Безопасность : программное обеспечение для адаптивных устройств обеспечения безопасности Cisco ASA

ASA с Модулем CX/Огневой мощи и Примером конфигурации Разъёма CWS

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Содержание

Связанные обсуждения сообщества поддержки Cisco

Введение

Этот документ описывает, как использовать устройство адаптивной защиты Cisco (ASA) с С учетом контекста (CX) модуль, также известный как межсетевой экран Следующего поколения и Разъём Облачной веб-безопасности (CWS) Cisco.

Внесенный Дженнифер Хэлим, Ashok Sakthivel, и Chirag Saxena, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Cisco рекомендует иметь:

  • Лицензия 3DES/AES на ASA (Бесплатная лицензия)

  • Допустимый сервис/лицензия CWS для использования CWS для нужного количества пользователей

  • Доступ к Порталу ScanCenter для генерации Ключа проверки подлинности

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

Scope

Этот документ показывает эти области технологии и продуктов:

  • Устройства адаптивной безопасности Cisco ASA 5500-X Series предоставляют интернет-граничную межсетевую защиту и предотвращение вторжений.

  • Облачная веб-Безопасность Cisco предоставляет гранулированный контроль над всем вебом - контентом, к которому обращаются.

Вариант использования

 Модуль CX/Огневой мощи ASA имеет возможность поддержать и требование Безопасности содержания и Предотвращения вторжений, зависящий от функций лицензии включил на CX/Огневой мощи ASA. Облачная веб-Безопасность не поддерживается с модулем CX/Огневой мощи ASA. При настройке и действия CX/Огневой мощи ASA и Облачной веб-Проверки безопасности для того же трафика ASA только выполняет действие CX/Огневой мощи ASA. Для усиления функций CWS веб-Безопасности необходимо гарантировать, что трафик обходится в сообщении о совпадении для CX/Огневой мощи ASA. Как правило, в таком сценарии, клиенты будут использовать CWS для веб-Безопасности и AVC (порт 80 и 443) и модуль CX/Огневой мощи для всех других портов.

Ключевые точки

  • Команда соответствия инспекционного трафика по умолчанию не включает порты по умолчанию для Облачной веб-Проверки безопасности (80 и 443).

  • Действия применены к трафику двунаправленным образом или однонаправлено зависящие от функции. Для функций, которые применены двунаправленным образом, влияют на весь трафик, который вводит или выходит из интерфейса, к который вы применяете карту политик, если трафик совпадает с картой классов для обоих направлений. При использовании глобальной политики, все функции однонаправлены; функции, которые являются обычно двунаправленными, когда применено к один интерфейс только, применяются к входу каждого интерфейса, когда применено глобально. Поскольку политика применена ко всем интерфейсам, политика применена в обоих направлениях, таким образом, двунаправленность в этом случае избыточна.

  • Для Трафика TCP и трафика UDP (и Протокол ICMP при включении Инспектирования icmp с отслеживанием состояния), политика обслуживания воздействует на трафики и не просто конкретные пакеты. Если трафик является частью существующего соединения, которое совпадает с функцией в политике по одному интерфейсу, тот трафик не может также совпасть с той же функцией в политике по другому интерфейсу; только первая политика используется.

  • Интерфейсная политика обслуживания имеет приоритет по политике глобального сервиса для данной функции.

  • Максимальное число карт политик равняется 64, но можно только применить одну карту политик для интерфейса.

Настройка

Схема сети

 

Трафик для ASA и CWS

  1. Запросы пользователя URL через web-браузер.

  2. Трафик передается ASA, чтобы выйти Интернет. ASA выполняет требуемый NAT и на основе HTTP/HTTPS протокола, соответствий к политике внутреннего интерфейса и перенаправлен к Cisco CWS.

  3. Если политика разрешения, пересылает запрос на утвержденные сайты, CWS анализирует запрос на основе конфигурации, реализованной в портале ScanCenter и.

  4. CWS осматривает возвращенный трафик и перенаправляет то же к ASA.

  5. На основе поддержанного потока сеанса ASA передает трафик обратно пользователю.

Трафик для ASA и CX/Огневой мощи

  1. Весь трафик кроме HTTP и HTTPS настроен для соответствия с CX/Огневой мощью ASA для контроля и перенаправлен к CX/Огневой мощи по объединительной плате ASA.

  2.  CX/Огневая мощь ASA осматривает трафик на основе настроенной политики и берет требуемое, позволяют/блокируют/предупреждают действие.

