Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA 7.x ASDM: Restrinja o acesso de rede de usuários do acesso remoto VPN

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (1 Julho 2009) | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo usando o Cisco Adaptive Security Device Manager (ASDM) para restringir quais redes internas os usuários do acesso remoto VPN podem acessar por trás do Mecanismo de Segurança PIX ou do Adaptive Security Appliance (ASA). É possível limitar os usuários do acesso remoto VPN apenas às áreas da rede que deseja que elas acessem quando você:

  1. Crie Listas de acesso.

  2. Associe-os com as políticas do grupo.

  3. Associe aquelas políticas do grupo com os grupos de túneis.

Refira configurar o Cisco VPN 3000 Concentrator obstruindo com filtros e atribuição de filtro RADIUS a fim aprender mais sobre a encenação onde o concentrador VPN obstrui o acesso dos usuários VPN.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão 7.1(1) da ferramenta de segurança do 500 Series do PIX seguro Cisco

    Nota:  O PIX 501 e as ferramentas de segurança 506E não apoiam a versão 7.x.

  • Versão 5.1(1) do Cisco Adaptive Security Device Manager

    Nota:  O ASDM está somente disponível em PIX ou em ASA 7.x.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser utilizada com estas versões de hardware e software:

  • Versão 7.1(1) adaptável da ferramenta de segurança do 5500 Series de Cisco ASA

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

asdm-restrict-remot-net-access-1.gif

Neste exemplo de configuração, uma rede corporativa pequena com três sub-redes é suposta. Este diagrama ilustra a topologia. As três sub-redes são intranet, engenharia, e folha de pagamento. O objetivo deste exemplo de configuração é permitir o Acesso remoto dos pessoais de folha de pagamento ao intranet e às sub-rede de folha de pagamento e impedir que alcancem a sub-rede da engenharia. Também, os coordenadores devem poder alcançar remotamente as sub-redes do intranet e da engenharia, mas não a sub-rede de folha de pagamento. O usuário da folha de pagamento neste exemplo é "controller1". O usuário da engenharia neste exemplo é "engineer1".

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar o acesso através do ASDM

Termine estas etapas para configurar a ferramenta de segurança PIX usando o ASDM:

  1. Selecione a configuração > o VPN > a política do general > do grupo.

    asdm-restrict-remot-net-access-2.gif

  2. Baseado no que etapas foram tomadas para configurar grupos de túneis no PIX, as políticas do grupo puderam já existir para aqueles grupos de túneis cujos usuários você deseja restringir. Se uma política adequada de grupo já existe, escolha-a e o clique edita. Se não, clique adicionam e escolhem a Política interna de grupo….

    asdm-restrict-remot-net-access-3.gif

  3. Caso necessário, dá entrada com ou muda o nome da política do grupo na parte superior do indicador que abre.

  4. No tab geral desmarcar a caixa herdar ao lado do filtro e clique-a então controlam.

    asdm-restrict-remot-net-access-4.gif

  5. O clique adiciona o ACL para criar uma lista de acessos nova na janela de gerenciador ACL que aparece.

    asdm-restrict-remot-net-access-5.gif

  6. Escolha um número para a lista de acessos nova e clique a APROVAÇÃO.

    asdm-restrict-remot-net-access-6.gif

  7. Com seu ACL novo selecionado à esquerda, o clique adiciona o ACE para adicionar uma entrada de controle de acesso nova à lista.

    asdm-restrict-remot-net-access-7.gif

  8. Defina a entrada de controle de acesso (ACE) que você deseja adicionar.

    Neste exemplo, o primeiro ACE em ACL 10 permite o acesso IP à sub-rede de folha de pagamento de toda a fonte.

    Nota: À revelia, o ASDM seleciona somente o TCP como o protocolo. Você deve escolher o IP se você deseja ao acesso IP completo dos usuários do permit or deny. APROVAÇÃO do clique quando você for terminado.

    asdm-restrict-remot-net-access-8.gif

  9. O ACE que você apenas adicionou agora aparece na lista. Escolha adicionam o ACE outra vez para adicionar todas as linhas adicionais à lista de acessos.

    asdm-restrict-remot-net-access-9.gif

    Neste exemplo, um segundo ACE é adicionado a ACL 10 a fim permitir o acesso à sub-rede de intranet.

    asdm-restrict-remot-net-access-10.gif

  10. Clique a APROVAÇÃO uma vez que você é feito que adiciona ACE.

    asdm-restrict-remot-net-access-11.gif

  11. Selecione o ACL que você definiu e povoou nas últimas etapas para ser o filtro para sua política do grupo. Clique a APROVAÇÃO quando você é feito.

    asdm-restrict-remot-net-access-12.gif

  12. O clique aplica-se para enviar as mudanças ao PIX.

    asdm-restrict-remot-net-access-13.gif

  13. Se você o tem configurado para fazer assim sob opções > preferências, o ASDM inspeciona os comandos que está a ponto de enviar ao PIX. O clique envia.

    asdm-restrict-remot-net-access-14.gif

  14. Aplique a política do grupo que apenas foi criada ou alterada ao grupo de túneis correto. Clique o grupo de túneis no quadro esquerdo.

    asdm-restrict-remot-net-access-15.gif

  15. Escolha o grupo de túneis que você deseja aplicar a política do grupo a e o clique edita.

    asdm-restrict-remot-net-access-16.gif

  16. Se sua política do grupo foi criada automaticamente (veja etapa 2), verifique que a política que do grupo você apenas configurou está selecionada na caixa suspensa. Se sua política do grupo não foi configurada automaticamente, selecione-a da caixa suspensa. Clique a APROVAÇÃO quando você é feito.

    asdm-restrict-remot-net-access-17.gif

  17. O clique aplica-se e, se alertado, o clique envia para adicionar a mudança à configuração de PIX.

    Se a política do grupo foi selecionada já você pôde receber uma mensagem que dissesse que “nenhuma mudança esteve feita.” Clique em OK.

  18. Repita etapas 2 a 17 para todos os grupos de túneis adicionais a que você goste de adicionar limitações.

    Neste exemplo de configuração, é igualmente necessário restringir o acesso dos coordenadores. Quando o procedimento for o mesmo, estes são alguns indicadores em que as diferenças são notáveis:

    • Lista de acessos nova 20

      asdm-restrict-remot-net-access-18.gif

    • Escolha a lista de acessos 20 como um filtro na política do grupo de engenharia.

      asdm-restrict-remot-net-access-19.gif

    • Verifique que a política do grupo de engenharia está ajustada para o grupo de túneis de planejamento.

      asdm-restrict-remot-net-access-20.gif

Configurar o acesso através do CLI

Termine estas etapas para configurar a ferramenta de segurança usando o CLI:

Nota: Alguns dos comandos mostrados nesta saída são derrubados a uma segunda linha devido às razões espaciais.

  1. Crie duas listas de controle de acesso diferentes (15 e 20) que estão aplicadas aos usuários enquanto conectam ao acesso remoto VPN. Esta lista de acessos é chamada mais atrasada na configuração.

    ASAwCSC-CLI(config)#access-list 15 remark permit IP access from ANY 
    source to the payroll subnet (10.8.28.0/24) 
    
    ASAwCSC-CLI(config)#access-list 15 extended permit ip 
    any 10.8.28.0 255.255.255.0
    
    ASAwCSC-CLI(config)#access-list 15 remark Permit IP access from ANY 
    source to the subnet used by all employees (10.8.27.0)
    
    ASAwCSC-CLI(config)#access-list 15 extended permit ip 
    any 10.8.27.0 255.255.255.0
    
    ASAwCSC-CLI(config)#access-list 20 remark Permit IP access from ANY 
    source to the Engineering subnet (192.168.1.0/24)
    
    ASAwCSC-CLI(config)#access-list 20 extended permit ip 
    any 192.168.1.0 255.255.255.0
    
    ASAwCSC-CLI(config)#access-list 20 remark Permit IP access from ANY 
    source to the subnet used by all employees (10.8.27.0/24)
    
    ASAwCSC-CLI(config)#access-list 20 extended permit ip 
    any 10.8.27.0 255.255.255.0
    
  2. Crie dois conjuntos de endereços diferentes VPN. Crie um para a folha de pagamento e um para os usuários remotos da engenharia.

    ASAwCSC-CLI(config)#ip local pool Payroll-VPN 
    172.10.1.100-172.10.1.200 mask 255.255.255.0
    
    ASAwCSC-CLI(config)#ip local pool Engineer-VPN 172.16.2.1-172.16.2.199 
    mask 255.255.255.0
    
  3. Crie as políticas para a folha de pagamento que se aplicam somente lhes quando conectam.

    ASAwCSC-CLI(config)#group-policy Payroll internal
    
    ASAwCSC-CLI(config)#group-policy Payroll attributes
    
    ASAwCSC-CLI(config-group-policy)#dns-server value 10.8.27.10
    
    ASAwCSC-CLI(config-group-policy)#vpn-filter value 15
    
    
    !--- Call the ACL created in step 1 for Payroll.
    
    
    ASAwCSC-CLI(config-group-policy)#vpn-tunnel-protocol IPSec
    
    ASAwCSC-CLI(config-group-policy)#default-domain value payroll.corp.com
    
    ASAwCSC-CLI(config-group-policy)#address-pools value Payroll-VPN
    
    
    !--- Call the Payroll address space that you created in	step 2.
    
    
  4. Esta etapa é a mesma como etapa 3 a não ser que seja para o grupo de engenharia.

    ASAwCSC-CLI(config)#group-policy Engineering internal
    
    ASAwCSC-CLI(config)#group-policy Engineering attributes
    
    ASAwCSC-CLI(config-group-policy)#dns-server value 10.8.27.10
    
    ASAwCSC-CLI(config-group-policy)#vpn-filter value 20
    
    
    !--- Call the ACL that you created in step 1 for Engineering.
    
    
    ASAwCSC-CLI(config-group-policy)#vpn-tunnel-protocol IPSec
    
    ASAwCSC-CLI(config-group-policy)#default-domain value Engineer.corp.com
    
    ASAwCSC-CLI(config-group-policy)#address-pools value Engineer-VPN
    
    
    !--- Call the Engineering address space that you created in step 2.
    
    
  5. Crie usuários locais e atribua os atributos que você apenas criou 2 aqueles usuários para restringir seu acesso aos recursos.

    ASAwCSC-CLI(config)#username engineer password cisco123
    
    ASAwCSC-CLI(config)#username engineer attributes
    
    ASAwCSC-CLI(config-username)#vpn-group-policy Engineering
    
    ASAwCSC-CLI(config-username)#vpn-filter value 20
    
    ASAwCSC-CLI(config)#username marty password cisco456
    
    ASAwCSC-CLI(config)#username marty attributes
    
    ASAwCSC-CLI(config-username)#vpn-group-policy Payroll
    
    ASAwCSC-CLI(config-username)#vpn-filter value 15
    
  6. Crie os grupos de túneis que contêm políticas da conexão para os usuários da folha de pagamento.

    ASAwCSC-CLI(config)#tunnel-group Payroll type ipsec-ra
    
    ASAwCSC-CLI(config)#tunnel-group Payroll general-attributes
    
    ASAwCSC-CLI(config-tunnel-general)#address-pool Payroll-VPN
    
    ASAwCSC-CLI(config-tunnel-general)#default-group-policy Payroll
    
    ASAwCSC-CLI(config)#tunnel-group Payroll ipsec-attributes
    
     ASAwCSC-CLI(config-tunnel-ipsec)#pre-shared-key time1234
    
  7. Crie os grupos de túneis que contêm políticas da conexão para os usuários da engenharia.

    ASAwCSC-CLI(config)#tunnel-group Engineering type ipsec-ra
    
    ASAwCSC-CLI(config)#tunnel-group Engineering general-attributes
    
    ASAwCSC-CLI(config-tunnel-general)#address-pool Engineer-VPN
    
    ASAwCSC-CLI(config-tunnel-general)#default-group-policy Engineering
    
    ASAwCSC-CLI(config)#tunnel-group Engineering ipsec-attributes
    
    ASAwCSC-CLI(config-tunnel-ipsec)#pre-shared-key Engine123
    

Uma vez que você configuração é inscrito, você pode ver este área destacada em sua configuração:

Nome de dispositivo 1
ASA-AIP-CLI(config)#show running-config 

ASA Version 7.2(2) 
!
hostname ASAwCSC-ASDM
domain-name corp.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
!
interface Ethernet0/0
 nameif Intranet
 security-level 0
 ip address 10.8.27.2 255.255.255.0 
!
interface Ethernet0/1
 nameif Engineer
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
!
interface Ethernet0/2
 nameif Payroll
 security-level 100
 ip address 10.8.28.0
!
interface Ethernet0/3
 no nameif    
 no security-level
 no ip address
!
interface Management0/0
 no nameif    
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp.com
access-list Inside_nat0_outbound extended permit ip any 172.10.1.0 255.255.255.0 
access-list Inside_nat0_outbound extended permit ip any 172.16.2.0 255.255.255.0 
access-list 15 remark permit IP access from ANY source to the 
   Payroll subnet (10.8.28.0/24)
access-list 15 extended permit ip any 10.8.28.0 255.255.255.0 
access-list 15 remark Permit IP access from ANY source to the subnet 
   used by all employees (10.8.27.0)
access-list 15 extended permit ip any 10.8.27.0 255.255.255.0 
access-list 20 remark Permit IP access from Any source to the Engineering 
   subnet (192.168.1.0/24)
access-list 20 extended permit ip any 192.168.1.0 255.255.255.0 
access-list 20 remark Permit IP access from Any source to the subnet used 
   by all employees (10.8.27.0/24)
access-list 20 extended permit ip any 10.8.27.0 255.255.255.0 
pager lines 24
mtu MAN 1500
mtu Outside 1500
mtu Inside 1500
ip local pool Payroll-VPN 172.10.1.100-172.10.1.200 mask 255.255.255.0
ip local pool Engineer-VPN 172.16.2.1-172.16.2.199 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (Intranet) 1 interface
nat (Inside) 0 access-list Inside_nat0_outbound
nat (Inside) 1 192.168.1.0 255.255.255.0
nat (Inside) 1 10.8.27.0 255.255.255.0
nat (Inside) 1 10.8.28.0 255.255.255.0
route Intranet 0.0.0.0 0.0.0.0 10.8.27.2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy Payroll internal
group-policy Payroll attributes
 dns-server value 10.8.27.10
 vpn-filter value 15
 vpn-tunnel-protocol IPSec 
 default-domain value payroll.corp.com
 address-pools value Payroll-VPN
group-policy Engineering internal
group-policy Engineering attributes
 dns-server value 10.8.27.10
 vpn-filter value 20
 vpn-tunnel-protocol IPSec 
 default-domain value Engineer.corp.com
 address-pools value Engineer-VPN
username engineer password LCaPXI.4Xtvclaca encrypted
username engineer attributes
 vpn-group-policy Engineering
 vpn-filter value 20
username marty password 6XmYwQOO9tiYnUDN encrypted privilege 0
username marty attributes
 vpn-group-policy Payroll
 vpn-filter value 15
no snmp-server location
no snmp-server contact
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto dynamic-map Outside_dyn_map 20 set pfs 
crypto dynamic-map Outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map Outside_map 65535 ipsec-isakmp dynamic Outside_dyn_map
crypto map Outside_map interface Outside
crypto isakmp enable Outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
tunnel-group Payroll type ipsec-ra
tunnel-group Payroll general-attributes
 address-pool vpnpool
 default-group-policy Payroll
tunnel-group Payroll ipsec-attributes
 pre-shared-key *
tunnel-group Engineering type ipsec-ra
tunnel-group Engineering general-attributes
 address-pool Engineer-VPN
 default-group-policy Engineering
tunnel-group Engineering ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:0e579c85004dcfb4071cb561514a392b
: end
ASA-AIP-CLI(config)#  

Verificar

Use as potencialidades de monitoramento do ASDM verificar sua configuração:

  1. Selecione a monitoração > o VPN > as estatísticas de VPN > as sessões.

    Você vê as sessões de VPN ativas no PIX. Selecione a sessão que você está interessado dentro e clique detalhes.

    asdm-restrict-remot-net-access-21.gif

  2. Selecione a aba ACL.

    Os ACL hitcnt refletem o tráfego que corre através do túnel do cliente às redes permitidas.

    asdm-restrict-remot-net-access-22.gif

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 69308