Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

PIX/ASA 7.x y posteriores: Ejemplo de configuración del filtro VPN (puerto específico o protocolo del permiso) para el L2L y el Acceso Remoto

25 Diciembre 2014 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (25 Agosto 2008) | Inglés (29 Septiembre 2014) | Comentarios


Contenido


Introducción

Este documento describe el procedimiento para utilizar Cisco ASA para configurar el filtro VPN en el L2L y el Acceso Remoto con el Cliente Cisco VPN.

Los filtros consisten en las reglas que determinan si permitir o rechazar los paquetes de datos tunneled que vienen a través del dispositivo de seguridad, sobre la base de los criterios tales como dirección de origen, dirección destino, y protocolo. Usted configura los ACL a los diversos tipos de tráfico del permit or deny para esta directiva del grupo. Usted puede también configurar este atributo en el modo del nombre de usuario, en este caso, el valor configurado bajo nombre de usuario reemplaza el valor de la grupo-directiva.

Nota: Para que los cambios de configuración del túnel tomen el efecto, usted debe terminar una sesión el túnel VPN y restablecer el túnel.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Software adaptante del dispositivo de seguridad de las Cisco 5500 Series (ASA) que funciona con la versión 8.2(1)

  • Versión 6.3(5) del Cisco Adaptive Security Device Manager

  • Cliente VPN de Cisco versión 4.x y posterior

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos Relacionados

Esta configuración se puede también utilizar con el dispositivo de seguridad de la serie del Cisco PIX 500 que funciona con la versión 7.x y posterior.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Antecedentes

El comando sysopt connection permit-ipsec permite todo el tráfico que ingresa el dispositivo de seguridad a través de un túnel VPN para desviar las Listas de acceso de la interfaz. La directiva del grupo y por usuario las Listas de acceso de la autorización todavía se aplica al tráfico. En el PIX/ASA 7.1 y posterior, cambian al comando sysopt connection permit-ipsec a la conexión permiso-VPN del sysopt. El vpn-filtro se aplica al tráfico poste-desencriptado después de que salga un túnel y un tráfico PRE-cifrado antes de que ingrese un túnel.

Un ACL que se utiliza para un VPN-filtro no se debe también utilizar para un acceso-grupo de la interfaz. Cuando un VPN-filtro se aplica a un modo de la grupo-directiva/del Nombre de usuario que gobierne las conexiones del cliente VPN de acceso remoto, el ACL se debe configurar con los IP Address asignados del cliente en la posición del src_ip del ACL y la red local en la posición del dest_ip del ACL. Cuando un VPN-filtro se aplica a una grupo-directiva que gobierne una conexión VPN L2L, el ACL se debe configurar con la red remota en la posición del src_ip del ACL y la red local en la posición del dest_ip del ACL.

access-list <acl-no> <permit/deny> ip <remote network> <local network>

Ejercite la precaución cuando usted construye los ACL para el uso con la característica del VPN-filtro. Los ACL se construyen con el tráfico poste-desencriptado (tráfico entrante VPN) en la mente. Sin embargo, también se aplican al tráfico originado en la dirección opuesta.

Nota: En el final de cada ACL, hay una regla implícita, na escrito que niega todo el tráfico que no se permita. Si el tráfico no es permitido explícitamente por una Entrada de control de acceso (ACE), se niega. Los ACE se refieren como reglas en este tema. En este escenario, refiera a la lista de acceso 103 configurada en la configuración de filtro L2L VPN.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red L2L

Este documento utiliza esta configuración de la red para el filtro L2L VPN:

/image/gif/paws/99103/pix-asa-vpn-filter-1.gif

Configuración de filtro L2L VPN

En este documento, se utilizan estas configuraciones:

Ciscoasa
CiscoASA# show running-config 

!

!--- Output suppressed

access-list 103 extended deny tcp host 172.16.1.2 host 172.22.1.2 eq 80

!--- Access list 103 is created for the VPN Filter. 
!--- This access list 103 filters/denies the request from the remote host(172.16.1.2)  
!--- to the local WEB Server (172.22.1.2).

access-list 103 extended permit ip any any

!

!--- Output suppressed

group-policy filter internal
group-policy filter attributes
 vpn-filter value 103

!--- Create the group policy (filter)and specify the access list 
!--- number in the vpn filter command.


!

!--- Output suppressed

tunnel-group 10.20.20.1 general-attributes
 default-group-policy filter

!--- Associate the group policy (filter) with the tunnel group.

!
!

!--- Output suppressed

Configuración de filtro L2L VPN con el ASDM

Complete estos pasos para configurar un filtro L2L VPN a través del Cisco Adaptive Security Device Manager (ASDM):

  1. Agregue una lista de acceso:

    1. En el ASDM, elija la configuración > el Firewall > avanzó > ACL Manager.

      L2L-VPN-Filter-1.gif
    2. El tecleo agrega, y elige agrega el ACL.

      El cuadro de diálogo del agregar ACL aparece.

      L2L-VPN-Filter-2.gif
    3. Ingrese 103 en el campo de nombre ACL, y haga clic la AUTORIZACIÓN.

      El nuevo ACL aparece en la lista ACL.

  2. Agregue ACE:

    1. Haga clic con el botón derecho del ratón el nuevo ACL, y elija agregan ACE.

      /image/gif/paws/99103/L2L-VPN-Filter-3.gif

      El cuadro de diálogo de ACE del agregar aparece.

      L2L-VPN-Filter-4.gif
    2. Haga clic el botón Option Button de la negación, ingrese la dirección IP de origen y el IP Address de destino, y después haga clic el botón Browse () localizado al lado del campo del servicio.

      El cuadro de diálogo del servicio de la ojeada aparece.

      /image/gif/paws/99103/L2L-VPN-Filter-5.gif
    3. Elija el puerto TCP 80, y haga clic la AUTORIZACIÓN para volver al cuadro de diálogo de ACE del editar.

      /image/gif/paws/99103/L2L-VPN-Filter-6.gif
    4. Haga clic en OK.

      La nueva entrada de ACE aparece en la lista ACL.

    5. Haga clic con el botón derecho del ratón la nueva entrada de ACE, y elija el separador de millares después.

      /image/gif/paws/99103/L2L-VPN-Filter-7.gif

      El separador de millares después del cuadro de diálogo de ACE aparece.

      /image/gif/paws/99103/L2L-VPN-Filter-8.gif
    6. Agregue ACE que permite cualquier-a-cualquier tráfico:

      1. Haga clic la opción del permiso.

      2. Elija ningunos en la fuente y los Campos Destination, y elija el IP en el campo del servicio.

      3. Haga clic en OK.

      Nota: Agregar ACE que permite cualquier-a-cualquier tráfico previene el implícito niega la regla en el extremo de la lista de acceso.

      Esta imagen muestra la lista de acceso 103 con las dos entradas de control de acceso:

      /image/gif/paws/99103/L2L-VPN-Filter-9.gif
  3. Configure la directiva del grupo:

    1. En el ASDM, elija las directivas de la configuración > del VPN de sitio a sitio > del grupo para configurar la directiva del grupo.

      /image/gif/paws/99103/L2L-VPN-Filter-10.gif
    2. Haga clic agregan, y eligen el Internal group policy (política grupal interna).

      El cuadro de diálogo del Internal group policy (política grupal interna) del agregar aparece.

      /image/gif/paws/99103/L2L-VPN-Filter-13.gif
    3. Ingrese un nombre para la directiva del grupo en el campo de nombre, y elija 103 de la lista desplegable del filtro.

      Consejo: Usted puede también utilizar el botón Manage Button situado al lado de la lista desplegable del filtro para seleccionar el filtro.

    4. Haga clic en OK.

  4. Agregue la directiva interna del grupo al grupo de túnel del sitio a localizar.

    1. En el ASDM, elija la configuración > el VPN de sitio a sitio > los perfiles de la conexión.

    2. Elija al grupo de túnel requerido, y haga clic el botón Edit para modificar los parámetros del grupo de túnel.

      /image/gif/paws/99103/L2L-VPN-Filter-16.gif
    3. Elija el VPN-filtro de la lista desplegable de la directiva del grupo.

      Consejo: Usted puede también utilizar el botón Manage Button situado al lado de la lista desplegable de la directiva del grupo para seleccionar el filtro.

Configuración de filtro bidireccional VPN

El filtro VPN funciona bidireccional con un solo ACL. El host remoto/la red se define siempre al principio de ACE, sin importar la dirección de ACE (entrante o saliente).

Esta configuración se describe en esta configuración de muestra.

Pues el ACL es stateful, si el tráfico se permite en una dirección, después el tráfico de retorno para ese flujo se permite automáticamente.

Nota: Si los puertos TCP/UDP no se utilizan con la lista de acceso, los ambos lados pueden accederse. Por ejemplo:

access-list 103 permit ip 172.16.1.2 host 172.22.1.1 

Nota: Este ACL permite que el tráfico sea originado de 172.16.1.2 a 172.22.1.1 y también de 172.22.1.1 a 172.16.1.2, pues el ACL se aplica bidireccional.

Ciscoasa
CiscoASA# show running-config 


!
!--- Output suppressed



!--- This access list allows the traffic for the remote network 172.16.1.0 
!--- to the local web server on port 80. 


access-list 105 extended permit tcp 172.16.1.0 255.255.255.0 host 172.22.1.1 eq www


!--- This access list allows the traffic in the reverse direction,
!--- from 172.22.1.0 to 172.16.1.3 (ftp server). The remote host/network 
!--- is always defined as the first entry in 
!--- the ACE regardless of the direction.


access-list 105 extended permit tcp host 172.16.1.3 eq ftp 172.22.1.0 255.255.255.0


!--- Implicit deny. 
!--- Denies all other traffic other than permitted traffic.


!
!--- Output suppressed

group-policy filter internal
group-policy filter attributes
 vpn-filter value 105

!--- Create the group policy (filter)and specify the access list number
!--- in the vpn filter command.


!
!--- Output suppressed

tunnel-group 10.20.20.1 general-attributes
 default-group-policy filter

!--- Associate the group policy (filter) with the tunnel group.

!
!--- Output suppressed

Configuración de filtro bidireccional VPN con el ASDM

Complete estos pasos para configurar un filtro bidireccional VPN con el ASDM:

  1. Agregue una lista de acceso:

    1. En el ASDM, elija la configuración > el Firewall > avanzó > ACL Manager.

      L2L-VPN-Filter-1.gif
    2. El tecleo agrega, y elige agrega el ACL.

    3. Ingrese 105 en el campo de nombre ACL, y haga clic la AUTORIZACIÓN.

      El nuevo ACL aparece en la lista ACL.

  2. Agregue ACE:

    1. En la lista ACL, haga clic con el botón derecho del ratón la entrada 105, y elija agregan ACE.

      L2L-VPN-Filter-Bidirectional-1.gif

      El cuadro de diálogo de ACE del agregar aparece.

      L2L-VPN-Filter-Bidirectional-4.gif
    2. Haga clic el botón Option Button del permiso.

    3. Ingrese la red de 172.16.1.0 en el campo de fuente, y ingrese 172.22.1.1 en el Campo Destination.

    4. Haga clic el botón Browse del servicio (), y elija el tcp/el HTTP.

    5. Haga clic en OK.

    6. En la lista ACL, haga clic con el botón derecho del ratón la nueva entrada de ACE, y elija el separador de millares después de ACE.

      El separador de millares después del cuadro de diálogo de ACE aparece.

      L2L-VPN-Filter-Bidirectional-7.gif
    7. Haga clic la opción del permiso.

    8. Ingrese 172.16.1.3 en el campo de fuente, y elija 172.22.1.0/24 para el destino.

    9. En la más área de las opciones, haga clic la casilla de verificación de la regla del permiso, y después haga clic el botón Browse () localizado al lado del campo del servicio de la fuente.

    10. El cuadro de diálogo del servicio de la fuente de la ojeada aparece.

      L2L-VPN-Filter-Bidirectional-8.gif
    11. Seleccione el ftp, y haga clic la AUTORIZACIÓN para volver al separador de millares después del cuadro de diálogo de ACE.

      L2L-VPN-Filter-Bidirectional-9.gif
  3. Agregue una directiva interna del grupo:

    1. En el ASDM, elija las directivas de la configuración > del VPN de sitio a sitio > del grupo para configurar la directiva del grupo.

      /image/gif/paws/99103/L2L-VPN-Filter-10.gif
    2. Haga clic agregan, y eligen el Internal group policy (política grupal interna).

      El cuadro de diálogo del Internal group policy (política grupal interna) del agregar aparece.

      L2L-VPN-Filter-Bidirectional-11.gif
    3. Ingrese un nombre para la directiva del grupo en el campo de nombre, y elija 105 de la lista desplegable del filtro.

      Consejo: Usted puede también utilizar el botón Manage Button situado al lado de la lista desplegable del filtro para seleccionar el filtro.

    4. Haga clic en OK.

  4. Agregue la directiva interna del grupo al grupo de túnel del sitio a localizar:

    1. En el ASDM, elija la configuración > el VPN de sitio a sitio > los perfiles de la conexión.

    2. Elija al grupo de túnel requerido, y haga clic el botón Edit para modificar los parámetros del grupo de túnel.

      /image/gif/paws/99103/L2L-VPN-Filter-16.gif
    3. Elija el VPN-filtro de la lista desplegable de la directiva del grupo.

      Consejo: Usted puede también utilizar el botón Manage Button situado al lado de la lista desplegable de la directiva del grupo para seleccionar el filtro.

Diagrama de red de acceso remoto

Este documento utiliza esta configuración de la red para el filtro del VPN de acceso remoto:

/image/gif/paws/99103/pix-asa-vpn-filter-2.gif

Configuración de filtro del VPN de acceso remoto

Este documento usa esta configuración:

Ciscoasa
CiscoASA# show running-config 


!
!--- Output suppressed

ip local pool vpnclient 10.16.20.1-10.16.20.5

!--- Create a pool of addresses from which IP addresses are assigned 
!--- dynamically to the remote VPN Clients.


access-list 103 extended permit udp 10.16.20.0 255.0.0.0 host 172.16.1.1 eq 53

!--- Access list 103 is created for the VPN Filter for the group policy(filter).
 
!--- Access list 103 allows the access for the DNS Server(172.16.1.1)



!--- Implicit deny. Denies all traffic other than permitted traffic.


access-list 104 extended permit ip 10.16.20.0 255.0.0.0 172.16.1.0 255.255.255.0

!--- Access list 104 is created for the VPN Filter for the user(vpn3000). 

!--- This access list 103 allows the access for the network 172.16.1.0/24



!--- Implicit deny. Denies all traffic other than permitted traffic.



!
!--- Output suppressed

username vpn3000 password xaI3t+nY5wjYQ2thSKJfoQ== nt-encrypted

!--- In order to identify remote access users to the Security
!---  Appliance, you can also configure usernames and passwords 
!--- on the device in addition to the use of AAA. 


username vpn3000 attributes
 vpn-filter value 104

!--- Apply the VPN Filter ACL 104 in the username mode. 
!--- This filter is applicable to a particular user (vpn3000) only. 
!--- The username mode VPN Filter (acl 104) overrides
!--- the vpn filter policy (acl 103)applied in the group 
!--- policy(filter) mode for this user(vpn3000) alone.


!
!--- Output suppressed

group-policy vpn-filter internal
group-policy vpn-filter attributes
 vpn-filter value 103

!--- Create the group policy (filter)and specify the access list number
!--- in the vpn-filter command.


!
!--- Output suppressed

tunnel-group vpn3000 general-attributes
 default-group-policy vpn-filter

!--- Associate the group policy (filter) with the tunnel group(vpn3000).

Nota: Ciertos cambios de configuración toman el efecto solamente durante la negociación de los SA subsiguientes. Si usted quisiera que las nuevas configuraciones tomaran el efecto inmediatamente, borre los SA existentes para restablecerlos con la configuración cambiada. Si el dispositivo de seguridad está procesando activamente el tráfico IPSec, es deseable borrar solamente la porción de la base de datos SA a que los cambios de configuración afectarían. Reserve borrar la base de datos completa SA para los cambios en grande, o cuando el dispositivo de seguridad procesa los muy poco de tráfico IPSec.

Nota: Usted puede utilizar estos comandos dados para borrar y reinicializar los SA.

  • borre IPSec sa — Quita todo el SA de IPSec del dispositivo de seguridad.

  • borre al peer IPSec 10.1.1.1 — SA de IPSec de las cancelaciones con un IP Address de Peer de 10.1.1.1.

  • borre isakmp sa — Quita toda la base de datos tiempo de ejecución SA IKE.

Configuración de filtro del VPN de acceso remoto con el ASDM

Complete estos pasos para configurar un filtro del VPN de acceso remoto con el ASDM:

  1. Cree a una agrupación de direcciones:

    1. En el ASDM, elija la configuración > el VPN de acceso remoto > el acceso > la asignación de dirección > a las agrupaciones de direcciones de la red (cliente).

      Remote-Access-VPN-Filter-1.gif
    2. Haga clic en Add (Agregar).

      Aparece el cuadro de diálogo Agregar Pool IP.

      Remote-Access-VPN-Filter-2.gif
    3. Ingrese un nombre para la agrupación IP. Este ejemplo utiliza vpnclient.

