Collaboration : Dispositifs de sécurité de la gamme Cisco PIX 500

PIX/ASA : Exemple de configuration d'autorisation d'une connexion RDP (Remote Desktop Protocol) via le dispositif de sécurité

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment permettre des connexions Remote Desktop Protocol (RDP) par un dispositif de sécurité Cisco.

La RDP est un protocole multicanal qui permet à un utilisateur pour se connecter à un ordinateur qui dirige des Microsoft Terminaux Service. Les clients existent pour la plupart des versions de Windows, et d'autres systèmes d'exploitation tels que le Linux, le FreeBSD, et le Mac OS X. Le serveur écoute sur le port TCP 3389 par défaut.

Dans cet exemple de configuration, les dispositifs de sécurité sont configurés pour permettre à un client RDP sur l'Internet pour se connecter à un PC de serveur RDP sur l'interface interne. Les dispositifs de sécurité exécutent la traduction d'adresses et le client se connecte à l'hôte utilisant une adresse IP externe tracée par charge statique.

Conditions préalables

Conditions requises

Ce document suppose que le Pare-feu de Cisco PIX est complètement opérationnel et configuré. En outre, toutes les configurations initiales sont faites et les hôtes devraient avoir la Connectivité de bout en bout.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Appliance de Sécurité de gamme 5500 des appliances de sécurité adaptable Cisco (ASA) avec la version de logiciel 8.2(1)

  • Version 6.3(5) de Cisco Adaptive Security Device Manager

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Produits connexes

  • Cisco PIX 500 Series Security Appliance avec la version de logiciel 7.x

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

Dans cette section, vous êtes présenté avec les informations pour configurer les dispositifs de sécurité pour permettre au trafic de Remote Desktop Protocol (la RDP) pour traverser.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/77869/pix-remote-desktop-conn-01.gif

Remarque: Les schémas d'adressage d'IP utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisés dans un environnement de laboratoire.leavingcisco.com

Configurations

Cette section affiche la configuration de dispositifs de sécurité. La RDP trafiquent de l'hôte que 20.1.1.10 sur l'Internet est permis au serveur RDP chez 172.16.11.10 sur le réseau intérieur qui écoute sur le port 3389 par l'adresse IP tracée par charge statique 209.165.200.10.

Effectuez les étapes suivantes :

  • Configurez NAT statique afin de réorienter la RDP trafiquent reçu sur l'interface extérieure à l'hôte interne.

  • Créez une liste de contrôle d'accès (ACL) cette RDP d'autorisations et appliquez-la à l'interface extérieure.

    Remarque: Puisque NAT est exécuté par les dispositifs de sécurité, l'ACL doit permettre l'accès à l'adresse IP tracée du serveur RDP ; pas la vraie adresse IP.

Remarque: L'adresse IP (192.168.1.5) utilisée pour le mappage statique devrait être dans le même sous-réseau que l'adresse IP extérieure d'interface. Référez-vous à la section NAT statique de PIX/ASA 7.x NAT et TAPOTEZ les déclarations afin de se renseigner plus sur le mappage NAT statique.

CiscoASA
CiscoASA#show running-config
: Saved
:
ASA Version 8.2(1)
!
hostname CiscoASA
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
!
!--- Output suppressed

!
object-group service RDP tcp
 port-object eq 3389
!
!
!--- Output suppressed

!

!--- This access-list allows the RDP traffic sourced from 172.16.1.2
!--- to destination 192.168.1.5 with TCP port 3389.

access-list outside_access_in extended permit tcp host 20.1.1.10 host 209.165.200.10 object-group RDP




!--- This staic NAT statement redirects the traffic destined for  
!--- IP address 192.168.1.5 to host IP address 10.1.1.5. 

static (inside,outside) 209.165.200.10 172.16.11.10 netmask 255.255.255.255

!
!--- Output suppressed

access-group outside_access_in in interface outside
!

!--- Output is suppressed. 

Remarque:  Dans cette configuration d'ACL, le « hôte 20.1.1.10 » en peut être remplacé par «  » pour permettre l'accès au serveur RDP de l'Internet dans son ensemble. Ceci n'est pas recommandé, cependant, puisqu'il pourrait ouvrir le serveur RDP jusqu'à l'attaque. En règle générale, faites les rubriques de liste ACL aussi précis que possible.

Configurez avec l'ASDM

Configuration

Procédez comme suit :

  1. Afin de créer une liste d'accès, choisir la configuration > le Pare-feu > les règles d'accès, et choisir ajoutent cliquent sur Add alors la règle d'accès dans le menu déroulant.

    /image/gif/paws/77869/pix-remote-desktop-conn-02.gif

  2. Maintenant, spécifiez l'action, la source et la destination. Cliquez sur, les détails se boutonnent, afin de choisir la destination port.

    /image/gif/paws/77869/pix-remote-desktop-conn-03.gif

  3. Le numéro de port par défaut pour la RDP est 3389. Car ce n'est pas disponible dans le TCP disponible met en communication, clique sur Add et choisit le groupe de service de TCP dans le menu déroulant. Par ceci, vous pouvez grouper les ports personnalisés ensemble, basé sur la condition requise.

    /image/gif/paws/77869/pix-remote-desktop-conn-04.gif

  4. Maintenant, spécifiez un nom pour ces groupe et message d'entrée de service le numéro de port en blanc donné pour l'option de port/plage et cliquez sur le bouton d'ajouter afin de faire ce service en tant que membre du groupe de service. Comme ceci, vous pouvez choisir une plage de port en tant que membre du même groupe de service. Cliquez sur OK.