Конфигурации

Список доступа, чтобы Совпасть со Всем Интернетом Связанная сеть (TCP/80) Трафик и Исключить Весь Внутренний трафик

!ASA CWS HTTP Match
access-list cws-www extended deny ip any4 10.0.0.0 255.0.0.0
access-list cws-www extended deny ip any4 172.16.0.0 255.240.0.0
access-list cws-www extended deny ip any4 192.168.0.0 255.255.0.0
access-list cws-www extended permit tcp any4 any4 eq www

Список доступа, чтобы Совпасть со Всем Интернетом Связанный HTTPS (TCP/443) Трафик и Исключить Весь Внутренний трафик

!ASA CWS HTTPS Match
access-list cws-https extended deny ip any4 10.0.0.0 255.0.0.0
access-list cws-https extended deny ip any4 172.16.0.0 255.240.0.0
access-list cws-https extended deny ip any4 192.168.0.0 255.255.0.0
access-list cws-https extended permit tcp any4 any4 eq https

Список доступа для соответствия со всем внутренним трафиком исключите весь Интернет связанный веб - трафик и трафик HTTPS и все другие порты

!ASA CX/FirePower Match
access-list asa-ngfw extended permit tcp any4 10.0.0.0 255.0.0.0 eq 80 
access-list asa-ngfw extended permit tcp any4 172.16.0.0 255.240.0.0 eq 80
access-list asa-ngfw extended permit tcp any4 192.168.0.0 255.255.0.0 eq 80
access-list asa-ngfw extended deny tcp any4 any4 eq www
access-list asa-ngfw extended permit tcp any4 10.0.0.0 255.0.0.0 eq 443
access-list asa-ngfw extended permit tcp any4 172.16.0.0 255.240.0.0 eq 443
access-list asa-ngfw extended permit tcp any4 192.168.0.0 255.255.0.0 eq 443
access-list asa-ngfw extended deny tcp any4 any4 eq https
access-list asa-ngfw extended permit ip any4 any4

Конфигурация карты классов для соответствия с трафиком и для CWS и для CX/Огневой мощи

! Match HTTPS traffic for CWS
class-map cmap-https
match access-list cws-https

! Match HTTP traffic for CWS
class-map cmap-http
match access-list cws-www

! Match traffic for ASA CX/FirePower
class-map cmap-ngfw
match access-list asa-ngfw

Конфигурация карты политик для соединения действий к картам классов

!Inspection policy map to configure essential parameters for the rules and
optionally !identify the whitelist for HTTP traffic
policy-map type inspect scansafe http-pmap
parameters
default group cws_default
http

!Inspection policy map to configure essential parameters for the rules and
optionally !identify the whitelist for HTTPS traffic
policy-map type inspect scansafe https-pmap
parameters
default group cws_default
https

! Interface policy local to Inside Interface
policy-map cws_policy
class cmap-http
inspect scansafe http-pmap fail-open
class cmap-https
inspect scansafe https-pmap fail-open

! Global Policy with Inspection enabled using ASA CX
policy-map global_policy
class inspection_default
<SNIP>
class cmap-ngfw
cxsc fail-open
class class-default
user-statistics accounting

Активируйте Политику Глобально для CX/Огневой мощи и CWS на Интерфейсе

service-policy global_policy global
service-policy cws_policy inside

Примечание: В данном примере предполагается тот веб - трафик происходит только из зоны безопасности. Можно использовать интерфейсную политику по всем интерфейсам, где вы ожидаете веб - трафик или используете те же классы в глобальной политике. Это должно только продемонстрировать функционирование CWS и использование MPF для поддержки нашего требования.

Включите CWS на ASA (никакое различие)

scansafe general-options
server primary ip 203.0.113.1 port 8080
server backup ip 203.0.113.2 port 8080
retry-count 5
license xxxxxxxxxxxxxxxxxxxxxxxxxxx
!

Чтобы гарантировать, что все соединения используют новую политику, необходимо разъединить текущие соединения, таким образом, они могут повторно соединиться с новой политикой. Посмотрите команды clear conn или clear local-host.

