Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

PIX/ASA 7.x: permitir tunelización dividida (split-tunneling) para clientes VPN en el ejemplo de configuración de ASA

25 Mayo 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (10 Enero 2008) | Comentarios

Contenido

Introducción
Requisitos previos
      Requerimientos
      Componentes utilizados
      Diagrama de la red
      Productos relacionados
      Convenciones
Antecedentes
Configuración de la tunelización dividida (split-tunneling) en el ASA
      Configuración del ASA con el Administrador de dispositivos adaptables de seguridad (ASDM)
      Configuración del ASA mediante CLI
Verificación
      Conexión con el cliente VPN
      Visualización del registro de cliente VPN
      Prueba de acceso LAN local con ping
Resolución de problemas
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento proporciona las instrucciones paso a paso sobre cómo permitir a los clientes VPN acceder a Internet mientras que se tunelizan en un dispositivo adaptable de seguridad (ASA) de la serie ASA 5500 de Cisco. Esta configuración permite a los clientes VPN un acceso seguro a los recursos corporativos a través de IPsec, mientras que ofrece un acceso no seguro a Internet.

Advertencia Advertencia: La tunelización dividida (split-tunneling) puede representar un riesgo de seguridad cuando se configura. Debido a que los clientes VPN no tienen un acceso seguro a Internet, puede que un atacante los ponga en peligro. A continuación, es posible que el atacante acceda a la LAN corporativa a través del túnel IPsec. Puede establecerse un compromiso entre la tunelización completa (tunnel-everything) y tunelización dividida (split-tunneling) para permitir exclusivamente el acceso LAN local a los clientes VPN. Consulte PIX/ASA 7.x: permitir acceso LAN local para el ejemplo de configuración de clientes VPN (en inglés) para obtener más información.

Requisitos previos

Requerimientos

Este documento asume que ya existe una configuración de VPN de acceso remoto en funcionamiento en el ASA. Consulte PIX/ASA 7.x como un servidor VPN remoto mediante un ejemplo de configuración de ASDM (en inglés) si todavía no se ha configurado uno.

Componentes utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware:

  • Versión 7.2 del software del dispositivo de seguridad de la serie ASA 5500 de Cisco

  • Versión 4.0.5 del cliente VPN de Cisco Systems

La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Diagrama de la red

El cliente VPN se ubica en una red SOHO típica y se conecta a través de Internet a la oficina principal.

asa-split-tunnel-vpn-client-1.gif

Productos relacionados

Esta configuración también se puede utilizar con la versión 7.x del software del dispositivo de seguridad de la serie PIX 500 de Cisco.

Convenciones

Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información acerca de las convenciones del documento.

Antecedentes

En un escenario básico de cliente VPN para ASA, todo el tráfico del cliente VPN se cifra y se envía al ASA sin importar su destino. De acuerdo con la configuración y el número de usuarios admitidos, dicha configuración puede derivar en un uso de ancho de banda intensivo. La tunelización dividida (split-tunneling) puede funcionar para aliviar este problema, puesto que sólo permite que los usuarios envíen a través del túnel el tráfico destinado a la red corporativa. El resto del tráfico como la mensajería instantánea, el correo electrónico o las exploraciones ocasionales se envía a Internet a través de la LAN local del cliente VPN.

Configuración de la tunelización dividida (split-tunneling) en el ASA

Configuración del ASA con el Administrador de dispositivos adaptables de seguridad (ASDM)

Complete estos pasos a fin de configurar su grupo de túneles para permitir la tunelización dividida (split-tunneling) a los usuarios del grupo.

  1. Seleccione Configuration > VPN > General > Group Policy (Configuración > VPN > General > Políticas de grupo) y elija la política de grupo en la que desea activar el acceso LAN local. A continuación, haga clic en Edit (Editar).

    asa-split-tunnel-vpn-client-2.gif

  2. Vaya a la ficha Client Configuration (Configuración de cliente).

    asa-split-tunnel-vpn-client-3.gif

  3. Desactive la casilla de verificación Inherit (Heredar) para Split Tunnel Policy (Política de túnel dividido) y seleccione Tunnel Network List Below (Tunelizar siguiente lista de redes).

    asa-split-tunnel-vpn-client-4.gif

  4. Desactive la casilla de verificación Inherit (Heredar) para Split Tunnel Network List (Lista de redes de tunelización dividida) y haga clic en Manage (Administrar) para iniciar ACL Manager (Administrador de ACL).

    asa-split-tunnel-vpn-client-5.gif

  5. Dentro del ACL Manager (Administrador de ACL), seleccione Add > Add ACL... (Agregar > Agregar ACL...) para crear una nueva lista de acceso.

    asa-split-tunnel-vpn-client-6.gif

  6. Proporcione un nombre para la ACL y haga clic en OK (Aceptar).

    asa-split-tunnel-vpn-client-7.gif

  7. Una vez creada la ACL, seleccione Add > Add ACE... (Agregar > Agregar ACE...) para agregar una entrada de control de acceso (ACE).

    asa-split-tunnel-vpn-client-8.gif

  8. Defina la ACE correspondiente a la LAN detrás del ASA. En este caso, la red es 10.0.1.0/24.

    1. Seleccione Permit (Permitir).

    2. Elija una dirección IP 10.0.1.0.

    3. Elija una máscara de red 255.255.255.0.

    4. (Opcional) Proporcione una descripción.

    5. Haga clic en OK (Aceptar).

      asa-split-tunnel-vpn-client-9.gif

  9. Haga clic en OK (Aceptar) para salir del administrador de ACL.

    asa-split-tunnel-vpn-client-10.gif

  10. Asegúrese de la ACL que acaba de crear está seleccionada para Split Tunnel Network List (Lista de redes de tunelización dividida).

    asa-split-tunnel-vpn-client-11.gif

  11. Haga clic en OK (Aceptar) para volver a la configuración de políticas de grupo.

    asa-split-tunnel-vpn-client-12.gif

  12. Haga clic en Apply (Aplicar) y Send (Enviar) (si es necesario) para enviar los comandos al ASA.

    asa-split-tunnel-vpn-client-13.gif

Configuración del ASA mediante CLI

En lugar de utilizar el ASDM, puede completar estos pasos en la CLI de ASA para permitir la tunelización dividida (split-tunneling) en el ASA:

  1. Acceda al modo de configuración.

    ciscoasa>enable
    Password: ********
    ciscoasa#configure terminal
    ciscoasa(config)#
  2. Cree la lista de acceso que define la red detrás del ASA.

    ciscoasa(config)#access-list Split_Tunnel_List remark The corporate network behind the ASA.
    ciscoasa(config)#access-list Split_Tunnel_List standard permit 10.0.1.0 255.255.255.0
    
  3. Acceda al modo de la configuración de políticas de grupo de la política que desea modificar.

    ciscoasa(config)#group-policy hillvalleyvpn attributes
    ciscoasa(config-group-policy)#
  4. Especifique la política de tunelización dividida (split-tunneling). En este caso la política es tunnelspecified.

    ciscoasa(config-group-policy)#split-tunnel-policy tunnelspecified
    
  5. Especifique la lista de acceso de tunelización dividida (split-tunneling). En este caso la lista es Split_Tunnel_List.

    ciscoasa(config-group-policy)#split-tunnel-network-list value Split_Tunnel_List
    
  6. Salga de los dos métodos de configuración.

    ciscoasa(config-group-policy)#exit
    ciscoasa(config)#exit
    ciscoasa#
  7. Guarde la configuración en la RAM no volátil (NVRAM) y presione Enter (Intro) cuando se le solicite especificar el nombre del archivo de origen.

    ciscoasa#copy running-config startup-config
    
    Source filename [running-config]?
    Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
    
    3847 bytes copied in 3.470 secs (1282 bytes/sec)
    ciscoasa#

Verificación

Siga los pasos de estas secciones para verificar la configuración.

Conexión con el cliente VPN

Conecte el cliente VPN al concentrador VPN para verificar la configuración.

  1. Seleccione en la lista la entrada de conexión y haga clic en Connect (Conectar).

    asa-split-tunnel-vpn-client-14.gif

  2. Introduzca las credenciales.

    asa-split-tunnel-vpn-client-15.gif

  3. Seleccione Status > Statistics... (Estado > Estadísticas...) para mostrar la ventana Tunnel Details (Detalles de túnel) en la que puede examinar los detalles del túnel y ver el flujo de tráfico.

    asa-split-tunnel-vpn-client-16.gif

  4. Vaya a la ficha Route Details (Detalles de ruta) para ver las rutas que el cliente VPN tiene protegidas al ASA.

    En este ejemplo, el cliente VPN protege el acceso a 10.0.1.0/24 mientras que el resto del tráfico no se cifra ni se envía a través del túnel.

    asa-split-tunnel-vpn-client-17.gif

Visualización del registro de cliente VPN

Al examinar el registro de cliente VPN, puede determinar si se ha establecido el parámetro que especifica la tunelización dividida (split-tunneling). Para ver el registro, vaya a la ficha Log (Registro) en VPN Client (Cliente VPN) A continuación, haga clic en Log Settings (Configuración de registro) para ajustar el registro. En este ejemplo, IKE está establecido en 3 - High (3-Alto) mientras que demás elementos de registro están en 1 - Low (1-Bajo).

asa-split-tunnel-vpn-client-18.gif

Cisco Systems VPN Client Version 4.0.5 (Rel)
Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 2

1      14:20:09.532  07/27/06  Sev=Info/6	IKE/0x6300003B
Attempting to establish a connection with 172.22.1.160.


!--- Output is supressed


18     14:20:14.188  07/27/06  Sev=Info/5	IKE/0x6300005D
Client sending a firewall request to concentrator

19     14:20:14.188  07/27/06  Sev=Info/5	IKE/0x6300005C
Firewall Policy: Product=Cisco Systems Integrated Client, 
Capability= (Centralized Protection Policy).

20     14:20:14.188  07/27/06  Sev=Info/5	IKE/0x6300005C
Firewall Policy: Product=Cisco Intrusion Prevention Security Agent, 
Capability= (Are you There?).

21     14:20:14.208  07/27/06  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 172.22.1.160

22     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300002F
Received ISAKMP packet: peer = 172.22.1.160

23     14:20:14.208  07/27/06  Sev=Info/4	IKE/0x63000014
RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 172.22.1.160

24     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 10.0.1.50

25     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = 255.255.255.0

26     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x00000000

27     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x00000000

28     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300000E
MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems, 
Inc ASA5510 Version 7.2(1) built by root on Wed 31-May-06 14:45

!--- Split tunneling is permitted and the remote LAN is defined.

29     14:20:14.238  07/27/06  Sev=Info/5	IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLIT_INCLUDE (# of split_nets), 
value = 0x00000001

30     14:20:14.238  07/27/06  Sev=Info/5	IKE/0x6300000F
SPLIT_NET #1
	subnet = 10.0.1.0 
	mask = 255.255.255.0
	protocol = 0
	src port = 0
	dest port=0

!--- Output is supressed.

Prueba de acceso LAN local con ping

Una manera adicional de probar que el cliente VPN está configurado para la tunelización dividida (split-tunneling) mientras se tuneliza al ASA es utilizar el comando ping en la línea de comandos de Windows. El LAN local del cliente VPN es 192.168.0.0/24 y otro host está presente en la red con una dirección IP 192.168.0.3.

C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data:

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

Resolución de problemas

Actualmente, no hay información específica disponible sobre resolución de problemas para esta configuración.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 70917