Comunicazione delle interfacce instradate per Cisco ASA 5506-X [chiuso]

Naviga le tue risposte
0

Recentemente alla nostra organizzazione è stato fornito un nuovo ASA 5506-X per sostituire il vecchio buon PIX506e per un progetto. Abbiamo riscontrato un problema sull'interfaccia di routing su ASA 5506, che è molto diversa da ASA 5505. Non è stato possibile ottenere il traffico passato dall'esterno verso l'interno e viceversa. Comprendo che il flusso di traffico dall'interno all'esterno è consentito per impostazione predefinita.

Come descrive il diagramma, questi sono i sommari:

  1. L'interfaccia interna di ASA è configurata con 192.10.5.253
  2. L'interfaccia esterna di ASA è configurata con 10.1.150.1
  3. La rete esterna ha 4 VLAN, mentre la VLAN10 è la VLAN su cui si trova la workstation, che porta l'IP del 10.1.10.201.
  4. C'è un server nella rete del client, che ha l'IP 192.10.5.3.
  5. Fondamentalmente ASA 5506-X funge da router per indirizzare il traffico tra la rete interna e quella esterna.
  6. C'è uno switch di livello 3 nella rete esterna. Quale ha la route statica per raggiungere 192.10.5.0/24 tramite il gateway di 10.1.150.1.

Configurazione ASA 5506-X:

  1. Abilitato consente il traffico tra le stesse interfacce con il livello di sicurezza.
  2. ACL che consente QUALSIASI ICMP TCP sull'interfaccia sia interna che esterna.
  3. NAT da rete esterna a rete interna. (è una lunga lista)
  4. Percorso statico a 0.0.0.0/0 tramite 192.10.5.254 (IP del dispositivo client) a WAN
  5. Percorso statico verso la rete 10.1.0.0/16, tramite il gateway 10.1.150.254 (IP dell'interfaccia VLAN nell'interruttore di livello 3 della rete interna)

Che cosa funziona:

  1. All'interno della rete esterna, abbiamo un interruttore Ruggedcom di livello 3. Dove abbiamo configurato il routing inter-VLAN in esso e funziona bene. Tutte e 4 le VLAN nella rete esterna sono in grado di comunicare e in grado di eseguire il ping su 10.1.150.1.
  2. Per lo switch di rete del cliente, è solo uno switch di livello 2 e nessuna segregazione VLAN.
  3. Tutti i dispositivi finali possono comunicare all'interno della propria rete.
  4. ASA 5506-X può eseguire il ping su tutte le apparecchiature e su tutti i dispositivi finali.

Che cosa non funziona:

  1. I dispositivi esterni di rete non riescono a eseguire il ping all'interno dei dispositivi di rete anche se è stata stabilita la route statica.

Ho fatto qualche ricerca e ho scoperto che ASA 5506-X non consente la comunicazione tra le interfacce? Ho persino specificato ACL per consentire QUALSIASI traffico dalla fonte ANY alla destinazione ANY. Sto usando ASA versione 9.6. Cosa potrebbe andare storto qui?

    
posta YFQ 16.08.2017 - 04:00
fonte

1 risposta

3

Senza pubblicare la configurazione qui è abbastanza difficile per me, tuttavia, tenterò di darti un'idea del motivo per cui potrebbe non funzionare.

Innanzitutto, come hai dichiarato in base alla progettazione, non puoi eseguire il ping di un'interfaccia se provieni da un'altra interfaccia, questa è una funzionalità di sicurezza dell'ASA ed è completamente intesa in quel modo. Questa è talvolta nota come "Interfaccia Distante" - se ci pensi, è una buona cosa che non puoi eseguire il ping tra le interfacce, realisticamente non vorrai una cosa del genere anche se pensi che fai. Vorrei aggiungere che non può essere disabilitato.

In secondo luogo, senza alterare le tue regole di accesso non sarai in grado di raggiungere questo obiettivo. C'è una semplice ragione per questo, l'ASA ha qualcosa chiamato Modular Policy Framework questo è essenzialmente l'arresto di questa operazione. Per impostazione predefinita, MPF non ispezionerà il traffico ICMP; in sostanza, ciò significa che non sarai in grado di eseguire il ping o il traceroute dall'interno all'esterno. Ci sono due modi per ottenerlo.

  • Ispezione ICMP
  • regola di accesso per consentire risposte ping

Ispezionando il traffico ICMP questo consentirebbe successivamente questa funzione, in alternativa, è possibile aggiungere una regola di accesso per consentire il ritorno delle risposte al ping. Idealmente, si vorrebbe scegliere il primo perché è più sicuro. Se non stai ispezionando il traffico ICMP è possibile che qualcuno rilascino un attacco DoS ICMP altrimenti noto come " Ping flood "

Per l'ispezione del traffico ICMP, di seguito è riportato un esempio di come raggiungere questo obiettivo. 

SecSe# config t
SecSe(config)# policy-map global_policy
SecSe(config-pmap)#  class inspection_default
SecSe(config-pmap-c)# inspect icmp

Per quanto riguarda la seconda opzione, sarebbe sufficiente una semplice regola di accesso anche se, come ho detto, questo è un metodo sconsiderato. 

SecSe# config t
SecSe(config)# access-list OUTSIDE_IN permit icmp any any echo-reply
SecSe(config)# access-group OUTSIDE_IN in interface outside

In terzo luogo, per quanto riguarda il tuo punto finale, potresti avere un percorso statico, ma non funzionerà mai se non permetti il ritorno del traffico. Il problema, anche qui, è che avrai bisogno di una regola di accesso per consentire che il traffico nell'ASA, altrimenti lo caccerà perché è così che funziona un firewall.

Come ho detto per aiutarmi ho bisogno della tua configurazione, ma come ho detto questa è una domanda che sarebbe più adatta allo scambio di ingegneri di rete piuttosto che qui.

    
risposta data 25.05.2018 - 15:14
fonte

Leggi altre domande sui tag

OTP o Captcha o reCAPTHCA L'email è stata pubblicata con la chiave PGP?