Дада, например, если приходит какой-нить смешной гигабит и ставить ещё одну точку отказа… Некомильфо!
К тому же задачка ПРО ЦИСКУ, значит в описанной задаче никакого железа больше не требуется. Иначе это бы я указал в условии.
И решение я уже написал. Собсно, хитрость то в том, что трафик направлен на адрес самой АСЫ. IPTables тоже не зарутит трафик, направленный на себя, абы куда.
Это не спортивно. И задача бы тогда формулировалась не так, а примерно «в какое место выкинуть эту дурацкую асу и какой недорогой ДЛинк купить вместо неё?»
Вы верно указали суть, поэтому придётся рассказать подробно :)
Итак, суть вопросов, указанных в корневом топике, сводилась обычно к тому, каким образом можно фильтровать управляющий трафик (например, sslvpn, IPSec VPN, ssh и др.), если простой ACL не фильтрует трафик, направленный на адрес интерфейса ASA
Ответ раньше был такой: никак :(
Сейчас, с версии 8, появилась возможность писать отдельный ACL, в котором указывать конкретно трафик, направленный на адрес АСЫ, и привешивать его на control-plane
Конкретно, приведенная задача решается так:
access-l IPSec permit udp <доверительные сети> any eq 500
access-l IPSec deny udp any any eq 500
access-l IPSec permit ip any any
access-group IPSec in int outside control-plane
Если поглядеть подсказку после
access-group IPSec in int outside?
configure mode commands/options:
control-plane Specify if rule is for to-the-box traffic
per-user-override Allow per-user ACL to override
то написано, что control-plane фильтрует трафик конкретно на адрес АСЫ
ВНИМАНИЕ: до версии 8.0(4) была такая вредная бага:
привешивание ACL на control-plane СНИМАЛ обычный ACL, висящий на том же интерфейсе в том же направлении.
Если бы всё было ТАК просто, то даже вопросов бы не было :)
Но увы, если Вы имеете ввиду банальный ACL на вход интерфейса, то на ASA он не фильтрует трафик, направленный на саму АSАшку. В этом собственно и есть хитрость
Мультикастовый трафик от сервера вещания придёт на рутер и он станет RP, т.к. будет знать, кто (конкретный адрес) шлёт тот или иной поток. А дальше эту ценную инфу он передаст тем, кто обращается к нему, как к RP
Всякие мелкие помарки не считаем — сведено воедино всё грамотно. Правда, чтобы это легко читалось надо уже половину знать :) Но те, кто уже поковырялся, как раз половину и знают :)
ЗЫ sparce — разрЕженный, как воздух, а не как ружьё :))
Не могу с вами согласиться. Базовую фильтрацию как раз на рутерах делать наиболее правильно.
Мало того, ваше мнение касается ТОЛЬКО больших сетей, где кроме рутера ещё полный зоопарк. А если строить правильные распределенные сети, то часто достаточно на границе одного ретара, но с кучей функций.
Планирую и про топологии/дизайн тоже написать. Там много интересных и возможно спорных моментов — поспорим :)
Наконец то решение: сорри за задержку — ездил на гонку в Шую:)
Итак, нетривиальное решение:
AIP-SSM, как настоящий Линукс ящик, можно заставить вам помочь.
Для этого для начала AIP-SSM надо подключить езернет-хвостиком к какому-нибуль интерфейсу АСЫ. Вот прямо так: из интерфейса модуля в интерфейс АСЫ.
Дело в том, что интерфейс модуля нужен только для управления, но никак не для получения трафика для анализа. Трафик получается по шине.
На интерфейсе АСЫ задаём адрес
int e0/1
ip addr 4.4.4.1 255.255.255.0
sec 100
nameif HINT
Правило НАТа нам не нужно
no nat-control
На интерфейсе модуля можно задать ip адрес 4.4.4.4, дефолтный шлюз — 4.4.4.1
Потом надо создать сервисного пользователя
user NEW pass cisco priv service
Это не простой пользователь. Под этой учёткой можно зайти прямо в Линукс! Такой пользователь может быть только один и его пароль синхронизируется с паролем root на Линуксе
Только эта «реклама» кое-кому может помочь, а это значит, небесполезно.
На рутере ACL на внешнем интерфейсе прекрасно отфильтрует трафик, направленный на адрес самого рутера. Там другая внутренняя архитектура.
К тому же задачка ПРО ЦИСКУ, значит в описанной задаче никакого железа больше не требуется. Иначе это бы я указал в условии.
И решение я уже написал. Собсно, хитрость то в том, что трафик направлен на адрес самой АСЫ. IPTables тоже не зарутит трафик, направленный на себя, абы куда.
Вы верно указали суть, поэтому придётся рассказать подробно :)
Итак, суть вопросов, указанных в корневом топике, сводилась обычно к тому, каким образом можно фильтровать управляющий трафик (например, sslvpn, IPSec VPN, ssh и др.), если простой ACL не фильтрует трафик, направленный на адрес интерфейса ASA
Ответ раньше был такой: никак :(
Сейчас, с версии 8, появилась возможность писать отдельный ACL, в котором указывать конкретно трафик, направленный на адрес АСЫ, и привешивать его на control-plane
Конкретно, приведенная задача решается так:
access-l IPSec permit udp <доверительные сети> any eq 500
access-l IPSec deny udp any any eq 500
access-l IPSec permit ip any any
access-group IPSec in int outside control-plane
Если поглядеть подсказку после
access-group IPSec in int outside?
configure mode commands/options:
control-plane Specify if rule is for to-the-box traffic
per-user-override Allow per-user ACL to override
то написано, что control-plane фильтрует трафик конкретно на адрес АСЫ
ВНИМАНИЕ: до версии 8.0(4) была такая вредная бага:
привешивание ACL на control-plane СНИМАЛ обычный ACL, висящий на том же интерфейсе в том же направлении.
Но увы, если Вы имеете ввиду банальный ACL на вход интерфейса, то на ASA он не фильтрует трафик, направленный на саму АSАшку. В этом собственно и есть хитрость
Мультикастовый трафик от сервера вещания придёт на рутер и он станет RP, т.к. будет знать, кто (конкретный адрес) шлёт тот или иной поток. А дальше эту ценную инфу он передаст тем, кто обращается к нему, как к RP
Всякие мелкие помарки не считаем — сведено воедино всё грамотно. Правда, чтобы это легко читалось надо уже половину знать :) Но те, кто уже поковырялся, как раз половину и знают :)
ЗЫ sparce — разрЕженный, как воздух, а не как ружьё :))
Я планирую и статейки и по безопасности, и по R&S.
Обычно я для новых ИОСов пишу, что фича доступна, начиная с…
ip inspect доступен с 12.2 Firewall Feature Set
Ведь версия 12.2 уже 4-5 лет используется, если мне изменяет память.
ЗЫ Впрочем, для некоторых нерасширяемых по памяти старых рутеров наверно лучше ничего и нет…
Например, там выделяется зона self, можно задать глубокое инспектирование с анализом контента (class-map type)…
На молодому бойцу я бы для начала базу подтянул, а если он умный и быстрый — то ещё намекнул, куда самому копать.
ЗЫ Ну и к тому же ZBF — очень новая фича. С существующими бы разобраться :)
Мало того, ваше мнение касается ТОЛЬКО больших сетей, где кроме рутера ещё полный зоопарк. А если строить правильные распределенные сети, то часто достаточно на границе одного ретара, но с кучей функций.
Планирую и про топологии/дизайн тоже написать. Там много интересных и возможно спорных моментов — поспорим :)
ЗЫ А где вы такие старые ИОСы нашли? :)
Но ACL настолько распространённая конструкция, что не грех и напомнить
Итак, нетривиальное решение:
AIP-SSM, как настоящий Линукс ящик, можно заставить вам помочь.
Для этого для начала AIP-SSM надо подключить езернет-хвостиком к какому-нибуль интерфейсу АСЫ. Вот прямо так: из интерфейса модуля в интерфейс АСЫ.
Дело в том, что интерфейс модуля нужен только для управления, но никак не для получения трафика для анализа. Трафик получается по шине.
На интерфейсе АСЫ задаём адрес
int e0/1
ip addr 4.4.4.1 255.255.255.0
sec 100
nameif HINT
Правило НАТа нам не нужно
no nat-control
На интерфейсе модуля можно задать ip адрес 4.4.4.4, дефолтный шлюз — 4.4.4.1
Потом надо создать сервисного пользователя
user NEW pass cisco priv service
Это не простой пользователь. Под этой учёткой можно зайти прямо в Линукс! Такой пользователь может быть только один и его пароль синхронизируется с паролем root на Линуксе
Далее, заходим в консоль модуля под этой учёткой
asa# session 1
login: NEW
password: cisco
bash2.05$ su root
password: cisco
А оттуда уже можно ходить телнетом!
bash2.05# telnet 10.100.100.1
Вуа-ля!
Наверняка вы заметили «ружье», в виде AIP-SSM, которое ещё не выстрелило :)
Действительно, второй способ проникнуть на циску связан именно с ним.
Намекну: AIP-SSM — это полноценный IPS, который в свою очередь, представляет из себя… Линукс, с цискиной софтой :)
Покумекайте пока. Закончу читать курс сегодня — расскажу решение номер 2 :)