Seguridad : Software Cisco Adaptive Security Appliance (ASA)

ASA con el ejemplo del módulo CX/FirePower y de la configuración del conector del CWS

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe cómo utilizar el dispositivo de seguridad adaptante de Cisco (ASA) con el módulo enterado del contexto (CX), también conocido como el Firewall de la última generación, y el conector de la Seguridad de la red de la nube de Cisco (CWS).

Contribuido por Jennifer Halim, Ashok Sakthivel, y Chirag Saxena, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que usted tiene:

  • Licencia 3DES/AES en ASA (licencia libre)

  • Servicio válido/licencia del CWS de utilizar el CWS para el número requerido de usuarios

  • Acceso al portal de ScanCenter para generar la clave de autenticación

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

Alcance

Este documento muestra estas áreas de la tecnología y de los Productos:

  • Los dispositivos de seguridad adaptantes de las 5500-X Series de Cisco ASA proporcionan la Seguridad y la prevención de intrusiones del Firewall del borde de Internet.

  • La Seguridad de la red de la nube de Cisco proporciona el control granular sobre todo el contenido de la Web se acceda que.

Utilice el caso

El módulo ASA CX/FirePower tiene la capacidad para soportar ambos el requisito contento de la Seguridad y de la prevención de intrusiones, dependiente sobre las características de la licencia habilitadas en el ASA CX/FirePower. La Seguridad de la red de la nube no se soporta con el módulo ASA CX/FirePower. Si usted configura la acción ASA CX/FirePower y se nubla el examen de la Seguridad de la red para el mismo flujo de tráfico, el ASA realiza solamente la acción ASA CX/FirePower. Para leverage las características del CWS para la Seguridad de la red, usted necesita asegurarse que el tráfico esté desviado en la declaración de coincidencia para ASA CX/FirePower. Típicamente, en tal escenario, los clientes utilizarán el CWS para la Seguridad de la red y el módulo AVC (puerto 80 y 443) y CX/FirePower para el resto de los puertos.

Puntos claves

  • El comando del valor por defecto-examen-tráfico de la coincidencia no incluye los puertos predeterminados para el examen de la Seguridad de la red de la nube (80 y 443).

  • Las acciones se aplican para traficar bidireccional o unidirectionally dependiente sobre la característica. Para las características que se aplican bidireccional, todo el tráfico que ingresa o sale la interfaz a la cual usted aplica la correspondencia de políticas es afectado si el tráfico corresponde con la correspondencia de la clase para las ambas direcciones. Cuando usted utiliza una política global todas las características son unidireccionales; las características que son normalmente bidireccionales cuando están aplicadas a una sola interfaz se aplican solamente al ingreso de cada interfaz cuando están aplicadas global. Porque la directiva se aplica a todas las interfaces, la directiva se aplica en las ambas direcciones así que el bidirectionality en este caso es redundante.

  • Para el tráfico TCP y UDP (y el Internet Control Message Protocol (ICMP) cuando usted habilita la inspección icmp stateful), las políticas de servicio actúan encendido los flujos de tráfico y no apenas los paquetes individuales. Si el tráfico es parte de a la conexión existente que hace juego una característica en una directiva en una interfaz, ese flujo de tráfico no puede también hacer juego la misma característica en una directiva en otra interfaz; solamente se utiliza la primera directiva.

  • Las políticas de servicio de la interfaz toman la precedencia sobre la directiva de servicio global para una característica dada.

  • El número máximo de correspondencias de políticas es 64, pero usted puede aplicar solamente una correspondencia de políticas por la interfaz.

Configurar

Diagrama de la red

 

Flujo de tráfico para el ASA y el CWS

  1. Las peticiones del usuario el URL vía el buscador Web.

  2. El tráfico se envía al ASA para salir Internet. El ASA realiza el NAT requerido y basado en el protocolo HTTP/HTTPS, hace juego a la directiva de la interfaz interior y consigue reorientado a Cisco el CWS.

  3. El CWS analiza la petición basada en la configuración hecha en el ScanCenter porta y si la directiva permite, adelante la petición a los sitios aprobados.

  4. El CWS examina el tráfico vuelto y reorienta lo mismo al ASA.

  5. De acuerdo con el flujo de la sesión mantenido, el ASA envía el tráfico de nuevo al usuario.

Flujo de tráfico para el ASA y el CX/FirePower

  1. Todo el tráfico con excepción del HTTP y del HTTPS se configura para hacer juego el ASA CX/FirePower para el examen y se reorienta a CX/FirePower sobre el backplane ASA.

  2. El ASA CX/FirePower examina el tráfico basado en las directivas configuradas y toma requerido permite/medidas del bloque/de la alerta.

Configuraciones

Lista de acceso para hacer juego todo el tráfico encuadernado de la red de Internet (TCP/80) y para excluir todo el tráfico interno

!ASA CWS HTTP Match
access-list cws-www extended deny ip any4 10.0.0.0 255.0.0.0
access-list cws-www extended deny ip any4 172.16.0.0 255.240.0.0
access-list cws-www extended deny ip any4 192.168.0.0 255.255.0.0
access-list cws-www extended permit tcp any4 any4 eq www

Lista de acceso para hacer juego todo el tráfico encuadernado de Internet HTTPS (TCP/443) y para excluir todo el tráfico interno

!ASA CWS HTTPS Match
access-list cws-https extended deny ip any4 10.0.0.0 255.0.0.0
access-list cws-https extended deny ip any4 172.16.0.0 255.240.0.0
access-list cws-https extended deny ip any4 192.168.0.0 255.255.0.0
access-list cws-https extended permit tcp any4 any4 eq https

La lista de acceso para hacer juego todo el tráfico interno, excluye toda la red encuadernada de Internet y tráfico HTTPS y el resto de los puertos

!ASA CX/FirePower Match
access-list asa-ngfw extended permit tcp any4 10.0.0.0 255.0.0.0 eq 80 
access-list asa-ngfw extended permit tcp any4 172.16.0.0 255.240.0.0 eq 80
access-list asa-ngfw extended permit tcp any4 192.168.0.0 255.255.0.0 eq 80
access-list asa-ngfw extended deny tcp any4 any4 eq www
access-list asa-ngfw extended permit tcp any4 10.0.0.0 255.0.0.0 eq 443
access-list asa-ngfw extended permit tcp any4 172.16.0.0 255.240.0.0 eq 443
access-list asa-ngfw extended permit tcp any4 192.168.0.0 255.255.0.0 eq 443
access-list asa-ngfw extended deny tcp any4 any4 eq https
access-list asa-ngfw extended permit ip any4 any4

Configuración de asignación de la clase para hacer juego el tráfico para el CWS y CX/FirePower

! Match HTTPS traffic for CWS
class-map cmap-https
match access-list cws-https

! Match HTTP traffic for CWS
class-map cmap-http
match access-list cws-www

! Match traffic for ASA CX/FirePower
class-map cmap-ngfw
match access-list asa-ngfw

Configuración de correspondencia de políticas para asociar las acciones a las correspondencias de la clase

!Inspection policy map to configure essential parameters for the rules and
optionally !identify the whitelist for HTTP traffic
policy-map type inspect scansafe http-pmap
parameters
default group cws_default
http

!Inspection policy map to configure essential parameters for the rules and
optionally !identify the whitelist for HTTPS traffic
policy-map type inspect scansafe https-pmap
parameters
default group cws_default
https

! Interface policy local to Inside Interface
policy-map cws_policy
class cmap-http
inspect scansafe http-pmap fail-open
class cmap-https
inspect scansafe https-pmap fail-open

! Global Policy with Inspection enabled using ASA CX
policy-map global_policy
class inspection_default
<SNIP>
class cmap-ngfw
cxsc fail-open
class class-default
user-statistics accounting

Active la directiva global para CX/FirePower y el CWS en la interfaz

service-policy global_policy global
service-policy cws_policy inside

Nota: En este ejemplo, se asume que el tráfico de la Web origina solamente por dentro de la zona de Seguridad. Usted puede utilizar las directivas de la interfaz en todas las interfaces donde usted cuenta con el tráfico de la Web o utiliza las mismas clases dentro de la política global. Éste es apenas demostrar el funcionamiento del CWS y el uso del MPF para soportar nuestro requisito.

CWS del permiso en el ASA (ninguna diferencia)

scansafe general-options
server primary ip 203.0.113.1 port 8080
server backup ip 203.0.113.2 port 8080
retry-count 5
license xxxxxxxxxxxxxxxxxxxxxxxxxxx
!

Para asegurarse de que todas las conexiones utilicen la nueva directiva, usted necesita desconectar las conexiones actuales así que pueden volver a conectar con la nueva directiva. Vea las conec claras o los comandos claros del host local.

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

Ingrese el comando statistics del scansafe de la demostración para verificar el servicio que se habilitará y que el ASA reorienta el tráfico. Los intentos subsiguientes muestran el incremento en las cuentas de sesiones, las sesiones en curso, y los bytes transferidos.

csaxena-cws-asa# show scansafe statistics 
Current HTTP sessions : 0
Current HTTPS sessions : 0
Total HTTP Sessions : 1091
Total HTTPS Sessions : 5893
Total Fail HTTP sessions : 0
Total Fail HTTPS sessions : 0
Total Bytes In : 473598 Bytes
Total Bytes Out : 1995470 Bytes
HTTP session Connect Latency in ms(min/max/avg) : 10/23/11
HTTPS session Connect Latency in ms(min/max/avg) : 10/190/11

Ingrese el comando service-policy de la demostración para ver los incrementos en los paquetes examinados:

asa# show service-policy         
Global policy:
Service-policy: global_policy
Class-map: inspection_default
<SNIP>
<SNIP>
Class-map: cmap-ngfw
CXSC: card status Up, mode fail-open, auth-proxy disabled
packet input 275786624, packet output 272207060, drop 0,reset-drop 36,proxied 0
Class-map: class-default
Default Queueing Packet recieved 150146, sent 156937, attack 2031

Interface inside:
Service-policy: cws_policy
Class-map: cmap-http
Inspect: scansafe http-pmap fail-open, packet 176, lock fail 0, drop 0,
reset-drop 0, v6-fail-close 0
Class-map: cmap-https
Inspect: scansafe https-pmap fail-open, packet 78, lock fail 0, drop 13,
reset-drop 0, v6-fail-close 0

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Para resolver problemas cualquier problema relacionado con la configuración antedicha y entender el flujo de paquetes, ingrese este comando:

asa(config)# packet-tracer input inside tcp 10.0.0.1 80 192.0.2.105 80 det

Phase: 1
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
<SNIP>
<This phase will show up if you are capturing same traffic as well>

Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
Forward Flow based lookup yields rule:
in <SNIP>

Phase: 3
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
in 0.0.0.0 0.0.0.0 via 198.51.100.1, outside
<Confirms egress interface selected. We need to ensure we have CWS
connectivity via the same interface>

Phase: 4
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
in 10.0.0.0 255.255.254.0 via 10.0.0.0.1, inside

Phase: 5
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside_in in interface inside
access-list inside_in extended permit ip any any
Additional Information:
<SNIP>

Phase: 6
Type: NAT
Subtype:
Result: ALLOW
Config:
object network obj-inside_to_outside
nat (inside,outside) dynamic interface
Additional Information:
Dynamic translate 10.0.0.1/80 to 198.51.100.1/80
Forward Flow based lookup yields rule:
in <SNIP>

Phase: 7
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in <SNIP>

Phase: 8
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in <SNIP>

Phase: 9
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
class-map cmap-http
match access-list cws-www
policy-map inside_policy
class cmap-http
inspect scansafe http-pmap fail-open
service-policy inside_policy interface inside
Additional Information:
Forward Flow based lookup yields rule:
in id=0x7fff2cd3fce0, priority=72, domain=inspect-scansafe, deny=false
hits=8, user_data=0x7fff2bb86ab0, cs_id=0x0, use_real_addr,flags=0x0,protocol=6
src ip/id=10.0.0.11, mask=255.255.255.255, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=80, tag=0, dscp=0x0
input_ifc=inside, output_ifc=any
<Verify the configuration, port, domain, deny fields>

Phase: 10
Type: CXSC
Subtype:
Result: ALLOW
Config:
class-map ngfw-cx
match access-list asa-cx
policy-map global_policy
class ngfw
cxsc fail-open
service-policy global_policy global
Additional Information:
Forward Flow based lookup yields rule:
in id=0x7fff2c530970, priority=71, domain=cxsc, deny=true
hits=5868,user_data=0x7fff2c931380,cs_id=0x0,use_real_addr,flags=0x0,protocol=6
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=80, tag=0, dscp=0x0
input_ifc=inside, output_ifc=any

Phase: 11
Type:
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
out <SNIP>

Phase: 12
Type:
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
out <SNIP>

Phase: 13
Type: USER-STATISTICS
Subtype: user-statistics
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
out <SNIP>
<In this example, IDFW is not configured>

Phase: 14
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
in <SNIP>

Phase: 15
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
in <SNIP>

Phase: 16
Type: USER-STATISTICS
Subtype: user-statistics
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
out <SNIP>

Phase: 17
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 3855350, packet dispatched to next module
Module information for forward flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_tcp_normalizer
snp_fp_inline_tcp_mod
snp_fp_translate
snp_fp_tcp_normalizer
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Module information for reverse flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_tcp_normalizer
snp_fp_translate
snp_fp_inline_tcp_mod
snp_fp_tcp_normalizer
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

Información Relacionada



Document ID: 118687