Het configureren van IP Spoofing en IPS bescherming met een Cisco ASA 5500 Firewall
Posted on 2009 under Networks | No Comment27 Aug
Harris Andrea asked:
De Cisco ASA firewall appliance biedt fantastische beveiliging out-of-the-box met de standaard configuratie. Echter, om de beveiliging nog verder te vergroten, zijn er verschillende configuratie verbeteringen die kunnen worden gebruikt om extra beveiligingsfuncties uit te voeren. Twee van deze functies zijn IP Spoofing bescherming en de fundamentele Intrusion Prevention (IPS) te ondersteunen.
IP Spoofing Bescherming
IP spoofing aanvallen die veranderen de werkelijke bron IP adres van de pakketten te verhullen hun ware herkomst. Dit betekent dat de pakketten die op een bepaalde interface (bijvoorbeeld binnen) moeten een geldige bron IP-adres dat de juiste bron interface op basis van de firewall routeringstabel wedstrijden. Normaal gesproken is de firewall kijkt alleen naar het bestemmingsadres van een pakket om het te doen dus. Als u het IP Spoofing mechanisme mogelijk te maken, de firewall controleert ook de bron-adres van de pakketten.
Als bijvoorbeeld een van onze inside-interface wordt aangesloten op het interne netwerk 192.168.1.0/24, betekent dit dat de pakketten die aankomen op het binnen firewall interface moet een bron adres in de reeks 192.168.1.0/24 anders zullen zij worden ingetrokken (als het IP Spoofing is geconfigureerd).
Het IP-Spoofing-functie maakt gebruik van de Unicast Reverse Path Forwarding (unicast RPF ) mechanisme, dat voorschrijft dat voor alle verkeer dat u wilt toestaan via de Security Appliance, moet de veiligheid toestel routing tabel op te nemen een route terug naar de bron aan te pakken.
IP Spoofing bescherming mogelijk te maken, voert u de volgende opdracht:
CiscoASA5500 (config) # ip controleren of reverse-path interface "interface_name"
Bijvoorbeeld, IP-spoofing mogelijk aan de binnenzijde interface, gebruikt u de volgende opdracht:
CiscoASA5500 (config) # ip controleren of reverse-path interface binnen
Basic IPS Bescherming
Hoewel de ASA IPS Firewall ondersteunt de volledige functionaliteit met een extra hardware IPS-module (AIP-SSM), het ondersteunt ook fundamenteel IPS bescherming die is ingebouwd in de standaard zonder gebruik van een extra hardware module. De ingebouwde IPS functie ondersteunt een basislijst van handtekeningen en kunt u de veiligheid toestel aan een of meer acties op het verkeer dat een handtekening wedstrijden uit te voeren. De opdracht die de basis IPS functie heet "IP"-audit uitvoert.
Er zijn twee groepen handtekening ingebed in de firewall-software: 'informatief' en 'Attack' handtekeningen. U kunt een IP-audit-beleid voor elke handtekening groep als volgt:
Voor informatieve handtekeningen:
CiscoASA5500 (config) # ip audit naam "naam" info [ actie [alarm] [drop] [reset]]
Voor aanval handtekeningen:
CiscoASA5500 (config) # ip audit naam "naam" aanval [action [alarm] [drop] [reset]]
De trefwoorden [alarm], [drop], [reset] definiëren de acties uit te voeren op een schadelijke pakket dat een van de wedstrijden de handtekeningen. [alarm] systeem genereert een bericht waaruit blijkt dat een pakje overeen met een handtekening, [druppel] laat het pakket, en [reset] daalt het pakket en sluit de verbinding.
Na het bepalen van een IP-audit-beleid (IPS beleid), zoals hierboven aangetoond, moeten we het beleid hechten aan een specifieke interface:
CiscoASA5500 (config) # ip audit interface "interface_name" "Beleidsnaam"
Laten we eens een concreet voorbeeld:
CiscoASA5500 (config) # ip audit naam dropattacks aanval optreden neerzetten CiscoASA5500 (config) # ip-controle interface buiten dropattacks
Download de beste configuratie tutorial voor Cisco ASA 5500 Firewall-model hier.
