Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

Filtres VPN sur l'exemple de configuration de Cisco ASA

19 octobre 2014 - Traduction automatique
Autres versions: PDFpdf | Anglais (30 septembre 2014) | Commentaires

Introduction

Ce document décrit des filtres VPN en détail et s'applique à l'entre réseaux locaux (L2L), au Client VPN Cisco, et au Client à mobilité sécurisé Cisco AnyConnect.

Les filtres se composent des règles qui déterminent si laisser ou rejeter a percé un tunnel les paquets de données qui sont livré par les dispositifs de sécurité, basés sur des critères tels que l'adresse source, adresse de destination, et le protocole. Vous configurez le Listes de contrôle d'accès (ACL) afin de permettre ou refuser de divers types de trafic. Le filtre peut être configuré sur la stratégie de groupe, les attributs de nom d'utilisateur, ou la stratégie d'accès dynamique (DAP).

DAP remplace la valeur configurée dans le cadre des attributs et de la stratégie de groupe de nom d'utilisateur. La valeur d'attribut de nom d'utilisateur remplace la valeur de stratégie de groupe au cas où DAP n'assignerait aucun filtre. 

Contribué par Gustavo la Médina, Yamil Gazel, Oleg Tipisov, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Configuration de tunnels VPN L2L.
  • Configuration d'Accès à distance de client vpn (RA)
  • Configuration de RA d'AnyConnect.

Composants utilisés

Les informations dans ce document sont basées sur la version 9.1(2) de l'appliance de sécurité adaptable de gamme Cisco 5500-X (ASA).

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

La commande d'autorisation-VPN de connexion de sysopt permet tout le trafic qui entre dans les dispositifs de sécurité par un tunnel VPN pour sauter des Listes d'accès d'interface. Les statégies de groupe et les listes d'accès d'autorisation par utilisateur s'appliquent toujours au trafic. 

Un vpn-filtre est appliqué au trafic postdecrypted après qu'il quitte un tunnel et au trafic preencrypted avant qu'il entre dans un tunnel. Un ACL qui isused pour un VPN-filtre ne devrait pas également être utilisé pour un access-group d'interface.


Quand un VPN-filtre est appliqué à une stratégie de groupe qui régit des connexions client VPN d'Accès à distance, l'ACL devrait être configuré avec le client assigné des adresses IP en position de src_ip de l'ACL et réseau local dans la position de dest_ip de l'ACL. Quand un VPN-filtre est appliqué à une stratégie de groupe qui régit une connexion VPN L2L, l'ACL devrait être configuré avec le réseau distant en position de src_ip de l'ACL et le réseau local dans la position de dest_ip de l'ACL. 

Configurez

Des filtres VPN doivent être configurés dans la direction d'arrivée bien que des règles soient encore appliquées bidirectionnel. L'amélioration CSCsf99428 a été ouverte pour prendre en charge des règles unidirectionnelles, mais elle n'a pas été encore programmée/a été commise pour l'implémentation.

VPN-filtre de l'exemple 1. avec AnyConnect ou client vpn

Supposez que l'adresse IP client-assignée est 10.10.10.1/24 et le réseau local est 192.168.1.0/24.

Cet entrée de contrôle d'accès (ACE) permet le client d'AnyConnect au telnet au réseau local :

access-list vpnfilt-ra permit tcp
10.10.10.1 255.255.255.255 192.168.1.0 255.255.255.0 eq 23

Remarque: L'eq 23 de 10.10.10.1 255.255.255.255 192.168.1.0 255.255.255.0 de TCP d'autorisation de vpnfilt-Ra de liste d'accès d'ACE permet également au réseau local pour initier une connexion au client de RA sur n'importe quel port TCP s'il utilise un port de source de 23.

Cet ACE permet le réseau local au telnet au client d'AnyConnect :

access-list vpnfilt-ra permit tcp 10.10.10.1 255.255.255.255
eq 23 192.168.1.0 255.255.255.0

Remarque: L'eq 23 192.168.1.0 255.255.255.0 de 10.10.10.1 255.255.255.255 de TCP d'autorisation de vpnfilt-Ra de liste d'accès d'ACE permet également au client de RA pour initier une connexion au réseau local sur n'importe quel port TCP s'il utilise un port de source de 23.

