verificação
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento descreve como configurar o Cisco Security Appliances PIX/ASA usando a Estrutura de Política Modular (MPF) para bloquear o tráfego de Mensagens Instantâneas (IM), como o MSN Messenger e o Yahoo Messenger, da rede interna para a Internet. Além disso, este documento fornece informações sobre como configurar o PIX/ASA para permitir que dois hosts usem aplicativos de IM e negar o acesso dos demais.

Pré-requisitos

Requisitos

Este documento pressupõe que o Cisco Security Appliance esteja configurado e funcionando corretamente.

Componentes Utilizados

As informações deste documento baseiam-se no Cisco 5500 Series Adaptive Security Appliance (ASA) com a versão 7.0 ou posterior do software.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser usada no Cisco 500 Series PIX Firewall com a versão 7.0 ou posterior do software.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Visão Geral da Estrutura de Política Modular

A MPF é uma forma consistente e flexível de configurar os recursos do Security Appliance. Por exemplo, você poderá usá-la para criar uma configuração de timeout específica para um aplicativo TCP em particular, em vez de uma configuração única que atenda a todos os aplicativos TCP.

A MPF oferece suporte aos seguintes recursos:

  • Normalização de TCP, limites e tempos limites de conexões TCP e UDP e geração aleatória de números de seqüência de TCP

  • CSC

  • Inspeção de aplicativos

  • IPS

  • Políticas de entrada de QoS

  • Políticas de saída de QoS

  • Fila de prioridades de QoS

A configuração da MPF consiste em quatro tarefas:

  1. Identificar o tráfego das Camadas 3 e 4 ao qual as ações serão aplicadas. Consulte Identificando o Tráfego com um Mapa de Classes da Camada 3/4 para obter mais informações.

  2. (Somente inspeção de aplicativos) Definir ações especiais para o tráfego de inspeção de aplicativos. Consulte Configurando Ações Especiais para Inspeções de Aplicativos para obter mais informações.

  3. Aplicar ações ao tráfego das Camadas 3 e 4. Consulte Definindo Ações com um Mapa de Políticas da Camada 3/4 para obter mais informações.

  4. Ativar as ações em uma interface. Consulte Aplicando uma Política da Camada 3/4 a uma Interface Usando uma Política de Serviço para obter mais informações.

Configuração do Bloqueio de Tráfego de IM

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

pixasa-imblock-config1.gif

Configuração do PIX/ASA 7.0 e 7.1

Configuração do bloqueio de tráfego de IM para o PIX/ASA 7.0 e 7.1

CiscoASA#show run
: Saved
:
ASA Version 7.1(1)
!
hostname CiscoASA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!


!--- Saída suprimida.



http-map inbound_http
 content-length min 100 max 2000 action reset log
 content-type-verification match-req-rsp action reset log
 max-header-length request 100 action reset log
 max-uri-length 100 action reset log
 port-misuse p2p action drop
 port-misuse im action drop
 port-misuse default action allow


!--- O mapa de http "inbound_http" inspeciona o tráfego de http
!--- no que diz respeito a vários parâmetros, como comprimento do conteúdo e do cabeçalho,
!--- comprimento do URL e também identifica o tráfego de IM e o descarta.


!


!--- Saída suprimida.


!
class-map inspection_default
 match default-inspection-traffic
class-map http-port
 match port tcp eq www


!--- O mapa de classe "http-port" corresponde
!--- ao tráfego http que usa a porta 80.


!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
policy-map inbound_policy
 class http-port
  inspect http inbound_http


!--- O mapa de política "inbound_policy" corresponde
!--- ao tráfego http que usa o mapa de classe "http-port"
!--- e descarta o tráfego de IM por inspeção
!--- "inbound_http" de mapa de http.


!
service-policy global_policy global
service-policy inbound_policy interface outside


!--- Aplica o  mapa de política "inbound_policy"
!--- à interface externa.


Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
CiscoASA#

Consulte a seção Configurando um Mapa de HTTP para Controle de Inspeção Adicional do Guia de Configuração da Linha de Comando do Cisco Security Appliance para obter mais informações sobre o comando http map e seus diversos parâmetros associados.

Configuração do PIX/ASA 7.2 ou Posterior

Nota: O comando http-map não é mais usado nas versões 7.2 ou posteriores do software. Assim, você deverá usar o comando policy-map type inspect im para bloquear o tráfego de IM.

Configuração do bloqueio de tráfego de IM para o PIX/ASA 7.2 ou posterior

CiscoASA#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names



!--- Saída suprimida.


class-map inspection_default
 match default-inspection-traffic
class-map imblock
 match any


!--- O mapa de classe "imblock" corresponde
!--- a todos os tipos de tráfego.



!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map type inspect im impolicy
 parameters
 match protocol msn-im yahoo-im
  drop-connection


!--- O mapa de política "impolicy" descarta  o tráfego
!--- de IM, como MSN e Yahoo.



policy-map imdrop
 class imblock
  inspect im impolicy


!--- O mapa de política "imdrop" descarta  o tráfego
!--- IM que corresponde ao mapa de classe "imblock".


policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
service-policy imdrop interface outside


!--- Aplica o mapa de política "imdrop"
!--- à interface externa.


prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
CiscoASA#

PIX/ASA 7.2 ou Posterior: Permitir que Dois Hosts Usem o Mesmo Tráfego de IM

Esta seção utiliza esta configuração de rede:

pixasa-imblock-config2.gif

Nota: Os esquemas de endereçamento utilizados nesta configuração não são legalmente roteáveis na Internet. Eles são endereços da RFC 1918 usados em um ambiente de laboratório.

Se desejar permitir o tráfego de IM do número específico de hosts, você deverá concluir esta configuração de acordo com a explicação. Neste exemplo, os hosts 10.1.1.5 e 10.1.1.10 da rede interna têm permissão para usar os aplicativos de IM como o MSN Messenger e o Yahoo Messenger. No entanto, o tráfego de IM dos demais hosts ainda não é permitido.

Configuração de tráfego de IM para o PIX/ASA 7.2 ou posterior para permitir dois hosts

CiscoASA#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet1
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0
!


!--- Saída suprimida.



passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

access-list 101 extended deny ip host 10.1.1.5 any
access-list 101 extended deny ip host 10.1.1.10 any
access-list 101 extended permit ip any any


!--- A instrução 101 da ACL destina-se a negar o tráfego
!--- IP dos hosts 10.1.1.5 e 10.1.1.10
!--- ao mesmo tempo em que permite os demais hosts.


pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map type inspect im match-all im-traffic
 match protocol msn-im yahoo-im


!--- O mapa de classe "im-traffic" corresponde a todo o tráfego
!--- de IM, como MSN e Yahoo.



class-map im_inspection
 match access-list 101


!--- O mapa de classe "im_inspection" corresponde à lista de acesso
!--- número 101.


class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
policy-map type inspect im im-policy
 parameters
 class im-traffic
  drop-connection log


!--- O mapa de política "im-policy" descarta e registra o tráfego
!--- de IM, como MSN e Yahoo.



policy-map impol
 class im_inspection
  inspect im im-policy


!--- O mapa de política "impol" inspeciona o tráfego de IM
!--- de acordo com o tráfego que corresponde ao mapa de classe "im_inspection".
!--- Assim, ele permite o tráfego de IM dos hosts 10.1.1.5
!--- e 10.1.1.10 e bloqueia os demais hosts.


!
service-policy global_policy global
service-policy impol interface outside


!--- Aplica o mapa de política "impol" à interface
!--- interna.


prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Verificação

Utilize esta seção para confirmar se a sua configuração está funcionando corretamente.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • show running-config http-map — Mostra os mapas de HTTP que foram configurados.

    CiscoASA#show running-config http-map http-policy
    !
    http-map http-policy
    content-length min 100 max 2000 action reset log
    content-type-verification match-req-rsp reset log
    max-header-length request bytes 100 action log reset
    max-uri-length 100 action reset log
    !
    
  • show running-config policy-map — Exibe todas as configurações de mapas de políticas, assim como a configuração de mapa de políticas padrão.

    CiscoASA#show running-config policy-map
    !
    policy-map type inspect dns preset_dns_map
     parameters
      message-length maximum 512
    policy-map type inspect im impolicy
     parameters
     match protocol msn-im yahoo-im
      drop-connection
    policy-map imdrop
     class imblock
      inspect im impolicy
    policy-map global_policy
     class inspection_default
      inspect dns preset_dns_map
      inspect ftp
      inspect h323 h225
      inspect h323 ras
      inspect netbios
      inspect rsh
      inspect rtsp
      inspect skinny
      inspect esmtp
      inspect sqlnet
      inspect sunrpc
      inspect tftp
      inspect sip
      inspect xdmcp
    

    Você também pode usar as opções deste comando da seguinte forma:

    show running-config [all] policy-map [policy_map_name |
    type inspect [protocol]]
    
    CiscoASA#show running-config policy-map type inspect im
    !
    policy-map type inspect im impolicy
     parameters
     match protocol msn-im yahoo-im
      drop-connection
    !
    
  • show running-config class-map — Exibe as informações sobre a configuração do mapa de classes.

    CiscoASA#show running-config class-map
    !
    class-map inspection_default
     match default-inspection-traffic
    class-map imblock
     match any
    
  • show running-config service-policy — Exibe todas as configurações de políticas de serviço em execução no momento.

    CiscoASA#show running-config service-policy
    service-policy global_policy global
    service-policy imdrop interface outside
    
  • show running-config access-list — Exibe a configuração de lista de acesso que é executada no Security Appliance.

    CiscoASA#show running-config access-list
    access-list 101 extended deny ip host 10.1.1.5 any
    access-list 101 extended deny ip host 10.1.1.10 any
    access-list 101 extended permit ip any any
    

Troubleshooting

Esta seção fornece informações que você pode usar no troubleshooting de sua configuração.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug .

  • debug im — Mostra as mensagens de depuração do tráfego de IM.

  • show service-policy — Exibe as políticas de serviço configuradas.

    CiscoASA#show service-policy interface outside
    
    Interface outside:
      Service-policy: imdrop
        Class-map: imblock
          Inspect: im impolicy, packet 0, drop 0, reset-drop 0
    
  • show access-list — Exibe os contadores de uma lista de acesso.

    CiscoASA#show access-list
    access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
                alert-interval 300
    access-list 101; 3 elements
    access-list 101 line 1 extended deny ip host 10.1.1.5 any (hitcnt=0) 0x7ef4dfbc
    access-list 101 line 2 extended deny ip host 10.1.1.10 any (hitcnt=0) 0x32a50197
    access-list 101 line 3 extended permit ip any any (hitcnt=0) 0x28676dfa
    

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 98684