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Введите показ scansafe команда statistics для подтверждения сервиса, который будет включен и что ASA перенаправляет трафик. Последующие попытки показывают инкремент в числах сеансов, текущих сеансах и переданных байтах.

csaxena-cws-asa# show scansafe statistics 
Current HTTP sessions : 0
Current HTTPS sessions : 0
Total HTTP Sessions : 1091
Total HTTPS Sessions : 5893
Total Fail HTTP sessions : 0
Total Fail HTTPS sessions : 0
Total Bytes In : 473598 Bytes
Total Bytes Out : 1995470 Bytes
HTTP session Connect Latency in ms(min/max/avg) : 10/23/11
HTTPS session Connect Latency in ms(min/max/avg) : 10/190/11

Введите команду show service-policy для наблюдения инкрементов в осмотренных пакетах:

asa# show service-policy         
Global policy:
Service-policy: global_policy
Class-map: inspection_default
<SNIP>
<SNIP>
Class-map: cmap-ngfw
CXSC: card status Up, mode fail-open, auth-proxy disabled
packet input 275786624, packet output 272207060, drop 0,reset-drop 36,proxied 0
Class-map: class-default
Default Queueing Packet recieved 150146, sent 156937, attack 2031

Interface inside:
Service-policy: cws_policy
Class-map: cmap-http
Inspect: scansafe http-pmap fail-open, packet 176, lock fail 0, drop 0,
reset-drop 0, v6-fail-close 0
Class-map: cmap-https
Inspect: scansafe https-pmap fail-open, packet 78, lock fail 0, drop 13,
reset-drop 0, v6-fail-close 0

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Для решения любых проблем, отнесенных к вышеупомянутой конфигурации и понять поток пакетов, введите эту команду:

asa(config)# packet-tracer input inside tcp 10.0.0.1 80 192.0.2.105 80 det

Phase: 1
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
<SNIP>
<This phase will show up if you are capturing same traffic as well>

Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
Forward Flow based lookup yields rule:
in <SNIP>

Phase: 3
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
in 0.0.0.0 0.0.0.0 via 198.51.100.1, outside
<Confirms egress interface selected. We need to ensure we have CWS
connectivity via the same interface>

Phase: 4
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
in 10.0.0.0 255.255.254.0 via 10.0.0.0.1, inside

Phase: 5
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside_in in interface inside
access-list inside_in extended permit ip any any
Additional Information:
<SNIP>

Phase: 6
Type: NAT
Subtype:
Result: ALLOW
Config:
object network obj-inside_to_outside
nat (inside,outside) dynamic interface
Additional Information:
Dynamic translate 10.0.0.1/80 to 198.51.100.1/80
Forward Flow based lookup yields rule:
in <SNIP>

Phase: 7
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in <SNIP>

Phase: 8
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in <SNIP>

Phase: 9
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
class-map cmap-http
match access-list cws-www
policy-map inside_policy
class cmap-http
inspect scansafe http-pmap fail-open
service-policy inside_policy interface inside
Additional Information:
Forward Flow based lookup yields rule:
in id=0x7fff2cd3fce0, priority=72, domain=inspect-scansafe, deny=false
hits=8, user_data=0x7fff2bb86ab0, cs_id=0x0, use_real_addr,flags=0x0,protocol=6
src ip/id=10.0.0.11, mask=255.255.255.255, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=80, tag=0, dscp=0x0
input_ifc=inside, output_ifc=any
<Verify the configuration, port, domain, deny fields>

Phase: 10
Type: CXSC
Subtype:
Result: ALLOW
Config:
class-map ngfw-cx
match access-list asa-cx
policy-map global_policy
class ngfw
cxsc fail-open
service-policy global_policy global
Additional Information:
Forward Flow based lookup yields rule:
in id=0x7fff2c530970, priority=71, domain=cxsc, deny=true
hits=5868,user_data=0x7fff2c931380,cs_id=0x0,use_real_addr,flags=0x0,protocol=6
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=80, tag=0, dscp=0x0
input_ifc=inside, output_ifc=any

Phase: 11
Type:
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
out <SNIP>

Phase: 12
Type:
Subtype:
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
out <SNIP>

Phase: 13
Type: USER-STATISTICS
Subtype: user-statistics
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
out <SNIP>
<In this example, IDFW is not configured>

Phase: 14
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
in <SNIP>

Phase: 15
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
in <SNIP>

Phase: 16
Type: USER-STATISTICS
Subtype: user-statistics
Result: ALLOW
Config:
Additional Information:
Reverse Flow based lookup yields rule:
out <SNIP>

Phase: 17
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 3855350, packet dispatched to next module
Module information for forward flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_tcp_normalizer
snp_fp_inline_tcp_mod
snp_fp_translate
snp_fp_tcp_normalizer
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Module information for reverse flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_tcp_normalizer
snp_fp_translate
snp_fp_inline_tcp_mod
snp_fp_tcp_normalizer
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.