отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
3764
Просмотры
0
Полезный материал
11
Ответы
djspy
Beginner

Проблема с входящим траффиком и ACL

ASA 5510 9.0 Sec plus

Есть несколько интерфейсов, на каждом разный уровень безопасности.

На каждом интерфейсе есть ACL.

Но внесто того чтобы разрешать входящие соединения на интерфейс он разрешает только исходящие.

Не понимаю в чём грабли!!!!!

DEV-ASA#   packet-tracer input DEV tcp 192.168.1.203 5000 192.168.16.254 53

Phase: 1

Type: ROUTE-LOOKUP

Subtype: input

Result: ALLOW

Config:

Additional Information:

in   192.168.16.0    255.255.255.0   DEV

Phase: 2

Type: ACCESS-LIST

Subtype:

Result: DROP

Config:

Implicit Rule

Additional Information:

Result:

input-interface: DEV

input-status: up

input-line-status: up

output-interface: DEV

output-status: up

output-line-status: up

Action: drop

Drop-reason: (acl-drop) Flow is denied by configured rule

DEV-ASA#   packet-tracer input PROD tcp 192.168.1.203 5000 192.168.16.254 53

Phase: 1

Type: ACCESS-LIST

Subtype:

Result: ALLOW

Config:

Implicit Rule

Additional Information:

MAC Access list

Phase: 2

Type: ROUTE-LOOKUP

Subtype: input

Result: ALLOW

Config:

Additional Information:

in   192.168.16.0    255.255.255.0   DEV

Phase: 3

Type: ACCESS-LIST

Subtype: log

Result: ALLOW

Config:

access-group PROD_access_in in interface PROD

access-list PROD_access_in extended permit ip 192.168.1.0 255.255.255.0 object-group NAVICON-DEV

object-group network NAVICON-DEV

network-object 192.168.19.0 255.255.255.0

network-object 192.168.20.0 255.255.255.0

network-object 192.168.16.0 255.255.255.0

network-object 192.168.18.0 255.255.255.0

Additional Information:

Phase: 4

Type: NAT

Subtype: per-session

Result: ALLOW

Config:

Additional Information:

Phase: 5

Type: IP-OPTIONS

Subtype:

Result: ALLOW

Config:

Additional Information:

Phase: 6

Type:

Subtype:

Result: ALLOW

Config:

Additional Information:

Phase: 7

Type: NAT

Subtype: per-session

Result: ALLOW

Config:

Additional Information:

Phase: 8

Type: IP-OPTIONS

Subtype:

Result: ALLOW

Config:

Additional Information:

Phase: 9

Type: FLOW-CREATION

Subtype:

Result: ALLOW

Config:

Additional Information:

New flow created with id 7607309, packet dispatched to next module

Result:

input-interface: PROD

input-status: up

input-line-status: up

output-interface: DEV

output-status: up

output-line-status: up

Action: allow

2 УТВЕРЖДЕН. РЕШЕН.

Утвержденные решения

В таком случае на DEV на вход разрешаете весь трафик ACL вида permit ip any any.

На PROD вешаете выходной ACL на out разрешающий требуемое и запрещающий все остальное

Пример

access-list PROD_access_out extended permit tcp object-group NAVICON-DEV host 192.168.1.101 eq domain

access-group PROD_access_out out interface PROD

Более подробно можно ознакомится здесь

http://www.cisco.com/en/US/docs/security/asa/asa90/configuration/guide/access_rules.html#wp1083569

Просмотреть решение в исходном сообщении

Есть еще один вариант

Модифицировать DEV_access_in  следующим образом

1) Разрешаем желаемое

2) Запрещаем остальной трафик  в сеть 192.168.1.0/24

3) Разрешаем весь трафик ANY

Как это выглядит на примере

access-list DEV_access_in extended permit tcp object-group NAVICON-DEV host 192.168.1.101 eq domain

access-list DEV_access_in extended deny ip any4 192.168.1.0 255.255.255.0

access-list DEV_access_in extended permit  ip any4 any4

access-group DEV_access_in in interface DEV

Данный ACL разрешает прохождение трафика только на  определенные хосты сети 192.168.1.0 и запрещает остальной трафик только в сеть 192.168.1.0/24

При этом пользователи сети DEV будут иметь доступ в интернет и только специфический доступ на ресурсы сети PROD

Просмотреть решение в исходном сообщении

11 ОТВЕТ 11
Irina Bukreeva
Beginner

Здесь либо проблема в маршрутизации, либо вы не так трафик направляете (не в тот интрефейс)

Сеть 192.168.16.0/24 лежит за интерфейсом DEV

Type: ROUTE-LOOKUP

in   192.168.16.0    255.255.255.0   DEV <---

У вас пакет входит в интерфейс DEV и выходит из интерфейса DEV, т.е входит и выходит через один и тот же интерфейс.

