CBAC y Zone Policy Firewall
Short Description
Descripción: cbac y zbf...
Description
CBAC y Zone-Policy-Firewall
CONTROL DE ACCESOS BASADO EN CONTEXTO (CBAC) (CBAC) -CBAC es una solución Cisco IOS FW que realiza filtrado filtrado “stateful” “stateful” de capa de aplicación, permite protocolos que requieren múltiples canales como FTP y H.323 -CBAC también puede examinar conexiones NAT y PAT, y bloquear conexiones p2p y de mensajería instant instantanea anea Funciones principales de CBAC: -Filtrado del tráfico: configuración para permitir el tráfico de retorno creando aperturas temporales en una ACL que habitualmente deniega el tráfico -Inspección del tráfico: inspección de tráfico en capa de aplicación, manteniendo información de sesión. Protege contra ataques inspeccionando el número de secuencia y descartando conexiones medio abiertas (SYN-flood) -Detección de intrusiones: CBAC dispone de limitada capacidad de detección de intrusiones para específicos ataques SMTP. Los mensajes de syslog son revisados para detectar firmas de ataque específicas -Generar alertas y mensajes de auditoría mediante syslog
CAPACIDADES CBAC -CBAC sólo lleva a cabo filtrado para los protocolos que son especificados por el administrador -CBAC no protege de ataques que vienen de dentro de la red
-CBAC suministra tres umbrales contra ataques TCP DoS: Número Total de sesiones TCP medio abiertas Número de sesiones TCP medio abiertas en un intervalo de tiempo Número de sesiones TCP medio abiertas por host Si un umbral se supera se envían mensajes reset a los 2 puntos finales de la conexión, dejando así recursos disponibles para conexiones legítimas
CAPACIDADES CBAC OPERACIÓN CBAC: CBAC utiliza la tabla de estado para crear entradas de ACL dinámicas que permiten el tráfico de retorno, el tráfico solo es permitido si es parte de la misma sesión y tiene las propiedades esperadas
CBAC EN TCP y UDP -Manejo de TCP por CBAC: TCP utiliza un intercambio de 3 vías El primer paquete con el flag SYN TCP es recibido desde la interfaz inside, si la ACL permite el paquete y CBAC es configurado, se crea una entrada en la tabla de estado. Sólo tráfico perteneciente a esta sesión será permitido retornar, la tabla de estado es actualizada con cada flujo de tráfico -Manejo de UDP por CBAC Con UDP el router no puede perseguir números de secuencia y flags, en este caso cuando no haya datos intercambiados entre el origen y el destino en un timeout configurable, la conexión, la entrada de la tabla de estado y la entrada de ACL dinámica son eliminadas
CONFIGURACION DE CBAC Paso 1: Escoger la interfaz donde se va a configurar la regla de inspección Paso 2: Configurar las ACLs en la interfaz Paso 3: Definir la regla de inspección Paso 4: Aplicar la regla de inspección a una interfaz
En un escenario de 2 interfaces la regla de inspección puede ser configurada como entrante en la interfaz inside o como saliente en la interfaz outside CBAC puede ser configurado en las 2 direcciones de una interfaz, si ambas redes necesitan protección
CONFIGURACION DE CBAC Paso 2: Configurar las ACLs en la interfaz La ACL de la interfaz outside sobre la que se va a incorporar la ACE dinámica creada por CBAC tiene que ser extendida
Paso 3: Definir la regla de inspección Los administradores tienen que definir los protocolos que se van a inspeccionar (protocolo de capa de aplicación, TCP, UDP o ICMP)
Ejemplo 1: ip inspect name in2out ftp ip inspect name in2out tftp ip inspect name in2out tcp timeout 43200 ip inspect name in2out http ip inspect name in2out udp
Paso 4: Aplicar la regla de inspección Router(config- if)# ip inspect “inspection_name” in | out-
CONFIGURACION DE CBAC Reglas para aplicar ACLs y reglas de inspección en el FW: -En la interfaz donde el tráfico se inicia, aplicar ACL “in” que permita sólo el tráfico requerido y aplicar regla de inspección “in” que
inspeccione el tráfico -En otras interfaces denegar todo el tráfico, excepto tráfico que no haya sido inspeccionado y necesite ser permitido Ejemplo: Permitir a los usuarios iniciar sesiones TCP, UDP y ICMP desde inside. Usuarios externos sólo pueden acceder a los servidores SMTP y HTTP
TROUBLESHOOTING DE CBAC -Alertas: muestran mensajes sobre la operación de CBAC, como insuficientes recursos en el router o ataques DoS. Habilitadas por defecto, aunque se pueden habilitar o deshabilitar por regla de inspección Ejemplo: %FW-4-SMTP_INVALID_COMMAND: Invalid SMTP command from initiator (209.165.201.5:49387)
Para deshabilitarlas globalmente: Router(config)#ip inspect alert-off -Audits: persiguen la pista de las conexiones que CBAC inspecciona, como nuevas entradas en la tabla de estado. Deshabilitadas por defecto, se pueden habilitar globalmente o por regla de inspección Ejemplo: %FW-6-SESS_AUDIT_TRAIL: tcp session initiator (192.168.1.2:32782) sent 22 bytes responder (209.165.201.1:23) sent 200 bytes
TROUBLESHOOTING DE CBAC -show ip inspect [parameter]: muestra las reglas de inspección configuradas Router# show ip inspect name inspect_outbound Inspection name inspect_outbound cuseeme alert is on audit-trail is on timeout 3600 ftp alert is on audit-trail is on timeout 3600 http alert is on audit-trail is on timeout 3600 rcmd alert is on audit-trail is on timeout 3600 realaudio alert is on audit-trail is on timeout 3600 smtp max-data 20000000 alert is on audit-trail is on timeout 3600 tftp alert is on audit-trail is on timeout 30 udp alert is on audit-trail is on timeout 15 tcp alert is on audit-trail is on timeout 3600
-show ip inspect sessions: muestra información sobre la tabla de estado Router# show ip inspect sessions Established Sessions Session 25A3378 (209.165.201.1:20)=>(192.168.1.2:32704) ftp-data SIS_OPEN Session 25A5AC2 (192.168.1.2:32703)=>(209.165.201.1:21) ftp SIS_OPEN
TROUBLESHOOTING DE CBAC -show ip access-list: muestra información sobre las entradas de ACL dinámicas Router# show ip access-list Extended IP access list 100 permit tcp host 209.165.201.1 eq 21 host 192.168.1.2 eq 32703 (24 matches) permit tcp host 209.165.201.1 eq 20 host 192.168.1.2 eq 32704 (88 matches)
-debug ip inspect [parameter]: Información en tiempo real de la operación de CBAC.
Router# debug ip inspect timers *Mar 2 01:20:43: CBAC* sis 25A3604 pak 2541C58 TCP P ack 4223720032 seq 4200176225(22) (10.0.0.1:46409) => (10.1.0.1:21) *Mar 2 01:20:43: CBAC* sis 25A3604 ftp L7 inspect result: PROCESS-SWITCH packet *Mar 2 01:20:43: CBAC sis 25A3604 pak 2541C58 TCP P ack 4223720032 seq 4200176225(22) (10.0.0.1:46409) => (10.1.0.1:21) *Mar 2 01:20:43: CBAC sis 25A3604 ftp L7 inspect result: PASS packet *Mar 2 01:20:43: CBAC* sis 25A3604 pak 2544374 TCP P ack 4200176247 seq 4223720032(30) (10.0.0. 1:46409) Additional Tasks > Zones > Add
Una zona no puede ser eliminada si es miembro de un “zone-pair”
CONFIGURACIÓN DE ZPF MEDIANTE SDM Paso 2: configurar mapas de clase Configure > Additional Tasks > C3PL > Class Map > Inspection > Add Entrar un nombre de mapa de clase, configurar match any o match all y seleccionar los protocolos, ACLs o otros mapas de clase para definir el tráfico
CONFIGURACIÓN DE ZPF MEDIANTE SDM Paso 3: configurar mapas de política Configure > Additional Tasks > C3PL > Policy Map > Protocol Inspection > Add Entrar un nombre de mapa de política, seleccionar el mapa de clase y la acción
CONFIGURACIÓN DE ZPF MEDIANTE SDM Paso 4: definir pares de zonas Configure > Additional Tasks > Zone Pairs > Add Dar un nombre al par de zonas, seleccionar zona origen, zona destino y la política
CONFIGURACIÓN DE ZPF MEDIANTE EL ASISTENTE DE SDM Configure > Firewall y ACL > pestaña Create Firewall > Firewall Basico > Launch Selecciona las interfaces inside y outside y configura el nivel de seguridad
TROUBLESHOOTING DE ZPF Configure > Firewall y ACL > pestaña Edit Firewall Policy tab Proporciona una vista gráfica de la configuración del FW ZPF Monitor > Firewall Status Muestra el estado de la actividad FW de cada par de zona. Los datos pueden ser recogidos en tiempo real cada 10 segundos, 60 minutos de datos recogidos cada minuto y 12 horas de datos recogidos cada 12 minutos
TROUBLESHOOTING DE ZPF -show policy-map type inspect zone-pair session Muestra las conexiones activas en la tabla de estado ZPF Router# show policy-map type inspect zone-pair session Zone-pair: CNS-PAIR Service-policy inspect : HTTP-Policy Class-map: HTTP-Class (match-all) Match: access-group 110 Match: protocol http Inspect Established Sessions Session 643BCF88 (10.0.2.12:3364)=>(172.26.26.51:80) http SIS_OPEN Created 00:00:10, Last heard 00:00:00 Bytes sent (initiator:responder) [1268:64324] Session 643BB9C8 (10.0.2.12:3361)=>(172.26.26.51:80) http SIS_OPEN Created 00:00:16, Last heard 00:00:06 Bytes sent (initiator:responder) [2734:38447] Session 643BD240 (10.0.2.12:3362)=>(172.26.26.51:80) http SIS_OPEN Created 00:00:14, Last heard 00:00:07 Bytes sent (initiator:responder) [2219:39813] Session 643BBF38 (10.0.2.12:3363)=>(172.26.26.51:80) http SIS_OPEN Created 00:00:14, Last heard 00:00:06 Bytes sent (initiator:responder) [2106:19895] Class-map: class-default (match-any) Match: any Drop (default action) 58 packets, 2104 bytes
View more...
Comments