Guia da Cisco para fortalecer o firewall Cisco ASA

Introduction

Este documento contém informações para ajudá-lo a proteger os dispositivos Cisco ASA, o que aumenta a segurança geral da sua rede. Este documento está estruturado em 4 seções

    Endurecimento do plano de gerenciamento - Isso se aplica a todo o gerenciamento relacionado ao ASA/ao tráfego de caixa, como SNMP, SSH etc.
    Configuração de segurança - Comandos através dos quais podemos parar de preencher as senhas, etc para a configuração atual, etc
    Registro e monitoramento - aplica-se a todas as configurações relacionadas ao login no ASA.
    Através do tráfego - Isso se aplica ao tráfego que passa pelo ASA.

   
A cobertura dos recursos de segurança neste documento fornece frequentemente bastante detalhes para que você configure a característica. Contudo, nos casos onde não faz, a característica é explicada de tal maneira que você pode avaliar se a atenção adicional à característica está exigida. Sempre que possível e apropriado, este documento contém as recomendações que, se executadas, ajudam a fixar a rede.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco ASA5500-X 9.4(1) e posterior.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Produtos Relacionados

Essa configuração também pode ser usada com o software Cisco ASA 5500-X Series Security Appliance versão 9.x.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Fixe operações

As operações de rede seguras são um assunto substancial. Embora a maior parte deste documento seja dedicada à configuração segura de um dispositivo Cisco ASA, as configurações por si só não protegem completamente uma rede. Os procedimentos operacionais no uso na rede contribuem tanto quanto à segurança quanto a configuração dos dispositivos subjacentes.

Estes assuntos contêm as recomendações operacionais que você é recomendado executar. Estes assuntos destacam áreas crítica específicas das operações de rede e não são detalhados.

Monitore Recomendações de Segurança da Cisco e respostas

A equipe da resposta de incidentes de segurança de produto Cisco (PSIRT) cria e mantém as publicações, referidas geralmente como informativos psirt, para edições relacionadas à segurança nos produtos da Cisco. O método usado para uma comunicação de edições menos severas é a resposta do Cisco Security. As recomendações e respostas de segurança estão disponíveis na PSIRT.

A informação adicional sobre estes veículos de uma comunicação está disponível na política da vulnerabilidade do Cisco Security.

A fim manter uma rede segura, você precisa de estar ciente das Recomendações de Segurança da Cisco e das respostas que foram liberadas. Você precisa de ter o conhecimento de uma vulnerabilidade antes que a ameaça que possa levantar a uma rede possa ser avaliada. Refira a triagem do risco para anúncios da vulnerabilidade de segurança para o auxílio a este processo de avaliação.

Entrega de Autenticação, Autorização e Relatório

A estrutura de autenticação, autorização e contabilização (AAA) é fundamental para proteger os dispositivos de rede. A estrutura AAA fornece a autenticação das sessões de gerenciamento e pode igualmente limitar usuários a comandos específico, definidos pelos administradores e aos comandos all do registro inscritos por todos os usuários. Consulte a seção Autenticação, autorização e contabilização deste documento para obter mais informações sobre como utilizar a estrutura de AAA.

Centralize a coleção e a monitoração do registro

Para obter conhecimento sobre os eventos atuais, emergentes e históricos relacionados a incidentes de segurança, a empresa deve ter uma estratégia unificada para registro e correlação de eventos. Esta estratégia deve entregar o registo de todos os dispositivos de rede e usar capacidades pré-embaladas e customizáveis da correlação.

Depois que o registo centralizado é executado, você deve desenvolver uma aproximação estruturada para registrar o seguimento da análise e do incidente. Baseado nas necessidades de sua organização, esta aproximação pode variar de uma revisão diligente simples dos dados de registro a análise baseado em regras avançada.

Use protocolos seguros quando possível

Muitos protocolos são usados a fim levar dados de gerenciamento de redes sensíveis. Você deve usar protocolos seguros sempre que possível. Uma escolha segura do protocolo inclui o uso do SSH em vez do telnet de modo que os dados de autenticação e a informação de gerenciamento sejam cifrados. Além, você deve usar protocolos de transferência de arquivo seguros quando você copia dados de configuração. Um exemplo é o uso do protocolo da cópia segura (SCP) no lugar do FTP ou do TFTP.

