Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

PIX/ASA 7.x et versions ultérieures : Exemple de configuration d'un filtre VPN (autoriser un port ou un protocole spécifique) pour LAN à LAN et l'accès à distance

30 juillet 2013 - Traduction automatique
Autres versions: PDFpdf | Anglais (21 février 2011) | Commentaires


Contenu


Introduction

Ce document décrit la procédure pour employer Cisco ASA pour configurer le filtre VPN dans L2L et l'Accès à distance avec le Client VPN Cisco.

Les filtres se composent des règles qui déterminent si laisser ou rejeter a percé un tunnel les paquets de données qui sont livré par les dispositifs de sécurité, basés sur des critères tels que l'adresse source, adresse de destination, et le protocole. Vous configurez ACLs pour permettre ou refuser de divers types de trafic pour cette stratégie de groupe. Vous pouvez également configurer cet attribut en mode de nom d'utilisateur, dans ce cas, la valeur configurée sous le nom d'utilisateur remplace la valeur de stratégie de groupe.

Remarque: Pour que les modifications de configuration de tunnel les prennent effet, vous devez fermer une session le tunnel VPN et rétablir le tunnel.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Logiciel de l'appliance de sécurité adaptable de gamme Cisco 5500 (ASA) qui exécute la version 8.2(1)

  • Version 6.3(5) de Cisco Adaptive Security Device Manager

  • Version 4.x et ultérieures de Client VPN Cisco

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Produits connexes

Cette configuration peut également être utilisée avec le Cisco PIX 500 Series Security Appliance qui exécute la version 7.x et ultérieures.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

La commande d'autorisation-ipsec de connexion de sysopt permet tout le trafic qui entre dans les dispositifs de sécurité par un tunnel VPN pour sauter des Listes d'accès d'interface. Les statégies de groupe et les listes d'accès d'autorisation par utilisateur s'appliquent toujours au trafic. Dans PIX/ASA 7,1 et plus tard, la commande d'autorisation-ipsec de connexion de sysopt est changée à la connexion autorisation-VPN de sysopt. Le vpn-filtre est appliqué au trafic POST-déchiffré après qu'il quitte un tunnel et un trafic pré-chiffré avant qu'il entre dans un tunnel.

Un ACL qui est utilisé pour un VPN-filtre ne doit pas également être utilisé pour un access-group d'interface. Quand un VPN-filtre est appliqué à un mode de stratégie de groupe/nom d'utilisateur qui régit des connexions client VPN d'Accès à distance, l'ACL doit être configuré avec le client assigné des adresses IP en position de src_ip de l'ACL et réseau local dans la position de dest_ip de l'ACL. Quand un VPN-filtre est appliqué à une stratégie de groupe qui régit une connexion VPN L2L, l'ACL doit être configuré avec le réseau distant en position de src_ip de l'ACL et le réseau local dans la position de dest_ip de l'ACL.

access-list <acl-no> <permit/deny> ip <remote network> <local network>

Exercez l'attention quand vous construisez l'ACLs pour l'usage avec la configuration de VPN-filtre. L'ACLs sont construits avec le trafic POST-déchiffré (le trafic VPN d'arrivée) à l'esprit. Cependant, ils sont également appliqués au trafic provenu du sens inverse.

Remarque: À la fin de chaque ACL, il y a une règle implicite et non écrite qui refuse tout le trafic qui n'est pas permis. Si on ne permet pas explicitement le trafic par un entrée de contrôle d'accès (ACE), on lui refuse. Des as désigné sous le nom des règles dans ce thème. Dans ce scénario, référez-vous à la liste d'accès 103 configurée dans la configuration de filtre L2L VPN.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Schéma de réseau L2L

Ce document utilise cette configuration réseau pour le filtre L2L VPN :

/image/gif/paws/99103/pix-asa-vpn-filter-1.gif

Configuration de filtre L2L VPN

Ce document utilise les configurations suivantes :

CiscoASA
CiscoASA# show running-config 

!

!--- Output suppressed

access-list 103 extended deny tcp host 172.16.1.2 host 172.22.1.2 eq 80

!--- Access list 103 is created for the VPN Filter. 
!--- This access list 103 filters/denies the request from the remote host(172.16.1.2)  
!--- to the local WEB Server (172.22.1.2).

access-list 103 extended permit ip any any

!

!--- Output suppressed

group-policy filter internal
group-policy filter attributes
 vpn-filter value 103

!--- Create the group policy (filter)and specify the access list 
!--- number in the vpn filter command.


!

!--- Output suppressed

tunnel-group 10.20.20.1 general-attributes
 default-group-policy filter

!--- Associate the group policy (filter) with the tunnel group.

