ASA CX filtrowanie na podstawie aplikacji

Kontrolowanie aplikacji

Będąc administratorem sieci w danej firmie musimy zadbać o to, żeby przestrzegane były polityki bezpieczeństwa naszej firmy. Jak w omawianym wcześniej artykule, wykorzystując moduł ASA CX możemy bardzo dokładnie określić do jakich treści internetowych pracownicy będą mogli mieć dostęp. Poza ruchem webowym jest jeszcze ruch aplikacyjny, który z dnia na dzień staje się coraz większy. ASA CX jako Next Generation Firewall jest w stanie zablokować dostęp do wybranych przez nas aplikacji. Częścią odpowiadającą za to jest AVC – Application Visibilty Control. Jest w stanie rozpoznać ponad 1000 aplikacji i 75000 mikroaplikacji. Cała baza jest dostępna pod tym adresem: Cisco ASA. Cisco cały czas pracuje nad rozbudową bazy aplikacji, które będzie można kontrolować. My jako użytkownicy ASY nie musimy się zastanawiać nad technologią jaką dane aplikacje wykorzystują. Możemy je zablokować albo nie. Zarządzanie przez PRSM jest bardzo łatwe i logiczne. Kontrolujemy aplikacje ze względu na porty i protokoły jakie wykorzystują jak również na ich „zachowanie”. Nie musimy blokować całych aplikacji, możemy wyłączać ich pojedyncze opcje np. możliwość uploadu zdjęć lub video, bądź umieszczania postów w przypadku aplikacji social network. Można w ten sposób zablokować dostęp użytkownikom sieci do „lajkowania” na Facebooku lub sciągania aplikacji przez iTunes. W momencie zablokowania przez urządzenie jakiejś aplikacji użytkownik nie jest o tym informowany, nie pojawiają się żadne strony ostrzegawcze czy innego rodzaju alerty. Mamy dwa mechanizmy filtrowania AVC: Broad AVC i Web AVC.

Podstawowe różnice pomiędzy Broad AVC i Web AVC

Broad AVC obsługuje wiele protokołów, przez co jest mniej dokładny niż Web AVC. Jako przykład można podać typ aplikacji: email, a jako aplikacje SMTP (Simple Mail Transfer Protocol), jeśli ustawimy jako deny w polisach, użytkownicy nie będą mogli wysyłać poczty. Zdarza się też tak, że aplikacje nie wykorzystują standardowych portów dla danego protokołu. Mimo, że zablokowaliśmy SMTP na porcie 25, aplikacja wysyłająca na porcie np. 6754 będzie dalej działać. Trzeba zwracać na to uwagę w momencie wprowadzania polis. Web AVC jest bardziej dokładny. Jeżeli chodzi o wiadomości możemy jako rodzaj aplikacji do zablokowania ustawić komunikatory internetowe, np.: Yahoo Messenger i zablokować poprzez niego wymianę plików. Użytkownicy będą mogli nadal korzystać z aplikacji (rozmawiać ze sobą) ale już nie będą mogli przesyłać zdjęć. Innym przykładem może być Facebook. W niektórych firmach dostęp do tego serwisu jest całkowicie zablokowany. Dzięki szczegółowej inspekcji w ASIE CX nie musimy blokować całego serwisu, mamy możliwość zablokowania np.: uploadowania zdjęć do galerii lub klikania guzika „Like”. Można zablokować również korzystanie z gier facebookowych jak FarmVille czy MafiaWars. Jest to wszystko do wybrania z menu rozwijalnego w momencie określania reguł.

Innymi popularnymi aplikacjami obsługiwanymi przez ASĘ CX są np.: You Tube, BitTorrent, Skype, Google+, iTunes.

Niektóre aplikacje korzystają z tego, że szyfują swój ruch. W takim przypadku trzeba poddać taką aplikację specjalnej inspekcji i deszyfrowaniu. Robi się to za pomocą polis. Ruch musi być odszyfrowany aby móc zastosować polisy bezpieczeństwa do aplikacji.

Przegladanie aplikacji na CX:
Polices -> Applications
Z listy rozwijalnej można wybrać różne opcje przeglądania aplikacji np.: View by Application Name lub View by Application by Type

Podglądanie wszystkich opcji związanych z aplikacją Facebook:

View new Applications, podglądanie nowych dostępnych aplikacji:

Broad AVC przykłady:

Będziemy chcieli, żeby użytkownicy mogli wysyłać emaile tylko przez port 25. ASA zablokuje wszystkie inne aplikacje, które będą chciały wykorzystać SMTP na innym porcie. Tworzymy obiekt (Polisy->Obiekty) z listy rozwijalnej I want to wybieramy Add Application-Service object.

W zakładce Policy dodajemy nową Access Policy. Przez ustawienie Allow dla SMTP na porcie 25 pozwolimy na ruch emailowy tylko na tym porcie. Używamy do tego wcześniej stworzonego obiektu.

W zakładce Policy dodajemy nową Access Policy. Będzie ona blokować ruch SMTP na wszystkich innych portach.

Web AVC:
Naszym przykładem będzie blokowanie niektórych rzeczy na Facebooku.

Zakładka Policy->Access Policy. W opcji Application wyszukujemy Facebook. Będzie tam wiele opcji, wybieramy General. Nie zaznaczając wcześniej Deny będziemy mogli ręcznie wybrać co chcemy zablokować.

Blokowanie Facebookowych gier. Chcemy zablokować wszystkie wiec znajdujemy opcje Facebook: Games i deny dla wszystkich.

Blokowanie możliwości uploadowania zdjęć przez użytkownika. Jest to również zdefiniowane z góry w Application/Serwice o nazwie Facebook Photos and Videos.

Mamy też przykład wspomnianego wcześniej Yahoo Messengera. Pozwalamy prowadzić konwersację natomiast blokujemy możliwość przesyłania plików pomiędzy użytkownikami.

Jak widać na zamieszczonych powyżej przykładach dla wprawionego administratora wprowadzenie zasad korzystania z aplikacji internetowych w życie nie powinno byc żadnym problemem. Należy wziąć pod uwagę to, że aplikacje cały czas są rozbudowywane i że ich opcje mogą się zmieniać z dnia na dzień. Gdyby trzeba było ręcznie wprowadzać zmiany do firewalla dla każdej aplikacji np: raz w tygodniu (zakładając że deweloperzy naszych aplikacji nie wprowadzają uaktualnień częsciej i dostawalibyśmy informacje, że nowe zmiany są wprowadzane) było by zadaniem właściwie niemożliwym do wykonania.