CISCO Pix Firewall 6.1 (özellikleri ve konfigurasyonu)

Adaptive Security Algorithm(ASA)

PIX “Stateful” kontrol yaratmak icin kullanılan bu algoritma ile, dışarıdan iç(korunan) ağ’a doğru gelen her paketi ASA ve hafızada tutulan baglantı durumu bilgisini kontrol eder. TCP protokolü gereği korunan ağlardan yapılmış bir isteğe cevap niteliği taşıyan paketler, yada korunan ağlarda bulunan sunuculara (örneğin WEB) doğru gelen istekler dışındaki paketleri keser, izin verdigi paketlerin de paket yapısını kontrol edip içeri geçirir. Bu tarz bir güvenlik sistemi diğer firewall sistemlerine göre daha emniyetli kabul edilmektedir.

• Özellikle izin verilmezse bütün ICMP paketleri kesilir.

• UDP protocolu için de TCP’de olduğu gibi bir “istek yapan ip - cevap veren ip” tablosu oluşturulur.

Ve bu tabloya yazılmış bir bağlantı durumuna ait olmayan bütün paketler kesilir.
NOT: Check Point ‘de de buna benzer bir sistem kullanılmaktadır.

Nat ve Pat

PIX diğer bütün firewall’lar gibi Nat (Network Address Translation) yapabilmektedir. Dinamik Nat icin DHCP sunucu kullanılabilir. Pat yani port address translation yapılabilir.

Cut-through Proxy

Performansı artırma amacı taşıyan bu uygulama ile, bir kimlik tanılama sunucusu tarafından onaylanan kullanıcılardan PIX’e gelen paketler, diğer tüm firewall’lardan farklı olarak OSI katmanındaki 7.ci seviye olan uygulama (application) seviyesinde kontrol edilmeksizin dogrudan paket akışına tabii olurlar. 7.ci katman uygulamalarının kontrolu zaman ve kaynak tüketen bir uygulama oldugu icin, Cut-through proxy imkanına hak verilmiş kullanıcılar için önemli oranda performans artırımı sağlanmış olur.

Access Control

PIX üzerinde, ağ kullanıcılarına, 3 ayrı şekilde hak tanımı yapılabilir.

AAA Integration:
Radius yada TACACS sunucular ile PIX’in entegre edilmesi mümkündür. Sunucularda tanımlanan kullanıcılara, “User” (kullanıcı) bazında haklar verilebilir.

Access Lists:
PIX uzerine Access-list (erişim listesi) yada access-group komutları ile yazılan access-list’lerle ip bazında haklar tanımlanabilir.

Conduit :
Access-list’lerle aynı işlevi gören conduit ve outbound komutları ile ip bazında haklar tanımlanabilir. Ancak access-listler daha çok tercih edilmektedir.

Ataklardan Korunma

PIX ile ağ aktivitesi gereğince yapılabilecek, aşağıdaki belli başlı bazı atak türlerinden korunma saglanabilir. Bunlara ek olarak PIX üzerinde kısıtlı bir atak türü (signature) veritabanı ile IDS savunması yapılabilmektedir. Bu konu sonraki bölümlerde anlatılacaktır.


Unicast Reverse Path Forwarding:
“Reverse Route Lookup” olarak da bilinen bu özellik ile içerden ve dışardan kaynaklanabilecek “Ip Spoofing” aktivitesini engellemeye yardımcı olmak amaçlanmıstır. Dışardan gelen paketler icin “source address” uyumlulugu kontrol edilir.Yani iç ağa ait bir “source ip” ile dışardan gelinemez. Ayrıca dışarı doğru giden paketlerin hedef ip’ye varsa en kısa yoldan gitmeleri amaçlanır. Tabii ki bunun icin route tablosuna hedef ip için tanımlama yapmak gereklidir.

Flood Guard:
Bu özellik AAA servisinin cevaplanmayan login girişimlerindeki bekleme süresini kontrol eder. Böylece AAA servisi üzerinden gelebilecek bir DoS (denial of service) atağını engellemek amaçlanır. Ve AAA servisinin optimum şekilde kullanılması sağlanır.
Default olarak aktiftir, floodguard 1 komutuyla kontrol edilir.

Flood Defender:
Bu ozellik iç sistemlere TCP SYN paketleri kullanılarak yapılabilecek DoS ataklarına karşı geliştirilmiştir. Nat ve static komutlarına “maximum embryonic connections” opsiyonu set edilerek kullanılır. Bir iç sistemle kurulabilecek maksimum bağlantı sayısı (“maximum embryonic connections”) sistemin kapasitesine göre belirlenir, bu sayı aşıldıktan sonra başka bağlantıya izin verilmez.

