IP Inspection

Bom dia galera!

Falarei agora de ip inspection, uma feature bem interessante de segurança do IOS.

Basicamente é uma funcionalidade stateful, que serve pra realmente inspecionar a direção da comunicação, e liberar somente, geralmente, tráfego originado da rede interna (client) para algum servidor externo. Isso serve para adicionar uma camada extra de segurança com a rede interna. A rede externa é conhecida como untrusted, e a rede interna como trusted. Assim, somente conexões de um protocol específico, como por exemplo FTP podem ser originadas da rede interna somente, bloqueando a requisição originada da rede externa.

A configuração em si é bem simples. Primeiro é definido o tipo de tráfego que será inspecionado. Nesse exemplo usaremos HTTP, mas outros protocolos podem ser usados:

router(config)# inspect name HTTP_INSPECTION http

Depois definimos a direção em que o inspection será aplicado, assim como numa ACL:

router(config-if)# ip inspect HTTP_INSPECTION out (O tráfego de saída será autorizado, vindo da rede interna).

E para que tenhamos uma configuração coerente, podemos simplesmente bloquear todo o tráfego http que chega por essa interface, bloqueando a rede externa de iniciar conexões com a rede interna:

router(config)# access-list 100 deny tcp any any eq www
router(config)# access-list 100 permit ip any any
router(config)# interface fastethernet 0/1
router(config-if)# ip access-group 100 in

Desta maneira, somente o tráfego HTTP terá inspection habilitado.

Para verificação da configuração e estado das conexões inspecionadas:

show ip inspect session [detail | all]

O comando ip inspect audit-trail pode ser habilitado para gerar mensagens syslog no router com o estado das conexões.