Configureren van toegangscontrole voor het controlevlak voor veilige FTD en ASA

Inleiding

In dit document wordt het proces beschreven voor het configureren van toegangsregels voor het controlevlak voor Secure Firewall Threat Defense en Adaptive Security Appliance (ASA).

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Beveiligde Firewall Threat Defence (FTD)
• Secure Firewall Device Manager (FDM)
• Veilig Firewall Management Center (FMC)
• Secure Firewall ASA
• Toegangscontrolelijst (ACL)
• FlexConfig

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Secure Firewall Threat Defense versie 7.2.5
• Secure Firewall Manager Center versie 7.2.5
• Secure Firewall Device Manager versie 7.2.5
• Secure Firewall ASA versie 9.18.3

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Het verkeer doorkruist meestal een firewall en wordt gerouteerd tussen data-interfaces; in sommige omstandigheden is het nuttig om verkeer te weigeren dat bestemd is 'voor' de beveiligde firewall. De beveiligde firewall van Cisco kan een toegangscontrolelijst voor het controlevlak (ACL) gebruiken om 'to-the-box'-verkeer te beperken. Een voorbeeld van wanneer een control plane ACL nuttig kan zijn, is om te bepalen welke peers een VPN-tunnel (Site-to-Site of Remote Access VPN) naar de beveiligde firewall kunnen maken.

Veilig firewallverkeer door de doos

Verkeer doorkruist normaal gesproken firewalls van de ene interface (inbound) naar een andere interface (outbound), dit staat bekend als doorgaand verkeer en wordt beheerd door zowel het toegangscontrolebeleid (ACP) als de pre-filterregels.

Afbeelding 1. Voorbeeld van doorgaand verkeer

Veilig firewall-to-the-box verkeer

Er zijn andere gevallen waarin het verkeer rechtstreeks is bestemd voor een FTD-interface (Site-to-Site of Remote Access VPN), dit staat bekend als to-the-box-verkeer en wordt beheerd door het besturingsvlak van die specifieke interface.

Afbeelding 2. Naar-de-doos-verkeersvoorbeeld

Belangrijke overwegingen met betrekking tot ACL's voor controlevliegtuigen

• Vanaf FMC/FTD versie 7.0 moet een ACL-besturingsvlak worden geconfigureerd met FlexConfig, met dezelfde opdrachtsyntaxis die wordt gebruikt op de ASA.
• Het keyword control plane wordt toegevoegd aan de access-group configuratie, die verkeer afdwingt naar de beveiligde firewall interface. Zonder het woord control plane dat aan de opdracht is toegevoegd, zou de ACL het verkeer door de beveiligde firewall beperken.
• Een control plane ACL beperkt SSH, ICMP of TELNET inbound niet tot een beveiligde firewall interface. Deze worden verwerkt (toegestaan/geweigerd) volgens het Platform Instellingen Beleid en hebben een hogere prioriteit.
• Een control plane ACL beperkt het verkeer naar de beveiligde firewall zelf, terwijl het Access Control Policy voor de FTD of de normale ACL's voor de ASA het verkeer via de beveiligde firewall regelen.
• In tegenstelling tot een normale ACL, is er geen impliciete 'ontkennen' aan het einde van de ACL.
• De functie Object-Group Search (OGS) werkt niet via control plane ACL's, Cisco bug ID CSCwi58818.
• Op het moment dat dit document wordt gemaakt, kan de functie FTD Geolocation niet worden gebruikt om de toegang tot de FTD te beperken.

Configureren

In het volgende voorbeeld probeert een set IP-adressen uit een bepaald land VPN bruut in het netwerk te dwingen door in te loggen op de FTD RAVPN. De beste optie om de FTD te beschermen tegen deze VPN brute force aanvallen is om een control plane ACL te configureren om deze verbindingen met de externe FTD-interface te blokkeren.

