ASA IPsec stateful acl

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
lukis
member
member
Posty: 46
Rejestracja: 30 lip 2014, 12:27

ASA IPsec stateful acl

#1

#1 Post autor: lukis »

Witam,

Mam zestawiony tunel ipsec pomiędzy naszą asą 5510 a urządzeniem klienta. Z naszej strony są podsieci ABC a drugiej podsieć D. W tym momencie jest możliwa komunikacja dwukierunkowa. Chciałbym aby komunikacja mogła być nawiązywana tylko z podsieci ABC do D a odwrotnie nie. Mogę stworzyć jakąś ACL stateful i podpiąć ją do tutnelu? Moglibyście mi przybliżyć temat?

Z góry dzięki za pomoc.

martino76
CCIE
CCIE
Posty: 883
Rejestracja: 17 gru 2010, 15:23
Lokalizacja: Barczewo

Re: ASA IPsec stateful acl

#2

#2 Post autor: martino76 »

lukis pisze:Witam,

Mam zestawiony tunel ipsec pomiędzy naszą asą 5510 a urządzeniem klienta. Z naszej strony są podsieci ABC a drugiej podsieć D. W tym momencie jest możliwa komunikacja dwukierunkowa. Chciałbym aby komunikacja mogła być nawiązywana tylko z podsieci ABC do D a odwrotnie nie. Mogę stworzyć jakąś ACL stateful i podpiąć ją do tutnelu? Moglibyście mi przybliżyć temat?

Z góry dzięki za pomoc.
Zmien sobie crypto-map z bidirectional na originate-only link

Pozdro,

lukis
member
member
Posty: 46
Rejestracja: 30 lip 2014, 12:27

#3

#3 Post autor: lukis »

Dzięki za odpowiedź. A gdybym chciał, żeby klient pingował jakiegoś hosta w naszej sieci w ramach monitorowania stanu tunelu?

Bedi
wannabe
wannabe
Posty: 161
Rejestracja: 06 sie 2006, 23:27

Re: ASA IPsec stateful acl

#4

#4 Post autor: Bedi »

martino76 pisze:
Zmien sobie crypto-map z bidirectional na originate-only link

Pozdro,
Wprowadzasz w błąd, to co podajesz ustala tylko kto może zainicjalizować tunel, po zestawieniu tunelu ruchu w środku będzie biegał bez ograniczeń.

Opcje są dwie:
- no sysopt connection permit-vpn i aclka na interfece do którego zestawiany jest tunel definiująca dozwolony ruch ale ta zmiana dotyczy wszystkich połączeń IPSec
- vpn-filter na group-policy dedykowanej dla tego tunelu

b4n3
wannabe
wannabe
Posty: 128
Rejestracja: 25 cze 2010, 09:58

Re: ASA IPsec stateful acl

#5

#5 Post autor: b4n3 »

martino76 pisze:
lukis pisze:Witam,

Mam zestawiony tunel ipsec pomiędzy naszą asą 5510 a urządzeniem klienta. Z naszej strony są podsieci ABC a drugiej podsieć D. W tym momencie jest możliwa komunikacja dwukierunkowa. Chciałbym aby komunikacja mogła być nawiązywana tylko z podsieci ABC do D a odwrotnie nie. Mogę stworzyć jakąś ACL stateful i podpiąć ją do tutnelu? Moglibyście mi przybliżyć temat?

Z góry dzięki za pomoc.
Zmien sobie crypto-map z bidirectional na originate-only link

Pozdro,
Przez przypadek connection-type nie służy jedynie do określenia kierunku w którym może zostać utworzone SA ?
Wydaje mi się, że koledze chodzi raczej o filtrowanie ruchu wewnątrz SA czyli vpn-filter

https://popravak.wordpress.com/2011/11/ ... -i-see-it/

lukis
member
member
Posty: 46
Rejestracja: 30 lip 2014, 12:27

#6

#6 Post autor: lukis »

Konfiguracja wygląda nastepująco:

192.168.17.0/24 to sieć zdalna, 192.168.10.0/24 to nasza sieć lokalna.
Nie wiem czy to ma jakieś znaczenie ale ASA niema interfejsu z sieci 192.168.10.0
access-list bielsko_test_vpnfilter extended permit object-group TCPUDP host 192.168.17.1 host 192.168.10.15 eq 22

group-policy bielsko_test internal
group-policy bielsko_test attributes
vpn-filter value bielsko_test_vpnfilter

tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x general-attributes
default-group-policy bielsko_test
Wg tego co wyczytałem w tym mencie powinien być dostęp z 192.168.10.15 do 192.168.17.1 po 22 porcie.
access-list VPN-FILTER permit <remote-IP> [remote-Port] <local-IP> [local-Port]
Niestety przy próbie połączenia po ssh dostaję komunikat "ssh: connect to host 192.168.17.1 port 22: Connection refused"

Bedi
wannabe
wannabe
Posty: 161
Rejestracja: 06 sie 2006, 23:27

#7

#7 Post autor: Bedi »

Try this

Kod: Zaznacz cały

access-list bielsko_test_vpnfilter extended permit tcp host 192.168.17.1 eq host 192.168.10.15 

b4n3
wannabe
wannabe
Posty: 128
Rejestracja: 25 cze 2010, 09:58

#8

#8 Post autor: b4n3 »

Bedi pisze:Try this

Kod: Zaznacz cały

access-list bielsko_test_vpnfilter extended permit tcp host 192.168.17.1 eq host 192.168.10.15 

Kod: Zaznacz cały

access-list bielsko_test_vpnfilter extended permit tcp host 192.168.17.1 eq 22 host 192.168.10.15
Zapomniałeś dodać port 22

lukis
member
member
Posty: 46
Rejestracja: 30 lip 2014, 12:27

#9

#9 Post autor: lukis »

Dzięki Panowie :) z 22 portem poradziłem sobie :)

Teraz pytanie o rzeczywisty przypadek.
Po mojej stronie mam 3 obiekty:
10.10.10.0/24
192.168.40.0/22
10.137.208.68
Po stronie klienta:
10.5.1.0/24

Chcę umożliwić całą komunikację od nas do klienta a od klienta do nas tylko ping do 3 hostów.
ACLki takie:
access-list vpnfilter extended permit icmp 10.5.1.0 255.255.255.0 host 192.168.40.44
access-list vpnfilter extended permit icmp 10.5.1.0 255.255.255.0 host 192.168.40.45
access-list vpnfilter extended permit icmp 10.5.1.0 255.255.255.0 host 192.168.40.48
access-list vpnfilter extended permit ip 10.10.10.0 255.255.255.0 10.5.1.0 255.255.255.0
access-list vpnfilter extended permit ip 192.168.40.0 255.255.252.0 10.5.1.0 255.255.255.0
access-list vpnfilter extended permit ip host 10.137.208.68 10.5.1.0 255.255.255.0
W przypadku 2 pierwszych list acl umożliwia komunikację w 2 strony ale to w mojej sytuacji bez znaczenia. Moglibyście zweryfikować czy osiągnę zamierzany efekt? Ponieważ nie mam jak tego zweryfikować.

Dzięki!

Bedi
wannabe
wannabe
Posty: 161
Rejestracja: 06 sie 2006, 23:27

#10

#10 Post autor: Bedi »

b4n3 pisze: Zapomniałeś dodać port 22
Prawda, dzięki za zwrócenie uwagi

ODPOWIEDZ