Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA: Пример конфигурации для отправки трафика из ASA в AIP SSM

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (2 апреля 2009) | Отзыв

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Настройка
      Схема сети
      Начальные конфигурации
      Проверка всего трафика с помощью AIP-SSM
      Проверка определенных типов трафика с помощью AIP-SSM
Проверка
Устранение неполадок
      Проблемы аварийного переключения
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

Этот документ содержит пример конфигурации, предназначенной для отправки сетевого трафика, проходящего через устройство Cisco ASA 5500 в модуль AIP-SSM (IPS). Примеры конфигурации предоставлены с помощью интерфейса командной строки (CLI).

Примечание: Сетевой трафик, проходящий через ASA, включает следующее: внутренние пользователи, имеющие доступ в Интернет или интернет-пользователи, которые получают доступ к ресурсам, защищенным ASA в зоне DMZ или внутренней сети. Сетевой трафик, отправляемый в модуль ASA не отправляется в модуль IPS для проверки. В качестве примеров трафика, который не отправляется в модуль IPS, можно назвать эхо-запросы (ICMP), интерфейсы ASA или подключение к ASA по протоколу Telnet.

Предварительные условия

Требования

В документе предполагается, что у аудитории есть базовые знания по настройке ПО Cisco ASA версии 7.x и ПО IPS версии 5.x.

  • Необходимые компоненты конфигурации для ASA 7.x: интерфейсы, списки доступа, NAT и маршрутизация.

  • Необходимые компоненты конфигурации для AIP-SSM (ПО IPS версии 5.x): установка сети, разрешенные хосты, настройка интерфейсов, определения сигнатур и правила, определяющие действия, которые предпринимаются при определенных событиях.

Используемые компоненты

Сведения, представленные в этом документе, относятся к следующим версиям программного и аппаратного обеспечения:

  • ASA 5510 с программным обеспечением версии 7.2.1

  • AIP-SSM-10 с программным обеспечением IPS версии 5.1.1

Примечание: Этот пример конфигурации совместим со всеми брандмауэрами Cisco ASA 5500 С ОС 7.x и модулем AIP-SSM с ПО IPS 5.x.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, начинали работу с чистой (стандартной) конфигурацией. При работе в действующей сети необходимо изучить все возможные последствия каждой команды.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Настройка

В этом разделе приводятся сведения о настройке функций, описанных в данном документе.

Примечание: Дополнительные сведения о командах, используемых в этом разделе, можно получить с помощью инструмента Command Lookup Tool (только для зарегистрированных заказчиков).

Схемы IP-адресации, используемые в этом документе, нельзя использовать для маршрутизации в Интернете. Это адреса RFC 1918 leavingcisco.com, которые были использованы в лабораторной среде.

Схема сети

В этом документе использована следующая конфигурация сети:

traffic-asa-aip-ssm-1.gif

Начальные конфигурации

В этом документе использованы следующие конфигурации. Модули ASA и AIP-SSM запущены со стандартной конфигурацией, в которую внесены определенные изменения для целей тестирования. Дополнения указаны в конфигурации.

ASA 5510

ciscoasa#show running-config
: Saved
:
ASA Version 7.2(1) 
!
hostname ciscoasa
enable password WwXYvtKrnjXqGbu1 encrypted
names
!

!--- IP-адресация добавлена к стандартной конфигурации.

interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.16.1.254 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.2.2.254 255.255.255.0 
!
interface Ethernet0/2
 nameif dmz
 security-level 50
 ip address 192.168.1.254 255.255.255.0 
!
interface Management0/0
 nameif management
 security-level 0
 ip address 172.22.1.160 255.255.255.0 
 management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

!--- Списки доступа добавлены для тестирования
!--- трафика (ICMP и Telnet).

access-list acl_outside_in extended permit icmp any host 172.16.1.50 
access-list acl_inside_in extended permit ip 10.2.2.0 255.255.255.0 any 
access-list acl_dmz_in extended permit icmp 192.168.1.0 255.255.255.0 any
pager lines 24

!--- Включено ведение журнала.

logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu management 1500
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400

!--- Добавлены правила преобразования.

global (outside) 1 172.16.1.100
global (dmz) 1 192.168.1.100
nat (inside) 1 10.2.2.0 255.255.255.0
static (dmz,outside) 172.16.1.50 192.168.1.50 netmask 255.255.255.255 
static (inside,dmz) 10.2.2.200 10.2.2.200 netmask 255.255.255.255 

!--- Списки доступа применены к интерфейсам.

access-group acl_outside_in in interface outside
access-group acl_inside_in in interface inside
access-group acl_dmz_in in interface dmz
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy

!--- Стандартная конфигурация новых модулей включает
!--- карту политик global_policy.

