Cisco ASA – Ograniczenie dostępu do SSL VPN oraz IKE

Dla szukających jak ograniczyć dostęp do usług uruchamianych na Cisco ASA, mam na myśli SSL VPN, czy IKE na samy dole jest aktualizacja jak to zrobić dla IKE przy podatności CVE-2016-1287

Poniżej przedstawię jak ograniczyć dostęp do SSL VPN dla określonych ip lub sieci.

  1. definiujemy Grupę w która będzie zawierać listę hostów lub sieci które będą miały dostęp do SSL VPN
    ASA(config)# object-group network access_ssl_vpn
    ASA(config-network-object-group)# network-object host ip_które_wpóścimy
    ASA(config-network-object-group)# network-object adres_sieci 255.255.255.0
  2. Definiujemy ACL’kę z użyciem wcześniej zdefiniowanej grupy
    ASA(config)# access-list internet extended permit tcp object-group access_ssl_vpn any eq 443
  3.  Dodajemy drugi wpis blokujący resztę świata
    ASA(config)# access-list internet extended deny tcp any any eq 443
  4. przypinamy ACL’kę do Interfejsu który jest wystawiony na świat, w mym przypadku jest to outside z zaznaczeniem dostępu do control-planu
    ASA(config)# access-group internet in interface outside control-plane

Mam nadzieję że komuś się przyda moja notatka

Aktualizacja:

W taki sposób również możemy ograniczyć dostęp do IKE aby kupić sobie czas na podatność Cisco ASA Software IKEv1 and IKEv2 Buffer Overflow Vulnerability (CVE-2016-1287)

wystarczy dodać do access listy internet:

tworzymy obiekt access_to_ike gdzie umieszczamy wszystkie adresy naszych peerów z którymi zestawiamy VPN

oraz dodajemy wpis do ACL’ki

access-list internet extended permit udp object-group access_to_ike any eq isakmp
access-list internet extended deny udp any4 any eq isakmp

 

 

Pasjonat komputerowy od zawsze oraz maniak w zakresie sieci, wirtualizacji oraz bezpieczeństwa IT. Kompetentny inżynier z dużym doświadczeniem w realizacji projektów informatycznych i telekomunikacyjnych. Wieloletni administrator IT, który utrzymuje systemy informatyczne dostosowując je do wymogów biznesowych z zapewnieniem dostępności 24/7/365.
Posts created 126

Related Posts

Begin typing your search term above and press enter to search. Press ESC to cancel.

Back To Top