https://kb.pocnet.net/index.php?action=history&feed=atom&title=Cisco-ASA_Layer-7-Inspection%2FDNS-PTR-DLPCisco-ASA Layer-7-Inspection/DNS-PTR-DLP - Versionsgeschichte2026-05-19T23:18:18ZVersionsgeschichte dieser Seite in KnowledgebaseMediaWiki 1.43.8https://kb.pocnet.net/index.php?title=Cisco-ASA_Layer-7-Inspection/DNS-PTR-DLP&diff=1713&oldid=prevPoC: Ergänzung für TCP2015-09-14T22:07:26Z<p>Ergänzung für TCP</p>
<p><b>Neue Seite</b></p><div>Die '''Cisco ASA''' hat so einige Features, u.&thinsp;A. eine '''Layer-7-Inspection'''. Sie kann in Pakete eines Streams schauen und die Verbindung basierend auf den gefundenen Werten unterbrechen.<br />
<br />
Im folgenden Beispiel werden relevante Konfigurationsfragmente aufgezeigt, welche verhindern, dass DNS-Anfragen von extern in den gemäß [https://tools.ietf.org/html/rfc1918 RFC1918] definierten Netzbereichen zum DNS gelangen (sollen).<br />
<br />
Diese Konfiguration wurde auf einer ASA mit Firmware Version 9.2 getestet.<br />
<br />
== Festlegen der Layer-¾-Übereinstimmungen ==<br />
class-map dns-traffic<br />
match port udp eq 53<br />
<br />
Policies (also Regelwerke) arbeiten immer mit Class-Maps. Daher ist diese zusätzliche Verknotung leider notwendig.<br />
<br />
Die DNS-Inspection-Engine kommt (noch?) '''nicht''' mit TCP-Verbindungen zurecht. Schiebt man TCP-DNS-Traffic zur Inspection-Engine, bleiben die Pakete darin hängen, bis die Firewall-Logik die eigentliche TCP-Verbindung mit einem SYN-Timeout unterbricht. Daher genügt die einfache Klassifizierung auf ''udp/53''.<br />
<br />
Das bedeutet aber auch, dass die beschriebene Konfiguration mit einem <code>dig +tcp</code> auf einfache Weise umgangen werden kann. Daher sind zusätzliche Sicherungsmaßnahmen auf dem DNS selbst unumgänglich. Alternativ kann auch firewallseitig nur UDP-Traffic zum DNS durchgelassen werden. Dies stellt im Allgemeinen kein Problem dar, solange nicht externe Slave-DNS per Zonentransfer vom zu schützenden DNS ihre Informationen aktuell halten. Durch die Verfügbarkeit von [https://de.wikipedia.org/wiki/EDNS EDNS] sollten auch beim Einsatz von [https://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions DNSSEC] keine funktionalen Einschränkungen auftreten. Getestet habe ich dies indes noch nicht.<br />
<br />
== Festlegen der Layer-7-Übereinstimmungen ==<br />
Anhand von [https://de.wikipedia.org/wiki/Regulärer_Ausdruck Regexen] wird festgelegt, welche Anfragen eine Übereinstimmung erzielen sollen:<br />
regex 10.in-addr.arpa "\.10\.[Ii][Nn]-[Aa][Dd][Dd][Rr]\.[Aa][Rr][Pp][Aa]"<br />
regex 168.192.in-addr.arpa "\.168\.192\.[Ii][Nn]-[Aa][Dd][Dd][Rr]\.[Aa][Rr][Pp][Aa]"<br />
regex 1x.172.in-addr.arpa "\.1[6-9]\.172\.[Ii][Nn]-[Aa][Dd][Dd][Rr]\.[Aa][Rr][Pp][Aa]"<br />
regex 2x.172.in-addr.arpa "\.2[0-9]\.172\.[Ii][Nn]-[Aa][Dd][Dd][Rr]\.[Aa][Rr][Pp][Aa]"<br />
regex 3x.172.in-addr.arpa "\.3[0-1]\.172\.[Ii][Nn]-[Aa][Dd][Dd][Rr]\.[Aa][Rr][Pp][Aa]"<br />
<br />
Diese einzelnen Regexe werden in einer Klasse (als Oder-Verknüpfung, ''match-any'') zusammengefasst<br />
class-map type regex match-any dns_rfc1918<br />
description Match queries for internal addresses<br />
match regex 10.in-addr.arpa<br />
match regex 1x.172.in-addr.arpa<br />
match regex 2x.172.in-addr.arpa<br />
match regex 3x.172.in-addr.arpa<br />
match regex 168.192.in-addr.arpa<br />
<br />
Nun wird die PMap erstellt, in welcher festgelegt wird, was bei einer Übereinstimmung getan werden soll. Im Beispiel sind auch ein paar nützliche und als aus Erfahrung gut funktionierende Einstellungen für zusätzliche Überwachungen parametriert.<br />
policy-map type inspect dns dns_out_in_map<br />
parameters<br />
message-length maximum client auto<br />
message-length maximum server auto<br />
no nat-rewrite<br />
id-randomization<br />
id-mismatch count 300 duration 300 action log<br />
match domain-name regex class dns_rfc1918<br />
drop-connection log<br />
<br />
== Zusammenfügen zum Großen Ganzen ==<br />
Nun können in einer generischen (non-Inspect) PMap die Klassen und die Inspection-Policies miteinander verknüpft werden:<br />
policy-map outside-in_policy<br />
class dns-traffic<br />
inspect dns dns_out_in_map <br />
<br />
Damit Pakete wie gewünscht inspiziert werden, muss diese PMap an eine Netzwerkschnittstelle gebunden werden:<br />
service-policy outside-in_policy interface outside fail-close<br />
<br />
Natürlich können die beiden Regelwerke auch in der globalen PMap untergebracht werden. Dies habe ich hier absichtlich nicht getan, ich möchte innerhalb der internen Netzwerksegmente keine Einschränkungen der DNS-Auflösungen haben.<br />
<br />
== Log ==<br />
Im Logging der ASA tauchen bei Fehlversuchen diese Meldungen auf:<br />
%ASA-4-410003: DNS Classification: Dropped DNS request (id 42553) from outside:203.0.113.10/46054 to dmz:198.51.100.20/53; matched Class 43: match domain-name regex class dns_rfc1918<br />
%ASA-4-507003: udp flow from outside:203.0.113.10/46054 to dmz:198.51.100.20/53 terminated by inspection engine, reason - inspector disconnected, dropped packet.<br />
<br />
== Fußnoten ==<br />
<references /><br />
<br />
== Weblinks ==<br />
* [http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100535-asa-8x-regex-config.html#cre Cisco.com: ASA/PIX Regular Expressions] (en)<br />
<br />
[[Kategorie: Cisco]]<br />
[[Kategorie: Internet]]</div>PoC