Configuraties

Een ACL-controlevlak configureren voor FMC-beheerde FTD

Dit is de procedure die u moet volgen in een FMC om een control plane ACL te configureren om inkomende VPN brute force-aanvallen naar de externe FTD-interface te blokkeren:

Stap 1. Open de FMC Graphic User Interface (GUI) via HTTPS en log in met uw referenties:

Afbeelding 3. Inlogpagina FMC

Stap 2. U moet een uitgebreide ACL maken. Navigeer hiervoor naar Objecten > Objectbeheer:

Afbeelding 4. Objectbeheer

Stap 2.1. Navigeer in het linkerdeelvenster naar Toegangslijst > Uitgebreid om een uitgebreide ACL te maken:

Afbeelding 5. Uitgebreid ACL-menu

Stap 2.2. Selecteer vervolgens Uitgebreide toegangslijst toevoegen:

Afbeelding 6. Uitgebreide ACL toevoegen

Stap 2.3. Typ een naam voor de uitgebreide ACL en klik vervolgens op de knop Toevoegen om een toegangscontrole-item (ACE) te maken:

Afbeelding 7. Uitgebreide ACL-vermeldingen

Stap 2.4. Wijzig de ACE-actie in Blokkeren, voeg vervolgens het bronnetwerk toe om overeen te komen met het verkeer dat moet worden geweigerd aan de FTD, houd het bestemmingsnetwerk als Any en klik op de knop Toevoegen om de ACE-vermelding te voltooien.

In dit voorbeeld blokkeert het ACE-item brute force-aanvallen van VPN afkomstig van het subnet 192.168.1.0/24:

Afbeelding 8. Netwerken geweigerd

Stap 2.5. Als u meer ACE-items wilt toevoegen, klikt u nogmaals op de knop Toevoegen en herhaalt u stap 2.4. Klik vervolgens op de knop Opslaan om de ACL-configuratie te voltooien:

Afbeelding 9. Voltooide uitgebreide ACL-vermeldingen

Stap 3. Vervolgens moet u een Flex-Config-object configureren om het ACL-controlevlak toe te passen op de externe FTD-interface. Navigeer hiervoor naar het linkerdeelvenster en selecteer de optie FlexConfig > Object FlexConfig.

Afbeelding 10. Menu Object FlexConfig

Stap 3.1. Klik op Object FlexConfig toevoegen:

Afbeelding 11. Object FlexConfig toevoegen

Stap 3.2. Voeg een naam toe voor het object FlexConfig en plaats vervolgens een ACL-beleidsobject. Selecteer hiervoor Invoegen > Beleidsobject invoegen > Uitgebreid ACL-object:

Afbeelding 12. variabele FlexConfig Object

Stap 3.3. Voeg een naam toe voor de ACL-objectvariabele en selecteer vervolgens de uitgebreide ACL die is gemaakt in stap 2.3, waarna u op de knop Opslaan klikt:

Afbeelding 13. FlexConfig Object variabele ACL-toewijzing

Stap 3.4. Configureer vervolgens het ACL-controlevlak als inbound voor de externe interface.

Opdrachtregelsyntaxis:

access-group "variable name starting with $ symbol" in interface "interface-name" control-plane

Dit vertaalt zich in het volgende opdrachtvoorbeeld, waarin de ACL-variabele wordt gebruikt die is gemaakt in stap 2.3 VAR-ACL-UNWANTED-COUNTRY:

access-group $VAR-ACL-UNWANTED-COUNTRY in interface outside control-plane

Zo moet het object in het venster FlexConfig worden geconfigureerd. Selecteer vervolgens de knop Opslaan om het object FlexConfig te voltooien:

Afbeelding 14. Volledige opdrachtregel van object Flexconfig

Opmerking: Het wordt ten zeerste aanbevolen om het ACL-besturingsvlak te configureren voor alleen de interfaces die binnenkomende VPN-sessies voor externe toegang ontvangen in de beveiligde firewall, zoals de Externe interface.

