Cisco Leitfaden zur Härtung der Cisco ASA-Firewall

Einführung

Dieses Dokument enthält Informationen zur Sicherung von Cisco ASA-Geräten, die die Sicherheit Ihres Netzwerks insgesamt erhöhen. Dieses Dokument ist in 4 Abschnitte gegliedert.

    Management Plane Hardening - Dies gilt für alle ASA-bezogenen Management/Für den Boxdatenverkehr wie SNMP, SSH usw.
    Sichern der Konfiguration - Befehle, mit denen die Eingabe der Kennwörter usw. für die aktuelle Konfiguration gestoppt werden kann
    Protokollierung und Überwachung - Dies gilt für alle Einstellungen im Zusammenhang mit der Anmeldung bei ASA.
    Datenverkehr: Dies gilt für den Datenverkehr, der die ASA durchläuft.

   
Die Abdeckung der Sicherheitsfunktionen in diesem Dokument bietet häufig genug Details, um die Funktion zu konfigurieren. Wenn dies jedoch nicht der Fall ist, wird die Funktion so erklärt, dass Sie beurteilen können, ob eine zusätzliche Aufmerksamkeit für die Funktion erforderlich ist. Dieses Dokument enthält, soweit möglich und angemessen, Empfehlungen, die bei der Sicherung eines Netzwerks helfen, falls es implementiert wird.

Voraussetzungen

Anforderungen

Für dieses Dokument bestehen keine speziellen Anforderungen.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:

• Cisco ASA5500-X 9.4(1) und höher

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Zugehörige Produkte

Diese Konfiguration kann auch mit der Cisco Security Appliance Software Version 9.x der Serie ASA 5500-X verwendet werden.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).

Sichere Betriebsabläufe

Ein wichtiger Punkt ist der sichere Netzwerkbetrieb. Obwohl der Großteil dieses Dokuments der sicheren Konfiguration eines Cisco ASA-Geräts gewidmet ist, wird ein Netzwerk durch Konfigurationen allein nicht vollständig gesichert. Die im Netzwerk verwendeten Betriebsverfahren tragen ebenso zur Sicherheit bei wie die Konfiguration der zugrunde liegenden Geräte.

Diese Themen enthalten betriebliche Empfehlungen, die Sie implementieren sollten. Diese Themen stellen bestimmte kritische Bereiche des Netzwerkbetriebs heraus und sind nicht umfassend.

Überwachung von Cisco Sicherheitsempfehlungen und -antworten

Das Cisco Product Security Incident Response Team (PSIRT) erstellt und pflegt Veröffentlichungen, die allgemein als PSIRT Advisories bezeichnet werden, für sicherheitsrelevante Probleme von Cisco Produkten. Die für die Kommunikation bei weniger schwerwiegenden Problemen verwendete Methode ist Cisco Security Response. Sicherheitsratgeber und -antworten finden Sie unter PSIRT.

Weitere Informationen zu diesen Kommunikationsmitteln finden Sie in der Cisco Security Vulnerability Policy.

Um ein sicheres Netzwerk zu gewährleisten, müssen Sie die veröffentlichten Cisco Sicherheitsratgeber und -reaktionen kennen. Bevor die Bedrohung für ein Netzwerk ausgewertet werden kann, muss eine Sicherheitslücke bekannt sein. Informationen zu diesem Evaluierungsprozess finden Sie in Risk Triage for Security Vulnerability Ankündigungen.

Nutzung von Authentifizierung, Autorisierung und Abrechnung

Das Authentication, Authorization, and Accounting (AAA)-Framework ist für die Sicherung von Netzwerkgeräten unerlässlich. Das AAA-Framework ermöglicht die Authentifizierung von Managementsitzungen und kann die Benutzer auf spezifische, vom Administrator definierte Befehle beschränken und alle von allen Benutzern eingegebenen Befehle protokollieren. Weitere Informationen zur Verwendung von AAA finden Sie im Abschnitt Authentifizierung, Autorisierung und Abrechnung dieses Dokuments.

Zentralisierte Protokollierung und Überwachung

Um Informationen über bestehende, neue und historische Ereignisse im Zusammenhang mit Sicherheitsvorfällen zu erhalten, muss Ihr Unternehmen über eine einheitliche Strategie für die Protokollierung und Korrelation von Ereignissen verfügen. Diese Strategie muss die Protokollierung aller Netzwerkgeräte nutzen und vorkonfigurierte und anpassbare Korrelationsfunktionen verwenden.

Nach der Implementierung der zentralen Protokollierung müssen Sie einen strukturierten Ansatz für die Protokollanalyse und die Incident-Verfolgung entwickeln. Je nach Anforderungen Ihres Unternehmens reicht dieser Ansatz von einer einfachen sorgfältigen Überprüfung der Protokolldaten bis hin zu einer erweiterten regelbasierten Analyse.