 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global

!--- Стандартная конфигурация новых модулей включает
!--- политику обслуживания global_policy, которая применяется глобально.

prompt hostname context 
.
: end

AIP SSM (IPS)

onionlabaip#show configuration
! ------------------------------       
! Version 5.1(1)
! Current configuration last modified Wed Aug 23 09:26:03 2006
! ------------------------------
service interface
exit
! ------------------------------
service analysis-engine
virtual-sensor vs0 
physical-interface GigabitEthernet0/1 
exit
exit
! ------------------------------
service authentication
exit
! ------------------------------
service event-action-rules rules0

!--- Определены переменные.

variables DMZ address 192.168.1.0-192.168.1.255
variables IN address 10.2.2.0-10.2.2.255
exit
! ------------------------------
service host
network-settings

!--- Настроен управляющий IP-адрес.

host-ip 172.22.1.169/24,172.22.1.1
host-name onionlabaip
telnet-option disabled
access-list x.x.0.0/16

!--- IP-адрес списка доступа удален из конфигурации,
!--- так как конкретное значение IP-адреса не важно для этого документа.

exit
time-zone-settings
offset -360
standard-time-zone-name GMT-06:00
exit
summertime-option recurring
offset 60
summertime-zone-name UTC
start-summertime
month april
week-of-month first
day-of-week sunday
time-of-day 02:00:00
exit
end-summertime
month october
week-of-month last
day-of-week sunday
time-of-day 02:00:00
exit
exit
exit    
! ------------------------------
service logger
exit
! ------------------------------
service network-access
exit
! ------------------------------
service notification
exit
! ------------------------------
service signature-definition sig0

!--- Сигнатура по умолчанию изменена для тестирования.

signatures 2000 0 
alert-severity high
engine atomic-ip
event-action produce-alert|produce-verbose-alert
exit
alert-frequency
summary-mode fire-all
summary-key AxBx
exit
exit
status
enabled true
exit    
exit

!--- Сигнатура по умолчанию изменена для тестирования.

signatures 2004 0 
alert-severity high
engine atomic-ip
event-action produce-alert|produce-verbose-alert
exit
alert-frequency
summary-mode fire-all
summary-key AxBx
exit
exit
status
enabled true
exit
exit

!--- Пользовательская сигнатура добавлена для тестирования.

signatures 60000 0 
alert-severity high
sig-fidelity-rating 75
sig-description
sig-name Telnet Command Authorization Failure
sig-string-info Command authorization failed
sig-comment signature triggers string command authorization failed
exit
engine atomic-ip
specify-l4-protocol yes
l4-protocol tcp
no tcp-flags
no tcp-mask
exit
specify-payload-inspection yes
regex-string Command authorization failed
exit
exit
exit
exit
exit
! ------------------------------
service ssh-known-hosts
exit
! ------------------------------
service trusted-certificates
exit
! ------------------------------
service web-server
enable-tls true
exit
onionlabaip#

Проверка всего трафика с помощью AIP-SSM

Сетевые администраторы и высшее руководство компаний часто требуют, чтобы мониторинг охватывал весь трафик в среде. Эта конфигурация удовлетворяет потребность во всеобъемлющем мониторинге. В дополнению к всеобъемлющему мониторингу, необходимо принять два решения о способе взаимодействия ASA и AIP-SSM.

  • Будет ли AIP-SSM функционировать или развертываться в случайном или внутриканальном режиме?

    • Случайный режим означает, что копия данных будет отправляться модулю AIP-SSM, в то время как ASA пересылает исходные данные по месту назначения. Модуль AIP-SSM в случайном режиме можно рассматривать как систему обнаружения несанкционированного доступа (IDS). В этом режиме пакет, который вызвал тревогу, может достичь места назначения. Может включиться защита, которая помешает последующим пакетам достичь места назначения, но первый пакет, вызвавший тревогу, остановлен не будет.

    • Внутриканальный режим означает, что модуль ASA передает данные в модуль AIP-SSM для проверки. Если данные проходят проверку AIP-SSM, они возвращаются в модуль ASA для продолжения обработки и отправки по месту назначения. Модуль AIP-SSM во внутриканальном режиме можно рассматривать как систему предотвращения несанкционированного доступа (IPS). В отличие от случайного режима, внутриканальный режим (IPS) может остановить пакет, вызвавший тревогу, на пути к месту назначения.