Stap 4. U moet de FlexConfig-objectconfiguratie toepassen op de FTD. Navigeer hiervoor naar Apparaten > FlexConfig:

Afbeelding 15. Het menu Beleid voor FlexConfig

Stap 4.1. Klik vervolgens op Nieuw beleid als er nog geen FlexConfig voor uw FTD is gemaakt of bewerk het bestaande FlexConfig-beleid:

Afbeelding 16. FlexConfig-beleid maken

Stap 4.2. Voeg een naam toe voor het nieuwe FlexConfig-beleid en selecteer de FTD die u wilt toepassen op het besturingsvlak dat ACL heeft gemaakt:

Afbeelding 17. Toewijzing van FlexConfig-beleidsapparaat

Stap 4.3. Zoek in het linkerdeelvenster naar het FlexConfig-object dat is gemaakt in stap 3.2 en voeg het vervolgens toe aan het FlexConfig-beleid door op de rechterpijl in het midden van het venster te klikken. Klik tot slot op de knop Opslaan:

Afbeelding 18. Toewijzing van object FlexConfig-beleid

Stap 5. Ga door met het implementeren van de configuratiewijziging in de FTD en navigeer hiervoor naar Implementeren > Geavanceerde implementatie:

Afbeelding 19. Geavanceerde FTD-implementatie

Stap 5.1. Selecteer vervolgens de FTD waarop u het FlexConfig-beleid wilt toepassen. Als alles correct is, klikt u op Implementeren:

Afbeelding 20. Validering FTD-implementatie

Stap 5.2. Hierna wordt een venster voor implementatiebevestiging weergegeven. Voeg een opmerking toe om de implementatie te volgen en ga verder met implementeren:

Afbeelding 21. Opmerkingen over FTD-implementatie

Stap 5.3. Er kan een waarschuwingsbericht verschijnen wanneer FlexConfig-wijzigingen worden geïmplementeerd. Klik alleen op Implementeren als u er volledig zeker van bent dat de beleidsconfiguratie correct is:

Afbeelding 22. Waarschuwing FTD Deployment Flexconfig

Stap 5.4. Bevestig dat de beleidsimplementatie succesvol is voor de FTD:

Afbeelding 23. Implementatie FTD geslaagd

Stap 6. Als u een nieuwe ACL-controlevlak maakt voor uw FTD of als u een bestaande ACL hebt bewerkt die actief in gebruik is, is het belangrijk om te benadrukken dat de wijzigingen in de configuratie niet van toepassing zijn op reeds bestaande verbindingen met de FTD, daarom moet u handmatig de actieve verbindingspogingen met de FTD wissen. Maak hiervoor verbinding met de CLI van de FTD en wis de actieve verbindingen.

De actieve verbinding voor een specifiek host-IP-adres wissen:

> clear conn address 192.168.1.10 all

De actieve verbindingen voor een heel subnetnetwerk wissen:

> clear conn address 192.168.1.0 netmask 255.255.255.0 all

De actieve verbindingen voor een reeks IP-adressen wissen:

> clear conn address 192.168.1.1-192.168.1.10 all

Opmerking: Het is sterk aanbevolen om het zoekwoord allemaal aan het einde van de duidelijke conn adres opdracht gebruiken om het wissen van de actieve VPN brute force verbinding pogingen om de firewall te beveiligen, vooral wanneer de aard van de VPN brute force aanval is het starten van een explosie van constante verbinding pogingen.

[VIDEO] Een ACL-besturingsvlak configureren voor FMC-beheerde FTD

Een ACL-controlevlak configureren voor FDM-beheerde FTD

Dit is de procedure die u moet volgen in een FDM om een control plane ACL te configureren om inkomende VPN brute force-aanvallen naar de externe FTD-interface te blokkeren:

Stap 1. Open de FDM GUI via HTTPS en log in met uw inloggegevens:

Afbeelding 24. Inlogpagina FDM

Stap 2. U moet een objectnetwerk maken. Navigeer hiervoor naar Objecten:

Afbeelding 25. FDM-hoofddashboard

Stap 2.1. Selecteer Netwerken in het linkerdeelvenster en klik op de knop '+' om een nieuw netwerkobject te maken:

Afbeelding 26. Object maken

Stap 2.2. Voeg een naam toe voor het netwerkobject, selecteer het netwerktype voor het object, voeg het IP-adres, het netwerkadres of het bereik van IP's toe om overeen te komen met het verkeer dat moet worden geweigerd aan de FTD. Klik vervolgens op de knop OK om het objectnetwerk te voltooien.