Ganhe a visibilidade do tráfego com NetFlow

O NetFlow permite-o de monitorar fluxos de tráfego na rede. Pretendeu originalmente exportar a informação de tráfego para aplicativos de gerenciamento de rede, NetFlow pode igualmente ser usado a fim mostrar a informação de fluxo em um roteador. Esta capacidade permite que você considere que tráfego atravessa a rede no tempo real. Apesar da informação de fluxo ser exportada para um coletor remoto, é recomendado configurar dispositivos de rede para o NetFlow de modo que possa ser usado de forma reativa, se necessário.

Gerenciamento de configuração

O gerenciamento de configuração é um processo pelo qual as alterações de configuração são propostas, revistas, aprovadas, e distribuídas. No contexto de uma configuração de dispositivo Cisco ASA, dois aspectos adicionais do gerenciamento de configuração são críticos: configuração de arquivo e segurança.

Você pode usar arquivos de configuração para rolar para trás as mudanças que são feitas aos dispositivos de rede. Em um contexto de segurança, os arquivos de configuração podem igualmente ser usados a fim determinar que alterações de segurança foram feitas e quando estas mudanças ocorreram. Conjuntamente com dados de registro AAA, esta informação pode ajudar no exame de segurança dos dispositivos de rede.

A configuração de um dispositivo Cisco ASA contém muitos detalhes confidenciais. Os nomes de usuário, as senhas, e os índices de lista de controle de acesso são exemplos deste tipo de informação. O repositório que você usa para arquivar as configurações do dispositivo Cisco ASA precisa ser protegido. O acesso incerto a esta informação pode minar a segurança da toda a rede.

Gerenciamento Avião

O plano de gerenciamento consiste nas funções que conseguem os objetivos da gestão da rede. Isso inclui as sessões interativas de gerenciamento que usam o SSH e a coleta de estatísticas com SNMP ou NetFlow. Quando você considera a segurança de um dispositivo de rede, é crítico que o plano de gerenciamento esteja protegido. Se um incidente de segurança pode minar as funções do plano de gerenciamento, pode ser impossível para você recuperar ou estabilizar a rede.

Plano de gerenciamento de endurecimento

O plano de gerenciamento é usado a fim alcançar, configurar, e controlar um dispositivo, assim como monitora suas operações e a rede em que é distribuído. O plano de gerenciamento é o plano que recebe e envia o tráfego para operações destas funções. Esta lista de protocolos é usada pelo plano de gerenciamento:

• Protocolo simples de gestão de rede
• Protocolo secure shell
• Protocolo de transferência de arquivo
• Protocolo trivial file transfer
• Protocolo da cópia segura
• TACACS+
• RADIUS
• Netflow
• Protocolo de tempo de rede
• Syslog
• ICMP
• SMB

Note: A ativação de TELNET não é recomendada, pois é texto simples.

Gerenciamento de senha

Acesso do controle das senhas aos recursos ou aos dispositivos. Isto é realizado com a definição uma senha ou um segredo que sejam usados a fim autenticar pedidos. Quando um pedido é recebido para o acesso a um recurso ou a um dispositivo, o pedido está desafiado para a verificação da senha e da identidade, e o acesso pode ser concedido, negado, ou limitado baseado no resultado. Como um melhor prática da segurança, as senhas devem ser controladas com um TACACS+ ou um servidor de autenticação RADIUS. No entanto, observe que uma senha configurada localmente para acesso privilegiado ainda é necessária, em caso de falha dos serviços TACACS+ ou RADIUS. Um dispositivo pode igualmente ter a outra informação de senha atual dentro de sua configuração, tal como uma chave NTP, a chave da série de comunidade SNMP, ou do protocolo de roteamento.

O ASA usa o Message Digest 5 (MD5) para hash de senha. Este algoritmo teve a revisão pública considerável e não é sabido para ser reversível. Contudo, o algoritmo é sujeito aos ataques do dicionário. Em um ataque do dicionário, um atacante tenta cada palavra em um dicionário ou a outra lista de senhas do candidato a fim de encontrar uma combinação. Conseqüentemente, os arquivos de configuração devem firmemente ser armazenados e somente compartilhado com os indivíduos confiados.

Habilitar serviço HTTP

Para usar o ASDM, você precisa habilitar o servidor HTTPS e permitir conexões HTTPS para o ASA. O Security Appliance permite um máximo de 5 instâncias ASDM simultâneas por contexto, se disponível, com um máximo de 32 instâncias ASDM entre todos os contextos. Para configurar o acesso ASDM, use:

http server enable <port>

Permitir somente os IPs necessários na lista de ACLs. Permitir um amplo acesso é uma prática errada.

http 0.0.0.0 0.0.0.0 <interface> 

Configurar o controle de acesso ASDM:

http <remote_ip_address> <remote_subnet_mask> <interface_name>

Começando com o software ASA versão 9.1(2), 8.4(4.1), o ASA agora oferece suporte aos seguintes pacotes de criptografia SSL Diffie-Hellman (DHE) efêmero.

DHE-AES128-SHA1
DHE-AES256-SHA1

Essas suítes cifras são especificadas no RFC 3268, Conjuntos de Padrão de Criptografia Avançada (AES - Advanced Encryption Standard) para TLS (Transport Layer Security).

Quando suportado pelo cliente, o DHE é a cifra preferida porque fornece o segredo de encaminhamento perfeito. Veja as seguintes limitações:

Não há suporte para DHE em conexões SSL 3.0, portanto, certifique-se de habilitar também TLS 1.0 para o servidor SSL.

// Set server version
ASA(config)# ssl server-version tlsv1 sslv3

// Set client version
ASA(config) # ssl client-version any

Alguns aplicativos populares não suportam DHE, portanto, incluem pelo menos um outro método de criptografia SSL para garantir que um conjunto de cifras comum ao cliente SSL e ao servidor possa ser usado. Alguns clientes podem não suportar DHE, incluindo AnyConnect 2.5 e 3.0, Cisco Secure Desktop e Internet Explorer 9.0.

Por padrão, o ASA tem as cifras abaixo habilitadas no pedido como abaixo.

ASA(config)#ssl encryption rc4-sha1 dhe-aes128-sha1 dhe-aes256-sha1 aes128-sha1 aes256-sha1 3des-sha1

ssl server-version any (padrão)

O ASA por padrão usa um certificado com assinatura automática temporária que é alterado em cada reinicialização. Se estiver procurando um único certificado, você poderá seguir o link abaixo para gerar um certificado com assinatura automática permanente.

Agora, o ASA oferece suporte à versão 1.2 do TLS a partir da versão de software 9.3.1para transmissão segura de mensagens para ASDM, SSVPN sem cliente e AnyConnect VPN. Os seguintes comandos foram introduzidos ou modificados: ssl client-version, ssl server-version, ssl cryption, ssl trust-point, ssl dh-group, show ssl, show ssl cipher, show vpn-sessiondb

ASA-1/act(config)# ssl server-version ?

configure mode commands/options:
  tlsv1    Enter this keyword to accept SSLv2 ClientHellos and negotiate TLSv1
           (or greater)
  tlsv1.1  Enter this keyword to accept SSLv2 ClientHellos and negotiate
           TLSv1.1 (or greater)
  tlsv1.2  Enter this keyword to accept SSLv2 ClientHellos and negotiate
           TLSv1.2 (or greater)

ASA-1/act(config)# ssl cipher ?

configure mode commands/options:
  default  Specify the set of ciphers for outbound connections
  dtlsv1   Specify the ciphers for DTLSv1 inbound connections
  tlsv1    Specify the ciphers for TLSv1 inbound connections
  tlsv1.1  Specify the ciphers for TLSv1.1 inbound connections
  tlsv1.2  Specify the ciphers for TLSv1.2 inbound connections

