Cisco ASA 방화벽 강화 가이드

소개

이 문서에는 Cisco ASA 디바이스를 보호하는 데 도움이 되는 정보가 포함되어 있어 네트워크의 전반적인 보안을 향상시킵니다.이 문서는 4개의 섹션으로 구성되어 있습니다.

    관리 플레인 강화 - SNMP, SSH 등의 모든 ASA 관련 관리/박스 트래픽에 적용됩니다.
    컨피그레이션 보안 - 실행 중인 컨피그레이션에 대한 비밀번호 입력 등을 중지할 수 있는 명령
    로깅 및 모니터링 - ASA의 로깅과 관련된 모든 설정에 적용됩니다.
    통과 트래픽 - ASA를 통과하는 트래픽에 적용됩니다.

   
이 문서의 보안 기능을 사용하면 기능을 구성할 수 있는 충분한 세부 정보를 제공할 수 있습니다.그러나 그렇지 않은 경우에는 기능에 대한 추가 주의가 필요한지 여부를 평가할 수 있는 방식으로 기능이 설명되어 있습니다.가능한 적절한 경우, 이 문서에는 구현된 경우 네트워크 보안에 도움이 되는 권장 사항이 포함되어 있습니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco ASA5500-X 9.4(1) 이상

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

관련 제품

이 컨피그레이션은 Cisco ASA 5500-X Series Security Appliance 소프트웨어 버전 9.x에서도 사용할 수 있습니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.

보안 운영

보안 네트워크 운영이 중요한 주제입니다.이 문서의 대부분은 Cisco ASA 디바이스의 보안 컨피그레이션에 사용되지만 컨피그레이션만으로는 네트워크의 보안을 완벽하게 보장할 수 없습니다.네트워크에서 사용 중인 운영 절차는 기본 디바이스의 컨피그레이션만큼 보안에 기여합니다.

이러한 항목에는 구현해야 할 운영 권장 사항이 포함되어 있습니다.이 주제에서는 네트워크 운영의 특정 핵심 영역을 강조 표시하지만 포괄적이지는 않습니다.

Cisco 보안 권고 및 응답 모니터링

Cisco PSIRT(Product Security Incident Response Team)는 Cisco 제품의 보안 관련 문제를 위해 일반적으로 PSIRT Advisories라고 하는 발행물을 작성하고 유지 관리합니다.덜 심각한 문제의 통신에 사용되는 방법은 Cisco Security Response입니다.PSIRT에서 보안 자문 및 응답을 제공합니다.

이러한 커뮤니케이션 수단에 대한 추가 정보는 Cisco 보안 취약성 정책에서 확인할 수 있습니다.

보안 네트워크를 유지 관리하려면 릴리스된 Cisco 보안 권고 및 응답을 알아야 합니다.네트워크에 발생할 수 있는 위협을 평가하기 전에 취약성에 대한 지식이 있어야 합니다.이 평가 프로세스에 대한 지원은 Risk Triage for Security Vulnerability Announcements를 참조하십시오.

인증, 권한 부여 및 계정 관리 활용

AAA(Authentication, Authorization, and Accounting) 프레임워크는 네트워크 디바이스를 보호하는 데 매우 중요합니다.AAA 프레임워크는 관리 세션에 대한 인증을 제공하며 사용자를 특정 관리자 정의 명령으로 제한하고 모든 사용자가 입력한 모든 명령을 로깅할 수도 있습니다.AAA 활용 방법에 대한 자세한 내용은 이 문서의 Authentication, Authorization, and Accounting 섹션을 참조하십시오.

로그 수집 및 모니터링 중앙 집중화

보안 인시던트와 관련된 기존, 신규 및 기록 이벤트에 대한 정보를 얻으려면 조직에서 이벤트 로깅 및 상관관계를 위한 통합 전략을 갖추어야 합니다.이 전략에서는 모든 네트워크 디바이스에서 로깅을 활용하고 사전 패키지화되고 맞춤화된 상관관계 기능을 사용해야 합니다.

중앙 집중식 로깅이 구현된 후 분석 및 사고 추적을 로깅하기 위한 구조화된 접근 방식을 개발해야 합니다.조직의 요구 사항에 따라, 이 접근 방식은 로그 데이터의 간단한 검토, 고급 규칙 기반 분석 등 다양합니다.

