Безопасность : Устройства защиты Cisco PIX серии 500

Ограничение соединения клиентов Cisco VPN некоторых версий с VPN Concentrator/ASA/PIX

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет пример конфигурации для того, как ограничить определенные, некоторый версии Cisco VPN Client от соединения до Концентратора VPN или Устройств безопасности, таких как PIX и ASA.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • VPN Cisco - концентратор серии 3000 с 4.x версия

  • Cisco VPN Client с 4.x Версия и позже

  • Серия 5500 Cisco ASA с Версией 7.x и позже

  • Серия Cisco PIX 500 с Версией 7.x и позже

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Ограничьте версию клиента VPN

Конфигурация концентратора Cisco VPN 3000

Концентратор VPN может permit or deny Клиентам VPN их типом и версией программного обеспечения.

Для использования этой функции, входят к Концентратору VPN и для выбора Configuration> User Management> Groups. Затем выберите группу и перейдите к вкладке IPsec.

Создайте правила таким образом:

p[ermit]/d[eny] :  

Примеры:

  • запретите *:3.6* — Запрещает все Клиенты VPN, которые работают под управлением ПО версии 3.6x

  • d КЛИЕНТ VPN: 4.6* — Предотвращает пользователей с Версией 4.6 Клиента VPN, чтобы быть в состоянии установить VPN-подключение к Концентратору VPN

  • p окна: 4.8* — Позволяет только Версии 4.8 соединяться

  • p : 4.8* — Разрешает любую платформу, которая выполняет любую Версию 4.8

Если администратор не хочет задавать платформу, используйте это правило вместо этого:

p *: 4.8*

Примечание: * символ является подстановочным знаком. Можно использовать его многократно в каждом правиле.

Используйте отдельную линию для каждого правила.

Заказ управляет приоритетом. Первое правило, что соответствия являются правилом, которое применяется. Если более позднее правило противоречит ему, система игнорирует его. Если вы не определяете правил, все соединения разрешены.

Когда клиент не совпадает ни с одним из правил, соединение запрещено. Это означает, что при определении запрещать правила необходимо также определить по крайней мере одно правило разрешения, или все соединения запрещены.

И для клиентов программного и аппаратного обеспечения, типа клиентской части и для версии программного обеспечения должен совпасть (чувствительный к регистру) в их появлении в Мониторинге | Окно сеансов, которое включает пробелы. Рекомендуется, чтобы вы скопировали и вставили от того окна до этого.

Используйте н/д или для типа или для версии для определения информации, которую не передает клиент. Например, разрешение n/a:n/a позволяет вам разрешать любому клиенту, который не передает тип клиентской части и версию.

Можно использовать в общей сложности 255 символов для правил. Новая строка между правилами использует два символа. Для сохранения символов используйте p для разрешения, и d для запрещают. Устраните пробелы за исключением требуемого для типа клиентской части и версии. Вы не требуете пространства прежде или после двоеточия (:).

Конфигурация ASA/PIX

Для настройки правил, которые ограничивают типы клиентской части удаленного доступа и версии, которые могут соединиться через IPSec и устройство безопасности, выполнить команду правила доступа клиента в режиме конфигурации групповой политики. Для удаления правила выполните эту команду с параметром no.

Данный пример показывает, как создать правила доступа клиента для групповой политики под названием FirstGroup. Эти правила разрешают Клиентам VPN, которые работают под управлением ПО версии 4.1, в то время как запрещают все аппаратные клиенты VPN 3002:

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# client-access-rule 1 d t VPN3002 v *
hostname(config-group-policy)# client-access-rule 2 p * v 4.1 

При построении правил сошлитесь на эти рекомендации:

  • Если вы не определяете правил, устройство безопасности разрешает все типы соединения.

  • Когда клиент не совпадает ни с одним из правил, устройство безопасности запрещает соединение. При определении запрещать правила необходимо также определить по крайней мере одно правило разрешения, или устройство безопасности запрещает все соединения.

  • И для клиентов программного и аппаратного обеспечения, типа и для версии должен совпасть с их появлением точно в покажите vpn-sessiondb удаленный показ.

  • * символ является подстановочным знаком, который можно использовать многократно в каждом правиле. Например, правило доступа клиента 3 запрещают тип * версия 3.* создает приоритет 3 правила доступа клиента, которые запрещают все типы клиентской части, которые выполняют программное обеспечение Версии 3.x.

  • Можно создать максимум 25 правил на групповую политику.

  • Существует предел 255 символов для всего ряда правил.

  • Можно использовать н/д для клиентов, которые не передают тип клиентской части или версию.

Примечание: Для ограничения Клиента VPN MAC OS используйте синтаксис "Mac OS X" для типа платформы для соответствия с соединениями Mac.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 100347