Configurazione di una Basic FTP Application Inspection

Formazione \ Tutorial \ Tutorial Cisco \ Configurazione di una Basic FTP Application Inspection - Cisco ASA/PIX

Configurazione di una Basic FTP Application Inspection - Cisco ASA/PIX

Per default, la configurazione include una policy che riconosce tutto il traffico di controllo applicazioni e analizza il traffico su tutte le interfacce (policy globale). Il traffico di default include le porte di default per ogni protocollo. E' possibile applicare una sola policy globale, quindi se si vuole modificare la policy globale, ad esempio per applicare il controllo a tutte le porte non standard, oppure per aggiungere controlli che non sono abilitati di default, è necessario modificare la policy di default oppure disabilitarla e crearne una nuova.

Per una lista di tutte le porte di default:

Inserire il comando policy-map global_policy.

ASAwAIP-CLI(config)#policy-map global_policy

Inserire il comando class inspection_default.

ASAwAIP-CLI(config-pmap)#class inspection_default

Inserire il comando inspect FTP.

ASAwAIP-CLI(config-pmap-c)#inspect FTP

Esiste un'opzione per usare il comando inspect FTP strict. Questo comando incrementa la sicurezza delle reti protette impedendo al web browser di inviare comandi inclusi nelle richieste FTP.

ESEMPIO DI CONFIGURAZIONE

ASA-AIP-CLI(config)#show running-config 

 ASA Version 7.2(2)
!
hostname ASA-AIP-CLI
domain-name corp.com
enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
 nameif Outside
 security-level 0
 ip address 192.168.1.2 255.255.255.0
!
interface Ethernet0/1
 nameif Inside
 security-level 100
ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/2
 nameif DMZ
  security-level 50
  ip address 172.16.1.12 255.255.255.0
!
interface Ethernet0/3
 no nameif
 no security-level
 no ip address
!
interface Management0/0
  no nameif
 no security-level
 no ip address
!

!--- Output is suppressed.


!--- Permit inbound FTP control traffic. 

access-list 100 extended permit tcp any host 192.168.1.5 eq ftp

!--- Permit inbound FTP data traffic.

access-list 100 extended permit tcp any host 192.168.1.5 eq ftp-data
!

!--- Command to redirect the FTP traffic received on IP 192.168.1.5
!--- to IP 172.16.1.5.

static (DMZ,outside) 192.168.1.5 172.16.1.5 netmask 255.255.255.255
access-group 100 in interface outside
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512

policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!

!--- This command tells the device to
!--- use the "global_policy" policy-map on all interfaces.

service-policy global_policy global
prompt hostname context
Cryptochecksum:4b2f54134e685d11b274ee159e5ed009
: end
ASA-AIP-CLI(config)#

Login

Utenti Collegati

53 visitatori online

CORSI UFFICIALI

Scarica il calendario corsi

Guarda la mappa dei percorsi formativi

Cisco Security Advisories

VMware Security Advisories

VMware RSS Feeds Have Moved

Possiamo aiutarti?

Chat with us live!