En un Cisco ASA 5505, ¿cómo se aplican las reglas de firewall con una VPN configurada?

La respuesta a eso depende de la versión del software ASA que esté ejecutando. Específicamente entre 8.2 y anterior en comparación con 8.3 y posterior. Cisco reformuló porciones significativas de NAT.

Cisco lanzó un video realmente bueno en YouTube:

Ahora, he notado algunos problemas con VPN NAT en 8.3 y 8.4. Especialmente cuando se trata de permitir el acceso de administración al ASA mismo (SSH / HTTPS) desde detrás de los clientes VPN.

Por ejemplo, como práctica de seguridad, empleo VLAN de administración. Para mayor seguridad, no todos los dispositivos en las VLAN de administración tienen un conjunto de rutas predeterminado. Entonces, cuando mi grupo VPN de administración está en la misma subred que la VLAN de administración, termino teniendo que eliminar la dirección de administración de Twice-NAT de la manera difícil, especificando todas las demás direcciones en la subred, como:

red de grupo de objetos grp-mgmtclients
host de objeto de red 192.168.0.2
host de objeto de red 192.168.0.3
objeto de red 192.168.0.4 255.255.255.252
objeto de red 192.168.0.8 255.255.255.248
objeto de red 192.168.0.16 255.255.255.240
objeto de red 192.168.0.32 255.255.255.224
objeto de red 192.168.0.64 255.255.255.192
objeto de red 192.168.0.128 255.255.255.128
fuente nat (gestión, exterior) estática grp-mgmtclients grp-mgmtclients destino estática grp-mgmtclients grp-mgmtclients

Por lo tanto, puedo comunicarme con los otros dispositivos y SSH para la administración de ASA en 192.168.0.1 a través de la VPN.

Su millaje puede variar, pero recuerde que las preguntas específicas son más fáciles de responder y puede encontrar una amplia documentación buscando en Cisco.com. Tienen escenarios de configuración para casi todo lo que la plataforma puede hacer.

¿Cómo funciona un virus?

Como broma, mi amigo cifró mi artículo en Base64 y lo guardó. No tengo copias de seguridad. ¿Tendré que rehacerlo o hay alguna forma de descifrarlo?

Cómo mitigar los ataques de explotación de PowerShell que omiten el UAC

¿Cuál es el antivirus 'auténtico' para Windows?

¿Cómo puedo mantenerme seguro en línea como no codificador experto en tecnología?

¿Cuál es el valor económico (por ejemplo, la contribución al PIB) de internet?

Como su nombre lo indica, los filtros VPN proporcionan la capacidad de permitir o denegar el tráfico post-descifrado después de que salga de un túnel y el tráfico pre-encriptado antes de que entre en un túnel.

Nota : Cuando se aplica el comando ‘sysopt connection permit-ipsec’, todo el tráfico que atraviesa el ASA a través de una VPN omite cualquier lista de acceso a la interfaz (las versiones anteriores a 7.1 usan ‘sysopt connection permit-ipsec’).

SINTAXIS

Los filtros VPN se configuran definiendo una ACL, asignando la ACL a una política de grupo y luego asignando la política de grupo a su grupo de túnel.

  lista de acceso VPN-FILTER permit ip 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0
 política de grupo SITEA interna
 atributos de SITEA de política de grupo
  valor de filtro vpn FILTRO VPN

 túnel-grupo 8.8.8.8 tipo ipsec-l2l
 túnel-grupo 8.8.8.8 atributos generales
  política de grupo predeterminada SITEA

CÓMO TRABAJAN ?

La parte interesante (y generalmente la más confusa) es cómo se define la ACL.
Cuando se aplica una ACL a una interfaz, definimos cuándo debe permitir (o denegar) el tráfico que entra o sale de la interfaz.

Sin embargo, con un filtro VPN, la ACL (que tiene estado) se aplica al tráfico, tanto bidireccionalmente como a todas las interfaces. Debido a esto, la definición de los campos de origen y destino dentro de la ACL no se aplica; en cambio, los campos de ACL se relacionan con qué IP / puerto debe permitirse o denegarse para las subredes locales y remotas.

  permiso de FILTRO VPN de lista de acceso  [Puerto remoto]  [Puerto local]

También vale la pena mencionar que, como la mayoría de las ACL, hay una regla implícita de denegación que se aplica por defecto.

EJEMPLO

Basado en 2 pares VPN, el par A y el par B. El par A tiene un punto final local de 172.16.10.0/24 y el par B tiene un punto final local de 172.16.20.0/24.
Si desea permitir el acceso desde el punto final de Peer B al punto final de Peer A en el puerto 80, se configuraría la siguiente entrada de ACL,

  permiso de lista de acceso VPN-FILTER tcp 172.16.20.0 255.255.255.0 172.16.10.0 255.255.255.0 80

Marty Gottesfeld

More Interesting

¿Es confiable Kali? Dado que fue escrito por piratas informáticos, ¿cómo se sabe / prueba que no contiene malware?

Cómo proteger tu PC de ser ahorcado

¿El hosting ubicado en Suiza realmente le da a ProtonMail una ventaja sobre sus competidores (Tutanota, Mailbox) en términos de protección de la privacidad?

¿Qué necesito saber sobre el ataque WPA2?

¿Es Kaspersky Endpoint Security un producto diferente de Kaspersky Internet Security?

¿Qué tipo de herramientas de seguridad / red existen para dispositivos móviles? ¿Y cuáles son sus mejores ejemplos?

¿Cómo aseguró Evernote su API Thrift de cara al público?

Cómo proteger mi sistema operativo de ser modificado por una persona no autorizada

¿Qué podrían hacer los peores hackers si tuvieran su contraseña para las cuentas de redes sociales?

¿Qué tan fácil sería para alguien con conocimientos en seguridad informática comprometer mis computadoras en línea?

¿Cuál es el mejor firewall para empresas?

¿Cuáles son algunas buenas universidades internacionales para la ciberseguridad? ¿Tienes alguna sugerencia para un postgrado en ciberseguridad?

Un colega está en el proceso de iniciar una empresa de seguridad cibernética con énfasis en escaneos y soluciones de seguridad de aplicaciones. Todo lo que tiene es $ 3,500 y una bolsa llena de ideas. ¿Cómo aconsejarán los coroanos que recaude más capital sin un banco?

¿Cómo las corporaciones correlacionan efectivamente las amenazas sociales con las vulnerabilidades internas de su infraestructura, aplicaciones, bases de datos y / o procesos internos?

¿Borrar mi caché eliminará las contraseñas guardadas?