In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird der Prozess zur Konfiguration von Zugriffsregeln auf Kontrollebene für die Secure Firewall Threat Defense- und die Adaptive Security Appliance (ASA) beschrieben.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Der Datenverkehr durchläuft in der Regel eine Firewall und wird zwischen Datenschnittstellen weitergeleitet. In einigen Fällen ist es vorteilhaft, Datenverkehr, der "an" die sichere Firewall gerichtet ist, zu verweigern. Die Cisco Secure Firewall kann mithilfe einer Zugriffskontrollliste auf Kontrollebene (Control Plane Access Control List, ACL) den einsatzbereiten Datenverkehr beschränken. Ein Beispiel für den Fall, dass eine Kontrollebenen-ACL nützlich sein kann, wäre die Kontrolle darüber, welche Peers einen VPN-Tunnel (Site-to-Site oder Remote Access VPN) zur sicheren Firewall einrichten können.
Der Datenverkehr durchläuft in der Regel Firewalls von einer Schnittstelle (eingehend) zu einer anderen Schnittstelle (ausgehend). Dies wird als Durchgangsverkehr bezeichnet und wird sowohl von den Zugriffskontrollrichtlinien (ACP) als auch den Vorfilterregeln verwaltet.
Abbildung 1: Beispiel für standortunabhängigen Datenverkehr
Es gibt andere Fälle, in denen der Datenverkehr direkt an eine FTD-Schnittstelle (Site-to-Site oder Remote Access VPN) gerichtet ist. Dies wird als "to-the-box"-Datenverkehr bezeichnet und von der Kontrollebene dieser Schnittstelle verwaltet.
Im nächsten Beispiel versucht eine Gruppe von IP-Adressen aus einem bestimmten Land, VPN-Brute-Force-Angriffe auf das Netzwerk auszuführen, indem sie versucht, sich beim FTD RAVPN anzumelden. Die beste Option zum Schutz des FTD vor diesen VPN-Brute-Force-Angriffen ist die Konfiguration einer Kontrollebenen-ACL, um diese Verbindungen zur externen FTD-Schnittstelle zu blockieren.
Mit diesem Verfahren müssen Sie in einem FMC eine Kontrollebenen-ACL konfigurieren, um eingehende VPN-Brute-Force-Angriffe auf die externe FTD-Schnittstelle zu blockieren:
Schritt 1: Öffnen Sie die grafische Benutzeroberfläche (GUI) von FMC über HTTPS, und melden Sie sich mit Ihren Anmeldeinformationen an:
Bild 3. FMC-Anmeldeseite
Schritt 2: Erstellen Sie eine erweiterte Zugriffskontrollliste. Navigieren Sie dazu zu Objekte > Objektverwaltung:
Bild 4. Objektmanagement
Schritt 2.1. Navigieren Sie im linken Bereich zu Access List > Extended (Zugriffsliste > Erweitert), um eine erweiterte ACL zu erstellen:
Abbildung 5. Menü "Erweiterte Zugriffskontrolllisten"
Schritt 2.2. Wählen Sie dann Erweiterte Zugriffsliste hinzufügen aus:
Abbildung 6: Hinzufügen einer erweiterten Zugriffskontrollliste
Schritt 2.3. Geben Sie einen Namen für die erweiterte Zugriffskontrollliste ein, und klicken Sie dann auf die Schaltfläche Hinzufügen, um einen Zugriffskontrolleintrag (ACE) zu erstellen:
Abbildung 7: Einträge in erweiterten Zugriffskontrolllisten
Schritt 2.4. Ändern Sie die ACE-Aktion in Blockieren, fügen Sie dann das Quellnetzwerk hinzu, um den Datenverkehr zu übernehmen, der dem FTD verweigert werden muss, belassen Sie das Zielnetzwerk bei Any (Beliebig), und klicken Sie auf die Schaltfläche Hinzufügen, um den ACE-Eintrag abzuschließen.
