キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
告知
シスコ サポート コミュニティへようこそ!あなたの ご意見 をお聞かせください。
New Member

ASA) IPSecを利用した際のアクセスリストを適用するIFについて

ASA (Ver 9.1) を利用し, IPsecでVPNをはっている環境下において, アクセスリストを適用するインタフェースについて質問があります。

現在, PPPoEでインターネット回線を受けており, 別拠点とIPSecで接続していますが, 以下のアクセスリストを記述しています。

1) IPSec対象となる通信のACL1

2) 拠点間で通信制限をかけるためのACL2

ここで, VLAN1 をoutside, VLAN2をinsideとし, ACL1はcrypto-mapへ適用。ACL2はinside IFへ適用( access-group ACL2 in interface inside 等)。

これらに加えて, インターネットからのトラフィックをIPSecの通信に限定したいと考えていますが, どのIFへ適用すればよいか理解できていません。

outside(VLAN2)はIPSecによる暗号化前の状態だと思うので, ここでは無いと思っています。

https://supportforums.cisco.com/ja/document/12745341

この記事に暗号化処理が乗っていたらなと・・・

---言葉たらずだったので補足します ---

ASAをつかってSite to SiteでVPNをはっている中で,

・ Web通信だけをInternetへオフロード(Split)させる

・特定のLANセグメントにあるVPN装置からのIPSecを通す

ことを考えています。

その上で, インターネットからのインバウンドは制限かける必要があると思ったため, 今回の質問となりました。

よろしくお願いいたします。

1 件の受理された解決策

受理された解決策

00 stack さん、こんにちわ。

00 stack さん、こんにちわ。

はい、00 stackさんの認識で問題ないと思います。

なお、Security Levelは、ASAにとって重要な設定です。 ASAは InterfaceのSecurity Levelを比較して、どちらがoutside(外部)側か確認しています。

例えば、inside(sec=100)⇒outside(sec=0)向けの通信は、高いセキュリティレベルから低いセキュリティレベルへの通信ですので、Outbound(外向け)通信として処理します。  逆の outside⇒inside宛の通信なら、セキュリティレベルは低いほうから高いほうへ、ですので、Inbound(内向け)通信ですね。

そして、以下は Internet側からの不正通信のドロップ時ログですが、これは「Inbound」と検知しドロップしてます。

%ASA-2-106001: Inbound TCP connection denied from xx.xx.xx.xx/1650 to xx.xx.xx.xx/21 flags SYN on interface outside

全てのInterfaceのSecurity Levelを同じにもできますが、この場合 上記のinbound/outbound判断ができないため、同じSecurity Level間の通信は デフォルト破棄されます。

ルータはパケット単位の処理、Firewallは Security Levelを考慮したInterface間のコネクションの通信制御、と違いがありますので、ご注意頂ければと思います。

なお、ご存じかもですが、サイト間VPN設定は、ASDMの簡易セットアップウィザードを使うと とても簡単に設定できますので 以下などご参考まで。

https://supportforums.cisco.com/video/11932706/asa-site-site-vpn-wizard-demonstration
http://www.cisco.com/cisco/web/support/JP/107/1075/1075700_sdm-vpn-asa-router-config-j.html

4 件の返信

00 stack さん、こんにちわ。

00 stack さん、こんにちわ。

まず、戻りパケット通信についてですが、ASAはステートフルインスペクションにデフォルトで対応しているため、VLAN2(inside)→VLAN1(outside)に抜けた WEB通信の戻りパケットは動的にASAは検知し通過を許可します。

逆に、新規通信がInternet(outside)側から来た場合、ASAはoutside(security-level 0)からinsideへの Inbound通信はデフォルト許可しませんので、ドロップされます。つまり、危険なInterface側から 安全な内部への新規通信は、ASAはデフォルト拒否する、親切なデフォルト実装です。 


次に サイト間サイトVPNの制御についてですが、ACLは「Interface間(正確にはnameif間)」の通信制御を行うためにあります。 逆に、VPN接続は ASAのoutside Interface 自身宛の通信となるので、ACLの場合 このInterface間の通信制御を行う、という条件を満たせません。

変わりに、crypt map xxxx set peer <対向IP>コマンドや tunnel-group <対向IP> type ipsec-l2lコマンドで、指定IPとのみVPN接続を行うため、当コマンドでセキュリティは確保できます。

既に確認いただいているかもですが、サイト間VPNの設定例は以下などをご参考に。(※以下は8.2以前の旧式NAT設定なので、新バージョンではNAT設定は流用できないのでお気をつけて)

http://www.cisco.com/cisco/web/support/JP/102/1021/1021577_l2l-asa5505-config-j.html

ご参考になれば幸いです。

New Member

Akira Muranakaさん

Akira Muranakaさん,ご返信ありがとうございます。

outsideはデフォルト security Level0なので基本的にインバウンドは許可していないので安全。

IPSecの通信はcrypto map や tunnel-groupといったIPSecに対するコマンドで個別に設定し,IOSがそれを解釈してくれるので,Internet向けのIFに対して個別にACLをかけてインバウンドトラフィックを意識する必要はないということですね。

ちなみに,(あまり無いとは思いますが)Security Levelを全て同じ値(例えば全部100とか全部50とか)に設定した場合はどうなるかご存知でしょうか。

# あくまで参考までに・・・

また, 当方がやりたい

1) 拠点間VPN(Lan2Lan)の設定を維持したまま

2) 特定のセグメントからのIPSecを許可する

というのは,普通にLan2Lanの設定をし,ACLでoutboundのIFに対してACLで2)の通信制御を記述する&PATの設定を入れとく

でいけると思ってよいでしょうか。

00 stack さん、こんにちわ。

00 stack さん、こんにちわ。

はい、00 stackさんの認識で問題ないと思います。

なお、Security Levelは、ASAにとって重要な設定です。 ASAは InterfaceのSecurity Levelを比較して、どちらがoutside(外部)側か確認しています。

例えば、inside(sec=100)⇒outside(sec=0)向けの通信は、高いセキュリティレベルから低いセキュリティレベルへの通信ですので、Outbound(外向け)通信として処理します。  逆の outside⇒inside宛の通信なら、セキュリティレベルは低いほうから高いほうへ、ですので、Inbound(内向け)通信ですね。

そして、以下は Internet側からの不正通信のドロップ時ログですが、これは「Inbound」と検知しドロップしてます。

%ASA-2-106001: Inbound TCP connection denied from xx.xx.xx.xx/1650 to xx.xx.xx.xx/21 flags SYN on interface outside

全てのInterfaceのSecurity Levelを同じにもできますが、この場合 上記のinbound/outbound判断ができないため、同じSecurity Level間の通信は デフォルト破棄されます。

ルータはパケット単位の処理、Firewallは Security Levelを考慮したInterface間のコネクションの通信制御、と違いがありますので、ご注意頂ければと思います。

なお、ご存じかもですが、サイト間VPN設定は、ASDMの簡易セットアップウィザードを使うと とても簡単に設定できますので 以下などご参考まで。

https://supportforums.cisco.com/video/11932706/asa-site-site-vpn-wizard-demonstration
http://www.cisco.com/cisco/web/support/JP/107/1075/1075700_sdm-vpn-asa-router-config-j.html

New Member

ご回答ありがとうございました。

ご回答ありがとうございました。

非常に参考になりました。

これをもとに実機で検証します。ありがとうございました,

213
閲覧回数
5
いいね!
4
返信