  • В ситуации, когда модулю ASA не удается связаться с модулем AIP-SSM, как ему следует обрабатывать трафик, предназначенный для проверки? Примеры ситуаций, в которых модуль ASA не может связаться с AIP-SSM: перезагрузка AIP-SSM, модуль отказал и нуждается в замене. В этом случае ASA может работать в режимах "fail-open" или "fail-closed".

    • Режим "Fail-open" позволяет модулю ASA продолжить передачу трафика, подлежащего проверке, в окончательное место назначения, если модуль AIP-SSM недоступен.

    • Режим "Fail-closed" блокирует трафик, подлежащий проверке, если модуль ASA не может связаться с модулем AIP-SSM.

    Примечание: Трафик, подлежащий проверке, задается с помощью списка доступа. В этом примере выходных данных список доступа разрешает весь IP-трафик от любого источника к любому месту назначения. Поэтому трафик, подлежащий проверке — это любой трафик, проходящий через модуль ASA.

ciscoasa(config)#access-list traffic_for_ips permit ip any any
ciscoasa(config)#class-map ips_class_map 
ciscoasa(config-cmap)#match access-list traffic_for_ips

!--- Команду match any
!--- можно использовать вместо команды match access-list [access-list name]
!--- В этом примере команда "access-list traffic_for_ips" разрешает 
!--- весь трафик. Команда match any также
!--- разрешает весь трафик.  Можно использовать любую из конфигураций.
!--- Это может упростить устранение неполадок при задании списка доступа.

ciscoasa(config)#policy-map global_policy

!--- Обратите внимание, что карта политик global_policy является частью 
!--- конфигурации по умолчанию. Кроме того, карта политик global_policy применяется
!--- на глобальном уровне с помощью команды service-policy.

ciscoasa(config-pmap)#class ips_class_map 
ciscoasa(config-pmap-c)#ips inline fail-open 

!--- Необходимо принять два решения. 
!--- Во-первых, в каком режиме работает AIP-SSM —
!--- внутриканальном или случайном? 
!--- Во вторых, модуль ASA работает в режиме fail-open или fail-closed?

Проверка определенных типов трафика с помощью AIP-SSM

Если системный администратор хочет отслеживать отдельные типы трафика с помощью модуля AIP-SSM, модуль ASA включает две независимые переменные, которые можно изменить. Первая, список доступа, может быть настроена на включение или исключение заданного трафика. Кроме того, для изменения типов трафика, отслеживаемых AIP-SSM можно применить политику service-policy к отдельному интерфейсу или на глобальном уровне.

Рассмотрим схему сети, приведенную в этом документе. Администратор сети хочет, чтобы модуль AIP-SSM проверял весь трафик между внешней сетью и сетью DMZ.

ciscoasa#configure terminal
ciscoasa(config)#access-list traffic_for_ips deny ip 10.2.2.0 255.255.255.0 192.168.1.0 255.255.255.0 
ciscoasa(config)#access-list traffic_for_ips permit ip any 192.168.1.0 255.255.255.0 
ciscoasa(config)#access-list traffic_for_ips deny ip 192.168.1.0 255.255.255.0 10.2.2.0 255.255.255.0 
ciscoasa(config)#access-list traffic_for_ips permit ip 192.168.1.0 255.255.255.0 any 
ciscoasa(config)#class-map ips_class_map 
ciscoasa(config-cmap)#match access-list traffic_for_ips
ciscoasa(config)#policy-map interface_policy
ciscoasa(config-pmap)#class ips_class_map
ciscoasa(config-pmap-c)#ips inline fail-open 
ciscoasa(config)#service-policy interface_policy interface dmz

!--- Список доступа отклоняет трафик из внутренней сети в сеть DMZ
!--- и трафик из сети DMZ во внутреннюю сеть.  
!--- Кроме того, команда service-policy применяется к интерфейсу DMZ.

Далее, сетевому администратору необходимо, чтобы модуль AIP-SSM отслеживал трафик, инициированный во внутренней сети и предназначенный для отправки во внешнюю сеть. Трафик между внутренней сетью и DMZ не отслеживается.

Примечание: Для чтения этого раздела необходимы знания среднего уровня в следующих областях: функция Statefulness, TCP, UDP, ICMP, коммуникации с подключениями и без них.

ciscoasa#configure terminal
ciscoasa(config)#access-list traffic_for_ips deny ip 10.2.2.0 255.255.255.0 192.168.1.0 255.255.255.0
ciscoasa(config)#access-list traffic_for_ips permit ip 10.2.2.0 255.255.255.0 any
ciscoasa(config)#class-map ips_class_map 
ciscoasa(config-cmap)#match access-list traffic_for_ips
ciscoasa(config)#policy-map interface_policy
ciscoasa(config-pmap)#class ips_class_map
ciscoasa(config-pmap-c)#ips inline fail-open 
ciscoasa(config)#service-policy interface_policy interface inside

Список доступа отклоняет трафик, инициированный во внутренней сети и предназначенный для отправки в сеть DMZ. Вторая строка списка доступа разрешает отправку трафика, инициированного во внутренней сети и предназначенного для отправки во внешнюю сеть через AIP-SSM. В этот момент активируется функция Statefulness модуля ASA. Например, внутренний пользователь инициирует TCP-подключение (Telnet) к устройству во внешней сети (маршрутизатор). Пользователь успешно подключается к маршрутизатору и выполняет вход. Затем пользователь вводит неавторизованную команду. Маршрутизатор возвращает сообщение Command authorizaton failed (Авторизация команды не выполнена). Источник пакета данных, который содержит строку Command authorization failed, имеет источник — внешний маршрутизатор и назначение — внутренний пользователь. Источник (внешний) и назначение (внутреннее) не соответствуют списку доступа, приведенному в этом документе. Модуль ASA отслеживает stateful-подключения, поэтому возвращаемый пакет данных (внутренний или внешний) отправляется в модуль AIP-SSM для проверки. Сигналы тревоги 60000 0 с пользовательской сигнатурой (настраиваются в AIP-SSM).

Примечание: По умолчанию модуль ASA не отслеживает состояние ICMP-трафика. В предыдущем примере конфигурации, внутренний пользователь отправляет эхо-запрос (эхо-запрос ICMP) внешнему маршрутизатору. Маршрутизатор возвращает эхо-ответ ICMP. Модуль AIP-SSM проверяет пакет эхо-запроса, но не пакет эхо-ответа. Если проверка ICMP включена в модуле ASA, в модуле AIP-SSM проверяются пакеты эхо-запроса и эхо-ответа.

Проверка

Убедитесь, что предупреждения записываются в AIP-SSM.

Войдите в систему AIP-SSM с помощью учетной записи администратора. Команда show events alert генерирует следующие выходные данные.

Примечание: Выходные данные меняются в зависимости от параметров сигнатуры, типа трафика, отправляемого в модуль AIP-SSM, и нагрузки на сеть.

Инструмент Output Interpreter Tool (только для зарегистрированных заказчиков) поддерживает некоторые команды show. Используйте OIT для анализа выходных данных команд show.

show events alert

evIdsAlert: eventId=1156198930427770356 severity=high vendor=Cisco 
  originator: 
    hostId: onionlabaip
    appName: sensorApp
    appInstanceId: 345
  time: 2006/08/24 18:52:57 2006/08/24 13:52:57 UTC
  signature: description=Telnet Command Authorization Failure id=60000 version=custom 
    subsigId: 0
    sigDetails: Command authorization failed
  interfaceGroup: 
  vlan: 0
  participants: 
    attacker: 
      addr: locality=OUT 172.16.1.200
      port: 23
    target: 
      addr: locality=IN 10.2.2.200
      port: 33189
  riskRatingValue: 75
  interface: ge0_1
  protocol: tcp
        

evIdsAlert: eventId=1156205750427770078 severity=high vendor=Cisco 
  originator: 
    hostId: onionlabaip
    appName: sensorApp
    appInstanceId: 345
  time: 2006/08/24 19:46:08 2006/08/24 14:46:08 UTC
  signature: description=ICMP Echo Request id=2004 version=S1 
    subsigId: 0
  interfaceGroup: 
  vlan: 0
  participants: 
    attacker: 
      addr: locality=OUT 172.16.1.200
    target: 
      addr: locality=DMZ 192.168.1.50
  triggerPacket: 
000000  00 16 C7 9F 74 8C 00 15  2B 95 F9 5E 08 00 45 00  ....t...+..^..E.
000010  00 3C 2A 57 00 00 FF 01  21 B7 AC 10 01 C8 C0 A8  .<*W....!.......
000020  01 32 08 00 F5 DA 11 24  00 00 00 01 02 03 04 05  .2.....$........
000030  06 07 08 09 0A 0B 0C 0D  0E 0F 10 11 12 13 14 15  ................
000040  16 17 18 19 1A 1B 1C 1D  1E 1F                    ..........
  riskRatingValue: 100
  interface: ge0_1
  protocol: icmp


