Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA 7.x ou Posterior: Exemplo de Configuração de Filtro de VPN (Permissão de Porta ou Protocolo Específico) para L2L e Acesso Remoto

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (21 Fevereiro 2011) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Informações de Apoio
Configuração
      Diagrama de Rede L2L
      Configuração de Filtro de VPN L2L
      Configuração de Filtro de VPN Bidirecional
      Diagrama de Rede de Acesso Remoto
      Configuração de Filtro de VPN de Acesso Remoto
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento descreve o procedimento de utilização do PIX/ASA para configurar o filtro de VPN em L2L e o acesso remoto com o Cisco VPN Client.

Os filtros consistem em regras que determinam se os pacotes de dados em túnel recebidos através do security appliance deverão ser permitidos ou rejeitados com base em critérios como endereço de origem, endereço de destino e protocolo. Você pode configurar as ACLs para permitir ou negar vários tipos de tráfego para esta política de grupo. Você também pode configurar este atributo no modo username. Nesse caso, o valor configurado em username terá precedência sobre o valor da política de grupo.

Pré-requisitos

Requisitos

Verifique se você atende a estes requisitos antes de tentar esta configuração:

Componentes Utilizados

As informações neste documento baseiam-se nestas versões de software e hardware:

  • Cisco PIX 500 Series Security Appliance executando a versão 7.x ou posterior

  • Cisco VPN Client versão 4.x ou posterior

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser usada com o software versão 7.x ou posterior do Cisco 5500 Series Adaptive Security Appliance (ASA).

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

O comando sysopt connection permit-ipsec permite que todo o tráfego que entra no security appliance através de um túnel VPN ignore as listas de acesso da interface. A política de grupo e as listas de acesso de autorização por usuário ainda são aplicáveis ao tráfego. No PIX 7.1 ou posterior, o comando sysopt connection permit-ipsec é alterado para sysopt connection permit-vpn. O vpn-filter é aplicado ao tráfego pós-descriptografado após sair de um túnel e ao tráfego pré-criptografado antes de entrar em um túnel.

Uma ACL usada para um vpn-filter não deve ser usada também para um grupo de acesso de interface. Quando um vpn-filter é aplicado a um modo de política de grupo/nome de usuário que controla as conexões do Remote Access VPN Client, a ACL deve ser configurada com os endereços IP atribuídos do cliente na posição src_ip da ACL e a rede local na posição dest_ip da ACL. Quando um vpn-filter é aplicado a uma política de grupo que controla uma conexão VPN L2L, a ACL deve ser configurada com a rede remota na posição src_ip da ACL e a rede local na posição dest_ip da ACL.

access-list <acl-no> <permit/deny> ip <remote network> <local network>

Tenha cuidado ao criar as ACLs para uso com o recurso vpn-filter. As ACLs são criadas com o tráfego pós-descriptografado (tráfego VPN de entrada) em mente. Entretanto, elas também se aplicam ao tráfego originado na direção oposta.

Nota: No fim de cada ACL, existe uma regra não declarada, implícita, que nega todo o tráfego não permitido. Se o tráfego não for permitido explicitamente por uma entrada de controle de acesso (ACE), ele será negado. As ACEs são referidas como regras neste tópico. Neste cenário, consulte a lista de acesso 103 configurada na Configuração de Filtro de VPN L2L.

Configuração

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede L2L

Este documento usa esta configuração de rede para o Filtro de VPN L2L:

pix-asa-vpn-filter-1.gif

Configuração de Filtro de VPN L2L

Este documento utiliza as seguintes configurações:

PIX515-704

PIX515-704# show running-config


access-list 103 extended deny tcp host 172.16.1.2 host 172.22.1.2 eq 80

!--- A lista de acesso 103 é criada para o filtro de VPN.
!--- Esta lista de acesso 103 filtra/nega a solicitação do host remoto (172.16.1.2)
!--- para o servidor Web local (172.22.1.2).

access-list 103 extended permit ip any any

group-policy filter internal
group-policy filter attributes
 vpn-filter value 103

!--- Cria a política de grupo (filter) e especifica o número da lista de acesso
!--- no comando vpn-filter.


tunnel-group 10.20.20.1 general-attributes
 default-group-policy filter

!--- Associa a política do grupo (filter) ao grupo do túnel.

Configuração de Filtro de VPN Bidirecional

O Filtro de VPN funciona bidirecionalmente com uma única ACL. A rede/host remoto é sempre definida no início da ACE, independentemente da direção da ACE (entrada ou saída).

Isso é ilustrado neste exemplo de configuração.

Como ACL é stateful, se o tráfego for permitido em uma direção, o tráfego de retorno para este fluxo será automaticamente permitido.

Nota: Se as portas TCP/UDP não forem usadas com a lista de acesso, ambos os lados poderão se acessar mutuamente. Por exemplo:

access-list 103 permit ip 172.16.1.2 host 172.22.1.1

Nota: Esta ACL permite que o tráfego seja originado de 172.16.1.2 para 172.22.1.1 e também de 172.22.1.1 para 172.16.1.2, pois a ACL é aplicada bidirecionalmente.

PIX515-704

PIX515-704# show running-config



!--- Esta lista de acesso permite o tráfego da rede remota 172.16.1.0
!--- para o servidor Web local na porta 80.


access-list 103 permit tcp 172.16.1.0 255.255.255.0 host 172.22.1.1 eq 80

!--- Esta lista de acesso permite o tráfego na direção inversa,
!--- de 172.22.1.0 para 172.16.1.3 (servidor ftp). O host/rede remoto
!--- é sempre definido como a primeira entrada da ACE, independentemente da direção.


access-list 103 permit tcp host 172.16.1.3 eq 21 172.22.1.0 255.255.255.0


!--- Negação implícita. Nega qualquer tráfego que não seja o permitido.


group-policy filter internal
group-policy filter attributes
 vpn-filter value 103

!--- Cria a política de grupo (filter) e especifica o número da lista de acesso
!--- no comando vpn-filter.


tunnel-group 10.20.20.1 general-attributes
 default-group-policy filter

!--- Associa a política do grupo (filter) ao grupo do túnel.


Diagrama de Rede de Acesso Remoto

Este documento usa esta configuração de rede para o Filtro de VPN de Acesso Remoto:

pix-asa-vpn-filter-2.gif

Configuração do Filtro de Acesso Remoto para VPN

Este documento utiliza esta configuração:

PIX

PIX# show running-config


ip local pool vpnclient 10.16.20.1-10.16.20.5

!--- Cria um pool de endereços do qual os endereços IP são atribuídos
!--- dinamicamente para os clientes VPN remotos.


access-list 103 extended permit udp 10.16.20.0 255.0.0.0 host 172.16.1.1 eq 53

!--- A lista de acesso 103 é criada para o filtro de VPN para a política de grupo (filter).

!--- A lista de acesso 103 permite o acesso ao servidor DNS (172.16.1.1).



!--- Negação implícita. Nega qualquer tráfego que não seja o permitido.


access-list 104 extended permit ip 10.16.20.0 255.0.0.0 172.16.1.0 255.255.255.0

!--- A lista de acesso 104 é criada para o filtro de VPN para o usuário (vpn3000).

!--- Esta lista de acesso 103 permite o acesso da rede 172.16.1.0/24.



!--- Negação implícita. Nega qualquer tráfego que não seja o permitido.


username vpn3000 password nPtKy7KDCerzhKeX encrypted

!--- Para identificar os usuários de acesso remoto no Security Appliance,
!--- você também pode configurar nomes de usuários e senhas no dispositivo,
!--- e não somente usar AAA.


username vpn3000 attributes
 vpn-filter value 104

!--- Aplica o filtro de VPN da ACL 104 no modo de nome de usuário. Este filtro
!--- aplica-se somente a um usuário específico (vpn3000). O filtro de VPN do modo de nome de usuário (acl 104)
!--- tem precedência sobre a política de filtro de VPN (acl 103) aplicada no modo de política de grupo (filter)
!--- para este usuário (vpn3000) sozinho.


group-policy filter internal
group-policy filter attributes
 vpn-filter value 103

!--- Cria a política de grupo (filter) e especifica o número da lista de acesso
!--- no comando vpn-filter.


tunnel-group vpn3000 general-attributes
 default-group-policy filter

!--- Associa a política do grupo (filter) ao grupo do túnel (vpn3000).


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 99103