DEV-ASA#   packet-tracer input DEV tcp 192.168.1.203 5000 192.168.16.254 53 <---

По умолчанию это запрещено на ASA, о чем и сообщается

Result:

input-interface: DEV <---

output-interface: DEV <---

Action: drop

А здесь все верно. Пакет входит в интрефейса PROD и выходит из интрфейса DEV – результат ALLOW

DEV-ASA#   packet-tracer input PROD tcp 192.168.1.203 5000 192.168.16.254 53

Result:

input-interface: PROD

output-interface: DEV

Action: allow

Нужно защитить АCL сеть PROD, но почему то ACL срабатывают наоборот, они разрешают исходящий трафик, в место входящего.

Конфиг выглядит вот так:

ASA Version 9.0(1)

!

hostname DEV-ASA

enable password 8Ry2YjIyt7RRXU24 encrypted

xlate per-session deny tcp any4 any4

xlate per-session deny tcp any4 any6

xlate per-session deny tcp any6 any4

xlate per-session deny tcp any6 any6

xlate per-session deny udp any4 any4 eq domain

xlate per-session deny udp any4 any6 eq domain

xlate per-session deny udp any6 any4 eq domain

xlate per-session deny udp any6 any6 eq domain

passwd 2KFQnbNIdI.2KYOU encrypted

names

dns-guard

!

interface Ethernet0/0

no nameif

no security-level

no ip address

!

interface Ethernet0/0.15

vlan 150

nameif LAB-CLASS

security-level 20

ip address 192.168.15.254 255.255.255.0

!

interface Ethernet0/0.17

vlan 170

nameif DMZ

security-level 10

ip address 192.168.17.254 255.255.255.0

!

interface Ethernet0/0.19

vlan 190

nameif DEV

security-level 50

ip address 192.168.19.254 255.255.255.0

!

interface Ethernet0/1

nameif PROD

security-level 100

ip address 192.168.10.252 255.255.255.0

!

interface Ethernet0/2

shutdown

no nameif

no security-level

no ip address

!

interface Ethernet0/3

shutdown

no nameif

no security-level

no ip address

!

interface Management0/0

nameif Outside

security-level 0

ip address 91.212.158.122 255.255.255.252

!

ftp mode passive

clock timezone MSK 4

same-security-traffic permit inter-interface

same-security-traffic permit intra-interface

object network DMZ-NAT

subnet 192.168.17.0 255.255.255.0

object network LAB-CLASS-NAT

subnet 192.168.15.0 255.255.255.0

object network DEV-NAT

subnet 192.168.19.0 255.255.255.0

object network DEV-18

subnet 192.168.18.0 255.255.255.0

object network DEV-20

subnet 192.168.20.0 255.255.255.0

object network DEV-16

subnet 192.168.16.0 255.255.255.0

object-group network NAVICON-PROD

network-object 192.168.3.0 255.255.255.0

network-object 192.168.4.0 255.255.255.0

network-object 192.168.5.0 255.255.255.0

network-object 192.168.9.0 255.255.255.0

object-group network NAVICON-DEV

network-object 192.168.19.0 255.255.255.0

network-object 192.168.20.0 255.255.255.0

network-object 192.168.16.0 255.255.255.0

network-object 192.168.18.0 255.255.255.0

access-list DEV_access_in extended permit tcp object-group NAVICON-DEV host 192.168.1.101 eq domain

access-list DEV_access_in extended permit tcp object-group NAVICON-DEV host 192.168.1.101 eq 135

access-list DEV_access_in extended permit tcp object-group NAVICON-DEV host 192.168.1.101 eq ldap

access-list DEV_access_in extended permit udp object-group NAVICON-DEV host 192.168.1.101 eq 389

access-list DEV_access_in extended permit tcp object-group NAVICON-DEV host 192.168.1.101 eq ldaps

access-list DEV_access_in extended permit udp object-group NAVICON-DEV host 192.168.1.101 eq domain

access-list DEV_access_in extended permit tcp object-group NAVICON-DEV host 192.168.1.101 eq 3268

access-list DEV_access_in extended permit tcp object-group NAVICON-DEV host 192.168.1.101 eq 88

access-list DEV_access_in extended permit udp object-group NAVICON-DEV host 192.168.1.101 eq 88

access-list DEV_access_in extended permit tcp object-group NAVICON-DEV host 192.168.1.101 eq 445

access-list DEV_access_in extended permit tcp object-group NAVICON-DEV host 192.168.1.101 range 1024 5000

access-list DEV_access_in extended permit tcp object-group NAVICON-DEV host 192.168.1.101 range 49152 65535

access-list DEV_access_in extended permit tcp object-group NAVICON-DEV host 192.168.1.37 eq https

access-list DEV_access_in extended permit tcp object-group NAVICON-DEV host 192.168.1.104 range 1024 65535

access-list DEV_access_in extended permit tcp object-group NAVICON-DEV host 192.168.1.104 eq 5718

access-list DEV_access_in extended permit tcp object-group NAVICON-DEV host 192.168.1.104 eq 5719

access-list DEV_access_in extended permit tcp object-group NAVICON-DEV host 192.168.1.104 eq 445

access-list DEV_access_in extended permit tcp object-group NAVICON-DEV host 192.168.1.102 eq www

access-list DEV_access_in extended permit icmp any4 any4

access-list DEV_access_in extended deny ip any4 any4 inactive

access-list PROD_access_in extended permit ip 192.168.1.0 255.255.255.0 object-group NAVICON-DEV

access-list PROD_access_in extended permit ip object-group NAVICON-PROD object-group NAVICON-DEV

access-list PROD_access_in extended permit icmp any4 any4

access-list DEV_mpc extended permit ip object-group NAVICON-PROD object-group NAVICON-DEV

pager lines 24

logging enable

logging timestamp

logging monitor debugging

logging trap warnings

logging asdm debugging

logging host PROD 192.168.1.162

logging host PROD 192.168.1.160

no logging message 106015

no logging message 313001

no logging message 313008

no logging message 106023

no logging message 710003

no logging message 106100

no logging message 302015

no logging message 302014

no logging message 302013

no logging message 302018

no logging message 302017

no logging message 302016

no logging message 302021

no logging message 302020

flow-export destination PROD 192.168.1.160 2055

flow-export destination PROD 192.168.1.162 2055

flow-export destination PROD 192.168.1.91 2055

flow-export template timeout-rate 1

mtu DMZ 1500

mtu PROD 1500

mtu Outside 1500

mtu LAB-CLASS 1500

mtu DEV 1500

no failover

icmp unreachable rate-limit 10 burst-size 10

asdm image disk0:/asdm-702.bin

no asdm history enable

arp timeout 14400

no arp permit-nonconnected

!

object network DMZ-NAT

nat (DMZ,Outside) dynamic interface dns

object network LAB-CLASS-NAT

nat (LAB-CLASS,Outside) dynamic interface

object network DEV-NAT

nat (DEV,Outside) dynamic interface

object network DEV-18

nat (DEV,Outside) dynamic interface

object network DEV-20

nat (DEV,Outside) dynamic interface

object network DEV-16

nat (DEV,Outside) dynamic interface

access-group PROD_access_in in interface PROD

access-group DEV_access_in in interface DEV

!

router eigrp 150

no auto-summary

network 192.168.1.0 255.255.255.0

network 192.168.3.0 255.255.255.0

network 192.168.4.0 255.255.255.0

network 192.168.5.0 255.255.255.0

network 192.168.9.0 255.255.255.0

network 192.168.10.0 255.255.255.0

network 192.168.16.0 255.255.255.0

network 192.168.17.0 255.255.255.0

network 192.168.18.0 255.255.255.0

network 192.168.19.0 255.255.255.0

network 192.168.20.0 255.255.255.0

!