In diesem Beispiel blockiert der konfigurierte ACE-Eintrag Brute-Force-VPN-Angriffe aus dem Subnetz 192.168.1.0/24:
Bild 8. Abgelehnte Netzwerke
Schritt 2.5. Falls Sie weitere ACE-Einträge hinzufügen müssen, klicken Sie erneut auf die Schaltfläche Hinzufügen, und wiederholen Sie Schritt 2.4. Klicken Sie anschließend auf die Schaltfläche Speichern, um die ACL-Konfiguration abzuschließen:
Bild 9. Abgeschlossene erweiterte ACL-Einträge
Schritt 3. Anschließend müssen Sie ein Flex-Config-Objekt konfigurieren, um die ACL der Kontrollebene auf die externe FTD-Schnittstelle anzuwenden. Navigieren Sie dazu zum linken Bereich, und wählen Sie die Option FlexConfig > FlexConfig Object (FlexConfig > FlexConfig-Objekt).
Bild 10. Menü "FlexConfig-Objekt"
Schritt 3.1: Klicken Sie auf FlexConfig-Objekt hinzufügen:
Abbildung 11: FlexConfig-Objekt hinzufügen
Schritt 3.2: Fügen Sie einen Namen für das FlexConfig-Objekt hinzu, und fügen Sie dann ein ACL-Richtlinienobjekt ein. Wählen Sie dazu Einfügen > Richtlinienobjekt einfügen > Erweitertes ACL-Objekt:
Abbildung 12: FlexConfig-Objektvariable
Schritt 3.3. Fügen Sie einen Namen für die ACL-Objektvariable hinzu, und wählen Sie dann die erweiterte ACL aus, die in Schritt 2.3 erstellt wurde. Klicken Sie anschließend auf die Schaltfläche Speichern:
Abbildung 13: Zuweisung der FlexConfig-Objektvariablen für Zugriffskontrolllisten
Schritt 3.4. Konfigurieren Sie dann die ACL der Steuerungsebene als eingehend für die externe Schnittstelle.
Befehlszeilensyntax
access-group "variable name starting with $ symbol" in interface "interface-name" control-plane
Dies wird in das nächste Befehlsbeispiel übersetzt, das die in Schritt 2.3 erstellte ACL-Variable VAR-ACL-UNWANTED-COUNTRY verwendet:
access-group $VAR-ACL-UNWANTED-COUNTRY in interface outside control-plane
So muss es im FlexConfig-Objektfenster konfiguriert werden. Wählen Sie anschließend die Schaltfläche Speichern, um das FlexConfig-Objekt abzuschließen:
Abbildung 14: Flexconfig-Objekt - vollständige Befehlszeile
Hinweis: Es wird dringend empfohlen, die ACL der Steuerungsebene nur für die Schnittstellen zu konfigurieren, die eingehende VPN-Sitzungen für den Remote-Zugriff in der sicheren Firewall empfangen, z. B. die externe Schnittstelle.
