博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 1837|回复: 0

ASA:将网络流量从ASA发送至AIP SSM配置实例

[复制链接]
发表于 2007-9-4 06:47:59 | 显示全部楼层 |阅读模式
ASA:将网络流量从ASA发送至AIP SSM配置实例

简介
预备知识
要求
所用的组件
惯例
配置
网络图
初始配置
用AIP-SSM检查所有流量
用AIP-SSM检查特殊流量
验证
故障排除
故障切换问题
NetPro讨论论坛——专题讨论
相关信息
简介
本文介绍的是将经过Cisco ASA 5500 系列自适应安全设备(ASA)的网络流量发送至高级检查和预防安全服务模块(AIP-SSM)(IPS)模块的配置实例。配置实例利用命令行界面(CLI)提供。
注意:经过ASA的网络流量包括访问互联网的内部用户,以及非军事区(DMZ)和内部网络中访问资源受ASA保护的互联网用户。发送至ASA以及从ASA发送的网络流量将不送至IPS模块执行检查。不发送至IPS模块的流量包括呼叫(ICMP)ASA接口或与ASA建立Telnet连接的流量。

预备知识
要求
本文假定读者基本了解怎样配置 Cisco ASA 7.x 和 IPS 5.x。
  • ASA 7.x的必要配置组件包括接口、访问列表、网络地址转换(NAT)和路由。
  • AIP-SSM(IPS 5.x)的必要配置组件包括网络设置、许可的主机、接口配置、签名定义和事件操作规则。

所用的组件
本文中的内容基于以下软件和硬件版本:
  • ASA 5510,软件版本7.2.1
  • AIP-SSM-10,IPS 软件版本5.1.1
注意:这些配置实例适用于安装了OS 7.x 的所有 Cisco ASA 5500系列防火墙,以及安装了IPS 5.x的AIP-SSM模块。
本文内容是根据具体实验室环境中的设备编写的。本文使用的所有设备都从原始(默认)的配置开始设置。如果您的网络已经开通,执行任何命令之前一定要先明确该命令可能造成的影响。
惯例
如需详细了解文档惯例,请参考“思科技术惯例”。
配置
在这一节中,我们将学习有关的配置特性。
注意:如需进一步了解本节使用的各种命令,可以使用 Command Lookup Tool(只对注册客户)。
该配置中使用的IP地址方案不能在互联网上合法路由,因为它们是在实验室环境中使用的RFC 1918地址。

网络图
本文使用以下网络设置:
172.16.1.200
外部网络 172.16.1.0/24DMZ网络 192.168.1.0/24
配有AIP-SSM-10的ASA 5510
内部网络10.2.2.0/24
初始配置
文本使用以下配置。ASA和AIP-SSM 都从默认配置开始,但为了测试,对其作了某些修改。其它信息请参考配置。

  • ASA 5510
  • AIP-SSM(IPS)

ASA 5510
ciscoasa#show running−config
: Saved
:
ASA Version 7.2(1)
!
hostname ciscoasa
enable password WwXYvtKrnjXqGbu1 encrypted
names
!
!−−− IP addressing is added to the default configuration.
interface Ethernet0/0
nameif outside
security−level 0
ip address 172.16.1.254 255.255.255.0
!
interface Ethernet0/1
nameif inside
security−level 100
ip address 10.2.2.254 255.255.255.0
!
interface Ethernet0/2
nameif dmz
security−level 50
ip address 192.168.1.254 255.255.255.0
!
interface Management0/0
nameif management
security−level 0
ip address 172.22.1.160 255.255.255.0
management−only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
!−−− Access lists are added in order to allow test
!−−− traffic (ICMP and Telnet).
access−list acl_outside_in extended permit icmp any host 172.16.1.50
access−list acl_inside_in extended permit ip 10.2.2.0 255.255.255.0 any
access−list acl_dmz_in extended permit icmp 192.168.1.0 255.255.255.0 any
pager lines 24
!−−− Logging is enabled.
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu management 1500

asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
!−−− Translation rules are added.
global (outside) 1 172.16.1.100
global (dmz) 1 192.168.1.100
nat (inside) 1 10.2.2.0 255.255.255.0
static (dmz,outside) 172.16.1.50 192.168.1.50 netmask 255.255.255.255
static (inside,dmz) 10.2.2.200 10.2.2.200 netmask 255.255.255.255
!−−− Access lists are applied to the interfaces.
access−group acl_outside_in in interface outside
access−group acl_inside_in in interface inside
access−group acl_dmz_in in interface dmz
timeout xlate 3:00:00
timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp−pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip−invite 0:03:00 sip−disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp−server location
no snmp−server contact
snmp−server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class−map inspection_default
match default−inspection−traffic
!
!
policy−map type inspect dns preset_dns_map
parameters
message−length maximum 512
policy−map global_policy
!−−− Out−of−the−box default configuration includes
!−−− policy−map global_policy.
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service−policy global_policy global
!−−− Out−of−the−box default configuration includes
!−−− the service−policy global_policy applied globally.
prompt hostname context
.
: end
AIP SSM (IPS)
onionlabaip#show configuration
! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
! Version 5.1(1)
! Current configuration last modified Wed Aug 23 09:26:03 2006
! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
service interface
exit
! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
service analysis−engine
virtual−sensor vs0
physical−interface GigabitEthernet0/1
exit
exit
! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
service authentication
exit
! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
service event−action−rules rules0
!−−− The variables are defined.
variables DMZ address 192.168.1.0−192.168.1.255
variables IN address 10.2.2.0−10.2.2.255
exit
! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
service host
network−settings
!−−− The management IP address is set.
host−ip 172.22.1.169/24,172.22.1.1
host−name onionlabaip
telnet−option disabled
access−list x.x.0.0/16
!−−− The access list IP address is removed from the configuration
!−−− because the specific IP address is not relevant to this document.
exit
time−zone−settings
offset −360
standard−time−zone−name GMT−06:00
exit
summertime−option recurring
offset 60
summertime−zone−name UTC
start−summertime
month april
week−of−month first
day−of−week sunday
time−of−day 02:00:00
exit
end−summertime
month october
week−of−month last
day−of−week sunday
time−of−day 02:00:00
exit
exit

exit
! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
service logger
exit
! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
service network−access
exit
! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
service notification
exit
! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
service signature−definition sig0
!−−− The signature is modified from the default setting for testing purposes.
signatures 2000 0
alert−severity high
engine atomic−ip
event−action produce−alert|produce−verbose−alert
exit
alert−frequency
summary−mode fire−all
summary−key AxBx
exit
exit
status
enabled true
exit
exit
!−−− The signature is modified from the default setting for testing purposes.
signatures 2004 0
alert−severity high
engine atomic−ip
event−action produce−alert|produce−verbose−alert
exit
alert−frequency
summary−mode fire−all
summary−key AxBx
exit
exit
status
enabled true
exit
exit
!−−− The custom signature is added for testing purposes.
signatures 60000 0
alert−severity high
sig−fidelity−rating 75
sig−description
sig−name Telnet Command Authorization Failure
sig−string−info Command authorization failed
sig−comment signature triggers string command authorization failed
exit
engine atomic−ip
specify−l4−protocol yes
l4−protocol tcp
no tcp−flags
no tcp−mask
exit
specify−payload−inspection yes
regex−string Command authorization failed
exit
exit
exit
exit
exit
! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
service ssh−known−hosts
exit
! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
service trusted−certificates
exit
! −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
service web−server
enable−tls true
exit
onionlabaip#
AIP-SSM检查所有流量
网络管理员和公司高层管理人员经常强调,一切都应该纳入监控范围。这种配置就能够满足监控一切的要求。除监控一切外,对于ASA和AIP-SSM的交互方式,还应该确定两点:
  • AIP-SSM 模块是以混合模式还是内部模式操作或部署?
    • 混合模式指在ASA将原始数据发送到目的地的同时,还将一份数据发送至AIP-SSM。在混合模式中,AIP-SSM被视为入侵监测系统(IDS)。在这种模式下,触发器包(引起警报的包)仍然可以到达目的地。尽管系统可能会设置路障,阻止其它包到达目的地,但触发包不会受到阻碍。
    • 内部模式指ASA将数据发送至AIP-SSM执行检查。如果数据通过了AIP-SSM检查,则数据返回ASA,继续处理并发送到目的地。在内部模式中,AIP-SSM 可视为入侵防御系统(IPS)。与混合模式不同,内部模式(IPS)将阻止触发包到达目的地。
  • 如果 ASA 不能与AIP-SSM通信,ASA应怎样处理需要检查的流量呢?当ASA无法与AIP-SSM 通信时,可以参考AIP-SSM重加载或模块发生故障需要更换的情况。在这些情况下,ASA 可能无法打开或无法关闭。
    • 如果是无法打开,即使AIP-SSM无法到达,ASA 也能够将需要检查的流量发送至最终目的地。
    • 如果是无法关闭,当ASA不能与AIP-SSM通信时,需要检查的流量将受到阻碍。
注意:需要检查的流量利用访问列表确定。在这个例子的输出中,访问列表允许所有IP流量从源到达目的地,因此,需要检查的流量可以是通过ASA的一切流量。

