นโยบายการควบคุมการเข้าถึง หรือ Access Control Policy บน Cisco FTD (Firepower Threat Denfense) เป็นนโยบายแรกที่เราใช้ เนื่องจากเป็นนโยบายปกติซึ่งไว้สำหรับกำหนดค่าในไฟร์วอลล์ นโยบาย FTD ACL เราไม่เพียง Filter การรับส่งข้อมูลในเลเยอร์ 3 และเลเยอร์ 4 เท่านั้น แต่ยังสามารถควบคุมในระดับ Layer 7 หรือแอปพลิเคชัน รวมไปถึงโปรแกรมต่างๆ ในแอปพลิเคชันที่เราสามารถควบคุมได้ผ่านนโยบาย ACL นี้ เช่น เราต้องการ block เพียง Chat และการกด Like ใน Facebook เท่านั้น แต่ยังให้ผู้ใช้งานสามารถเล่น Facebook ได้ ซึ่งในบทความนี้ จะเป็นเพียงตัวอย่างวิธีการควบคุมการรับส่งข้อมูลในเลเยอร์ 4 ชั้น Transport Layer เท่านั้นนะครับ
บทความนี้เป็นบทความที่ 3 ซึ่งต่อเนื่องจากบทความ Firewpower ที่ผ่านมานะครับ หากใครต้องการย้อนกลับไปดูบทความการติดตั้ง FTD และ FMC ที่ผ่านมาแบบ Step by Step สามารถคลิกไปที่ Link ตามด้านล่างนี้นะครับ จะเป็นตัวอย่างการเริ่มต้นการคอนฟิก Firewall Firepower ของ Cisco ด้วยกันครับ
ส่วนด้านล่างนี้เป็น จะเป็นไดอะแกรมการเชื่อมต่อที่เราจะเข้ามาคอนฟิกด้วยกันในบทความนี้นะครับ
ในบทความนี้ เราจะเพิ่ม Default Rule เพื่อบล็อกทุกๆ การรับส่งข้อมูล และเราจะเพิ่ม Policy ไปอีก 2 ข้อเพื่ออนุญาตการรับส่งข้อมูล Web และ DNS ครับ
นอกจากนี้เรายังจะกล่าวถึงการดำเนินการต่างๆ ที่สามารถกำหนดค่าได้ในแต่ละ Rule นอกเหนือจากการบล็อกและอนุญาต เราจะมีคำจำกัดความสำหรับแต่ละวิธีการและทดสอบวิธีการเหล่านี้ด้วยกัน
นอกจากนี้เรายังจะได้เรียนรู้วิธีบันทึกการรับส่งข้อมูลที่น่าสนใจและตรวจสอบการเชื่อมต่อแบบเรียลไทม์ ซึ่งมีความสำคัญมากต่อการแก้ไขปัญหาหรือการ Troubleshoot ของอุปกรณ์ FTD ครับ
1. การตั้งค่าเวลาและโซนเวลา
ในขั้นตอนแรก ตรวจสอบให้แน่ใจว่าได้กำหนดค่าเวลาและโซนเวลาอย่างถูกต้อง เนื่องจากการวิเคราะห์บันทึกเพื่อแก้ไขปัญหาเป็นสิ่งสำคัญมาก
admin -> user prefrences -> General -> Time Zone
Setting -> Configuration -> Time Synchronization -> set ค่าเวลาผ่านทาง NTP หรือ manual เอาก็ได้ครับ
จากตัวอย่างด้านล่างใช้ NTP Server ของทาง Uninet เป็นไอพี 202.28.18.72 หากใครไม่มี Internal NTP ภายในก็สามารถ copy ไอพีนี้นำไปใช้ได้ครับ
2.FTD Access Control Policy: Add a default deny rule
ในส่วนก่อนหน้านี้ เราได้อนุญาต Traffic ทั้งหมด และ Traffic ได้รับการตรวจสอบเพื่อค้นหาการบุกรุกผ่านทาง IPS และ AMP
อย่างไรก็ตาม เราควรต้องทำการ Deny หรือ Drop การรับส่งข้อมูลทั้งหมด และอนุญาตเฉพาะการรับส่งข้อมูลที่เราต้องการเท่านั้น ดังนั้นเราจึงเพิ่ม Rule เริ่มต้นเพื่อ Drop การรับส่งข้อมูลทั้งหมดครับ
Policies -> Access Control -> default IPS -> Edit -> change the name from "default IPS" to "ACL Policy1"
Category: Default -> Add Rule
Name: deny-all
Enabled: set
Action: Block
Tab: Logging
Log at Beginning of Connection: Set