Sichere Protokolle verwenden, wenn möglich

Viele Protokolle werden zum Übertragen vertraulicher Netzwerkmanagementdaten verwendet. Wenn möglich müssen Sie sichere Protokolle verwenden. Eine sichere Protokollauswahl umfasst die Verwendung von SSH anstelle von Telnet, sodass Authentifizierungsdaten und Managementinformationen verschlüsselt werden. Darüber hinaus müssen Sie beim Kopieren von Konfigurationsdaten sichere Dateiübertragungsprotokolle verwenden. Ein Beispiel hierfür ist die Verwendung des Secure Copy Protocol (SCP) anstelle von FTP oder TFTP.

Erhöhte Datenverkehrstransparenz mit NetFlow

NetFlow ermöglicht die Überwachung von Datenverkehrsflüssen im Netzwerk. Ursprünglich für den Export von Datenverkehrsinformationen in Netzwerkmanagement-Anwendungen vorgesehen, kann NetFlow auch verwendet werden, um Flow-Informationen auf einem Router anzuzeigen. So können Sie in Echtzeit sehen, welcher Datenverkehr das Netzwerk passiert. Unabhängig davon, ob Flow-Informationen an einen RemotecCollector exportiert werden, wird empfohlen, Netzwerkgeräte für NetFlow zu konfigurieren, damit diese bei Bedarf reaktiv verwendet werden können.

Konfigurationsmanagement

Konfigurationsmanagement ist ein Prozess, mit dem Konfigurationsänderungen vorgeschlagen, überprüft, genehmigt und bereitgestellt werden. Im Zusammenhang mit einer Cisco ASA-Gerätekonfiguration sind zwei weitere Aspekte des Konfigurationsmanagements entscheidend: Konfigurationsarchivierung und Sicherheit.

Sie können Konfigurationsarchive verwenden, um Änderungen an Netzwerkgeräten zurückzusetzen. In einem Sicherheitskontext können auch Konfigurationsarchive verwendet werden, um festzustellen, welche Sicherheitsänderungen vorgenommen wurden und wann diese Änderungen eingetreten sind. In Verbindung mit AAA-Protokolldaten können diese Informationen bei der Sicherheitsüberprüfung von Netzwerkgeräten hilfreich sein.

Die Konfiguration eines Cisco ASA-Geräts enthält viele vertrauliche Informationen. Benutzernamen, Kennwörter und der Inhalt von Zugriffskontrolllisten sind Beispiele für diese Art von Informationen. Das Repository, das Sie zur Archivierung der Cisco ASA-Gerätekonfigurationen verwenden, muss gesichert werden. Der unsichere Zugriff auf diese Informationen kann die Sicherheit des gesamten Netzwerks beeinträchtigen.

Verwaltung Ebene

Die Verwaltungsebene besteht aus Funktionen, die die Managementziele des Netzwerks erreichen. Dazu gehören interaktive Verwaltungssitzungen, die SSH verwenden, sowie die Sammlung von Statistiken mit SNMP oder NetFlow. Wenn Sie die Sicherheit eines Netzwerkgeräts in Betracht ziehen, ist es wichtig, dass die Verwaltungsebene geschützt wird. Wenn ein Sicherheitsvorfall die Funktionen der Managementebene untergraben kann, kann es für Sie unmöglich sein, das Netzwerk wiederherzustellen oder zu stabilisieren.

Härtung der Management-Ebene

Die Verwaltungsebene dient dem Zugriff, der Konfiguration und dem Management eines Geräts sowie der Überwachung seines Betriebs und des Netzwerks, in dem es bereitgestellt wird. Die Managementebene ist die Ebene, die Datenverkehr für den Betrieb dieser Funktionen empfängt und sendet. Diese Protokollliste wird von der Verwaltungsebene verwendet:

• Einfaches Netzwerkmanagement-Protokoll
• Secure Shell-Protokoll
• Dateiübertragungsprotokoll
• Trivial File Transfer Protocol
• Sicheres Kopierprotokoll
• TACACS+
• RADIUS
• NetFlow
• Netzwerkzeitprotokoll
• Syslog
• ICMP
• SMB

Hinweis: Die Aktivierung von TELNET wird nicht empfohlen, da es sich um einfachen Text handelt.

Kennwortmanagement

Passwörter steuern den Zugriff auf Ressourcen oder Geräte. Dies wird durch die Definition eines Kennworts oder Geheimtitels erreicht, das zur Authentifizierung von Anforderungen verwendet wird. Wenn eine Anfrage für den Zugriff auf eine Ressource oder ein Gerät eingeht, wird die Anforderung zur Überprüfung des Kennworts und der Identität angefochten, und der Zugriff kann basierend auf dem Ergebnis gewährt, verweigert oder eingeschränkt werden. Als Best Practice für die Sicherheit müssen Kennwörter mit einem TACACS+- oder RADIUS-Authentifizierungsserver verwaltet werden. Beachten Sie jedoch, dass bei einem Ausfall der TACACS+- oder RADIUS-Dienste weiterhin ein lokal konfiguriertes Kennwort für den privilegierten Zugriff erforderlich ist. Ein Gerät kann auch andere Kennwortinformationen in seiner Konfiguration enthalten, z. B. einen NTP-Schlüssel, einen SNMP Community String oder einen Routing Protocol-Schlüssel.

ASA verwendet Message Digest 5 (MD5) für Passwort-Hashing. Dieser Algorithmus wurde von der Öffentlichkeit eingehend geprüft und ist nicht als umkehrbar bekannt. Der Algorithmus ist jedoch auch Wörterbuchangriffen ausgesetzt. Bei einem Wörterbuchangriff versucht ein Angreifer jedes Wort in einem Wörterbuch oder einer anderen Liste potenzieller Passwörter, um eine Übereinstimmung zu finden. Aus diesem Grund müssen Konfigurationsdateien sicher gespeichert und nur für vertrauenswürdige Personen freigegeben werden.

HTTP-Service aktivieren

Um ASDM zu verwenden, müssen Sie den HTTPS-Server aktivieren und HTTPS-Verbindungen mit der ASA zulassen. Die Sicherheits-Appliance ermöglicht maximal 5 gleichzeitige ASDM-Instanzen pro Kontext (sofern verfügbar), maximal 32 ASDM-Instanzen zwischen allen Kontexten. So konfigurieren Sie die Verwendung des ASDM-Zugriffs:

http server enable <port>

Lassen Sie nur die IPs zu, die in der ACL-Liste benötigt werden. Ein umfassender Zugriff ist eine falsche Praxis.

http 0.0.0.0 0.0.0.0 <interface> 

Konfigurieren der ASDM-Zugriffskontrolle:

http <remote_ip_address> <remote_subnet_mask> <interface_name>

Ab der ASA-Softwareversion 9.1(2), 8.4(4.1) unterstützt die ASA jetzt die folgenden ephemeral Diffie-Hellman (DHE) SSL-Verschlüsselungssuiten.

DHE-AES128-SHA1
DHE-AES256-SHA1

Diese Verschlüsselungssuiten sind in RFC 3268, Advanced Encryption Standard (AES) CipherSuite for Transport Layer Security (TLS) spezifiziert.

Wenn vom Client unterstützt, ist DHE die bevorzugte Chiffre, da sie Perfect Forward Secrecy (Perfekte Weiterleitungsgeheimnis) bietet. Beachten Sie die folgenden Einschränkungen:

DHE wird auf SSL 3.0-Verbindungen nicht unterstützt. Aktivieren Sie daher auch TLS 1.0 für den SSL-Server.

// Set server version
ASA(config)# ssl server-version tlsv1 sslv3

// Set client version
ASA(config) # ssl client-version any

Einige gängige Anwendungen unterstützen DHE nicht, so beinhalten mindestens eine andere SSL-Verschlüsselungsmethode, um sicherzustellen, dass eine Verschlüsselungssuite verwendet werden kann, die sowohl für den SSL-Client als auch für den -Server verwendet wird. Einige Clients unterstützen DHE möglicherweise nicht, darunter AnyConnect 2.5 und 3.0, Cisco Secure Desktop und Internet Explorer 9.0.

In der folgenden Reihenfolge ist die ASA standardmäßig aktiviert.

ASA(config)#ssl encryption rc4-sha1 dhe-aes128-sha1 dhe-aes256-sha1 aes128-sha1 aes256-sha1 3des-sha1

ssl server-version any (Standard)

Die ASA verwendet standardmäßig ein temporäres, selbstsigniertes Zertifikat, das sich bei jedem Neustart ändert. Wenn Sie ein einzelnes Zertifikat suchen, können Sie dem folgenden Link folgen, um ein permanentes selbstsigniertes Zertifikat zu generieren.

Die ASA unterstützt jetzt TLS Version 1.2 ab Softwareversion 9.3.1 für die sichere Nachrichtenübertragung für ASDM, Clientless SSVPN und AnyConnect VPN. Die folgenden Befehle wurden eingeführt oder geändert: ssl client-version, ssl server-version, ssl cipher, ssl trust-point, ssl dh-group, show ssl, show ssl cipher, show vpn-sessiondb

ASA-1/act(config)# ssl server-version ?

configure mode commands/options:
  tlsv1    Enter this keyword to accept SSLv2 ClientHellos and negotiate TLSv1
           (or greater)
  tlsv1.1  Enter this keyword to accept SSLv2 ClientHellos and negotiate
           TLSv1.1 (or greater)
  tlsv1.2  Enter this keyword to accept SSLv2 ClientHellos and negotiate
           TLSv1.2 (or greater)

ASA-1/act(config)# ssl cipher ?

configure mode commands/options:
  default  Specify the set of ciphers for outbound connections
  dtlsv1   Specify the ciphers for DTLSv1 inbound connections
  tlsv1    Specify the ciphers for TLSv1 inbound connections
  tlsv1.1  Specify the ciphers for TLSv1.1 inbound connections
  tlsv1.2  Specify the ciphers for TLSv1.2 inbound connections