가능한 경우 보안 프로토콜 사용

중요한 네트워크 관리 데이터를 전달하기 위해 많은 프로토콜이 사용됩니다.가능하면 보안 프로토콜을 사용해야 합니다.보안 프로토콜 선택에는 인증 데이터와 관리 정보가 모두 암호화되도록 텔넷 대신 SSH를 사용하는 것이 포함됩니다.또한 컨피그레이션 데이터를 복사할 때 보안 파일 전송 프로토콜을 사용해야 합니다.예를 들어 FTP 또는 TFTP 대신 SCP(Secure Copy Protocol)를 사용하는 경우를 들 수 있습니다.

NetFlow로 트래픽 가시성 확보

NetFlow를 사용하면 네트워크의 트래픽 흐름을 모니터링할 수 있습니다.원래 네트워크 관리 애플리케이션으로 트래픽 정보를 내보내기 위해 NetFlow를 사용하여 라우터에 플로우 정보를 표시할 수도 있습니다.이 기능을 사용하면 어떤 트래픽이 네트워크를 실시간으로 이동하는지 확인할 수 있습니다.플로우 정보를 원격 컬렉터로 내보내는지 여부에 관계없이, 필요한 경우 다시 사용할 수 있도록 NetFlow용 네트워크 디바이스를 구성하는 것이 좋습니다.

구성 관리

구성 관리는 구성 변경 사항을 제안, 검토, 승인 및 구축하는 프로세스입니다.Cisco ASA 디바이스 컨피그레이션의 맥락에서 구성 관리의 두 가지 추가 측면이 중요합니다.구성 아카이브 및 보안.

구성 아카이브를 사용하여 네트워크 디바이스에 적용된 변경 사항을 롤백할 수 있습니다.보안 상황에서 구성 아카이브를 사용하여 어떤 보안 변경 사항이 적용되었는지, 언제 변경되었는지 확인할 수도 있습니다.AAA 로그 데이터와 함께 이 정보를 사용하면 네트워크 디바이스의 보안 감사를 지원할 수 있습니다.

Cisco ASA 디바이스의 컨피그레이션에는 많은 민감한 세부 정보가 포함되어 있습니다.사용자 이름, 비밀번호 및 액세스 제어 목록의 내용은 이러한 유형의 예입니다.Cisco ASA 디바이스 컨피그레이션을 아카이브하기 위해 사용하는 리포지토리를 보호해야 합니다.이 정보에 대한 안전하지 않은 액세스는 전체 네트워크의 보안을 해칠 수 있습니다.

관리 평면

관리 플레인은 네트워크의 관리 목표를 달성하는 기능으로 구성됩니다.여기에는 SSH를 사용하는 대화형 관리 세션과 SNMP 또는 NetFlow를 사용한 통계 수집이 포함됩니다.네트워크 디바이스의 보안을 고려하는 경우 관리 플레인을 보호하는 것이 중요합니다.보안 사고가 관리 플레인의 기능을 손상시킬 수 있는 경우 네트워크를 복구하거나 안정화하는 것이 불가능할 수 있습니다.

강화 관리 플레인

관리 플레인은 디바이스를 액세스, 구성 및 관리할 뿐만 아니라 해당 운영 및 디바이스가 구축된 네트워크를 모니터링하는 데 사용됩니다.관리 플레인은 이러한 기능의 운영을 위해 트래픽을 수신하고 전송하는 플레인입니다.이 프로토콜 목록은 관리 플레인에서 사용됩니다.

• 간단한 네트워크 관리 프로토콜
• SSH(Secure Shell Protocol)
• 파일 전송 프로토콜
• Trivial 파일 전송 프로토콜
• Secure Copy 프로토콜
• TACACS+
• RADIUS
• NetFlow
• 네트워크 시간 프로토콜
• Syslog
• ICMP
• 중소기업

참고:TELNET은 일반 텍스트이므로 사용하지 않는 것이 좋습니다.

비밀번호 관리

비밀번호는 리소스 또는 디바이스에 대한 액세스를 제어합니다.이 작업은 요청을 인증하는 데 사용되는 암호 또는 암호를 정의하여 수행합니다.리소스 또는 디바이스에 대한 액세스 요청이 수신되면 요청에서 비밀번호 및 ID의 확인을 요청하며, 결과에 따라 액세스 권한을 부여, 거부 또는 제한할 수 있습니다.보안 모범 사례로서, 비밀번호는 TACACS+ 또는 RADIUS 인증 서버로 관리되어야 합니다.그러나 TACACS+ 또는 RADIUS 서비스에 장애가 발생할 경우에도 권한 액세스를 위해 로컬로 구성된 비밀번호가 여전히 필요합니다.디바이스에는 NTP 키, SNMP 커뮤니티 문자열 또는 라우팅 프로토콜 키와 같은 다른 비밀번호 정보가 해당 컨피그레이션에 있을 수도 있습니다.