    /image/gif/paws/77869/pix-remote-desktop-conn-05.gif

  5. Il affiche le groupe de service avec ses membres. Cliquez sur OK afin de revenir à la fenêtre de règle d'accès.

    /image/gif/paws/77869/pix-remote-desktop-conn-06.gif

  6. Cliquez sur OK afin de se terminer la configuration de liste d'accès.

    /image/gif/paws/77869/pix-remote-desktop-conn-07.gif

  7. La liste d'accès avec son interface associée peut être vue dans la fenêtre de configuration > de Pare-feu > de règles d'accès.

    /image/gif/paws/77869/pix-remote-desktop-conn-08.gif

  8. Maintenant, choisissez la configuration > le Pare-feu > les règles NAT > ajoutent > ajoutent l'option statique de règle NAT afin de créer une entrée NAT statique.

    /image/gif/paws/77869/pix-remote-desktop-conn-09.gif

  9. Spécifiez l'adresse IP d'origine et l'adresse IP traduite avec leurs interfaces associées respectives et cliquez sur OK.

    /image/gif/paws/77869/pix-remote-desktop-conn-10.gif

  10. La règle configurée a pu être visualisée dans la fenêtre de règles NAT comme affiché ici. Cliquez sur le bouton Apply afin d'envoyer cette configuration à l'appliance de Sécurité et cliquer sur la sauvegarde afin de sauvegarder la configuration à la mémoire instantanée.

    /image/gif/paws/77869/pix-remote-desktop-conn-11.gif

Permettez le SSH au même serveur RDP

Certaines applications bloquent l'application de bureau distant en raison de ses vulnérabilités connues. Dans ce cas, vous pouvez choisir d'utiliser d'autres applications chiffrées comme le SSH. Afin de réaliser ceci, vous devez ajouter le SSH comme destination port pour le serveur RDP. Dans l'exemple précédent, le concept de service-groupe a été utilisé afin de définir la destination port. L'avantage avec utiliser le service-groupe est que vous pouvez modifier les protocoles/ports au service-groupe selon la condition requise. Vous pouvez ajouter de nouveaux ports au service-groupe ou supprimer les membres existants (ports) du groupe de service. Dans l'exemple suivant, on l'explique comment ajouter le SSH à la RDP existante de service-groupe.

Procédez comme suit :

  1. Cliquez avec le bouton droit sur la règle d'accès de la liste d'accès et cliquez sur Edit.

    /image/gif/paws/77869/pix-remote-desktop-conn-12.gif

  2. Maintenant, dans le clic de catégorie de service, les détails se boutonnent, afin d'éditer les membres du groupe de service.

    /image/gif/paws/77869/pix-remote-desktop-conn-13.gif

  3. Cliquez avec le bouton droit sur le groupe de service et cliquez sur Edit afin de modifier le groupe de service.

    /image/gif/paws/77869/pix-remote-desktop-conn-14.gif

  4. Maintenant, choisissez le protocole de SSH et cliquez sur Add afin d'ajouter ce protocole en tant que membre de ce groupe de service.

    /image/gif/paws/77869/pix-remote-desktop-conn-15.gif

  5. Maintenant, les les deux les membres peuvent être comme indiqué dans cet exemple vu, et cliquent sur OK.

    /image/gif/paws/77869/pix-remote-desktop-conn-16.gif

  6. Cliquez sur OK afin de remplir la procédure de modification.

    /image/gif/paws/77869/pix-remote-desktop-conn-17.gif

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

  • Si un certain client ou plage des clients ne peut pas se connecter au serveur RDP, soyez sûr qu'on permet ces clients dans l'ACL sur l'interface extérieure.

  • Si aucun client ne peut se connecter au serveur RDP, soyez sûr qu'un ACL sur l'extérieur ou l'interface interne ne bloque pas le trafic à ou du port 3389.

  • Si aucun client ne peut se connecter au serveur RDP, alors vérifiez pour voir si les paquets dépassent la valeur MSS. Si oui, configurez le MPF pour permettre aux paquets dépassés MSS afin de résoudre ce comme indiqué dans cet exemple de question :

    CiscoASA(config)#access-list 110 extended permit 
    tcp host 20.1.1.10 host 209.165.200.10 eq 3389
    
    
    !--- This command is wrapped to a second line due to 
    !--- spatial reasons.
    
    CiscoASA(config)#access-list 110 extended permit 
    tcp host 20.1.1.10 host 209.165.200.10 eq 80
    
    
    !--- This command is wrapped to a second line due to 
    !--- spatial reasons.
    
    
    CiscoASA(config)#class-map rdpmss
    CiscoASA(config-cmap)#match access-list 110    
    CiscoASA(config-cmap)#exit
    CiscoASA(config)#tcp-map mss-map
    CiscoASA(config-tcp-map)#exceed-mss allow
    CiscoASA(config-tcp-map)#exit
    CiscoASA(config)#policy-map rdpmss
    CiscoASA(config-pmap)#class rdpmss
    CiscoASA(config-pmap-c)#set connection advanced-options mss-map
    CiscoASA(config-pmap-c)#exit
    CiscoASA(config-pmap)#exit
    CiscoASA(config)#service-policy rdpmss interface outside
    

    Référez-vous aux solutions à la section de problèmes de fragmentation de PIX/ASA 7.x et IOS : Fragmentation VPN afin de se renseigner sur les autres méthodes que vous pouvez employer pour résoudre le problème MSS.

  • Le délai d'attente de session RDP après que la valeur du dépassement de durée de connexion de par défaut de TCP ait expiré. Afin de résoudre ce problème, augmentez le délai d'attente à mesure qu'affiché ici :

    timeout conn 10:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

    Cette commande place la valeur du dépassement de durée à dix heures.


Informations connexes


Document ID: 77869