    4. Ingrese los IP Addresses que comienzan y de terminaciones, y después elija la máscara de subred.

    5. Haga clic en OK.

  2. Agregue una lista de acceso para permitir el acceso al servidor del dominio:

    1. En el ASDM, elija la configuración > el Firewall > avanzó > ACL Manager.

      L2L-VPN-Filter-1.gif
    2. El tecleo agrega, y elige agrega el ACL.

      El cuadro de diálogo del agregar ACL aparece.

      Remote-Access-VPN-Filter-3.gif
    3. Ingrese 103 en el campo de nombre ACL, y haga clic la AUTORIZACIÓN.

  3. Agregue ACE:

    1. En la lista ACL, haga clic con el botón derecho del ratón la entrada 103, y elija agregan ACE.

      El cuadro de diálogo de ACE del agregar aparece.

      Remote-Access-VPN-Filter-7.gif
    2. Haga clic el botón Option Button del permiso.

    3. Ingrese la red 10.16.20.0/24 en el campo de fuente, y ingrese 172.16.1.1 en el Campo Destination.

    4. Haga clic el botón Browse () localizado al lado del campo del servicio.

      El cuadro de diálogo del servicio de la ojeada aparece.

      Remote-Access-VPN-Filter-8.gif
    5. Seleccione el protocolo UDP nombrado dominio, y haga clic la AUTORIZACIÓN para volver al cuadro de diálogo de ACE del agregar.

      Remote-Access-VPN-Filter-9.gif
    6. Haga clic en OK.

  4. Agregue a un usuario nuevo:

    1. En el ASDM, elija la configuración > el VPN de acceso remoto > los usuarios > a los usuarios locales AAA/Local.

      Remote-Access-VPN-Filter-12.gif
    2. ‘Haga clic en el botón Add (Agregar).’

      El cuadro de diálogo de la cuenta de usuario del agregar aparece.

      Remote-Access-VPN-Filter-13.gif
    3. Ingrese un Nombre de usuario y una contraseña. Este ejemplo utiliza el VPN3000 como el Nombre de usuario.

    4. Haga clic en OK.

  5. Cree una lista de acceso para restringir el acceso para el usuario VPN3000:

    1. En el ASDM, elija la configuración > el Firewall > avanzó > ACL Manager.

      L2L-VPN-Filter-1.gif
    2. El tecleo agrega, y elige agrega el ACL.

      El cuadro de diálogo del agregar ACL aparece.

      Remote-Access-VPN-Filter-10.gif
  6. Agregue ACE:

    1. En la lista ACL, haga clic con el botón derecho del ratón la entrada 104, y elija agregan ACE.

      El cuadro de diálogo de ACE del agregar aparece.

      Remote-Access-VPN-Filter-11.gif
    2. Haga clic el botón Option Button del permiso.

    3. Ingrese la red 10.16.20.0/24 en el campo de fuente, y ingrese 172.16.1.0/24 en el Campo Destination.

    4. Haga clic en OK.

  7. Agregue la lista de acceso 104 como regla para filtros para el usuario VPN3000:

    1. En el ASDM, elija la configuración > el VPN de acceso remoto > los usuarios > a los usuarios locales AAA/Local.

    2. Elija al usuario VPN3000, y el tecleo edita.

      El cuadro de diálogo de la cuenta de usuario del editar aparece.

      Remote-Access-VPN-Filter-14.gif
    3. Elija 104 de la lista desplegable del filtro del IPv4, y haga clic la AUTORIZACIÓN.

  8. Agregue la lista de acceso 103 a la directiva del grupo del VPN-filtro:

    1. En el ASDM, elija la configuración > el VPN de acceso remoto > las directivas del acceso > del grupo de la red (cliente), y entonces el haga click en Add

      El cuadro de diálogo del Internal group policy (política grupal interna) del agregar aparece.

      Remote-Access-VPN-Filter-15.gif
    2. Ingrese el VPN-filtro en el campo de nombre, y elija 103 de la lista desplegable del filtro del IPv4.

    3. Haga clic en OK.

  9. Agregue la directiva del grupo del VPN-filtro como el valor predeterminado para el perfil de la conexión VPN3000:

    1. En el ASDM, elija la configuración > el acceso del VPN de acceso remoto > de la red (cliente) > conexión IPSec los perfiles, seleccionan al grupo de túnel requerido, y el tecleo edita.

      Remote-Access-VPN-Filter-17.gif
    2. Elija el VPN-filtro de la lista desplegable de la directiva del grupo, y haga clic la AUTORIZACIÓN.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 99103