溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

ASA訪問控制列表與穿越用戶認(rèn)證_03

發(fā)布時(shí)間:2020-08-03 02:58:37 來源:網(wǎng)絡(luò) 閱讀:1890 作者:lc994811089 欄目:編程語言

訪問控制列表

ACL

    ACL可用于接口,也有全局的

    接口訪問控制列表只能控制穿越流量(session連接除外)

    所有到ASA終結(jié)的流量,被不同的管理訪問列表控制(如:ssh 0 0 DMZ)

    ASA發(fā)起的都被允許

    ASA配置相同優(yōu)先級(jí)的acl是將原來的擠下去,路由器是直接替換

接口規(guī)則和安全

    默認(rèn):outbound(高->低)允許,inbound(低->高)拒絕

    接口規(guī)則:input(主要)控制改接口進(jìn)入, output控制出去

enable password cisco                        //Telnet需要enable密碼
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
寫ACL
access-list out extended permit tcp any host 192.168.117.100 eq telnet //兩條名為out的acl
access-list out extended permit tcp any host 192.168.112.100 eq www 
access-list out extended deny ip any any log         //log deny的數(shù)據(jù)包
調(diào)用ACL
access-group out in interface outside     //將out acl-list應(yīng)用在outside接口in方向
access-group out out interface outside             //將out acl-list應(yīng)用在outside接口out方向
access-group out global                            //全局調(diào)用
定時(shí)ACL 
time-range onwork                        //設(shè)置一個(gè)時(shí)間范圍
  periodic weekdays 9:00 to 19:15
access-list out line 1 extended permit tcp host 192.168.116.100 host 192.168.117.100 eq telnet time-range onwork
                         //acl在時(shí)間范圍內(nèi)生效

Objet-Group

可將網(wǎng)段協(xié)議端口做成一個(gè)集合以供調(diào)用,并且可以嵌套調(diào)用

ASA(config)# object-group ?

configure mode commands/options:
  icmp-type  Specifies a group of ICMP types, such as echo
  network    Specifies a group of host or subnet IP addresses    //IP或網(wǎng)段
  protocol   Specifies a group of protocols, such as TCP, etc    //協(xié)議
  security   Specifies identity attributes such as security-group
  service    Specifies a group of TCP/UDP ports/services        //協(xié)議加端口號(hào)
  user       Specifies single user, local or import user group


例:
object network Inside-Server1            //object只能裝一個(gè),object-group可以裝多個(gè)
    host 10.1.1.1
object network Inside-Server2
    host 10.1.1.2
object-group network Inside-Server        //并支持嵌套
    network-object object Inside-Server1
    network-object object Inside-Server2
    
object-group service test1 tcp-udp        //服務(wù)組
    port-object eq 21
    port-object eq 22
    
    
實(shí)例:                                   
access-list Outside_access_in extended permit object-group InsideService 202.100.1.0 255.255.255.0 object-group Inside-Server
         //替換ACL對應(yīng)位置即可

URPF

    ASA可以使用URPF技術(shù)抵御IP地址欺騙
        1.ASA使用路由表確認(rèn)源地址(嚴(yán)格uRPF)
        2.僅僅檢查流中的第一個(gè)包(可以狀態(tài)化處理的協(xié)議)
        3.uRPF默認(rèn)是禁用的

   ip verify reverse-path interface Outside

shunn

    ASA可以使用shunning技術(shù)丟棄源自于一個(gè)特性主機(jī)的數(shù)據(jù)包

    Shunning配置規(guī)則:


    1. 手動(dòng)配置,或者被IPS動(dòng)態(tài)配置

    2. 覆蓋所有的接口訪問規(guī)則

    3. 重啟之后就消失

    4. 用于對某個(gè)事件緊急響應(yīng)時(shí)使用

ASA(config)# shun 192.168.12.1
Shun 192.168.12.1 added in context: single_vf
Shun 192.168.12.1 successful
ASA(config)# show shun
shun (DMZ) 192.168.12.1 0.0.0.0 0 0 0
ASA(config)# show shun statistics
mgmt=OFF, cnt=0
inside=OFF, cnt=0
outside=OFF, cnt=0
DMZ=ON, cnt=0
Shun 192.168.12.1 cnt=0, time=(0:00:30)
ASA(config)# clear shun

基于用戶策略( CUT‐Through Proxy)

  1. 當(dāng)一個(gè)用戶第一次訪問一個(gè)需要被認(rèn)證的資源時(shí), Cisco ASA會(huì)要求這個(gè)用戶提供用戶名和密碼。

  2. 一個(gè)用戶為所有的認(rèn)證規(guī)則,只需要認(rèn)證一次,因?yàn)锳SA緩存用戶的源IP地址。(注:由于是根據(jù)ip確定一個(gè)用戶,故在多個(gè)用戶共享一個(gè)IP地址( PAT,代理),不建議部署基于用戶的策略,后果一個(gè)用戶認(rèn)證通過,這ip下的其他用戶全部通過)

