IP-Spoofing und IPS-Schutz mit einer Cisco Asa 5500 Firewall

Die Cisco ASA Firewall-Appliance bietet große Sicherheit Schutz Out-of-the-Box mit der Standardkonfiguration. Um die Sicherheit noch weiter zu erhöhen, gibt es jedoch verschiedene Konfigurations-Erweiterungen, die verwendet werden können, um die Implementierung zusätzlicher Sicherheitsfeatures. Zwei dieser Funktionen sind IP-Spoofing Schutz und Basisunterstützung für Intrusion Prevention (IPS).

IP-Spoofing Schutz

IP-spoofing-Angriffe sind diejenigen, die die tatsächliche IP-Quelladresse an Paketen, die ihre wahre Herkunft zu verschleiern zu ändern. Dies bedeutet, dass an einer bestimmten Schnittstelle (z.B. innen) ankommende Pakete eine gültige IP-Adresse haben müssen, die die richtige Quelle-Schnittstelle nach der Firewall-routing-Tabelle entspricht. Normalerweise überprüft die Firewall nur die Zieladresse eines Pakets um es entsprechend weiterleiten. Wenn Sie den IP-Spoofing-Mechanismus aktivieren, kontrolliert die Firewall auch die Quell-Adresse der Pakete.

Wenn zum Beispiel unsere innen-Schnittstelle verbindet mit internen Netzwerk 192.168.1.0/24, das bedeutet, dass ankommende Pakete Firewall-Schnittstelle muss an der Innenseite eine Quell-Adresse in den Bereich 192.168.1.0/24 sonst sie gelöscht werden (wenn IP-Spoofing konfiguriert ist).

Das IP-Spoofing-Feature verwendet den Unicast Reverse Path Forwarding (Unicast RPF)-Mechanismus, der vorschreibt, dass für jeden Datenverkehr, der durch die Security Appliance zulassen möchten, die Security Appliance-routing-Tabelle eine Route zurück zu die Quelladresse enthalten sollen.

Um IP-Spoofing Schutz zu aktivieren, geben Sie den folgenden Befehl-

CiscoASA5500(config) # Ip überprüfen Reverse-Pfad-Schnittstelle 'Interface_name'

Um z. B. zu aktivieren IP-spoofing auf der Innenseite Schnittstelle, verwenden Sie den folgenden Befehl-

CiscoASA5500(config) # Ip überprüfen Reverse-Pfad-Schnittstelle innerhalb

Grundlegende IPS-Schutz

Obwohl die ASA Firewall IPS dieselbe Funktionalität mit einem zusätzlichen IPS-Hardware-Modul (AIP-SSM) unterstützt, unterstützt es auch IPS-Grundschutz die standardmäßig integrierte ist ohne eine zusätzliche Hardware-Modul. Die integrierte IPS-Funktion unterstützt eine Grundliste von Signaturen und Sie können konfigurieren, dass die Security-Appliance führen Sie eine oder mehrere Aktionen auf den Verkehr, die eine Signatur entspricht. Der Befehl, der die grundlegende IPS-Funktion implementiert nennt man 'IP-Audit'.

Es gibt zwei Signatur-Gruppen in der Firewall-Software eingebettet- 'Information' und 'Angreifen' Signaturen. Sie können eine IP-überwachungsrichtlinie für jede Signatur-Gruppe wie folgt definieren-

Für informative Signaturen-

CiscoASA5500 (Config) # Ip Audit Name 'Name' Info ;Aktion ;Alarm, ;Drop, ;Reset,,

Für Angriffs-Signaturen-

CiscoASA5500 (Config) # Ip Audit Name 'Name' angreifen ;Aktion ;Alarm, ;Drop, ;Reset,,

Die Schlüsselwörter ;Alarm,, ;Drop,, ;zurücksetzen, definieren die Aktionen an einem bösartigen Paket ausführen, die eine der Signaturen entspricht. ;Alarm, erzeugt eine Systemnachricht, die zeigt, dass ein Paket eine Signatur abgestimmt das Paket DROPS ;fallen, und ;Reset, löscht das Paket und schließt die Verbindung.

Nach dem Definieren einer IP-überwachungsrichtlinie (IPS-Richtlinie), wie oben gezeigt, müssen wir die Politik auf eine bestimmte Schnittstelle zu befestigen-

CiscoASA5500(config) # Ip audit Schnittstelle 'Interface_name' 'Richtlinienname'

Mal sehen, ein Beispiel-

CiscoASA5500 (Config) # Ip Audit Name Dropattacks angreifen Aktion Drop
CiscoASA5500 (Config) # Ip-Audit-Schnittstelle außerhalb Dropattacks

Das beste Konfiguration-Tutorial für alle Cisco ASA 5500 Firewall-Modell hier herunterladen.