You can Get Cheap VOIP DID’s too!
De Cisco ASA firewall appliance biedt fantastische beveiliging out-of-the-box met de standaard configuratie. Echter, om de beveiliging nog verder te vergroten, zijn er verschillende configuratie verbeteringen die kunnen worden gebruikt om extra beveiligingsfuncties uit te voeren. Twee van deze functies zijn IP Spoofing bescherming en de fundamentele Intrusion Prevention (IPS) te ondersteunen.
IP Spoofing Bescherming
IP spoofing aanvallen die veranderen de werkelijke bron IP adres van de pakketten te verhullen hun ware herkomst. Dit betekent dat de pakketten die op een bepaalde interface (bijvoorbeeld binnen) moeten een geldige bron IP-adres dat de juiste bron interface op basis van de firewall routeringstabel wedstrijden. Normaal gesproken is de firewall kijkt alleen naar het bestemmingsadres van een pakket om het te doen dus. Als u het IP Spoofing mechanisme mogelijk te maken, de firewall controleert ook de bron-adres van de pakketten.
Als bijvoorbeeld een van onze inside-interface wordt aangesloten op het interne netwerk 192.168.1.0/24, betekent dit dat de pakketten die aankomen op het binnen firewall interface moet een bron adres in de reeks 192.168.1.0/24 anders zullen zij worden ingetrokken (als het IP Spoofing is geconfigureerd).
Het IP-Spoofing-functie maakt gebruik van de Unicast Reverse Path Forwarding (unicast RPF ) mechanisme, dat voorschrijft dat voor alle verkeer dat u wilt toestaan via de Security Appliance, moet de veiligheid toestel routing tabel op te nemen een route terug naar de bron aan te pakken.
IP Spoofing bescherming mogelijk te maken, voert u de volgende opdracht:
CiscoASA5500 (config) # ip controleren of reverse-path interface "interface_name"
Bijvoorbeeld, IP-spoofing mogelijk aan de binnenzijde interface, gebruikt u de volgende opdracht:
CiscoASA5500 (config) # ip controleren of reverse-path interface binnen
Basic IPS Bescherming
Hoewel de ASA IPS Firewall ondersteunt de volledige functionaliteit met een extra hardware IPS-module (AIP-SSM), het ondersteunt ook fundamenteel IPS bescherming die is ingebouwd in de standaard zonder gebruik van een extra hardware module. De ingebouwde IPS functie ondersteunt een basislijst van handtekeningen en kunt u de veiligheid toestel aan een of meer acties op het verkeer dat een handtekening wedstrijden uit te voeren. De opdracht die de basis IPS functie heet "IP"-audit uitvoert.
Er zijn twee groepen handtekening ingebed in de firewall-software: 'informatief' en 'Attack' handtekeningen. U kunt een IP-audit-beleid voor elke handtekening groep als volgt:
Voor informatieve handtekeningen:
CiscoASA5500 (config) # ip audit naam "naam" info [ actie [alarm] [drop] [reset]]
Voor aanval handtekeningen:
CiscoASA5500 (config) # ip audit naam "naam" aanval [action [alarm] [drop] [reset]]
De trefwoorden [alarm], [drop], [reset] definiëren de acties uit te voeren op een schadelijke pakket dat een van de wedstrijden de handtekeningen. [alarm] systeem genereert een bericht waaruit blijkt dat een pakje overeen met een handtekening, [druppel] laat het pakket, en [reset] daalt het pakket en sluit de verbinding.
Na het bepalen van een IP-audit-beleid (IPS beleid), zoals hierboven aangetoond, moeten we het beleid hechten aan een specifieke interface:
CiscoASA5500 (config) # ip audit interface "interface_name" "Beleidsnaam"
Laten we eens een concreet voorbeeld:
CiscoASA5500 (config) # ip audit naam dropattacks aanval optreden neerzetten CiscoASA5500 (config) # ip-controle interface buiten dropattacks
Download de beste configuratie tutorial voor Cisco ASA 5500 Firewall-model hier.
You can Get Cheap VOIP DID’s too!
