Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Filtros VPN no exemplo da configuração ASA Cisco

18 Outubro 2014 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (30 Setembro 2014) | Feedback

Introdução

Este documento descreve filtros VPN em detalhe e aplica-se ao LAN para LAN (L2L), ao Cisco VPN Client, e ao Cliente de mobilidade Cisco AnyConnect Secure.

Os filtros consistem nas regras que determinam se permitir ou rejeitar os pacotes de dados em túnel que vêm através da ferramenta de segurança, com base em critérios tais como o endereço de origem, o endereço de destino, e o protocolo. Você configura tipos de tráfego do permit or deny do Access Control Lists (ACLs) vários. O filtro pode ser configurado na política do grupo, em atributos username, ou em política do acesso dinâmico (DAP).

O DAP substitui o valor configurado sob atributos username e política do grupo. O valor de atributo username substitui o valor de política do grupo caso que o DAP não atribui nenhum filtro. 

Contribuído por Gustavo Medina, Yamil Gazel, Oleg Tipisov, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • O L2L VPN escava um túnel a configuração.
  • Configuração do Acesso remoto do cliente VPN (RA)
  • Configuração de AnyConnect RA.

Componentes Utilizados

A informação neste documento é baseada na versão 9.1(2) adaptável da ferramenta de segurança do Cisco 5500-X Series (ASA).

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

O comando da conexão licença-VPN do sysopt permite todo o tráfego que entra na ferramenta de segurança através de um túnel VPN para contornear Listas de acesso da relação. A política do grupo e por usuário Listas de acesso da autorização ainda aplica-se ao tráfego. 

Um vpn-filtro está aplicado ao tráfego postdecrypted depois que retira um túnel e ao tráfego preencrypted antes que incorpore um túnel. Um ACL que isused para um VPN-filtro não deve igualmente ser usado para um acesso-grupo da relação.


Quando um VPN-filtro é aplicado a uma grupo-política que governe conexões do cliente VPN de acesso remoto, o ACL deve ser configurado com os endereços IP atribuídos do cliente na posição do src_ip do ACL e a rede local na posição do dest_ip do ACL. Quando um VPN-filtro é aplicado a uma grupo-política que governe uma conexão de VPN L2L, o ACL deve ser configurado com a rede remota na posição do src_ip do ACL e a rede local na posição do dest_ip do ACL. 

Configurar

Os filtros VPN devem ser configurados na direção de entrada embora as regras sejam aplicadas ainda bidirecional. O realce CSCsf99428 foi aberto para apoiar regras unidirecionais, mas não foi programado/foi comprometido ainda para a aplicação.

VPN-filtro do exemplo 1. com AnyConnect ou cliente VPN

Supõe que o endereço IP de Um ou Mais Servidores Cisco ICM NT cliente-atribuído é 10.10.10.1/24 e a rede local é 192.168.1.0/24.

Esta entrada de controle de acesso (ACE) permite o cliente de AnyConnect ao telnet à rede local:

access-list vpnfilt-ra permit tcp
10.10.10.1 255.255.255.255 192.168.1.0 255.255.255.0 eq 23

Nota: O eq 23 tcp 10.10.10.1 255.255.255.255 192.168.1.0 255.255.255.0 da licença do vpnfilt-ra da lista de acesso ACE igualmente permite que a rede local inicie uma conexão ao cliente RA em toda a porta TCP se usa uma porta de origem de 23.

Este ACE permite a rede local ao telnet ao cliente de AnyConnect:

access-list vpnfilt-ra permit tcp 10.10.10.1 255.255.255.255
eq 23 192.168.1.0 255.255.255.0

Nota: O eq 23 192.168.1.0 255.255.255.0 tcp 10.10.10.1 255.255.255.255 da licença do vpnfilt-ra da lista de acesso ACE igualmente permite que o cliente RA inicie uma conexão à rede local em toda a porta TCP se usa uma porta de origem de 23.

Cuidado: A característica do VPN-filtro permite o tráfego ser filtrada na direção de entrada somente e a regra de partida é compilada automaticamente. Consequentemente, quando você cria uma lista de acesso do Internet Control Message Protocol (ICMP), não especifique o ICMP datilografam dentro o formato da lista de acesso se você quer filtros direcionais.

VPN-filtro do exemplo 2. com conexão de VPN L2L

Supõe que a rede remota é 10.0.0.0/24 e a rede local é 192.168.1.0/24.

Este ACE permite a rede remota ao telnet à rede local:

access-list vpnfilt-l2l permit tcp 10.0.0.0 255.255.255.0 192.168.1.0
255.255.255.0 eq 23

Nota: O eq 23 tcp 10.0.0.0 255.255.255.0 192.168.1.0 255.255.255.0 da licença da lista de acesso vpnfilt-l2l ACE igualmente permite que a rede local inicie uma conexão à rede remota em toda a porta TCP se usa uma porta de origem de 23. 

Este ACE permite a rede local ao telnet à rede remota:

access-list vpnfilt-l2l permit tcp 10.0.0.0 255.255.255.0 eq 23
192.168.1.0 255.255.255.0 

Nota: O eq 23 192.168.1.0 255.255.255.0 tcp 10.0.0.0 255.255.255.0 da licença da lista de acesso vpnfilt-l2l ACE igualmente permite que a rede remota inicie uma conexão à rede local em toda a porta TCP se usa uma porta de origem de 23. 

