Pesquise defeitos das Listas de acesso sobre Virtual Private Network no Roteadores RV016, RV042, RV042G e RV082 VPN

Objetivos

Um Access Control List (ACL) é uma coleção da licença e nega circunstâncias. Um ACL especifica que processos do usuário ou do sistema são concedidos o acesso aos recursos específicos. Um ACL pode obstruir todas as tentativas despropositados de alcançar recursos de rede. O problema nesta situação pode elevarar quando você tem os ACL configurados em ambo o Roteadores mas um do Roteadores não pode se diferenciar entre as lista permitidas e negadas de tráfego permitidas pelo ACL. Zenmap que é uma ferramenta de código aberto usada verificando o tipo de filtros de pacote/active dos Firewall é usado para testar a configuração.

Este artigo explica como pesquisar defeitos os ACL permitidos que não trabalham sobre o gateway para gateway VPN entre dois Roteadores VPN.

Dispositivos aplicáveis

• RV016
• RV042
• RV042G
• RV082

Versão de software

• v4.2.2.08

ACL sobre a configuração de VPN

Etapa 1. Entre ao utilitário de configuração da Web e escolha regras do Firewall > do acesso. A página da regra do acesso abre:

Nota: As regras do acesso do padrão não podem ser editadas. As regras do acesso mencionadas na imagem acima de que está o configurado pelo usuário podem ser editadas pelo seguinte processo.

Etapa 2. Clique o botão Add para adicionar uma regra nova do acesso. O acesso ordena mudanças da página para mostrar os serviços e as áreas de programa. A adição de uma regra do acesso é explicada nas seguintes etapas.

Etapa 3. Escolha negam da lista de drop-down da ação para negar o serviço.

Etapa 4. Escolha o serviço requerido que é aplicado à regra da lista de drop-down do serviço.

Etapa 5. (opcional) para adicionar um serviço que não esteja atual na lista de drop-down do serviço, Gerenciamento do serviço do clique. No Gerenciamento do serviço, um serviço pode ser criado como necessário. Depois que um serviço é criado, clique a APROVAÇÃO para salvar ajustes.

Etapa 6. Escolha os pacotes do log que combinam esta regra da lista de drop-down do log para somente os logs que combinam ou não a registram para os logs que não combinam a regra do acesso.

Etapa 7. Escolha um tipo de interface da lista de drop-down da interface de origem que é a fonte para as regras do acesso. As opções disponíveis são:

• LAN — Escolha o LAN se a interface de origem é a rede de área local.

• WAN — Escolha WAN se a interface de origem é o ISP.

• DMZ — Escolha o DMZ se a interface de origem é a zona desmilitarizada.

• ALGUNS — Escolha ALGUNS fazer a interface de origem como algumas das relações acima mencionadas.

Etapa 8. Da lista de drop-down IP da fonte, escolha o endereço de origem desejado que se aplica à regra do acesso. As opções disponíveis são:

• Único — Escolha único se é um único endereço IP de Um ou Mais Servidores Cisco ICM NT e incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT.

• Escala — Escolha a escala se é uma escala dos endereços IP de Um ou Mais Servidores Cisco ICM NT e incorpore primeiro e último o endereço IP de Um ou Mais Servidores Cisco ICM NT à escala.

• ALGUNS — Escolha ALGUNS aplicar as regras a todos os endereços IP de origem.

Etapa 9. Da lista de drop-down do IP de destino, escolha o endereço de destino desejado que se aplica à regra do acesso. As opções disponíveis são:

• Único — Escolha único se é um único endereço IP de Um ou Mais Servidores Cisco ICM NT e incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT.

• Escala — Escolha a escala se é uma escala do endereço IP de Um ou Mais Servidores Cisco ICM NT e incorpore primeiro e último o endereço IP de Um ou Mais Servidores Cisco ICM NT à escala.

• ALGUNS — Escolha ALGUNS aplicar as regras a todos os endereços IP de destino.

Etapa 10. Escolha um método definir quando as regras são ativas da lista de drop-down do tempo. São elas:

• Sempre — Se você escolhe sempre do tempo deixe cair para baixo a lista, as regras do acesso estará aplicado sempre para traficar.

• Intervalo — Você pode escolher um intervalo de horas específicas em que as regras do acesso são ativas se você seleciona o intervalo do tempo deixa cair para baixo a lista. Depois que você especifica o intervalo de tempo, verifique as caixas de seleção dos dias em que você quer as regras do acesso ser ativas do eficaz no campo.

Etapa 11. Salvaguarda do clique para salvar seus ajustes.

Etapa 12. Repita etapas 2 ao 10 com os campos que combinam àquele mostrado na imagem respectivamente. As regras do acesso conforme o cliente são aplicadas aqui. O primeiro 7 está permitindo alguns serviços; o 8o nega todo tráfego restante. Esta configuração é feita no segundo roteador também. A porta 500 do IPsec é permitida.

Nota: Faça isto para que ambo o Roteadores verifique que as regras do acesso estão configuradas como desejadas.

VPN Router # 1

VPN Router # 2

Etapa 13. Instale Zenmap(NMAP) de http://nmap.org/download.html e lance-o em um PC em 192.168.2.0 LAN.

Nota: Este é o LAN atrás do roteador com os sete ACL adicionais. O IP do alvo (192.168.1.101) é um PC no gateway remoto LAN.

Etapa 14. Selecione a varredura rápida do perfil e clique sobre a varredura. Com isto nós podemos conhecer as portas abertas e filtrado conforme os ACL, o resultado mostrado é representado na imagem acima. A saída mostra que estas portas estão fechadas, apesar dos ACL permitidos que estão sendo configurados no RV0xx # 1. Se nós tentamos verificar as portas ao IP LAN (192.168.1.1) do gateway remoto – nós descobrimos que as portas 80 e 443 estão abertas (que foram fechadas ao PC 192.168.1.101).

O ACL executa corretamente depois que a remoção do 7a negou o ACL e os trabalhos muito bem como nós podemos ver da saída.