Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA 7.x ASDM: Restrição do Acesso à Rede de Usuários de VPN de Acesso Remoto

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (17 Abril 2007) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Diagrama de Rede
      Convenções
Configuração do Acesso via ASDM
Configuração do Acesso via CLI
Verificação
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento fornece um exemplo de configuração de utilização do Cisco Adaptive Security Device Manager (ASDM) para determinar quais redes internas os usuários de VPN de acesso remoto poderão acessar por trás do PIX Security Appliance ou do Adaptive Security Appliance (ASA). É possível limitar os usuários de VPN de acesso remoto somente a áreas da rede que você deseja que eles acessem quando você:

  1. Cria listas de acesso.

  2. Associa os usuários a políticas de grupo.

  3. Associa essas políticas de grupo a grupos de túneis.

Consulte Configurando o Cisco VPN 3000 Concentrator para o Bloqueio com Filtros e Atribuição de Filtro de RADIUS para aprender mais sobre o cenário onde o VPN Concentrator bloqueia o acesso de usuários da VPN.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco Secure PIX 500 Series Security Appliance versão 7.1(1)

    Nota:  Os PIX 501 e 506E Security Appliances não oferecem suporte à versão 7.x.

  • Cisco Adaptive Security Device Manager versão 5.1(1)

    Nota:  O ASDM só está disponível no PIX ou no ASA 7.x.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Essa configuração também pode ser utilizada com estas versões de hardware e software:

  • Cisco ASA 5500 Series Adaptive Security Appliance versão 7.1(1)

Diagrama de Rede

Este documento usa esta configuração de rede:

asdm-restrict-remot-net-access-1.gif

Neste exemplo de configuração, uma pequena rede corporativa com três sub-redes foi considerada. Este diagrama ilustra a topologia. As três sub-redes são Intranet, Engineering e Payroll. O objetivo deste exemplo de configuração é permitir o acesso remoto do pessoal responsável pela folha de pagamento às sub-redes Intranet e Payroll e impedir que eles acessem a sub-rede Engineering. Além disso, os engenheiros devem ser capazes de acessar remotamente as sub-redes Intranet e Engineering, mas não a sub-rede Payroll. O usuário de folha de pagamento neste exemplo é o "controller1". O usuário engenheiro neste exemplo é o "engineer1".

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração do Acesso via ASDM

Execute estes passos para configurar o PIX Security Appliance utilizando o ASDM:

  1. Selecione Configuration > VPN > General > Group Policy.

    asdm-restrict-remot-net-access-2.gif

  2. Com base nos passos executados durante a configuração dos grupos de túneis no PIX, as políticas de grupo podem já existir para aqueles grupo de túneis cujos usuários você deseja restringir. Se já houver alguma política de grupo adequada, selecione-a e clique em Edit. Caso contrário, clique em Add e selecione Internal Group Policy....

    asdm-restrict-remot-net-access-3.gif

  3. Se necessário, insira ou altere o nome da política de grupo no topo da janela que será exibida.

  4. Na guia General, desmarque a caixa Inherit próxima a Filter e, em seguida, clique Manage.

    asdm-restrict-remot-net-access-4.gif

  5. Clique em Add ACL para criar uma nova lista de acesso na janela ACL Manager que será exibida.

    asdm-restrict-remot-net-access-5.gif

  6. Escolha um número para a nova lista de acesso e clique em OK.

    asdm-restrict-remot-net-access-6.gif

  7. Com sua nova ACL selecionada à esquerda, clique em Add ACE para adicionar uma nova entrada de controle de acesso à lista.

    asdm-restrict-remot-net-access-7.gif

  8. Defina a entrada de controle de acesso (ACE) que você deseja adicionar.

    Neste exemplo, a primeira ACE na ACL 10 permite o acesso IP à sub-rede Payroll a partir de qualquer origem.

    Nota: Por padrão, o ASDM seleciona somente o TCP como protocolo. Você deve selecionar IP caso deseje permitir ou negar acesso total de IP aos usuários. Clique em OK quando tiver concluído.

    asdm-restrict-remot-net-access-8.gif

  9. A ACE recém-adicionada agora será exibida na lista. Selecione Add ACE novamente para incluir linhas adicionais à lista de acesso.

    asdm-restrict-remot-net-access-9.gif

    Neste exemplo, uma segunda ACE é adicionada à ACL 10 para permitir o acesso à sub-rede Intranet.

    asdm-restrict-remot-net-access-10.gif

  10. Clique em OK quando terminar de adicionar ACEs.

    asdm-restrict-remot-net-access-11.gif

  11. Selecione a ACL definida e preenchida nos passos anteriores para ser o filtro de sua política de grupo. Clique em OK quando estiver pronto.

    asdm-restrict-remot-net-access-12.gif

  12. Clique em Apply para enviar as alterações para o PIX.

    asdm-restrict-remot-net-access-13.gif

  13. Caso você o tenha configurado para isso em Options > Preferences, o ASDM visualizará os comandos que estiver prestes a enviar ao PIX. Clique em Send.

    asdm-restrict-remot-net-access-14.gif

  14. Aplique a política de grupo recém-criada ou modificada ao grupo de túneis adequado. Clique em Tunnel Group no quadro esquerdo.

    asdm-restrict-remot-net-access-15.gif

  15. Selecione o grupo de túneis que deseja que tenha a política de grupo aplicada e clique em Edit.

    asdm-restrict-remot-net-access-16.gif

  16. Caso sua política de grupo tenha sido criada automaticamente (consulte o passo 2), verifique se a política de grupo recém-configurada está selecionada na caixa suspensa. Se a sua política de grupo não foi configurada automaticamente, selecione-a na caixa suspensa. Clique em OK quando estiver pronto.

    asdm-restrict-remot-net-access-17.gif

  17. Clique em Apply e, caso seja solicitado, clique em Send para adicionar a alteração à configuração do PIX.

    Se a política de grupo já tivesse sido selecionada, você deveria receber uma mensagem "No changes were made" ("Nenhuma alteração efetuada"). Clique em OK.

  18. Repita os passos de 2 a 17 para todos os grupos de túneis adicionais aos quais você deseja adicionar restrições.

    Neste exemplo de configuração também é necessário restringir o acesso dos engenheiros. Apesar do procedimento ser semelhante, há algumas poucas janelas onde diferenças podem ser notadas:

    • Nova lista de acesso 20

      asdm-restrict-remot-net-access-18.gif

    • Selecione Access List 20 como um filtro na política de grupo Engineering.

      asdm-restrict-remot-net-access-19.gif

    • Verifique se a política de grupo Engineering está configurada para o grupo de túneis Engineering.

      asdm-restrict-remot-net-access-20.gif

Configuração do Acesso via CLI

Execute estes passos para configurar o Security Appliance com a interface de linha de comando (CLI):

Nota: Alguns dos comandos exibidos nesta saída estão dispostos em duas linhas por questões de espaço.

  1. Crie duas listas de controle de acesso diferentes (15 e 20) que serão aplicadas aos usuários a medida que eles se conectarem à VPN de acesso remoto. Essa lista de acesso será acessada posteriormente na configuração.

    ASAwCSC-CLI(config)#access-list 15 remark permit IP access from ANY
    source to the payroll subnet (10.8.28.0/24)
    
    ASAwCSC-CLI(config)#access-list 15 extended permit ip
    any 10.8.28.0 255.255.255.0
    
    ASAwCSC-CLI(config)#access-list 15 remark Permit IP access from ANY
    source to the subnet used by all employees (10.8.27.0)
    
    ASAwCSC-CLI(config)#access-list 15 extended permit ip
    any 10.8.27.0 255.255.255.0
    
    ASAwCSC-CLI(config)#access-list 20 remark Permit IP access from ANY
    source to the Engineering subnet (192.168.1.0/24)
    
    ASAwCSC-CLI(config)#access-list 20 extended permit ip
    any 192.168.1.0 255.255.255.0
    
    ASAwCSC-CLI(config)#access-list 20 remark Permit IP access from ANY
    source to the subnet used by all employees (10.8.27.0/24)
    
    ASAwCSC-CLI(config)#access-list 20 extended permit ip
    any 10.8.27.0 255.255.255.0
    
  2. Crie dois pools de endereços de VPN diferentes. Crie um para os usuários remotos de Payroll e um para os de Engineering.

    ASAwCSC-CLI(config)#ip local pool Payroll-VPN
    172.10.1.100-172.10.1.200 mask 255.255.255.0
    
    ASAwCSC-CLI(config)#ip local pool Engineer-VPN 172.16.2.1-172.16.2.199
    mask 255.255.255.0
    
  3. Crie políticas para Payroll que se apliquem aos usuários somente quando eles se conectarem.

    ASAwCSC-CLI(config)#group-policy Payroll internal
    
    ASAwCSC-CLI(config)#group-policy Payroll attributes
    
    ASAwCSC-CLI(config-group-policy)#dns-server value 10.8.27.10
    
    ASAwCSC-CLI(config-group-policy)#vpn-filter value 15
    
    
    !--- Chama a ACL criada no passo 1 para Payroll.
    
    
    ASAwCSC-CLI(config-group-policy)#vpn-tunnel-protocol IPSec
    
    ASAwCSC-CLI(config-group-policy)#default-domain value payroll.corp.com
    
    ASAwCSC-CLI(config-group-policy)#address-pools value Payroll-VPN
    
    
    !--- Chama o espaço de endereços de Payroll criado no passo 2.
    
    
  4. Esse passo é o mesmo que o passo 3, exceto que se aplica ao grupo Engineering.

    ASAwCSC-CLI(config)#group-policy Engineering internal
    
    ASAwCSC-CLI(config)#group-policy Engineering attributes
    
    ASAwCSC-CLI(config-group-policy)#dns-server value 10.8.27.10
    
    ASAwCSC-CLI(config-group-policy)#vpn-filter value 20
    
    
    !--- Chama a ACL criada no passo 1 para Engineering.
    
    
    ASAwCSC-CLI(config-group-policy)#vpn-tunnel-protocol IPSec
    
    ASAwCSC-CLI(config-group-policy)#default-domain value Engineer.corp.com
    
    ASAwCSC-CLI(config-group-policy)#address-pools value Engineer-VPN
    
    
    !--- Chama o espaço de endereços de Engineering criado no passo 2.
    
    
  5. Crie usuários locais e associe os atributos recém-criados a esses usuários para restringir seu acesso aos recursos.

    ASAwCSC-CLI(config)#username engineer password cisco123
    
    ASAwCSC-CLI(config)#username engineer attributes
    
    ASAwCSC-CLI(config-username)#vpn-group-policy Engineering
    
    ASAwCSC-CLI(config-username)#vpn-filter value 20
    
    ASAwCSC-CLI(config)#username marty password cisco456
    
    ASAwCSC-CLI(config)#username marty attributes
    
    ASAwCSC-CLI(config-username)#vpn-group-policy Payroll
    
    ASAwCSC-CLI(config-username)#vpn-filter value 15
    
  6. Crie grupos de túneis que contenham políticas de conexão para os usuários de Payroll.

    ASAwCSC-CLI(config)#tunnel-group Payroll type ipsec-ra
    
    ASAwCSC-CLI(config)#tunnel-group Payroll general-attributes
    
    ASAwCSC-CLI(config-tunnel-general)#address-pool Payroll-VPN
    
    ASAwCSC-CLI(config-tunnel-general)#default-group-policy Payroll
    
    ASAwCSC-CLI(config)#tunnel-group Payroll ipsec-attributes
    
     ASAwCSC-CLI(config-tunnel-ipsec)#pre-shared-key time1234
    
  7. Crie grupos de túneis que contenham políticas de conexão para os usuários de Engineering .

    ASAwCSC-CLI(config)#tunnel-group Engineering type ipsec-ra
    
    ASAwCSC-CLI(config)#tunnel-group Engineering general-attributes
    
    ASAwCSC-CLI(config-tunnel-general)#address-pool Engineer-VPN
    
    ASAwCSC-CLI(config-tunnel-general)#default-group-policy Engineering
    
    ASAwCSC-CLI(config)#tunnel-group Engineering ipsec-attributes
    
    ASAwCSC-CLI(config-tunnel-ipsec)#pre-shared-key Engine123
    

Uma vez que sua configuração seja inserida, você poderá ver esta área realçada em sua configuração:

Dispositivo 1

ASA-AIP-CLI(config)#show running-config

ASA Version 7.2(2)
!
hostname ASAwCSC-ASDM
domain-name corp.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
!
interface Ethernet0/0
 nameif Intranet
 security-level 0
 ip address 10.8.27.2 255.255.255.0
!
interface Ethernet0/1
 nameif Engineer
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/2
 nameif Payroll
 security-level 100
 ip address 10.8.28.0
!
interface Ethernet0/3
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp.com
access-list Inside_nat0_outbound extended permit ip any 172.10.1.0 255.255.255.0
access-list Inside_nat0_outbound extended permit ip any 172.16.2.0 255.255.255.0
access-list 15 remark permit IP access from ANY source to the
   Payroll subnet (10.8.28.0/24)
access-list 15 extended permit ip any 10.8.28.0 255.255.255.0
access-list 15 remark Permit IP access from ANY source to the subnet
   used by all employees (10.8.27.0)
access-list 15 extended permit ip any 10.8.27.0 255.255.255.0
access-list 20 remark Permit IP access from Any source to the Engineering
   subnet (192.168.1.0/24)
access-list 20 extended permit ip any 192.168.1.0 255.255.255.0
access-list 20 remark Permit IP access from Any source to the subnet used
   by all employees (10.8.27.0/24)
access-list 20 extended permit ip any 10.8.27.0 255.255.255.0 
pager lines 24
mtu MAN 1500
mtu Outside 1500
mtu Inside 1500
ip local pool Payroll-VPN 172.10.1.100-172.10.1.200 mask 255.255.255.0
ip local pool Engineer-VPN 172.16.2.1-172.16.2.199 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (Intranet) 1 interface
nat (Inside) 0 access-list Inside_nat0_outbound
nat (Inside) 1 192.168.1.0 255.255.255.0
nat (Inside) 1 10.8.27.0 255.255.255.0
nat (Inside) 1 10.8.28.0 255.255.255.0
route Intranet 0.0.0.0 0.0.0.0 10.8.27.2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy Payroll internal
group-policy Payroll attributes
 dns-server value 10.8.27.10
 vpn-filter value 15
 vpn-tunnel-protocol IPSec
 default-domain value payroll.corp.com
 address-pools value Payroll-VPN
group-policy Engineering internal
group-policy Engineering attributes
 dns-server value 10.8.27.10
 vpn-filter value 20
 vpn-tunnel-protocol IPSec
 default-domain value Engineer.corp.com
 address-pools value Engineer-VPN
username engineer password LCaPXI.4Xtvclaca encrypted
username engineer attributes
 vpn-group-policy Engineering
 vpn-filter value 20
username marty password 6XmYwQOO9tiYnUDN encrypted privilege 0
username marty attributes
 vpn-group-policy Payroll
 vpn-filter value 15
no snmp-server location
no snmp-server contact
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map Outside_dyn_map 20 set pfs
crypto dynamic-map Outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map Outside_map 65535 ipsec-isakmp dynamic Outside_dyn_map
crypto map Outside_map interface Outside
crypto isakmp enable Outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
tunnel-group Payroll type ipsec-ra
tunnel-group Payroll general-attributes
 address-pool vpnpool
 default-group-policy Payroll
tunnel-group Payroll ipsec-attributes
 pre-shared-key *
tunnel-group Engineering type ipsec-ra
tunnel-group Engineering general-attributes
 address-pool Engineer-VPN
 default-group-policy Engineering
tunnel-group Engineering ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:0e579c85004dcfb4071cb561514a392b
: end
ASA-AIP-CLI(config)#  

Verificação

Use as capacidades de monitoração do ASDM para verificar sua configuração:

  1. Selecione Monitoring > VPN > VPN Statistics > Sessions.

    Você verá as sessões de VPN ativas no PIX. Selecione a sessão na qual você estiver interessado e clique em Details.

    asdm-restrict-remot-net-access-21.gif

  2. Selecione a guia ACL.

    Os hitcnts de ACL refletem o tráfego que flui pelo túnel desde o cliente até a(s) rede(s) permitida(s).

    asdm-restrict-remot-net-access-22.gif

Troubleshooting

No momento, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 69308