- In dit voorbeeld is het geconfigureerde objectnetwerk bedoeld om VPN brute force-aanvallen afkomstig van het subnet 192.168.1.0/24 te blokkeren:

Afbeelding 27. Netwerkobject toevoegen

Stap 3. Vervolgens moet u een uitgebreide ACL maken, hiervoor navigeert u naar het tabblad Apparaat in het hoofdmenu:

Afbeelding 28. Pagina Apparaatinstellingen

Stap 3.1. Scroll naar beneden en selecteer Configuratie weergeven in het vak Geavanceerde configuratie zoals weergegeven in de afbeelding:

Afbeelding 29. Geavanceerde FDM-configuratie

Stap 3.2. Navigeer vervolgens in het linkerdeelvenster naar Slimme CLI > Objecten en klik op SMART CLI-OBJECT MAKEN.

Afbeelding 30. Smart CLI-objecten

Stap 3.3. Voeg een naam toe voor de uitgebreide ACL die u wilt maken, selecteer Uitgebreide toegangslijst in het vervolgkeuzemenu CLI-sjabloon en configureer de vereiste ACE's met behulp van het netwerkobject dat is gemaakt in stap 2.2, en klik vervolgens op de knop OK om de ACL te voltooien:

Afbeelding 31. Uitgebreide ACL-creatie

Opmerking: Als u meer ACE's voor de ACL wilt toevoegen, kunt u dit doen door de muis links van de huidige ACE te bewegen; dan verschijnen er geen drie klikbare punten. Klik erop en selecteer Dupliceren om meer ACE's toe te voegen. 

Stap 4. Vervolgens moet u een FlexConfig-object maken. Navigeer hiervoor naar het linkerdeelvenster en selecteer FlexConfig > FlexConfig-objecten en klik vervolgens op OBJECT MAKEN:

Afbeelding 32. FlexConfig-objecten

Stap 4.1. Voeg een naam toe voor het object FlexConfig om het ACL-controlevlak te maken en te configureren als inbound voor de externe interface, zoals weergegeven in de afbeelding.

Opdrachtregelsyntaxis:

access-group "ACL-name" in interface "interface-name" control-plane

Dit vertaalt zich in het volgende opdrachtvoorbeeld, dat de uitgebreide ACL gebruikt die is gemaakt in stap 3.3 ACL-UNWANTED-COUNTRY:

access-group ACL-UNWANTED-COUNTRY in interface outside control-plane

Zo kan het object in het venster FlexConfig worden geconfigureerd. Selecteer vervolgens de knop OK om het object FlexConfig te voltooien:

Afbeelding 33. FlexConfig-object maken

Opmerking: Het wordt ten zeerste aanbevolen om het ACL-besturingsvlak te configureren voor alleen de interfaces die binnenkomende VPN-sessies voor externe toegang ontvangen in de beveiligde firewall, zoals de Externe interface.

Stap 5. Ga verder met het maken van een FlexConfig-beleid. Navigeer hiervoor naar Flexconfig > FlexConfig-beleid, klik op de knop + en selecteer het object FlexConfig dat is gemaakt in stap 4.1:

Afbeelding 34. FlexConfig-beleid

Stap 5.1. Controleer of de voorvertoning van FlexConfig de juiste configuratie voor het aangemaakte ACL-controlevlak weergeeft en klik op de knop Opslaan:

Afbeelding 35. Voorbeeld van FlexConfig-beleid

Stap 6. Implementeer de configuratiewijzigingen in de FTD die u wilt beschermen tegen de brute force-aanvallen van VPN, klik hiervoor op de knop Implementatie in het bovenste menu, valideer dat de configuratiewijzigingen die moeten worden geïmplementeerd correct zijn en klik tot slot op NU IMPLEMENTEREN:

