Sécurité : Logiciel Cisco Adaptive Security Appliance (ASA)

ASA avec l'exemple de configuration de module CX/FirePower et de connecteur CWS

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment utiliser l'appliance de sécurité adaptable Cisco (ASA) avec le module averti de contexte (la CX), également connu sous le nom de Pare-feu de nouvelle génération, et Cisco opacifient le connecteur de la sécurité Web (CWS).

Contribué par Jennifer Halim, Ashok Sakthivel, et Chirag Saxena, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Cisco recommande que vous ayez :

  • Permis 3DES/AES sur ASA (permis libre)

  • Service valide/permis CWS d'utiliser CWS pour le nombre requis d'utilisateurs

  • Access au portail de ScanCenter pour générer la clé d'authentification

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

Portée

Ce document affiche ces secteurs technologiques et des Produits :

  • Les appliances de sécurité adaptable de gamme 5500-X de Cisco ASA fournit la sécurité du pare-feu et la prévention des intrusions de périphérie Internet.

  • Cisco opacifient la sécurité Web fournit le contrôle granulaire de tout le contenu Web qui est accédé à.

Cas d'utilisation

Le module ASA CX/FirePower a la capacité pour prendre en charge la condition requise de sécurité du contenu et de prévention des intrusions, dépendante sur les caractéristiques de permis activées de l'ASA CX/FirePower. La sécurité Web de nuage n'est pas prise en charge avec le module ASA CX/FirePower. Si vous configurez l'action ASA CX/FirePower et l'inspection de sécurité Web de nuage pour la même circulation, l'ASA exécute seulement l'action ASA CX/FirePower. Afin d'accroître les caractéristiques CWS pour la sécurité Web, vous devez s'assurer que le trafic est sauté dans la déclaration de correspondance pour ASA CX/FirePower. Typiquement, dans un tel scénario, les clients utiliseront CWS pour la sécurité Web et le module AVC (port 80 et 443) et CX/FirePower pour tous autres ports.

Points clé

  • La commande du par défaut-inspection-trafic de correspondance n'inclut pas les ports par défaut pour l'inspection de sécurité Web de nuage (80 et 443).

  • Des actions sont appliquées de trafiquer bidirectionnel ou unidirectionally personne à charge sur la caractéristique. Pour les caractéristiques qui sont appliquées bidirectionnel, tout le trafic qui entre ou quitte l'interface à laquelle vous appliquez la carte de stratégie est affecté si le trafic apparie le class map pour les deux directions. Quand vous utilisez une stratégie globale toutes les caractéristiques sont unidirectionnelles ; les caractéristiques qui sont normalement bidirectionnelles une fois appliquées à une interface unique s'appliquent seulement au d'entrée de chaque interface une fois appliquées globalement. Puisque la stratégie est appliquée à toutes les interfaces, la stratégie est appliquée dans les deux directions ainsi le bidirectionality est dans ce cas redondant.

  • Pour le trafic de TCP et UDP (et le Protocole ICMP (Internet Control Message Protocol) quand vous activez l'inspection d'ICMP d'avec état), les stratégies de service traitent la circulation et pas simplement des paquets individuels. Si le trafic fait partie d'une connexion existante qui apparie une caractéristique dans une stratégie sur une interface, cette circulation ne peut pas également apparier la même caractéristique dans une stratégie sur une autre interface ; seulement la première stratégie est utilisée.

  • Les stratégies de service d'interface ont la priorité au-dessus de la stratégie de service mondial pour une caractéristique donnée.

  • Le nombre maximal de cartes de stratégie est 64, mais vous pouvez seulement appliquer une carte de stratégie par interface.

Configurez

Diagramme du réseau

 

La circulation pour l'ASA et le CWS

  1. Les demandes d'utilisateur l'URL par l'intermédiaire du navigateur Web.

  2. Le trafic est envoyé à l'ASA pour sortir l'Internet. L'ASA exécute NAT exigé et basee sur le protocole HTTP/HTTPS, des correspondances à la stratégie d'interface interne et l'obtient réorienté à Cisco CWS.

  3. CWS analyse la demande basée sur la configuration faite dans le ScanCenter portail et si des autorisations de stratégie, en avant la demande aux sites approuvés.

  4. CWS examine le trafic retourné et réoriente la même chose à l'ASA.

  5. Basé sur l'écoulement de session mis à jour, l'ASA envoie le trafic de nouveau à l'utilisateur.

La circulation pour l'ASA et le CX/FirePower

  1. Tout le trafic autre que le HTTP et le HTTPS est configuré pour apparier l'ASA CX/FirePower pour l'inspection et est réorienté à CX/FirePower au-dessus du fond de panier ASA.