evIdsAlert: eventId=1156205750427770079 severity=high vendor=Cisco 
  originator: 
    hostId: onionlabaip
    appName: sensorApp
    appInstanceId: 345
  time: 2006/08/24 19:46:08 2006/08/24 14:46:08 UTC
  signature: description=ICMP Echo Reply id=2000 version=S1 
    subsigId: 0
  interfaceGroup: 
  vlan: 0
  participants: 
    attacker: 
      addr: locality=DMZ 192.168.1.50
    target: 
      addr: locality=OUT 172.16.1.200
  triggerPacket: 
000000  00 16 C7 9F 74 8E 00 03  E3 02 6A 21 08 00 45 00  ....t.....j!..E.
000010  00 3C 2A 57 00 00 FF 01  36 4F AC 10 01 32 AC 10  .<*W....6O...2..
000020  01 C8 00 00 FD DA 11 24  00 00 00 01 02 03 04 05  .......$........
000030  06 07 08 09 0A 0B 0C 0D  0E 0F 10 11 12 13 14 15  ................
000040  16 17 18 19 1A 1B 1C 1D  1E 1F                    ..........
  riskRatingValue: 100
  interface: ge0_1
  protocol: icmp

В примерах конфигурации несколько сигнатур IPS настроены на генерацию сигналов тревоги для тестового трафика. Сигнатуры 2000 и 2004 изменены. Добавлена пользовательская сигнатура 60000. В лабораторной среде или сети, в которой через модуль ASA проходит небольшой объем данных, может потребоваться изменение сигнатур, чтобы они могли инициировать события. Если модули ASA и AIP-SSM развертываются в среде, через которую проходят большие объемы данных, стандартные сигнатуры скорее всего смогут генерировать события.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Инструмент Output Interpreter Tool (только для зарегистрированных заказчиков) поддерживает некоторые команды show. Используйте OIT для анализа выходных данных команд show.

Вводите эти команды show с модуля ASA.

  • show module. Отображает данные о SSM в модуле ASA, а также информацию о системе.

    ciscoasa#show module 
    
    Mod Card Type                                    Model              Serial No. 
    --- -------------------------------------------- ------------------ -----------
      0 ASA 5510 Adaptive Security Appliance         ASA5510            JMX1016K0RN
      1 ASA 5500 Series Security Services Module-10  ASA-SSM-10         JAB101502A6
    
    Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
    --- --------------------------------- ------------ ------------ ---------------
      0 0016.c79f.748c to 0016.c79f.7490  1.1          1.0(10)0     7.2(1)
      1 0016.c79f.7567 to 0016.c79f.7567  1.0          1.0(10)0     5.1(1)S205.0
    
    Mod SSM Application Name           Status           SSM Application Version
    --- ------------------------------ ---------------- --------------------------
      1 IPS                            Up               5.1(1)S205.0
    
    Mod Status             Data Plane Status     Compatibility
    --- ------------------ --------------------- -------------
      0 Up Sys             Not Applicable         
      1 Up                 Up
    
    !--- Каждая из выделенных областей указывает на то, что
    !--- модуль ASA распознает AIP-SSM и состояние AIP-SSM — "включен".
    
    
  • show run

    ciscoasa#show run
    
    !--- Выходные данные сокращены.
    
    access-list traffic_for_ips extended permit ip any any 
    ...
    class-map ips_class_map
     match access-list traffic_for_ips
    ...
    policy-map global_policy
    ... 
    class ips_class_map
      ips inline fail-open
    ...
    service-policy global_policy global
    
    !--- Все эти строки необходимы
    !--- для отправки данных в AIP-SSM.
    
    
  • show access-list. Отображает счетчики списка доступа.

    ciscoasa#show access-list traffic_for_ips
    access-list traffic_for_ips; 1 elements
    access-list traffic_for_ips line 1 extended permit ip any any (hitcnt=2) 0x9bea7286
    
    !--- Подтверждает, что список доступа отображает количество попаданий больше нуля.
    
    

Перед установкой и использованием модуля AIP-SSM, убедитесь, что трафик проходит через модуль ASA в соответствии с вашими ожиданиями. Если это не так, может потребоваться устранение неполадок сети и политик доступа модуля ASA.

Проблемы аварийного переключения

  • Если в вашей среде установлено два модуля ASA в конфигурации аварийного переключения и каждый из них имеет модуль AIP-SSM, необходимо вручную реплицировать конфигурацию AIP-SSM. Механизм аварийного переключения реплицирует только конфигурацию ASA. Модуль AIP-SSM не участвует в аварийном переключении.

  • Модуль AIP-SSM не участвует в аварийном переключении с поддержкой stateful, если конфигурация этого аварийного переключения настроена на паре аварийного переключения ASA.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 71204