SSH aktivieren

Die ASA ermöglicht zu Verwaltungszwecken SSH-Verbindungen mit der ASA. Die ASA ermöglicht maximal 5 gleichzeitige SSH-Verbindungen pro Kontext, sofern verfügbar, mit maximal 100 Verbindungen, die auf alle Kontexte aufgeteilt sind.

hostname <device_hostname>
domain-name <domain-name>
crypto key generate rsa modulus 2048

Der Standardschlüsselpaarttyp ist ein allgemeiner Schlüssel. Die Standardmodulgröße ist 1024. Der NVRAM-Speicherplatz zum Speichern von Schlüsselpaaren variiert je nach ASA-Plattform. Wenn Sie mehr als 30 Schlüsselpaare generieren, können Sie einen Grenzwert erreichen. Die 4096-Bit-RSA-Schlüssel werden nur auf den Plattformen ASA5580, 5585 oder höher unterstützt.

So entfernen Sie die Schlüsselpaare des angegebenen Typs (rsa oder dsa)

crypto key zeroize { rsa | dsa } [ label key-pair-label ] [ default ] [ noconfirm ]

Konfigurieren von SSH für den Remote-Gerätezugriff:

ssh <remote_ip_address> <remote_subnet_mask> <interface_name>

Um die von der ASA akzeptierte Version von SSH einzuschränken, verwenden Sie den Befehl ssh version im globalen Konfigurationsmodus. Um die ASA auf die Verwendung von Version 2 zu beschränken, kann der folgende Befehl verwendet werden.

ASA(config)#ssh version 2

Um Schlüssel entweder über die Diffie-Hellman (DH) Group 1 oder die DH Group 14-Schlüsselaustauschmethode auszutauschen, verwenden Sie den Befehl ssh key-exchange im globalen Konfigurationsmodus. ab 9.1(2) unterstützt ASA dh-group14-sha1 für SSH

ASA(config)#ssh key-exchange dh-group14-sha1

Konfigurieren des Timeouts für Anmeldungssitzungen

// Configure Console timeout
ASA(config)#console timeout 10

// Configure Console timeout
ASA(config)#ssh timeout 10

Kennwortmanagement

Passwörter steuern den Zugriff auf Ressourcen oder Geräte. Dies wird durch die Definition eines Kennworts oder Geheimtitels erreicht, das zur Authentifizierung von Anforderungen verwendet wird. Wenn eine Anfrage für den Zugriff auf eine Ressource oder ein Gerät eingeht, wird die Anforderung zur Überprüfung des Kennworts und der Identität angefochten, und der Zugriff kann basierend auf dem Ergebnis gewährt, verweigert oder eingeschränkt werden. Als Best Practice für die Sicherheit müssen Kennwörter mit einem TACACS+- oder RADIUS-Authentifizierungsserver verwaltet werden. Beachten Sie jedoch, dass bei einem Ausfall der TACACS+- oder RADIUS-Dienste weiterhin ein lokal konfiguriertes Kennwort für den privilegierten Zugriff erforderlich ist. Ein Gerät kann auch andere Kennwortinformationen in seiner Konfiguration enthalten, z. B. einen NTP-Schlüssel, einen SNMP Community String oder einen Routing Protocol-Schlüssel.

Lokalen Benutzer und verschlüsseltes Kennwort konfigurieren

username <local_username> password <local_password> encrypted

Kennwort konfigurieren

enable password <enable_password> encrypted

Konfigurieren der AAA-Authentifizierung für den Aktivierungsmodus

ASA(config)#aaa authentication enable console LOCAL

Authentifizierung, Autorisierung und Abrechnung

Das Authentication, Authorization, and Accounting (AAA)-Framework ist für die Sicherung des interaktiven Zugriffs auf Netzwerkgeräte von entscheidender Bedeutung. Das AAA-Framework bietet eine hochgradig konfigurierbare Umgebung, die auf die Netzwerkanforderungen zugeschnitten werden kann.

TACACS+-Authentifizierung

TACACS+ ist ein Authentifizierungsprotokoll, das ASA zur Authentifizierung von Managementbenutzern für einen Remote-AAA-Server verwenden kann. Diese Managementbenutzer können über SSH, HTTPS, Telnet oder HTTP auf das ASA-Gerät zugreifen.

Die TACACS+-Authentifizierung oder generell die AAA-Authentifizierung bietet die Möglichkeit, für jeden Netzwerkadministrator individuelle Benutzerkonten zu verwenden. Wenn Sie sich nicht auf ein einziges gemeinsam genutztes Kennwort verlassen, wird die Sicherheit des Netzwerks erhöht und Ihre Rechenschaftspflicht erhöht.