用戶必須使用HTTP, HTTPS, FTP或者TELNET去訪問資源以觸發(fā)認(rèn)證。

注:只有HTTP, HTTPS, FTP或者TELNET才會(huì)觸發(fā),一些非標(biāo)準(zhǔn)的不會(huì)直接認(rèn)證

解決ASA對Telnet的直接認(rèn)證上述不安全問題

思路:與虛擬HTTP一樣

  設(shè)置一組ACL:把Telnet 3088 和Telnet虛擬ip的寫到一塊

  認(rèn)證匹配該ACL組的流量

Outside(config)#line vty 0 4
Outside(config-line)#rotary 88    //Telnet開啟3088端口 
ASA(config)# access-list in_telnet_out extended permit tcp any any eq 3088  
//這句相當(dāng)于把virtual Telnet 和Telnet outside 3088綁定到一塊了
//實(shí)際上只要這組ACL觸發(fā)了認(rèn)證并且通過,該ACL組都會(huì)對認(rèn)證的ip生效
ASA(config)# aaa authentication match in_telnet_out inside 3ara
Inside#telnet 192.168.16.100 3088
Trying 192.168.16.100, 3088 ... Open
Error:  Must authenticate before using this service.
[Connection to 192.168.16.100 closed by foreign host]
Inside#
Inside#telnet 192.168.17.110     //先去認(rèn)證  只有標(biāo)準(zhǔn)的HTTP, HTTPS, FTP或者TELNET才能正常認(rèn)證
Trying 192.168.17.110 ... Open
LOGIN Authentication
Authen by ECIT 
Username: test1
Password: 
Welcome to ECIT 
Authentication Successful
[Connection to 192.168.17.110 closed by foreign host]
Inside#
Inside#telnet 192.168.16.100 3088          //再去訪問ACL中允許的流量
Trying 192.168.16.100, 3088 ... Open
Outside>




用戶被認(rèn)為已經(jīng)通過了認(rèn)證,直到他們注銷,或者認(rèn)證緩存信息超時(shí)。

   注意:http在認(rèn)證時(shí)賬號(hào)密碼是直接通過get包純明文直接發(fā)過去的,很不安全,且PAT不合適

ASA訪問控制列表與穿越用戶認(rèn)證_03


ASA(config)# aaa-server 3ara protocol radius             //協(xié)議
ASA(config-aaa-server-group)# exit
ASA(config)#  aaa-server 3ara (DMZ) host 192.168.12.200 cisco    //radius的IP和key
ASA(config-aaa-server-host)# exit
ASA(config)# test aaa-server authentication 3ara                 //測試用戶
ASA(config)# access-list autel permit tcp any any eq telnet     //設(shè)置ACL
ASA(config)# aaa authentication match autel inside 3ara         //在inside口匹配該ACL的 啟用AAA認(rèn)證
ASA(config)# timeout uauth 1:00:00 absolute                     //絕對超時(shí)時(shí)間
ASA(config)# timeout uauth 0:10:00 inactivity                    //閑置超時(shí)時(shí)間
Inside#telnet 192.168.112.100
Trying 192.168.112.100 ... Open
Username: test1
Password: 
User Access Verification
Password: 
DMZ#exit


提示消息
ASA(config)# auth-prompt prompt Authen by ECIT
ASA(config)# auth-prompt accept Welcome to ECIT
ASA(config)# auth-prompt reject Deny by ECIT

Inside#telnet 192.168.112.100
Trying 192.168.112.100 ... Open
Authen by ECIT 
Username: test1
Password: 
Welcome to ECIT 
User Access Verification
Password:                 //這是DMZ的vty密碼
DMZ#

  解決ASA對HTTP的直接認(rèn)證上述不安全問題


    1. HTTP重定向

    2. 虛擬HTTP

    3. Secure HTTP


 HTTP重定向

ASA(config)# aaa authentication listener http  DMZ port http redirect

ASA訪問控制列表與穿越用戶認(rèn)證_03

Secure HTTP

ASA(config)# aaa authentication secure-http-client   //不能和上面一起用
    //與HTTP重定向幾乎一樣,只是在①那一段是加密的

虛擬HTTP

//原理幾乎一樣,只是在①那一段被重定向到ASA的一個(gè)虛擬接口上,當(dāng)然這個(gè)虛擬接口在策略上可達(dá)
ASA(config)#virtual http 202.100.1.101 warning 這個(gè)地址一般設(shè)為ASA接口所在網(wǎng)段的一個(gè)地址


授權(quán)

 Download ACL 優(yōu)先于接口和全局ACL

ASA訪問控制列表與穿越用戶認(rèn)證_03

ASA(config)#virtual telnet 192.168.17.110
ASA(config)#access-list in extended permit tcp any host 192.168.17.110 eq telnet 
ASA(config)#aaa authentication match in inside 3ara
ASA(config)# access-group in in interface inside per-user-override  
    //per-user-override表示將dacl覆蓋該接口的acl,切記要敲,否則dacl不生效

ASA訪問控制列表與穿越用戶認(rèn)證_03

ASA訪問控制列表與穿越用戶認(rèn)證_03

ASA訪問控制列表與穿越用戶認(rèn)證_03

ASA訪問控制列表與穿越用戶認(rèn)證_03

ASA訪問控制列表與穿越用戶認(rèn)證_03

注:切記要用IE,什么谷歌,火狐,歐朋都有問題,這個(gè)破ACS,心好累



審計(jì)

ASA(config)# access-list actelnet permit tcp any any eq telnet 
ASA(config)# aaa accounting match actelnet inside 3ara










向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI