Dla szukających jak ograniczyć dostęp do usług uruchamianych na Cisco ASA, mam na myśli SSL VPN, czy IKE na samy dole jest aktualizacja jak to zrobić dla IKE przy podatności CVE-2016-1287
Poniżej przedstawię jak ograniczyć dostęp do SSL VPN dla określonych ip lub sieci.
- definiujemy Grupę w która będzie zawierać listę hostów lub sieci które będą miały dostęp do SSL VPN
ASA(config)# object-group network access_ssl_vpn ASA(config-network-object-group)# network-object host ip_które_wpóścimy ASA(config-network-object-group)# network-object adres_sieci 255.255.255.0
- Definiujemy ACL’kę z użyciem wcześniej zdefiniowanej grupy
ASA(config)# access-list internet extended permit tcp object-group access_ssl_vpn any eq 443
- Dodajemy drugi wpis blokujący resztę świata
ASA(config)# access-list internet extended deny tcp any any eq 443
- przypinamy ACL’kę do Interfejsu który jest wystawiony na świat, w mym przypadku jest to outside z zaznaczeniem dostępu do control-planu
ASA(config)# access-group internet in interface outside control-plane
Mam nadzieję że komuś się przyda moja notatka
Aktualizacja:
W taki sposób również możemy ograniczyć dostęp do IKE aby kupić sobie czas na podatność Cisco ASA Software IKEv1 and IKEv2 Buffer Overflow Vulnerability (CVE-2016-1287)
wystarczy dodać do access listy internet:
tworzymy obiekt access_to_ike gdzie umieszczamy wszystkie adresy naszych peerów z którymi zestawiamy VPN
oraz dodajemy wpis do ACL’ki
access-list internet extended permit udp object-group access_to_ike any eq isakmp access-list internet extended deny udp any4 any eq isakmp