Habilitar SSH

O ASA permite conexões SSH com o ASA para fins de gerenciamento. O ASA permite um máximo de 5 conexões SSH simultâneas por contexto, se disponíveis, com um máximo de 100 conexões divididas entre todos os contextos.

hostname <device_hostname>
domain-name <domain-name>
crypto key generate rsa modulus 2048

O tipo de par de chave padrão é chave geral . O tamanho padrão do módulo é 1024. A quantidade de espaço da NVRAM para armazenar pares de chaves varia dependendo da plataforma ASA. Você pode atingir um limite se gerar mais de 30 pares de chaves. As chaves RSA de 4096 bits só são suportadas nas plataformas ASA5580, 5585 ou posteriores.

Para remover os pares de teclas do tipo indicado (rsa ou dsa)

crypto key zeroize { rsa | dsa } [ label key-pair-label ] [ default ] [ noconfirm ]

Configurar o SSH para acesso remoto a dispositivos:

ssh <remote_ip_address> <remote_subnet_mask> <interface_name>

Para restringir a versão do SSH aceita pelo ASA, use o comando ssh version no modo de configuração global. Para restringir o ASA ao uso somente da versão 2, use o comando abaixo.

ASA(config)#ssh version 2

Para trocar chaves usando o método de troca de chaves Diffie-Hellman (DH) Group 1 ou DH Group 14, use o comando ssh key-exchange no modo de configuração global. iniciando em 9.1(2) O ASA suporta dh-group14-sha1 para SSH

ASA(config)#ssh key-exchange dh-group14-sha1

Configurar tempo limite para sessões de logon

// Configure Console timeout
ASA(config)#console timeout 10

// Configure Console timeout
ASA(config)#ssh timeout 10

Gerenciamento de senha

Acesso do controle das senhas aos recursos ou aos dispositivos. Isto é realizado com a definição uma senha ou um segredo que sejam usados a fim autenticar pedidos. Quando um pedido é recebido para o acesso a um recurso ou a um dispositivo, o pedido está desafiado para a verificação da senha e da identidade, e o acesso pode ser concedido, negado, ou limitado baseado no resultado. Como um melhor prática da segurança, as senhas devem ser controladas com um TACACS+ ou um servidor de autenticação RADIUS. No entanto, observe que uma senha configurada localmente para acesso privilegiado ainda é necessária, em caso de falha dos serviços TACACS+ ou RADIUS. Um dispositivo pode igualmente ter a outra informação de senha atual dentro de sua configuração, tal como uma chave NTP, a chave da série de comunidade SNMP, ou do protocolo de roteamento.

Configurar usuário local e senha criptografada

username <local_username> password <local_password> encrypted

Configurar senha de ativação

enable password <enable_password> encrypted

Configurar a autenticação AAA para o modo de ativação

ASA(config)#aaa authentication enable console LOCAL

Autenticação, autorização e contabilidade

A estrutura de autenticação, autorização e contabilização (AAA) é fundamental para proteger o acesso interativo aos dispositivos de rede. A estrutura AAA fornece um ambiente altamente configurável que pode ser personalizado de acordo com as necessidades da rede.

Autenticação TACACS+

TACACS+ é um protocolo de autenticação que o ASA pode usar para autenticação de usuários de gerenciamento em um servidor AAA remoto. Esses usuários de gerenciamento podem acessar o dispositivo ASA via SSH, HTTPS, telnet ou HTTP.

A autenticação TACACS+, ou mais geralmente a autenticação de AAA, fornecem a capacidade para usar o usuário individual esclarecem cada administrador de rede. Quando você não depende de uma única senha compartilhada, a segurança da rede é aumentada e sua responsabilidade é reforçada.

O RADIUS é um protocolo com finalidade semelhante à do TACACS+; no entanto, criptografa apenas a senha enviada pela rede. Por outro lado, o TACACS+ criptografa toda a carga TCP, que inclui o nome de usuário e a senha. Por este motivo, o TACACS+ deve ser usado de preferência ao RADIUS quando o TACACS+ é suportado pelo servidor AAA. Refira a comparação de TACACS+ e RADIUS para uma comparação mais detalhada destes dois protocolos.

