Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

PIX/ASA 7.x ASDM : Limiter l'accès au réseau des utilisateurs d'un VPN d'accès à distance

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit un exemple de configuration du Cisco Adaptive Security Device Manager (ASDM) pour limiter ce à quoi les utilisateurs du VPN d’accès à distance des réseaux internes peuvent accéder derrière l’appliance de sécurité PIX ou l’appliance de sécurité adaptable (ASA). Vous pouvez limiter les utilisateurs du VPN d’accès à distance aux seules zones du réseau auxquelles vous souhaitez qu’ils puissent accéder lorsque vous :

  1. Créez les Listes d'accès.

  2. Associez-les avec des stratégies de groupe.

  3. Associez ces stratégies de groupe avec des groupes de tunnel.

Référez-vous à configurer le concentrateur de Cisco VPN 3000 pour bloquer avec des filtres et l'affectation de filtres RADIUS afin de se renseigner plus sur le scénario où le concentrateur VPN bloque l'accès des utilisateurs VPN.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version 7.1(1) Cisco Secure d'appareils de Sécurité de gamme 500 PIX

    Remarque:  Les PIX 501 et les appliances de la Sécurité 506E ne prennent en charge pas la version 7.x.

  • Version 5.1(1) de Cisco Adaptive Security Device Manager

    Remarque:  L'ASDM est seulement disponible dans PIX ou ASA 7.x.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Produits connexes

Cette configuration peut également être utilisée avec les versions de matériel et de logiciel suivantes :

  • Version 7.1(1) d'appliance de sécurité adaptatif de la gamme Cisco ASA 5500

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

asdm-restrict-remot-net-access-1.gif

Dans cet exemple de configuration, un petit réseau d'entreprise avec trois sous-réseaux est supposé. Ce diagramme montre la topologie. Les trois sous-réseaux sont intranet, ingénierie, et paie. Le but de cet exemple de configuration est de permettre l'Accès à distance de personnel de paie aux sous-réseaux d'intranet et de paie et de les empêcher d'accéder au sous-réseau d'ingénierie. En outre, les ingénieurs devraient pouvoir accéder à distance les sous-réseaux d'intranet et d'ingénierie, mais pas le sous-réseau de paie. L'utilisateur de paie dans cet exemple a "controller1" ans. L'utilisateur d'ingénierie dans cet exemple a "engineer1" ans.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez Access par l'intermédiaire de l'ASDM

Terminez-vous ces étapes pour configurer les dispositifs de sécurité PIX utilisant l'ASDM :

  1. Configuration > VPN > General > Group Policy choisi.

    asdm-restrict-remot-net-access-2.gif

  2. Basé sur quelles mesures ont été prises pour configurer des groupes de tunnel sur le PIX, les stratégies de groupe pourraient déjà exister pour ces groupes de tunnel dont les utilisateurs vous souhaitez limiter. Si une stratégie de groupe appropriée existe déjà, choisissez-la et cliquez sur Edit. Autrement, cliquez sur Add et choisissez la stratégie de groupe interne….

    asdm-restrict-remot-net-access-3.gif

  3. S'il y a lieu, écrivez ou changez le nom de la stratégie de groupe en haut de la fenêtre qui s'ouvre.

  4. Sur l'onglet Général décochez la case d'héritage à côté du filtre et puis cliquez sur gèrent.

    asdm-restrict-remot-net-access-4.gif

  5. Cliquez sur Add l'ACL pour créer une nouvelle liste d'accès dans la fenêtre de gestionnaire d'ACL qui apparaît.

    asdm-restrict-remot-net-access-5.gif

  6. Choisissez un nombre pour la nouvelle liste d'accès et cliquez sur OK.

    asdm-restrict-remot-net-access-6.gif

  7. Votre nouvel ACL étant sélectionné du côté gauche, cliquez sur Add ACE pour ajouter une nouvelle entrée de contrôle d'accès à la liste.

    asdm-restrict-remot-net-access-7.gif

  8. Définissez l'entrée de contrôle d'accès (ACE) que vous souhaitez ajouter.

    Dans cet exemple, le premier ACE dans l'ACL 10 permet l'accès IP au sous-réseau de paie de n'importe quelle source.

