Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

Empêcher certaines versions de client VPN Cisco de se connecter au concentrateur VPN/ASA/PIX

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit une configuration d'échantillon pour que la façon limite certaines versions du Client VPN Cisco de se connecter au concentrateur ou aux dispositifs de sécurité VPN tels que PIX et ASA.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Concentrateur de la série Cisco VPN 3000 avec la version 4.x

  • Client VPN Cisco avec la version 4.x et plus tard

  • Gamme de Cisco ASA 5500 avec la version 7.x et ultérieures

  • Gamme 500 de Cisco PIX avec la version 7.x et ultérieures

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Limitez la version de client vpn

Configuration du concentrateur de Cisco VPN 3000

Le concentrateur VPN peut permettre ou refuser des clients vpn par leur type et version de logiciel.

Afin d'utiliser cette caractéristique, ouvrez une session au concentrateur VPN et choisissez le Configuration > User Management > Groups. Alors choisissez le groupe et allez à l'onglet d'IPsec.

Construisez les règles de cette façon :

p[ermit]/d[eny] :  

Exemples :

  • refusez *:3.6* — Refuse tous les clients VPN qui exécutent la version de logiciel 3.6x

  • CLIENT VPN d : 4.6* — Empêche des utilisateurs avec la version du client 4.6 VPN pour pouvoir établir la connexion VPN au concentrateur VPN

  • fenêtres p : 4.8* — Permet seulement à la version 4.8 pour se connecter

  • p * : 4.8* — Permet n'importe quelle plate-forme qui exécute n'importe quelle version de 4.8

Si l'administrateur ne souhaite pas spécifier la plate-forme, utilisez cette règle à la place :

p *: 4.8*

Remarque: * le caractère est un masque. Vous pouvez l'utiliser de plusieurs périodes dans chaque règle.

Utilisez une ligne distincte pour chaque règle.

Règles de commande par priorité. La première règle que les correspondances est la règle qui s'applique. Si une règle postérieure le contredit, le système l'ignore. Si vous ne définissez aucune règle, on permet toutes les connexions.

Quand un client n'en apparie aucune des règles, la connexion est refusée. Ceci signifie que, si vous définissez une règle de refuser, vous devez également définir au moins une règle d'autorisation, ou toutes les connexions sont refusées.

Pour le logiciel et les clients matériels, le type et la version de logiciel de client doivent s'assortir (distinguant majuscules et minuscules) dans leur apparence dans la surveillance | Fenêtre de sessions, qui inclut les espaces. Il est recommandé que que vous copiez et le collez de cette fenêtre à celle-ci.

Employez le non applicable pour le type ou la version pour identifier les informations que le client n'envoie pas. Par exemple, non applicable d'autorisation : le non applicable te permet pour permettre n'importe quel client qui n'envoie pas le type et la version de client.

Vous pouvez utiliser un total de 255 caractères pour des règles. Le saut de ligne entre les règles utilise deux caractères. Afin d'économiser des caractères, l'utilisation p pour l'autorisation et le d pour refusent. Éliminez les espaces excepté de la manière prescrite pour le type et la version de client. Vous n'avez pas besoin d'un espace avant ou après les deux points (:).

Configuration ASA/PIX

Afin de configurer les règles qui limitent les types et les versions de client d'Accès à distance qui peuvent se connecter par IPsec et les dispositifs de sécurité, émettez la commande de client-Access-règle dans le mode de configuration de stratégie de groupe. Afin de supprimer une règle, émettez le forme no de cette commande.

Cet exemple affiche comment créer des règles d'accès client pour la stratégie de groupe nommée FirstGroup. Ces règles permettent les clients VPN qui exécutent la version de logiciel 4.1, tandis que refusez tous les clients matériels VPN 3002 :

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# client-access-rule 1 d t VPN3002 v *
hostname(config-group-policy)# client-access-rule 2 p * v 4.1 

Quand vous construisez des règles, référez-vous à ces instructions :

  • Si vous ne définissez aucune règle, les dispositifs de sécurité permettent tous les types de connexion.

  • Quand un client n'en apparie aucune des règles, les dispositifs de sécurité refusent la connexion. Si vous définissez une règle de refuser, vous devez également définir au moins une règle d'autorisation, ou les dispositifs de sécurité refusent toutes les connexions.

  • Pour le logiciel et les clients matériels, le type et la version doivent apparier leur apparence exactement dans l'affichage distant de VPN-sessiondb d'exposition.

  • * le caractère est un masque, que vous pouvez utiliser de plusieurs périodes dans chaque règle. Par exemple, la client-Access-règle 3 refusent le type * la version 3.* crée une règle d'accès client prioritaire 3 qui refuse tous les types de client qui exécutent le logiciel de version 3.x.

  • Vous pouvez construire un maximum avec de 25 règles par stratégie de groupe.

  • Il y a une limite de 255 caractères pour un jeu complet de règles.

  • Vous pouvez utiliser le non applicable pour les clients qui n'envoient pas le type ou la version de client.

Remarque: Afin de limiter le client vpn de MAC OS, employez la syntaxe « Mac OS X » pour que le type de plate-forme apparie des connexions de MAC.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 100347