ciscoasa(config)#access−list traffic_for_ips permit ip any any
ciscoasa(config)#class−map ips_class_map
ciscoasa(config−cmap)#match access−list traffic_for_ips
!−−− The match any
!−−− command can be used in place of the match access−list [access−list name]
!−−− command. In this example, access−list traffic_for_ips permits

!−−− all traffic. The match any command also
!−−− permits all traffic. You can use either configuration.
!−−− When you define an access−list, it can ease troubleshooting.
ciscoasa(config)#policy−map global_policy
!−−− Note that policy−map global_policy is a part of the
!−−− default configuration. In addition, policy−map global_policy is applied
!−−− globally using the service−policy command.
ciscoasa(config−pmap)#class ips_class_map
ciscoasa(config−pmap−c)#ips inline fail−open
!−−− Two decisions need to be made.
!−−− First, does the AIP−SSM function
!−−− in inline or promiscuous mode?
!−−− Second, does the ASA fail−open or fail−closed?

AIP-SSM检查特殊流量
如果网络管理员想让AIP-SSM监控一部分流量,需要修改ASA的两个独立变量。首先,应该在访问列表中包含或排除必要流量。除修改访问列表外,还应该为接口或全局应用服务策略,以便修改AIP-SSM检查的流量。
在前面介绍的网络图中,网络管理员希望AIP-SSM检查外部网络与DMZ网络之间的所有流量。
ciscoasa#configure terminal
ciscoasa(config)#access−list traffic_for_ips deny ip 10.2.2.0 255.255.255.0 192.168.1.0 255.255.255.0
ciscoasa(config)#access−list traffic_for_ips permit ip any 192.168.1.0 255.255.255.0
ciscoasa(config)#access−list traffic_for_ips deny ip 192.168.1.0 255.255.255.0 10.2.2.0 255.255.255.0
ciscoasa(config)#access−list traffic_for_ips permit ip 192.168.1.0 255.255.255.0 any
ciscoasa(config)#class−map ips_class_map
ciscoasa(config−cmap)#match access−list traffic_for_ips
ciscoasa(config)#policy−map interface_policy
ciscoasa(config−pmap)#class ips_class_map
ciscoasa(config−pmap−c)#ips inline fail−open
ciscoasa(config)#service−policy interface_policy interface dmz
!−−− The access−list denies traffic from the inside network to the DMZ network
!−−− and traffic to the inside network from the DMZ network.
!−−− In addition, the service−policy command is applied to the DMZ interface.

接下来,网络管理员希望AIP-SSM 监控从内部网络发送到外部网络的流量,而不监控从内部网络到DMZ网络的流量。
注意:这一节内容需要预先了解状态化、TCP、UDP、ICMP、连接和无连接通信。

ciscoasa#configure terminal
ciscoasa(config)#access−list traffic_for_ips deny ip 10.2.2.0 255.255.255.0 192.168.1.0 255.255.255.0
ciscoasa(config)#access−list traffic_for_ips permit ip 10.2.2.0 255.255.255.0 any
ciscoasa(config)#class−map ips_class_map
ciscoasa(config−cmap)#match access−list traffic_for_ips
ciscoasa(config)#policy−map interface_policy
ciscoasa(config−pmap)#class ips_class_map
ciscoasa(config−pmap−c)#ips inline fail−open
ciscoasa(config)#service−policy interface_policy interface inside
访问列表拒绝了从内部网络发送至DMZ网络的流量。访问列表中的第二行允许将内部网络产生、发往外部网络的流量发送至AIP-SSM。此时,ASA的状态化开始起作用。例如,内部用户建立了一个与外部网络上的设备(路由器)的TCP连接(Telnet),实现了与路由器的连接并登录成功,然后发出了不合法的路由器命令。此时,路由器将答复Command authorization failed信息。包含字串Command authorization failed 的数据包的源位置为外部路由器,目标位置为内部用户。源位置(外部)和目标位置(内部)无法与前面定义的访问列表匹配。因此,ASA 将保持状态化连接,将返回的数据包(外部到内部)送至AIP-SSM检查。定制签名60000 0(在AIP-SSM上配置)报警。
注意:默认状态下,ASA不保留ICMP流量的状态。在前面的配置样例中,内部用户呼叫(ICMP 回声请求)外部路由器。路由器应以 ICMP 回声答复。AIP-SSM 检查回声请求包而不是回声答复包。如果 ASA 上支持ICMP检查,则AIP-SSM将同时检查回声请求包和回声答复包。
验证
验证警报事件是否记录在AIP-SSM中。
以管理员用户帐户登录到AIP−SSM,show events alert 命令将产生以下输出。
注意:输出因签名设置、发送至AIP-SSM的流量类型和网络负载的不同而不同。
Output Interpreter Tool (只对注册客户)(OIT)支持某些 show 命令,使用OIT 可以查看对 show 命令输出的分析。
show events alert
evIdsAlert: eventId=1156198930427770356 severity=high vendor=Cisco
originator:
hostId: onionlabaip
appName: sensorApp
appInstanceId: 345
time: 2006/08/24 18:52:57 2006/08/24 13:52:57 UTC
signature: description=Telnet Command Authorization Failure id=60000 version=custom
subsigId: 0
sigDetails: Command authorization failed
interfaceGroup:
vlan: 0
participants:
attacker:
addr: locality=OUT 172.16.1.200
port: 23
target:
addr: locality=IN 10.2.2.200
port: 33189
riskRatingValue: 75
interface: ge0_1
protocol: tcp
evIdsAlert: eventId=1156205750427770078 severity=high vendor=Cisco
originator:

