访问控制列表
ACL
ACL可用于接口,也有全局的
接口访问控制列表只能控制穿越流量(session连接除外)
所有到ASA终结的流量,被不同的管理访问列表控制(如:ssh 0 0 DMZ)
ASA发起的都被允许
ASA配置相同优先级的acl是将原来的挤下去,路由器是直接替换
接口规则和安全
默认:outbound(高->低)允许,inbound(低->高)拒绝
接口规则:input(主要)控制改接口进入, output控制出去
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
| enable password cisco //Telnet需要enable密码
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
写ACL
access-list out extended permit tcp any host 192.168.117.100 eq telnet //两条名为out的acl
access-list out extended permit tcp any host 192.168.112.100 eq www
access-list out extended deny ip any any log //log deny的数据包
调用ACL
access-group out in interface outside //将out acl-list应用在outside接口in方向
access-group out out interface outside //将out acl-list应用在outside接口out方向
access-group out global //全局调用
定时ACL
time-range onwork //设置一个时间范围
periodic weekdays 9:00 to 19:15
access-list out line 1 extended permit tcp host 192.168.116.100 host 192.168.117.100 eq telnet time-range onwork
//acl在时间范围内生效
|
Objet-Group
可将网段协议端口做成一个集合以供调用,并且可以嵌套调用
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
| ASA(config)# object-group ?
configure mode commands/options:
icmp-type Specifies a group of ICMP types, such as echo
network Specifies a group of host or subnet IP addresses //IP或网段
protocol Specifies a group of protocols, such as TCP, etc //协议
security Specifies identity attributes such as security-group
service Specifies a group of TCP/UDP ports/services //协议加端口号
user Specifies single user, local or import user group
例:
object network Inside-Server1 //object只能装一个,object-group可以装多个
host 10.1.1.1
object network Inside-Server2
host 10.1.1.2
object-group network Inside-Server //并支持嵌套
network-object object Inside-Server1
network-object object Inside-Server2
object-group service test1 tcp-udp //服务组
port-object eq 21
port-object eq 22
实例:
access-list Outside_access_in extended permit object-group InsideService 202.100.1.0 255.255.255.0 object-group Inside-Server
//替换ACL对应位置即可
|
URPF
ASA可以使用URPF技术抵御IP地址欺骗
1.ASA使用路由表确认源地址(严格uRPF)
2.仅仅检查流中的第一个包(可以状态化处理的协议)
3.uRPF默认是禁用的
1
| ip verify reverse-path interface Outside
|
shunn
ASA可以使用shunning技术丢弃源自于一个特性主机的数据包
Shunning配置规则:
手动配置,或者被IPS动态配置 覆盖所有的接口访问规则 重启之后就消失 用于对某个事件紧急响应时使用
1
2
3
4
5
6
7
8
9
10
11
12
| ASA(config)# shun 192.168.12.1
Shun 192.168.12.1 added in context: single_vf
Shun 192.168.12.1 successful
ASA(config)# show shun
shun (DMZ) 192.168.12.1 0.0.0.0 0 0 0
ASA(config)# show shun statistics
mgmt=OFF, cnt=0
inside=OFF, cnt=0
outside=OFF, cnt=0
DMZ=ON, cnt=0
Shun 192.168.12.1 cnt=0, time=(0:00:30)
ASA(config)# clear shun
|
基于用户策略( CUT‐Through Proxy)
- 当一个用户第一次访问一个需要被认证的资源时, Cisco ASA会要求这个用户提供用户名和密码。
- 一个用户为所有的认证规则,只需要认证一次,因为ASA缓存用户的源IP地址。(注:由于是根据ip确定一个用户,故在多个用户共享一个IP地址( PAT,代理),不建议部署基于用户的策略,后果一个用户认证通过,这ip下的其他用户全部通过)
用户必须使用HTTP, HTTPS, FTP或者TELNET去访问资源以触发认证。
注:只有HTTP, HTTPS, FTP或者TELNET才会触发,一些非标准的不会直接认证
解决ASA对Telnet的直接认证上述不安全问题
思路:与虚拟HTTP一样
设置一组ACL:把Telnet 3088 和Telnet虚拟ip的写到一块
认证匹配该ACL组的流量
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
| Outside(config)#line vty 0 4
Outside(config-line)#rotary 88 //Telnet开启3088端口
ASA(config)# access-list in_telnet_out extended permit tcp any any eq 3088
//这句相当于把virtual Telnet 和Telnet outside 3088绑定到一块了
//实际上只要这组ACL触发了认证并且通过,该ACL组都会对认证的ip生效
ASA(config)# aaa authentication match in_telnet_out inside 3ara
Inside#telnet 192.168.16.100 3088
Trying 192.168.16.100, 3088 ... Open
Error: Must authenticate before using this service.
[Connection to 192.168.16.100 closed by foreign host]
Inside#
Inside#telnet 192.168.17.110 //先去认证 只有标准的HTTP, HTTPS, FTP或者TELNET才能正常认证
Trying 192.168.17.110 ... Open
LOGIN Authentication
Authen by ECIT
Username: test1
Password:
Welcome to ECIT
Authentication Successful
[Connection to 192.168.17.110 closed by foreign host]
Inside#
Inside#telnet 192.168.16.100 3088 //再去访问ACL中允许的流量
Trying 192.168.16.100, 3088 ... Open
Outside>
|
用户被认为已经通过了认证,直到他们注销,或者认证缓存信息超时。
注意:http在认证时账号密码是直接通过get包纯明文直接发过去的,很不安全,且PAT不合适
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
| ASA(config)# aaa-server 3ara protocol radius //协议
ASA(config-aaa-server-group)# exit
ASA(config)# aaa-server 3ara (DMZ) host 192.168.12.200 cisco //radius的IP和key
ASA(config-aaa-server-host)# exit
ASA(config)# test aaa-server authentication 3ara //测试用户
ASA(config)# access-list autel permit tcp any any eq telnet //设置ACL
ASA(config)# aaa authentication match autel inside 3ara //在inside口匹配该ACL的 启用AAA认证
ASA(config)# timeout uauth 1:00:00 absolute //绝对超时时间
ASA(config)# timeout uauth 0:10:00 inactivity //闲置超时时间
Inside#telnet 192.168.112.100
Trying 192.168.112.100 ... Open
Username: test1
Password:
User Access Verification
Password:
DMZ#exit
提示消息
ASA(config)# auth-prompt prompt Authen by ECIT
ASA(config)# auth-prompt accept Welcome to ECIT
ASA(config)# auth-prompt reject Deny by ECIT
Inside#telnet 192.168.112.100
Trying 192.168.112.100 ... Open
Authen by ECIT
Username: test1
Password:
Welcome to ECIT
User Access Verification
Password: //这是DMZ的vty密码
DMZ#
|
解决ASA对HTTP的直接认证上述不安全问题
- HTTP重定向
- 虚拟HTTP
- Secure HTTP
HTTP重定向
1
| ASA(config)# aaa authentication listener http DMZ port http redirect
|
Secure HTTP
1
2
| ASA(config)# aaa authentication secure-http-client //不能和上面一起用
//与HTTP重定向几乎一样,只是在①那一段是加密的
|
虚拟HTTP
1
2
| //原理几乎一样,只是在①那一段被重定向到ASA的一个虚拟接口上,当然这个虚拟接口在策略上可达
ASA(config)#virtual http 202.100.1.101 warning 这个地址一般设为ASA接口所在网段的一个地址
|
授权
Download ACL 优先于接口和全局ACL
1
2
3
4
5
| ASA(config)#virtual telnet 192.168.17.110
ASA(config)#access-list in extended permit tcp any host 192.168.17.110 eq telnet
ASA(config)#aaa authentication match in inside 3ara
ASA(config)# access-group in in interface inside per-user-override
//per-user-override表示将dacl覆盖该接口的acl,切记要敲,否则dacl不生效
|
注:切记要用IE,什么谷歌,火狐,欧朋都有问题,这个破ACS,心好累
审计
1
2
| ASA(config)# access-list actelnet permit tcp any any eq telnet
ASA(config)# aaa accounting match actelnet inside 3ara
|
| 
QQ群⑧:
窥视卡
雷达卡
发表于 2016-7-4 10:36:40
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