FragGuard and Virtual Re-Assembly:
Bu özellik ile “teardrop.c” gibi saldırılarla bölünmüş ve bozulmuş ip paketlerinin sistemlere zarar vermesini engellemek amaçlanmıstır. PIX üzerinden yönlendirilen bozuk yada yarım paketler, sanal olarak düzeltilir ya da tamamlanır.
Aksi halde drop edilir. Bu özellik default olarak açıktır.

DNS Control:
Her zaman aktif olan bu özellikle iç ağdaki bir makinadan birden çok DNS sunucusuna yapılmış DNS isteğine, verilen ilk cevabın kabul edilmesi sağlanır. Diğer sunucuların cevapları kesilir.

ActiveX Blocking:
PIX, activex bloklama özelliği ile HTML web sayfasındaki HTML <object> komutlarını bloke eder. Bilindiği gibi ActiveX teknolojisi ağ kullanıcıları için pek çok potansiyel problem içermektedir.

Java Filtering:
Bu özellik korunan ağdaki bir sistemin, Java Aplet’lerini download etmesini engellemek için kullanılır.

Url Filtering:
PIX, NetPartners Websense ürünü ile beraber çalışarak Url Filtreleme yapmaktadır. Dışa doğru olan Url istekleri Websense sunucusuna yönlendirilir. Ve PIX Websense sunucu üzerinde tanımlanmış Url kurallarına(policy) göre davranır.



Kaynak: Cisco Web Sayfası
http://www.cisco.com/univercd/cc/td/...m#xtocid227512

[swe]

Sevgili root ;
çok ama çok teşekkür ederim ilginiz beni mahçup ediyor
bir iki web yasaklama örneği komutu da yazarsan minnettar olacağım
iyi çalışmalar

[swe]

teşekkür ederim bu denli ciddi bakmanız insanları bu siteye bağlıyor
devamını dilerim

[korhanaydın]

Alıntı:

swe´isimli üyeden Alıntı

Sevgili root ;
çok ama çok teşekkür ederim ilginiz beni mahçup ediyor
bir iki web yasaklama örneği komutu da yazarsan minnettar olacağım
iyi çalışmalar

Kod:

Router(config)#class-map match-any yasak 
Router(config-cmap)#match protocol http url xxxxxx.com
Router(config-cmap) #match protocol http url deneme.com
exit
Router(config)#policy-map cde
exit
Router(config)#interface serial0/0
Router(config-if)#service-policy output cde
exit

sonra kaydedin çıkın.
selametle

[swe]

Sana Nasıl Teşekkür edeciğimi bilemiyorum çok ama çoooooooooooook teşekkür ederim

[swe]

Sayın Korhan AYDIN,
Notunuzu aldım ilk komutu uyguladım ama cisco asa5505 diğer komutları kabul etmiyo yrdımcı olurmusunuz komutların karşısına yazdım
Router(config)#class-map match-any yasak ( Uyguladım ok)
Router(config-cmap)#match protocol http url xxxxxx.com (Komutu kabul etmiyor)
Router(config-cmap) #match protocol http url deneme.com (Komutu kabul etmiyor)
exit
Router(config)#policy-map cde
exit
Router(config)#interface serial0/0
Router(config-if)#service-policy output cde
exit

[swe]

isterseniz size IP mi vereyim girip deneyiniz

[swe]

Segili Korhan bey,
bende sadece cisco asa5505 var bununla web yasaklama ve vlan kurabilirmiyim ,benim 4 adet sabit kiralanmış IP im var bunların birini serwer'e verip oradaki online programı çalıştırmak istiyorum da
yardımcı olursanız sevinirim teşekkürler

[x25]

Vlan örneği

hostname(config)# interface vlan 100
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# backup interface vlan 400
hostname(config-if)# no shutdown


hostname(config-if)# interface vlan 200
hostname(config-if)# nameif inside(bu bir kalıp değil opsiyonel)
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.2.1.1 255.255.255.0
hostname(config-if)# no shutdown

hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 100
hostname(config-if)# no shutdown

hostname(config-if)# interface ethernet 0/1
hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown

[swe]

Harikasın x25 teşekkür ederim,
malimi okuduysan birde sık,sık ciscoasam kesiliyor onun için ne yapmam gerekir
kolay gelsin