Практически. БКС практические. Перечень лабораторных работ
 Скачать 1.44 Mb.
|
ЛАБОРАТОРНАЯ РАБОТА № 21“ Настройка инспектирования трафика на межсетевом экране Cisco ASA.” (2 часа) ПМ.03 «Эксплуатация объектов сетевой инфраструктуры» МДК.03.02 Безопасность компьютерных сетей Составители(авторы) ВилковА.Н. преподаватель ФГБОУ ВО "РЭУ им. Г.В.Плеханова"  Топология сети. Ход работы:Modular Policy Framework (MPF) позволяет более выборочно управлять трафиком. MPF может применяться на практике в следующих целях: Traffic inspection - процедура, необходимая для работы наиважнейшего принципа ASA, а именно Statefull Packet Filtering. Например для разрешения трафика FTP нам достаточно разрешить 21 порт, все остальные дочерние подключения ASA разрешит уже автоматически. И если для FTP мы можем тупо разрешить 20 и 21 порты, то проблема пропуска через NAT того же SIP вообще разрешима пожалуй только с помощью Traffic inspection. Prioritize, Police, Shape - Очень похожие функции на аналогичные в IOS Router IPS module - для работы с IPS также необходимо использование MPF. Set Connection Limits Policy - Изменение стандартных характеристик для соединений TCP позволяет защитить внутренние сервера от некоторых форм атак. Создание правил MPF аналогично созданию политик на IOS. Создание MPF выполняется в три этапа: Create Class-map. Class-map позволяет выделить нужный нам трафик для последующей обработки. Assign the class-map into policy-map. Policy-map определяет какие конкретные действия будут производиться над выделенным трафиком, т.е. class-map Service Policy- Apply Policy on interface or Globally. Этим мы собственно активируем нашу Policy. На каком интерфейсе, или глобально. Traffic Inspection Default Modular Policy Configuration Configuration > Firewall > Service Policy Rules Traffic inspection работает уже по умолчанию благодаря тому, что в конфигурации по умолчанию уже включена Default Modular Policy. class-map inspection_default match default-inspection-traffic policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options inspect icmp service-policy global_policy global Application Inspection DEFAULTS Как мы уже говорили, по умолчанию в inspection_default уже выставлено некоторое дефолтное поведение Application Inspection. Т.е. для для каждого протокола, выставленного в class inspection_default выставлено Default Inspection. Default Inspection проще всего посмотреть в ASDM ASA Help. Default Inspection можно поменять, но там масса разных специфических параметров, поэтому проще всего работать из ASDM, который позволяет выставить Security Level. Default Inspection проводится с названными протоколами и с дефолтными портами этих протоколов. Эту инфу можно посмотреть в ASDM, Default Inpections. Если какой-то протокол работает на другом порту, это необходимо указать, например: fixup protocol smtp 27 В результате будет добавлен дополнительный класс и добавлен к существующей global_policy: class-map class_esmtp match port tcp eq 27 ! policy-map global_policy class class_esmtp inspect esmtp Пример своей Application Inspection access-list tftptraffic_acl extended permit udp any any eq tftp ! class-map TFTP_class match access-list tftptraffic_acl ! policy-map TFTP_policy class TFTP_class inspect tftp ! service-policy TFTP_policy global Проверка Service Policy Смотрим статистику show service-policy Отображение как будет обрабатываться конкретный случай show service-policy flow ip host 192.168.2.12 host 8.8.8.8 DNS Inspection DNS использует UDP и должен обрабатываться через application inspection; в противном случае UDP обрабатывается лишь на основе activity timeouts. ASA отслеживает UDP connections, и если обнаруживается UDP DNS Querry, то после получения DNS response данная сессия немедленно закрывается. По умолчанию DNS Inspection включено, и выставлены следующие параметры, ограничивающие размер пакета DNS: message-length maximum client auto message-length maximum 512 Это означает, что по умолчанию следующее поведение (взято из ASA Help): The maximum DNS message length is 512 bytes. DNS over TCP inspection is disabled. The maximum client DNS message length is automatically set to match the Resource Record. DNS Guard is enabled, so the ASA tears down the DNS session associated with a DNS query as soon as the DNS reply is forwarded by the ASA. The ASA also monitors the message exchange to ensure that the ID of the DNS reply matches the ID of the DNS query. Translation of the DNS record based on the NAT configuration is enabled. Protocol enforcement is enabled, which enables DNS message format check, including domain name length of no more than 255 characters, label length of 63 characters, compression, and looped pointer check. В некоторых источниках рекомендуется выставить: message-length maximum 4096 Или, что тоже: fixup protocol dns maximum-length 4096 см. http://www.cisco.com/c/en/us/about/security-center/dnssec-best-practices... ESMTP Inspection ESMTP Inspection обеспечивает защиту от SMTP-based attacks через запрещение некоторых команд. По умолчанию в конфигурации просто выставлено inspect esmtp. А в ASDM выставлено Use the default ESMTP inspection map. Это означает следующее поведение (взято из ASA Help): The server banner is masked. The ESMTP inspection engine changes the characters in the server SMTP banner to asterisks except for the “2”, “0”, “0” characters. Carriage return (CR) and linefeed (LF) characters are ignored. Encrypted connections are not allowed. The STARTTLS indication is removed from the session connection attempt, forcing the client and server to negotiate a plain text session, which can be inspected. Special characters in sender and receiver address are not noticed, no action is taken. Connections with command line length greater than 512 are dropped and logged. Connections with more than 100 recipients are dropped and logged. Messages with body length greater than 998 bytes are logged. Connections with header line length greater than 998 are dropped and logged. Messages with MIME filenames greater than 255 characters are dropped and logged. EHLO reply parameters matching “others” are masked. Prioritize, Police, Shape Пример ограничения трафика для внутреннего пользователя: object network pc1 host 192.168.2.249 ! access-list outside_mpc extended permit ip any object pc1 access-list outside_mpc extended permit ip object pc1 any ! class-map outside-class match access-list outside_mpc ! policy-map outside-policy class outside-class police input 500000 1500 police output 500000 1500 ! service-policy outside-policy interface outside Проверка: Проверка матчей на политике show service-policy interface outside Проверка матчей на ACL: Set Connection Limits Policy В данном разделе мы рассмотрим следующие методы защиты: Maximum number of simultaneous connections - Может защитить сервер от DoS Maximum number of connections allowed per client. Ограничить количество сессий торрентов для юзеров.. Maximum numbers of TCP “half-open” (embryonic) connections allowed. Защита от “SYN” attacks. access-list HTTP_traffic permit tcp any host 50.50.50.1 eq 80 access-list outbound_traffic permit ip 192.168.0.0 255.255.255.0 any ! class-map Web_SRV_Class match access-list HTTP_traffic ! class-map Outbound_Class match access-list outbound_traffic ! policy-map Web_SRV_policy class Web_SRV_Class set connection conn-max 3000 set connection per-client-max 100 set connection embryonic-conn-max 1500 ! policy-map outbound_policy class Outbound_Class set connection per-client-max 70 ! service-policy Web_SRV_policy interface outside service-policy outbound_policy interface inside Контрольные вопросы: Описание технологии Modular Policy Framework Принцип работы ESMTP Inspection. Министерство образования и науки Российской Федерации |