!
!

!--- Output suppressed

Configuration de filtre L2L VPN par l'ASDM

Terminez-vous ces étapes afin de configurer un filtre L2L VPN par le Cisco Adaptive Security Device Manager (ASDM) :

  1. Ajoutez une liste d'accès :

    1. Dans l'ASDM, choisissez la configuration > le Pare-feu > a avancé > gestionnaire d'ACL.

      L2L-VPN-Filter-1.gif
    2. Cliquez sur Add, et choisissez ajoutent l'ACL.

      La boîte de dialogue d'ACL d'ajouter apparaît.

      L2L-VPN-Filter-2.gif
    3. Écrivez 103 dans la zone d'identification d'ACL, et cliquez sur OK.

      Le nouvel ACL apparaît dans la liste d'ACL.

  2. Ajoutez ACE :

    1. Cliquez avec le bouton droit le nouvel ACL, et choisissez ajoutent ACE.

      /image/gif/paws/99103/L2L-VPN-Filter-3.gif

      La boîte de dialogue d'ACE d'ajouter apparaît.

      L2L-VPN-Filter-4.gif
    2. Cliquez sur la case d'option de refuser, écrivez l'adresse IP source et l'adresse IP de destination, et puis cliquez sur le bouton de furetage () situé à côté du champ de service.

      La boîte de dialogue de service de furetage apparaît.

      /image/gif/paws/99103/L2L-VPN-Filter-5.gif
    3. Choisissez le port TCP 80, et cliquez sur OK pour retourner dans la boîte de dialogue d'ACE d'éditer.

      /image/gif/paws/99103/L2L-VPN-Filter-6.gif
    4. Cliquez sur OK.

      La nouvelle entrée d'ACE apparaît dans la liste d'ACL.

    5. Cliquez avec le bouton droit la nouvelle entrée d'ACE, et choisissez l'insertion ensuite.

      /image/gif/paws/99103/L2L-VPN-Filter-7.gif

      L'insertion après boîte de dialogue d'ACE apparaît.

      /image/gif/paws/99103/L2L-VPN-Filter-8.gif
    6. Ajoutez ACE qui permet tout-à-tout trafic :

      1. Cliquez sur l'option d'autorisation.

      2. En choisissez dans la source et les champs de destination, et choisissez l'IP dans le domaine de service.

      3. Cliquez sur OK.

      Remarque: Ajouter ACE qui permet tout-à-tout trafic empêche l'implicite refusent la règle à la fin de la liste d'accès.

      Cette image affiche la liste d'accès 103 avec les deux entrées de contrôle d'accès :

      /image/gif/paws/99103/L2L-VPN-Filter-9.gif
  3. Configurez la stratégie de groupe :

    1. Dans l'ASDM, choisissez la configuration > le site à site VPN > stratégies de groupe afin de configurer la stratégie de groupe.

      /image/gif/paws/99103/L2L-VPN-Filter-10.gif
    2. Cliquez sur Add, puis sélectionnez Internal Group Policy.

      La boîte de dialogue d'Add Internal Group Policy apparaît.

      /image/gif/paws/99103/L2L-VPN-Filter-13.gif
    3. Écrivez un nom pour la stratégie de groupe dans la zone d'identification, et choisissez 103 de la liste déroulante de filtre.

      Conseil : Vous pouvez également utiliser le bouton de gérer situé à côté de la liste déroulante de filtre afin de sélectionner le filtre.

    4. Cliquez sur OK.

  4. Ajoutez la stratégie de groupe interne au groupe de tunnel de site à site.

    1. Dans l'ASDM, choisissez la configuration > le site à site VPN > profils de connexion.

    2. Choisissez le groupe requis de tunnel, et cliquez sur Edit le bouton afin de modifier les paramètres de groupe de tunnel.

      /image/gif/paws/99103/L2L-VPN-Filter-16.gif
    3. Choisissez le VPN-filtre de la liste déroulante de stratégie de groupe.

      Conseil : Vous pouvez également utiliser le bouton de gérer situé à côté de la liste déroulante de stratégie de groupe afin de sélectionner le filtre.

Configuration de filtre bidirectionnelle VPN

Le filtre VPN fonctionne bidirectionnel avec un ACL simple. Le serveur distant/réseau est toujours défini au début d'ACE, indépendamment de la direction d'ACE (d'arrivée ou sortant).

Cette configuration est décrite dans cette configuration d'échantillon.

Car l'ACL est avec état, si le trafic est permis dans une direction, alors on permet automatiquement le trafic de retour pour cet écoulement.

