Home » 3.SECURITY » CCNA Security » Cisco ASA – 3. Điều hướng traffic

Cisco ASA – 3. Điều hướng traffic

Start here

Advertisements

Khi cấu hình ASA, các port phải được gán với 1 mức bảo mật (security level) từ 0 – 100, và hình thành các miền (zone) Tin cậy (trustworthy) hoặc Không tin cậy (untrustworthy). Mặc định, traffic khởi tạo từ các miền khác nhau sẽ được điều hướng như sau:

Permit đối với outbound traffic (khởi tạo từ miền có mức bảo mật cao, vd: inside, ra miền có mức bảo mật thấp,vd: outside)

Deny đối với inbound traffic (khởi tạo từ miền có mức bảo mật thấp, vd: outside, vào miền có mức bảo mật cao,vd: inside)

Inspect đối với outbound traffic (trừ ICMP, tính năng này sẽ phân tích rõ hơn ở bài khác) và permit đối với return traffic

Các bạn xem hình 1: Denied Traffic

denied_traffic

Hình 2: Permitted Traffic

permitted_traffic

Note: trong hình số 2, traffic khởi tạo từ Outside vào DMZ phải được permit bởi ACL hoặc chính sách Inspection

Các bạn có thể kiểm thử theo bài Cisco ASA – 2.Cấu hình Interface, như sau:

topology

Trên R1, R2, R3: bật các dịch vụ Telnet, HTTP; cấu hình default-gateway hoặc default-route về phía ASA.

– Kiểm thử outbound traffic

R1#ping 1.1.1.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.3, timeout is 2 seconds:
…..
Success rate is 0 percent (0/5)

R3#debug ip icmp
ICMP packet debugging is on
R3#
*Oct  7 17:03:35.707: ICMP: echo reply sent, src 1.1.1.3, dst 172.16.1.1, topology BASE, dscp 0 topoid 0
R3#
*Oct  7 17:03:37.723: ICMP: echo reply sent, src 1.1.1.3, dst 172.16.1.1, topology BASE, dscp 0 topoid 0
R3#
*Oct  7 17:03:39.683: ICMP: echo reply sent, src 1.1.1.3, dst 172.16.1.1, topology BASE, dscp 0 topoid 0
R3#
*Oct  7 17:03:41.679: ICMP: echo reply sent, src 1.1.1.3, dst 172.16.1.1, topology BASE, dscp 0 topoid 0
R3#
*Oct  7 17:03:43.723: ICMP: echo reply sent, src 1.1.1.3, dst 172.16.1.1, topology BASE, dscp 0 topoid 0

Note: Do ICMP không được inspect nên ASA chặn ICMP reply do R3 trả về.

R1#telnet 1.1.1.3
Trying 1.1.1.3 … Open

User Access Verification

Password:
R3>

ciscoasa# show conn
1 in use, 1 most used
TCP outside 1.1.1.3:23 inside 172.16.1.1:17657, idle 0:00:27, bytes 148, flags UIO

Note: traffic Telnet (do R1 gửi tới R3) được inspect và ASA permit đối với return traffic (do R3 trả về)

– Kiểm thử Inbound traffic

R1#debug ip icmp
ICMP packet debugging is on

R3#ping 172.16.1.1 repeat 100

Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
………………………………………..

ciscoasa# show conn
0 in use, 1 most used

R1#debug telnet
Incoming Telnet debugging is on

R3#telnet 172.16.1.1
Trying 172.16.1.1 …
% Connection timed out; remote host not responding

ciscoasa# show conn
0 in use, 1 most used

Note: ASA deny các traffic khởi tạo từ R3 đến R1

Tham khảo:

– CCNA Security Curriculum

– Cisco.Press.CCNP.Security.FIREWALL.642-618.Official.Cert.Guide.May.2012

– Cisco ASA All-in-One Next-Generation Firewall, IPS, and VPN Services, Third Edition

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: