
การควบคุมแอปพลิเคชั่นของ Cisco FTD มี Default Signature ที่เป็นค่ามาให้แล้วจากทาง Cisco โดยผู้ดูแลระบบสามารถเลือกใช้งานได้ ไม่ว่าจะเป็นแอปพลิเคชั่นหลัก หรือเป็นส่วนย่อย ๆ ของแอปพลิเคชั่นนั้น และบทความนี่เอง จะเป็นตัวอย่างในการ Block โดยใช้แอปพลิเคชั่นบน Firepower นั่นเอง
บทความนี้จะเป็นบทความที่ต่อเนื่องจากบทความที่ผ่านมาในการทำ Access Rule ต่าง ๆ โดยใช้ Port ซึ่งอยู่ใน Layer 4 (Transport Layer) ตั้งค่าในการอนุญาต หรือบล็อก โดยการ Block แอปพลิเคชั่น (Layer 7) นี้เองก็สามารถทำหน้าเดียวกันกับ Access Rule ที่เราได้ทำกันไปแล้ว แต่อยู่คนละ Tab กันนั่นเองครับ
เริ่มจากการตรวจสอบโทโพโลยี เรามี FTD หนึ่งตัวที่มีสองโซน โซนภายใน (Inside) และภายนอก (Outside) ที่มีซับเน็ต IP 192.168.10.0/24 และ 192.168.1.0/24 ตามลำดับ โดยโซนด้านนอกทำหน้าที่เชื่อมต่อกับอินเตอร์เน็ต อินเทอร์เน็ตถูกแชร์ไปยังโซนด้านในด้วยการกำหนด Default Route และ NAT ในส่วนก่อนหน้านี้เรียบร้อยแล้วครับ ดูเพิ่มตามได้จาก Link ด้านล่างนี้ครับ
FTD มีแอปพลิเคชันและไมโครแอปพลิเคชันจำนวนมากผ่าน Sinature ที่กำหนดไว้แล้วจากทางโรงงาน โดยเราสามารถดูได้ในเมนู “Application Detectors” ในเมนูย่อย “Policies”
มี Signature 3,939 ณ วันที่บทความนี้ออก (2 Jan 2024) โดย FTD เป็นเวอร์ชั่น 7.2.5 ซึ่งในแต่ละ Signature ได้รับการจัดประเภทจากเมนูที่แตกต่างกัน ตัวอย่างเช่น ส่วนที่มีความเสี่ยงแค่ไหนหรือโปรโตคอลที่ใช้เป็นอะไรบ้าง
เราสามารถกรองตัวตรวจจับแอปพลิเคชันตามหมวดหมู่เฉพาะได้ ตามตัวอย่างมี 99 แอปพลิเคชันที่อยู่ในแท็ก “allows remote connect”
เราไปดู Step ในการคอนฟิก Application Policy ต่อกันได้เลยครับ โดยเราสามารถค้นหาแอปพลิเคชันและไมโครแอปพลิเคชันได้ใน Policy Rule การควบคุมการเข้าถึงในแท็บ “Application” ตัวอย่างเช่น เมื่อค้นหา “google” แอปพลิเคชันและไมโครแอปพลิเคชันใดๆ ที่เกี่ยวข้องกับ Google ก็จะปรากฏขึ้นมาครับ
เมื่อคลิกปุ่มข้อมูลสีน้ำเงินข้างแอปพลิเคชัน คุณสมบัติของแอปพลิเคชันจะแสดงขึ้น ตัวอย่างเช่น “Google AdSense” เป็นแอปพลิเคชันที่มีความเสี่ยงปานกลางบนเว็บซึ่งมีความเกี่ยวข้องทางธุรกิจต่ำ
หากเราค้นหา Facebook จะเห็นว่าเราสามารถควบคุมไมโครแอปพลิเคชัน “ความคิดเห็นบน Facebook” หรือ “ การกด Like บน Facebook” แยกต่างหากได้ นอกจากนี้ยังสามารถนำไปใช้กับแอปพลิเคชันอื่น ๆ อีกมากมายได้ครับ
ตัวอย่างการกำหนดค่าการควบคุมแอปพลิเคชัน Cisco FTD
สำหรับการทดสอบ เราจะเพิ่ม Rule เพื่อกรองแอปพลิเคชันที่เกี่ยวข้องกับ Amazon และ Web Portal นิตยสารไทม์ “time.com” กัน ตามตัวอย่างด้านล่างนี้ครับ
เรายังเปิดใช้การบันทึกเพื่อให้ตรวจสอบได้ตั้ง Connection เริ่มเกิดขึ้นทันที โดยรายละเอียดทั้งหมดของการรับส่งข้อมูลที่ตรงกันกับ Policy นี้จะถูกบันทึกไว้เพื่อตรวจสอบใน FMC นั่นเองครับ
Note. “Application Control” เป็นฟีเจอร์ที่มากกว่า “URL Filtering” ด้วยการควบคุมแอปพลิเคชัน ผู้ดูแลระบบสามารถควบคุมแอปพลิเคชันได้แม้ว่าจะเข้าถึงได้จากแอปบนมือถือ (ดาวโหลดแอปมาใช้งาน โดยที่ไม่ได้เข้าใช้งานผ่านบราวเซอร์) เนื่องจากไม่เพียงแต่จะรับรู้โดย URL เท่านั้น แต่ยังรวมถึงฟิลด์อื่นๆ อีกมากมายในส่วน Header ของแอปพลิเคชันอีกด้วย
ตรวจสอบและแก้ไขปัญหาการทำ Application Control บน Cisco FTD
เราจะทดสอบด้วยการใช้งานเว็บไซต์ amazon และ time.com ซึ่งเราสามารถตรวจสอบให้แน่ใจว่ามีการบล็อกอย่างถูกต้องหรือไม่ด้วยกันครับ ตามภาพด้านล่างผู้ใช้งานจะไม่สามารถใช้งานเว็บไซต์ amazon.com ได้ครับ
ตอนนี้เรายังสามารถดูบันทึกเพื่อดูรายละเอียดการรับส่งข้อมูลที่ตรงกับ Rule ที่เรากำหนดไว้ได้อีกด้วย
ในการบันทึกเพื่อแสดงเฉพาะเอาต์พุตที่เฉพาะเจาะจง เราใช้ตัวเลือก “Edit Search” เพื่อแสดงเฉพาะบันทึกที่มีการดำเนินการ “Block” และการรับส่งข้อมูลที่ตรงกับชื่อของ Rule “deny_application” ตามภาพด้านล่างนี้
เราสามารถเลือกที่จะแสดง “Table View of Connection Events” ได้อีกด้วย ด้วยตัวเลือกนี้ เราไม่เพียงเห็นรายละเอียดแอปพลิเคชันเท่านั้น แต่ยังรวมถึงกลไก FTD และ Rule ที่ตรงกับการรับส่งข้อมูลอีกด้วย ด้วยตัวเลือกนี้ เราสามารถตรวจสอบได้ว่าผู้ใช้งานถูกบล็อกตรงกันตามที่เราทำ Policy Rule ไว้หรือไม่นั่นเองครับ
และนี่คืออีกบทความซึ่งเป็นหนึ่งในซี่รี่ของการทำคอนฟิก Cisco Firepower ผ่านทาง Cisco FMC โดยเราจะมีบทความแบบนี้ออกมาเรื่อย ๆ หากผู้อ่านทุกท่านไม่อยากพลาดบทความในลักษณะเช่นนี้ อยากขอเชิญชวนกด Like ผ่านทาง Fanpage ของเราไว้นะครับ (AbleNet Fanpage) เมื่อไหร่ที่มีบทความใหม่ ๆ ออกมาเราจะไปโพสบนนั้น เพื่อเตือนทุกคนให้สามารถเข้ามาอ่านร่วมกันได้ครับ เราอยากจะแชร์ อยากแบ่งปันความรู้แบบที่เราได้ไป Implement และติดตั้งให้กับทางลูกค้ามาแล้วในหลาย ๆ งาน เราไม่อยากเก็บรู้เพียงแค่เราเท่านั้นครับ แล้วไว้ฝึกฝนการทำ Configure แบบ Step by Step ไปด้วยกันด้วยผ่านบทความในแบบฉบับเอเบิ้ลเน็ตครับ ขอบคุณมากครับ! 🙂