ASA는 비밀번호 해싱에 MD5(Message Digest 5)를 사용합니다.이 알고리즘은 많은 공개 검토를 거쳤기 때문에 되돌릴 수 없는 것으로 알려져 있습니다.그러나 알고리즘은 사전 공격을 받습니다.사전 공격에서 공격자는 일치하는 항목을 찾기 위해 사전에 있는 모든 단어 또는 후보 비밀번호 목록에 있는 모든 단어를 시도합니다.따라서 컨피그레이션 파일은 안전하게 저장되고 신뢰할 수 있는 개인과만 공유되어야 합니다.

HTTP 서비스 사용

ASDM을 사용하려면 HTTPS 서버를 활성화하고 ASA에 대한 HTTPS 연결을 허용해야 합니다.보안 어플라이언스는 컨텍스트당 최대 5개의 동시 ASDM 인스턴스를 허용합니다(사용 가능한 경우). 모든 컨텍스트 간에 최대 32개의 ASDM 인스턴스를 사용할 수 있습니다.ASDM 액세스 사용을 구성하려면

http server enable <port>

ACL 목록에 필요한 IP만 허용합니다.광범위한 액세스를 허용하는 것은 잘못된 방식입니다.

http 0.0.0.0 0.0.0.0 <interface> 

ASDM 액세스 제어를 구성합니다.

http <remote_ip_address> <remote_subnet_mask> <interface_name>

ASA 소프트웨어 릴리스 9.1(2),8.4(4.1)부터 이제 ASA는 다음과 같은 임시 DHE(Diffie-Hellman) SSL 암호 그룹을 지원합니다.

DHE-AES128-SHA1
DHE-AES256-SHA1

이러한 암호 그룹은 RFC 3268, TLS(Transport Layer Security)용 AES(Advanced Encryption Standard) 암호 그룹에 지정됩니다.

클라이언트에서 지원하는 경우 DHE는 PFS(Perfect Forward Secrecy)를 제공하므로 선호하는 암호입니다.다음 제한 사항을 참조하십시오.

DHE는 SSL 3.0 연결에서 지원되지 않으므로 SSL 서버에 대해 TLS 1.0도 활성화해야 합니다.

// Set server version
ASA(config)# ssl server-version tlsv1 sslv3

// Set client version
ASA(config) # ssl client-version any

일부 널리 사용되는 애플리케이션은 DHE를 지원하지 않으므로 SSL 클라이언트와 서버 모두에 공통된 암호 그룹을 사용할 수 있도록 하나 이상의 다른 SSL 암호화 방법을 포함합니다.일부 클라이언트는 AnyConnect 2.5 및 3.0, Cisco Secure Desktop 및 Internet Explorer 9.0을 포함하여 DHE를 지원하지 않을 수 있습니다.

기본적으로 ASA는 아래와 같이 순서대로 활성화된 암호 아래에 있습니다.

ASA(config)#ssl encryption rc4-sha1 dhe-aes128-sha1 dhe-aes256-sha1 aes128-sha1 aes256-sha1 3des-sha1

ssl server-version any(기본값)

기본적으로 ASA는 재부팅할 때마다 변경되는 임시 자체 서명 인증서를 사용합니다.단일 인증서를 찾는 경우 아래 링크를 따라 영구 자체 서명 인증서를 생성할 수 있습니다.

이제 ASA는 ASDM, 클라이언트리스 SSVPN 및 AnyConnect VPN에 대한 보안 메시지 전송을 위해 소프트웨어 버전 9.3.1에서 시작하는 TLS 버전 1.2를 지원합니다. 다음 명령이 도입되었거나 수정되었습니다. ssl client-version, ssl server-version, ssl cipher, ssl trust-point, ssl dh-group, show ssl, show ssl cipher, show vpn-sessiondb

ASA-1/act(config)# ssl server-version ?

configure mode commands/options:
  tlsv1    Enter this keyword to accept SSLv2 ClientHellos and negotiate TLSv1
           (or greater)
  tlsv1.1  Enter this keyword to accept SSLv2 ClientHellos and negotiate
           TLSv1.1 (or greater)
  tlsv1.2  Enter this keyword to accept SSLv2 ClientHellos and negotiate
           TLSv1.2 (or greater)

ASA-1/act(config)# ssl cipher ?

configure mode commands/options:
  default  Specify the set of ciphers for outbound connections
  dtlsv1   Specify the ciphers for DTLSv1 inbound connections
  tlsv1    Specify the ciphers for TLSv1 inbound connections
  tlsv1.1  Specify the ciphers for TLSv1.1 inbound connections
  tlsv1.2  Specify the ciphers for TLSv1.2 inbound connections

