Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

PIX/ASA 7.X: Examen global predeterminado de la neutralización y Inspección de la aplicación no valor por defecto del permiso

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento describe cómo quitar la inspección predeterminada de la política global para una aplicación y cómo habilitar la inspección para una aplicación no predeterminada.

Refiera a ASA 8.3 y posterior: Inhabilite el examen global predeterminado y habilite la Inspección de la aplicación no valor por defecto usando el ASDM para más información sobre la configuración idéntica usando el ASDM con el dispositivo de seguridad adaptante de Cisco (ASA) con la versión 8.3 y posterior.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en el dispositivo de seguridad PIX que funciona con la imagen del software 7.x.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos Relacionados

Esta configuración se puede también utilizar con el dispositivo de seguridad adaptante (ASA) esos funcionamientos la imagen del software 7.x.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Omita la política global

Por abandono, la configuración incluye una directiva que haga juego todo el tráfico del examen de la aplicación predeterminada y aplique ciertos exámenes al tráfico en todas las interfaces (una política global). No todos los exámenes se habilitan por abandono. Usted puede aplicar solamente una política global. Si usted quiere alterar la política global, usted debe editar la política predeterminada o inhabilitarla y aplicar un nuevo. (Una directiva de la interfaz reemplaza la política global.)

La configuración de la política predeterminada incluye estos comandos:

class-map inspection_default
 match default-inspection-traffic
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
service-policy global_policy global

Examen global predeterminado de la neutralización para una aplicación

Para inhabilitar el examen global para una aplicación, no utilice la ninguna versión del comando inspect.

Por ejemplo, para quitar el examen global para la aplicación FTP la cual el dispositivo de seguridad escucha, utilice el ningún examinan el comando ftp en el modo de configuración de clase.

El modo de configuración de clase es accesible del modo de la configuración de correspondencia de políticas. Para quitar la configuración, no utilice la ninguna forma del comando.

pixfirewall(config)#policy-map global_policy
pixfirewall(config-pmap)#class inspection_default
pixfirewall(config-pmap-c)#no inspect ftp

Nota: Para más información sobre el examen FTP, refiera al PIX/ASA 7.x: Habilite el ejemplo de configuración de los servicios FTP/TFTP.

Habilite el examen para la aplicación no valor por defecto

El examen aumentado HTTP se inhabilita por abandono.

Para habilitar la Inspección de la aplicación HTTP o para cambiar los puertos los cuales el dispositivo de seguridad escucha, utilice el comando HTTP de la inspección en el modo de configuración de clase.

El modo de configuración de clase es accesible del modo de la configuración de correspondencia de políticas. Para quitar la configuración, no utilice la ninguna forma de este comando.

Cuando está utilizado conjuntamente con el argumento del HTTP-mapa, el comando HTTP de la inspección protege contra los ataques específicos y otras amenazas que se pudieron asociar al tráfico HTTP.

Para más información sobre cómo utilizar el argumento del HTTP-mapa con el comando HTTP de la inspección, refiera a la sección HTTP de la inspección de examinan el ctiqbe examinan a través los comandos del xdmcp.

Nota:  El mensaje de error aparece como se muestra cuando la doble-codificación se utiliza en algunos URL. Si usted debe permitir el acceso a este tipo de sitio web, usted puede inhabilitar el examen estricto HTTP para resolver este problema.

"%PIX-4-415012:15 HTTP Deobfuscation signature detected - Reset HTTP deobfuscation
detected IDS evasion technique from x.x.x.x to y.y.y.y

Nota: donde x.x.x.x y el y.y.y.y representa los IP Addresses

En este ejemplo, cualquier conexión HTTP (tráfico TCP en el puerto 80) que ingresa el dispositivo de seguridad a través de cualquier interfaz se clasifica para el examen HTTP. Porque la directiva es una política global, el examen ocurre solamente mientras que el tráfico ingresa cada interfaz.

hostname(config)#class-map http_traffic
hostname(config-cmap)#match port tcp eq 80
hostname(config)#policy-map http_traffic_policy
hostname(config-pmap)#class http_traffic
hostname(config-pmap-c)#inspect http
hostname(config)#service-policy http_traffic_policy global

En este ejemplo, cualquier conexión HTTP (tráfico TCP en el puerto 80) que ingresa o sale el dispositivo de seguridad a través de la interfaz exterior se clasifica para el examen HTTP.

hostname(config)#class-map http_traffic
hostname(config-cmap)#match port tcp eq 80
hostname(config)#policy-map http_traffic_policy
hostname(config-pmap)#class http_traffic
hostname(config-pmap-c)#inspect http
hostname(config)#service-policy http_traffic_policy interface outside

Este ejemplo muestra cómo identificar el tráfico HTTP, definir una correspondencia HTTP, definir una directiva, y aplicar la directiva a la interfaz exterior:


hostname(config)#class-map http-port 
hostname(config-cmap)#match port tcp eq 80
hostname(config-cmap)#exit
hostname(config)#http-map inbound_http
hostname(config-http-map)#content-length min 100 max 2000 action reset log
hostname(config-http-map)#content-type-verification match-req-rsp reset log
hostname(config-http-map)#max-header-length request bytes 100 action log reset
hostname(config-http-map)#max-uri-length 100 action reset log
hostname(config-http-map)#exit
hostname(config)#policy-map inbound_policy 
hostname(config-pmap)#class http-port
hostname(config-pmap-c)#inspect http inbound_http 
hostname(config-pmap-c)#exit
hostname(config-pmap)#exit
hostname(config)#service-policy inbound_policy interface outside

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 91891