Segurança : Dispositivos de segurança Cisco PIX 500 Series

Restrinja determinadas Versões Cliente VPN Cisco da conexão ao VPN Concentrator/ASA/PIX

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo para que como restrinja determinadas versões do Cisco VPN Client da conexão ao concentrador VPN ou às ferramentas de segurança tais como o PIX e o ASA.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Concentrador da Cisco VPN 3000 Series com versão 4.x

  • Cisco VPN Client com versão 4.x e mais tarde

  • 5500 Series de Cisco ASA com versão 7.x e mais recente

  • Série do Cisco PIX 500 com versão 7.x e mais recente

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Restrinja a versão do cliente VPN

Configuração do Cisco VPN 3000 Concentrator

O concentrador VPN pode clientes VPN do permit or deny por seus tipo e versão de software.

A fim usar esta característica, entre ao concentrador VPN e escolha o configuration > user management > os grupos. Então escolha o grupo e vá à aba do IPsec.

Construa as regras desta maneira:

p[ermit]/d[eny] :  

Exemplos:

  • negue *:3.6* — Nega todos os clientes VPN que executam a versão de software 3.6x

  • CLIENTE VPN d: 4.6* — Impede usuários com versão 4.6 do cliente VPN para poder estabelecer a conexão de VPN ao concentrador VPN

  • indicadores p: 4.8* — Permite que somente a versão 4.8 conecte

  • p *: 4.8* — Permite toda a plataforma que executar qualquer versão de 4.8

Se o administrador não deseja especificar a plataforma, use esta regra pelo contrário:

p *: 4.8*

Nota: * o caráter é um convite. Você pode usá-lo épocas múltiplas em cada regra.

Use uma linha separada para cada regra.

Peça regras pela prioridade. A primeira regra que combina é a regra que se aplica. Se uma regra mais atrasada a contradiz, o sistema ignora-a. Se você não define nenhuma regras, todas as conexões estão permitidas.

Quando um cliente não combina nenhumas das regras, a conexão está negada. Isto significa que, se você define uma regra da negação, você deve igualmente definir pelo menos uma regra da licença, ou todas as conexões são negadas.

Para o software e os clientes da ferragem, o tipo de cliente e a versão de software devem combinar (diferenciando maiúsculas e minúsculas) em sua aparência na monitoração | Janela sessões, que inclui espaços. Recomenda-se que você copia e cola desse indicador a este.

Use n/a para que o tipo ou a versão identifique a informação que o cliente não envia. Por exemplo, licença n/a: n/a permite que você permita todo o cliente que não enviar o tipo de cliente e a versão.

Você pode usar um total de 255 caráteres para regras. O newline entre regras usa dois caráteres. A fim conservar caráteres, use p para a licença e d para nega. Elimine espaços exceto como necessário para o tipo de cliente e a versão. Você não precisa um espaço antes ou depois dos dois pontos (:).

Configuração ASA/PIX

A fim configurar as regras que limitam os tipos e as versões do cliente de acesso remoto que podem conectar através do IPsec e da ferramenta de segurança, emita o comando da cliente-acesso-regra no modo de configuração da grupo-política. A fim suprimir de uma regra, não emita nenhum formulário deste comando.

Este exemplo mostra como criar regras do acesso do cliente para a política do grupo nomeada FirstGroup. Estas regras permitem os clientes VPN que para executar a versão de software 4.1, quando negue todos os VPN 3002 Hardware Client:

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# client-access-rule 1 d t VPN3002 v *
hostname(config-group-policy)# client-access-rule 2 p * v 4.1 

Quando você constrói regras, refira estas diretrizes:

  • Se você não define nenhuma regras, a ferramenta de segurança permite todos os tipos de conexão.

  • Quando um cliente não combina nenhumas das regras, a ferramenta de segurança nega a conexão. Se você define uma regra da negação, você deve igualmente definir pelo menos uma regra da licença, ou a ferramenta de segurança nega todas as conexões.

  • Para o software e os clientes da ferragem, datilografe e a versão deve combinar sua aparência exatamente na exibição remota da mostra VPN-sessiondb.

  • * o caráter é um convite, que você possa usar épocas múltiplas em cada regra. Por exemplo, a cliente-acesso-regra 3 nega o tipo * a versão 3.* cria uma regra do acesso do cliente da prioridade 3 que negue todos os tipos de cliente que executam o software da versão 3.x.

  • Você pode construir um máximo de 25 regras pela política do grupo.

  • Há um limite de 255 caráteres para um conjunto de regras inteiro.

  • Você pode usar n/a para os clientes que não enviam o tipo de cliente ou a versão.

Nota: A fim restringir o cliente VPN do MAC OS, use a sintaxe “Mac OS X” para que o tipo de plataforma combine conexões do Mac.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 100347