ASA 5510 üzerinde Advanced Protocol Handling ile İstenmeyen FTP methodlarını engelleme

Şirket networkümüzde ftp protokolünün kullanılmasını bilgilerin dışarıya sızdırılması açısından bir güvenlik açığı olarak görüyorsanız kesinlikle haklısınız fakat ftp protokolünü tamamen kapamak zorunda değilsiniz.Sadece ftp komutlarını yasaklayarak sadece download amaçlı kullanılmasına geri kalan komutların yasaklanmasını sağlayabilirsiniz.

Ben örneğimde sadece belirli bir ftp sunucuya giden methodlar üzeride yasaklama sağlayacağım.Öncelikle trafiğin yönünün ve nereden nereye giderken trafiğin incelenmesi gerektiğini belirtebilmek için access-list ile trafiği yakalatıyorum.

access-list ftp_methodlari_yasak extended permit tcp any host 94.102.79.20 eq ftp
Class-Map içerisinde access-list ile match olan trafiği yakalatıyoruz.

class-map ftp_methodlari_yasak_cm34
match access-list ftp_methodlari_yasak

Layer 7 Policy-Map içerisinde ftp protokolünü inspect ettirerek içerisinde belirttiğimiz komutları yakaladığı taktirde işlemi reset’lemesini sağlıyoruz.

policy-map type inspect ftp ftp_yasak_methodlar_pm
parameters
match request-command appe cdup rnfr rnto put stou site dele mkd rmd
reset

Layer 3/4 Policy-Map içerisine yakaladığımız trafiği ve uygulayacağımız action’u Layer4’e downgrade ederek ilişkilendiriyor daha sonrasında ftp’nin bu duruma göre inspection yapmasını sağlıyoruz.

policy-map ftp_methodlari_yasak_pm34
class ftp_methodlari_yasak_cm34
inspect ftp strict ftp_yasak_methodlar_pm

Cihaz üzerinde default olarak gelen inspeciton rule ftp’yi de inspect etmektedir.Aynı anda iki işlemin birden ispect etmeye çalışması çakışma yaratacağından bu durumu düzelmek için default inspection içerisinden ftp’nin inspect edilmesini iptal ediyoruz.

policy-map global_policy
class inspection_default
no inspect ftp

Son olarak yarattığımız layer3/4 policy-map’imizi service policy içerisinde outside interface’e uygulayarak inspect işlemini hem gelen hem de giden trafik için gerçekleşmesini belirtiyoruz.

service-policy ftp_methodlari_yasak_pm34 interface outside
Bu örnek ile strict ftp üzerinden get ve help komutları dışındaki tüm request methodlar yasaklanmıştır.

show service-policy komutu ile inspection sayaçlarını kontrol edebiliriz ve kaç adet bağlantının resetlendiğini tespit edebiliriz.

clear service-policy interface outside sadece outside üzerine uygulanan service policy sayaçlarını temizleyebiliriz.

Print Friendly, PDF & Email
Share
Bu yazı Cisco Security kategorisine gönderilmiş ve , , , , ile etiketlenmiş. Kalıcı bağlantıyı yer imlerinize ekleyin.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir