PIX/ASA 7.x y posteriores: Ejemplo de configuración del filtro VPN (puerto específico o protocolo del permiso) para el L2L y el Acceso Remoto

Transcripción

1 PIX/ASA 7.x y posteriores: Ejemplo de configuración del filtro VPN (puerto específico o protocolo del permiso) para el L2L y el Acceso Remoto Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Productos Relacionados Convenciones Antecedentes Configurar Diagrama de la red L2L Configuración de filtro L2L VPN Configuración de filtro L2L VPN con el ASDM Configuración de filtro bidireccional VPN Configuración de filtro bidireccional VPN con el ASDM Diagrama de red de acceso remoto Configuración de filtro del VPN de acceso remoto Configuración de filtro del VPN de acceso remoto con el ASDM Información Relacionada Introducción Este documento describe el procedimiento para utilizar Cisco ASA para configurar el filtro VPN en el L2L y el Acceso Remoto con el Cliente Cisco VPN. Los filtros consisten en las reglas que determinan si permitir o rechazar los paquetes de datos tunneled que vienen a través del dispositivo de seguridad, sobre la base de los criterios tales como dirección de origen, dirección destino, y protocolo. Usted configura los ACL a los diversos tipos de tráfico del permit or deny para esta directiva del grupo. Usted puede también configurar este atributo en el modo del nombre de usuario, en este caso, el valor configurado bajo nombre de usuario reemplaza el valor de la grupo-directiv Nota: Para que los cambios de configuración del túnel tomen el efecto, usted debe terminar una sesión el túnel VPN y restablecer el túnel. prerrequisitos Requisitos Asegúrese de cumplir estos requisitos antes de intentar esta configuración: Para un filtro L2L VPN, la configuración IPSec L2L debe ser configurad Consulte PIX/ASA 7.x: Ejemplo de configuración del Túnel VPN PIX a PIX sencillo para más información sobre cómo configurar el sitio para localizar el IPSec VPN en el dispositivo del Cisco Security que funciona con la versión de software 7.x. Para un filtro del VPN de acceso remoto, la configuración IPSec del Acceso Remoto debe ser configurad Refiera al PIX/ASA 7.x y al Cliente Cisco VPN 4.x para Windows con el ejemplo de configuración de la autenticación de RADIUS de Microsoft Windows 2003 IAS para más información sobre cómo configurar el IPSec VPN del Acceso Remoto en el PIX/ASA 7.0 con el Cliente Cisco VPN 4.x. Componentes Utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware. Software adaptante del dispositivo de seguridad de las Cisco 5500 Series (ASA) que funciona con la versión 8.2(1) Versión 6.3(5) del Cisco Adaptive Security Device Manager Cliente VPN de Cisco versión 4.x y posterior

2 La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Productos Relacionados Esta configuración se puede también utilizar con el dispositivo de seguridad de la serie del Cisco PIX 500 que funciona con la versión 7.x y posterior. Convenciones Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento. Antecedentes El comando sysopt connection permit-ipsec permite todo el tráfico que ingresa el dispositivo de seguridad a través de un túnel VPN para desviar las Listas de acceso de la interfaz. La directiva del grupo y por usuario las Listas de acceso de la autorización todavía se aplica al tráfico. En el PIX/ASA 7.1 y posterior, cambian al comando sysopt connection permit-ipsec a la conexión permiso-vpn del sysopt. El vpn-filtro se aplica al tráfico poste-desencriptado después de que salga un túnel y un tráfico PRE-cifrado antes de que ingrese un túnel. Un ACL que se utiliza para un VPN-filtro no se debe también utilizar para un acceso-grupo de la interfaz. Cuando un VPN-filtro se aplica a un modo de la grupo-directiva/del Nombre de usuario que gobierne las conexiones del cliente VPN de acceso remoto, el ACL se debe configurar con los IP Address asignados del cliente en la posición del src_ip del ACL y la red local en la posición del dest_ip del ACL. Cuando un VPN-filtro se aplica a una grupo-directiva que gobierne una conexión VPN L2L, el ACL se debe configurar con la red remota en la posición del src_ip del ACL y la red local en la posición del dest_ip del ACL. access-list <acl-no> <permit/deny> ip <remote network> <local network> Ejercite la precaución cuando usted construye los ACL para el uso con la característica del VPN-filtro. Los ACL se construyen con el tráfico poste-desencriptado (tráfico entrante VPN) en la mente. Sin embargo, también se aplican al tráfico originado en la dirección opuest Nota: En el final de cada ACL, hay una regla implícita, na escrito que niega todo el tráfico que no se permit Si el tráfico no es permitido explícitamente por una Entrada de control de acceso (ACE), se nieg Los ACE se refieren como reglas en este tem En este escenario, refiera a la lista de acceso 103 configurada en la configuración de filtro L2L VPN. Configurar En esta sección encontrará la información para configurar las funciones descritas en este documento. Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección. Diagrama de la red L2L Este documento utiliza esta configuración de la red para el filtro L2L VPN: Configuración de filtro L2L VPN En este documento, se utilizan estas configuraciones: CiscoASA# show running-config Ciscoasa --- Output suppressed access-list 103 extended deny tcp host host eq Access list 103 is created for the VPN Filter. --- This access list 103 filters/denies the request from the remote host( ) --- to the local WEB Server ( ).

3 access-list 103 extended permit ip any any --- Output suppressed group-policy filter internal group-policy filter attributes vpn-filter value Create the group policy (filter)and specify the access list --- number in the vpn filter command. --- Output suppressed tunnel-group general-attributes default-group-policy filter --- Associate the group policy (filter) with the tunnel group. --- Output suppressed Configuración de filtro L2L VPN con el ASDM Complete estos pasos para configurar un filtro L2L VPN a través del Cisco Adaptive Security Device Manager (ASDM): 1. Agregue una lista de acceso: En el ASDM, elija la configuración > el Firewall > avanzó > ACL Manager. El tecleo agrega, y elige agrega el ACL. El cuadro de diálogo del agregar ACL aparece. c. Ingrese 103 en el campo de nombre ACL, y haga clic la AUTORIZACIÓN. 2. El nuevo ACL aparece en la lista ACL. Agregue ACE: Haga clic con el botón derecho del ratón el nuevo ACL, y elija agregan ACE.

4 El cuadro de diálogo de ACE del agregar aparece. Haga clic el botón Option Button de la negación, ingrese la dirección IP de origen y el IP Address de destino, y después haga clic el botón Browse ( ) localizado al lado del campo del servicio. El cuadro de diálogo del servicio de la ojeada aparece. c. Elija el puerto TCP 80, y haga clic la AUTORIZACIÓN para volver al cuadro de diálogo de ACE del editar.

5 d. Haga clic en OK. e. La nueva entrada de ACE aparece en la lista ACL. Haga clic con el botón derecho del ratón la nueva entrada de ACE, y elija el separador de millares después. El separador de millares después del cuadro de diálogo de ACE aparece. f. Agregue ACE que permite cualquier-a-cualquier tráfico: Haga clic la opción del permiso. Elija ningunos en la fuente y los Campos Destination, y elija el IP en el campo del servicio. c. Haga clic en OK. Nota: Agregar ACE que permite cualquier-a-cualquier tráfico previene el implícito niega la regla en el extremo de la lista de acceso. Esta imagen muestra la lista de acceso 103 con las dos entradas de control de acceso: 3. Configure la directiva del grupo:

6 En el ASDM, elija las directivas de la configuración > del VPN de sitio a sitio > del grupo para configurar la directiva del grupo. Haga clic agregan, y eligen el Internal group policy (política grupal interna). El cuadro de diálogo del Internal group policy (política grupal interna) del agregar aparece. c. Ingrese un nombre para la directiva del grupo en el campo de nombre, y elija 103 de la lista desplegable del filtro. Consejo: Usted puede también utilizar el botón Manage Button situado al lado de la lista desplegable del filtro para seleccionar el filtro. 4. d. Haga clic en OK. Agregue la directiva interna del grupo al grupo de túnel del sitio a localizar. En el ASDM, elija la configuración > el VPN de sitio a sitio > los perfiles de la conexión. Elija al grupo de túnel requerido, y haga clic el botón Edit para modificar los parámetros del grupo de túnel. c. Elija el VPN-filtro de la lista desplegable de la directiva del grupo. Consejo: Usted puede también utilizar el botón Manage Button situado al lado de la lista desplegable de la directiva del grupo para seleccionar el filtro. Configuración de filtro bidireccional VPN El filtro VPN funciona bidireccional con un solo ACL. El host remoto/la red se define siempre al principio de ACE, sin importar la dirección de ACE (entrante o saliente).

7 Esta configuración se describe en esta configuración de muestr Pues el ACL es stateful, si el tráfico se permite en una dirección, después el tráfico de retorno para ese flujo se permite automáticamente. Nota: Si los puertos TCP/UDP no se utilizan con la lista de acceso, los ambos lados pueden accederse. Por ejemplo: access-list 103 permit ip host Nota: Este ACL permite que el tráfico sea originado de a y también de a , pues el ACL se aplica bidireccional. CiscoASA# show running-config Ciscoasa --- Output suppressed --- This access list allows the traffic for the remote network to the local web server on port 80. access-list 105 extended permit tcp host eq www --- This access list allows the traffic in the reverse direction, --- from to (ftp server). The remote host/network --- is always defined as the first entry in --- the ACE regardless of the direction. access-list 105 extended permit tcp host eq ftp Implicit deny. --- Denies all other traffic other than permitted traffic. --- Output suppressed group-policy filter internal group-policy filter attributes vpn-filter value Create the group policy (filter)and specify the access list number --- in the vpn filter command. --- Output suppressed tunnel-group general-attributes default-group-policy filter --- Associate the group policy (filter) with the tunnel group. --- Output suppressed Configuración de filtro bidireccional VPN con el ASDM Complete estos pasos para configurar un filtro bidireccional VPN con el ASDM: 1. Agregue una lista de acceso: En el ASDM, elija la configuración > el Firewall > avanzó > ACL Manager.

8 c. El tecleo agrega, y elige agrega el ACL. Ingrese 105 en el campo de nombre ACL, y haga clic la AUTORIZACIÓN. 2. El nuevo ACL aparece en la lista ACL. Agregue ACE: En la lista ACL, haga clic con el botón derecho del ratón la entrada 105, y elija agregan ACE. El cuadro de diálogo de ACE del agregar aparece. Haga clic el botón Option Button del permiso. c. Ingrese la red de en el campo de fuente, y ingrese en el Campo Destination. d. Haga clic el botón Browse del servicio ( ), y elija el tcp/el HTTP. e. Haga clic en OK. f. En la lista ACL, haga clic con el botón derecho del ratón la nueva entrada de ACE, y elija el separador de millares después de ACE.

9 El separador de millares después del cuadro de diálogo de ACE aparece. g. h. i. j. Haga clic la opción del permiso. Ingrese en el campo de fuente, y elija /24 para el destino. En la más área de las opciones, haga clic la casilla de verificación de la regla del permiso, y después haga clic el botón Browse ( ) localizado al lado del campo del servicio de la fuente. El cuadro de diálogo del servicio de la fuente de la ojeada aparece. k. Seleccione el ftp, y haga clic la AUTORIZACIÓN para volver al separador de millares después del cuadro de diálogo de ACE.

10 3. Agregue una directiva interna del grupo: En el ASDM, elija las directivas de la configuración > del VPN de sitio a sitio > del grupo para configurar la directiva del grupo. Haga clic agregan, y eligen el Internal group policy (política grupal interna). El cuadro de diálogo del Internal group policy (política grupal interna) del agregar aparece. c. Ingrese un nombre para la directiva del grupo en el campo de nombre, y elija 105 de la lista desplegable del filtro. Consejo: Usted puede también utilizar el botón Manage Button situado al lado de la lista desplegable del filtro para seleccionar el filtro. 4. d. Haga clic en OK. Agregue la directiva interna del grupo al grupo de túnel del sitio a localizar: En el ASDM, elija la configuración > el VPN de sitio a sitio > los perfiles de la conexión. Elija al grupo de túnel requerido, y haga clic el botón Edit para modificar los parámetros del grupo de túnel.

11 c. Elija el VPN-filtro de la lista desplegable de la directiva del grupo. Consejo: Usted puede también utilizar el botón Manage Button situado al lado de la lista desplegable de la directiva del grupo para seleccionar el filtro. Diagrama de red de acceso remoto Este documento utiliza esta configuración de la red para el filtro del VPN de acceso remoto: Configuración de filtro del VPN de acceso remoto Este documento usa esta configuración: CiscoASA# show running-config Ciscoasa --- Output suppressed ip local pool vpnclient Create a pool of addresses from which IP addresses are assigned --- dynamically to the remote VPN Clients. access-list 103 extended permit udp host eq Access list 103 is created for the VPN Filter for the group policy(filter). --- Access list 103 allows the access for the DNS Server( ) --- Implicit deny. Denies all traffic other than permitted traffic. access-list 104 extended permit ip Access list 104 is created for the VPN Filter for the user(vpn3000).

12 --- This access list 103 allows the access for the network / Implicit deny. Denies all traffic other than permitted traffic. --- Output suppressed username vpn3000 password xai3t+ny5wjyq2thskjfoq== nt-encrypted --- In order to identify remote access users to the Security --- Appliance, you can also configure usernames and passwords --- on the device in addition to the use of AAA. username vpn3000 attributes vpn-filter value Apply the VPN Filter ACL 104 in the username mode. --- This filter is applicable to a particular user (vpn3000) only. --- The username mode VPN Filter (acl 104) overrides --- the vpn filter policy (acl 103)applied in the group --- policy(filter) mode for this user(vpn3000) alone. --- Output suppressed group-policy vpn-filter internal group-policy vpn-filter attributes vpn-filter value Create the group policy (filter)and specify the access list number --- in the vpn-filter command. --- Output suppressed tunnel-group vpn3000 general-attributes default-group-policy vpn-filter --- Associate the group policy (filter) with the tunnel group(vpn3000). Nota: Ciertos cambios de configuración toman el efecto solamente durante la negociación de los SA subsiguientes. Si usted quisiera que las nuevas configuraciones tomaran el efecto inmediatamente, borre los SA existentes para restablecerlos con la configuración cambiad Si el dispositivo de seguridad está procesando activamente el tráfico IPSec, es deseable borrar solamente la porción de la base de datos SA a que los cambios de configuración afectarían. Reserve borrar la base de datos completa SA para los cambios en grande, o cuando el dispositivo de seguridad procesa los muy poco de tráfico IPSec. Nota: Usted puede utilizar estos comandos dados para borrar y reinicializar los SA. borre IPSec sa Quita todo el SA de IPSec del dispositivo de seguridad. borre al peer IPSec SA de IPSec de las cancelaciones con un IP Address de Peer de borre isakmp sa Quita toda la base de datos tiempo de ejecución SA IKE. Configuración de filtro del VPN de acceso remoto con el ASDM Complete estos pasos para configurar un filtro del VPN de acceso remoto con el ASDM: 1. Cree a una agrupación de direcciones: En el ASDM, elija la configuración > el VPN de acceso remoto > el acceso > la asignación de dirección > a las agrupaciones de direcciones de la red (cliente). Haga clic en Add (Agregar).

13 Aparece el cuadro de diálogo Agregar Pool IP. 2. c. Ingrese un nombre para la agrupación IP. Este ejemplo utiliza vpnclient. d. Ingrese los IP Addresses que comienzan y de terminaciones, y después elija la máscara de subred. e. Haga clic en OK. Agregue una lista de acceso para permitir el acceso al servidor del dominio: En el ASDM, elija la configuración > el Firewall > avanzó > ACL Manager. El tecleo agrega, y elige agrega el ACL. El cuadro de diálogo del agregar ACL aparece. 3. c. Ingrese 103 en el campo de nombre ACL, y haga clic la AUTORIZACIÓN. Agregue ACE: En la lista ACL, haga clic con el botón derecho del ratón la entrada 103, y elija agregan ACE. El cuadro de diálogo de ACE del agregar aparece. c. d. Haga clic el botón Option Button del permiso. Ingrese la red /24 en el campo de fuente, y ingrese en el Campo Destination. Haga clic el botón Browse ( ) localizado al lado del campo del servicio. El cuadro de diálogo del servicio de la ojeada aparece.

14 e. Seleccione el protocolo UDP nombrado dominio, y haga clic la AUTORIZACIÓN para volver al cuadro de diálogo de ACE del agregar. 4. f. Haga clic en OK. Agregue a un usuario nuevo: En el ASDM, elija la configuración > el VPN de acceso remoto > los usuarios > a los usuarios locales AAA/Local. Haga clic en el botón Add (Agregar). El cuadro de diálogo de la cuenta de usuario del agregar aparece. 5. c. Ingrese un Nombre de usuario y una contraseñ Este ejemplo utiliza el VPN3000 como el Nombre de usuario. d. Haga clic en OK. Cree una lista de acceso para restringir el acceso para el usuario VPN3000:

15 En el ASDM, elija la configuración > el Firewall > avanzó > ACL Manager. El tecleo agrega, y elige agrega el ACL. El cuadro de diálogo del agregar ACL aparece. 6. Agregue ACE: En la lista ACL, haga clic con el botón derecho del ratón la entrada 104, y elija agregan ACE. El cuadro de diálogo de ACE del agregar aparece. 7. Haga clic el botón Option Button del permiso. c. Ingrese la red /24 en el campo de fuente, y ingrese /24 en el Campo Destination. d. Haga clic en OK. Agregue la lista de acceso 104 como regla para filtros para el usuario VPN3000: En el ASDM, elija la configuración > el VPN de acceso remoto > los usuarios > a los usuarios locales AAA/Local. Elija al usuario VPN3000, y el tecleo edit El cuadro de diálogo de la cuenta de usuario del editar aparece. 8. c. Elija 104 de la lista desplegable del filtro del IPv4, y haga clic la AUTORIZACIÓN. Agregue la lista de acceso 103 a la directiva del grupo del VPN-filtro:

16 En el ASDM, elija la configuración > el VPN de acceso remoto > las directivas del acceso > del grupo de la red (cliente), y entonces el haga click en Add El cuadro de diálogo del Internal group policy (política grupal interna) del agregar aparece. 9. Ingrese el VPN-filtro en el campo de nombre, y elija 103 de la lista desplegable del filtro del IPv4. c. Haga clic en OK. Agregue la directiva del grupo del VPN-filtro como el valor predeterminado para el perfil de la conexión VPN3000: En el ASDM, elija la configuración > el acceso del VPN de acceso remoto > de la red (cliente) > conexión IPSec los perfiles, seleccionan al grupo de túnel requerido, y el tecleo edit Elija el VPN-filtro de la lista desplegable de la directiva del grupo, y haga clic la AUTORIZACIÓN. Información Relacionada Ejemplos de Configuración y Lista de Notas Técnicas Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 25 Diciembre