In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Dieses Dokument enthält Informationen zur Sicherung von Cisco ASA-Geräten, die die Sicherheit Ihres Netzwerks insgesamt erhöhen. Dieses Dokument ist in 4 Abschnitte gegliedert.
Management Plane Hardening - Dies gilt für alle ASA-bezogenen Management/Für den Boxdatenverkehr wie SNMP, SSH usw.
Sichern der Konfiguration - Befehle, mit denen die Eingabe der Kennwörter usw. für die aktuelle Konfiguration gestoppt werden kann
Protokollierung und Überwachung - Dies gilt für alle Einstellungen im Zusammenhang mit der Anmeldung bei ASA.
Datenverkehr: Dies gilt für den Datenverkehr, der die ASA durchläuft.
Die Abdeckung der Sicherheitsfunktionen in diesem Dokument bietet häufig genug Details, um die Funktion zu konfigurieren. Wenn dies jedoch nicht der Fall ist, wird die Funktion so erklärt, dass Sie beurteilen können, ob eine zusätzliche Aufmerksamkeit für die Funktion erforderlich ist. Dieses Dokument enthält, soweit möglich und angemessen, Empfehlungen, die bei der Sicherung eines Netzwerks helfen, falls es implementiert wird.
Für dieses Dokument bestehen keine speziellen Anforderungen.
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
Cisco ASA5500-X 9.4(1) und höher
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Diese Konfiguration kann auch mit der Cisco Security Appliance Software Version 9.x der Serie ASA 5500-X verwendet werden.
Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).
Ein wichtiger Punkt ist der sichere Netzwerkbetrieb. Obwohl der Großteil dieses Dokuments der sicheren Konfiguration eines Cisco ASA-Geräts gewidmet ist, wird ein Netzwerk durch Konfigurationen allein nicht vollständig gesichert. Die im Netzwerk verwendeten Betriebsverfahren tragen ebenso zur Sicherheit bei wie die Konfiguration der zugrunde liegenden Geräte.
Diese Themen enthalten betriebliche Empfehlungen, die Sie implementieren sollten. Diese Themen stellen bestimmte kritische Bereiche des Netzwerkbetriebs heraus und sind nicht umfassend.
Das Cisco Product Security Incident Response Team (PSIRT) erstellt und pflegt Veröffentlichungen, die allgemein als PSIRT Advisories bezeichnet werden, für sicherheitsrelevante Probleme von Cisco Produkten. Die für die Kommunikation bei weniger schwerwiegenden Problemen verwendete Methode ist Cisco Security Response. Sicherheitsratgeber und -antworten finden Sie unter PSIRT.
Weitere Informationen zu diesen Kommunikationsmitteln finden Sie in der Cisco Security Vulnerability Policy.
Um ein sicheres Netzwerk zu gewährleisten, müssen Sie die veröffentlichten Cisco Sicherheitsratgeber und -reaktionen kennen. Bevor die Bedrohung für ein Netzwerk ausgewertet werden kann, muss eine Sicherheitslücke bekannt sein. Informationen zu diesem Evaluierungsprozess finden Sie in Risk Triage for Security Vulnerability Ankündigungen.
Das Authentication, Authorization, and Accounting (AAA)-Framework ist für die Sicherung von Netzwerkgeräten unerlässlich. Das AAA-Framework ermöglicht die Authentifizierung von Managementsitzungen und kann die Benutzer auf spezifische, vom Administrator definierte Befehle beschränken und alle von allen Benutzern eingegebenen Befehle protokollieren. Weitere Informationen zur Verwendung von AAA finden Sie im Abschnitt Authentifizierung, Autorisierung und Abrechnung dieses Dokuments.
Um Informationen über bestehende, neue und historische Ereignisse im Zusammenhang mit Sicherheitsvorfällen zu erhalten, muss Ihr Unternehmen über eine einheitliche Strategie für die Protokollierung und Korrelation von Ereignissen verfügen. Diese Strategie muss die Protokollierung aller Netzwerkgeräte nutzen und vorkonfigurierte und anpassbare Korrelationsfunktionen verwenden.
Nach der Implementierung der zentralen Protokollierung müssen Sie einen strukturierten Ansatz für die Protokollanalyse und die Incident-Verfolgung entwickeln. Je nach Anforderungen Ihres Unternehmens reicht dieser Ansatz von einer einfachen sorgfältigen Überprüfung der Protokolldaten bis hin zu einer erweiterten regelbasierten Analyse.