Remarque: Si des ports TCP/UDP ne sont pas utilisés avec la liste d'accès, les deux côtés peuvent s'accéder à. Exemple :

access-list 103 permit ip 172.16.1.2 host 172.22.1.1 

Remarque: Cet ACL permet le trafic à provenir de 172.16.1.2 à 172.22.1.1 et également de 172.22.1.1 à 172.16.1.2, car l'ACL est appliqué bidirectionnel.

CiscoASA
CiscoASA# show running-config 


!
!--- Output suppressed



!--- This access list allows the traffic for the remote network 172.16.1.0 
!--- to the local web server on port 80. 


access-list 105 extended permit tcp 172.16.1.0 255.255.255.0 host 172.22.1.1 eq www


!--- This access list allows the traffic in the reverse direction,
!--- from 172.22.1.0 to 172.16.1.3 (ftp server). The remote host/network 
!--- is always defined as the first entry in 
!--- the ACE regardless of the direction.


access-list 105 extended permit tcp host 172.16.1.3 eq ftp 172.22.1.0 255.255.255.0


!--- Implicit deny. 
!--- Denies all other traffic other than permitted traffic.


!
!--- Output suppressed

group-policy filter internal
group-policy filter attributes
 vpn-filter value 105

!--- Create the group policy (filter)and specify the access list number
!--- in the vpn filter command.


!
!--- Output suppressed

tunnel-group 10.20.20.1 general-attributes
 default-group-policy filter

!--- Associate the group policy (filter) with the tunnel group.

!
!--- Output suppressed

Configuration de filtre bidirectionnelle VPN par l'ASDM

Terminez-vous ces étapes afin de configurer un filtre bidirectionnel VPN par l'ASDM :

  1. Ajoutez une liste d'accès :

    1. Dans l'ASDM, choisissez la configuration > le Pare-feu > a avancé > gestionnaire d'ACL.

      L2L-VPN-Filter-1.gif
    2. Cliquez sur Add, et choisissez ajoutent l'ACL.

    3. Écrivez 105 dans la zone d'identification d'ACL, et cliquez sur OK.

      Le nouvel ACL apparaît dans la liste d'ACL.

  2. Ajoutez ACE :

    1. Dans la liste d'ACL, cliquez avec le bouton droit l'entrée 105, et choisissez ajoutent ACE.

      L2L-VPN-Filter-Bidirectional-1.gif

      La boîte de dialogue d'ACE d'ajouter apparaît.

      L2L-VPN-Filter-Bidirectional-4.gif
    2. Cliquez sur la case d'option d'autorisation.

    3. Entrez dans le réseau de 172.16.1.0 dans le domaine de source, et entrez dans 172.22.1.1 dans le champ de destination.

    4. Cliquez sur le service parcourent le bouton (), et choisissez le TCP/HTTP.

    5. Cliquez sur OK.

    6. Dans la liste d'ACL, cliquez avec le bouton droit la nouvelle entrée d'ACE, et choisissez l'insertion après ACE.

      L'insertion après boîte de dialogue d'ACE apparaît.

      L2L-VPN-Filter-Bidirectional-7.gif
    7. Cliquez sur l'option d'autorisation.

    8. Entrez dans 172.16.1.3 dans le domaine de source, et choisissez 172.22.1.0/24 pour la destination.

    9. Dans plus de région d'options, cliquez sur la case de règle d'enable, et puis cliquez sur le bouton de furetage () situé à côté du champ de service de source.

    10. La boîte de dialogue de service de source de furetage apparaît.

      L2L-VPN-Filter-Bidirectional-8.gif
    11. Le FTP choisi, et cliquent sur OK pour retourner à l'insertion après boîte de dialogue d'ACE.

      L2L-VPN-Filter-Bidirectional-9.gif
  3. Ajoutez une stratégie de groupe interne :

    1. Dans l'ASDM, choisissez la configuration > le site à site VPN > stratégies de groupe afin de configurer la stratégie de groupe.

      /image/gif/paws/99103/L2L-VPN-Filter-10.gif
    2. Cliquez sur Add, puis sélectionnez Internal Group Policy.

      La boîte de dialogue d'Add Internal Group Policy apparaît.

      L2L-VPN-Filter-Bidirectional-11.gif
    3. Écrivez un nom pour la stratégie de groupe dans la zone d'identification, et choisissez 105 de la liste déroulante de filtre.

      Conseil : Vous pouvez également utiliser le bouton de gérer situé à côté de la liste déroulante de filtre afin de sélectionner le filtre.

    4. Cliquez sur OK.

  4. Ajoutez la stratégie de groupe interne au groupe de tunnel de site à site :

    1. Dans l'ASDM, choisissez la configuration > le site à site VPN > profils de connexion.

    2. Choisissez le groupe requis de tunnel, et cliquez sur Edit le bouton afin de modifier les paramètres de groupe de tunnel.

      /image/gif/paws/99103/L2L-VPN-Filter-16.gif
    3. Choisissez le VPN-filtre de la liste déroulante de stratégie de groupe.

      Conseil : Vous pouvez également utiliser le bouton de gérer situé à côté de la liste déroulante de stratégie de groupe afin de sélectionner le filtre.

Schéma de réseau d'Accès à distance

Ce document utilise cette configuration réseau pour le filtre de l'Accès à distance VPN :

/image/gif/paws/99103/pix-asa-vpn-filter-2.gif

Configuration de filtre de l'Accès à distance VPN

Ce document utilise la configuration suivante :

CiscoASA
CiscoASA# show running-config 


!
!--- Output suppressed

ip local pool vpnclient 10.16.20.1-10.16.20.5

!--- Create a pool of addresses from which IP addresses are assigned 
!--- dynamically to the remote VPN Clients.


access-list 103 extended permit udp 10.16.20.0 255.0.0.0 host 172.16.1.1 eq 53

!--- Access list 103 is created for the VPN Filter for the group policy(filter).
 
!--- Access list 103 allows the access for the DNS Server(172.16.1.1)



!--- Implicit deny. Denies all traffic other than permitted traffic.


access-list 104 extended permit ip 10.16.20.0 255.0.0.0 172.16.1.0 255.255.255.0

!--- Access list 104 is created for the VPN Filter for the user(vpn3000). 

!--- This access list 103 allows the access for the network 172.16.1.0/24



!--- Implicit deny. Denies all traffic other than permitted traffic.



!
!--- Output suppressed

username vpn3000 password xaI3t+nY5wjYQ2thSKJfoQ== nt-encrypted

!--- In order to identify remote access users to the Security
!---  Appliance, you can also configure usernames and passwords 
!--- on the device in addition to the use of AAA. 


username vpn3000 attributes
 vpn-filter value 104

!--- Apply the VPN Filter ACL 104 in the username mode. 
!--- This filter is applicable to a particular user (vpn3000) only. 
!--- The username mode VPN Filter (acl 104) overrides
!--- the vpn filter policy (acl 103)applied in the group 
!--- policy(filter) mode for this user(vpn3000) alone.


!
!--- Output suppressed

group-policy vpn-filter internal
group-policy vpn-filter attributes
 vpn-filter value 103

!--- Create the group policy (filter)and specify the access list number
!--- in the vpn-filter command.


!
!--- Output suppressed

tunnel-group vpn3000 general-attributes
 default-group-policy vpn-filter

!--- Associate the group policy (filter) with the tunnel group(vpn3000).

Remarque: Certaines modifications de configuration les prennent effet seulement pendant la négociation de SAS ultérieure. Si vous voulez que les nouveaux paramètres les prennent effet immédiatement, effacez SAS existante afin de les rétablir avec la configuration changée. Si les dispositifs de sécurité traitent activement le trafic d'IPSec, il est desirable d'effacer seulement la partie de la base de données SA que les modifications de configuration affecteraient. Réserve effaçant la pleine base de données SA pour les modifications de grande puissance, ou quand les dispositifs de sécurité traitent un peu de trafic d'IPSec.

Remarque: Vous pouvez employer ces instructions données afin d'effacer et réinitialiser SAS.

  • effacez ipsec SA — Retire tout les IPSec SAS des dispositifs de sécurité.

  • effacez le pair 10.1.1.1 d'ipsec — Effacements IPSec SAS avec une adresse IP de pair de 10.1.1.1.

  • effacez ISAKMP SA — Enlève toute les base de données d'exécution SA d'IKE.

Configuration de filtre de l'Accès à distance VPN par l'ASDM

Terminez-vous ces étapes afin de configurer un filtre de l'Accès à distance VPN par l'ASDM :

  1. Créez un pool d'adresses :

    1. Dans l'ASDM, choisissez la configuration > l'Accès à distance VPN > réseau (client) Access > affectation d'adresses > pools d'adresses.

      Remote-Access-VPN-Filter-1.gif
    2. Cliquez sur Add.

      La boîte de dialogue Add IP Pool apparaît.

      Remote-Access-VPN-Filter-2.gif
    3. Écrivez un nom pour le pool d'IP. Cet exemple utilise vpnclient.

    4. Écrivez les adresses IP commençantes et finissantes, et puis choisissez le masque de sous-réseau.

