ASA
- Threat detection, remote access
- Placering av ASA bakom annat brandväggskluster
- vpn load-balancing, klient VPN
Threat detection, remote access
För att skydda från botar och intrångsförsök kan man använda sig av threat protection. Threat protection placerar IP-adresser i en shun-lista vid för många inloggningsförsök och/eller för många initationer av klient-tunnel.
Det kräver att man är på rätt ASA-kod:
9.16 version train -> supported from 9.16(4)67 and newer versions within this specific train.
9.18 version train -> supported from 9.18(4)40 and newer versions within this specific train.
9.20 version train -> supported from 9.20(3) and newer versions within this specific train.
9.22 version train -> supported from 9.22(1.1) and any newer versions.
Konf:
threat-detection service invalid-vpn-access
threat-detection service remote-access-authentication hold-down 10 threshold 20
threat-detection service remote-access-client-initiations hold-down 10 threshold 30
Validering:
show threat-detection service
show threat-detection service entries
show threat-detection service remote-access-authentication entries
show shun x
no shun x = ta bort shun för viss IP
clear shun = ta bort shun för samtliga
Om man har PAT på vägen till en vpn-ASA kan det bli problem. Det går inte att rensa en specifik entry som är i recording, det går att rensa samtliga men inte specifik. Jag har ful-löst det här med ett EEM skript som rensar shun-listan var femte sekund:
event manager applet Clear_Shun_PATIP
description Clear PAT IP every 5 seconds
event timer watchdog time 5
event none
action 1 cli command "no shun 1.3.3.7"
output none
Man kan också vilja rensa hela shun-listan varje vecka, då den ej rensas automatiskt.
event manager applet Clear_Shun_Weekly
description Clear shunned IPs every 7 days
event none
event timer watchdog time 604800
action 1 cli command "clear shun"
output none
Placering av ASA bakom annat brandväggskluster
Om man fortfarande kör ASA för exempelvis VPN S2S eller VPN RA så kan det vara bra att placera ASAn bakom ett mer modernt brandväggskluster för att nyttja säkerhetsfunktioner.
En sak man ska ta med sig är att för S2S bör brandväggen fortsatt ha de publika IPv4 adresserna på interfacet, ej använda NAT för att komma åt Internet. Detta då brandväggen injicerar information i IKE-meddelandena gällande vilken IP som finns på utgående interface. Om andra sidan matchar på publika IPn kommer då uppsättningen att misslyckas. Se debug-loggar från en Cisco 4k ISR nedan där den förväntade sig en publik IPv4 adress:
Aug 15 08:39:08: IKEv2:(SESSION ID = 1,SA ID = 1):Process auth response notify
Aug 15 08:39:08: IKEv2:(SESSION ID = 1,SA ID = 1):Searching policy based on peer's identity '172.31.52.4' of type 'IPv4 address'
Aug 15 08:39:08: IKEv2-ERROR:(SESSION ID = 1,SA ID = 1):: Failed to locate an item in the database
Aug 15 08:39:08: IKEv2:(SESSION ID = 1,SA ID = 1):Verification of peer's authentication data FAILED
Aug 15 08:39:08: IKEv2:(SESSION ID = 1,SA ID = 1):Auth exchange failed
Aug 15 08:39:08: IKEv2-ERROR:(SESSION ID = 1,SA ID = 1):: Auth exchange failed
Aug 15 08:39:08: IKEv2:(SESSION ID = 1,SA ID = 1):Abort exchange
Aug 15 08:39:08: IKEv2:(SESSION ID = 1,SA ID = 1):Deleting SA
Aug 15 08:39:11: IPSEC(crypto_ipsec_received_invalid_spi): SPI present in Transient Tree, not sending INVSPI KMI to IKE
Aug 15 08:39:19: IKEv2-ERROR:Address type 2147516258 not supported
vpn load-balancing, klient VPN
Har man flera ASA-brandväggar kan man använda sig av en teknik som heter vpn load-balancing. Det gör att man kan använda sig av samtliga burkar istället för att köra active/standby. Se exempelkonf nedan.
vpn load-balancing
redirect-fqdn enable
priority 3
interface lbpublic Outside
interface lbprivate Inside
cluster key password
cluster ip address 1.1.1.1
cluster encryption
participate
Vill man ta ur en medlem ur klustret kan man slå no participate i läget ovan.
Verifiering sker med show vpn load-balancing.