Tabla de Contenidos
          Introduccion
          Requisitos Previos
               Requerimientos
               Componentes Usados
          Informacion General
          Configuracion
               Ejemplo 1. Filtro VPN con AnyConnect o IPsec VPN Client
               Ejemplo 2. Filtro VPN para un L2L
               Filtros VPN y per-user-override access-groups
          Verificar
          Solucion de Problemas

Introduccion

 

Este documento describe los filtros de VPN en detalle y aplica para LAN-to-LAN (L2L), el cliente IPsec de Cisco y el Cisco AnyConnect Secure Mobility Client.

 

Los filtros consisten en reglas que determinan si se debe permitir o rechazar los paquetes encriptados que vienen a través del ASA, en base a criterios como la dirección de origen, dirección de destino y el protocolo. Se pueden configurar listas de control de acceso (ACL) con el fin de permitir o denegar los distintos tipos de tráfico. El filtro se puede configurar en el group-policy, los atributos del usuario, o por medio de DAP.

 

DAP reemplaza el valor configurado de ambos, atributos del usuario y group-policy. El valor del atributo de usuario reemplaza el valor del group-policy en caso que DAP no asigne ningún filtro.

Escrito por Gustavo Medina, Yamil Gazel, Oleg Tipisov, Ingenieros de Cisco TAC.

 

Requisitos Previos

 

Requerimientos

 

Cisco recomienda tener conociemiento de los siguientes temas:

  • Tuneles VPN L2L VPN.
  • Configuracion del cliente IPsec de Cisco.
  • Configuracion del Cisco Anyconnect Secure Mobility Client.

 

Componentes Usados

 

La informacion de este documento esta basada en Cisco 5500-X Series Adaptive Security Appliance (ASA) Version 9.1(2).

 

La informacion en este documento fue creada con equipos en un ambiente de laboratorio especifico. Todos los dispositivos utilizados contaban con la configuracion por defecto. Si su red esta en produccion asefurese de entender el impacto potencial de los comandos a usar.

 

Informacion General

 

El comando sysopt connection permit-vpn permite que todo el tráfico que entra en el dispositivo de seguridad a través de un túnel VPN no sea revisado contra las listas de acceso de las interfaces (access-group). Las access-list del group-policy aun tienen efecto as como las de per-user authorization.

Un Filtro VPN se aplica al tráfico postdecriptado después de salir de un túnel y al tráfico preencriptado antes de entrar en un túnel. Un ACL que es usada para un filtro vpn no debe utilizarse para un access-group en ninguna de las interfaces.


Cuando se aplica un filtro de vpn a un group-policy que rige las conexiones de cliente VPN de acceso remoto, el ACL debe configurarse con las direcciones IP asignadas a los clientes en la posición src_ip del ACL y la red local en la posición dest_ip de la ACL. Cuando se aplica un filtro de VPN a un group-polocy que gobierna una conexión L2L VPN, el ACL debe estar configurado con la red remota en la posición src_ip del ACL y la red local en la posición dest_ip del ACL.

 

Configuracion

 

Los filtros VPN deben configurarse en dirección entrante aunque reglas aun se aplicarán de manera bidireccional. CSCsf99428 se ha abierto para soportar reglas unidireccionales, pero aún no se ha programado su implementacion.

 

Ejemplo 1. Filtro VPN con AnyConnect o IPsec VPN Client

 

Supongamos que la dirección IP asignada al cliente es 10.10.10.1/24 y la red local es 192.168.1.0/24.

 

Esta Access Control Entry (ACE) permite al cliente AnyConnect hacer Telnet a la red local:

 

access-list vpnfilt-ra permit tcp
10.10.10.1 255.255.255.255 192.168.1.0 255.255.255.0 eq 23

 

118029-configure-asa-01.jpg

 

Note: The ACE access-list vpnfilt-ra permit tcp 10.10.10.1 255.255.255.255 192.168.1.0 255.255.255.0 eq 23 also allows the local network to initiate a connection to the RA client on any TCP port if it uses a source port of 23.