  2. L'ASA CX/FirePower examine le trafic basé sur les stratégies configurées et prend exigé laissent/blocs/action d'alerte.

Configurations

Liste d'accès pour apparier tout le trafic attaché du Web d'Internet (TCP/80) et pour exclure tout le trafic interne

!ASA CWS HTTP Match
access-list cws-www extended deny ip any4 10.0.0.0 255.0.0.0
access-list cws-www extended deny ip any4 172.16.0.0 255.240.0.0
access-list cws-www extended deny ip any4 192.168.0.0 255.255.0.0
access-list cws-www extended permit tcp any4 any4 eq www

Liste d'accès pour apparier tout le trafic attaché de l'Internet HTTPS (TCP/443) et pour exclure tout le trafic interne

!ASA CWS HTTPS Match
access-list cws-https extended deny ip any4 10.0.0.0 255.0.0.0
access-list cws-https extended deny ip any4 172.16.0.0 255.240.0.0
access-list cws-https extended deny ip any4 192.168.0.0 255.255.0.0
access-list cws-https extended permit tcp any4 any4 eq https

La liste d'accès pour apparier tout le trafic interne, excluent tout le Web attaché d'Internet et trafic HTTPS et tous autres ports

!ASA CX/FirePower Match
access-list asa-ngfw extended permit tcp any4 10.0.0.0 255.0.0.0 eq 80 
access-list asa-ngfw extended permit tcp any4 172.16.0.0 255.240.0.0 eq 80
access-list asa-ngfw extended permit tcp any4 192.168.0.0 255.255.0.0 eq 80
access-list asa-ngfw extended deny tcp any4 any4 eq www
access-list asa-ngfw extended permit tcp any4 10.0.0.0 255.0.0.0 eq 443
access-list asa-ngfw extended permit tcp any4 172.16.0.0 255.240.0.0 eq 443
access-list asa-ngfw extended permit tcp any4 192.168.0.0 255.255.0.0 eq 443
access-list asa-ngfw extended deny tcp any4 any4 eq https
access-list asa-ngfw extended permit ip any4 any4

Configuration de class map pour apparier le trafic pour CWS et CX/FirePower

! Match HTTPS traffic for CWS
class-map cmap-https
match access-list cws-https

! Match HTTP traffic for CWS
class-map cmap-http
match access-list cws-www

! Match traffic for ASA CX/FirePower
class-map cmap-ngfw
match access-list asa-ngfw

Configuration de policy-map pour associer des actions avec des class map

!Inspection policy map to configure essential parameters for the rules and
optionally !identify the whitelist for HTTP traffic
policy-map type inspect scansafe http-pmap
parameters
default group cws_default
http

!Inspection policy map to configure essential parameters for the rules and
optionally !identify the whitelist for HTTPS traffic
policy-map type inspect scansafe https-pmap
parameters
default group cws_default
https

! Interface policy local to Inside Interface
policy-map cws_policy
class cmap-http
inspect scansafe http-pmap fail-open
class cmap-https
inspect scansafe https-pmap fail-open

! Global Policy with Inspection enabled using ASA CX
policy-map global_policy
class inspection_default
<SNIP>
class cmap-ngfw
cxsc fail-open
class class-default
user-statistics accounting

Lancez la stratégie globalement pour CX/FirePower et CWS sur l'interface

service-policy global_policy global
service-policy cws_policy inside

Remarque: Dans cet exemple, on le suppose que le trafic web commence seulement de l'intérieur de la zone de Sécurité. Vous pouvez utiliser des stratégies d'interface sur toutes les interfaces où vous vous attendez au trafic web ou utilisez les mêmes classes dans la stratégie globale. C'est juste d'expliquer le fonctionnement de CWS et l'utilisation de MPF afin de prendre en charge notre condition requise.

Enable CWS sur l'ASA (aucune différence)

scansafe general-options
server primary ip 203.0.113.1 port 8080
server backup ip 203.0.113.2 port 8080
retry-count 5
license xxxxxxxxxxxxxxxxxxxxxxxxxxx
!

Afin de s'assurer que toutes les connexions utilisent la nouvelle stratégie, vous devez déconnecter les connexions en cours ainsi elles peuvent rebrancher avec la nouvelle stratégie. Voyez le clear conn ou les commandes claires d'hôte local.

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

Sélectionnez la commande de statistiques de scansafe d'exposition afin de vérifier le service à activer et cela l'ASA réoriente le trafic. Les essais ultérieurs affichent l'incrément dans les comptages des sessions, les sessions en cours, et les octets transférés.

csaxena-cws-asa# show scansafe statistics 
Current HTTP sessions : 0
Current HTTPS sessions : 0
Total HTTP Sessions : 1091
Total HTTPS Sessions : 5893
Total Fail HTTP sessions : 0
Total Fail HTTPS sessions : 0
Total Bytes In : 473598 Bytes
Total Bytes Out : 1995470 Bytes
HTTP session Connect Latency in ms(min/max/avg) : 10/23/11
HTTPS session Connect Latency in ms(min/max/avg) : 10/190/11

Sélectionnez la commande de show service-policy afin de voir les incréments en paquets examinés :

asa# show service-policy         
Global policy:
Service-policy: global_policy
Class-map: inspection_default
<SNIP>
<SNIP>
Class-map: cmap-ngfw
CXSC: card status Up, mode fail-open, auth-proxy disabled
packet input 275786624, packet output 272207060, drop 0,reset-drop 36,proxied 0
Class-map: class-default
Default Queueing Packet recieved 150146, sent 156937, attack 2031

Interface inside:
Service-policy: cws_policy
Class-map: cmap-http
Inspect: scansafe http-pmap fail-open, packet 176, lock fail 0, drop 0,
reset-drop 0, v6-fail-close 0
Class-map: cmap-https
Inspect: scansafe https-pmap fail-open, packet 78, lock fail 0, drop 13,
reset-drop 0, v6-fail-close 0

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Afin de dépanner n'importe quel problème lié à la configuration ci-dessus et comprendre l'écoulement de paquet, sélectionnez cette commande :

asa(config)# packet-tracer input inside tcp 10.0.0.1 80 192.0.2.105 80 det

Phase: 1
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
<SNIP>
<This phase will show up if you are capturing same traffic as well>

Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
Forward Flow based lookup yields rule:
in <SNIP>

Phase: 3
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
in 0.0.0.0 0.0.0.0 via 198.51.100.1, outside
<Confirms egress interface selected. We need to ensure we have CWS
connectivity via the same interface>

Phase: 4
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
in 10.0.0.0 255.255.254.0 via 10.0.0.0.1, inside

Phase: 5
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside_in in interface inside
access-list inside_in extended permit ip any any
Additional Information:
<SNIP>

Phase: 6
Type: NAT
Subtype:
Result: ALLOW
Config:
object network obj-inside_to_outside
nat (inside,outside) dynamic interface
Additional Information:
Dynamic translate 10.0.0.1/80 to 198.51.100.1/80
Forward Flow based lookup yields rule:
in <SNIP>

Phase: 7
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in <SNIP>

Phase: 8
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in <SNIP>

Phase: 9
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
class-map cmap-http
match access-list cws-www
policy-map inside_policy
class cmap-http
inspect scansafe http-pmap fail-open
service-policy inside_policy interface inside
Additional Information:
Forward Flow based lookup yields rule:
in id=0x7fff2cd3fce0, priority=72, domain=inspect-scansafe, deny=false
hits=8, user_data=0x7fff2bb86ab0, cs_id=0x0, use_real_addr,flags=0x0,protocol=6
src ip/id=10.0.0.11, mask=255.255.255.255, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=80, tag=0, dscp=0x0
input_ifc=inside, output_ifc=any
<Verify the configuration, port, domain, deny fields>

Phase: 10
Type: CXSC
Subtype:
Result: ALLOW
Config:
class-map ngfw-cx
match access-list asa-cx
policy-map global_policy
class ngfw
cxsc fail-open
service-policy global_policy global
Additional Information:
Forward Flow based lookup yields rule:
in id=0x7fff2c530970, priority=71, domain=cxsc, deny=true
hits=5868,user_data=0x7fff2c931380,cs_id=0x0,use_real_addr,flags=0x0,protocol=6
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=80, tag=0, dscp=0x0
input_ifc=inside, output_ifc=any

Phase: 11
Type:
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
out <SNIP>

Phase: 12
Type:
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
out <SNIP>

Phase: 13
Type: USER-STATISTICS
Subtype: user-statistics
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
out <SNIP>
<In this example, IDFW is not configured>

Phase: 14
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
in <SNIP>

Phase: 15
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
in <SNIP>

Phase: 16
Type: USER-STATISTICS
Subtype: user-statistics
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
out <SNIP>

Phase: 17
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 3855350, packet dispatched to next module
Module information for forward flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_tcp_normalizer
snp_fp_inline_tcp_mod
snp_fp_translate
snp_fp_tcp_normalizer
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Module information for reverse flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_tcp_normalizer
snp_fp_translate
snp_fp_inline_tcp_mod
snp_fp_tcp_normalizer
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

Informations connexes



Document ID: 118687