Usurpation d'adresse IP et de la protection IPS Avec un pare-feu Cisco ASA 5500

Le pare-feu Cisco ASA appareil offre une protection de sécurité grande out-of-the-box avec sa configuration par défaut. Toutefois, pour augmenter la protection de la sécurité encore plus loin, il ya des améliorations de configuration différents qui peuvent être utilisés pour mettre en œuvre des fonctions de sécurité supplémentaires. Deux de ces caractéristiques sont la protection et l'usurpation d'adresse IP de base de prévention des intrusions (IPS) de soutien.

Protection IP Spoofing

Des attaques par spoofing IP sont celles qui changent l'adresse IP source réelle de paquets à masquer leur véritable origine. Cela signifie que les paquets arrivant sur une interface particulière (par exemple à l'intérieur) doit avoir une adresse IP source valide qui correspond à l'interface source correcte en fonction de la table de routage pare-feu. Normalement, le pare-feu ne regarde que l'adresse de destination d'un paquet afin de le transmettre en conséquence. Si vous activez le mécanisme usurpation d'adresse IP, le pare-feu vérifie également l'adresse source des paquets.

Si, par exemple à l'intérieur de notre interface se connecte au réseau interne 192.168.1.0/24, cela signifie que les paquets arrivant sur l'interface de pare-feu à l'intérieur doit avoir une adresse source dans la plage 192.168.1.0/24 sinon ils seront supprimés (si l'IP Spoofing est configuré ).

La fonction de l'IP Spoofing utilise le Path Forwarding Unicast Reverse (Unicast RPF) mécanisme, qui dicte que pour tout le trafic que vous souhaitez autoriser à travers l'appareil de sécurité, le dispositif de sécurité doit inclure la table de routage une route vers l'adresse source.

Pour activer la protection usurpation d'adresse IP, entrez la commande suivante:

CiscoASA5500 (config) # ip vérifier interface de reverse-path "nom_interface"
Par exemple, pour permettre l'usurpation d'IP sur l'interface interne, utilisez la commande suivante:
CiscoASA5500 (config) # ip vérifier reverse-path interface interne

Basic Protection IPS

Bien que le pare-feu ASA soutient la pleine fonctionnalité IPS avec un module IPS matériel supplémentaire (AIP-SSM), il prend également en charge la protection IPS de base qui est intégré par défaut sans utiliser de module matériel supplémentaire. La fonction intégrée IPS prend en charge une liste de base des signatures et vous pouvez configurer l'appareil de sécurité d'effectuer une ou plusieurs actions sur le trafic qui correspond à une signature. La commande qui implémente la fonctionnalité de base IPS est appelé "audit ip".

Il ya deux groupes de signatures intégrées dans le logiciel pare-feu: «informationnels» et «attaquer» les signatures. Vous pouvez définir une stratégie d'audit IP pour chaque groupe signature comme suit:

Pour les signatures d'information:

CiscoASA5500 (config) # ip audit nom "nom" info [action [d'alarme] [baisse] [reset]]
Pour les signatures d'attaque:
CiscoASA5500 (config) # ip audit nom "nom" attaque [action [Alarme] [baisse] [reset]]
Les mots-clés [Alarme], [baisse], [changer] de définir les actions à effectuer sur un paquet malveillant qui correspond à une des signatures. [Alerte] génère un message système indiquant qu'un paquet correspond une signature, [baisse] supprime le paquet, et [reset] abandonne le paquet et ferme la connexion.

Après avoir défini une politique de vérification IP (politique IPS), comme indiqué ci-dessus, nous devons attacher la politique à une interface spécifique:

CiscoASA5500 (config) # ip interface de vérification "nom_interface" "policy_name"

Voyons un exemple concret:

CiscoASA5500 (config) # ip audit nom dropattacks attaque chute de l'action
CiscoASA5500 (config) # ip interface de contrôle à l'extérieur dropattacks
Vous pouvez visiter mon site web dans ma boîte de ressource ci-dessous pour plus d'informations sur les produits et solutions Cisco. Vous pouvez également apprendre à configurer une solution Cisco ASA 5500 Firewall Ici....