A autenticação TACACS+ pode ser habilitada em um dispositivo Cisco ASA com uma configuração semelhante a este exemplo:

aaa authentication serial console Tacacs 
aaa authentication ssh console Tacacs
aaa authentication http console Tacacs
aaa authentication telnet console Tacacs

Assinatura e verificação de imagem do ASA

A partir do software versão 9.3.1, as imagens do ASA agora são assinadas usando uma assinatura digital. A assinatura digital é verificada depois que o ASA é inicializado.

ASA-1/act(config)# verify flash:/asa941-smp-k8.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!                                                                                        !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Done!
Embedded Hash SHA-512: 0e707a0e45b1c7c5afa9ef4e802a273677a5e46f7e1d186292abe1154                                                                                        c948a63c625463b74119194da029655487659490c2873506974cab78b66d6d9742ed73e
Computed Hash SHA-512: 0e707a0e45b1c7c5afa9ef4e802a273677a5e46f7e1d186292abe1154                                                                                        c948a63c625463b74119194da029655487659490c2873506974cab78b66d6d9742ed73e
CCO Hash      SHA-512: 1b6d41e893868aab9e06e78a9902b925227c82d8e31978ff2c412c18a                                                                                        c99f49f70354715441385e0b96e4bd3e861d18fb30433d52e12b15b501fa790f36d0ea0
Signature Verified


ASA(config)# verify /signature running
Requesting verify signature of the running image...

Starting image verification
Hash Computation:    100% Done!
Computed Hash   SHA2: 2fbb0f62b5fbc61b081acfca76bddbb2
                      26ce7a5fb4b424e5e21636c6c8a7d665
                      1e688834203dfb7ffa6eaefc7fdf9d3d
                      1d0a063a20539baba72c2526ca37771c


Get key records from key storage: PrimaryASA, key_store_type: 6
Embedded Hash   SHA2: 2fbb0f62b5fbc61b081acfca76bddbb2
                      26ce7a5fb4b424e5e21636c6c8a7d665
                      1e688834203dfb7ffa6eaefc7fdf9d3d
                      1d0a063a20539baba72c2526ca37771c

Returned. rc: 0, status: 1
The digital signature of the running image verified successfully

ASA-1/act(config)# show software authenticity running
Image type : Release
 Signer Information
 Common Name : abraxas
 Organization Unit : ASAv
 Organization Name : CiscoSystems
 Certificate Serial Number : 550DBBD5
 Hash Algorithm : SHA2 512
 Signature Algorithm : 2048-bit RSA
 Key Version : A

Configurar fuso horário do relógio

clock timezone GMT <hours offset>

Configurar NTP

O protocolo Network Time Protocol (NTP) é um não serviço especialmente perigoso, mas todo o serviço unneeded pode representar um vetor do ataque. Se o NTP é usado, é importante configurar explicitamente um origem de tempo confiado e usar a autenticação apropriada. A hora exata e segura for exigida para finalidades syslog, como durante investigações judiciais dos ataques potenciais, assim como para a conectividade de VPN bem sucedida quando segundo certificados para a autenticação da fase 1.

• Fuso horário do NTP – Quando você configura o NTP, o fuso horário precisa ser configurado para que os carimbos de hora possam ser correlacionados com precisão. Geralmente, existem duas abordagens para configurar o fuso horário para dispositivos em uma rede com presença global. Um método é configurar todos os dispositivos de rede com o tempo universal coordenado (UTC) (previamente horário de Greenwich (GMT)). A outra aproximação é configurar dispositivos de rede com o fuso horário local. 

ntp server ip_address [ key key_id ] [ source interface_name ] [ prefer ]

• Autenticação NTP – Se você configurar a autenticação NTP, ela garante que as mensagens NTP sejam trocadas entre pares NTP confiáveis. Ative a autenticação usando o comando ntp authenticate, define a ID da chave confiável para este servidor. Se você habilitar a autenticação, o ASA só se comunicará com um servidor NTP se ele usar a chave confiável correta nos pacotes. Para habilitar a autenticação com um servidor NTP, use o comando ntp authenticate no modo de configuração global.