Schritt 4. Sie müssen die Konfiguration des FlexConfig-Objekts auf das FTD anwenden. Navigieren Sie dazu zu Devices (Geräte) > FlexConfig (FlexConfig-Objekt):
Abbildung 15. Menü "FlexConfig Policy"
Schritt 4.1. Klicken Sie dann auf Neue Richtlinie, wenn noch keine FlexConfig-Richtlinie für Ihr FTD erstellt wurde, oder bearbeiten Sie die vorhandene FlexConfig-Richtlinie:
Bild 16. Erstellung von FlexConfig-Richtlinien
Schritt 4.2. Fügen Sie einen Namen für die neue FlexConfig-Richtlinie hinzu, und wählen Sie das FTD aus, das Sie auf die erstellte Kontrollebenen-ACL anwenden möchten:
Abbildung 17. Zuweisung der FlexConfig-Richtlinie für Geräte
Schritt 4.3: Suchen Sie im linken Bereich nach dem in Schritt 3.2 erstellten FlexConfig-Objekt, und fügen Sie es dann der FlexConfig-Richtlinie hinzu, indem Sie auf den Pfeil nach rechts in der Mitte des Fensters klicken. Klicken Sie abschließend auf die Schaltfläche Speichern:
Abbildung 18: FlexConfig-Richtlinienobjektzuweisung
Schritt 5. Setzen Sie die Konfigurationsänderung auf dem FTD fort, und navigieren Sie dazu zu Deploy > Advanced Deploy:
Bild 19. FTD Advanced Deploy
Schritt 5.1. Wählen Sie dann das FTD aus, auf das die FlexConfig-Richtlinie angewendet werden soll. Wenn alles korrekt ist, klicken Sie auf Bereitstellen:
Image 20. FTD-Bereitstellungsvalidierung
Schritt 5.2. Nachdem dies geschehen ist, wird ein Fenster mit einer Bereitstellungsbestätigung angezeigt. Fügen Sie einen Kommentar hinzu, um die Bereitstellung nachzuverfolgen, und fahren Sie mit der Bereitstellung fort:
Bild 21. FTD-Bereitstellungskommentare
Schritt 5.3. Bei der Bereitstellung von FlexConfig-Änderungen kann eine Warnmeldung angezeigt werden. Klicken Sie nur auf Deploy (Bereitstellen), wenn Sie sich sicher sind, dass die Richtlinienkonfiguration korrekt ist:
Bild 22. FTD-Bereitstellungs-Flexconfig-Warnung
Schritt 5.4: Bestätigen Sie, dass die Richtlinienbereitstellung für die FTD erfolgreich war:
Image 23. FTD-Bereitstellung erfolgreich
Schritt 6: Wenn Sie eine neue Kontrollebenen-ACL für Ihren FTD erstellen oder eine vorhandene, die aktiv genutzt wird, bearbeiten, ist es wichtig zu betonen, dass die vorgenommenen Konfigurationsänderungen nicht für bereits bestehende Verbindungen zum FTD gelten. Daher müssen Sie die aktiven Verbindungsversuche zum FTD manuell löschen. Stellen Sie dazu eine Verbindung mit der CLI des FTD her, und deaktivieren Sie die aktiven Verbindungen.
So löschen Sie die aktive Verbindung für eine bestimmte Host-IP-Adresse:
> clear conn address 192.168.1.10 all
So löschen Sie die aktiven Verbindungen für ein ganzes Subnetz:
> clear conn address 192.168.1.0 netmask 255.255.255.0 all
So löschen Sie die aktiven Verbindungen für einen IP-Adressbereich:
> clear conn address 192.168.1.1-192.168.1.10 all
Hinweis: Es wird dringend empfohlen, das Schlüsselwort all am Ende des Befehls clear conn address zu verwenden, um das Löschen der aktiven VPN-Brute-Force-Verbindungsversuche mit der sicheren Firewall zu erzwingen. Dies ist vor allem dann der Fall, wenn die Art des VPN-Brute-Force-Angriffs eine Explosion konstanter Verbindungsversuche auslöst.
Mit diesem Verfahren müssen Sie in einem FDM eine Kontrollebenen-ACL konfigurieren, um eingehende VPN-Brute-Force-Angriffe auf die externe FTD-Schnittstelle zu blockieren:
Schritt 1: Öffnen Sie die FDM-GUI über HTTPS, und melden Sie sich mit Ihren Anmeldeinformationen an:
Bild 24. FDM-Anmeldeseite
Schritt 2. Sie müssen ein Objektnetzwerk erstellen. Navigieren Sie dazu zu Objekte:
Bild 25. FDM-Haupt-Dashboard
Schritt 2.1. Wählen Sie im linken Bereich "Networks" (Netzwerke) aus, und klicken Sie dann auf die Schaltfläche "+", um ein neues Netzwerkobjekt zu erstellen:
Bild 26. Objekterstellung
Schritt 2.2. Fügen Sie einen Namen für das Netzwerkobjekt hinzu, wählen Sie den Netzwerktyp für das Objekt aus, fügen Sie die IP-Adresse, die Netzwerkadresse oder den IP-Bereich hinzu, um den Datenverkehr abzustimmen, der dem FTD verweigert werden muss. Klicken Sie dann auf die Schaltfläche OK, um das Objektnetzwerk zu vervollständigen.