Attention : La caractéristique de VPN-filtre tient compte pour que le trafic soit filtré dans la direction d'arrivée seulement et la règle sortante est automatiquement compilée. Par conséquent, quand vous créez une liste d'accès de Protocole ICMP (Internet Control Message Protocol), ne spécifiez pas le type ICMP dans le formatage de liste d'accès si vous voulez les filtres directionnels.

VPN-filtre de l'exemple 2. avec la connexion VPN L2L

Supposez que le réseau distant est 10.0.0.0/24 et le réseau local est 192.168.1.0/24.

Cet ACE permet le réseau distant au telnet au réseau local :

access-list vpnfilt-l2l permit tcp 10.0.0.0 255.255.255.0 192.168.1.0
255.255.255.0 eq 23

Remarque: L'eq 23 de 10.0.0.0 255.255.255.0 192.168.1.0 255.255.255.0 de TCP d'autorisation de la liste d'accès vpnfilt-l2l d'ACE permet également au réseau local pour initier une connexion au réseau distant sur n'importe quel port TCP s'il utilise un port de source de 23. 

Cet ACE permet le réseau local au telnet au réseau distant :

access-list vpnfilt-l2l permit tcp 10.0.0.0 255.255.255.0 eq 23
192.168.1.0 255.255.255.0 

Remarque: L'eq 23 192.168.1.0 255.255.255.0 de 10.0.0.0 255.255.255.0 de TCP d'autorisation de la liste d'accès vpnfilt-l2l d'ACE permet également au réseau distant pour initier une connexion au réseau local sur n'importe quel port TCP s'il utilise un port de source de 23. 

Attention : La caractéristique de VPN-filtre tient compte pour que le trafic soit filtré dans la direction d'arrivée seulement et la règle sortante est automatiquement compilée. Par conséquent, quand vous créez une liste d'accès d'ICMP, ne spécifiez pas le type ICMP dans le formatage de liste d'accès si vous voulez les filtres directionnels.

Filtres VPN et access-group de par-utilisateur-dépassement

Le trafic VPN n'est pas filtré par l'interface ACLs. La commande aucune connexion autorisation-VPN de sysopt peut être utilisée afin de changer le comportement par défaut. Dans ce cas, deux ACLs peuvent être appliqués au trafic d'utilisateur : l'ACL d'interface d'abord et puis est vérifié le VPN-filtre.

Le mot clé de par-utilisateur-dépassement (pour ACLs d'arrivée seulement) permet l'utilisateur dynamique ACLs qui sont téléchargés pour l'autorisation d'utilisateur afin d'ignorer l'ACL assigné à l'interface. Par exemple, si l'ACL d'interface refuse tout le trafic de 10.0.0.0, mais l'ACL dynamique permet tout le trafic de 10.0.0.0, puis l'ACL dynamique ignore l'ACL d'interface pour cet utilisateur et le trafic est permis.

Exemples (quand aucune connexion autorisation-VPN de sysopt n'est configurée) :

  • aucun par-utilisateur-dépassement, aucun VPN-filtre - le trafic est apparié contre l'ACL d'interface

  • aucun par-utilisateur-dépassement, VPN-filtre - le trafic est apparié d'abord contre l'ACL d'interface, puis contre le VPN-filtre

  • par-utilisateur-dépassement, VPN-filtre - le trafic est apparié contre le VPN-filtre seulement.

Vérifiez

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

L'Output Interpreter Tool (clients enregistrés seulement) prend en charge certaines commandes show. Utilisez l'Output Interpreter Tool afin de visualiser une analyse de sortie de commande show.

  • affichez le filtre de table d'asp [<acl-nom de liste d'accès >] [les hit]

    Afin de mettre au point les tables accélérées de filtre de chemin de Sécurité, utilisez la commande de filtre de table d'asp d'exposition dans le mode d'exécution privilégié. Quand un filtre a été appliqué à un tunnel VPN, les règles de filtrage sont installées dans la table de filtre. Si le tunnel a un filtre spécifié, alors la table de filtre est vérifiée avant le cryptage et après déchiffrement afin de déterminer si le paquet interne devrait être permis ou refusé.

     USAGE
    show asp table filter [access-list <acl-name>] [hits]


     SYNTAX <acl-name>      Show installed filter for access-list <acl-name>
    hits Show filter rules which have non-zero hits values


  • effacez le filtre de table d'asp [le <acl-nom de liste d'accès >]

    Cette commande efface les compteurs de hit pour les entrées de table de filtre d'ASP.

     USAGE
    clear asp table filter [access-list <acl-name>]


     SYNTAX
    <acl-name> Clear hit counters only for specified access-list <acl-name>

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

L'Output Interpreter Tool (clients enregistrés seulement) prend en charge certaines commandes show. Utilisez l'Output Interpreter Tool afin de visualiser une analyse de sortie de commande show.

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

  • mettez au point le filtre d'acl

    Cette élimination des imperfections de filtre des commandes enables VPN. Il peut être utilisé pour aider à dépanner les installations/suppression des filtres VPN dans la table de filtre d'ASP. Pour le VPN-filtre de l'exemple 1. avec AnyConnect ou client vpn

    Sortie de débogage quand user1 se connecte :

     ACL FILTER INFO: first reference to inbound filter vpnfilt-ra(2): Installing
    rule into NP.
    ACL FILTER INFO: first reference to outbound filter vpnfilt-ra(2): Installing
    rule into NP.


    Sortie de débogage quand user2 se connecte (après user1 et le même filtre) :

     ACL FILTER INFO: adding another reference to outbound filter vpnfilt-ra(2): refCnt=2
    ACL FILTER INFO: adding another reference to inbound filter vpnfilt-ra(2): refCnt=2


    Sortie de débogage quand user2 déconnecte :

     ACL FILTER INFO: removing a reference from inbound filter vpnfilt-ra(2): remaining
    refCnt=1
    ACL FILTER INFO: removing a reference from outbound filter vpnfilt-ra(2): remaining
    refCnt=1


    Sortie de débogage quand user1 déconnecte :

     ACL FILTER INFO: releasing last reference from inbound filter vpnfilt-ra(2): Removing
    rule into NP.
    ACL FILTER INFO: releasing last reference from outbound filter vpnfilt-ra(2): Removing rule into NP.


  • affichez la table d'asp

    Voici la sortie du filtre de table d'asp d'exposition avant quand user1 se connecte. Seulement les implicites refusent des règles sont installés pour l'ipv4 et l'IPv6 dans chacun des deux dans et des directions.

     Global Filter Table:
    in id=0xd616ef20, priority=11, domain=vpn-user, deny=true
    hits=0, user_data=0xd613ea60, filter_id=0x0(-implicit deny-), protocol=0
    src ip=0.0.0.0, mask=0.0.0.0, port=0
    dst ip=0.0.0.0, mask=0.0.0.0, port=0
    in id=0xd616f420, priority=11, domain=vpn-user, deny=true
    hits=0, user_data=0xd615ef70, filter_id=0x0(-implicit deny-), protocol=0
    src ip=::/0, port=0
    dst ip=::/0, port=0
    out id=0xd616f1a0, priority=11, domain=vpn-user, deny=true
    hits=0, user_data=0xd614d900, filter_id=0x0(-implicit deny-), protocol=0
    src ip=0.0.0.0, mask=0.0.0.0, port=0
    dst ip=0.0.0.0, mask=0.0.0.0, port=0
    out id=0xd616f6d0, priority=11, domain=vpn-user, deny=true
    hits=0, user_data=0xd6161638, filter_id=0x0(-implicit deny-), protocol=0
    src ip=::/0, port=0
    dst ip=::/0, port=0

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118029