2 votes

jnthnjns avatar

Cisco ASA 5505 (8.05) : filtre de politique de groupe asymétrique sur un tunnel IPSec L2L

Demandé el 16 de Janvier, 2011
Quand la question a-t-elle été
1424 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie de trouver un moyen de configurer un tunnel IPSec L2L bidirectionnel, mais avec des ACL de filtrage de politique de groupe différentes pour les deux côtés.

J'ai le filtre ACL suivant configuré, appliqué et fonctionnant sur mon groupe-tunnel :

access-list ACME_FILTER extended permit tcp host 10.0.0.254 host 192.168.0.20 eq 22
access-list ACME_FILTER extended permit icmp host 10.0.0.254 host 192.168.0.20

Selon la documentation, les filtres VPN sont bidirectionnels, vous spécifiez toujours l'hôte distant en premier (10.0.0.254), suivi de l'hôte local et (facultativement) du numéro de port.

Cependant, je ne veux pas que l'hôte distant puisse accéder au port TCP 22 (SSH) de mon hôte local, car il n'y a aucune obligation à cet égard - mon hôte doit uniquement accéder au serveur SFTP de l'hôte distant, et non l'inverse. Mais comme ces filtres ACL sont bidirectionnels, la ligne 1 permet également à l'hôte distant d'accéder au port TCP 22 (SSH). de mon hôte Serveur SSH.

El documentation que je lis Je ne vois pas très bien si c'est possible ; j'apprécierais une aide ou des éclaircissements.

Demandé el 16 de Janvier, 2011 par jnthnjns

Réponses

Trop de publicités?

1voto

Tim Nicholas avatar
Tim Nicholas Points 11

Notez que si un utilisateur à l'extrémité distante a un accès privilégié, il initie une connexion avec un port source spécifique - y compris le port 22. Ainsi, il peut utiliser cette liste de contrôle d'accès pour se connecter du port 22 de 10.0.0.254 à n'importe quel port de 192.168.0.20.

Ce n'est certainement pas votre intention, mais c'est un exemple du type de risque de sécurité auquel vous vous exposez avec de simples ACL comme celles-ci.

Répondu el 18 de Septembre, 2012 par Tim Nicholas (11 Points )

0 votes

Avatar de dunxd

C'est pourquoi la face de gravure a posé la question - pouvez-vous suggérer un meilleur ACL qui ne présente pas ce risque ?

Commenté el 19 de Septembre, 2012 par dunxd

0 votes

Avatar de Tim Nicholas

C'est vrai je suppose, mais gravyface a seulement dit "Mais puisque ces filtres ACL sont bidirectionnels, la ligne 1 permet également à l'hôte distant d'accéder au serveur SSH de mon hôte", sans préciser qu'elle permet également l'accès au serveur web, au serveur de messagerie, etc. de son hôte. L'ouverture d'un port dans un sens ouvre tous les ports dans l'autre sens (pour autant qu'ils aient la possibilité de sélectionner un port source).

Commenté el 21 de Septembre, 2012 par Tim Nicholas

0voto

TimS avatar
TimS Points 2116

D'après ma lecture du document de référence, l'ACL que vous avez actuellement en place devrait permettre à l'hôte distant d'accéder à votre hôte local sur le port 22 mais pas à votre hôte local d'accéder à l'hôte distant sur le port 22. D'après le document, les listes de contrôle d'accès sont dynamiques, c'est-à-dire que lorsqu'un paquet arrive de l'hôte distant à destination du port 22, il correspond à la liste de contrôle d'accès et est autorisé. Comme il s'agit d'une liste d'état, le trafic de retour est également autorisé. Lorsque l'hôte local tente d'établir une connexion au port tcp 22 de l'hôte distant, la source est un port élevé aléatoire sur l'hôte local, ce qui signifie qu'il ne correspond pas à l'exigence de l'ACL d'un paquet à destination ou en provenance de l'hôte local sur le port 22 et qu'il doit donc être rejeté par l'ACL. Une entrée ACL n'est réellement bidirectionnelle que si aucun port tcp ou udp n'est spécifié. L'ACL ci-dessous devrait mettre en œuvre ce que vous voulez réaliser :

access-list ACME_FILTER extended permit tcp host 10.0.0.254 eq 22 host 192.168.0.20
access-list ACME_FILTER extended permit icmp host 10.0.0.254 host 192.168.0.20

Répondu el 30 de Avril, 2011 par TimS (2116 Points )

0 votes

Avatar de jnthnjns

Je suis presque sûr d'avoir essayé de cette façon et, IIRC, le manuel indique que l'ordre des acl de cryptage n'est pas important.

Commenté el 6 de Mai, 2011 par jnthnjns

0 votes

Avatar de TimS

Je suppose que par ordre des acls vous voulez dire ordre des entrées dans le CAE. Le manuel indique en fait que le côté distant doit être la première entrée dans l'ACE, quelle que soit la direction. Puisque vous essayez d'accéder à l'hôte distant sur le port 22, "host 10.0.0.254 eq 22" doit être la première entrée dans l'ACE.

Commenté el 6 de Mai, 2011 par TimS

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X