Como posso impedir que os hosts internos acessem as portas ISAKMP e IPSec NAT-T no 8.4 ASA5510?

Navegue suas respostas
2

Configurei uma VPN de Acesso Remoto no meu ASA5510 executando o 8.4 e a habilitei na interface externa.

Por algum motivo, se um host interno usa um cliente VPN para se conectar através do firewall, ele acaba usando a porta udp / 500 (udp / isakmp) ou tcpudp / 4500 (IPSec NAT-T).

Os hosts internos usam o PAT para traduzir para o exterior, mas eu achava que o ASA nunca forneceria traduções PAT que substituam suas próprias portas (como 500 e 4500).

Estou vendo os pacotes caírem durante a negociação e a autenticação. Se eu desconectar o cliente VPN no host interno, os clientes de acesso remoto poderão se conectar novamente.

Aqui estão algumas das configurações (limpas por razões óbvias): 

access-list vpnclient_splitTunnelAcl standard permit 10.0.0.0 255.0.0.0
ip local pool vpnclient-pool 10.0.254.5-10.0.254.249 mask 255.255.255.0
group-policy remote_access internal
group-policy vpnclient attributes
 dns-server value 10.0.0.2
 vpn-tunnel-protocol ikev1
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value vpnclient_splitTunnelAcl
 default-domain value example.local
tunnel-group vpnclient type remote-access
tunnel-group vpnclient general-attributes
 address-pool vpnclient-pool
 authentication-server-group RADIUS
 default-group-policy vpnclient
tunnel-group vpnclient ipsec-attributes
 ikev1 pre-shared-key ***********
tunnel-group vpnclient ppp-attributes
 no authentication chap
 no authentication ms-chap-v1

Como posso impedir que hosts internos acessem as portas ISAKMP e IPSec NAT-T no 8.4 ASA5510?

    
por Alain O'Dea 20.06.2012 / 14:14

2 respostas

1

Uma combinação de IPSec Pass-through e um hack NAT resolve o problema com as portas 500 e 4500 sendo 'roubadas' por hosts internos para mim: 

configure terminal
 object network VPN-endpoint
  description Prevent inside hosts from stealing VPN endpoint with PAT
  host 172.16.0.1
  nat (any,outside) static interface service udp isakmp isakmp
  exit
 access-list ipsecpassthroughacl extended permit udp any any eq isakmp
 access-list ipsecpassthroughacl extended permit object-group TCPUDP any any eq 4500
 class-map ipsecpassthru-traffic
  match access-list ipsecpassthroughacl
  exit
 policy-map type inspect ipsec-pass-thru iptmap
  parameters
   esp
   ah
   exit
  exit
 policy-map inspection_policy
  class ipsecpassthru-traffic
   inspect ipsec-pass-thru iptmap
   exit
  exit
 service-policy inspection_policy interface outside
 exit
    
por 26.06.2012 / 14:04
2

Você tem crypto isakmp nat-traversal 20 ativado nos firewalls de destino e origem? Esse é um problema comum , e pedaços da sua história são consistentes. Pode haver algo mais desligado na configuração, no entanto. Você pode postar o resto?

    
por 21.06.2012 / 14:42

Tags

Adicionando discos rígidos extras Debian Fdisk Redimensionar base da partição do XenServer 6.0