 

Esta Access Control Entry (ACE) permite a la red local  hacer telnet al cliente AnyConnect .

 

access-list vpnfilt-ra permit tcp 10.10.10.1 255.255.255.255
eq 23 192.168.1.0 255.255.255.0

 

118029-configure-asa-02.jpg

 

Note: The ACE access-list vpnfilt-ra permit tcp 10.10.10.1 255.255.255.255 eq 23 192.168.1.0 255.255.255.0 also allows the RA client to initiate a connection to the local network on any TCP port if it uses a source port of 23.

 

Caution: The vpn-filter feature allows for traffic to be filtered in the inbound direction only and the outbound rule is automatically compiled. Therefore, when you create an Internet Control Message Protocol (ICMP) access-list, do not specify the ICMP type in the access-list formatting if you want directional filters.

 

Ejemplo 2. Filtro VPN para un L2L

 

Supongamos que la red remota es 10.0.0.0/24 y la red local es 192.168.1.0/24.

 

Este ACE permite que la red remota haga telnet a la red local:

 

access-list vpnfilt-l2l permit tcp 10.0.0.0 255.255.255.0 192.168.1.0
255.255.255.0 eq 23

 

118029-configure-asa-03.jpg

 

Note: The ACE access-list vpnfilt-l2l permit tcp 10.0.0.0 255.255.255.0 192.168.1.0 255.255.255.0 eq 23 also allows the local network to initiate a connection to the remote network on any TCP port if it uses a source port of 23. 

 

Este ACE permite a la red local hacer telnet a la red remota:

 

access-list vpnfilt-l2l permit tcp 10.0.0.0 255.255.255.0 eq 23
192.168.1.0 255.255.255.0 

 

118029-configure-asa-04.jpg

 

Note: The ACE access-list vpnfilt-l2l permit tcp 10.0.0.0 255.255.255.0 eq 23 192.168.1.0 255.255.255.0 also allows the remote network to initiate a connection to the local network on any TCP port if it uses a source port of 23. 

 

Caution: The vpn-filter feature allows for traffic to be filtered in the inbound direction only and the outbound rule is automatically compiled. Therefore, when you create an ICMP access-list, do not specify the ICMP type in the access-list formatting if you want directional filters.

 

Filtros VPN y per-user-override access-groups

 

El tráfico VPN no se filtra por las ACL de una interfaz. El comando no sysopt connection permit-vpn se puede utilizar con el fin de cambiar el comportamiento predeterminado. En este caso, dos ACL se pueden aplicar al tráfico de los usuarios: la ACL de la interfaz se revisa primero y luego el filtro VPN.

 

La palabra per-user-override (sólo para ACL entrantes) permite que las ACL dinámicas de usuarios que son descargadas para autorización anulen el ACL asignado a la interfaz. Por ejemplo, si el ACL de la interfaz niega todo el tráfico de 10.0.0.0, pero el ACL dinámica permite todo el tráfico de 10.0.0.0, entonces la ACL dinámica anula el ACL interfaz para ese usuario y se permite el tráfico.

 

Ejemplos (cuando se ha no sysopt connection permit-vpn):

 

  • no per-user-override, no vpn-filter- el tráfico se revisa con el ACL de interfaz
  • no per-user-override, vpn-filter- el tráfico se revisa en primer lugar con el ACL de la interfaz, luego contra el vpn-filter
  • per-user-override, vpn-filter - el tráfico se revisa solo con el vpn-filter.

 

Verificar

 

Utilice esta sección con el fin de confirmar que la configuración funciona correctamente.

 

 

 

  • show asp table filter [access-list <acl-name>] [hits]

    Con el fin de verificar las accelerated security path filter tables, utilice el comando dshow asp table filter en el modo EXEC privilegiado. Cuando un filtro se ha aplicado a un túnel VPN, las reglas de filtrado se instalan en la tabla de filtros. Si el túnel tiene un filtro especificado, entonces la tabla de filtros se revisa antes de la encripcion y después de la decripcion con el fin de determinar si el paquete interno se debe permitir o negar.
     
     USO
     show asp table filter [access-list <acl-name>] [hits]
     
     SYNTAX
     <acl-name>      Muestra el filtro instalado para la lista de acceso <acl-name>
     hits            Muestra las reglas de filtros que tienen valores distintos de 0
  • clear asp table filter [access-list <acl-name>]

    Este comando borra los contadores de éxito para las entradas de la tabla de filtro ASP.
     
     USO
     clear asp table filter [access-list <acl-name>]
     
     SYNTAX
     <acl-name>  Limpia los contadores para la lista de acceso especificada <acl-name>

 

Solucion de Problemas

 

Esta sección ofrece información que puede utilizar con el fin de solucionar los problemas de configuración.

 

  • debug acl filter

    Este comando permite debugging para Filtros VPN. Se puede utilizar para ayudar a la solución de problemas de instalacion / eliminación de los filtros de VPN en la tabla de filtro de ASP. Para el vpn-filtro Ejemplo 1. con AnyConnect o Cliente VPN

    Debug cuando  user1 se conecta:
     
     ACL FILTER INFO: first reference to inbound filter vpnfilt-ra(2): Installing
     rule into NP.
     ACL FILTER INFO: first reference to outbound filter vpnfilt-ra(2): Installing
     rule into NP.


    Debug cuando user2 se conecta (despues de user1 y el mismo filtro):
     
     ACL FILTER INFO: adding another reference to outbound filter vpnfilt-ra(2): refCnt=2
     ACL FILTER INFO: adding another reference to inbound filter vpnfilt-ra(2): refCnt=2


    Debug cuando user2 se desconecta:
     
     ACL FILTER INFO: removing a reference from inbound filter vpnfilt-ra(2): remaining
     refCnt=1
     ACL FILTER INFO: removing a reference from outbound filter vpnfilt-ra(2): remaining
     refCnt=1


    Debug cuando user1 se desconecta:
     
     ACL FILTER INFO: releasing last reference from inbound filter vpnfilt-ra(2): Removing
     rule into NP.
     ACL FILTER INFO: releasing last reference from outbound filter vpnfilt-ra(2): Removing rule into NP.
  • show asp table

    Aquí está la salida del show asp table filter antes de que user1 se conecte. Sólo los deny implícitos se instalan para IPv4 y IPv6, en ambas direcciones.
     
     Global Filter Table:
     in  id=0xd616ef20, priority=11, domain=vpn-user, deny=true
             hits=0, user_data=0xd613ea60, filter_id=0x0(-implicit deny-), protocol=0
             src ip=0.0.0.0, mask=0.0.0.0, port=0
             dst ip=0.0.0.0, mask=0.0.0.0, port=0
     in  id=0xd616f420, priority=11, domain=vpn-user, deny=true
             hits=0, user_data=0xd615ef70, filter_id=0x0(-implicit deny-), protocol=0
             src ip=::/0, port=0
             dst ip=::/0, port=0
     out id=0xd616f1a0, priority=11, domain=vpn-user, deny=true
             hits=0, user_data=0xd614d900, filter_id=0x0(-implicit deny-), protocol=0
             src ip=0.0.0.0, mask=0.0.0.0, port=0
             dst ip=0.0.0.0, mask=0.0.0.0, port=0
     out id=0xd616f6d0, priority=11, domain=vpn-user, deny=true
             hits=0, user_data=0xd6161638, filter_id=0x0(-implicit deny-), protocol=0
             src ip=::/0, port=0
             dst ip=::/0, port=0

 

 

Comentarios
New Member

Muy bueno. Gracias por compartir La información!.

Saludos!

259
Visitas
5
ÚTIL
1
Comentarios