Send Connection Events to: Firepower Management Center: Setด้วย Rule นี้ เราจะบล็อกการรับส่งข้อมูลทั้งหมดระหว่างโซนใดๆ ระหว่างทุกเครือข่าย ทุกพอร์ต และทุกแอปพลิเคชัน นอกจากนี้เรายังเปิดใช้งานการบันทึก Log เพื่อให้สามารถตรวจสอบได้ว่าการรับส่งข้อมูลใดบ้างที่เกิดขึ้น ซึ่งเป็นสิ่งสำคัญในการแก้ไขปัญหา
ทำการ Check Box เพื่อให้สามารถตรวจสอบ Log ต่าง ๆ ได้
นอกจากการดำเนินการบล็อกแล้ว ยังมีการดำเนินการอื่นๆ อีกสองสามอย่างที่เราจำเป็นต้องทราบความแตกต่างระหว่างการดำเนินการเหล่านั้นด้วยครับ
1.Allow – อนุญาตการรับส่งข้อมูล แต่อาจมีการตรวจสอบเพิ่มเติม เช่น นโยบายการสแกนบุกรุกและการตรวจสอบไฟล์ด้วย AMP (Advanced Malware Protection)
2.Trust – การดำเนินการสำหรับการรับส่งข้อมูลที่เชื่อถือได้ หมายถึงการส่งการรับส่งข้อมูลไปยังอินเทอร์เฟซขาออกโดยไม่มีการตรวจสอบใดๆ
3.Monitor – การตรวจสอบ หมายถึงการบันทึกการรับส่งข้อมูลแล้วดำเนินการตาม Rule ที่เหลือต่อไป ซึ่งอาจจะเป็น Rule ที่อยู่ด้านล่าง Rule นี้เป็นต้น
4.Block – บล็อก หมายถึงการรับส่งข้อมูลถูกตัดอย่างเงียบ ๆ ส่งผลทำให้การเชื่อมต่อหรือ Connection นั้นๆ timeout
5.Block with reset – เป็นการตัดการรับส่งข้อมูลเช่นเดียวกัน แต่จะส่งการรีเซ็ต TCP ทั้งสองด้านเพื่อให้การเชื่อมต่อปิดทันที และไม่ timeout
6.Interfactive Block – เป็นการ “บล็อกแบบมีข้อความโต้ตอบให้กับผู้ใข้งาน” หน้าเว็บจะถูกบล็อก แต่ผู้ใช้สามารถเข้าผ่านทางหน้าเว็บได้ โดยหน้าเว็บจะแสดงข้อความเตือนไปยังผู้ใช้งาน ผู้ดูแลระบบสามารถปรับแต่งข้อความ Interfactive Block” ได้
7.Interactive Block with reset – เช่นเดียวกับบล็อกแบบโต้ตอบจะแสดงข้อความเตือนไปยังผู้ใช้งาน แต่จะส่งการรีเซ็ต TCP ไปยังทั้ง 2 ฝั่ง ผู้ดูแลระบบสามารถปรับแต่งข้อความ “บล็อกแบบโต้ตอบ” ได้
3.FTD Access Control Policy: permit HTTP/HTTPS and DNS
จากนั้นเราจะเพิ่มการรับส่งข้อมูลเฉพาะ WEB และ DNS อนุญาตให้รับส่งข้อมูล http, https และ DNS จากโซนภายในไปยังโซนภายนอก และจากเครือข่าย LAN ที่มีซับเน็ต IP 192.168.10.0/24 เท่านั้น (สามารถดูไดอะแกรมประกอบตามด้านบนได้ครับ)
นอกจากนี้เรายังเปิดใช้งานการบันทึกการรับส่งข้อมูลเหล่านี้ตั้งแต่เริ่มต้นและสิ้นสุดการเชื่อมต่อแต่ละครั้ง ซึ่งเป็นที่ชัดเจนว่าการรับส่งข้อมูลที่ถูกบล็อกสามารถบันทึกได้เฉพาะเมื่อเริ่มต้นการเชื่อมต่อเท่านั้น
!!! add an ACL rule in Mandatory category to permit HTTP and HTTPS
Policies -> Access Control -> ACL Policy1 -> Edit -> Category: Mandatory -> Add Rule
Name: permit-http_https
Enabled: set
Action: Allow
Tab: Zones
Source Zones: inside-zone
destination Zones: outside-zone
Tab: Networks
Source Networks: NET_192_168_10 (192.168.10.0/24)
Source Networks: any
Tab: Ports
Selected Destination Ports: HTTP, HTTPS
Tab: Logging
Log at Beginning of Connection: Set
Log at End of Connection: Set