RADIUS ist ein Protokoll, das mit TACACS+ vergleichbar ist. Sie verschlüsselt jedoch nur das Passwort, das über das Netzwerk gesendet wird. Im Gegensatz dazu verschlüsselt TACACS+ die gesamte TCP-Nutzlast, die sowohl Benutzername als auch Kennwort enthält. Aus diesem Grund sollte TACACS+ anstelle von RADIUS verwendet werden, wenn TACACS+ vom AAA-Server unterstützt wird. Im TACACS+- und RADIUS-Vergleich finden Sie einen ausführlicheren Vergleich dieser beiden Protokolle.

Die TACACS+-Authentifizierung kann auf einem Cisco ASA-Gerät mit einer Konfiguration wie diesem Beispiel aktiviert werden:

aaa authentication serial console Tacacs 
aaa authentication ssh console Tacacs
aaa authentication http console Tacacs
aaa authentication telnet console Tacacs

Signierung und Verifizierung von ASA-Images

Ab Softwareversion 9.3.1 werden ASA-Images jetzt mit einer digitalen Signatur signiert. Die digitale Signatur wird nach dem Booten der ASA verifiziert.

ASA-1/act(config)# verify flash:/asa941-smp-k8.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!                                                                                        !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Done!
Embedded Hash SHA-512: 0e707a0e45b1c7c5afa9ef4e802a273677a5e46f7e1d186292abe1154                                                                                        c948a63c625463b74119194da029655487659490c2873506974cab78b66d6d9742ed73e
Computed Hash SHA-512: 0e707a0e45b1c7c5afa9ef4e802a273677a5e46f7e1d186292abe1154                                                                                        c948a63c625463b74119194da029655487659490c2873506974cab78b66d6d9742ed73e
CCO Hash      SHA-512: 1b6d41e893868aab9e06e78a9902b925227c82d8e31978ff2c412c18a                                                                                        c99f49f70354715441385e0b96e4bd3e861d18fb30433d52e12b15b501fa790f36d0ea0
Signature Verified


ASA(config)# verify /signature running
Requesting verify signature of the running image...

Starting image verification
Hash Computation:    100% Done!
Computed Hash   SHA2: 2fbb0f62b5fbc61b081acfca76bddbb2
                      26ce7a5fb4b424e5e21636c6c8a7d665
                      1e688834203dfb7ffa6eaefc7fdf9d3d
                      1d0a063a20539baba72c2526ca37771c


Get key records from key storage: PrimaryASA, key_store_type: 6
Embedded Hash   SHA2: 2fbb0f62b5fbc61b081acfca76bddbb2
                      26ce7a5fb4b424e5e21636c6c8a7d665
                      1e688834203dfb7ffa6eaefc7fdf9d3d
                      1d0a063a20539baba72c2526ca37771c

Returned. rc: 0, status: 1
The digital signature of the running image verified successfully

ASA-1/act(config)# show software authenticity running
Image type : Release
 Signer Information
 Common Name : abraxas
 Organization Unit : ASAv
 Organization Name : CiscoSystems
 Certificate Serial Number : 550DBBD5
 Hash Algorithm : SHA2 512
 Signature Algorithm : 2048-bit RSA
 Key Version : A

Zeitzone für die Konfiguration der Uhr

clock timezone GMT <hours offset>

NTP konfigurieren

Das Network Time Protocol (NTP) ist kein besonders gefährlicher Dienst, aber alle nicht benötigten Services können einen Angriffsvektor darstellen. Wenn NTP verwendet wird, ist es wichtig, eine vertrauenswürdige Zeitquelle explizit zu konfigurieren und die korrekte Authentifizierung zu verwenden. Für Syslog-Zwecke, z. B. bei forensischen Untersuchungen potenzieller Angriffe, sowie für eine erfolgreiche VPN-Verbindung ist eine genaue und zuverlässige Zeit erforderlich, wenn Zertifikate für Phase-1-Authentifizierung benötigt werden.

• NTP-Zeitzone - Wenn Sie NTP konfigurieren, muss die Zeitzone so konfiguriert werden, dass Zeitstempel korrekt korreliert werden können. In der Regel gibt es zwei Ansätze, um die Zeitzone für Geräte in einem Netzwerk mit globaler Präsenz zu konfigurieren. Eine Möglichkeit besteht darin, alle Netzwerkgeräte mit der koordinierten universellen Zeit (UTC) (früher Greenwich Mean Time (GMT)) zu konfigurieren. Der andere Ansatz besteht darin, Netzwerkgeräte mit der lokalen Zeitzone zu konfigurieren. 

ntp server ip_address [ key key_id ] [ source interface_name ] [ prefer ]

• NTP-Authentifizierung: Wenn Sie die NTP-Authentifizierung konfigurieren, wird sichergestellt, dass NTP-Nachrichten zwischen vertrauenswürdigen NTP-Peers ausgetauscht werden. Aktivieren Sie die Authentifizierung mit dem Befehl ntp authentication, legen Sie die vertrauenswürdige Schlüssel-ID für diesen Server fest. Wenn Sie die Authentifizierung aktivieren, kommuniziert die ASA nur mit einem NTP-Server, wenn der richtige vertrauenswürdige Schlüssel in den Paketen verwendet wird. Um die Authentifizierung mit einem NTP-Server zu aktivieren, verwenden Sie den Befehl ntp authentication im globalen Konfigurationsmodus.

ASA(config)#ntp authenticate

DHCP-Serverdienst (wenn nicht verwendet)

clear configure dhcpd
no dhcpd enable <interface_name>

Hinweis: ASA unterstützt CDP nicht.

Zugriffsliste für die Steuerungsebene

Zugriffskontrollregeln für den sofort einsatzbereiten Verwaltungsdatenverkehr (definiert durch Befehle wie http, ssh oder telnet) haben eine höhere Priorität als eine Zugriffsliste, die mit der Option Kontrollebene angewendet wird. Aus diesem Grund ist ein solcher zulässiger Verwaltungsdatenverkehr auch dann zulässig, wenn er von der sofort einsatzbereiten Zugriffsliste ausdrücklich abgelehnt wird.

access-list <name> in interface <Interface_name> control-plane

Von ASA

Nachfolgend sind die Protokolle aufgeführt, die zum Kopieren/Übertragen von Dateien auf ASA verwendet werden können.

Text löschen:

• FTP
• HTTP
• TFTP
• SMB

Sicher:

•  HTTPS
•  SCP (Secure Copy Client) ab Version 9.1(5) unterstützt ASA SCP-Client für die Übertragung von Dateien von und zu einem SCP-Server.

Für Datenverkehr

Randomisierung der TCP-Sequenznummern

Jede TCP-Verbindung hat zwei ISNs: eine vom Client und eine vom Server generiert. Die ASA randomisiert die ISN der TCP-SYN, die sowohl die eingehende als auch die ausgehende Richtung übergibt.

Die Randomisierung der ISN des geschützten Hosts verhindert, dass ein Angreifer die nächste ISN für eine neue Verbindung vorwegnimmt und die neue Sitzung möglicherweise missbraucht.

Die Randomisierung der anfänglichen TCP-Sequenznummer kann bei Bedarf deaktiviert werden. Beispiel:

• Wenn eine andere Inline-Firewall auch die anfänglichen Sequenznummern zufällig wählt, müssen beide Firewalls diese Aktion durchführen, obwohl sich diese Aktion nicht auf den Datenverkehr auswirkt.
• Wenn Sie eBGP Multi-Hop über die ASA verwenden und die eBGP-Peers MD5 verwenden. Bei der Randomisierung wird die MD5-Prüfsumme unterbrochen.
• Wenn wir ein WAAS-Gerät verwenden, für das die ASA die Sequenznummern der Verbindungen nicht randomisiert.

TTL-Reduzierung

Standardmäßig wird die TTL im IP-Header nicht reduziert, da ASA bei der Traceroute nicht als Router-Hop angezeigt wird.

Nachtwächter

Erzwingt eine DNS-Antwort pro Abfrage. Sie kann über den Befehl im globalen Konfigurationsmodus aktiviert werden.

ASA(config)#dns-guard

Konfigurieren von Fragmentkettenfragmentierungsprüfungen

Um eine zusätzliche Verwaltung der Paketfragmentierung bereitzustellen und die Kompatibilität mit NFS zu verbessern, verwenden Sie den Befehl fragmentieren im globalen Konfigurationsmodus.

fragment reassembly { full | virtual } { size | chain | timeout limit } [ interface ]

Protokollüberprüfung konfigurieren

Prüfungs-Engines sind für Dienste erforderlich, die IP-Adressierungsinformationen in das Benutzerdatenpaket einbetten oder sekundäre Kanäle auf dynamisch zugewiesenen Ports öffnen. Für diese Protokolle muss die ASA eine Deep Packet Inspection durchführen, anstatt das Paket über den schnellen Pfad zu übertragen. Infolgedessen können Prüfungs-Engines den Gesamtdurchsatz beeinflussen. Weitere Informationen zur Application Layer Protocol Inspection finden Sie im ASA 9.4-Konfigurationshandbuch.

Die Überprüfung auf ASA kann mithilfe des folgenden Befehls aktiviert werden:

policy-map <Policy-map_name>
 class inspection_default
  inspect <Protocol>

service-policy <Policy-map_name> interface <Interface_name> (Per Interface)
service-policy <Policy-map_name> global (Globally)

Standardmäßig ist "global_policy" global aktiviert.

Konfigurieren der Unicast Reverse Path Forwarding

ip verify reverse-path interface <interface_name>

 Wenn Datenverkehr aufgrund einer RPF-Prüfung verworfen wird, erhöht sich der folgende "show asp drop"-Zähler für ASA.

