Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Фильтры VPN на примере конфигурации Cisco ASA

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (16 ноября 2010) | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает фильтры VPN подробно и применяется к LAN-LAN (L2L), Cisco VPN Client и защищенный мобильный клиент Cisco AnyConnect Secure Mobility.

Фильтры состоят из правил, которые указывают пропускать или отклонять туннелируемые пакеты данных, проходящие через устройство защиты, на основании различных критериев, например адреса источника, адреса получателя и протокола. Вы настраиваете Списки контроля доступа (ACL) для permit or deny различных типов трафика. Фильтр может быть настроен на групповой политике, атрибутах имени пользователя или политике динамического доступа (DAP).

DAP заменяет значение, настроенное и под атрибутами имени пользователя и под групповой политикой. Значение атрибута имени пользователя заменяет значение групповой политики в случае, если DAP не назначает фильтра. 

Внесенный Густаво Мединой, Ямилом Гэзелем, и Олегом Типисовым, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Конфигурация VPN-туннелей L2L
  • Конфигурация Удаленного доступа (RA) Клиента VPN
  • Конфигурация RA AnyConnect

Используемые компоненты

Сведения в этом документе основываются на Версии 9.1 (2) Устройства адаптивной защиты (ASA) Cisco 5500-X Series.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

Команда sysopt connection permit-vpn позволяет весь трафик, который поступает в устройство безопасности через VPN-туннель для обхода списков доступа к интерфейсам. К трафику продолжают применяться групповые политики и списки авторизации доступа на уровне отдельных пользователей. 

Vpn-filter применен к постдешифрованному трафику после того, как это выходит из туннеля и к предварительно зашифрованному трафику, прежде чем это введет туннель. ACL, что isused для vpn-filter не должен также использоваться для интерфейсного access-group.


Когда vpn-filter применен к групповой политике, которая управляет клиентскими соединениями VPN для удаленного доступа, ACL должен быть настроен с клиентскими назначенными IP - адресами в src_ip позиции ACL и локальной сети в dest_ip позиции ACL. Когда vpn-filter применен к групповой политике , которая управляет VPN-подключением L2L, ACL должен быть настроен с удаленной сетью в src_ip позиции ACL и локальной сети в dest_ip позиции ACL. 

Настройка

Фильтры VPN должны быть настроены во входящем направлении невзирая на то, что правила все еще применены двунаправленным образом. CSCsf99428 усовершенствования был открыт для поддержки однонаправленных правил, но он еще не планировался/передавался для реализации.

Пример 1 . vpn-filter с AnyConnect или Клиентом VPN

Предположите, что клиентский назначенный IP - адрес является 10.10.10.1/24, и локальная сеть является 192.168.1.0/24.

Этот Элемент управления доступом (ACE) позволяет клиенту AnyConnect Telnet к локальной сети:

access-list vpnfilt-ra permit tcp
10.10.10.1 255.255.255.255 192.168.1.0 255.255.255.0 eq 23

Примечание: Первоклассный tcp разрешения vpnfilt-Ра access-list 10.10.10.1 255.255.255.255 192.168.1.0 255.255.255.0 eq 23 также позволяют локальной сети инициировать соединение с клиентом RA на любом порту TCP, если это использует исходный порт 23.

Этот ACE позволяет локальную сеть Telnet клиенту AnyConnect:

access-list vpnfilt-ra permit tcp 10.10.10.1 255.255.255.255
eq 23 192.168.1.0 255.255.255.0

Примечание: Первоклассный tcp разрешения vpnfilt-Ра access-list 10.10.10.1 255.255.255.255 eq 23 192.168.1.0 255.255.255.0 также позволяют клиенту RA инициировать соединение с локальной сетью на любом порту TCP, если это использует исходный порт 23.

Внимание.  : Функция vpn-filter обеспечивает трафик, который будет фильтрован во входящем направлении только, и исходящее правило автоматически скомпилировано. Поэтому при создании access-list Протокола ICMP не задавайте тип ICMP в форматировании access-list, если вы хотите направляющие фильтры.

Пример 2. vpn-filter с VPN-подключением L2L

Предположите, что удаленная сеть является 10.0.0.0/24, и локальная сеть является 192.168.1.0/24.

Этот ACE позволяет удаленную сеть Telnet к локальной сети:

access-list vpnfilt-l2l permit tcp 10.0.0.0 255.255.255.0 192.168.1.0
255.255.255.0 eq 23

Примечание: Первоклассный tcp 10.0.0.0 255.255.255.0 192.168.1.0 255.255.255.0 eq 23 разрешения на access-list vpnfilt-l2l также позволяет локальной сети инициировать соединение с удаленной сетью на любом порту TCP, если это использует исходный порт 23. 

Этот ACE позволяет локальную сеть Telnet к удаленной сети:

access-list vpnfilt-l2l permit tcp 10.0.0.0 255.255.255.0 eq 23
192.168.1.0 255.255.255.0 

Примечание: Первоклассный tcp 10.0.0.0 255.255.255.0 eq 23 192.168.1.0 255.255.255.0 разрешения на access-list vpnfilt-l2l также позволяет удаленной сети инициировать соединение с локальной сетью на любом порту TCP, если это использует исходный порт 23. 

Внимание.  : Функция vpn-filter обеспечивает трафик, который будет фильтрован во входящем направлении только, и исходящее правило автоматически скомпилировано. Поэтому при создании access-list ICMP не задавайте тип ICMP в форматировании access-list, если вы хотите направляющие фильтры.

Фильтры VPN и access-group замены для каждого пользователя

Трафик VPN не фильтрован интерфейсными ACL. Команда никакой sysopt connection permit-vpn не может использоваться для изменения поведения по умолчанию. В этом случае два ACL могут быть применены к трафику пользователя: интерфейсный ACL проверен сначала и затем vpn-filter.

Ключевое слово замены для каждого пользователя (только для списков контроля входящего доступа) позволяет динамические пользовательские ACL, которые загружены для авторизации пользователя для отвержения ACL, назначенного на интерфейс. Например, если интерфейсный ACL запрещает весь трафик от 10.0.0.0, но динамический ACL разрешает весь трафик от 10.0.0.0, то динамический ACL отвергает интерфейсный ACL для того пользователя, и трафик разрешен.

Примеры (когда никакой sysopt connection permit-vpn не настроен):

  • никакая замена для каждого пользователя, никакой vpn-filter - с трафиком совпадают против интерфейсного ACL

  • никакая замена для каждого пользователя, vpn-filter - с трафиком совпадают сначала против интерфейсного ACL, затем против vpn-filter

  • замена для каждого пользователя, vpn-filter - с трафиком совпадают против vpn-filter только

Проверка.

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

Средство интерпретации выходных данных (только зарегистрированные клиенты) поддерживает некоторые команды show. Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show.

  • покажите фильтр таблицы гадюки [access-list <name> acl] [соответствия]

    Для отладки ускоренных таблиц фильтра пути безопасности используйте команду фильтрации таблицы гадюки показа в привилегированном режиме EXEC. Когда фильтр был применен к VPN-туннелю, правила фильтрации установлены в таблицу фильтра. Если туннелю задали фильтр, то таблица фильтра проверена до шифрования и после расшифровки, чтобы определить, должен ли внутренний пакет быть разрешен или запрещен.

     USAGE
    show asp table filter [access-list <acl-name>] [hits]


     SYNTAX <acl-name>      Show installed filter for access-list <acl-name>
    hits Show filter rules which have non-zero hits values


  • очистите фильтр таблицы гадюки [access-list <name> acl]

    Эта команда очищает счетчики попаданий для элементов таблицы фильтра ASP.

     USAGE
    clear asp table filter [access-list <acl-name>]


     SYNTAX
    <acl-name> Clear hit counters only for specified access-list <acl-name>

Устранение неполадок

Этот раздел обеспечивает информацию, которую вы можете использовать для того, чтобы устранить неисправность в вашей конфигурации.

Средство интерпретации выходных данных (только зарегистрированные клиенты) поддерживает некоторые команды show. Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

  • фильтр acl отладки

    Эта команда включает отладку фильтра VPN. Это может использоваться для помощи установкам/удалению устранения проблем фильтров VPN в таблицу Фильтра ASP. Для Примера 1. vpn-filter с AnyConnect или Клиентом VPN.

    Выходные данные отладки, когда соединяется user1:

     ACL FILTER INFO: first reference to inbound filter vpnfilt-ra(2): Installing
    rule into NP.
    ACL FILTER INFO: first reference to outbound filter vpnfilt-ra(2): Installing
    rule into NP.


    Выходные данные отладки, когда user2 соединяется (после того, как user1 и тот же фильтр):

     ACL FILTER INFO: adding another reference to outbound filter vpnfilt-ra(2): refCnt=2
    ACL FILTER INFO: adding another reference to inbound filter vpnfilt-ra(2): refCnt=2


    Выходные данные отладки, когда user2 разъединяет:

     ACL FILTER INFO: removing a reference from inbound filter vpnfilt-ra(2): remaining
    refCnt=1
    ACL FILTER INFO: removing a reference from outbound filter vpnfilt-ra(2): remaining
    refCnt=1


    Выходные данные отладки, когда user1 разъединяет:

     ACL FILTER INFO: releasing last reference from inbound filter vpnfilt-ra(2): Removing
    rule into NP.
    ACL FILTER INFO: releasing last reference from outbound filter vpnfilt-ra(2): Removing
    rule into NP.


  • покажите таблицу гадюки

    Вот выходные данные фильтра таблицы гадюки показа до того, когда соединяется user1. Только неявные запрещают правила, установлены для IPv4 и IPv6 и в в и в направления.

     Global Filter Table:
    in id=0xd616ef20, priority=11, domain=vpn-user, deny=true
    hits=0, user_data=0xd613ea60, filter_id=0x0(-implicit deny-), protocol=0
    src ip=0.0.0.0, mask=0.0.0.0, port=0
    dst ip=0.0.0.0, mask=0.0.0.0, port=0
    in id=0xd616f420, priority=11, domain=vpn-user, deny=true
    hits=0, user_data=0xd615ef70, filter_id=0x0(-implicit deny-), protocol=0
    src ip=::/0, port=0
    dst ip=::/0, port=0
    out id=0xd616f1a0, priority=11, domain=vpn-user, deny=true
    hits=0, user_data=0xd614d900, filter_id=0x0(-implicit deny-), protocol=0
    src ip=0.0.0.0, mask=0.0.0.0, port=0
    dst ip=0.0.0.0, mask=0.0.0.0, port=0
    out id=0xd616f6d0, priority=11, domain=vpn-user, deny=true
    hits=0, user_data=0xd6161638, filter_id=0x0(-implicit deny-), protocol=0
    src ip=::/0, port=0
    dst ip=::/0, port=0

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 99103