Безопасность : Устройства защиты Cisco PIX серии 500

Пример конфигурации "PIX/ASA: разрешение соединения с Remote Desktop Protocol посредством Security Appliance"

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает разрешение подключения по протоколу удаленного рабочего стола (RDP) через устройство защиты Cisco.

RDP является многоканальным протоколом, который позволяет пользователю соединяться с компьютером, который выполняет Microsoft Terminal Services. Клиенты существуют для большинства версий Windows и других операционных систем, таких как Linux, FreeBSD и Mac OS X. Сервер слушает на порту TCP 3389 по умолчанию.

В этом примере конфигурации устройство безопасности настроено, чтобы позволить клиенту RDP в Интернете соединяться с ПК сервера RDP на внутреннем интерфейсе. Устройство безопасности выполняет переадресацию и клиентские подключения к хосту с помощью статического сопоставленного внешнего IP - адреса.

Предварительные условия

Требования

Этот документ предполагает, что Межсетевой экран Cisco PIX полностью в рабочем состоянии и настроен. Кроме того, все начальные конфигурации сделаны, и хосты должны иметь сквозное подключение.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Устройства адаптивной защиты Cisco (ASA) Устройство безопасности серии 5500 с версией программного обеспечения 8.2 (1)

  • Версия 6.3 (5) Cisco Adaptive Security Device Manager

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

  • Устройство защиты Cisco PIX серии 500 с версией программного обеспечения 7. x

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Настройка

В этом разделе вам предоставляют информацию по настройке устройство безопасности, чтобы позволить трафику Протокола удаленного рабочего стола (RDP) проходить.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети:

/image/gif/paws/77869/pix-remote-desktop-conn-01.gif

Примечание: Схемы IP-адресации, которые использованы в данной конфигурации, не поддерживаются официальной маршрутизацией в Интернете. Это адреса RFC 1918 , которые были использованы в лабораторной среде. leavingcisco.com

Конфигурации

Этот раздел показывает настройку устройства защиты. Трафик RDP от хоста 20.1.1.10 в Интернете разрешен к Серверу RDP в 172.16.11.10 на внутренней сети, которая слушает на порту 3389 через статический сопоставленный IP-адрес 209.165.200.10.

Выполните данные действия:

  • Настройте статический NAT для перенаправления трафика RDP, полученного на внешнем интерфейсе к внутреннему хосту.

  • Создайте список контроля доступа (ACL), который разрешает RDP, и примените его к внешнему интерфейсу.

    Примечание: Поскольку NAT выполнен устройством безопасности, ACL должен разрешить доступ к сопоставленному IP-адресу сервера RDP; не реальный IP - адрес.

Примечание: IP-адрес (192.168.1.5) используемый для статического отображения должен быть в той же подсети как IP-адрес внешнего интерфейса. Обратитесь к Статическому NAT разделу PIX/ASA 7.x NAT и Операторы PAT для узнавания больше о статическом NAT сопоставлении.

Cisco — ASA
CiscoASA#show running-config
: Saved
:
ASA Version 8.2(1)
!
hostname CiscoASA
domain-name default.domain.invalid
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
!
!--- Output suppressed

!
object-group service RDP tcp
 port-object eq 3389
!
!
!--- Output suppressed

!

!--- This access-list allows the RDP traffic sourced from 172.16.1.2
!--- to destination 192.168.1.5 with TCP port 3389.

access-list outside_access_in extended permit tcp host 20.1.1.10 host 209.165.200.10 object-group RDP




!--- This staic NAT statement redirects the traffic destined for  
!--- IP address 192.168.1.5 to host IP address 10.1.1.5. 

static (inside,outside) 209.165.200.10 172.16.11.10 netmask 255.255.255.255

!
!--- Output suppressed

access-group outside_access_in in interface outside
!

!--- Output is suppressed. 

Примечание: В этой конфигурации списков управления доступом (ACL), "размещают 20.1.1.10", может быть заменен "любым" для предоставления доступа к серверу RDP из Интернета в целом. Это не рекомендуется, однако, так как это могло бы открыть сервер RDP для нападения. Как правило сделайте записи ACL максимально определенными.

Настройте с ASDM

Конфигурация

Выполните следующие действия:

  1. Для создания access-list выберите Configuration> Firewall> Access Rules и выберите, Add тогда нажмите Add Правило Доступа в раскрывающемся меню.

    /image/gif/paws/77869/pix-remote-desktop-conn-02.gif

  2. Теперь, задайте действие, источник и назначение. Нажмите..., кнопка Details, для выбора порта назначения.

    /image/gif/paws/77869/pix-remote-desktop-conn-03.gif

  3. Количество порта по умолчанию для RDP 3389. Поскольку это не доступно в доступных портах tcp, нажмите Add и выберите TCP Service Group в раскрывающемся меню. Через это можно собрать в группу настроенные порты, на основе требования.

    /image/gif/paws/77869/pix-remote-desktop-conn-04.gif

  4. Теперь, задайте название для этой группы сервисов и введите номер порта в пробеле, данном для опции Port/Range, и нажмите кнопку Add для создания этого сервиса в качестве участника группы сервисов. Как это, можно выбрать диапазон портов в качестве участника той же группы сервисов. Нажмите кнопку ОК.

