Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

PIX/ASA 7.X : Désactiver l'inspection globale par défaut et activer l'inspection des applications autres que celles par défaut

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment enlever l'inspection par défaut de la stratégie globale pour une application et comment activer l'inspection pour une application de non-par défaut.

Référez-vous à ASA 8.3 et plus tard : Désactivez l'inspection globale par défaut et activez l'inspection d'application de Non-par défaut utilisant l'ASDM pour plus d'informations sur la configuration identique utilisant l'ASDM avec l'appliance de sécurité adaptable Cisco (ASA) avec la version 8.3 et ultérieures.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur les dispositifs de sécurité PIX qui exécutent l'image logicielle 7.x.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Produits connexes

Cette configuration peut également être utilisée avec l'appliance de sécurité adaptable (ASA) ces passages l'image logicielle 7.x.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Stratégie globale par défaut

Par défaut, la configuration inclut une stratégie qui apparie tout le trafic par défaut d'inspection d'application et s'applique certaines inspections au trafic sur toutes les interfaces (une stratégie globale). Non toutes les inspections sont activées par défaut. Vous pouvez appliquer seulement une stratégie globale. Si vous voulez modifier la stratégie globale, vous devez éditer la stratégie par défaut ou la désactiver et appliquer un neuf. (Une stratégie d'interface ignore la stratégie globale.)

La configuration de stratégie par défaut inclut ces commandes :

class-map inspection_default
 match default-inspection-traffic
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
service-policy global_policy global

Inspection globale par défaut de débronchement pour une application

Afin de désactiver l'inspection globale pour une application, n'utilisez l'aucune version de la commande d'examiner.

Par exemple, afin d'enlever l'inspection globale pour application FTP laquelle les dispositifs de sécurité écoutent, utilisez l'aucun examinent la commande de FTP dans le mode de configuration de classe.

Le mode de configuration de classe est accessible du mode de configuration de policy-map. Afin de retirer la configuration, utilisez le forme no de la commande.

pixfirewall(config)#policy-map global_policy
pixfirewall(config-pmap)#class inspection_default
pixfirewall(config-pmap-c)#no inspect ftp

Remarque: Pour plus d'informations sur l'inspection de FTP, référez-vous à PIX/ASA 7.x : L'enable FTP/TFTP entretient l'exemple de configuration.

Inspection d'enable pour l'application de Non-par défaut

L'inspection améliorée de HTTP est désactivée par défaut.

Afin d'activer l'inspection d'application de HTTP ou afin de changer les ports lesquels les dispositifs de sécurité écoutent, utilisez la commande de HTTP d'examiner dans le mode de configuration de classe.

Le mode de configuration de classe est accessible du mode de configuration de policy-map. Afin de retirer la configuration, utilisez le forme no de cette commande.

Une fois utilisée en même temps que l'argument de HTTP-MAP, la commande de HTTP d'examiner se protège contre les attaques spécifiques et d'autres menaces qui pourraient être associées avec le trafic http.

Pour plus d'informations sur la façon utiliser l'argument de HTTP-MAP avec la commande de HTTP d'examiner, référez-vous à la section de HTTP d'examiner de examinent le ctiqbe examinent des commandes de xdmcp.

Remarque:  Le message d'erreur apparaît comme affiché quand le double-codage est utilisé dans un certain URLs. Si vous devez permettre l'accès à ce type de site Web, vous pouvez désactiver l'inspection stricte de HTTP afin de résoudre ce problème.

"%PIX-4-415012:15 HTTP Deobfuscation signature detected - Reset HTTP deobfuscation
detected IDS evasion technique from x.x.x.x to y.y.y.y

Remarque: là où x.x.x.x et y.y.y.y représente les adresses IP

Dans cet exemple, n'importe quelle connexion HTTP (le trafic TCP sur port 80) qui entre les dispositifs de sécurité par n'importe quelle interface est classifiée pour l'inspection de HTTP. Puisque la stratégie est une stratégie globale, l'inspection se produit seulement pendant que le trafic écrit chaque interface.

hostname(config)#class-map http_traffic
hostname(config-cmap)#match port tcp eq 80
hostname(config)#policy-map http_traffic_policy
hostname(config-pmap)#class http_traffic
hostname(config-pmap-c)#inspect http
hostname(config)#service-policy http_traffic_policy global

Dans cet exemple, n'importe quelle connexion HTTP (le trafic TCP sur port 80) qui entre ou quitte les dispositifs de sécurité par l'interface extérieure est classifiée pour l'inspection de HTTP.

hostname(config)#class-map http_traffic
hostname(config-cmap)#match port tcp eq 80
hostname(config)#policy-map http_traffic_policy
hostname(config-pmap)#class http_traffic
hostname(config-pmap-c)#inspect http
hostname(config)#service-policy http_traffic_policy interface outside

Cet exemple affiche comment identifier le trafic http, définir une carte de HTTP, définir une stratégie, et s'appliquer la stratégie à l'interface extérieure :


hostname(config)#class-map http-port 
hostname(config-cmap)#match port tcp eq 80
hostname(config-cmap)#exit
hostname(config)#http-map inbound_http
hostname(config-http-map)#content-length min 100 max 2000 action reset log
hostname(config-http-map)#content-type-verification match-req-rsp reset log
hostname(config-http-map)#max-header-length request bytes 100 action log reset
hostname(config-http-map)#max-uri-length 100 action reset log
hostname(config-http-map)#exit
hostname(config)#policy-map inbound_policy 
hostname(config-pmap)#class http-port
hostname(config-pmap-c)#inspect http inbound_http 
hostname(config-pmap-c)#exit
hostname(config-pmap)#exit
hostname(config)#service-policy inbound_policy interface outside

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 91891