    Remarque: Par défaut, l'ASDM sélectionne seulement le TCP comme protocole. Vous devez choisir l'IP si vous souhaitez permettre ou refuser à des utilisateurs le plein accès IP. Cliquez sur OK quand vous avez terminé.

    asdm-restrict-remot-net-access-8.gif

  9. ACE que vous juste avez ajouté maintenant apparaît dans la liste. Choisissez ajoutent ACE de nouveau pour ajouter toutes les lignes supplémentaires à la liste d'accès.

    asdm-restrict-remot-net-access-9.gif

    Dans cet exemple, une seconde ACE est ajoutée à l'ACL 10 afin de permettre l'accès au sous-réseau d'intranet.

    asdm-restrict-remot-net-access-10.gif

  10. Cliquez sur OK une fois que vous êtes fait ajoutant des as.

    asdm-restrict-remot-net-access-11.gif

  11. Sélectionnez l'ACL que vous avez défini et avez rempli dans les dernières étapes pour être le filtre pour votre stratégie de groupe. Cliquez sur OK quand vous avez terminé.

    asdm-restrict-remot-net-access-12.gif

  12. Cliquez sur Apply pour envoyer les modifications au PIX.

    asdm-restrict-remot-net-access-13.gif

  13. Si vous le faites configurer pour faire ainsi sous des options > des préférences, l'ASDM visionne les commandes préalablement qu'il est sur le point d'envoyer au PIX. Le clic envoient.

    asdm-restrict-remot-net-access-14.gif

  14. Appliquez la stratégie de groupe qui a été juste créée ou modifiée au groupe correct de tunnel. Groupe de tunnel de clic dans la trame gauche.

    asdm-restrict-remot-net-access-15.gif

  15. Choisissez le groupe de tunnel que vous souhaitez s'appliquer la stratégie de groupe à et cliquer sur Edit.

    asdm-restrict-remot-net-access-16.gif

  16. Si votre stratégie de groupe était créée automatiquement (voir l'étape 2), vérifient que la stratégie de groupe que vous avez juste configurée est sélectionnée dans la liste déroulante. Si votre stratégie de groupe n'était pas automatiquement configurée, sélectionnez-la de la liste déroulante. Cliquez sur OK quand vous avez terminé.

    asdm-restrict-remot-net-access-17.gif

  17. Cliquez sur Apply et, s'incité, le clic envoient pour ajouter la modification à la configuration PIX.

    Si la stratégie de groupe était déjà sélectionnée vous pourriez recevoir un message qui indique que « aucune modification n'a été apportée. » Cliquez sur OK.

  18. Répétez les étapes 2 à 17 pour tous les groupes supplémentaires de tunnel auxquels vous voudriez ajouter des restrictions.

    Dans cet exemple de configuration, il est également nécessaire de limiter l'accès des ingénieurs. Tandis que la procédure est identique, ce sont quelques fenêtres sur lesquelles les différences sont notables :

    • Nouvelle liste d'accès 20

      asdm-restrict-remot-net-access-18.gif

    • Choisissez la liste d'accès 20 comme filtre dans la stratégie de groupe d'ingénierie.

      asdm-restrict-remot-net-access-19.gif

    • Vérifiez que la stratégie de groupe d'ingénierie est placée pour le groupe de tunnel d'ingénierie.

      asdm-restrict-remot-net-access-20.gif

Configurez Access par l'intermédiaire du CLI

Terminez-vous ces étapes pour configurer les dispositifs de sécurité utilisant le CLI :

Remarque: Certaines des commandes affichées dans cette sortie sont rapportées à une deuxième ligne due aux raisons spatiales.

  1. Créez deux listes différentes de contrôle d'accès (15 et 20) qui sont appliquées aux utilisateurs pendant qu'elles se connectent à l'Accès à distance VPN. Cette liste d'accès est invitée plus tard dans la configuration.

    ASAwCSC-CLI(config)#access-list 15 remark permit IP access from ANY 
    source to the payroll subnet (10.8.28.0/24) 
    
    ASAwCSC-CLI(config)#access-list 15 extended permit ip 
    any 10.8.28.0 255.255.255.0
    
    ASAwCSC-CLI(config)#access-list 15 remark Permit IP access from ANY 
    source to the subnet used by all employees (10.8.27.0)
    
    ASAwCSC-CLI(config)#access-list 15 extended permit ip 
    any 10.8.27.0 255.255.255.0
    
    ASAwCSC-CLI(config)#access-list 20 remark Permit IP access from ANY 
    source to the Engineering subnet (192.168.1.0/24)
    
    ASAwCSC-CLI(config)#access-list 20 extended permit ip 
    any 192.168.1.0 255.255.255.0
    