    5. Cliquez sur OK.

  2. Ajoutez une liste d'accès pour permettre l'accès au serveur de domaine :

    1. Dans l'ASDM, choisissez la configuration > le Pare-feu > a avancé > gestionnaire d'ACL.

      L2L-VPN-Filter-1.gif
    2. Cliquez sur Add, et choisissez ajoutent l'ACL.

      La boîte de dialogue d'ACL d'ajouter apparaît.

      Remote-Access-VPN-Filter-3.gif
    3. Écrivez 103 dans la zone d'identification d'ACL, et cliquez sur OK.

  3. Ajoutez ACE :

    1. Dans la liste d'ACL, cliquez avec le bouton droit l'entrée 103, et choisissez ajoutent ACE.

      La boîte de dialogue d'ACE d'ajouter apparaît.

      Remote-Access-VPN-Filter-7.gif
    2. Cliquez sur la case d'option d'autorisation.

    3. Entrez dans le réseau 10.16.20.0/24 dans le domaine de source, et entrez dans 172.16.1.1 dans le champ de destination.

    4. Cliquez sur le bouton de furetage () situé à côté du champ de service.

      La boîte de dialogue de service de furetage apparaît.

      Remote-Access-VPN-Filter-8.gif
    5. Sélectionnez le protocole d'UDP nommé domaine, et cliquez sur OK pour retourner dans la boîte de dialogue d'ACE d'ajouter.

      Remote-Access-VPN-Filter-9.gif
    6. Cliquez sur OK.

  4. Ajoutez un nouvel utilisateur :

    1. Dans l'ASDM, choisissez la configuration > l'Accès à distance VPN > utilisateurs > utilisateurs locaux AAA/Local.

      Remote-Access-VPN-Filter-12.gif
    2. Cliquez sur le bouton Add.

      La boîte de dialogue de compte utilisateur d'ajouter apparaît.

      Remote-Access-VPN-Filter-13.gif
    3. Entrez un nom d'utilisateur et un mot de passe. Cet exemple utilise vpn3000 comme nom d'utilisateur.

    4. Cliquez sur OK.

  5. Créez une liste d'accès pour limiter l'accès pour l'utilisateur vpn3000 :

    1. Dans l'ASDM, choisissez la configuration > le Pare-feu > a avancé > gestionnaire d'ACL.

      L2L-VPN-Filter-1.gif
    2. Cliquez sur Add, et choisissez ajoutent l'ACL.

      La boîte de dialogue d'ACL d'ajouter apparaît.

      Remote-Access-VPN-Filter-10.gif
  6. Ajoutez ACE :

    1. Dans la liste d'ACL, cliquez avec le bouton droit l'entrée 104, et choisissez ajoutent ACE.

      La boîte de dialogue d'ACE d'ajouter apparaît.

      Remote-Access-VPN-Filter-11.gif
    2. Cliquez sur la case d'option d'autorisation.

    3. Entrez dans le réseau 10.16.20.0/24 dans le domaine de source, et écrivez 172.16.1.0/24 dans le champ de destination.

    4. Cliquez sur OK.

  7. Ajoutez la liste d'accès 104 comme règle de filtrage pour l'utilisateur vpn3000 :

    1. Dans l'ASDM, choisissez la configuration > l'Accès à distance VPN > utilisateurs > utilisateurs locaux AAA/Local.

    2. Choisissez l'utilisateur vpn3000, et cliquez sur Edit.

      La boîte de dialogue de compte utilisateur d'éditer apparaît.

      Remote-Access-VPN-Filter-14.gif
    3. Choisissez 104 de la liste déroulante de filtre d'ipv4, et cliquez sur OK.

  8. Ajoutez la liste d'accès 103 à la stratégie de groupe de VPN-filtre :

    1. Dans l'ASDM, choisissez le Configuration > Remote Access VPN > Network (Client) Access > Group Policies, et puis cliquez sur Add.

      La boîte de dialogue d'Add Internal Group Policy apparaît.

      Remote-Access-VPN-Filter-15.gif
    2. Entrez dans le VPN-filtre dans la zone d'identification, et choisissez 103 de la liste déroulante de filtre d'ipv4.

    3. Cliquez sur OK.

  9. Ajoutez la stratégie de groupe de VPN-filtre comme la valeur par défaut pour le profil de la connexion vpn3000 :

    1. Dans l'ASDM, choisissez la configuration > l'Accès à distance VPN > réseau (client) Access > des profils de connexion d'IPsec, sélectionnez le groupe requis de tunnel, et cliquez sur Edit.

      Remote-Access-VPN-Filter-17.gif
    2. Choisissez le VPN-filtre de la liste déroulante de stratégie de groupe, et cliquez sur OK.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 99103