Configurar Controle de Acesso ao Plano de Controle para FTD e ASA Seguros
Contents
Introdução
Este documento descreve o processo para configurar as regras de acesso ao plano de controle para Secure Firewall Threat Defense e Adaptive Security Appliance (ASA).
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Defesa contra ameaças de firewall (FTD) segura
- Gerenciador de Dispositivos de Firewall Seguro (FDM)
- Centro de gerenciamento seguro de firewall (FMC)
- ASA com firewall seguro
- Lista de controle de acesso (ACL)
- FlexConfig
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Secure Firewall Threat Defense versão 7.2.5
- Secure Firewall Manager Center versão 7.2.5
- Secure Firewall Device Manager versão 7.2.5
- Secure Firewall ASA versão 9.18.3
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
O tráfego normalmente atravessa um firewall e é roteado entre interfaces de dados; em algumas circunstâncias, é benéfico negar o tráfego destinado 'ao' firewall seguro. O firewall seguro da Cisco pode usar uma lista de controle de acesso (ACL) de plano de controle para restringir o tráfego "para a caixa". Um exemplo de quando uma ACL de plano de controle pode ser útil seria controlar quais pares podem estabelecer um túnel VPN (Site-to-Site ou VPN de Acesso Remoto) para o firewall seguro.
Firewall seguro através do tráfego de caixa
O tráfego normalmente atravessa firewalls de uma interface (de entrada) para outra interface (de saída), o que é conhecido como tráfego por meio da caixa e é gerenciado pelas Políticas de Controle de Acesso (ACP) e pelas regras de Pré-filtro.
Imagem 1. Exemplo de tráfego pronto para usar
Tráfego seguro do firewall para o produto
Há outros casos em que o tráfego é diretamente destinado a uma interface FTD (Site-to-Site ou Remote Access VPN), conhecido como tráfego para a caixa e gerenciado pelo plano de controle dessa interface específica.
Imagem 2. Exemplo de tráfego pronto para usar
Considerações importantes sobre ACLs de plano de controle
- A partir do FMC/FTD versão 7.0, uma ACL de plano de controle deve ser configurada usando FlexConfig, usando a mesma sintaxe de comando usada no ASA.
- O plano de controle de palavra-chave é anexado à configuração do grupo de acesso, que reforça o tráfego para a interface de firewall segura. Sem a palavra de plano de controle anexada ao comando, a ACL restringiria o tráfego através do firewall seguro.
- Uma ACL de plano de controle não restringe a entrada SSH, ICMP ou TELNET a uma interface de firewall segura. Eles são processados (permitidos/negados) de acordo com as políticas de configurações de plataforma e têm uma precedência mais alta.
- Uma ACL de plano de controle restringe o tráfego ao próprio firewall seguro, enquanto a Política de controle de acesso para o FTD ou as ACLs normais para o ASA controlam o tráfego através do firewall seguro.
- Diferentemente de uma ACL normal, não há um 'deny' implícito no final da ACL.
- O recurso de pesquisa de grupo de objetos (OGS) não funciona em ACLs de plano de controle, ID de bug Cisco CSCwi58818.
- No momento em que este documento está sendo criado, o recurso Geolocalização do FTD não pode ser usado para restringir o acesso ao FTD.
Configurar
No próximo exemplo, um conjunto de endereços IP de um determinado país tenta forçar a VPN na rede tentando fazer login no FTD RAVPN. A melhor opção para proteger o FTD contra esses ataques de força bruta de VPN é configurar uma ACL de plano de controle para bloquear essas conexões à interface externa do FTD.
Configurações
Configurar uma ACL de plano de controle para FTD gerenciado pelo FMC
Este é o procedimento que você precisa seguir em um FMC para configurar uma ACL de plano de controle para bloquear ataques de força bruta de VPN de entrada para a interface FTD externa:
Etapa 1. Abra a interface gráfica do usuário (GUI) do FMC via HTTPS e faça login com suas credenciais:
Imagem 3. Página de início de sessão do FMC
Etapa 2. Você precisa criar uma ACL estendida. Para isso, navegue até Objetos > Gerenciamento de objetos:
Imagem 4. Gerenciamento de Objetos
Etapa 2.1. No painel esquerdo, navegue até Access List > Extended para criar uma ACL estendida:
Imagem 5. Menu da ACL estendida
Etapa 2.2. Em seguida, selecione Add Extended Access List:
Imagem 6. Adicionar ACL estendida
Etapa 2.3. Digite um nome para a ACL estendida e clique no botão Add para criar uma entrada de controle de acesso (ACE):
Imagem 7. Entradas da ACL estendida
Etapa 2.4. Altere a ação ACE para Block, em seguida, adicione a rede de origem para corresponder ao tráfego que precisa ser negado para o FTD, mantenha a rede de destino como Any (Qualquer) e clique no botão Add (Adicionar) para concluir a entrada ACE.
Neste exemplo, a entrada de ACE configurada bloqueia os ataques de força bruta de VPN provenientes da sub-rede 192.168.1.0/24:
Imagem 8. Redes Negadas
Etapa 2.5. Caso você precise adicionar mais entradas ACE, clique no botão Add novamente e repita a etapa 2.4. Depois disso, clique no botão Save para concluir a configuração da ACL:
Imagem 9. Entradas de ACL estendida concluídas
Etapa 3. Em seguida, você precisa configurar um Objeto Flex-Config para aplicar a ACL do plano de controle à interface FTD externa. Para isso, navegue até o painel esquerdo e selecione a opção FlexConfig > FlexConfig Object.
Imagem 10. Menu Objeto FlexConfig
Etapa 3.1. Clique em Adicionar objeto FlexConfig:
Imagem 11. Adicionar Objeto Flexconfig
Etapa 3.2. Adicione um nome para o objeto FlexConfig e insira um objeto de política de ACL. Para isso, selecione Inserir > Inserir objeto de política > Objeto de ACL estendida:
Imagem 12. Variável de Objeto FlexConfig
Etapa 3.3. Adicione um nome para a variável de objeto ACL e, em seguida, selecione a ACL estendida que foi criada na Etapa 2.3, depois disso, clique no botão Save:
Imagem 13. Atribuição de ACL variável de objeto FlexConfig
Etapa 3.4. Em seguida, configure a ACL do plano de controle como entrada para a interface externa.
Sintaxe da linha de comando:
access-group "variable name starting with $ symbol" in interface "interface-name" control-plane
Isso se traduz no próximo exemplo de comando, que usa a variável ACL criada na Etapa 2.3 VAR-ACL-UNWANTED-COUNTRY:
access-group $VAR-ACL-UNWANTED-COUNTRY in interface outside control-plane
É assim que ele deve ser configurado na janela do objeto FlexConfig. Depois disso, selecione o botão Salvar para concluir o objeto FlexConfig:
Imagem 14. Linha de comando de Objeto Flexconfig completo
Etapa 4. Você precisa aplicar a configuração do Objeto FlexConfig ao FTD, para isso, navegue até Dispositivos > FlexConfig:
Imagem 15. Menu de Política FlexConfig
Etapa 4.1. Em seguida, clique em Nova política se ainda não houver um FlexConfig criado para seu FTD ou edite a política FlexConfig existente:
Imagem 16. Criação da Política FlexConfig
Etapa 4.2. Adicione um nome para a nova política FlexConfig e selecione o FTD ao qual deseja aplicar a ACL de plano de controle criada:
Imagem 17. Atribuição de dispositivo de Política FlexConfig
Etapa 4.3. No painel esquerdo, procure o objeto FlexConfig criado na Etapa 3.2 e, em seguida, adicione-o à política FlexConfig clicando na seta para a direita localizada no meio da janela. Por fim, clique no botão Save:
Imagem 18. Atribuição de objeto de Política FlexConfig
Etapa 5. Continue a implantar a alteração de configuração no FTD, para isso, navegue até Implantar > Implantação avançada:
Imagem 19. Implantação Avançada do FTD
Etapa 5.1. Em seguida, selecione o FTD ao qual deseja aplicar a política FlexConfig. Se tudo estiver correto, clique em Implantar:
Imagem 20. Validação da implantação do FTD
Etapa 5.2. Depois disso, uma janela de confirmação de implantação é exibida, adicione um comentário para rastrear a implantação e continue para Implantar:
Imagem 21. Comentários de Disponibilização do FTD
Etapa 5.3. Uma mensagem de aviso pode ser exibida durante a implantação de alterações do FlexConfig. Clique em Implantar apenas se tiver certeza completa de que a configuração de política está correta:
Imagem 22. Aviso do Flexconfig de Disponibilização do FTD
Etapa 5.4. Confirme se a implantação da política foi bem-sucedida para o FTD:
Imagem 23. Implantação do FTD bem-sucedida
Etapa 6. Se você criar uma nova ACL de plano de controle para o FTD ou se editou uma ACL existente que esteja ativamente em uso, então, é importante destacar que as alterações de configuração feitas não se aplicam a conexões já estabelecidas com o FTD, portanto, você precisa limpar manualmente as tentativas de conexão ativas ao FTD. Para isso, conecte-se ao CLI do FTD e limpe as conexões ativas.
Para limpar a conexão ativa para um endereço IP de host específico:
> clear conn address 192.168.1.10 all
Para limpar as conexões ativas de toda uma rede de sub-rede:
> clear conn address 192.168.1.0 netmask 255.255.255.0 all
Para limpar as conexões ativas para um intervalo de endereços IP:
> clear conn address 192.168.1.1-192.168.1.10 all
[VÍDEO]Configure uma ACL de plano de controle para FTD gerenciado pelo FMC
Configurar uma ACL de Plano de Controle para FTD gerenciado pelo FDM
Este é o procedimento que você precisa seguir em um FDM para configurar uma ACL de plano de controle para bloquear ataques de força bruta de VPN recebidos para a interface FTD externa:
Etapa 1. Abra a GUI do FDM via HTTPS e Efetue login com suas credenciais:
Imagem 24. Página de Login do FDM
Etapa 2. Você precisa criar uma rede de objetos. Para isso, navegue até Objetos:
Imagem 25. Painel principal do FDM
Etapa 2.1. No painel esquerdo, selecione Redes e clique no botão '+' para criar um novo objeto de rede:
Imagem 26. Criação de objetos
Etapa 2.2. Adicione um nome para o objeto de rede, selecione o tipo de rede do objeto, adicione o endereço IP, o endereço de rede ou o intervalo de IPs para corresponder ao tráfego que precisa ser negado para o FTD. Em seguida, clique no botão Ok para concluir a rede do objeto.
- Neste exemplo, a rede de objetos configurada destina-se a bloquear ataques de força bruta de VPN provenientes da sub-rede 192.168.1.0/24:
Imagem 27. Adicionar Objeto de Rede
Etapa 3. Em seguida, você precisa criar uma ACL estendida; para isso, navegue até a guia Device no menu superior:
Imagem 28. Página de definições do dispositivo
Etapa 3.1. Role para baixo e selecione View Configuration no quadrado Advanced Configuration, conforme mostrado na imagem:
Imagem 29. Configuração Avançada do FDM
Etapa 3.2. Em seguida, no painel esquerdo, navegue até Smart CLI > Objects e clique em CREATE SMART CLI OBJECT.
Imagem 30. Objetos Smart CLI
Etapa 3.3. Adicione um nome para a ACL estendida a ser criada, selecione Lista de acesso estendida no menu suspenso Modelo da CLI e configure as ACEs necessárias usando o objeto de rede criado na Etapa 2.2 e clique no botão OK para concluir a ACL:
Imagem 31. Criação da ACL estendida
Etapa 4. Em seguida, você precisa criar um objeto FlexConfig, para isso, navegue até o painel esquerdo e selecione FlexConfig > FlexConfig Objects e clique em CREATE FLEXCONFIG OBJECT:
Imagem 32. Objetos FlexConfig
Etapa 4.1. Adicione um nome para o objeto FlexConfig para criar e configurar a ACL do plano de controle como entrada para a interface externa, como mostrado na imagem.
Sintaxe da linha de comando:
access-group "ACL-name" in interface "interface-name" control-plane
Isso se traduz no próximo exemplo de comando, que usa a ACL estendida criada na Etapa 3.3 ACL-UNWANTED-COUNTRY:
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
É assim que ele pode ser configurado na janela do objeto FlexConfig. Depois disso, selecione o botão OK para concluir o objeto FlexConfig:
Imagem 3. Criação do Objeto FlexConfig
Etapa 5. Continue para criar uma política FlexConfig. Para fazer isso, navegue até Flexconfig > FlexConfig Policy, clique no botão + e selecione o objeto FlexConfig que foi criado na Etapa 4.1:
Imagem 34. Política FlexConfig
Etapa 5.1. Confirme se a visualização do FlexConfig mostra a configuração correta para a ACL do plano de controle criada e clique no botão Save:
Imagem 35. Visualização da Política FlexConfig
Etapa 6. Implante as alterações de configuração no FTD que você gostaria de proteger contra os ataques de força bruta da VPN. Para isso, clique no botão Deployment no menu superior, valide se as alterações de configuração a serem implantadas estão corretas e, finalmente, clique em DEPLOY NOW:
Imagem 36. Implantação Pendente
Etapa 6.1. Validar que a implantação da política foi bem-sucedida:
Imagem 37. Implantação bem-sucedida
Etapa 7. Se você criar uma nova ACL de plano de controle para o FTD ou se editou uma ACL existente que esteja ativamente em uso, então, é importante destacar que as alterações de configuração feitas não se aplicam a conexões já estabelecidas com o FTD, portanto, você precisa limpar manualmente as tentativas de conexão ativas ao FTD. Para isso, conecte-se ao CLI do FTD e limpe as conexões ativas.
Para limpar a conexão ativa para um endereço IP de host específico:
> clear conn address 192.168.1.10 all
Para limpar as conexões ativas de toda uma rede de sub-rede:
> clear conn address 192.168.1.0 netmask 255.255.255.0 all
Para limpar as conexões ativas para um intervalo de endereços IP:
> clear conn address 192.168.1.1-192.168.1.10 all
Configurar uma ACL de plano de controle para ASA usando CLI
Este é o procedimento que você precisa seguir em uma CLI do ASA para configurar uma ACL de plano de controle para bloquear ataques de força bruta de VPN recebidos para a interface externa:
Etapa 1. Faça login no ASA de firewall seguro via CLI e obtenha acesso ao comando configure terminal.
asa# configure terminal
Etapa 2. Use o próximo comando para configurar uma ACL estendida para bloquear um endereço IP de host ou um endereço de rede para o tráfego que precisa ser bloqueado para o ASA.
Neste exemplo, você cria uma nova ACL chamada ACL-UNWANTED-COUNTRY e a entrada de ACE configurada bloqueia os ataques de força bruta de VPN provenientes da sub-rede 192.168.1.0/24:
asa(config)# access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
Etapa 3. Use o próximo comando access-group para configurar a ACL ACL-UNWANTED-COUNTRY como uma ACL de plano de controle para a interface ASA externa:
asa(config)# access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Etapa 4. Se você criar uma nova ACL de plano de controle ou se editou uma ACL existente que esteja ativamente em uso, então, é importante destacar que as alterações de configuração feitas não se aplicam a conexões já estabelecidas com o ASA, portanto, você precisa limpar manualmente as tentativas de conexão ativas com o ASA. Para isso, limpe as conexões ativas.
Para limpar a conexão ativa para um endereço IP de host específico:
asa# clear conn address 192.168.1.10 all
Para limpar as conexões ativas de toda uma rede de sub-rede:
asa# clear conn address 192.168.1.0 netmask 255.255.255.0 all
Para limpar as conexões ativas para um intervalo de endereços IP:
asa# clear conn address 192.168.1.1-192.168.1.10 all
Configuração alternativa para bloquear ataques para firewall seguro usando shun
No caso de uma opção imediata para bloquear ataques para o firewall seguro, você pode usar o comando shun. O comando hunpermite bloquear conexões de um host de ataque. Aqui você tem mais detalhes sobre este comando shun:
- Depois de evitar um endereço IP, todas as conexões futuras do endereço IP de origem serão canceladas e registradas até que a função de bloqueio seja removida manualmente.
- A função de bloqueio do comando de bloqueio é aplicada independentemente de uma conexão com o endereço de host especificado estar ou não ativa no momento.
- Se você especificar o endereço de destino, as portas de origem e de destino e o protocolo, você desconectará a conexão correspondente, bem como colocará um shun em todas as conexões futuras do endereço IP de origem; todas as conexões futuras são evitadas, não apenas aquelas que correspondem a esses parâmetros de conexão específicos.
- Você pode ter apenas um comando uneshuncommand por endereço IP de origem.
- Como o comando hunter é usado para bloquear ataques dinamicamente, ele não é exibido na configuração do dispositivo de defesa contra ameaças.
- Sempre que uma configuração de interface é removida, todos os shuns conectados a essa interface também são removidos.
- Sintaxe do comando Shun:
shun source_ip [ dest_ip source_port dest_port [ protocol]] [ vlan vlan_id]
- Para desativar um shun, use a forma no desse comando:
no shun source_ip [ vlan vlan_id]
Para evitar um endereço IP de host, continue de acordo com este exemplo para o firewall seguro. Neste exemplo, o comando shun é usado para bloquear ataques de força bruta de VPN provenientes do endereço IP de origem 192.168.1.10.
Exemplo de configuração para FTD
Etapa 1. Efetue login no FTD via CLI e aplique o comando shun:
> shun 192.168.1.10
Shun 192.168.1.10 added in context: single_vf
Shun 192.168.1.10 successful
Etapa 2. Você pode usar os comandos show para confirmar os endereços IP shun no FTD e para monitorar as contagens de ocorrências shun por endereço IP:
> show shun shun (outside) 192.168.1.10 0.0.0.0 0 0 0
> show shun statistics diagnostic=OFF, cnt=0 outside=ON, cnt=0 Shun 192.168.1.10 cnt=0, time=(0:00:28)
Exemplo de configuração do ASA
Etapa 1. Faça login no ASA via CLI e aplique o comando shun:
asa# shun 192.168.1.10
Shun 192.168.1.10 added in context: single_vf
Shun 192.168.1.10 successful
Etapa 2. Você pode usar os comandos show para confirmar os endereços IP shun no ASA e monitorar as contagens de ocorrências de shun por endereço IP:
asa# show shun shun (outside) 192.168.1.10 0.0.0.0 0 0 0
asa# show shun statistics outside=ON, cnt=0 inside=OFF, cnt=0 dmz=OFF, cnt=0 outside1=OFF, cnt=0 mgmt=OFF, cnt=0 Shun 192.168.1.10 cnt=0, time=(0:01:39)
Verificar
Para confirmar se a configuração da ACL do plano de controle está estabelecida para o firewall seguro, continue:
Etapa 1. Efetue login no firewall seguro via CLI e execute os próximos comandos para confirmar se a configuração da ACL do plano de controle foi aplicada.
Exemplo de saída para o FTD gerido pelo FMC:
> show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
> show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Exemplo de saída para o FTD gerenciado pelo FDM:
> show running-config object id OBJ-NET-UNWANTED-COUNTRY
object network OBJ-NET-UNWANTED-COUNTRY
subnet 192.168.1.0 255.255.255.0
> show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any4 log default
> show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Exemplo de saída do ASA:
asa# show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
asa# show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Etapa 2. Para confirmar se a ACL do plano de controle está bloqueando o tráfego necessário, use o comando packet-tracer para simular uma conexão TCP 443 de entrada com a interface externa do firewall seguro e, em seguida, use o comando show access-list <acl-name> , a contagem de ocorrências da ACL pode ser incrementada toda vez que uma conexão VPN de força bruta com o firewall seguro for bloqueada pela ACL do plano de controle.
Neste exemplo, o comando packet-tracer simula uma conexão TCP 443 de entrada originada do host 192.168.1.10 e destinada ao endereço IP externo de nosso firewall seguro. A saída do packet-tracer confirma que o tráfego está sendo descartado e a saída do show access-list exibe os incrementos da contagem de ocorrências para nossa ACL de plano de controle no local:
Exemplo de saída para FTD
> packet-tracer input outside tcp 192.168.1.10 1234 10.3.3.251 443 Phase: 1 Type: ACCESS-LIST Subtype: log Result: DROP Elapsed time: 21700 ns Config: Additional Information: Result: input-interface: outside(vrfid:0) input-status: up input-line-status: up Action: drop Time Taken: 21700 ns Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame 0x00005623c7f324e7 flow (NA)/NA
> show access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY; 1 elements; name hash: 0x42732b1f
access-list ACL-UNWANTED-COUNTRY line 1 extended deny ip 192.168.1.0 255.255.255.0 any (hitcnt=1) 0x142f69bf
Exemplo de saída do ASA
asa# packet-tracer input outside tcp 192.168.1.10 1234 10.3.3.5 443 Phase: 1 Type: ACCESS-LIST Subtype: Result: ALLOW Elapsed time: 19688 ns Config: Implicit Rule Additional Information: MAC Access list Phase: 2 Type: ACCESS-LIST Subtype: log Result: DROP Elapsed time: 17833 ns Config: Additional Information: Result: input-interface: outside input-status: up input-line-status: up Action: drop Time Taken: 37521 ns Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame 0x0000556e6808cac8 flow (NA)/NA asa# show access-list ACL-UNWANTED-COUNTRY access-list ACL-UNWANTED-COUNTRY; 1 elements; name hash: 0x42732b1f access-list ACL-UNWANTED-COUNTRY line 1 extended deny ip 192.168.1.0 255.255.255.0 any (hitcnt=1) 0x9b4d26ac
Bugs relacionados
- ENH | Conexões do AnyConnect Client baseadas em localização geográfica: ID de bug da Cisco CSCvs65322
- DOC: A Pesquisa de Grupo de Objetos ASA/FTD não oferece suporte a ACLs de Plano de Controle: ID de bug da Cisco CSCwi58818
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
2.0 |
10-Apr-2025
|
Formatação, texto alternativo, cabeçalhos fixos, idioma DEI |
1.0 |
21-Dec-2023
|
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)