Viele Protokolle werden zum Übertragen vertraulicher Netzwerkmanagementdaten verwendet. Wenn möglich müssen Sie sichere Protokolle verwenden. Eine sichere Protokollauswahl umfasst die Verwendung von SSH anstelle von Telnet, sodass Authentifizierungsdaten und Managementinformationen verschlüsselt werden. Darüber hinaus müssen Sie beim Kopieren von Konfigurationsdaten sichere Dateiübertragungsprotokolle verwenden. Ein Beispiel hierfür ist die Verwendung des Secure Copy Protocol (SCP) anstelle von FTP oder TFTP.
NetFlow ermöglicht die Überwachung von Datenverkehrsflüssen im Netzwerk. Ursprünglich für den Export von Datenverkehrsinformationen in Netzwerkmanagement-Anwendungen vorgesehen, kann NetFlow auch verwendet werden, um Flow-Informationen auf einem Router anzuzeigen. So können Sie in Echtzeit sehen, welcher Datenverkehr das Netzwerk passiert. Unabhängig davon, ob Flow-Informationen an einen RemotecCollector exportiert werden, wird empfohlen, Netzwerkgeräte für NetFlow zu konfigurieren, damit diese bei Bedarf reaktiv verwendet werden können.
Konfigurationsmanagement ist ein Prozess, mit dem Konfigurationsänderungen vorgeschlagen, überprüft, genehmigt und bereitgestellt werden. Im Zusammenhang mit einer Cisco ASA-Gerätekonfiguration sind zwei weitere Aspekte des Konfigurationsmanagements entscheidend: Konfigurationsarchivierung und Sicherheit.
Sie können Konfigurationsarchive verwenden, um Änderungen an Netzwerkgeräten zurückzusetzen. In einem Sicherheitskontext können auch Konfigurationsarchive verwendet werden, um festzustellen, welche Sicherheitsänderungen vorgenommen wurden und wann diese Änderungen eingetreten sind. In Verbindung mit AAA-Protokolldaten können diese Informationen bei der Sicherheitsüberprüfung von Netzwerkgeräten hilfreich sein.
Die Konfiguration eines Cisco ASA-Geräts enthält viele vertrauliche Informationen. Benutzernamen, Kennwörter und der Inhalt von Zugriffskontrolllisten sind Beispiele für diese Art von Informationen. Das Repository, das Sie zur Archivierung der Cisco ASA-Gerätekonfigurationen verwenden, muss gesichert werden. Der unsichere Zugriff auf diese Informationen kann die Sicherheit des gesamten Netzwerks beeinträchtigen.
Die Verwaltungsebene besteht aus Funktionen, die die Managementziele des Netzwerks erreichen. Dazu gehören interaktive Verwaltungssitzungen, die SSH verwenden, sowie die Sammlung von Statistiken mit SNMP oder NetFlow. Wenn Sie die Sicherheit eines Netzwerkgeräts in Betracht ziehen, ist es wichtig, dass die Verwaltungsebene geschützt wird. Wenn ein Sicherheitsvorfall die Funktionen der Managementebene untergraben kann, kann es für Sie unmöglich sein, das Netzwerk wiederherzustellen oder zu stabilisieren.
Die Verwaltungsebene dient dem Zugriff, der Konfiguration und dem Management eines Geräts sowie der Überwachung seines Betriebs und des Netzwerks, in dem es bereitgestellt wird. Die Managementebene ist die Ebene, die Datenverkehr für den Betrieb dieser Funktionen empfängt und sendet. Diese Protokollliste wird von der Verwaltungsebene verwendet:
Hinweis: Die Aktivierung von TELNET wird nicht empfohlen, da es sich um einfachen Text handelt.
Passwörter steuern den Zugriff auf Ressourcen oder Geräte. Dies wird durch die Definition eines Kennworts oder Geheimtitels erreicht, das zur Authentifizierung von Anforderungen verwendet wird. Wenn eine Anfrage für den Zugriff auf eine Ressource oder ein Gerät eingeht, wird die Anforderung zur Überprüfung des Kennworts und der Identität angefochten, und der Zugriff kann basierend auf dem Ergebnis gewährt, verweigert oder eingeschränkt werden. Als Best Practice für die Sicherheit müssen Kennwörter mit einem TACACS+- oder RADIUS-Authentifizierungsserver verwaltet werden. Beachten Sie jedoch, dass bei einem Ausfall der TACACS+- oder RADIUS-Dienste weiterhin ein lokal konfiguriertes Kennwort für den privilegierten Zugriff erforderlich ist. Ein Gerät kann auch andere Kennwortinformationen in seiner Konfiguration enthalten, z. B. einen NTP-Schlüssel, einen SNMP Community String oder einen Routing Protocol-Schlüssel.
ASA verwendet Message Digest 5 (MD5) für Passwort-Hashing. Dieser Algorithmus wurde von der Öffentlichkeit eingehend geprüft und ist nicht als umkehrbar bekannt. Der Algorithmus ist jedoch auch Wörterbuchangriffen ausgesetzt. Bei einem Wörterbuchangriff versucht ein Angreifer jedes Wort in einem Wörterbuch oder einer anderen Liste potenzieller Passwörter, um eine Übereinstimmung zu finden. Aus diesem Grund müssen Konfigurationsdateien sicher gespeichert und nur für vertrauenswürdige Personen freigegeben werden.
Um ASDM zu verwenden, müssen Sie den HTTPS-Server aktivieren und HTTPS-Verbindungen mit der ASA zulassen. Die Sicherheits-Appliance ermöglicht maximal 5 gleichzeitige ASDM-Instanzen pro Kontext (sofern verfügbar), maximal 32 ASDM-Instanzen zwischen allen Kontexten. So konfigurieren Sie die Verwendung des ASDM-Zugriffs:
http server enable <port>[an error occurred while processing this directive]
Lassen Sie nur die IPs zu, die in der ACL-Liste benötigt werden. Ein umfassender Zugriff ist eine falsche Praxis.
http 0.0.0.0 0.0.0.0 <interface>[an error occurred while processing this directive]
Konfigurieren der ASDM-Zugriffskontrolle:
http <remote_ip_address> <remote_subnet_mask> <interface_name>[an error occurred while processing this directive]
Ab der ASA-Softwareversion 9.1(2), 8.4(4.1) unterstützt die ASA jetzt die folgenden ephemeral Diffie-Hellman (DHE) SSL-Verschlüsselungssuiten.
DHE-AES128-SHA1
DHE-AES256-SHA1
Diese Verschlüsselungssuiten sind in RFC 3268, Advanced Encryption Standard (AES) CipherSuite for Transport Layer Security (TLS) spezifiziert.
Wenn vom Client unterstützt, ist DHE die bevorzugte Chiffre, da sie Perfect Forward Secrecy (Perfekte Weiterleitungsgeheimnis) bietet. Beachten Sie die folgenden Einschränkungen:
DHE wird auf SSL 3.0-Verbindungen nicht unterstützt. Aktivieren Sie daher auch TLS 1.0 für den SSL-Server.
// Set server version ASA(config)# ssl server-version tlsv1 sslv3[an error occurred while processing this directive]
// Set client version ASA(config) # ssl client-version any
Einige gängige Anwendungen unterstützen DHE nicht, so beinhalten mindestens eine andere SSL-Verschlüsselungsmethode, um sicherzustellen, dass eine Verschlüsselungssuite verwendet werden kann, die sowohl für den SSL-Client als auch für den -Server verwendet wird. Einige Clients unterstützen DHE möglicherweise nicht, darunter AnyConnect 2.5 und 3.0, Cisco Secure Desktop und Internet Explorer 9.0.
In der folgenden Reihenfolge ist die ASA standardmäßig aktiviert.
ASA(config)#ssl encryption rc4-sha1 dhe-aes128-sha1 dhe-aes256-sha1 aes128-sha1 aes256-sha1 3des-sha1[an error occurred while processing this directive]
ssl server-version any (Standard)
Die ASA verwendet standardmäßig ein temporäres, selbstsigniertes Zertifikat, das sich bei jedem Neustart ändert. Wenn Sie ein einzelnes Zertifikat suchen, können Sie dem folgenden Link folgen, um ein permanentes selbstsigniertes Zertifikat zu generieren.
Die ASA unterstützt jetzt TLS Version 1.2 ab Softwareversion 9.3.1 für die sichere Nachrichtenübertragung für ASDM, Clientless SSVPN und AnyConnect VPN. Die folgenden Befehle wurden eingeführt oder geändert: ssl client-version, ssl server-version, ssl cipher, ssl trust-point, ssl dh-group, show ssl, show ssl cipher, show vpn-sessiondb
ASA-1/act(config)# ssl server-version ? configure mode commands/options: tlsv1 Enter this keyword to accept SSLv2 ClientHellos and negotiate TLSv1 (or greater) tlsv1.1 Enter this keyword to accept SSLv2 ClientHellos and negotiate TLSv1.1 (or greater) tlsv1.2 Enter this keyword to accept SSLv2 ClientHellos and negotiate TLSv1.2 (or greater)[an error occurred while processing this directive]
ASA-1/act(config)# ssl cipher ? configure mode commands/options: default Specify the set of ciphers for outbound connections dtlsv1 Specify the ciphers for DTLSv1 inbound connections tlsv1 Specify the ciphers for TLSv1 inbound connections tlsv1.1 Specify the ciphers for TLSv1.1 inbound connections tlsv1.2 Specify the ciphers for TLSv1.2 inbound connections[an error occurred while processing this directive]
Die ASA ermöglicht zu Verwaltungszwecken SSH-Verbindungen mit der ASA. Die ASA ermöglicht maximal 5 gleichzeitige SSH-Verbindungen pro Kontext, sofern verfügbar, mit maximal 100 Verbindungen, die auf alle Kontexte aufgeteilt sind.
hostname <device_hostname> domain-name <domain-name> crypto key generate rsa modulus 2048[an error occurred while processing this directive]
Der Standardschlüsselpaarttyp ist ein allgemeiner Schlüssel. Die Standardmodulgröße ist 1024. Der NVRAM-Speicherplatz zum Speichern von Schlüsselpaaren variiert je nach ASA-Plattform. Wenn Sie mehr als 30 Schlüsselpaare generieren, können Sie einen Grenzwert erreichen. Die 4096-Bit-RSA-Schlüssel werden nur auf den Plattformen ASA5580, 5585 oder höher unterstützt.
So entfernen Sie die Schlüsselpaare des angegebenen Typs (rsa oder dsa)
crypto key zeroize { rsa | dsa } [ label key-pair-label ] [ default ] [ noconfirm ][an error occurred while processing this directive]
Konfigurieren von SSH für den Remote-Gerätezugriff:
ssh <remote_ip_address> <remote_subnet_mask> <interface_name>[an error occurred while processing this directive]
Um die von der ASA akzeptierte Version von SSH einzuschränken, verwenden Sie den Befehl ssh version im globalen Konfigurationsmodus. Um die ASA auf die Verwendung von Version 2 zu beschränken, kann der folgende Befehl verwendet werden.
ASA(config)#ssh version 2[an error occurred while processing this directive]
Um Schlüssel entweder über die Diffie-Hellman (DH) Group 1 oder die DH Group 14-Schlüsselaustauschmethode auszutauschen, verwenden Sie den Befehl ssh key-exchange im globalen Konfigurationsmodus. ab 9.1(2) unterstützt ASA dh-group14-sha1 für SSH
ASA(config)#ssh key-exchange dh-group14-sha1[an error occurred while processing this directive]
// Configure Console timeout[an error occurred while processing this directive]
ASA(config)#console timeout 10
// Configure Console timeout
ASA(config)#ssh timeout 10
Passwörter steuern den Zugriff auf Ressourcen oder Geräte. Dies wird durch die Definition eines Kennworts oder Geheimtitels erreicht, das zur Authentifizierung von Anforderungen verwendet wird. Wenn eine Anfrage für den Zugriff auf eine Ressource oder ein Gerät eingeht, wird die Anforderung zur Überprüfung des Kennworts und der Identität angefochten, und der Zugriff kann basierend auf dem Ergebnis gewährt, verweigert oder eingeschränkt werden. Als Best Practice für die Sicherheit müssen Kennwörter mit einem TACACS+- oder RADIUS-Authentifizierungsserver verwaltet werden. Beachten Sie jedoch, dass bei einem Ausfall der TACACS+- oder RADIUS-Dienste weiterhin ein lokal konfiguriertes Kennwort für den privilegierten Zugriff erforderlich ist. Ein Gerät kann auch andere Kennwortinformationen in seiner Konfiguration enthalten, z. B. einen NTP-Schlüssel, einen SNMP Community String oder einen Routing Protocol-Schlüssel.
username <local_username> password <local_password> encrypted[an error occurred while processing this directive]
enable password <enable_password> encrypted[an error occurred while processing this directive]
ASA(config)#aaa authentication enable console LOCAL[an error occurred while processing this directive]
Das Authentication, Authorization, and Accounting (AAA)-Framework ist für die Sicherung des interaktiven Zugriffs auf Netzwerkgeräte von entscheidender Bedeutung. Das AAA-Framework bietet eine hochgradig konfigurierbare Umgebung, die auf die Netzwerkanforderungen zugeschnitten werden kann.
