ASA, Configuracion basica de Botnet Filter

Buenas Tardes,

Malware es un software el cual se instala en un cliente dentro de la red y comienza a enviar informacion sensitiva hacia internet, como contraseñas, informacion crediticia, el ingreso de informacion por el teclado (key logger) etc.

Esta actividad puede ser detectada por Botnet Traffic Filter, cuando el cliente infectado comienza una conexion a una direccion IP conocida.

Botnet Traffic Filter comprueba las conexiones de entrada y salida contra una base de datos dinamica que contiene una lista de dominios y direcciones IP.

cisco-asa-botnet-traffic-flow.png

Ejemplo de configuracion

Paso 1: Habilitar DNS para el ASA, asi que pueda resolver la IP de Cisco y poder bajar la actualizacion de la base de datos

dns domain-lookup outside

Paso 2: Habilitar cliente de actualización dinámica del filtro y que use la base de datos.

dynamic-filter updater-client enable
dynamic-filter use-database

Paso 3: Marcar el traffico que deseamos inspecionar

access-list DYNAMIC-FILTER_ACL extended permit tcp any any eq 80
Paso 4: Habilitar el filtrado hacia la interfaz de salida y usando la lista de accesso (ACL) que creamos en el paso anterior.

dynamic-filter enable interface outside classify-list DYNAMIC-FILTER_ACL
Paso 5: Configurar y habilitar la inspecion de paquete DNS

class-map DYNAMIC-FILTER_SNOOP_CLASS
  match port udp eq domain
policy-map DYNAMIC-FILTER_SNOOP_POLICY
  class DYNAMIC-FILTER_SNOOP_CLASS
    inspect dns dynamic-filter-snoop

service-policy DYNAMIC-FILTER_SNOOP_POLICY interface outside


Con esta configuracion, el ASA va a poder identificar los dominios y direcciones IP que perteneces a paginas conocidas como maliciosas.
Bloquearlas y mandar un mensaje de log al servidor de logs.

Saludos,



380
Visitas
5
ÚTIL
0
Comentarios