Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Điều kiện trong ACP (Access Control Policy)

    Điều kiện trong ACP (Access Control Policy)


    Khi cấu hình ACP rule, bạn có thể áp dụng các điều kiện (conditions) khác nhau để xác định và kiểm soát lưu lượng mạng: 1. Zones
    • Match lưu lượng khi đi vào hoặc đi ra từ một interface thuộc một security zone cụ thể.
    • Zone là nhóm logic của một hoặc nhiều interface theo chính sách bảo mật và thiết kế mạng.
    2. Tham số OSI Layer 2–4
    • VLAN (chỉ áp dụng trong IPS/IDS deployment).
    • Source/destination IP, địa lý IP, protocol, và cổng nguồn/đích.
    • TCP/UDP: kiểm soát dựa trên transport layer protocol và port.
    • ICMP: kiểm soát dựa trên ICMP type/code.
    • Ngoài ra có thể áp dụng với các protocol khác (không dùng port) thông qua port conditions.
    3. Tham số OSI Layer 7
    • Applications: match lưu lượng dựa trên ứng dụng trong session. Có thể filter theo loại, mức độ rủi ro, độ quan trọng trong business, categories, hoặc tags.
    • URLs: kiểm soát dựa trên URL trong session. Có thể match website cụ thể, dùng danh sách/feeds, hoặc dựa vào phân loại và mức độ rủi ro.
    4. Tham số khác
    • User identity và realm: match lưu lượng dựa trên người dùng/realm, yêu cầu cấu hình Identity Policy để xác thực và map identity.
    • Cisco ISE attributes: match dựa trên Scalable Group Tag (SGT).
    Khi trong một rule có nhiều điều kiện, tất cả các điều kiện phải match thì rule mới khớp.
    Port Conditions vs. Application Conditions


    Cisco Secure Firewall triển khai ACP qua ASA engineSnort engine. Cách xử lý khác nhau tuỳ vào loại condition:
    • Port-based condition
      • Rule dựa trên port được triển khai trực tiếp trong ASA engine.
      • Ưu điểm: xử lý nhanh, hiệu quả.
      • Nhược điểm: có thể match sai nếu ứng dụng chạy trên non-native port.
      • Ví dụ: Rule block Telnet (TCP/23) sẽ block bất kỳ traffic nào tới cổng 23. Lưu lượng bị drop ngay tại ASA, không gửi đến Snort.
    • Application-based condition
      • Rule dựa trên ứng dụng luôn phải gửi đến Snort để xác định ứng dụng (application detector).
      • Quá trình Snort cần 3–5 packets đầu tiên để nhận diện ứng dụng ⇒ có thể cho phép một vài packet đầu tiên đi qua trước khi block.
      • Ưu điểm: nhận diện đúng ứng dụng (Telnet, kể cả chạy trên port khác).
      • Nhược điểm: chậm hơn, tốn CPU, có thể để lọt gói reconnaissance ban đầu.
      • Ví dụ: Rule block Telnet (application) sẽ được ASA permit và forward sang Snort. Sau khi Snort xác định application = Telnet (AppID 861:1), lưu lượng mới bị block.
    Best Practices về thứ tự rule trong ACP
    • Ưu tiên đặt các rule cụ thể (IP, network, port, zone) lên trên.
    • Các rule application-based (chung chung hơn, cần Snort xử lý) nên đặt thấp hơn trong policy để giảm tải.
    • Không nên viết rule quá “lỏng” (chỉ match theo application) ở vị trí đầu vì sẽ làm giảm hiệu suất hệ thống.
    Kết luận kỹ thuật
    • Port-based rules: nhanh, hiệu quả, nhưng có thể match sai nếu ứng dụng chạy port khác.
    • Application-based rules: chính xác, đặc biệt khi ứng dụng thay đổi port, nhưng tốn CPU và có nguy cơ lọt gói reconnaissance.
    • Trong thực tế:
      • Inside → Outside: có thể chấp nhận rule application-based (người dùng truy cập dịch vụ).
      • Outside → Inside: nên ưu tiên port-based hoặc kết hợp nhiều điều kiện để giảm nguy cơ reconnaissance.
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
    Tags: None
Previous template Next
Working...
X