TACACS+ ist ein Authentifizierungsprotokoll, das ASA zur Authentifizierung von Managementbenutzern für einen Remote-AAA-Server verwenden kann. Diese Managementbenutzer können über SSH, HTTPS, Telnet oder HTTP auf das ASA-Gerät zugreifen.
Die TACACS+-Authentifizierung oder generell die AAA-Authentifizierung bietet die Möglichkeit, für jeden Netzwerkadministrator individuelle Benutzerkonten zu verwenden. Wenn Sie sich nicht auf ein einziges gemeinsam genutztes Kennwort verlassen, wird die Sicherheit des Netzwerks erhöht und Ihre Rechenschaftspflicht erhöht.
RADIUS ist ein Protokoll, das mit TACACS+ vergleichbar ist. Sie verschlüsselt jedoch nur das Passwort, das über das Netzwerk gesendet wird. Im Gegensatz dazu verschlüsselt TACACS+ die gesamte TCP-Nutzlast, die sowohl Benutzername als auch Kennwort enthält. Aus diesem Grund sollte TACACS+ anstelle von RADIUS verwendet werden, wenn TACACS+ vom AAA-Server unterstützt wird. Im TACACS+- und RADIUS-Vergleich finden Sie einen ausführlicheren Vergleich dieser beiden Protokolle.
Die TACACS+-Authentifizierung kann auf einem Cisco ASA-Gerät mit einer Konfiguration wie diesem Beispiel aktiviert werden:
aaa authentication serial console Tacacs aaa authentication ssh console Tacacs aaa authentication http console Tacacs aaa authentication telnet console Tacacs[an error occurred while processing this directive]
Ab Softwareversion 9.3.1 werden ASA-Images jetzt mit einer digitalen Signatur signiert. Die digitale Signatur wird nach dem Booten der ASA verifiziert.
ASA-1/act(config)# verify flash:/asa941-smp-k8.bin[an error occurred while processing this directive]
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Done! Embedded Hash SHA-512: 0e707a0e45b1c7c5afa9ef4e802a273677a5e46f7e1d186292abe1154 c948a63c625463b74119194da029655487659490c2873506974cab78b66d6d9742ed73e Computed Hash SHA-512: 0e707a0e45b1c7c5afa9ef4e802a273677a5e46f7e1d186292abe1154 c948a63c625463b74119194da029655487659490c2873506974cab78b66d6d9742ed73e CCO Hash SHA-512: 1b6d41e893868aab9e06e78a9902b925227c82d8e31978ff2c412c18a c99f49f70354715441385e0b96e4bd3e861d18fb30433d52e12b15b501fa790f36d0ea0 Signature Verified
ASA(config)# verify /signature running Requesting verify signature of the running image... Starting image verification Hash Computation: 100% Done! Computed Hash SHA2: 2fbb0f62b5fbc61b081acfca76bddbb2 26ce7a5fb4b424e5e21636c6c8a7d665 1e688834203dfb7ffa6eaefc7fdf9d3d 1d0a063a20539baba72c2526ca37771c Get key records from key storage: PrimaryASA, key_store_type: 6 Embedded Hash SHA2: 2fbb0f62b5fbc61b081acfca76bddbb2 26ce7a5fb4b424e5e21636c6c8a7d665 1e688834203dfb7ffa6eaefc7fdf9d3d 1d0a063a20539baba72c2526ca37771c Returned. rc: 0, status: 1 The digital signature of the running image verified successfully
ASA-1/act(config)# show software authenticity running
Image type : Release
Signer Information
Common Name : abraxas
Organization Unit : ASAv
Organization Name : CiscoSystems
Certificate Serial Number : 550DBBD5
Hash Algorithm : SHA2 512
Signature Algorithm : 2048-bit RSA
Key Version : A
clock timezone GMT <hours offset>[an error occurred while processing this directive]
Das Network Time Protocol (NTP) ist kein besonders gefährlicher Dienst, aber alle nicht benötigten Services können einen Angriffsvektor darstellen. Wenn NTP verwendet wird, ist es wichtig, eine vertrauenswürdige Zeitquelle explizit zu konfigurieren und die korrekte Authentifizierung zu verwenden. Für Syslog-Zwecke, z. B. bei forensischen Untersuchungen potenzieller Angriffe, sowie für eine erfolgreiche VPN-Verbindung ist eine genaue und zuverlässige Zeit erforderlich, wenn Zertifikate für Phase-1-Authentifizierung benötigt werden.
ntp server ip_address [ key key_id ] [ source interface_name ] [ prefer ][an error occurred while processing this directive]
ASA(config)#ntp authenticate[an error occurred while processing this directive]
clear configure dhcpd no dhcpd enable <interface_name>[an error occurred while processing this directive]
Hinweis: ASA unterstützt CDP nicht.
