отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
641
Просмотры
5
Полезный материал
6
Ответы
Vladimir Saliy
Beginner

Понятие Stateful в ASA 9.x

День добрый.

Разбираюсь с таким явлением как Stateful в ASA. Я так понимаю что в этом режиме происходит проверка пакетов аж до 7ого уровня модели OSI, когда ASA проверяет содержимое пакета .  Но так и не понял где это прописывается в конфиге .

Что такое stateful в failover разобрался - это когда две ASA в режиме active/active .

Но вот сам режим stateful понятен , но где и на каких версиях включается не понятно.

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

Ну почему же не включен. Если бы не было включено, у вас бы ни ftp бы не заработал, ни SIP или H.323. Сделайте команду show service-policy и вы увидите какие протоколы у вас испектируются. Да, не все по умолчанию включены. Да, те что включены делают по сути базовую испекцию - проверяют чтобы заголовки L7 были корректные (то бишь по RFC). Вы можете расширять этот функционал - писать регулярки например чтобы отлавливать контент в http. И применять это к существующей инспекции.

Например можно сделать так

class-map type inspect ftp match-all ftp-inpect-cmap
        match request-command  DELE 
      policy-map type inspect ftp ftp-inpect-pmap
        parameters
          mask-banner
          mask-syst-reply
        class ftp-inpect-cmap
          reset log
      policy-map global_policy
        class inspection_default
          no inspect ftp 
          inspect ftp strict ftp-inpect-pmap

Здесь Layer 5-7 Inspection инспектирует FTP, и при попытке удалить файл сессия FTP будет дропиться.

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

Просмотреть решение в исходном сообщении

6 ОТВЕТ 6
Leonid Voronkin
VIP Collaborator

Я так понимаю речь идёт про Stateful filtering. Stateful filtering - это когда по умолчанию любой разрешённый трафик включается в БД Stateful filtering. На практике это означает, что достаточно разрешить трафик в направлении его инициализации и ответный трафик будет пропущен автоматически.

То есть ASA отслеживает состояние сетевых подключений, чтобы решения по фильтрации основывались не только на определенных правилах, но и на контексте, который был создан предыдущими подключениями. Например, если пользователь из внутренней сети (inside) делает запрос к серверу во внешней сети (outside), обратный трафик разрешается обратно через брандмауэр (несмотря на списки доступа, которые останавливают весь трафик извне).

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

ASA вообще то и так по умолчанию пробрасывает трафик к удаленному объекту и разрешает ответный трафик от объекта, по запросу. Это нормально для всех фареволов . Уточню свой вопрос, в настройках ASA есть строки

 inspection SPI(stateful packet inspection) , это я так понимаю проверяются пакеты на 7 уровне OSI. Обычно ASA проверяет на 4 ом транспортном уровне, когда в access-list пишем источник , получатель и порт. А меня интересует фильтр для 7 ого уровня, когда и где он включается и какой версии он появляется ?

Да, есть проверка приложений до уровня 7 (FTP, SIP и т. д.). Многие протоколы открывают вторичные порты TCP или UDP. Начальный сеанс на известном порту используется для согласования динамически назначенных номеров портов вспомогательного сеанса. Другие приложения встраивают IP-адрес в заголовок L7, который должен соответствовать адресу источника, который обычно транслируется при прохождении через ASA. Если вы используете подобные приложения, вам нужно включить проверку приложений. Кроме того, дополнительные проверки безопасности могут быть применены к полезной нагрузке приложения.
Появилось уже очень давно. В 8 версии софта ASA уже был
________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

Я понял так что надо создавать вручную SPI для каждого протокола , используя конструкцию

class-map

policy-map

service-policy

и привязывать к интерфейсу

По умолчанию Stateful для протоколов не включен

Ну почему же не включен. Если бы не было включено, у вас бы ни ftp бы не заработал, ни SIP или H.323. Сделайте команду show service-policy и вы увидите какие протоколы у вас испектируются. Да, не все по умолчанию включены. Да, те что включены делают по сути базовую испекцию - проверяют чтобы заголовки L7 были корректные (то бишь по RFC). Вы можете расширять этот функционал - писать регулярки например чтобы отлавливать контент в http. И применять это к существующей инспекции.

Например можно сделать так

class-map type inspect ftp match-all ftp-inpect-cmap
        match request-command  DELE 
      policy-map type inspect ftp ftp-inpect-pmap
        parameters
          mask-banner
          mask-syst-reply
        class ftp-inpect-cmap
          reset log
      policy-map global_policy
        class inspection_default
          no inspect ftp 
          inspect ftp strict ftp-inpect-pmap

Здесь Layer 5-7 Inspection инспектирует FTP, и при попытке удалить файл сессия FTP будет дропиться.

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

Просмотреть решение в исходном сообщении

Дополню ещё тем что на некоторых АСА с какими то версиями софта, в дефолтном конфиге нет вобще дефолтной policy-map .
Ну и мой любимый SIP - например Avaya может использовать TLS и тут уже беда - инспекция SIP не работает, так как пакет зашифрован , скоро напишу об этом заметку , про SDP и SIP и NAT с ними
--------------------------------------------------------------------------

Helping seriously ill children, all together. All information about this, is posted on my blog
Не удалось отобразить этот виджет.