Afbeelding 36. Implementatie in behandeling

Stap 6.1. Controleren of de beleidsimplementatie succesvol is:

Afbeelding 37. Implementatie geslaagd

Stap 7. Als u een nieuwe ACL-controlevlak maakt voor uw FTD of als u een bestaande ACL hebt bewerkt die actief in gebruik is, is het belangrijk om te benadrukken dat de wijzigingen in de configuratie niet van toepassing zijn op reeds bestaande verbindingen met de FTD, daarom moet u handmatig de actieve verbindingspogingen met de FTD wissen. Maak hiervoor verbinding met de CLI van de FTD en wis de actieve verbindingen.

De actieve verbinding voor een specifiek host-IP-adres wissen:

> clear conn address 192.168.1.10 all

De actieve verbindingen voor een heel subnetnetwerk wissen:

> clear conn address 192.168.1.0 netmask 255.255.255.0 all

De actieve verbindingen voor een reeks IP-adressen wissen:

> clear conn address 192.168.1.1-192.168.1.10 all

Opmerking: Het is sterk aanbevolen om het zoekwoord allemaal aan het einde van de duidelijke conn adres opdracht gebruiken om het wissen van de actieve VPN brute force verbinding pogingen om de firewall te beveiligen, vooral wanneer de aard van de VPN brute force aanval is het starten van een explosie van constante verbinding pogingen.

Een ACL-controlevlak configureren voor ASA met behulp van CLI

Dit is de procedure die u moet volgen in een ASA CLI om een control plane ACL te configureren om inkomende VPN brute force-aanvallen naar de externe interface te blokkeren:

Stap 1. Meld u aan bij de beveiligde firewall ASA via CLI en krijg toegang tot de opdracht terminal configureren.

asa# configure terminal

Stap 2. Gebruik de volgende opdracht om een uitgebreide ACL te configureren om een host-IP-adres of netwerkadres te blokkeren voor het verkeer dat naar de ASA moet worden geblokkeerd.

In dit voorbeeld maakt u een nieuwe ACL genaamd ACL-UNWANTED-COUNTRY en de ACE-invoer geconfigureerd blokkeert VPN brute force-aanvallen afkomstig van het subnet 192.168.1.0/24:

asa(config)# access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any

Stap 3. Gebruik de volgende toegangsgroep opdracht om de ACL-ONGEWENSTE-LAND ACL te configureren als een control plane ACL voor de buiten ASA interface:

asa(config)# access-group ACL-UNWANTED-COUNTRY in interface outside control-plane

Opmerking: Het wordt ten zeerste aanbevolen om het ACL-besturingsvlak te configureren voor alleen de interfaces die binnenkomende VPN-sessies voor externe toegang ontvangen in de beveiligde firewall, zoals de Externe interface.

Stap 4. Als u een nieuw controlevlak ACL maakt of als u een bestaande ACL hebt bewerkt die actief in gebruik is, is het belangrijk om te benadrukken dat de wijzigingen in de configuratie niet van toepassing zijn op reeds bestaande verbindingen met de ASA, daarom moet u handmatig de actieve verbindingspogingen met de ASA wissen. Maak hiervoor de actieve verbindingen leeg.

De actieve verbinding voor een specifiek host-IP-adres wissen:

asa# clear conn address 192.168.1.10 all

De actieve verbindingen voor een heel subnetnetwerk wissen:

asa# clear conn address 192.168.1.0 netmask 255.255.255.0 all

De actieve verbindingen voor een reeks IP-adressen wissen:

asa# clear conn address 192.168.1.1-192.168.1.10 all

Opmerking: Het is sterk aanbevolen om het zoekwoord allemaal aan het einde van de duidelijke conn adres opdracht gebruiken om het wissen van de actieve VPN brute force verbinding pogingen om de firewall te beveiligen, vooral wanneer de aard van de VPN brute force aanval is het starten van een explosie van constante verbinding pogingen.

Alternatieve configuratie om aanvallen te blokkeren voor veilige firewall met behulp van shun

In het geval van een onmiddellijke optie om aanvallen voor de beveiligde firewall te blokkeren, kunt u de opdracht shun gebruiken. Met de opdracht Theshunn kunt u verbindingen blokkeren van een aanvallende host, hier heeft u meer details over dit schuwe commando:

• Zodra u een IP-adres hebt gemeden, worden alle toekomstige verbindingen vanaf het IP-adres van de bron verwijderd en geregistreerd totdat de blokkeringsfunctie handmatig wordt verwijderd.
• De blokkeringsfunctie van de opdracht hunwordt toegepast ongeacht of er momenteel een verbinding met het opgegeven hostadres actief is.
• Als u het bestemmingsadres, de bron- en bestemmingspoorten en het protocol opgeeft, laat u de overeenkomende verbinding vallen en plaatst u een schut op alle toekomstige verbindingen vanaf het bron-IP-adres; alle toekomstige verbindingen worden gemeden, niet alleen die welke overeenkomen met deze specifieke verbindingsparameters.
• U kunt slechts één commando per bron IP-adres hebben.
• Omdat de opdracht huns wordt gebruikt om aanvallen dynamisch te blokkeren, wordt deze niet weergegeven in de configuratie van het bedreigingsverdedigingsapparaat.
• Wanneer een interfaceconfiguratie wordt verwijderd, worden ook alle shuns verwijderd die aan die interface zijn gekoppeld.
• Shun-opdrachtsyntaxis:

shun source_ip [ dest_ip source_port dest_port [ protocol]] [ vlan vlan_id]

• Om een shun uit te schakelen, gebruik je de no-vorm van deze opdracht:

no shun source_ip [ vlan vlan_id]

Als u een host-IP-adres wilt mijden, gaat u verder met dit voorbeeld voor de beveiligde firewall. In dit voorbeeld wordt de shun-opdracht gebruikt om brute force-aanvallen van VPN te blokkeren die afkomstig zijn van het IP-adres van de bron 192.168.1.10.

Configuratievoorbeeld voor FTD

Stap 1. Meld u aan bij de FTD via CLI en pas de opdracht shun toe:

> shun 192.168.1.10
Shun 192.168.1.10 added in context: single_vf
Shun 192.168.1.10 successful

Stap 2. U kunt de opdracht show gebruiken om de afgesneden IP-adressen in de FTD te bevestigen en om het aantal afgesneden treffers per IP-adres te controleren:

> show shun
shun (outside) 192.168.1.10 0.0.0.0 0 0 0  

> show shun statistics
diagnostic=OFF, cnt=0
outside=ON, cnt=0

Shun 192.168.1.10 cnt=0, time=(0:00:28)

Configuratievoorbeeld voor ASA

Stap 1. Meld u aan bij de ASA via CLI en pas de opdracht shun toe:

asa# shun 192.168.1.10
Shun 192.168.1.10 added in context: single_vf
Shun 192.168.1.10 successful

Stap 2. U kunt de show commando's gebruiken om de shun IP-adressen in de ASA te bevestigen en om de shun hit tellingen per IP-adres te controleren:

asa# show shun
shun (outside) 192.168.1.10 0.0.0.0 0 0 0

asa# show shun statistics 
outside=ON, cnt=0
inside=OFF, cnt=0
dmz=OFF, cnt=0
outside1=OFF, cnt=0
mgmt=OFF, cnt=0

Shun 192.168.1.10 cnt=0, time=(0:01:39)

Opmerking: Raadpleeg de referentie van het Cisco Secure Firewall Threat Defence Command voor meer informatie over de opdracht Beveiligde firewallbeveiliging vermijden

Verifiëren

Ga als volgt te werk om te bevestigen dat de ACL-configuratie van het controlevlak aanwezig is voor de beveiligde firewall:

Stap 1. Meld u aan bij de beveiligde firewall via CLI en voer de volgende opdrachten uit om te bevestigen dat de ACL-configuratie van het controlevlak is toegepast.