SSH 사용

ASA는 관리 목적으로 ASA에 대한 SSH 연결을 허용합니다.ASA는 컨텍스트당 최대 5개의 동시 SSH 연결을 허용합니다(사용 가능한 경우). 모든 컨텍스트 간에 최대 100개의 연결이 분할됩니다.

hostname <device_hostname>
domain-name <domain-name>
crypto key generate rsa modulus 2048

기본 키 쌍 유형은 일반 키입니다.기본 모듈러스 크기는 1024입니다.키 쌍을 저장하기 위한 NVRAM 공간의 양은 ASA 플랫폼에 따라 달라집니다.30개 이상의 키 쌍을 생성하는 경우 제한에 도달할 수 있습니다.4096비트 RSA 키는 ASA5580, 5585 이상 플랫폼에서만 지원됩니다.

지정된 유형(rsa 또는 dsa)의 키 쌍을 제거하려면

crypto key zeroize { rsa | dsa } [ label key-pair-label ] [ default ] [ noconfirm ]

원격 디바이스 액세스를 위한 SSH 구성:

ssh <remote_ip_address> <remote_subnet_mask> <interface_name>

ASA에서 허용하는 SSH 버전을 제한하려면 글로벌 컨피그레이션 모드에서 ssh version 명령을 사용합니다.ASA가 버전 2만 사용하도록 제한하려면 아래 명령을 사용하지 않을 수 있습니다.

ASA(config)#ssh version 2

DH(Diffie-Hellman) 그룹 1 또는 DH 그룹 14 키 교환 방법을 사용하여 키를 교환하려면 글로벌 컨피그레이션 모드에서 ssh key-exchange 명령을 사용합니다.9.1(2)부터 ASA는 SSH에 대해 dh-group14-sha1을 지원합니다.

ASA(config)#ssh key-exchange dh-group14-sha1

로그인 세션에 대한 시간 초과 구성

// Configure Console timeout
ASA(config)#console timeout 10

// Configure Console timeout
ASA(config)#ssh timeout 10

비밀번호 관리

비밀번호는 리소스 또는 디바이스에 대한 액세스를 제어합니다.이 작업은 요청을 인증하는 데 사용되는 암호 또는 암호를 정의하여 수행합니다.리소스 또는 디바이스에 대한 액세스 요청이 수신되면 요청에서 비밀번호 및 ID의 확인을 요청하며, 결과에 따라 액세스 권한을 부여, 거부 또는 제한할 수 있습니다.보안 모범 사례로서, 비밀번호는 TACACS+ 또는 RADIUS 인증 서버로 관리되어야 합니다.그러나 TACACS+ 또는 RADIUS 서비스에 장애가 발생할 경우에도 권한 액세스를 위해 로컬로 구성된 비밀번호가 여전히 필요합니다.디바이스에는 NTP 키, SNMP 커뮤니티 문자열 또는 라우팅 프로토콜 키와 같은 다른 비밀번호 정보가 해당 컨피그레이션에 있을 수도 있습니다.

로컬 사용자 및 암호화된 비밀번호 구성

username <local_username> password <local_password> encrypted

enable 비밀번호 구성

enable password <enable_password> encrypted

활성화 모드에 대한 AAA 인증 구성

ASA(config)#aaa authentication enable console LOCAL

인증, 권한 부여 및 계정 관리

AAA(Authentication, Authorization, and Accounting) 프레임워크는 네트워크 디바이스에 대한 대화형 액세스를 보호하기 위해 매우 중요합니다.AAA 프레임워크는 네트워크 요구 사항에 따라 맞춤화할 수 있는 고도로 구성 가능한 환경을 제공합니다.

TACACS+ 인증

TACACS+는 ASA가 원격 AAA 서버에 대한 관리 사용자 인증에 사용할 수 있는 인증 프로토콜입니다.이러한 관리 사용자는 SSH, HTTPS, 텔넷 또는 HTTP를 통해 ASA 디바이스에 액세스할 수 있습니다.

TACACS+ 인증 또는 일반적으로 AAA 인증에서는 각 네트워크 관리자에 대해 개별 사용자 계정을 사용할 수 있습니다.단일 공유 비밀번호에 의존하지 않을 경우 네트워크의 보안이 향상되고 책임이 강화됩니다.

RADIUS는 TACACS+와 비슷한 프로토콜입니다.그러나 네트워크를 통해 전송되는 비밀번호만 암호화합니다.반면 TACACS+는 사용자 이름과 비밀번호를 모두 포함하는 전체 TCP 페이로드를 암호화합니다.따라서 AAA 서버에서 TACACS+를 지원하는 경우 RADIUS에 앞서 TACACS+를 사용해야 합니다.이 두 프로토콜의 자세한 비교는 TACACS+ 및 RADIUS 비교를 참조하십시오.

다음 예와 유사한 컨피그레이션을 사용하여 Cisco ASA 디바이스에서 TACACS+ 인증을 활성화할 수 있습니다.

aaa authentication serial console Tacacs 
aaa authentication ssh console Tacacs
aaa authentication http console Tacacs
aaa authentication telnet console Tacacs

ASA 이미지 서명 및 확인

소프트웨어 버전 9.3.1 ASA 이미지부터 디지털 서명을 사용하여 서명됩니다.디지털 서명은 ASA가 부팅된 후에 확인됩니다.

ASA-1/act(config)# verify flash:/asa941-smp-k8.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!                                                                                        !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Done!
Embedded Hash SHA-512: 0e707a0e45b1c7c5afa9ef4e802a273677a5e46f7e1d186292abe1154                                                                                        c948a63c625463b74119194da029655487659490c2873506974cab78b66d6d9742ed73e
Computed Hash SHA-512: 0e707a0e45b1c7c5afa9ef4e802a273677a5e46f7e1d186292abe1154                                                                                        c948a63c625463b74119194da029655487659490c2873506974cab78b66d6d9742ed73e
CCO Hash      SHA-512: 1b6d41e893868aab9e06e78a9902b925227c82d8e31978ff2c412c18a                                                                                        c99f49f70354715441385e0b96e4bd3e861d18fb30433d52e12b15b501fa790f36d0ea0
Signature Verified


ASA(config)# verify /signature running
Requesting verify signature of the running image...

Starting image verification
Hash Computation:    100% Done!
Computed Hash   SHA2: 2fbb0f62b5fbc61b081acfca76bddbb2
                      26ce7a5fb4b424e5e21636c6c8a7d665
                      1e688834203dfb7ffa6eaefc7fdf9d3d
                      1d0a063a20539baba72c2526ca37771c


Get key records from key storage: PrimaryASA, key_store_type: 6
Embedded Hash   SHA2: 2fbb0f62b5fbc61b081acfca76bddbb2
                      26ce7a5fb4b424e5e21636c6c8a7d665
                      1e688834203dfb7ffa6eaefc7fdf9d3d
                      1d0a063a20539baba72c2526ca37771c

Returned. rc: 0, status: 1
The digital signature of the running image verified successfully

ASA-1/act(config)# show software authenticity running
Image type : Release
 Signer Information
 Common Name : abraxas
 Organization Unit : ASAv
 Organization Name : CiscoSystems
 Certificate Serial Number : 550DBBD5
 Hash Algorithm : SHA2 512
 Signature Algorithm : 2048-bit RSA
 Key Version : A

클럭 표준 시간대 구성

clock timezone GMT <hours offset>

NTP 구성

NTP(Network Time Protocol)는 특별히 위험한 서비스가 아니지만 불필요한 서비스는 공격 벡터를 나타낼 수 있습니다.NTP를 사용하는 경우 신뢰할 수 있는 시간 소스를 명시적으로 구성하고 적절한 인증을 사용하는 것이 중요합니다.1단계 인증을 위한 인증서에 따라 성공적인 VPN 연결뿐만 아니라 잠재적 공격에 대한 포렌식 조사 중 등의 syslog 목적을 위해 정확하고 안정적인 시간이 필요합니다.

• NTP Time Zone - NTP를 구성할 때 타임스탬프가 정확하게 상호 연결될 수 있도록 표준 시간대를 구성해야 합니다.일반적으로 네트워크에 글로벌 프레전스를 사용하는 디바이스의 표준 시간대를 구성하는 두 가지 방법이 있습니다.한 가지 방법은 UTC(Coordinated Universal Time)(이전의 GMT(Greenwich Mean Time)로 모든 네트워크 디바이스를 구성하는 것입니다. 다른 방법은 로컬 표준 시간대로 네트워크 디바이스를 구성하는 것입니다. 

ntp server ip_address [ key key_id ] [ source interface_name ] [ prefer ]

• NTP 인증 - NTP 인증을 구성하는 경우 NTP 메시지가 신뢰할 수 있는 NTP 피어 간에 교환된다는 보장을 제공합니다.ntp authenticate 명령을 사용하여 인증을 활성화하고 이 서버에 대해 신뢰할 수 있는 키 ID를 설정합니다.인증을 활성화하면 ASA는 패킷에서 올바른 신뢰 키를 사용하는 경우에만 NTP 서버와 통신합니다.NTP 서버와의 인증을 활성화하려면 글로벌 컨피그레이션 모드에서 ntp authenticate 명령을 사용합니다.

ASA(config)#ntp authenticate

DHCP 서버 서비스(사용되지 않는 경우)

clear configure dhcpd
no dhcpd enable <interface_name>

참고:ASA는 CDP를 지원하지 않습니다.

컨트롤 플레인 액세스 목록

to-the-box 관리 트래픽에 대한 액세스 제어 규칙(http, ssh 또는 telnet과 같은 명령으로 정의됨)은 control-plane 옵션과 함께 적용되는 액세스 목록보다 우선순위가 높습니다.따라서 이러한 허용된 관리 트래픽은 to-the-box 액세스 목록에 의해 명시적으로 거부되더라도 들어올 수 있습니다.

access-list <name> in interface <Interface_name> control-plane

ASA에서

다음은 파일을 ASA로 복사/전송하는 데 사용할 수 있는 프로토콜입니다.

텍스트 지우기:

• FTP
• HTTP
• TFTP
• 중소기업

보안:

•  HTTPS
•  SCP(Secure Copy Client)는 9.1(5)부터 SCP 클라이언트에서 SCP 서버로 파일을 주고 받을 수 있도록 지원합니다.

통과 트래픽의 경우

TCP 시퀀스 번호 임의 설정

각 TCP 연결에는 두 개의 ISN이 있습니다.하나는 클라이언트에 의해 생성되고 하나는 서버에 의해 생성됩니다.ASA는 인바운드 및 아웃바운드 방향 모두에서 전달되는 TCP SYN의 ISN을 임의로 지정합니다.

보호된 호스트의 ISN을 임의로 설정하면 공격자가 새 연결을 위해 다음 ISN을 먼저 제거하고 새 세션을 가로채는 것을 방지할 수 있습니다.

필요한 경우 TCP 초기 시퀀스 번호 임의 설정을 비활성화할 수 있습니다.예:

• 또 다른 인라인 방화벽이 초기 시퀀스 번호도 임의로 지정하는 경우 두 방화벽 모두 이 작업을 수행할 필요가 없습니다. 이 작업은 트래픽에 영향을 미치지 않습니다.
• ASA를 통해 eBGP 멀티홉을 사용하는 경우 eBGP 피어가 MD5를 사용하고 있습니다. 임의 설정은 MD5 체크섬을 해제합니다.
• ASA가 연결의 시퀀스 번호를 임의 설정하지 않도록 필요한 WAAS 디바이스를 사용하는 경우

TTL 감소

기본적으로 는 Traceroute를 수행할 때 ASA가 라우터 홉으로 표시되지 않기 때문에 IP 헤더에서 TTL을 감소시키지 않습니다.

dnsguard

쿼리당 하나의 DNS 응답을 적용합니다.전역 컨피그레이션 모드에서 명령을 사용하여 활성화할 수 있습니다.

ASA(config)#dns-guard

조각 체인 조각화 검사 구성

패킷 단편화를 추가로 관리하고 NFS와의 호환성을 개선하려면 글로벌 컨피그레이션 모드에서 fragment 명령을 사용합니다.

fragment reassembly { full | virtual } { size | chain | timeout limit } [ interface ]

프로토콜 검사 구성

사용자 데이터 패킷에 IP 주소 지정 정보를 포함하거나 동적으로 할당된 포트에서 보조 채널을 여는 서비스에 검사 엔진이 필요합니다.이러한 프로토콜은 ASA가 빠른 경로를 통해 패킷을 전달하는 대신 심층 패킷 검사를 수행해야 합니다.따라서 검사 엔진은 전체 처리량에 영향을 줄 수 있습니다.애플리케이션 레이어 프로토콜 검사에 대한 자세한 내용은 ASA 9.4 구성 설명서를 참조하십시오.

아래 명령을 사용하여 ASA에 대한 검사를 활성화할 수 있습니다.

policy-map <Policy-map_name>
 class inspection_default
  inspect <Protocol>

service-policy <Policy-map_name> interface <Interface_name> (Per Interface)
service-policy <Policy-map_name> global (Globally)

기본적으로 ASA는 "global_policy"를 전역적으로 활성화합니다.

유니캐스트 역방향 경로 전달 구성

ip verify reverse-path interface <interface_name>

 RPF 검사 때문에 트래픽이 삭제되면 ASA의 아래 "show asp drop" 카운터가 증가합니다.

