Cisco ASA 5505 (8.05): filtro de política de grupo assimétrico em um túnel IPSec L2L

2

Estou tentando encontrar uma maneira de configurar um túnel IPSec L2L bidirecional, mas com diferentes ACLs de filtro de política de grupo para ambos os lados.

Eu tenho a seguinte configuração ACL de filtro, aplicada e trabalhando no meu grupo de túneis:

access-list ACME_FILTER extended permit tcp host 10.0.0.254 host 192.168.0.20 eq 22
access-list ACME_FILTER extended permit icmp host 10.0.0.254 host 192.168.0.20 

De acordo com os documentos, os filtros VPN são bidirecionais, você sempre especifica o host remoto primeiro (10.0.0.254), seguido pelo host local e (opcionalmente) pelo número da porta, conforme a documentação.

No entanto, eu não quero que o host remoto consiga acessar a porta TCP 22 (SSH) do meu host local porque não há necessidade de fazê-lo - há apenas um requisito para que meu host acesse o servidor SFTP do host remoto, não o contrário. Mas como essas ACLs de filtro são bidirecionais, a linha 1 também permite que o host remoto acesse o servidor SSH do host .

A documentação que estou lendo não parece claro para mim se isso é possível; ajuda / esclarecimento muito apreciada.

    
por gravyface 16.01.2011 / 22:54

2 respostas

0

A partir da minha leitura do documento referenciado, a ACL atualmente instalada deve permitir que o host remoto acesse seu host local na porta 22, mas não o host local, para acessar o host remoto na porta 22. De acordo com o documento, As ACLs são stateful, portanto, quando um pacote chega do host remoto destinado à porta tcp 22, ele corresponde à ACL e é permitido. Porque é stateful o tráfego de retorno também é permitido. Quando o host local tenta estabelecer uma conexão com a porta tcp 22 no host remoto, a origem é uma porta alta aleatória no host local, o que significa que não corresponde ao requisito de acl de um pacote para ou a partir do host local na porta 22. deve ser descartado pelo ACL. Uma entrada ACL só é verdadeiramente bidirecional se nenhuma porta tcp ou udp for especificada. A ACL abaixo deve implementar o que você deseja alcançar:

access-list ACME_FILTER extended permit tcp host 10.0.0.254 eq 22 host 192.168.0.20
access-list ACME_FILTER extended permit icmp host 10.0.0.254 host 192.168.0.20

    
por 30.04.2011 / 06:24
1

Observe que se um usuário na extremidade remota tiver acesso privilegiado, ele iniciará uma conexão com uma porta de origem específica, incluindo a porta 22. Com isso, ele poderá usar essa ACL para conectar-se à porta 22 em 10.0.0.254 em qualquer porta 192.168.0.20.

Isso quase certamente não é sua intenção, mas é um exemplo do tipo de risco à segurança que você está se expondo com ACLs simples como essas.

    
por 18.09.2012 / 06:34