hostId: onionlabaip
appName: sensorApp
appInstanceId: 345
time: 2006/08/24 19:46:08 2006/08/24 14:46:08 UTC
signature: description=ICMP Echo Request id=2004 version=S1
subsigId: 0
interfaceGroup:
vlan: 0
participants:
attacker:
addr: locality=OUT 172.16.1.200
target:
addr: locality=DMZ 192.168.1.50
triggerPacket:
000000 00 16 C7 9F 74 8C 00 15 2B 95 F9 5E 08 00 45 00 ....t...+..^..E.
000010 00 3C 2A 57 00 00 FF 01 21 B7 AC 10 01 C8 C0 A8 .<*W....!.......
000020 01 32 08 00 F5 DA 11 24 00 00 00 01 02 03 04 05 .2.....$........
000030 06 07 08 09 0A 0B 0C 0D 0E 0F 10 11 12 13 14 15 ................
000040 16 17 18 19 1A 1B 1C 1D 1E 1F ..........
riskRatingValue: 100
interface: ge0_1
protocol: icmp
evIdsAlert: eventId=1156205750427770079 severity=high vendor=Cisco
originator:
hostId: onionlabaip
appName: sensorApp
appInstanceId: 345
time: 2006/08/24 19:46:08 2006/08/24 14:46:08 UTC
signature: description=ICMP Echo Reply id=2000 version=S1
subsigId: 0
interfaceGroup:
vlan: 0
participants:
attacker:
addr: locality=DMZ 192.168.1.50
target:
addr: locality=OUT 172.16.1.200
triggerPacket:
000000 00 16 C7 9F 74 8E 00 03 E3 02 6A 21 08 00 45 00 ....t.....j!..E.
000010 00 3C 2A 57 00 00 FF 01 36 4F AC 10 01 32 AC 10 .<*W....6O...2..
000020 01 C8 00 00 FD DA 11 24 00 00 00 01 02 03 04 05 .......$........
000030 06 07 08 09 0A 0B 0C 0D 0E 0F 10 11 12 13 14 15 ................
000040 16 17 18 19 1A 1B 1C 1D 1E 1F ..........
riskRatingValue: 100
interface: ge0_1
protocol: icmp
在配置样例中,有几种 IPS 签名都会触发测试流量警报。签名 2000 和 2004 被修改。定制签名 60000 被添加。在实验室环境或几乎没有数据通过 ASA 的网络中,必须修改签名才能触发事件。如果 ASA 和AIP-SSM 部署在有大量流量通过的环境中,默认的签名设置可能会产生事件。

故障排除
本节将介绍配置的故障排除方法。
Output Interpreter Tool (只对注册客户)(OIT)支持某些 show 命令,使用 OIT 可以查看对 show 命令输出的分析。
从ASA发出 show 命令。
  • show module显示 ASA 上的SSM信息和系统信息。
  • show run
ciscoasa#show run
!&#8722;&#8722;&#8722; Output is suppressed.
access&#8722;list traffic_for_ips extended permit ip any any
...
class&#8722;map ips_class_map
match access&#8722;list traffic_for_ips
...
policy&#8722;map global_policy
...
class ips_class_map
ips inline fail&#8722;open
...
service&#8722;policy global_policy global
!&#8722;&#8722;&#8722; Each of these lines are needed
!&#8722;&#8722;&#8722; in order to send data to the AIP&#8722;SSM.

  • show access&#8722;list。显示访问列表计数器。
ciscoasa#show access&#8722;list traffic_for_ips
access&#8722;list traffic_for_ips; 1 elements
access&#8722;list traffic_for_ips line 1 extended permit ip any any (hitcnt=2) 0x9bea7286
!&#8722;&#8722;&#8722; Confirms the access&#8722;list displays a hit count greater than zero.
在安装和使用AIP&#8722;SSM之前,是否希望网络流量经过ASA?如果不希望,应对网络和ASA 访问策略规则执行故障排除。
故障切换问题
  • 如果故障切换配置中有两台ASA,而且各配有一个AIP-SSM,则必须人工复制 AIP-SSM的配置。故障切换机制只复制ASA的配置,而不复制 AIP-SSM的配置。
  • 如果状态化故障切换是在ASA 故障切换对上配置的,AIP-SSM 将不参与状态化故障切换。
NetPro讨论论坛——专题讨论
网络专家连接是一个论坛,在此论坛上,网络专家可以共同讨论问题,提出建议,并共享网络解决方案、产品和技术信息。以下链接是该项技术的一些最新讨论结果。
NetPro讨论论坛——安全专题讨论
安全:入侵检测[系统]
安全:AAA
安全:概要
安全;防火墙
相关信息
  • 思科安全设备命令参考,7.2版本
  • 思科安全设备系统日志消息,7.2版本
  • 思科入侵防御系统命令参考,5.1版本
  • 技术支持与文档——思科系统公司
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-24 02:41 , Processed in 2.240709 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表