    /image/gif/paws/77869/pix-remote-desktop-conn-05.gif

  5. Это показывает Группу сервисов вместе со своими участниками. Нажмите OK для возвращения назад к окну правила доступа.

    /image/gif/paws/77869/pix-remote-desktop-conn-06.gif

  6. Нажмите OK для завершения конфигурации access-list.

    /image/gif/paws/77869/pix-remote-desktop-conn-07.gif

  7. Access-list вместе с его cвязанным интерфейсом может быть замечен в окне Configuration> Firewall> Access Rules.

    /image/gif/paws/77869/pix-remote-desktop-conn-08.gif

  8. Теперь, выберите опцию Configuration> Firewall> NAT Rules> Add> Add Static NAT Rule для создания статической записи NAT.

    /image/gif/paws/77869/pix-remote-desktop-conn-09.gif

  9. Задайте исходный IP - адрес и преобразованный IP-адрес вместе с их соответствующими cвязанными интерфейсами и нажмите OK.

    /image/gif/paws/77869/pix-remote-desktop-conn-10.gif

  10. Настроенное правило могло быть просмотрено в окне NAT Rules как показано здесь. Нажмите кнопку Apply, чтобы передать эту конфигурацию к Устройству безопасности и нажать Save для сохранения конфигурации к флэш-памяти.

    /image/gif/paws/77869/pix-remote-desktop-conn-11.gif

Позвольте SSH тому же серверу RDP

Определенные, некоторый приложения блокируют приложение Удаленного рабочего стола из-за его известной уязвимости. В этом случае можно принять решение использовать другие зашифрованные приложения как SSH. Для достижения этого необходимо добавить SSH как порт назначения для сервера RDP. В предыдущем примере понятие группы сервисов использовалось для определения порта назначения. Преимущество с использованием группы сервисов состоит в том, что можно модифицировать протоколы/порты к группе сервисов согласно требованию. Можно добавить новые порты к группе сервисов или удалить существующих участников (порты) группы сервисов. В следующем примере продемонстрировано, как добавить SSH к существующему RDP группы сервисов.

Выполните следующие действия:

  1. Щелкните правой кнопкой мыши на правиле Доступа access-list и нажмите Edit.

    /image/gif/paws/77869/pix-remote-desktop-conn-12.gif

  2. Теперь, в Категории сервиса нажимают..., кнопка Details, для редактирования участников группы сервисов.

    /image/gif/paws/77869/pix-remote-desktop-conn-13.gif

  3. Щелкните правой кнопкой мыши на группе сервисов и нажмите Edit для изменения группы сервисов.

    /image/gif/paws/77869/pix-remote-desktop-conn-14.gif

  4. Теперь, выберите протокол SSH и нажмите Add для добавления этого протокола в качестве участника этой группы сервисов.

    /image/gif/paws/77869/pix-remote-desktop-conn-15.gif

  5. Теперь, оба участники могут быть замечены как в данном примере и нажать OK.

    /image/gif/paws/77869/pix-remote-desktop-conn-16.gif

  6. Нажмите OK для завершения процедуры модификации.

    /image/gif/paws/77869/pix-remote-desktop-conn-17.gif

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

  • Если определенный, некоторый клиент или диапазон клиентов неспособны соединиться с сервером RDP, уверены, что тем клиентам разрешают в ACL на внешнем интерфейсе.

  • Если никакие клиенты не в состоянии соединиться с сервером RDP, уверены, что ACL или на внешней стороне или на внутреннем интерфейсе не блокирует трафик к или от порта 3389.

  • Если никакие клиенты не в состоянии соединиться с сервером RDP, то проверьте, чтобы видеть, превышают ли пакеты значение MSS. Если так, настройте MPF для разрешения превышенных пакетов MSS для решения этого вопроса как показано в примере:

    CiscoASA(config)#access-list 110 extended permit 
    tcp host 20.1.1.10 host 209.165.200.10 eq 3389
    
    
    !--- This command is wrapped to a second line due to 
    !--- spatial reasons.
    
    CiscoASA(config)#access-list 110 extended permit 
    tcp host 20.1.1.10 host 209.165.200.10 eq 80
    
    
    !--- This command is wrapped to a second line due to 
    !--- spatial reasons.
    
    
    CiscoASA(config)#class-map rdpmss
    CiscoASA(config-cmap)#match access-list 110    
    CiscoASA(config-cmap)#exit
    CiscoASA(config)#tcp-map mss-map
    CiscoASA(config-tcp-map)#exceed-mss allow
    CiscoASA(config-tcp-map)#exit
    CiscoASA(config)#policy-map rdpmss
    CiscoASA(config-pmap)#class rdpmss
    CiscoASA(config-pmap-c)#set connection advanced-options mss-map
    CiscoASA(config-pmap-c)#exit
    CiscoASA(config-pmap)#exit
    CiscoASA(config)#service-policy rdpmss interface outside
    

    Обратитесь к Решениям раздела Проблем фрагментации PIX/ASA 7.x и IOS: Фрагментация VPN, чтобы узнать о других методах, что можно использовать для решения проблемы MSS.

  • Превышение времени ожидания сеанса RDP после значения времени ожидания соединения TCP по умолчанию истекло. Для решения этого вопроса увеличьте таймаут как показано здесь:

    timeout conn 10:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

    Это наборы команд значение таймаута к десяти часам.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 77869