Contents

ASA Firewall MPF

   Mar 9, 2023     3 min read

Ex. ASA MPF 기본구성

사진첨부

Step. 01

  • Application Layer Control(DPI) : Telnet 서버

사진첨부

방법

vIOS2)

line vty 0 4
password it
login
transport input all



결과

사진첨부

사진첨부

W7)

telnet 1.1.12.1 - O
ping 1.1.12.1 - O



# show tcp brief

사진첨부

Step. 02

  • Telnet 서버만 거부, 나머진 전부 허용

방법

access-list inside_in extended deny tcp host 192.168.20.1 host 1.1.12.1 eq 23
access-list inside_in extended permit ip any any
access-group inside_in in interface inside



결과

사진첨부

W7)

telnet 1.1.12.1 - X
ping 1.1.12.1 - O



사진첨부

Step. 03

  • NAT 구성을 통해 포트 우회하기

사진첨부

방법

vIOS3)

ip nat inside source static tcp 1.1.12.1 23 1.1.13.1 80

interface g0/1
ip nat inside

interface g0/0
ip nat outisde



결과

사진첨부

사진첨부

W7)

telnet 1.1.12.1 - X
telnet 1.1.13.1 80 - O



Step. 04

  • Application Layer Control(DPI) : HTTP

사진첨부

결과

사진첨부

사진첨부

W7)

telnet 1.1.12.1 - X
telnet 1.1.13.1 80 - O
http://www.x.com - O
http://www.y.com - O



Step. 05

  • Application Layer Control(DPI) : HTTP
  • MPF의 DPI기능을 사용하여 Port 우회를 차단하고, 내부 사용자가 http://www.x.com 접속하려는 경우 URP filter를 사용하여 접속을 차단하기

방법

ASA)

regex Deny_URL1 “.\.x\.com”

class-map type regex match-any Deny_RUL
match regex Deny_URL1

class-map type inspect http HTTP_DPLC
match request header host regex class Deny_URL

policy-map type inspect http HTTP_DPI_P
class HTTP_DPI_C
drop-connection log
parameters
protocol-violation action drop-connection log

class-map HTTP_C
match port tcp eq 80

policy-map HTTP_P
class HTTP_C
inspect http HTTP_DPI_P

service-policy HTTP_P interface inside



결과

사진첨부

사진첨부
13.1 80도 접근이 되지 않는다.

사진첨부

W7)

telnet 1.1.12.1 - X
telnet 1.1.13.1 80 - X
http://www.x.com - X
http://www.y.com - O



Step. 06

  • Inside 사용자가 FTP 서버에서 파일을 다운로드하는 경우 ‘exe’라는 키워드가 들어 있는 파일의 전송은 차단하고, FTP 배너 메시지가 공개되지 않도록 MPF를 구성하기

사진첨부

방법

ASA)

regex Deny_FTP_File “.\.([eE][xX][eE])”

class-map type inspect ftp DPI_FTP_C
match filename regex Deny_FTP_File

policy-map type inspect ftp DPI_FTP_P
class DPI_FTP_C
reset
parameters
mask-banner

class-map FTP_C
match port tcp eq 21

policy-map FTP_P
class FTP_C
inspect ftp strict DPI_FTP_P

service-policy FTP_P interface inside



결과

사진첨부

사진첨부

W7)

telnet 1.1.13.1 80 - X
http://www.x.com - X
http://www.y.com - O




사진첨부

사진첨부

W7)

ftp://192.168.10.2

> ftp 192.168.10.2
administrator / wa

> dir
> bin
> hash
> get 1.txt
> get 2.exe



사진첨부 

#show run policy-map HTTP_P
#show service-policy interface inside