Могу ли я использовать ASA5505 для подмены ответа на запрос сердцебиения?

Question

Могу ли я использовать ASA5505 для подмены ответа на запрос сердцебиения?

У меня CISCO ASA 5505 в домашнем офисе. Имеет две подсети, публичную и приватную. В частной сети есть Wi-Fi Belkin Router, который обеспечивает Wi-Fi для некоторых пользователей. Этот маршрутизатор belkin отправляет уведомление о пульсе на предварительно запрограммированный IP-адрес, но ASA отбрасывает пакет. Я не хочу, чтобы пакет прошел. Я предпочитаю, чтобы Белкин не мог позвонить домой таким образом, но этот Белкин не может отключить проверку сердцебиения.

Итак, мне интересно, смогу ли я заставить ASA ответить на этот привет?

Или, может быть, вы можете сказать мне, как сделать настройку переадресации с ASA, которая может перенаправить проверку сердцебиения на хост в локальной сети, сопоставив домашний IP-адрес телефона с локальной сетью?

Вот сообщение об удалении брандмауэра от belkin в ASA.

3 datetime 50.16.219.4 192.168.3.5 Deny inbound icmp src outside:50.16.219.4 dst inside:192.168.3.5 (type 0, code 0)

Я доволен интерфейсом CISCO ASDM, но мне удалось также настроить некоторые параметры в командной строке.

Другой внутренний DNS-сервер ( например, это лекарство) на данный момент не подходит.

Спасибо за любой совет.

-2

cisco-asa heartbeat spoofing

Источник

ndasusers 05 янв '15 в 16:57

1 ответ

Другие вопросы по тегам cisco-asa heartbeat spoofing

ndasusers 13 янв '15 в 16:53 2015-01-13 16:53 · Answer 1 · 2015-01-13 16:53

Может быть, ответ да. Это в основном шпилька NAT, подтвержденная на странице Cisco о лечении DNS.

Я попытался сделать это на другом брандмауэре в другом офисе. Ниже приведены некоторые настройки, которые, по-моему, перенаправляют трафик так, как я хотел Я сделал эти конфигурации в ASDM, но я только чувствую свой путь до конца. Я надеюсь, что эксперт может помочь мне найти недостатки или лучшие идеи.

Я добавил дополнительные комментарии, чтобы объяснить:

Result of the command: "show running-config"
...
!-- this server is monitoring the network anyway, so it is on 24/7
name 192.168.1.66 local-heartbeat.com description attempted destination for spoofed pings
!-- This is the destination that was blocked.
name 50.16.219.4 belkin.heartbeat.com description domain to redirect ping traffic
...
interface Vlan2 nameif outside security-level 0
 ip address 192.168.154.100 255.255.255.0 !-- Front IP of the firewall I working on.
...
dns server-group DefaultDNS
 name-server 192.168.250.254   !-- This is the dns in the greater office complex
 domain-name theoraffice.local

!-- I read the next one required to allow interfaces to connect in Hairpin NAT.
!-- I don't know if this is a true hairpin, because the external belkin server
!-- is actually external.
same-security-traffic permit intra-interface

!-- Rule to allow pings to belkin
...
access-list outside_access_in extended permit icmp any host belkin.heartbeat.com 
...
!-- I am behind a firewall at 1.100
icmp permit 192.168.1.100 255.255.255.252 outside
...
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
...

!-- This rule is the one that redirects the ping, when I ping with domain name.
static (outside,inside) local-heartbeat.com belkin.heartbeat.com netmask 255.255.255.255 dns 
...

Это работает, когда я пинг на Belkin.com. Пример:

[auser@192.168.2.20]$ ping heartbeat.belkin.com

Pinging heartbeat.belkin.com [192.168.1.66] with 32 bytes of data:
Reply from 192.168.1.66: bytes=32 time=2ms TTL=63
Reply from 192.168.1.66: bytes=32 time=19ms TTL=63
Reply from 192.168.1.66: bytes=32 time=20ms TTL=63
Reply from 192.168.1.66: bytes=32 time=11ms TTL=63

Ping statistics for 192.168.1.66:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 2ms, Maximum = 20ms, Average = 13ms

В этом тесте пинг вернулся с локального сервера.

Вот скриншоты конфига.

Настройка для разрешения шпильки NAT. Включить трафик между интерфейсами

Позволяет выполнить проверку связи с внешним сервером пульса. введите описание изображения здесь

Шпилька NAT Правило перенаправления попытки на локальный хост. Шпилька НАТ правило

Чтобы проверить это, я удалил единственное правило NAT для шпильки, затем сделал ipconfig /flushdns на ноутбуке с Windows и попытался пропинговать belkin.com.

[auser@192.168.2.20]$ ping heartbeat.belkin.com

Pinging heartbeat.belkin.com [50.16.219.4] with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 50.16.219.4:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Теперь у меня есть два других вопроса.

Сначала со снятой шпилькой пинг направился к Белкину и был заблокирован. Это хорошо, но меня это удивляет. Почему он заблокирован, хотя я сделал правило, чтобы разрешить ранее, и не изменил это правило доступа на этом этапе?

Во-вторых, почему этот вопрос получил понижение?