ASA:将网络流量从ASA发送至AIP SSM配置实例
|  | | |
简介
预备知识
要求
所用的组件
惯例
配置
网络图
初始配置
用AIP-SSM检查所有流量
用AIP-SSM检查特殊流量
验证
故障排除
故障切换问题
NetPro讨论论坛——专题讨论
相关信息
简介
本文介绍的是将经过Cisco ASA 5500 系列自适应安全设备(ASA)的网络流量发送至高级检查和预防安全服务模块(AIP-SSM)(IPS)模块的配置实例。配置实例利用命令行界面(CLI)提供。 注意:经过ASA的网络流量包括访问互联网的内部用户,以及非军事区(DMZ)和内部网络中访问资源受ASA保护的互联网用户。发送至ASA以及从ASA发送的网络流量将不送至IPS模块执行检查。不发送至IPS模块的流量包括呼叫(ICMP)ASA接口或与ASA建立Telnet连接的流量。
预备知识 要求 本文假定读者基本了解怎样配置 Cisco ASA 7.x 和 IPS 5.x。 - ASA 7.x的必要配置组件包括接口、访问列表、网络地址转换(NAT)和路由。
- AIP-SSM(IPS 5.x)的必要配置组件包括网络设置、许可的主机、接口配置、签名定义和事件操作规则。
所用的组件 本文中的内容基于以下软件和硬件版本: - ASA 5510,软件版本7.2.1
- AIP-SSM-10,IPS 软件版本5.1.1
注意:这些配置实例适用于安装了OS 7.x 的所有 Cisco ASA 5500系列防火墙,以及安装了IPS 5.x的AIP-SSM模块。 本文内容是根据具体实验室环境中的设备编写的。本文使用的所有设备都从原始(默认)的配置开始设置。如果您的网络已经开通,执行任何命令之前一定要先明确该命令可能造成的影响。 惯例 如需详细了解文档惯例,请参考“思科技术惯例”。 配置 在这一节中,我们将学习有关的配置特性。 注意:如需进一步了解本节使用的各种命令,可以使用 Command Lookup Tool(只对注册客户)。 该配置中使用的IP地址方案不能在互联网上合法路由,因为它们是在实验室环境中使用的RFC 1918地址。
网络图 本文使用以下网络设置: 172.16.1.200 外部网络 172.16.1.0/24DMZ网络 192.168.1.0/24 配有AIP-SSM-10的ASA 5510 内部网络10.2.2.0/24 初始配置 文本使用以下配置。ASA和AIP-SSM 都从默认配置开始,但为了测试,对其作了某些修改。其它信息请参考配置。
ASA 5510 ciscoasa#show running−config : Saved : ASA Version 7.2(1) ! hostname ciscoasa enable password WwXYvtKrnjXqGbu1 encrypted names ! !−−− IP addressing is added to the default configuration. interface Ethernet0/0 nameif outside security−level 0 ip address 172.16.1.254 255.255.255.0 ! interface Ethernet0/1 nameif inside security−level 100 ip address 10.2.2.254 255.255.255.0 ! interface Ethernet0/2 nameif dmz security−level 50 ip address 192.168.1.254 255.255.255.0 ! interface Management0/0 nameif management security−level 0 ip address 172.22.1.160 255.255.255.0 management−only ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive !−−− Access lists are added in order to allow test !−−− traffic (ICMP and Telnet). access−list acl_outside_in extended permit icmp any host 172.16.1.50 access−list acl_inside_in extended permit ip 10.2.2.0 255.255.255.0 any access−list acl_dmz_in extended permit icmp 192.168.1.0 255.255.255.0 any pager lines 24 !−−− Logging is enabled. logging enable logging buffered debugging mtu outside 1500 mtu inside 1500 mtu dmz 1500 mtu management 1500
asdm image disk0:/asdm521.bin no asdm history enable arp timeout 14400 !−−− Translation rules are added. global (outside) 1 172.16.1.100 global (dmz) 1 192.168.1.100 nat (inside) 1 10.2.2.0 255.255.255.0 static (dmz,outside) 172.16.1.50 192.168.1.50 netmask 255.255.255.255 static (inside,dmz) 10.2.2.200 10.2.2.200 netmask 255.255.255.255 !−−− Access lists are applied to the interfaces. access−group acl_outside_in in interface outside access−group acl_inside_in in interface inside access−group acl_dmz_in in interface dmz timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp−pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip−invite 0:03:00 sip−disconnect 0:02:00 timeout uauth 0:05:00 absolute no snmp−server location no snmp−server contact snmp−server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ! class−map inspection_default match default−inspection−traffic ! ! policy−map type inspect dns preset_dns_map parameters message−length maximum 512 policy−map global_policy !−−− Out−of−the−box default configuration includes !−−− policy−map global_policy. class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service−policy global_policy global !−−− Out−of−the−box default configuration includes !−−− the service−policy global_policy applied globally. prompt hostname context . : end
AIP SSM (IPS) onionlabaip#show configuration ! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−− ! Version 5.1(1) ! Current configuration last modified Wed Aug 23 09:26:03 2006 ! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−− service interface exit ! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−− service analysis−engine virtual−sensor vs0 physical−interface GigabitEthernet0/1 exit exit ! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−− service authentication exit ! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−− service event−action−rules rules0 !−−− The variables are defined. variables DMZ address 192.168.1.0−192.168.1.255 variables IN address 10.2.2.0−10.2.2.255 exit ! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−− service host network−settings !−−− The management IP address is set. host−ip 172.22.1.169/24,172.22.1.1 host−name onionlabaip telnet−option disabled access−list x.x.0.0/16 !−−− The access list IP address is removed from the configuration !−−− because the specific IP address is not relevant to this document. exit time−zone−settings offset −360 standard−time−zone−name GMT−06:00 exit summertime−option recurring offset 60 summertime−zone−name UTC start−summertime month april week−of−month first day−of−week sunday time−of−day 02:00:00 exit end−summertime month october week−of−month last day−of−week sunday time−of−day 02:00:00 exit exit
exit ! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−− service logger exit ! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−− service network−access exit ! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−− service notification exit ! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−− service signature−definition sig0 !−−− The signature is modified from the default setting for testing purposes. signatures 2000 0 alert−severity high engine atomic−ip event−action produce−alert|produce−verbose−alert exit alert−frequency summary−mode fire−all summary−key AxBx exit exit status enabled true exit exit !−−− The signature is modified from the default setting for testing purposes. signatures 2004 0 alert−severity high engine atomic−ip event−action produce−alert|produce−verbose−alert exit alert−frequency summary−mode fire−all summary−key AxBx exit exit status enabled true exit exit !−−− The custom signature is added for testing purposes. signatures 60000 0 alert−severity high sig−fidelity−rating 75 sig−description sig−name Telnet Command Authorization Failure sig−string−info Command authorization failed sig−comment signature triggers string command authorization failed exit engine atomic−ip specify−l4−protocol yes l4−protocol tcp no tcp−flags no tcp−mask exit specify−payload−inspection yes regex−string Command authorization failed exit exit exit exit exit ! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−− service ssh−known−hosts exit ! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−− service trusted−certificates exit ! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−− service web−server enable−tls true exit onionlabaip# 用AIP-SSM检查所有流量 网络管理员和公司高层管理人员经常强调,一切都应该纳入监控范围。这种配置就能够满足监控一切的要求。除监控一切外,对于ASA和AIP-SSM的交互方式,还应该确定两点: - AIP-SSM 模块是以混合模式还是内部模式操作或部署?
- 混合模式指在ASA将原始数据发送到目的地的同时,还将一份数据发送至AIP-SSM。在混合模式中,AIP-SSM被视为入侵监测系统(IDS)。在这种模式下,触发器包(引起警报的包)仍然可以到达目的地。尽管系统可能会设置路障,阻止其它包到达目的地,但触发包不会受到阻碍。
- 内部模式指ASA将数据发送至AIP-SSM执行检查。如果数据通过了AIP-SSM检查,则数据返回ASA,继续处理并发送到目的地。在内部模式中,AIP-SSM 可视为入侵防御系统(IPS)。与混合模式不同,内部模式(IPS)将阻止触发包到达目的地。
- 如果 ASA 不能与AIP-SSM通信,ASA应怎样处理需要检查的流量呢?当ASA无法与AIP-SSM 通信时,可以参考AIP-SSM重加载或模块发生故障需要更换的情况。在这些情况下,ASA 可能无法打开或无法关闭。
- 如果是无法打开,即使AIP-SSM无法到达,ASA 也能够将需要检查的流量发送至最终目的地。
- 如果是无法关闭,当ASA不能与AIP-SSM通信时,需要检查的流量将受到阻碍。
注意:需要检查的流量利用访问列表确定。在这个例子的输出中,访问列表允许所有IP流量从源到达目的地,因此,需要检查的流量可以是通过ASA的一切流量。
ciscoasa(config)#access−list traffic_for_ips permit ip any any ciscoasa(config)#class−map ips_class_map ciscoasa(config−cmap)#match access−list traffic_for_ips !−−− The match any !−−− command can be used in place of the match access−list [access−list name] !−−− command. In this example, access−list traffic_for_ips permits
!−−− all traffic. The match any command also !−−− permits all traffic. You can use either configuration. !−−− When you define an access−list, it can ease troubleshooting. ciscoasa(config)#policy−map global_policy !−−− Note that policy−map global_policy is a part of the !−−− default configuration. In addition, policy−map global_policy is applied !−−− globally using the service−policy command. ciscoasa(config−pmap)#class ips_class_map ciscoasa(config−pmap−c)#ips inline fail−open !−−− Two decisions need to be made. !−−− First, does the AIP−SSM function !−−− in inline or promiscuous mode? !−−− Second, does the ASA fail−open or fail−closed?
用AIP-SSM检查特殊流量 如果网络管理员想让AIP-SSM监控一部分流量,需要修改ASA的两个独立变量。首先,应该在访问列表中包含或排除必要流量。除修改访问列表外,还应该为接口或全局应用服务策略,以便修改AIP-SSM检查的流量。 在前面介绍的网络图中,网络管理员希望AIP-SSM检查外部网络与DMZ网络之间的所有流量。 ciscoasa#configure terminal ciscoasa(config)#access−list traffic_for_ips deny ip 10.2.2.0 255.255.255.0 192.168.1.0 255.255.255.0 ciscoasa(config)#access−list traffic_for_ips permit ip any 192.168.1.0 255.255.255.0 ciscoasa(config)#access−list traffic_for_ips deny ip 192.168.1.0 255.255.255.0 10.2.2.0 255.255.255.0 ciscoasa(config)#access−list traffic_for_ips permit ip 192.168.1.0 255.255.255.0 any ciscoasa(config)#class−map ips_class_map ciscoasa(config−cmap)#match access−list traffic_for_ips ciscoasa(config)#policy−map interface_policy ciscoasa(config−pmap)#class ips_class_map ciscoasa(config−pmap−c)#ips inline fail−open ciscoasa(config)#service−policy interface_policy interface dmz !−−− The access−list denies traffic from the inside network to the DMZ network !−−− and traffic to the inside network from the DMZ network. !−−− In addition, the service−policy command is applied to the DMZ interface.
接下来,网络管理员希望AIP-SSM 监控从内部网络发送到外部网络的流量,而不监控从内部网络到DMZ网络的流量。 注意:这一节内容需要预先了解状态化、TCP、UDP、ICMP、连接和无连接通信。
ciscoasa#configure terminal ciscoasa(config)#access−list traffic_for_ips deny ip 10.2.2.0 255.255.255.0 192.168.1.0 255.255.255.0 ciscoasa(config)#access−list traffic_for_ips permit ip 10.2.2.0 255.255.255.0 any ciscoasa(config)#class−map ips_class_map ciscoasa(config−cmap)#match access−list traffic_for_ips ciscoasa(config)#policy−map interface_policy ciscoasa(config−pmap)#class ips_class_map ciscoasa(config−pmap−c)#ips inline fail−open ciscoasa(config)#service−policy interface_policy interface inside 访问列表拒绝了从内部网络发送至DMZ网络的流量。访问列表中的第二行允许将内部网络产生、发往外部网络的流量发送至AIP-SSM。此时,ASA的状态化开始起作用。例如,内部用户建立了一个与外部网络上的设备(路由器)的TCP连接(Telnet),实现了与路由器的连接并登录成功,然后发出了不合法的路由器命令。此时,路由器将答复Command authorization failed信息。包含字串Command authorization failed 的数据包的源位置为外部路由器,目标位置为内部用户。源位置(外部)和目标位置(内部)无法与前面定义的访问列表匹配。因此,ASA 将保持状态化连接,将返回的数据包(外部到内部)送至AIP-SSM检查。定制签名60000 0(在AIP-SSM上配置)报警。 注意:默认状态下,ASA不保留ICMP流量的状态。在前面的配置样例中,内部用户呼叫(ICMP 回声请求)外部路由器。路由器应以 ICMP 回声答复。AIP-SSM 检查回声请求包而不是回声答复包。如果 ASA 上支持ICMP检查,则AIP-SSM将同时检查回声请求包和回声答复包。 验证 验证警报事件是否记录在AIP-SSM中。 以管理员用户帐户登录到AIP−SSM,show events alert 命令将产生以下输出。 注意:输出因签名设置、发送至AIP-SSM的流量类型和网络负载的不同而不同。 Output Interpreter Tool (只对注册客户)(OIT)支持某些 show 命令,使用OIT 可以查看对 show 命令输出的分析。 show events alert evIdsAlert: eventId=1156198930427770356 severity=high vendor=Cisco originator: hostId: onionlabaip appName: sensorApp appInstanceId: 345 time: 2006/08/24 18:52:57 2006/08/24 13:52:57 UTC signature: description=Telnet Command Authorization Failure id=60000 version=custom subsigId: 0 sigDetails: Command authorization failed interfaceGroup: vlan: 0 participants: attacker: addr: locality=OUT 172.16.1.200 port: 23 target: addr: locality=IN 10.2.2.200 port: 33189 riskRatingValue: 75 interface: ge0_1 protocol: tcp evIdsAlert: eventId=1156205750427770078 severity=high vendor=Cisco originator:
hostId: onionlabaip appName: sensorApp appInstanceId: 345 time: 2006/08/24 19:46:08 2006/08/24 14:46:08 UTC signature: description=ICMP Echo Request id=2004 version=S1 subsigId: 0 interfaceGroup: vlan: 0 participants: attacker: addr: locality=OUT 172.16.1.200 target: addr: locality=DMZ 192.168.1.50 triggerPacket: 000000 00 16 C7 9F 74 8C 00 15 2B 95 F9 5E 08 00 45 00 ....t...+..^..E. 000010 00 3C 2A 57 00 00 FF 01 21 B7 AC 10 01 C8 C0 A8 .<*W....!....... 000020 01 32 08 00 F5 DA 11 24 00 00 00 01 02 03 04 05 .2.....$........ 000030 06 07 08 09 0A 0B 0C 0D 0E 0F 10 11 12 13 14 15 ................ 000040 16 17 18 19 1A 1B 1C 1D 1E 1F .......... riskRatingValue: 100 interface: ge0_1 protocol: icmp evIdsAlert: eventId=1156205750427770079 severity=high vendor=Cisco originator: hostId: onionlabaip appName: sensorApp appInstanceId: 345 time: 2006/08/24 19:46:08 2006/08/24 14:46:08 UTC signature: description=ICMP Echo Reply id=2000 version=S1 subsigId: 0 interfaceGroup: vlan: 0 participants: attacker: addr: locality=DMZ 192.168.1.50 target: addr: locality=OUT 172.16.1.200 triggerPacket: 000000 00 16 C7 9F 74 8E 00 03 E3 02 6A 21 08 00 45 00 ....t.....j!..E. 000010 00 3C 2A 57 00 00 FF 01 36 4F AC 10 01 32 AC 10 .<*W....6O...2.. 000020 01 C8 00 00 FD DA 11 24 00 00 00 01 02 03 04 05 .......$........ 000030 06 07 08 09 0A 0B 0C 0D 0E 0F 10 11 12 13 14 15 ................ 000040 16 17 18 19 1A 1B 1C 1D 1E 1F .......... riskRatingValue: 100 interface: ge0_1 protocol: icmp 在配置样例中,有几种 IPS 签名都会触发测试流量警报。签名 2000 和 2004 被修改。定制签名 60000 被添加。在实验室环境或几乎没有数据通过 ASA 的网络中,必须修改签名才能触发事件。如果 ASA 和AIP-SSM 部署在有大量流量通过的环境中,默认的签名设置可能会产生事件。
故障排除 本节将介绍配置的故障排除方法。 Output Interpreter Tool (只对注册客户)(OIT)支持某些 show 命令,使用 OIT 可以查看对 show 命令输出的分析。 从ASA发出 show 命令。 - show module。显示 ASA 上的SSM信息和系统信息。
ciscoasa#show run !−−− Output is suppressed. access−list traffic_for_ips extended permit ip any any ... class−map ips_class_map match access−list traffic_for_ips ... policy−map global_policy ... class ips_class_map ips inline fail−open ... service−policy global_policy global !−−− Each of these lines are needed !−−− in order to send data to the AIP−SSM.
- show access−list。显示访问列表计数器。
ciscoasa#show access−list traffic_for_ips access−list traffic_for_ips; 1 elements access−list traffic_for_ips line 1 extended permit ip any any (hitcnt=2) 0x9bea7286 !−−− Confirms the access−list displays a hit count greater than zero. 在安装和使用AIP−SSM之前,是否希望网络流量经过ASA?如果不希望,应对网络和ASA 访问策略规则执行故障排除。 故障切换问题 - 如果故障切换配置中有两台ASA,而且各配有一个AIP-SSM,则必须人工复制 AIP-SSM的配置。故障切换机制只复制ASA的配置,而不复制 AIP-SSM的配置。
- 如果状态化故障切换是在ASA 故障切换对上配置的,AIP-SSM 将不参与状态化故障切换。
NetPro讨论论坛——专题讨论 网络专家连接是一个论坛,在此论坛上,网络专家可以共同讨论问题,提出建议,并共享网络解决方案、产品和技术信息。以下链接是该项技术的一些最新讨论结果。 NetPro讨论论坛——安全专题讨论 安全:入侵检测[系统] 安全:AAA 安全:概要 安全;防火墙 相关信息 - 思科安全设备命令参考,7.2版本
- 思科安全设备系统日志消息,7.2版本
- 思科入侵防御系统命令参考,5.1版本
- 技术支持与文档——思科系统公司
| 
IP卡
狗仔卡
发表于 2007-5-13 10:32:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