ASA(config)#ntp authenticate

Serviço do servidor DHCP (se não estiver sendo usado)

clear configure dhcpd
no dhcpd enable <interface_name>

Note: O ASA não oferece suporte ao CDP.

Control-Plane Access-list

As regras de controle de acesso para o tráfego de gerenciamento pronto (definido por comandos como http, ssh ou telnet) têm precedência mais alta do que uma lista de acesso aplicada com a opção de plano de controle. Portanto, esse tráfego de gerenciamento permitido terá permissão para entrar, mesmo que explicitamente negado pela lista de acesso para a caixa.

access-list <name> in interface <Interface_name> control-plane

Do ASA

Aqui estão os protocolos que podem ser usados para copiar/transferir arquivos para o ASA.

Texto claro:

• FTP
• HTTP
• TFTP
• SMB

Seguro:

•  HTTPS
•  SCP (Secure Copy Client, Cliente de cópia segura) a partir de 9.1(5), o ASA oferece suporte ao cliente SCP para transferir arquivos de e para um servidor SCP.

Para tráfego

Randomização do número de sequência TCP

Cada conexão TCP tem dois ISNs: um gerado pelo cliente e um gerado pelo servidor. O ASA randomiza o ISN do TCP SYN que passa nas direções de entrada e saída.

Randomizar o ISN do host protegido impede que um invasor predeca o próximo ISN para uma nova conexão e potencialmente sequestre a nova sessão.

A aleatorização do número de sequência inicial do TCP pode ser desativada, se necessário. Por exemplo:

• Se outro firewall em linha também estiver randomizando os números de sequência iniciais, não haverá necessidade de ambos os firewalls realizarem essa ação, mesmo que essa ação não afete o tráfego.
• Se você usar o eBGP multi-hop através do ASA, e os peers do eBGP estiverem usando MD5. A randomização quebra a soma de verificação MD5.
• Se usarmos um dispositivo WAAS que exija que o ASA não randomize os números de sequência de conexões.

Redução de TTL

Por padrão, o não decrementa o TTL no cabeçalho IP devido ao qual o ASA não aparece como um salto do roteador ao executar o Traceroute.

dnsguard

Aplica uma resposta DNS por consulta. Pode ser ativado usando o comando no modo de configuração global.

ASA(config)#dns-guard

Configurar verificações de fragmentação da cadeia de fragmentos

Para fornecer gerenciamento adicional de fragmentação de pacote e melhorar a compatibilidade com NFS, use o comando fragment no modo de configuração global.

fragment reassembly { full | virtual } { size | chain | timeout limit } [ interface ]

Configurar inspeção de protocolo

Mecanismos de inspeção são necessários para serviços que incorporam informações de endereçamento IP no pacote de dados do usuário ou que abrem canais secundários em portas atribuídas dinamicamente. Esses protocolos exigem que o ASA faça uma inspeção profunda do pacote em vez de passar o pacote pelo caminho rápido. Como resultado, os mecanismos de inspeção podem afetar o throughput geral. Consulte o Guia de configuração do ASA 9.4 para obter informações detalhadas sobre a Inspeção do protocolo da camada de aplicação.

A inspeção no ASA pode ser habilitada usando o comando abaixo

policy-map <Policy-map_name>
 class inspection_default
  inspect <Protocol>

service-policy <Policy-map_name> interface <Interface_name> (Per Interface)
service-policy <Policy-map_name> global (Globally)

Por padrão, o ASA tem "global_policy" habilitado globalmente.

Configurar Unicast Reverse-Path Forwarding

ip verify reverse-path interface <interface_name>

 Quando o tráfego é descartado devido à verificação RPF, o contador "show asp drop" abaixo é incrementado no ASA .

ASA(config)# show asp drop 

Frame drop:
  Invalid TCP Length (invalid-tcp-hdr-length)                  21

  Reverse-path verify failed (rpf-violated)                    90

// Check Reverse path statistics

ASA(config)# sh ip verify statistics

interface inside: 11 unicast rpf drops

interface outside: 79 unicast rpf drops

Detecção de ameaças

A detecção de ameaças fornece aos administradores de firewall as ferramentas necessárias para identificar, entender e interromper ataques antes que eles cheguem à infraestrutura de rede interna. Para isso, o recurso depende de vários acionadores e estatísticas diferentes, que são descritos em mais detalhes nessas seções.

Consulte a funcionalidade e a configuração de detecção de ameaças do ASA para obter explicações detalhadas sobre a detecção de ameaças no ASA.

Filtro de botnet

O filtro de tráfego BotNet monitora as solicitações e respostas do Servidor de Nomes de Domínio (DNS) entre clientes DNS internos e servidores DNS externos. Quando uma resposta DNS é processada, o domínio associado à resposta é verificado em relação ao banco de dados de domínios mal-intencionados conhecidos. Se houver correspondência, qualquer tráfego adicional para o endereço IP presente na resposta DNS será bloqueado.

O malware é um software mal-intencionado instalado em um host desconhecido. O malware que tenta a atividade da rede, como o envio de dados privados (senhas, números de cartão de crédito, traços de chave ou dados proprietários), pode ser detectado pelo filtro de tráfego botnet quando o malware inicia uma conexão com um endereço IP reconhecidamente inválido. O filtro de tráfego botnet verifica as conexões de entrada e saída em um banco de dados dinâmico de nomes de domínio e endereços IP conhecidos como inválidos (a lista negra) e, em seguida, registra ou bloqueia qualquer atividade suspeita.

Você também pode complementar o banco de dados dinâmico da Cisco com endereços na lista negra de sua escolha adicionando-os a uma lista negra estática; se o banco de dados dinâmico incluir endereços da lista negra que você acha que não devem ser da lista negra, você poderá inseri-los manualmente em uma lista branca estática. Os endereços listados em branco ainda geram mensagens de syslog, mas como você está direcionando apenas mensagens de syslog da lista negra, elas são informativas. Consulte Configurando o filtro de tráfego botnet para obter informações detalhadas.

acréscimos de cache ARP para sub-redes não conectadas

Por padrão, o ASA não responde ao ARP para endereços IP de sub-rede conectados diretamente. Se você tiver um NAT IP no ASA que não pertença ao mesmo IP de sub-rede da interface do ASA, teremos que habilitar "arp permit-nonconnected" no ASA para proxy-ARP para o IP NATted.

arp permit-nonconnected

É sempre recomendável ter o roteamento correto nos dispositivos upstream e downstream para que o NAT funcione sem ativar o comando acima.

Registro e monitoramento

Configurando o SNMP

Esta seção destaca vários métodos que podem ser usados para proteger a implantação do SNMP em dispositivos ASA. É fundamental que o SNMP seja protegido corretamente para resguardar a confidencialidade, integridade e disponibilidade dos dados de rede e dos dispositivos de rede em que esses dados transitam. O SNMP fornece-o uma riqueza de informação na saúde dos dispositivos de rede. Essas informações devem ser protegidas contra usuários mal-intencionados que desejam aproveitar esses dados para realizar ataques contra a rede.

Strings de comunidade SNMP

As strings de comunidade são senhas aplicadas a um dispositivo ASA para restringir o acesso, somente leitura e leitura e gravação, aos dados SNMP no dispositivo. Estes strings de comunidade, como com todas as senhas, devem com cuidado ser escolhidos se assegurar de que não sejam triviais. Os strings de comunidade devem ser mudados em intervalos regulares e de acordo com políticas de segurança de rede. Por exemplo, as cordas devem ser mudadas quando um administrador de rede muda papéis ou deixa a empresa.