- In diesem Beispiel soll das konfigurierte Objektnetzwerk Brute-Force-VPN-Angriffe blockieren, die vom Subnetz 192.168.1.0/24 ausgehen:
Bild 27. Netzwerkobjekt hinzufügen
Schritt 3. Anschließend müssen Sie eine erweiterte ACL erstellen. Navigieren Sie dazu zur Registerkarte Device (Gerät) im oberen Menü:
Bild 28. Seite Geräteeinstellungen
Schritt 3.1. Blättern Sie nach unten, und wählen Sie View Configuration (Konfiguration anzeigen) aus dem Quadrat Advanced Configuration (Erweiterte Konfiguration) aus, wie im Bild gezeigt:
Bild 29. Erweiterte FDM-Konfiguration
Schritt 3.2. Navigieren Sie dann im linken Bereich zu Smart CLI > Objects, und klicken Sie auf CREATE SMART CLI OBJECT.
Bild 30. Smart CLI-Objekte
Schritt 3.3. Fügen Sie einen Namen für die zu erstellende erweiterte ACL hinzu, wählen Sie Extended Access List (Erweiterte Zugriffsliste) aus dem Dropdown-Menü für die CLI-Vorlage aus, und konfigurieren Sie die erforderlichen ACEs mithilfe des in Schritt 2.2 erstellten Netzwerkobjekts. Klicken Sie dann auf die Schaltfläche OK, um die ACL abzuschließen:
Bild 31. Erstellung erweiterter ACLs
Hinweis: Wenn Sie weitere ACEs für die ACL hinzufügen müssen, können Sie dies tun, indem Sie mit der Maus auf die linke Seite des aktuellen ACE zeigen. werden drei anklickbare Punkte nicht angezeigt. Klicken Sie darauf, und wählen Sie Duplizieren aus, um weitere ACEs hinzuzufügen.
Schritt 4. Anschließend müssen Sie ein FlexConfig-Objekt erstellen. Navigieren Sie dazu zum linken Bereich, wählen Sie FlexConfig > FlexConfig Objects aus, und klicken Sie dann auf CREATE FLEXCONFIG OBJECT:
Bild 32. FlexConfig-Objekte
Schritt 4.1. Fügen Sie einen Namen für das FlexConfig-Objekt hinzu, um die ACL der Kontrollebene als eingehend für die externe Schnittstelle zu erstellen und zu konfigurieren, wie im Bild gezeigt.
Befehlszeilensyntax
access-group "ACL-name" in interface "interface-name" control-plane
Dies wird in das nächste Befehlsbeispiel übersetzt, in dem die erweiterte Zugriffskontrollliste verwendet wird, die in Schritt 3.3 erstellt wurde ACL-UNWANTED-COUNTRY:
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
So kann sie im FlexConfig-Objektfenster konfiguriert werden. Wählen Sie anschließend die Schaltfläche OK, um das FlexConfig-Objekt abzuschließen:
Bild 33. Erstellung von FlexConfig-Objekten
Hinweis: Es wird dringend empfohlen, die ACL der Steuerungsebene nur für die Schnittstellen zu konfigurieren, die eingehende VPN-Sitzungen für den Remote-Zugriff in der sicheren Firewall empfangen, z. B. die externe Schnittstelle.