Voorbeeld van de output voor de door het FMC beheerde FTD:

> show running-config access-list ACL-UNWANTED-COUNTRY 
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any

> show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane

Outputvoorbeeld voor de door de FDM beheerde FTD:

> show running-config object id OBJ-NET-UNWANTED-COUNTRY
object network OBJ-NET-UNWANTED-COUNTRY
subnet 192.168.1.0 255.255.255.0

> show running-config access-list ACL-UNWANTED-COUNTRY 
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any4 log default

> show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane

Output voorbeeld voor ASA:

asa# show running-config access-list ACL-UNWANTED-COUNTRY 
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any

asa# show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane

Stap 2. Om te bevestigen dat het control plane ACL het vereiste verkeer blokkeert, gebruikt u de packet-tracer-opdracht om een inkomende TCP 443-verbinding met de buiteninterface van de beveiligde firewall te simuleren en gebruikt u vervolgens de show access-list <acl-name>-opdracht. De ACL hit count kan worden verhoogd telkens wanneer een VPN brute force-verbinding met de beveiligde firewall wordt geblokkeerd door het control plane ACL.

In dit voorbeeld simuleert de opdracht packet-tracer een inkomende TCP 443-verbinding afkomstig van host 192.168.1.10 en bestemd voor het externe IP-adres van onze beveiligde firewall. De packet-tracer uitgang bevestigt dat het verkeer wordt weggelaten en de show access-list uitgang geeft de hit count stappen voor onze control plane ACL op zijn plaats:  

Output voorbeeld voor FTD

> packet-tracer input outside tcp 192.168.1.10 1234 10.3.3.251 443
Phase: 1
Type: ACCESS-LIST
Subtype: log
Result: DROP
Elapsed time: 21700 ns
Config:
Additional Information:

Result:
input-interface: outside(vrfid:0)
input-status: up
input-line-status: up
Action: drop
Time Taken: 21700 ns
Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame 0x00005623c7f324e7 flow (NA)/NA

> show access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY; 1 elements; name hash: 0x42732b1f
access-list ACL-UNWANTED-COUNTRY line 1 extended deny ip 192.168.1.0 255.255.255.0 any (hitcnt=1) 0x142f69bf

Voorbeeld van uitvoer voor ASA

asa# packet-tracer input outside tcp 192.168.1.10 1234 10.3.3.5 443
Phase: 1
Type: ACCESS-LIST
Subtype: 
Result: ALLOW
Elapsed time: 19688 ns
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: DROP
Elapsed time: 17833 ns
Config:
Additional Information:

Result:
input-interface: outside
input-status: up
input-line-status: up
Action: drop
Time Taken: 37521 ns
Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame 0x0000556e6808cac8 flow (NA)/NA

asa# show access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY; 1 elements; name hash: 0x42732b1f
access-list ACL-UNWANTED-COUNTRY line 1 extended deny ip 192.168.1.0 255.255.255.0 any (hitcnt=1) 0x9b4d26ac 

Opmerking: Als een RAVPN-oplossing zoals de Cisco Secure Client VPN wordt geïmplementeerd in de beveiligde firewall, kan een echte verbindingspoging naar de beveiligde firewall worden uitgevoerd om te bevestigen dat de ACL van het besturingsvlak werkt zoals verwacht om het vereiste verkeer te blokkeren.

Gerelateerde bugs

• ENH | Op geolocatie gebaseerde AnyConnect-clientverbindingen: Cisco bug ID CSCvs65322
• DOC: ASA/FTD Object Group Search biedt geen ondersteuning voor Control Plane ACL's: Cisco bug ID CSCwi58818  

Gerelateerde informatie

• Configureer op geolocatie gebaseerde beleidsregels voor externe toegang tot VPN op Secure Firewall Threat Defense
• Aanbevelingen tegen wachtwoordspray-aanvallen gericht op VPN-services voor externe toegang in beveiligde firewall
• Naslaggids voor Cisco VPN Technologies