    ASAwCSC-CLI(config)#access-list 20 remark Permit IP access from ANY 
    source to the subnet used by all employees (10.8.27.0/24)
    
    ASAwCSC-CLI(config)#access-list 20 extended permit ip 
    any 10.8.27.0 255.255.255.0
    
  2. Créez deux pools d'adresses différents VPN. Créez un pour la paie et un pour les utilisateurs distants d'ingénierie.

    ASAwCSC-CLI(config)#ip local pool Payroll-VPN 
    172.10.1.100-172.10.1.200 mask 255.255.255.0
    
    ASAwCSC-CLI(config)#ip local pool Engineer-VPN 172.16.2.1-172.16.2.199 
    mask 255.255.255.0
    
  3. Créez les stratégies pour la paie qui s'appliquent seulement à elles quand elles se connectent.

    ASAwCSC-CLI(config)#group-policy Payroll internal
    
    ASAwCSC-CLI(config)#group-policy Payroll attributes
    
    ASAwCSC-CLI(config-group-policy)#dns-server value 10.8.27.10
    
    ASAwCSC-CLI(config-group-policy)#vpn-filter value 15
    
    
    !--- Call the ACL created in step 1 for Payroll.
    
    
    ASAwCSC-CLI(config-group-policy)#vpn-tunnel-protocol IPSec
    
    ASAwCSC-CLI(config-group-policy)#default-domain value payroll.corp.com
    
    ASAwCSC-CLI(config-group-policy)#address-pools value Payroll-VPN
    
    
    !--- Call the Payroll address space that you created in	step 2.
    
    
  4. Cette étape est identique comme étape 3 à moins qu'elle soit pour le groupe d'ingénierie.

    ASAwCSC-CLI(config)#group-policy Engineering internal
    
    ASAwCSC-CLI(config)#group-policy Engineering attributes
    
    ASAwCSC-CLI(config-group-policy)#dns-server value 10.8.27.10
    
    ASAwCSC-CLI(config-group-policy)#vpn-filter value 20
    
    
    !--- Call the ACL that you created in step 1 for Engineering.
    
    
    ASAwCSC-CLI(config-group-policy)#vpn-tunnel-protocol IPSec
    
    ASAwCSC-CLI(config-group-policy)#default-domain value Engineer.corp.com
    
    ASAwCSC-CLI(config-group-policy)#address-pools value Engineer-VPN
    
    
    !--- Call the Engineering address space that you created in step 2.
    
    
  5. Créez les utilisateurs locaux et assignez les attributs que vous avez juste créé à ces utilisateurs pour limiter leur accès aux ressources.

    ASAwCSC-CLI(config)#username engineer password cisco123
    
    ASAwCSC-CLI(config)#username engineer attributes
    
    ASAwCSC-CLI(config-username)#vpn-group-policy Engineering
    
    ASAwCSC-CLI(config-username)#vpn-filter value 20
    
    ASAwCSC-CLI(config)#username marty password cisco456
    
    ASAwCSC-CLI(config)#username marty attributes
    
    ASAwCSC-CLI(config-username)#vpn-group-policy Payroll
    
    ASAwCSC-CLI(config-username)#vpn-filter value 15
    
  6. Créez les groupes de tunnels qui contiennent des stratégies de connexion pour les utilisateurs de paie.

    ASAwCSC-CLI(config)#tunnel-group Payroll type ipsec-ra
    
    ASAwCSC-CLI(config)#tunnel-group Payroll general-attributes
    
    ASAwCSC-CLI(config-tunnel-general)#address-pool Payroll-VPN
    
    ASAwCSC-CLI(config-tunnel-general)#default-group-policy Payroll
    
    ASAwCSC-CLI(config)#tunnel-group Payroll ipsec-attributes
    
     ASAwCSC-CLI(config-tunnel-ipsec)#pre-shared-key time1234
    
  7. Créez les groupes de tunnels qui contiennent des stratégies de connexion pour les utilisateurs d'ingénierie.

    ASAwCSC-CLI(config)#tunnel-group Engineering type ipsec-ra
    
    ASAwCSC-CLI(config)#tunnel-group Engineering general-attributes
    
    ASAwCSC-CLI(config-tunnel-general)#address-pool Engineer-VPN
    
    ASAwCSC-CLI(config-tunnel-general)#default-group-policy Engineering
    
    ASAwCSC-CLI(config)#tunnel-group Engineering ipsec-attributes
    
    ASAwCSC-CLI(config-tunnel-ipsec)#pre-shared-key Engine123
    

Une fois que vous configuration est présenté, vous pouvez voir cette zone en surbrillance dans votre configuration :