Schritt 5: Fahren Sie mit der Erstellung einer FlexConfig-Richtlinie fort. Navigieren Sie dazu zu Flexconfig > FlexConfig Policy, klicken Sie auf die Schaltfläche +, und wählen Sie dann das in Schritt 4.1 erstellte FlexConfig-Objekt aus:
Image 34. FlexConfig-Richtlinie
Schritt 5.1. Überprüfen Sie, ob in der FlexConfig-Vorschau die richtige Konfiguration für die erstellte Kontrollebenen-ACL angezeigt wird, und klicken Sie auf die Schaltfläche Speichern:
Bild 35. Vorschau der FlexConfig-Richtlinie
Schritt 6. Stellen Sie die Konfigurationsänderungen auf dem FTD bereit, das Sie gegen die VPN-Brute-Force-Angriffe schützen möchten. Klicken Sie dazu im oberen Menü auf die Schaltfläche Deployment, überprüfen Sie, ob die bereitzustellenden Konfigurationsänderungen korrekt sind, und klicken Sie schließlich auf DEPLOY NOW (JETZT BEREITSTELLEN):
Bild 36. Ausstehende Bereitstellung
Schritt 6.1. Überprüfen Sie, ob die Richtlinienbereitstellung erfolgreich war:
Image 37. Bereitstellung erfolgreich
Schritt 7. Wenn Sie eine neue Kontrollebenen-ACL für Ihre FTD erstellen oder eine vorhandene editieren, die aktiv genutzt wird, dann ist es wichtig zu betonen, dass die vorgenommenen Konfigurationsänderungen nicht für bereits bestehende Verbindungen zur FTD gelten. Daher müssen Sie die aktiven Verbindungsversuche zur FTD manuell löschen. Stellen Sie dazu eine Verbindung mit der CLI des FTD her, und deaktivieren Sie die aktiven Verbindungen.
So löschen Sie die aktive Verbindung für eine bestimmte Host-IP-Adresse:
> clear conn address 192.168.1.10 all
So löschen Sie die aktiven Verbindungen für ein ganzes Subnetz:
> clear conn address 192.168.1.0 netmask 255.255.255.0 all
So löschen Sie die aktiven Verbindungen für einen IP-Adressbereich:
> clear conn address 192.168.1.1-192.168.1.10 all
Hinweis: Es wird dringend empfohlen, das Schlüsselwort all am Ende des Befehls clear conn address zu verwenden, um das Löschen der aktiven VPN-Brute-Force-Verbindungsversuche mit der sicheren Firewall zu erzwingen, vor allem, wenn die Art des VPN-Brute-Force-Angriffs eine Explosion konstanter Verbindungsversuche auslöst.
Mit diesem Verfahren müssen Sie in einer ASA CLI eine Kontrollebenen-ACL konfigurieren, um eingehende VPN-Brute-Force-Angriffe auf die externe Schnittstelle zu blockieren:
Schritt 1: Melden Sie sich über die CLI bei der sicheren Firewall-ASA an, und erhalten Sie Zugriff auf den Befehl configure terminal.
asa# configure terminal
Schritt 2: Verwenden Sie den nächsten Befehl, um eine erweiterte ACL zu konfigurieren, die eine Host-IP-Adresse oder Netzwerkadresse für den Datenverkehr blockiert, der zur ASA blockiert werden muss.
In diesem Beispiel erstellen Sie eine neue ACL mit dem Namen ACL-UNWANTED-COUNTRY, und der konfigurierte ACE-Eintrag blockiert Brute-Force-VPN-Angriffe aus dem Subnetz 192.168.1.0/24:
asa(config)# access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
Schritt 3: Verwenden Sie den nächsten Befehl access-group, um die ACL-UNWANTED-COUNTRY-ACL als Kontrollebenen-ACL für die externe ASA-Schnittstelle zu konfigurieren:
asa(config)# access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Hinweis: Es wird dringend empfohlen, die ACL der Steuerungsebene nur für die Schnittstellen zu konfigurieren, die eingehende VPN-Sitzungen für den Remote-Zugriff in der sicheren Firewall empfangen, z. B. die externe Schnittstelle.