Send Connection Events to: Firepower Management Center: Set
!!! add an ACL rule in Mandatory category to permit DNS
Policies -> Access Control -> ACL Policy1 -> Edit -> Category: Mandatory -> Add Rule
Name: permit-dns
Enabled: set
Action: Allow
Tab: Zones
Source Zones: inside-zone
destination Zones: outside-zone
Tab: Networks
Source Networks: NET_192_168_10 (192.168.10.0/24)
Source Networks: any
Tab: Ports
Selected Destination Ports: DNS_over_UDP
Tab: Logging
Log at Beginning of Connection: Set
Log at End of Connection: Set
Send Connection Events to: Firepower Management Center: Setตามภาพด้านล่างนี้ เราทำการตั้งชื่อ และ Allow จากขา Source (inside) ไปยัง Destination Zone (outside)
เลือก Network หรือ Subnet ภายใน LAN ที่ต้องการอนุญาตให้ Traffic ออกไปได้
เลือก Destination Port ปลายทางเป็น HTTP, HTTPS
เลือกเมนู Logging และเปิด Log ทั้งเริ่มต้น และจบ Connection
เราสามารถทำการอนุญาต DNS ได้ด้วยเช่นเดียวกัน และเราจะเห็นสรุป Policy ต่างๆ ตามภาพด้านล่างนี้ครับ
ใดๆ ก็ตาม อย่าลืม Save และทำการ Deploy จาก FMC ไปยังอุปกรณ์ FTD ของเราด้วยนะครับ 🙂
4.Monitor and Analyze Logs
ตอนนี้เราสามารถตรวจสอบปริมาณการใช้งานที่อนุญาตและบล็อกได้ผ่านเมนู Analyze ครับ
เราสามารถ Filter Log สำหรับรูปแบบการรับส่งข้อมูลตามที่ต้องการได้ ตัวอย่างเช่น เราต้องการตรวจสอบบันทึกที่เกี่ยวข้องกับการรับส่งข้อมูล ICMP ที่ถูกบล็อกจากไอพี 192168.10.10 โดยระบบจะแสดงเฉพาะบันทึกที่เราต้องการเท่านั้น
ทำการ Filter เลือกเฉพาะ Source ไอพีที่ต้องการโดยไปที่ช่อง Initiator IP ครับ
ภาพด้านล่างเราจะเห็น FMC แสดงผล Analyze ว่ามีการบล็อก ICMP เกิดขึ้นจาก Source IP ที่เรากำหนดขึ้นมา
เรายังสามารถกำหนดช่วงเวลาที่ต้องแสดงการบันทึกได้อีกด้วย โดยสามารถกำหนดค่าเอาต์พุตบันทึกให้รีเฟรชโดยอัตโนมัติได้อีกด้วยครับ ตามตัวอย่างด้านล่างนี้ครับ
นี่คือตัวอย่างที่เราสามารถนำไปใช้งานได้นะครับ ซึ่งจะทำให้ระบบเครือข่ายของเรามีความปลอดภัยมากขึ้นครับ และพี่ๆ น้องๆ สามารถติดตามบทความดีๆ แบบนี้ได้เรื่อยๆ เราพยายามที่จะออกบทความใหม่ๆ ในทุกสัปดาห์ ทั้งเรื่อง Routing, Switch, Datacenter, Security, Collaboration รวมไปถึงเทคโนโลยีต่างๆ ด้านการ Configuration ครับ
Reference:
https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212321-clarify-the-firepower-threat-defense-acc.html
https://rayka-co.com/lesson/ftd-access-control-policy
https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212321-clarify-the-firepower-threat-defense-acc.html
https://rayka-co.com/lesson/ftd-access-control-policy
ติดต่อสอบถามข้อมูลเพิ่มเติมได้ที่
Website: www.ablenet.co.th
Facebook: https://www.facebook.com/ablenetcompany
Mobile: 098 859 9000
#Cisco #Firepower #FMC #FTD #Firewall #IPS #AccessRule