Nom du périphérique 1
ASA-AIP-CLI(config)#show running-config 

ASA Version 7.2(2) 
!
hostname ASAwCSC-ASDM
domain-name corp.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
!
interface Ethernet0/0
 nameif Intranet
 security-level 0
 ip address 10.8.27.2 255.255.255.0 
!
interface Ethernet0/1
 nameif Engineer
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
!
interface Ethernet0/2
 nameif Payroll
 security-level 100
 ip address 10.8.28.0
!
interface Ethernet0/3
 no nameif    
 no security-level
 no ip address
!
interface Management0/0
 no nameif    
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp.com
access-list Inside_nat0_outbound extended permit ip any 172.10.1.0 255.255.255.0 
access-list Inside_nat0_outbound extended permit ip any 172.16.2.0 255.255.255.0 
access-list 15 remark permit IP access from ANY source to the 
   Payroll subnet (10.8.28.0/24)
access-list 15 extended permit ip any 10.8.28.0 255.255.255.0 
access-list 15 remark Permit IP access from ANY source to the subnet 
   used by all employees (10.8.27.0)
access-list 15 extended permit ip any 10.8.27.0 255.255.255.0 
access-list 20 remark Permit IP access from Any source to the Engineering 
   subnet (192.168.1.0/24)
access-list 20 extended permit ip any 192.168.1.0 255.255.255.0 
access-list 20 remark Permit IP access from Any source to the subnet used 
   by all employees (10.8.27.0/24)
access-list 20 extended permit ip any 10.8.27.0 255.255.255.0 
pager lines 24
mtu MAN 1500
mtu Outside 1500
mtu Inside 1500
ip local pool Payroll-VPN 172.10.1.100-172.10.1.200 mask 255.255.255.0
ip local pool Engineer-VPN 172.16.2.1-172.16.2.199 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (Intranet) 1 interface
nat (Inside) 0 access-list Inside_nat0_outbound
nat (Inside) 1 192.168.1.0 255.255.255.0
nat (Inside) 1 10.8.27.0 255.255.255.0
nat (Inside) 1 10.8.28.0 255.255.255.0
route Intranet 0.0.0.0 0.0.0.0 10.8.27.2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy Payroll internal
group-policy Payroll attributes
 dns-server value 10.8.27.10
 vpn-filter value 15
 vpn-tunnel-protocol IPSec 
 default-domain value payroll.corp.com
 address-pools value Payroll-VPN
group-policy Engineering internal
group-policy Engineering attributes
 dns-server value 10.8.27.10
 vpn-filter value 20
 vpn-tunnel-protocol IPSec 
 default-domain value Engineer.corp.com
 address-pools value Engineer-VPN
username engineer password LCaPXI.4Xtvclaca encrypted
username engineer attributes
 vpn-group-policy Engineering
 vpn-filter value 20
username marty password 6XmYwQOO9tiYnUDN encrypted privilege 0
username marty attributes
 vpn-group-policy Payroll
 vpn-filter value 15
no snmp-server location
no snmp-server contact
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto dynamic-map Outside_dyn_map 20 set pfs 
crypto dynamic-map Outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map Outside_map 65535 ipsec-isakmp dynamic Outside_dyn_map
crypto map Outside_map interface Outside
crypto isakmp enable Outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
tunnel-group Payroll type ipsec-ra
tunnel-group Payroll general-attributes
 address-pool vpnpool
 default-group-policy Payroll
tunnel-group Payroll ipsec-attributes
 pre-shared-key *
tunnel-group Engineering type ipsec-ra
tunnel-group Engineering general-attributes
 address-pool Engineer-VPN
 default-group-policy Engineering
tunnel-group Engineering ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns migrated_dns_map_1 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:0e579c85004dcfb4071cb561514a392b
: end
ASA-AIP-CLI(config)#  

Vérifiez

Employez les capacités de surveillance de l'ASDM pour vérifier votre configuration :

  1. Monitoring > VPN > VPN Statistics > Sessions choisi.

    Vous voyez les sessions VPN actives sur le PIX. Sélectionnez la session que vous êtes intéressé dedans et cliquez sur les détails.

    asdm-restrict-remot-net-access-21.gif

  2. Sélectionnez l'onglet d'ACL.

    Les hitcnts d'ACL reflète le trafic qui traverse le tunnel du client aux réseaux permis.

    asdm-restrict-remot-net-access-22.gif

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 69308