Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASDM 6.3 и позже: пример конфигурации контроля IP - режимов

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет пример конфигурации того, как настроить устройство адаптивной защиты Cisco (ASA) для передачи пакетов IP с определенными включенными IP - режимами.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Cisco ASA рабочая версия релиза ПО 8.3 и позже

  • Cisco Адаптивный Менеджер безопасности рабочая версия релиза ПО 6.3 и позже

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

Каждый пакет IP содержит IP - заголовок с полем Options. Поле Options, обычно называемое IP - режимами, предоставляет контрольные функции, которые требуются в некоторых ситуациях, но ненужные для наиболее распространенной связи. В частности IP - режимы включает условия для штампов времени, безопасности и специальной маршрутизации. Использование IP - режимов является дополнительным, и поле может содержать нуль, один, или больше опций.

IP - режимы являются угрозой безопасности и если пакет IP с включенным полем IP Options передадут через ASA, то это пропустит информацию о внутренней настройке сети к внешней стороне. В результате атакующий может сопоставить топологию вашей сети. Поскольку Cisco ASA является устройством, которое принуждает безопасность на предприятии, по умолчанию, это отбрасывает пакеты, которым включили поле IP Options. Типовое сообщение системного журнала показывают здесь для вашей ссылки:

106012|10.110.1.34||XX.YY.ZZ.ZZ||Deny IP from 10.110.1.34 to XX.YY.ZZ.ZZ, IP options: "Router Alert"

Однако в определенных сценариях развертывания, куда Видеотрафик должен пройти через Cisco ASA, через пакеты IP с определенными IP - режимами нужно пройти иначе, вызов видеоконференции может отказать. От версии релиза ПО 8.2.2 Cisco ASA и далее, была представлена новая характеристика, вызванная "Контроль для IP - режимов". С этой функцией можно управлять, какие пакеты с определенными IP - режимами позволены через Cisco ASA.

По умолчанию эта опция активирована, и контроль для IP - режимов ниже включены в глобальной политике. Настройка этот контроль дает ASA команду позволять пакету проходить, или очищать указанные IP - режимы и затем позволять пакету проходить.

  • Конец списка опций (EOOL) или IP - режим 0 - Эта опция появляется в конце всех опций для маркировки конца списка опций.

  • Никакая Операция (NOP) или IP - режим 1 - Это поле опций не делает общую длину полевой переменной.

  • Оповещение маршрутизатора (RTRALT) или IP - режим 20 - Эта опция уведомляет транзитные маршрутизаторы для осмотра содержания пакета, даже когда пакет не предназначен для того маршрутизатора.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Настройка посредством ASDM

Использование ASDM, вы видите, как включить контроль для пакетов IP, которые имеют поле IP Options, NOP.

Поле Options в IP - заголовке может содержать нуль, один, или больше опций, который делает общую длину полевой переменной. Однако IP - заголовок должен быть множителем 32 битов. Если количество битов всех опций не является множителем 32 битов, опция NOP используется в качестве "внутреннего заполнения" для выравнивания опций на 32-разрядной границе.

  1. Перейдите к Конфигурации> Межсетевой экран>, Объекты> Осматривают Карты> IP - режимы и нажмите Add.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113499-asa-ip-options-01.gif

  2. Окно Add IP-Options Inspect Map появляется. Задайте название Осмотреть Карты, выберите пакеты Allow опцией No Operation (NOP) и нажмите OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113499-asa-ip-options-02.gif

    Примечание: Можно также выбрать Clear значение параметра от пакетной опции, так, чтобы это поле в пакете IP было отключено, и пакеты проходят через Cisco ASA.

  3. Новое осматривает карту, названную testmap, создан. Щелкните "Применить".

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113499-asa-ip-options-03.gif

  4. Перейдите к Конфигурации> Межсетевой экран> Правила Политики обслуживания, выберите существующую глобальную политику и нажмите Edit. Окно Edit Service Policy Rule появляется. Выберите вкладку Rule Actions, метка выбора элемент IP - режимов, и выберите Configure для присвоения недавно созданной инспекционной карты.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113499-asa-ip-options-04.gif

  5. Выберите Select an IP-Options осматривают карту для точной регулировки по контролю> testmap и нажимают OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113499-asa-ip-options-05.gif

  6. Выбранные осматривают карту, может быть просмотрен в поле IP-Options. Нажмите OK для возвращения назад к вкладке Service Policy Rules.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113499-asa-ip-options-06.gif

  7. С вашей мышью нависните над вкладкой Rule Actions так, чтобы можно было найти все доступные карты контроля протокола привязанными к этой глобальной карте.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113499-asa-ip-options-07.gif

Вот типовой фрагмент эквивалентной конфигурации CLI для вашей ссылки:

Cisco ASA
ciscoasa(config)#policy-map type inspect ip-options testmap

ciscoasa(config-pmap)#parameters

ciscoasa(config-pmap-p)#nop action allow

ciscoasa(config-pmap-p)#exit

ciscoasa(config)#policy-map global_policy

ciscoasa(config-pmap)#class inspection_default

ciscoasa(config-pmap-c)#inspect ip-options testmap

ciscoasa(config-pmap-p)#exit

ciscoasa(config)#write memory

Поведение по умолчанию Cisco ASA для Разрешения Пакетов RSVP

Контроль IP - режимов включен по умолчанию. Перейдите к Конфигурации> Межсетевой экран> Правила Политики обслуживания. Выберите Global Policy, нажмите Edit и выберите вкладку Default Inspections. Здесь, вы найдете протокол RSVP в поле IP-Options. Это гарантирует, что протокол RSVP осмотрен и позволен через Cisco ASA. В результате сквозной видеовызов установлен без любой проблемы.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113499-asa-ip-options-08.gif

Проверка

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

  • IP опции inspect show service-policy - Отображают количество пакетов, отброшенных и/или позволенных согласно настроенному правилу стратегии обслуживания.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.


Дополнительные сведения


Document ID: 113499