ASA(config)# show asp drop 

Frame drop:
  Invalid TCP Length (invalid-tcp-hdr-length)                  21

  Reverse-path verify failed (rpf-violated)                    90

// Check Reverse path statistics

ASA(config)# sh ip verify statistics

interface inside: 11 unicast rpf drops

interface outside: 79 unicast rpf drops

위협 탐지

Threat Detection은 방화벽 관리자가 내부 네트워크 인프라에 도달하기 전에 공격을 식별, 이해, 차단하는 데 필요한 툴을 제공합니다.이를 위해 이 기능은 여러 가지 트리거 및 통계에 의존하며, 이 섹션에서는 이에 대해 자세히 설명합니다.

ASA의 위협 감지에 대한 자세한 설명은 ASA Threat Detection 기능 및 컨피그레이션을 참조하십시오.

봇넷 필터

BotNet 트래픽 필터는 내부 DNS 클라이언트와 외부 DNS 서버 간의 DNS(Domain Name Server) 요청 및 응답을 모니터링합니다.DNS 응답이 처리되면 응답과 연결된 도메인이 알려진 악성 도메인의 데이터베이스에 대해 확인됩니다.일치하는 항목이 있으면 DNS 응답에 있는 IP 주소에 대한 추가 트래픽이 차단됩니다.

악성코드는 알려지지 않은 호스트에 설치된 악성 소프트웨어입니다.악성코드가 알려진 악성 IP 주소에 대한 연결을 시작할 때 Botnet Traffic Filter에서 프라이빗 데이터(비밀번호, 신용카드 번호, 키 스트로크 또는 독점 데이터)와 같은 네트워크 활동을 시도하는 악성코드를 탐지할 수 있습니다.Botnet Traffic Filter는 알려진 잘못된 도메인 이름 및 IP 주소(블랙리스트)의 동적 데이터베이스에 대해 수신 및 발신 연결을 확인한 다음 의심스러운 활동을 기록하거나 차단합니다.

고정 블랙리스트에 추가하여 Cisco 동적 데이터베이스를 블랙리스트에 추가한 주소로 보완할 수도 있습니다.동적 데이터베이스에 블랙리스트에 추가되지 않아야 할 블랙리스트 주소가 포함되어 있는 경우, 이를 고정 화이트리스트에 수동으로 입력할 수 있습니다.화이트리스트에 있는 주소는 여전히 syslog 메시지를 생성하지만 블랙리스트 syslog 메시지만 대상으로 하므로 이 메시지는 정보를 제공합니다.자세한 내용은 봇넷 트래픽 필터 구성을 참조하십시오.

연결되지 않은 서브넷에 대한 ARP 캐시 추가

기본적으로 ASA는 직접 연결되지 않은 서브넷 IP 주소에 대해 ARP에 응답하지 않습니다.ASA의 NAT IP가 ASA 인터페이스의 동일한 서브넷 IP에 속하지 않는 경우, ASA의 "arp permit-nonconnected"를 NATted IP의 프록시-ARP에 활성화해야 합니다.

arp permit-nonconnected

위의 명령을 활성화하지 않고 NAT가 작동하려면 업스트림 및 다운스트림 디바이스에서 올바른 라우팅을 사용하는 것이 좋습니다.

로깅 및 모니터링

SNMP 구성

이 섹션에서는 ASA 디바이스 내에서 SNMP의 구축을 보호하기 위해 사용할 수 있는 몇 가지 방법을 중점적으로 설명합니다.네트워크 데이터와 이 데이터가 전송되는 네트워크 디바이스 모두의 기밀성, 무결성 및 가용성을 보호하려면 SNMP를 올바르게 보호해야 합니다.SNMP는 네트워크 디바이스의 상태에 대한 풍부한 정보를 제공합니다.이 정보는 네트워크에 대한 공격을 수행하기 위해 이 데이터를 활용하려는 악의적인 사용자로부터 보호되어야 합니다.

SNMP 커뮤니티 문자열

커뮤니티 문자열은 디바이스의 SNMP 데이터에 대한 읽기 전용 및 읽기-쓰기 액세스를 모두 제한하기 위해 ASA 디바이스에 적용되는 비밀번호입니다.모든 비밀번호와 마찬가지로 이러한 커뮤니티 문자열을 신중하게 선택하여 단순 문자열이 아닌지 확인해야 합니다.커뮤니티 문자열은 정기적으로 네트워크 보안 정책에 따라 변경해야 합니다.예를 들어, 네트워크 관리자가 역할을 변경하거나 퇴사할 때 문자열을 변경해야 합니다.

SNMP 읽기 액세스를 활성화합니다.

snmp-server host <interface_name> <remote_ip_address>

SNMP 트랩 사용

snmp-server enable traps all

Syslog 구성

원격 syslog 서버에 로깅 정보를 전송하는 것이 좋습니다.이를 통해 네트워크 디바이스 전반에 걸쳐 네트워크 및 보안 이벤트의 상관관계를 파악하고 더 효과적으로 감사할 수 있습니다.syslog 메시지는 UDP와 일반 텍스트로 신뢰할 수 없이 전송됩니다.따라서 네트워크에서 관리 트래픽(예: 암호화 또는 대역 외 액세스)에 대해 제공하는 모든 보호는 syslog 트래픽을 포함하도록 확장되어야 합니다.로그를 구성하여 ASA에서 다음 대상으로 전송할 수 있습니다.

• ASDM
• 버퍼
• 플래시
• Email
• FTP 서버
• SNMP 서버를 트랩으로
• Syslogs 서버

콘솔 로깅 심각도 수준 구성

logging console critical

TCP 기반 syslog도 사용할 수 있습니다.모든 syslog는 일반 텍스트로 syslog 서버에 전송하거나 TCP의 경우 암호화될 수 있습니다.

일반 텍스트

호스트 interface_name syslog_ip [ tcp/port

암호화

로깅 호스트 interface_name syslog_ip [tcp/port | [보안]

TCP 연결을 syslogs 서버로 설정할 수 없는 경우 모든 새 연결이 거부됩니다."logging permit-hostdown" 명령을 입력하여 이 기본 동작을 변경할 수 있습니다.

로그 메시지의 타임스탬프 구성

로깅 타임스탬프 컨피그레이션을 사용하면 네트워크 디바이스 간에 이벤트를 상호 연결할 수 있습니다.로깅 데이터의 상관관계를 파악할 수 있도록 정확하고 일관된 로깅 타임스탬프 컨피그레이션을 구현하는 것이 중요합니다.

logging timestamp

syslog와 관련된 추가 정보는 ASA Syslog 컨피그레이션 예를 참조하십시오.

Netflow 구성

경우에 따라, 특히 사고 대응 또는 네트워크 성능 저하 시 네트워크 트래픽을 신속하게 식별하고 역추적해야 합니다.NetFlow는 네트워크의 모든 트래픽에 대한 가시성을 제공할 수 있습니다.또한 NetFlow는 장기적인 트렌드 분석 및 자동화된 분석을 제공할 수 있는 컬렉터와 함께 구현할 수 있습니다.

Cisco ASA는 NetFlow 버전 9 서비스를 지원합니다.NSEL의 ASA 및 ASASM 구현은 흐름에서 중요한 이벤트를 나타내는 레코드만 내보내는 상태 저장 IP 흐름 추적 방법을 제공합니다.스테이트풀 플로우 추적에서 추적된 플로우는 일련의 상태 변경을 거칩니다.NSEL 이벤트는 플로우 상태에 대한 데이터를 내보내는 데 사용되며 상태 변경을 일으킨 이벤트에 의해 트리거됩니다.

ASA의 Netflow에 대한 자세한 내용은 Cisco ASA NetFlow 구현 가이드를 참조하십시오.

보안 구성

ASA에서 이미지 확인

9.1(2) 및 8.4(4.1)부터 SHA-512 이미지 무결성 검사 지원이 추가되었습니다.파일의 체크섬을 확인하려면 특권 EXEC 모드에서 verify 명령을 사용합니다.

지정된 소프트웨어 이미지의 MD5 값을 계산하고 표시합니다.이 값을 Cisco.com에서 이 이미지에 사용할 수 있는 값과 비교합니다.

verify [ /md5 path ] [ md5-value ]

컨피그레이션의 비밀번호

모든 비밀번호와 키는 암호화되거나 난독 처리됩니다."show running-config"는 실제 비밀번호를 표시하지 않습니다.

이러한 백업은 ASA의 백업/복원에 사용할 수 없습니다."more system:running-config" 명령을 사용하여 복원 목적으로 수행되는 백업. ASA 구성 암호는 마스터 패스프레이즈를 사용하여 암호화할 수 있습니다.자세한 내용은 비밀번호 암호화를 참조하십시오.

서비스 비밀번호 복구

이를 비활성화하면 비밀번호 복구 메커니즘이 비활성화되고 ROMMON에 대한 액세스가 비활성화됩니다.분실되거나 잊어버린 비밀번호로부터 복구하는 유일한 방법은 ROMMON이 컨피그레이션 파일 및 이미지를 포함한 모든 파일 시스템을 삭제하는 것입니다.컨피그레이션을 백업하고 ROMMON 명령행에서 이미지를 복원하는 메커니즘이 있어야 합니다.

문제 해결

이 문서에 대한 문제 해결 섹션이 없습니다.