Schritt 4. Wenn Sie eine neue Kontrollebenen-ACL erstellen oder eine vorhandene bearbeiten, die aktiv genutzt wird, dann ist es wichtig hervorzuheben, dass die vorgenommenen Konfigurationsänderungen nicht für bereits bestehende Verbindungen mit der ASA gelten. Aus diesem Grund müssen Sie die aktiven Verbindungsversuche mit der ASA manuell löschen. Deaktivieren Sie dazu die aktiven Verbindungen.
So löschen Sie die aktive Verbindung für eine bestimmte Host-IP-Adresse:
asa# clear conn address 192.168.1.10 all
So löschen Sie die aktiven Verbindungen für ein ganzes Subnetz:
asa# clear conn address 192.168.1.0 netmask 255.255.255.0 all
So löschen Sie die aktiven Verbindungen für einen IP-Adressbereich:
asa# clear conn address 192.168.1.1-192.168.1.10 all
Hinweis: Es wird dringend empfohlen, das Schlüsselwort all am Ende des Befehls clear conn address zu verwenden, um das Löschen der aktiven VPN-Brute-Force-Verbindungsversuche mit der sicheren Firewall zu erzwingen, vor allem, wenn die Art des VPN-Brute-Force-Angriffs eine Explosion konstanter Verbindungsversuche auslöst.
Im Fall einer sofortigen Option, Angriffe für die sichere Firewall zu blockieren, können Sie den Befehl shun verwenden. Mit diesem Befehl können Sie Verbindungen von einem angreifenden Host blockieren. Hier finden Sie weitere Details zu diesem Befehl shun:
shun source_ip [ dest_ip source_port dest_port [ protocol]] [ vlan vlan_id]
no shun source_ip [ vlan vlan_id]
Um eine Host-IP-Adresse zu vermeiden, gehen Sie wie in diesem Beispiel für die sichere Firewall vor. In diesem Beispiel wird der Befehl shun verwendet, um VPN-Brute-Force-Angriffe zu blockieren, die von der Quell-IP-Adresse 192.168.1.10 kommen.
Schritt 1: Melden Sie sich über die CLI beim FTD an, und wenden Sie den Befehl shun an:
> shun 192.168.1.10
Shun 192.168.1.10 added in context: single_vf
Shun 192.168.1.10 successful
Schritt 2. Sie können die Befehle show verwenden, um die gelesenen IP-Adressen im FTD zu bestätigen und die Anzahl der gelesenen Treffer pro IP-Adresse zu überwachen:
> show shun shun (outside) 192.168.1.10 0.0.0.0 0 0 0
> show shun statistics diagnostic=OFF, cnt=0 outside=ON, cnt=0 Shun 192.168.1.10 cnt=0, time=(0:00:28)
Schritt 1: Melden Sie sich über die CLI bei der ASA an, und wenden Sie den Befehl shun an:
asa# shun 192.168.1.10
Shun 192.168.1.10 added in context: single_vf
Shun 192.168.1.10 successful
Schritt 2. Sie können die Befehle show verwenden, um die Shun-IP-Adressen in der ASA zu bestätigen und die Anzahl der Shun-Treffer pro IP-Adresse zu überwachen:
asa# show shun shun (outside) 192.168.1.10 0.0.0.0 0 0 0
asa# show shun statistics outside=ON, cnt=0 inside=OFF, cnt=0 dmz=OFF, cnt=0 outside1=OFF, cnt=0 mgmt=OFF, cnt=0 Shun 192.168.1.10 cnt=0, time=(0:01:39)
Anmerkung: Weitere Informationen zum Befehl shun für die sichere Firewall finden Sie in der Cisco Secure Firewall Threat Defense Command Reference.
So bestätigen Sie, dass die ACL-Konfiguration der Kontrollebene für die sichere Firewall vorhanden ist:
Schritt 1: Melden Sie sich über die CLI bei der sicheren Firewall an, und führen Sie die nächsten Befehle aus, um zu bestätigen, dass die ACL-Konfiguration der Kontrollebene angewendet wurde.
Ausgabebeispiel für die vom FMC verwaltete FTD:
> show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
> show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Ausgabebeispiel für den FDM-verwalteten FTD:
> show running-config object id OBJ-NET-UNWANTED-COUNTRY
object network OBJ-NET-UNWANTED-COUNTRY
subnet 192.168.1.0 255.255.255.0
> show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any4 log default
> show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Ausgabebeispiel für ASA:
asa# show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
asa# show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Schritt 2: Um zu bestätigen, dass die ACL der Kontrollebene den erforderlichen Datenverkehr blockiert, verwenden Sie den Befehl packet-tracer, um eine eingehende TCP 443-Verbindung mit der externen Schnittstelle der sicheren Firewall zu simulieren. Verwenden Sie dann den Befehl show access-list <acl-name>, kann die Anzahl der ACL-Treffer jedes Mal erhöht werden, wenn eine VPN-Brute-Force-Verbindung mit der sicheren Firewall durch die ACL der Kontrollebene blockiert wird. 1.
In diesem Beispiel simuliert der Befehl Packet-Tracer eine eingehende TCP 443-Verbindung, die vom Host 192.168.1.10 stammt und an die externe IP-Adresse unserer sicheren Firewall gerichtet ist. Die Paketverfolgungsausgabe bestätigt, dass der Datenverkehr verworfen wird, und die Ausgabe von show access-list zeigt die inkrementellen Trefferzahlen für unsere Kontrollebenen-ACL an:
Beispiel für FTD-Ausgabe
> packet-tracer input outside tcp 192.168.1.10 1234 10.3.3.251 443 Phase: 1 Type: ACCESS-LIST Subtype: log Result: DROP Elapsed time: 21700 ns Config: Additional Information: Result: input-interface: outside(vrfid:0) input-status: up input-line-status: up Action: drop Time Taken: 21700 ns Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame 0x00005623c7f324e7 flow (NA)/NA
> show access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY; 1 elements; name hash: 0x42732b1f
access-list ACL-UNWANTED-COUNTRY line 1 extended deny ip 192.168.1.0 255.255.255.0 any (hitcnt=1) 0x142f69bf
asa# packet-tracer input outside tcp 192.168.1.10 1234 10.3.3.5 443 Phase: 1 Type: ACCESS-LIST Subtype: Result: ALLOW Elapsed time: 19688 ns Config: Implicit Rule Additional Information: MAC Access list Phase: 2 Type: ACCESS-LIST Subtype: log Result: DROP Elapsed time: 17833 ns Config: Additional Information: Result: input-interface: outside input-status: up input-line-status: up Action: drop Time Taken: 37521 ns Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame 0x0000556e6808cac8 flow (NA)/NA asa# show access-list ACL-UNWANTED-COUNTRY access-list ACL-UNWANTED-COUNTRY; 1 elements; name hash: 0x42732b1f access-list ACL-UNWANTED-COUNTRY line 1 extended deny ip 192.168.1.0 255.255.255.0 any (hitcnt=1) 0x9b4d26ac
Hinweis: Wenn eine RAVPN-Lösung wie das Cisco Secure Client VPN in der sicheren Firewall implementiert ist, kann ein echter Verbindungsversuch zur sicheren Firewall durchgeführt werden, um zu bestätigen, dass die ACL der Steuerungsebene wie erwartet funktioniert, um den erforderlichen Datenverkehr zu blockieren.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
2.0 |
10-Apr-2025
|
Formatierung, Alternativer Text, feste Kopfzeilen, DEI-Sprache |
1.0 |
21-Dec-2023
|
Erstveröffentlichung |