Ativar acesso de leitura SNMP:

snmp-server host <interface_name> <remote_ip_address>

Ativar interceptações SNMP

snmp-server enable traps all

Configurando o Syslog

Recomenda-se enviar informações de registro para um servidor syslog remoto. Isso possibilita a correlação e a auditoria de eventos de segurança e de rede entre dispositivos de rede com mais eficiência. Note que os mensagens do syslog estão transmitidos incerta pelo UDP e na minuta. Por esse motivo, todas as proteções que uma rede oferece ao tráfego de gerenciamento (por exemplo, criptografia ou acesso fora da banda) devem ser estendidas para incluir o tráfego de syslog. Os registros podem ser configurados para serem enviados para o seguinte destino do ASA:

• ASDM
• Buffer
• Flash
• E-mail
• servidor FTP
• Servidor SNMP como traps
• Servidor Syslogs

Configurar o nível de gravidade do registro do console

logging console critical

O syslog baseado em TCP também está disponível. Todos os syslogs podem ser enviados ao Servidor syslog em texto simples ou criptografados no caso do TCP.

Texto simples

logging host interface_name syslog_ip [ tcp/ port

Criptografado

logging host interface_name syslog_ip [ tcp/ port | [ seguro]

Se uma conexão TCP não puder ser estabelecida com o servidor syslogs, todas as novas conexões serão negadas. Você pode alterar esse comportamento padrão inserindo o comando "logging permit-hostdown".

Configurar carimbos de data/hora em mensagens de registro

A configuração de data/hora de registro ajuda-o a correlacionar eventos através dos dispositivos de rede. É importante executar uma configuração correta e consistente de data/hora de registro assegurar-se de que você possa correlacionar dados de registo.

logging timestamp

Para obter informações adicionais relacionadas ao syslog, consulte Exemplo de Configuração de Syslog do ASA.

Configurando o Netflow

Às vezes, você pode precisar de identificar rapidamente e tráfego de rede do retorno de monitoramento, especialmente durante a resposta do incidente ou o desempenho da rede deficiente. O NetFlow pode fornecer a visibilidade em todo o tráfego na rede. Adicionalmente, o NetFlow pode ser executado com coletores que podem fornecer a tensão do prazo e a análise automatizada.

O Cisco ASA oferece suporte a serviços NetFlow versão 9. As implementações de ASA e ASASM do NSEL fornecem um método de rastreamento de fluxo IP stateful que exporta somente os registros que indicam eventos significativos em um fluxo. No rastreamento de fluxo stateful, os fluxos rastreados passam por uma série de alterações de estado. Os eventos NSEL são usados para exportar dados sobre o status do fluxo e são acionados pelo evento que causou a alteração do estado.

Consulte o Guia de Implementação do NetFlow do Cisco ASA para obter mais informações sobre o Netflow no ASA:

Configuração de segurança

Verificação de imagem no ASA

A partir de 9.1(2) e 8.4(4.1), foi adicionado o suporte para verificação de integridade da imagem SHA-512. Para verificar a soma de verificação de um arquivo, use o comando verify no modo EXEC privilegiado.

Calcula e exibe o valor MD5 para a imagem de software especificada. Compare esse valor com o valor disponível em Cisco.com para esta imagem.

verify [ /md5 path ] [ md5-value ]

Senhas na configuração

Todas as senhas e as chaves estão criptografadas ou ofuscadas . O "show running-config" não revela as senhas reais.

Esse backup não pode ser usado para backup/restauração no ASA. O backup que é feito para fins de restauração deve ser executado usando o comando "more system:running-config".As senhas de configuração do ASA podem ser criptografadas usando uma senha mestre. Consulte a Criptografia de senha para obter informações detalhadas.

Recuperação de senha de serviço

Desabilitar isso desabilitará o mecanismo de recuperação de senha e desabilitará o acesso ao ROMMON. O único meio de recuperar senhas perdidas ou esquecidas será o ROMMON apagar todos os sistemas de arquivos, incluindo arquivos de configuração e imagens. Você deve fazer um backup de sua configuração e ter um mecanismo para restaurar imagens da linha de comando ROMMON.

Troubleshoot

Não há seção de solução de problemas para este documento.