Cuidado: A característica do VPN-filtro permite o tráfego ser filtrada na direção de entrada somente e a regra de partida é compilada automaticamente. Consequentemente, quando você cria uma lista de acesso ICMP, não especifique o ICMP datilografam dentro o formato da lista de acesso se você quer filtros direcionais.

Filtros VPN e grupos de acesso da por-USER-ultrapassagem

O tráfego VPN não é filtrado pela relação ACL. O comando nenhuma conexão licença-VPN do sysopt pode ser usado a fim mudar o comportamento padrão. Neste caso, dois ACL podem ser aplicados ao tráfego de usuário: a relação ACL é verificada primeiramente e então o VPN-filtro.

A palavra-chave da por-USER-ultrapassagem (para ACLs de entrada somente) permite o usuário dinâmico ACL que é transferido para a autorização de usuário a fim cancelar o ACL atribuído à relação. Por exemplo, se a relação ACL nega todo o tráfego de 10.0.0.0, mas o ACL dinâmico permite todo o tráfego de 10.0.0.0, a seguir o ACL dinâmico cancela a relação ACL para esse usuário e o tráfego é permitido.

Exemplos (quando nenhuma conexão licença-VPN do sysopt for configurada):

  • nenhuma por-USER-ultrapassagem, nenhum VPN-filtro - o tráfego é combinado contra a relação ACL

  • nenhuma por-USER-ultrapassagem, VPN-filtro - o tráfego é combinado primeiramente contra a relação ACL, então contra o VPN-filtro

  • por-USER-ultrapassagem, VPN-filtro - o tráfego é combinado contra o VPN-filtro somente.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução.

  • mostre o [hits] do [access-list <acl-name>] do filtro da tabela asp

    A fim debugar as tabelas aceleradas do filtro do trajeto da Segurança, use o comando do filtro da tabela asp da mostra no modo de exec privilegiado. Quando um filtro foi aplicado a um túnel VPN, as regras de filtro estão instaladas na tabela do filtro. Se o túnel tem um filtro especificado, a seguir a tabela do filtro está verificada antes da criptografia e depois que descriptografia a fim determinar se o pacote interno deve ser permitido ou negado.

     USAGE
    show asp table filter [access-list <acl-name>] [hits]


     SYNTAX <acl-name>      Show installed filter for access-list <acl-name>
    hits Show filter rules which have non-zero hits values


  • cancele o [access-list <acl-name>] do filtro da tabela asp

    Este comando cancela os contadores de acertos para as entradas de tabela do filtro ASP.

     USAGE
    clear asp table filter [access-list <acl-name>]


     SYNTAX
    <acl-name> Clear hit counters only for specified access-list <acl-name>

Troubleshooting

Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração.

A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • debugar o filtro acl

    Este comando permite a eliminação de erros do filtro VPN. Pode ser usado para ajudar a pesquisar defeitos as instalações/remoção dos filtros VPN na tabela do filtro ASP. Para o VPN-filtro do exemplo 1. com AnyConnect ou cliente VPN

    Resultado do debug quando o usuário1 conectar:

     ACL FILTER INFO: first reference to inbound filter vpnfilt-ra(2): Installing
    rule into NP.
    ACL FILTER INFO: first reference to outbound filter vpnfilt-ra(2): Installing
    rule into NP.


    Resultado do debug quando user2 conectar (após o usuário1 e o mesmo filtro):

     ACL FILTER INFO: adding another reference to outbound filter vpnfilt-ra(2): refCnt=2
    ACL FILTER INFO: adding another reference to inbound filter vpnfilt-ra(2): refCnt=2


    Resultado do debug quando user2 desligar:

     ACL FILTER INFO: removing a reference from inbound filter vpnfilt-ra(2): remaining
    refCnt=1
    ACL FILTER INFO: removing a reference from outbound filter vpnfilt-ra(2): remaining
    refCnt=1


    Resultado do debug quando o usuário1 desligar:

     ACL FILTER INFO: releasing last reference from inbound filter vpnfilt-ra(2): Removing
    rule into NP.
    ACL FILTER INFO: releasing last reference from outbound filter vpnfilt-ra(2): Removing rule into NP.


  • mostre a tabela asp

    Está aqui a saída do filtro da tabela asp da mostra antes de quando o usuário1 conecta. Somente o implícitos negam regras são instalados para o IPv4 e o IPv6 em ambos em e para fora em sentidos.

     Global Filter Table:
    in id=0xd616ef20, priority=11, domain=vpn-user, deny=true
    hits=0, user_data=0xd613ea60, filter_id=0x0(-implicit deny-), protocol=0
    src ip=0.0.0.0, mask=0.0.0.0, port=0
    dst ip=0.0.0.0, mask=0.0.0.0, port=0
    in id=0xd616f420, priority=11, domain=vpn-user, deny=true
    hits=0, user_data=0xd615ef70, filter_id=0x0(-implicit deny-), protocol=0
    src ip=::/0, port=0
    dst ip=::/0, port=0
    out id=0xd616f1a0, priority=11, domain=vpn-user, deny=true
    hits=0, user_data=0xd614d900, filter_id=0x0(-implicit deny-), protocol=0
    src ip=0.0.0.0, mask=0.0.0.0, port=0
    dst ip=0.0.0.0, mask=0.0.0.0, port=0
    out id=0xd616f6d0, priority=11, domain=vpn-user, deny=true
    hits=0, user_data=0xd6161638, filter_id=0x0(-implicit deny-), protocol=0
    src ip=::/0, port=0
    dst ip=::/0, port=0

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118029