Zugriffskontrollregeln für den sofort einsatzbereiten Verwaltungsdatenverkehr (definiert durch Befehle wie http, ssh oder telnet) haben eine höhere Priorität als eine Zugriffsliste, die mit der Option Kontrollebene angewendet wird. Aus diesem Grund ist ein solcher zulässiger Verwaltungsdatenverkehr auch dann zulässig, wenn er von der sofort einsatzbereiten Zugriffsliste ausdrücklich abgelehnt wird.
access-list <name> in interface <Interface_name> control-plane[an error occurred while processing this directive]
Nachfolgend sind die Protokolle aufgeführt, die zum Kopieren/Übertragen von Dateien auf ASA verwendet werden können.
Text löschen:
Sicher:
Jede TCP-Verbindung hat zwei ISNs: eine vom Client und eine vom Server generiert. Die ASA randomisiert die ISN der TCP-SYN, die sowohl die eingehende als auch die ausgehende Richtung übergibt.
Die Randomisierung der ISN des geschützten Hosts verhindert, dass ein Angreifer die nächste ISN für eine neue Verbindung vorwegnimmt und die neue Sitzung möglicherweise missbraucht.
Die Randomisierung der anfänglichen TCP-Sequenznummer kann bei Bedarf deaktiviert werden. Beispiel:
Standardmäßig wird die TTL im IP-Header nicht reduziert, da ASA bei der Traceroute nicht als Router-Hop angezeigt wird.
Erzwingt eine DNS-Antwort pro Abfrage. Sie kann über den Befehl im globalen Konfigurationsmodus aktiviert werden.
ASA(config)#dns-guard[an error occurred while processing this directive]
Um eine zusätzliche Verwaltung der Paketfragmentierung bereitzustellen und die Kompatibilität mit NFS zu verbessern, verwenden Sie den Befehl fragmentieren im globalen Konfigurationsmodus.
fragment reassembly { full | virtual } { size | chain | timeout limit } [ interface ][an error occurred while processing this directive]
Prüfungs-Engines sind für Dienste erforderlich, die IP-Adressierungsinformationen in das Benutzerdatenpaket einbetten oder sekundäre Kanäle auf dynamisch zugewiesenen Ports öffnen. Für diese Protokolle muss die ASA eine Deep Packet Inspection durchführen, anstatt das Paket über den schnellen Pfad zu übertragen. Infolgedessen können Prüfungs-Engines den Gesamtdurchsatz beeinflussen. Weitere Informationen zur Application Layer Protocol Inspection finden Sie im ASA 9.4-Konfigurationshandbuch.
Die Überprüfung auf ASA kann mithilfe des folgenden Befehls aktiviert werden:
policy-map <Policy-map_name> class inspection_default inspect <Protocol> service-policy <Policy-map_name> interface <Interface_name> (Per Interface) service-policy <Policy-map_name> global (Globally)[an error occurred while processing this directive]
Standardmäßig ist "global_policy" global aktiviert.
ip verify reverse-path interface <interface_name>[an error occurred while processing this directive]
Wenn Datenverkehr aufgrund einer RPF-Prüfung verworfen wird, erhöht sich der folgende "show asp drop"-Zähler für ASA.
ASA(config)# show asp drop
Frame drop:
Invalid TCP Length (invalid-tcp-hdr-length) 21
Reverse-path verify failed (rpf-violated) 90
// Check Reverse path statistics
ASA(config)# sh ip verify statistics
interface inside: 11 unicast rpf drops
interface outside: 79 unicast rpf drops[an error occurred while processing this directive]
Die Bedrohungserkennung bietet Firewall-Administratoren die erforderlichen Tools, um Angriffe zu identifizieren, zu verstehen und zu stoppen, bevor sie in die interne Netzwerkinfrastruktur gelangen. Hierzu stützt sich die Funktion auf eine Reihe verschiedener Trigger und Statistiken, die in diesen Abschnitten ausführlicher beschrieben werden.
Weitere Erläuterungen zur Bedrohungserkennung auf ASA finden Sie unter Funktionen und Konfiguration zur ASA-Bedrohungserkennung.
Der BotNet-Datenverkehrsfilter überwacht DNS-Anfragen (Domain Name Server) und -Antworten zwischen internen DNS-Clients und externen DNS-Servern. Wenn eine DNS-Antwort verarbeitet wird, wird die Domäne, die der Antwort zugeordnet ist, mit der Datenbank bekannter schädlicher Domänen abgeglichen. Bei einer Übereinstimmung wird der weitere Datenverkehr zur IP-Adresse in der DNS-Antwort blockiert.
Malware ist Schadsoftware, die auf einem unwissenden Host installiert wird. Malware, die Netzwerkaktivitäten wie das Senden privater Daten (Kennwörter, Kreditkartennummern, Tastenanschläge oder proprietäre Daten) versucht, kann vom Botnet Traffic Filter erkannt werden, wenn die Malware eine Verbindung zu einer bekannten schädlichen IP-Adresse herstellt. Der Botnet Traffic Filter überprüft eingehende und ausgehende Verbindungen anhand einer dynamischen Datenbank mit bekannten schädlichen Domänennamen und IP-Adressen (Blacklist) und protokolliert oder blockiert dann alle verdächtigen Aktivitäten.
Sie können die dynamische Datenbank von Cisco auch um Adressen in Blacklists Ihrer Wahl ergänzen, indem Sie sie einer statischen Blacklist hinzufügen. Wenn die dynamische Datenbank Adressen enthält, die nicht auf Blacklists gesetzt werden sollten, können Sie diese manuell in eine statische Whitelist eingeben. Whitelisted-Adressen generieren weiterhin Syslog-Meldungen. Da Sie jedoch nur auf Blacklist-Syslog-Meldungen abzielen, sind diese informativ. Detaillierte Informationen finden Sie unter Konfigurieren des Botnet-Verkehrsfilters.
Standardmäßig reagiert ASA nicht auf ARP für nicht direkt verbundene Subnetz-IP-Adressen. Wenn Sie eine NAT-IP auf ASA haben, die nicht zur gleichen Subnetz-IP der ASA-Schnittstelle gehört, müssen wir "arp permit-non-connected" auf ASA für Proxy-ARP für die NATted-IP aktivieren.
arp permit-nonconnected[an error occurred while processing this directive]
Es wird immer empfohlen, auf Upstream- und Downstream-Geräten das richtige Routing zu verwenden, damit NAT funktioniert, ohne den oben genannten Befehl zu aktivieren.
In diesem Abschnitt werden verschiedene Methoden beschrieben, mit denen die Bereitstellung von SNMP auf ASA-Geräten gesichert werden kann. Es ist wichtig, dass SNMP ordnungsgemäß gesichert wird, um die Vertraulichkeit, Integrität und Verfügbarkeit der Netzwerkdaten und der Netzwerkgeräte zu schützen, über die diese Daten übertragen werden. SNMP stellt Ihnen eine Fülle von Informationen zum Zustand von Netzwerkgeräten zur Verfügung. Diese Informationen sollten vor böswilligen Benutzern geschützt werden, die diese Daten nutzen möchten, um Angriffe auf das Netzwerk durchzuführen.
Community-Strings sind Kennwörter, die auf ein ASA-Gerät angewendet werden, um sowohl den Schreibzugriff als auch den Schreibzugriff auf die SNMP-Daten auf dem Gerät zu beschränken. Diese Community-Strings sollten wie bei allen Passwörtern sorgfältig ausgewählt werden, um sicherzustellen, dass sie nicht trivial sind. Community-Strings sollten in regelmäßigen Abständen und in Übereinstimmung mit Netzwerksicherheitsrichtlinien geändert werden. Beispielsweise sollten die Zeichenfolgen geändert werden, wenn ein Netzwerkadministrator Rollen ändert oder das Unternehmen verlässt.
snmp-server host <interface_name> <remote_ip_address>[an error occurred while processing this directive]
snmp-server enable traps all[an error occurred while processing this directive]
Es wird empfohlen, Protokollierungsinformationen an einen Remote-Syslog-Server zu senden. Auf diese Weise können Netzwerk- und Sicherheitsereignisse auf Netzwerkgeräten besser korreliert und überprüft werden. Beachten Sie, dass Syslog-Meldungen unzuverlässig über UDP und im Klartext übertragen werden. Aus diesem Grund sollten alle Schutzmechanismen, die ein Netzwerk für den Verwaltungsdatenverkehr bietet (z. B. Verschlüsselung oder Out-of-Band-Zugriff), erweitert werden, um Syslog-Datenverkehr einzubeziehen. Protokolle können so konfiguriert werden, dass sie von ASA an das folgende Ziel gesendet werden:
logging console critical[an error occurred while processing this directive]
TCP-basiertes Syslog ist ebenfalls verfügbar. Alle Syslogs können im Klartext oder bei TCP verschlüsselt an den Syslog-Server gesendet werden.
Klartext
logging host interface_name syslog_ip [ tcp/ port
Verschlüsselt
logging host interface_name syslog_ip [tcp/port | [sicher]
Wenn keine TCP-Verbindung mit dem Syslogs-Server hergestellt werden kann, werden alle neuen Verbindungen abgelehnt. Sie können dieses Standardverhalten ändern, indem Sie den Befehl "logging permit-hostdown" eingeben.
Die Konfiguration von Protokollierungs-Zeitstempeln ermöglicht die Korrelation von Ereignissen zwischen Netzwerkgeräten. Es ist wichtig, eine korrekte und konsistente Protokollierungs-Zeitstempelkonfiguration zu implementieren, um sicherzustellen, dass Sie Protokollierungsdaten korrelieren können.
logging timestamp[an error occurred while processing this directive]
Weitere Informationen zu Syslog finden Sie im ASA Syslog-Konfigurationsbeispiel.
In manchen Fällen müssen Sie Netzwerkverkehr schnell identifizieren und zurückverfolgen, insbesondere bei Incident Response oder schlechter Netzwerkleistung. NetFlow bietet Transparenz für den gesamten Datenverkehr im Netzwerk. Darüber hinaus kann NetFlow mit Collectors implementiert werden, die eine langfristige Trendanalyse und automatisierte Analysen ermöglichen.
Die Cisco ASA unterstützt die NetFlow Version 9-Services. Die ASA- und ASASM-Implementierungen von NSEL bieten eine Stateful IP Flow Tracking-Methode, die nur Datensätze exportiert, die auf bedeutende Ereignisse in einem Datenstrom hinweisen. Bei der Zustandsüberwachung durchlaufen nachverfolgte Datenflüsse eine Reihe von Zustandsänderungen. NSEL-Ereignisse werden zum Exportieren von Daten über den Flow-Status verwendet und durch das Ereignis ausgelöst, das die Statusänderung verursacht hat.
Weitere Informationen zu Netflow auf der ASA finden Sie im Cisco ASA NetFlow Implementierungsleitfaden:
Ab 9.1(2) und 8.4(4.1) wurde Unterstützung für die Prüfung der SHA-512-Image-Integrität hinzugefügt. Um die Prüfsumme einer Datei zu überprüfen, verwenden Sie den Befehl "Überprüfen" im privilegierten EXEC-Modus.
Berechnet und zeigt den MD5-Wert für das angegebene Software-Image an. Vergleichen Sie diesen Wert mit dem Wert, der auf Cisco.com für dieses Bild verfügbar ist.
verify [ /md5 path ] [ md5-value ][an error occurred while processing this directive]
Alle Kennwörter und Schlüssel sind entweder verschlüsselt oder verschleiert. Die Meldung "show running-config" zeigt die tatsächlichen Kennwörter nicht an.
Ein solches Backup kann auf ASA nicht für Backups/Wiederherstellungen verwendet werden. Die Datensicherung, die zu Wiederherstellungszwecken durchgeführt wird, sollte mithilfe des Befehls "more system:running-config" durchgeführt werden.Die ASA-Konfigurationskennwörter können mit einer Master-Pass-Phrase verschlüsselt werden. Detaillierte Informationen finden Sie unter Kennwortverschlüsselung.
Wenn Sie diese Option deaktivieren, wird der Kennwortwiederherstellungsmechanismus deaktiviert und der Zugriff auf ROMMON deaktiviert. Die einzige Möglichkeit, verlorene oder vergessene Passwörter wiederherzustellen, besteht für ROMMON darin, alle Dateisysteme einschließlich Konfigurationsdateien und Bildern zu löschen. Sie sollten eine Sicherung Ihrer Konfiguration vornehmen und über einen Mechanismus verfügen, um Bilder über die ROMMON-Befehlszeile wiederherzustellen.
Für dieses Dokument gibt es keinen Abschnitt zur Fehlerbehebung.