ASA(config)# show asp drop 

Frame drop:
  Invalid TCP Length (invalid-tcp-hdr-length)                  21

  Reverse-path verify failed (rpf-violated)                    90

// Check Reverse path statistics

ASA(config)# sh ip verify statistics

interface inside: 11 unicast rpf drops

interface outside: 79 unicast rpf drops

Bedrohungserkennung

Die Bedrohungserkennung bietet Firewall-Administratoren die erforderlichen Tools, um Angriffe zu identifizieren, zu verstehen und zu stoppen, bevor sie in die interne Netzwerkinfrastruktur gelangen. Hierzu stützt sich die Funktion auf eine Reihe verschiedener Trigger und Statistiken, die in diesen Abschnitten ausführlicher beschrieben werden.

Weitere Erläuterungen zur Bedrohungserkennung auf ASA finden Sie unter Funktionen und Konfiguration zur ASA-Bedrohungserkennung.

Botnet-Filter

Der BotNet-Datenverkehrsfilter überwacht DNS-Anfragen (Domain Name Server) und -Antworten zwischen internen DNS-Clients und externen DNS-Servern. Wenn eine DNS-Antwort verarbeitet wird, wird die Domäne, die der Antwort zugeordnet ist, mit der Datenbank bekannter schädlicher Domänen abgeglichen. Bei einer Übereinstimmung wird der weitere Datenverkehr zur IP-Adresse in der DNS-Antwort blockiert.

Malware ist Schadsoftware, die auf einem unwissenden Host installiert wird. Malware, die Netzwerkaktivitäten wie das Senden privater Daten (Kennwörter, Kreditkartennummern, Tastenanschläge oder proprietäre Daten) versucht, kann vom Botnet Traffic Filter erkannt werden, wenn die Malware eine Verbindung zu einer bekannten schädlichen IP-Adresse herstellt. Der Botnet Traffic Filter überprüft eingehende und ausgehende Verbindungen anhand einer dynamischen Datenbank mit bekannten schädlichen Domänennamen und IP-Adressen (Blacklist) und protokolliert oder blockiert dann alle verdächtigen Aktivitäten.

Sie können die dynamische Datenbank von Cisco auch um Adressen in Blacklists Ihrer Wahl ergänzen, indem Sie sie einer statischen Blacklist hinzufügen. Wenn die dynamische Datenbank Adressen enthält, die nicht auf Blacklists gesetzt werden sollten, können Sie diese manuell in eine statische Whitelist eingeben. Whitelisted-Adressen generieren weiterhin Syslog-Meldungen. Da Sie jedoch nur auf Blacklist-Syslog-Meldungen abzielen, sind diese informativ. Detaillierte Informationen finden Sie unter Konfigurieren des Botnet-Verkehrsfilters.

Hinzufügungen des ARP-Cache für nicht verbundene Subnetze

Standardmäßig reagiert ASA nicht auf ARP für nicht direkt verbundene Subnetz-IP-Adressen. Wenn Sie eine NAT-IP auf ASA haben, die nicht zur gleichen Subnetz-IP der ASA-Schnittstelle gehört, müssen wir "arp permit-non-connected" auf ASA für Proxy-ARP für die NATted-IP aktivieren.

arp permit-nonconnected

Es wird immer empfohlen, auf Upstream- und Downstream-Geräten das richtige Routing zu verwenden, damit NAT funktioniert, ohne den oben genannten Befehl zu aktivieren.

Protokollierung und Überwachung

SNMP konfigurieren

In diesem Abschnitt werden verschiedene Methoden beschrieben, mit denen die Bereitstellung von SNMP auf ASA-Geräten gesichert werden kann. Es ist wichtig, dass SNMP ordnungsgemäß gesichert wird, um die Vertraulichkeit, Integrität und Verfügbarkeit der Netzwerkdaten und der Netzwerkgeräte zu schützen, über die diese Daten übertragen werden. SNMP stellt Ihnen eine Fülle von Informationen zum Zustand von Netzwerkgeräten zur Verfügung. Diese Informationen sollten vor böswilligen Benutzern geschützt werden, die diese Daten nutzen möchten, um Angriffe auf das Netzwerk durchzuführen.

SNMP-Community-Strings

Community-Strings sind Kennwörter, die auf ein ASA-Gerät angewendet werden, um sowohl den Schreibzugriff als auch den Schreibzugriff auf die SNMP-Daten auf dem Gerät zu beschränken. Diese Community-Strings sollten wie bei allen Passwörtern sorgfältig ausgewählt werden, um sicherzustellen, dass sie nicht trivial sind. Community-Strings sollten in regelmäßigen Abständen und in Übereinstimmung mit Netzwerksicherheitsrichtlinien geändert werden. Beispielsweise sollten die Zeichenfolgen geändert werden, wenn ein Netzwerkadministrator Rollen ändert oder das Unternehmen verlässt.

SNMP-Lesezugriff aktivieren:

snmp-server host <interface_name> <remote_ip_address>

SNMP-Traps aktivieren

snmp-server enable traps all

Konfigurieren von Syslog

Es wird empfohlen, Protokollierungsinformationen an einen Remote-Syslog-Server zu senden. Auf diese Weise können Netzwerk- und Sicherheitsereignisse auf Netzwerkgeräten besser korreliert und überprüft werden. Beachten Sie, dass Syslog-Meldungen unzuverlässig über UDP und im Klartext übertragen werden. Aus diesem Grund sollten alle Schutzmechanismen, die ein Netzwerk für den Verwaltungsdatenverkehr bietet (z. B. Verschlüsselung oder Out-of-Band-Zugriff), erweitert werden, um Syslog-Datenverkehr einzubeziehen. Protokolle können so konfiguriert werden, dass sie von ASA an das folgende Ziel gesendet werden:

• ASDM
• Puffer
• Flash
• E-Mail
• FTP-Server
• SNMP-Server als Traps
• Syslogs-Server

Konsolenprotokollierung - Schweregrad konfigurieren

logging console critical

TCP-basiertes Syslog ist ebenfalls verfügbar. Alle Syslogs können im Klartext oder bei TCP verschlüsselt an den Syslog-Server gesendet werden.

Klartext

logging host interface_name syslog_ip [ tcp/ port

Verschlüsselt

logging host interface_name syslog_ip [tcp/port | [sicher]

Wenn keine TCP-Verbindung mit dem Syslogs-Server hergestellt werden kann, werden alle neuen Verbindungen abgelehnt. Sie können dieses Standardverhalten ändern, indem Sie den Befehl "logging permit-hostdown" eingeben.

Konfigurieren von Zeitstempeln in Protokollnachrichten

Die Konfiguration von Protokollierungs-Zeitstempeln ermöglicht die Korrelation von Ereignissen zwischen Netzwerkgeräten. Es ist wichtig, eine korrekte und konsistente Protokollierungs-Zeitstempelkonfiguration zu implementieren, um sicherzustellen, dass Sie Protokollierungsdaten korrelieren können.

logging timestamp

Weitere Informationen zu Syslog finden Sie im ASA Syslog-Konfigurationsbeispiel.

Konfigurieren von NetFlow

In manchen Fällen müssen Sie Netzwerkverkehr schnell identifizieren und zurückverfolgen, insbesondere bei Incident Response oder schlechter Netzwerkleistung. NetFlow bietet Transparenz für den gesamten Datenverkehr im Netzwerk. Darüber hinaus kann NetFlow mit Collectors implementiert werden, die eine langfristige Trendanalyse und automatisierte Analysen ermöglichen.

Die Cisco ASA unterstützt die NetFlow Version 9-Services. Die ASA- und ASASM-Implementierungen von NSEL bieten eine Stateful IP Flow Tracking-Methode, die nur Datensätze exportiert, die auf bedeutende Ereignisse in einem Datenstrom hinweisen. Bei der Zustandsüberwachung durchlaufen nachverfolgte Datenflüsse eine Reihe von Zustandsänderungen. NSEL-Ereignisse werden zum Exportieren von Daten über den Flow-Status verwendet und durch das Ereignis ausgelöst, das die Statusänderung verursacht hat.

Weitere Informationen zu Netflow auf der ASA finden Sie im Cisco ASA NetFlow Implementierungsleitfaden:

Sichern der Konfiguration

Image-Verifizierung auf ASA

Ab 9.1(2) und 8.4(4.1) wurde Unterstützung für die Prüfung der SHA-512-Image-Integrität hinzugefügt. Um die Prüfsumme einer Datei zu überprüfen, verwenden Sie den Befehl "Überprüfen" im privilegierten EXEC-Modus.

Berechnet und zeigt den MD5-Wert für das angegebene Software-Image an. Vergleichen Sie diesen Wert mit dem Wert, der auf Cisco.com für dieses Bild verfügbar ist.

verify [ /md5 path ] [ md5-value ]

Kennwörter in der Konfiguration

Alle Kennwörter und Schlüssel sind entweder verschlüsselt oder verschleiert. Die Meldung "show running-config" zeigt die tatsächlichen Kennwörter nicht an.

Ein solches Backup kann auf ASA nicht für Backups/Wiederherstellungen verwendet werden. Die Datensicherung, die zu Wiederherstellungszwecken durchgeführt wird, sollte mithilfe des Befehls "more system:running-config" durchgeführt werden.Die ASA-Konfigurationskennwörter können mit einer Master-Pass-Phrase verschlüsselt werden. Detaillierte Informationen finden Sie unter Kennwortverschlüsselung.

Service Password Recovery

Wenn Sie diese Option deaktivieren, wird der Kennwortwiederherstellungsmechanismus deaktiviert und der Zugriff auf ROMMON deaktiviert. Die einzige Möglichkeit, verlorene oder vergessene Passwörter wiederherzustellen, besteht für ROMMON darin, alle Dateisysteme einschließlich Konfigurationsdateien und Bildern zu löschen. Sie sollten eine Sicherung Ihrer Konfiguration vornehmen und über einen Mechanismus verfügen, um Bilder über die ROMMON-Befehlszeile wiederherzustellen.

Fehlerbehebung

Für dieses Dokument gibt es keinen Abschnitt zur Fehlerbehebung.