Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

PIX/ASA: Permita la conexión del protocolo del Escritorio Remoto con el ejemplo de configuración del dispositivo de seguridad

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (20 Junio 2008) | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento describe cómo permitir conexiones RDP (Remote Desktop Protocol) a través de un Cisco Security Appliance.

El RDP es un protocolo de varios canales que permite que un usuario conecte con un ordenador que dirija los servicios de terminal de Microsoft. Los clientes existen para la mayoría de las versiones de Windows, y otros sistemas operativos tales como Linux, FreeBSD, y Mac OS X. El servidor escucha en el puerto TCP 3389 por abandono.

En este ejemplo de configuración, el dispositivo de seguridad se configura para permitir que un cliente RDP en Internet conecte con un servidor PC RDP en la interfaz interior. El dispositivo de seguridad realiza la traducción de la dirección y el cliente conecta con el host que usa un IP Address externo asociado los parásitos atmosféricos.

prerrequisitos

Requisitos

Este documento asume que el Cisco PIX Firewall está completamente - operativo y configurado. También, se hacen todas las configuraciones iniciales y los hosts deben tener conectividad de extremo a extremo.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Dispositivo de seguridad adaptante de las 5500 Series de los dispositivos de seguridad de Cisco (ASA) con la versión de software 8.2(1)

  • Versión 6.3(5) del Cisco Adaptive Security Device Manager

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos Relacionados

  • Dispositivo de seguridad de la serie del Cisco PIX 500 con la versión de software 7.x

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección, le presentan con la información para configurar el dispositivo de seguridad para permitir que el tráfico del protocolo del Escritorio Remoto (RDP) pase a través.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/77869/pix-remote-desktop-conn-01.gif

Nota: Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son las direcciones RFC1918 que se han utilizado en un entorno de laboratorio.leavingcisco.com

Configuraciones

Esta sección muestra la configuración del dispositivo de seguridad. El tráfico RDP del host 20.1.1.10 en Internet se permite al servidor RDP en 172.16.11.10 en la red interna que escucha en el puerto 3389 a través de la dirección IP 209.165.200.10 asociada los parásitos atmosféricos.

Siga estos pasos:

  • Configure el NAT estático para reorientar el tráfico RDP recibido en la interfaz exterior al host interior.

  • Cree un Access Control List (ACL) ese los permisos RDP y apliqúelo a la interfaz exterior.

    Nota: Porque el NAT es realizado por el dispositivo de seguridad, el ACL debe permitir el acceso a la dirección IP asociada del servidor RDP; no el IP Address real.

Nota: La dirección IP (192.168.1.5) usada para la correlación estática debe estar en la misma subred como la dirección IP de la interfaz exterior. Refiera a la sección del NAT estático de las declaraciones del PIX/ASA 7.x NAT y de la PALMADITA para aprender más sobre la asignación del NAT estático.

Ciscoasa
CiscoASA#show running-config
: Saved
:
ASA Version 8.2(1)
!
hostname CiscoASA
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
!
!--- Output suppressed

!
object-group service RDP tcp
 port-object eq 3389
!
!
!--- Output suppressed

!

!--- This access-list allows the RDP traffic sourced from 172.16.1.2
!--- to destination 192.168.1.5 with TCP port 3389.

access-list outside_access_in extended permit tcp host 20.1.1.10 host 209.165.200.10 object-group RDP




!--- This staic NAT statement redirects the traffic destined for  
!--- IP address 192.168.1.5 to host IP address 10.1.1.5. 

static (inside,outside) 209.165.200.10 172.16.11.10 netmask 255.255.255.255

!
!--- Output suppressed

access-group outside_access_in in interface outside
!

!--- Output is suppressed. 

Nota:  En esta configuración ACL, el “host 20.1.1.10” se puede substituir por “ningunos” para permitir el acceso al servidor RDP de Internet at large. Esto no se recomienda, sin embargo, puesto que puede ser que abra el servidor RDP hasta el ataque. Como regla general, haga las entradas ACL tan específicas como sea posible.

Configuración con el ASDM

Configuración

Complete estos pasos:

  1. Para crear una lista de acceso, elegir la configuración > el Firewall > las reglas de acceso, y elegir agregue entonces hacen clic agregan la regla de acceso en el menú desplegable.

    /image/gif/paws/77869/pix-remote-desktop-conn-02.gif

  2. Ahora, especifique la acción, la fuente y el destino. Haga clic, el botón Details Button, para elegir el puerto destino.

    /image/gif/paws/77869/pix-remote-desktop-conn-03.gif

  3. El número del puerto predeterminado para el RDP es 3389. Pues esto no está disponible en el tcp disponible vira hacia el lado de babor, el tecleo agrega y elige al grupo de servicios TCP en el menú desplegable. Con esto, usted puede agrupar los puertos personalizados juntos, sobre la base del requisito.

    /image/gif/paws/77869/pix-remote-desktop-conn-04.gif

  4. Ahora, especifique un nombre para este grupo de servicios y tipo-en el número del puerto en el espacio en blanco dado para la opción del puerto/del rango y haga clic el botón Add para hacer este servicio como miembro del grupo de servicios. Como esto, usted puede elegir un rango de puertos como miembro del mismo grupo de servicios. Haga clic en OK.

    /image/gif/paws/77869/pix-remote-desktop-conn-05.gif

  5. Muestra al grupo de servicios junto con sus miembros. Haga Click en OK para invertir de nuevo a la ventana de la regla de acceso.

    /image/gif/paws/77869/pix-remote-desktop-conn-06.gif

  6. Haga Click en OK para completar la configuración de la lista de acceso.

    /image/gif/paws/77869/pix-remote-desktop-conn-07.gif

  7. La lista de acceso junto con su interfaz asociada se puede considerar en la ventana de la configuración > del Firewall > de las reglas de acceso.

    /image/gif/paws/77869/pix-remote-desktop-conn-08.gif

  8. Ahora, elija la configuración > el Firewall > opción de la regla del NAT estático de las reglas NAT > Add > Add para crear una entrada NAT estática.

    /image/gif/paws/77869/pix-remote-desktop-conn-09.gif

  9. Especifique el IP Address original y la dirección IP traducida junto con sus interfaces asociadas respectivas y haga clic la AUTORIZACIÓN.

    /image/gif/paws/77869/pix-remote-desktop-conn-10.gif

  10. La regla configurada se podía ver en la ventana de las reglas NAT como se muestra aquí. Haga clic el botón Apply Button para enviar esta configuración al dispositivo de seguridad y hacer clic la salvaguardia para salvar la configuración a la memoria flash.

    /image/gif/paws/77869/pix-remote-desktop-conn-11.gif

Permita SSH al mismo servidor RDP

Ciertas aplicaciones bloquean la aplicación de Escritorio Remoto debido a sus vulnerabilidades conocidas. En este caso, usted puede elegir utilizar otras aplicaciones cifradas como SSH. Para alcanzar esto, usted necesita agregar SSH como el puerto destino para el servidor RDP. En el ejemplo anterior, el concepto del grupo de servicios se ha utilizado para definir el puerto destino. La ventaja con usar al grupo de servicios es que usted puede modificar los protocolos/los puertos al grupo de servicios según el requisito. Usted puede agregar los nuevos puertos al grupo de servicios o borrar a los miembros existentes (puertos) del grupo de servicios. En el próximo ejemplo, se demuestra cómo agregar SSH al grupo de servicios existente RDP.

Complete estos pasos:

  1. Haga clic con el botón derecho del ratón en la regla de acceso de la lista de acceso y el tecleo edita.

    /image/gif/paws/77869/pix-remote-desktop-conn-12.gif

  2. Ahora, en el tecleo de la categoría de servicio, el botón Details Button, para editar a los miembros del grupo de servicios.

    /image/gif/paws/77869/pix-remote-desktop-conn-13.gif

  3. El click derecho en el grupo de servicios y el tecleo editan para modificar el grupo de servicios.

    /image/gif/paws/77869/pix-remote-desktop-conn-14.gif

  4. Ahora, elija el protocolo SSH y el tecleo agrega para agregar este protocolo como miembro de este grupo de servicios.

    /image/gif/paws/77869/pix-remote-desktop-conn-15.gif

  5. Ahora, ambos los miembros pueden ser considerados como en este ejemplo, y la AUTORIZACIÓN del tecleo.

    /image/gif/paws/77869/pix-remote-desktop-conn-16.gif

  6. Haga Click en OK para completar el procedimiento de la modificación.

    /image/gif/paws/77869/pix-remote-desktop-conn-17.gif

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

  • Si un cierto cliente o rango de los clientes no puede conectar con el servidor RDP, esté seguro que permiten a esos clientes en el ACL en la interfaz exterior.

  • Si no hay clientes conectar con el servidor RDP, esté seguro que un ACL en el exterior o la interfaz interior no está bloqueando el tráfico a o desde el puerto 3389.

  • Si no hay clientes conectar con el servidor RDP, después marque para ver independientemente de si los paquetes exceden el valor MSS. Si es así configure el MPF para permitir que los paquetes excedidos MSS para resolver este problema como este ejemplo muestra:

    CiscoASA(config)#access-list 110 extended permit 
    tcp host 20.1.1.10 host 209.165.200.10 eq 3389
    
    
    !--- This command is wrapped to a second line due to 
    !--- spatial reasons.
    
    CiscoASA(config)#access-list 110 extended permit 
    tcp host 20.1.1.10 host 209.165.200.10 eq 80
    
    
    !--- This command is wrapped to a second line due to 
    !--- spatial reasons.
    
    
    CiscoASA(config)#class-map rdpmss
    CiscoASA(config-cmap)#match access-list 110    
    CiscoASA(config-cmap)#exit
    CiscoASA(config)#tcp-map mss-map
    CiscoASA(config-tcp-map)#exceed-mss allow
    CiscoASA(config-tcp-map)#exit
    CiscoASA(config)#policy-map rdpmss
    CiscoASA(config-pmap)#class rdpmss
    CiscoASA(config-pmap-c)#set connection advanced-options mss-map
    CiscoASA(config-pmap-c)#exit
    CiscoASA(config-pmap)#exit
    CiscoASA(config)#service-policy rdpmss interface outside
    

    Refiera a las soluciones a la sección de los problemas de fragmentación del PIX/ASA 7.x y IOS: Fragmentación VPN para aprender sobre los otros métodos que usted puede utilizar para resolver el problema MSS.

  • El tiempo de espera de la sesión RDP después de que expirara el valor del tiempo de espera de la conexión del valor por defecto TCP. Para resolver este problema, aumente el descanso como se muestra aquí:

    timeout conn 10:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

    Este comandos estableces el valor de agotamiento del tiempo a diez horas.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 77869