route Outside 0.0.0.0 0.0.0.0 91.212.158.121 1

route DEV 192.168.16.0 255.255.255.0 192.168.19.253 1

route DEV 192.168.18.0 255.255.255.0 192.168.19.253 1

route DEV 192.168.20.0 255.255.255.0 192.168.19.253 1

timeout xlate 3:00:00

timeout pat-xlate 0:00:30

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

timeout floating-conn 0:00:00

dynamic-access-policy-record DfltAccessPolicy

user-identity default-domain LOCAL

aaa authentication ssh console LOCAL

http server enable

http 192.168.1.0 255.255.255.0 Outside

http 192.168.1.203 255.255.255.255 PROD

snmp-server host PROD 192.168.1.114 community ***** version 2c

snmp-server host PROD 192.168.1.160 community ***** version 2c

snmp-server host PROD 192.168.1.162 community ***** version 2c

snmp-server host PROD 192.168.1.91 community ***** version 2c

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

crypto ipsec security-association pmtu-aging infinite

crypto ca trustpool policy

telnet timeout 5

ssh 192.168.1.203 255.255.255.255 PROD

ssh timeout 60

console timeout 0

dhcpd lease 86400

!

dhcpd address 192.168.17.1-192.168.17.250 DMZ

dhcpd dns 8.8.8.8 interface DMZ

dhcpd domain guest.local interface DMZ

dhcpd option 3 ip 192.168.17.254 interface DMZ

dhcpd enable DMZ

!

dhcpd address 192.168.15.1-192.168.15.250 LAB-CLASS

dhcpd dns 8.8.8.8 interface LAB-CLASS

dhcpd domain labclass.local interface LAB-CLASS

dhcpd option 3 ip 192.168.15.254 interface LAB-CLASS

dhcpd enable LAB-CLASS

!

dhcpd address 192.168.19.1-192.168.19.250 DEV

dhcpd dns 192.168.16.1 interface DEV

dhcpd lease 86400 interface DEV

dhcpd domain ncdev.ru interface DEV

dhcpd option 3 ip 192.168.19.254 interface DEV

dhcpd option 4 ip 192.168.1.101 interface DEV

dhcpd option 6 ip 192.168.16.1 interface DEV

dhcpd enable DEV

!

threat-detection basic-threat

threat-detection statistics

threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200

ntp server 192.168.1.254

username admin password swJzYmwoL0m9iqNh encrypted privilege 15

!

class-map DEV-class

match access-list DEV_mpc

class-map DM_INLINE_Child-Class

match any

class-map inspection_default

match default-inspection-traffic

!

!

policy-map DM_INLINE_Child-Policy

class DM_INLINE_Child-Class

  priority

policy-map global_policy

class inspection_default

  inspect ftp

  inspect h323 h225

  inspect h323 ras

  inspect rsh

  inspect rtsp

  inspect esmtp

  inspect xdmcp

  inspect netbios

  inspect tftp

  inspect ip-options

  inspect http

  inspect icmp

  inspect icmp error

  inspect ipsec-pass-thru

  inspect pptp

  inspect snmp

  inspect dns

class class-default

  flow-export event-type all destination 192.168.1.162 192.168.1.91 192.168.1.160

policy-map DEV-policy

description SHAPE

class DEV-class

  police input 25000000 15000

  police output 25000000 15000

!

service-policy global_policy global

service-policy DEV-policy interface DEV

prompt hostname context

no call-home reporting anonymous

call-home

profile CiscoTAC-1

  no active

  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService

  destination address email callhome@cisco.com

  destination transport-method http

  subscribe-to-alert-group diagnostic

  subscribe-to-alert-group environment

  subscribe-to-alert-group inventory periodic monthly

  subscribe-to-alert-group configuration periodic monthly

  subscribe-to-alert-group telemetry periodic daily

hpm topN enable

Это маршруты

C    192.168.15.0 255.255.255.0 is directly connected, LAB-CLASS

D EX 192.168.9.0 255.255.255.0 [170/3072] via 192.168.10.254, 51:51:31, PROD

C    192.168.10.0 255.255.255.0 is directly connected, PROD

D    192.168.4.0 255.255.255.0 [90/3072] via 192.168.10.254, 163:59:42, PROD

S    192.168.20.0 255.255.255.0 [1/0] via 192.168.19.253, DEV

D    192.168.5.0 255.255.255.0 [90/3072] via 192.168.10.254, 67:31:22, PROD

C    192.168.17.0 255.255.255.0 is directly connected, DMZ

S    192.168.16.0 255.255.255.0 [1/0] via 192.168.19.253, DEV

D    192.168.1.0 255.255.255.0 [90/3072] via 192.168.10.254, 166:55:18, PROD

C    192.168.19.0 255.255.255.0 is directly connected, DEV

C    91.212.158.120 255.255.255.252 is directly connected, Outside

S    192.168.18.0 255.255.255.0 [1/0] via 192.168.19.253, DEV

D    192.168.3.0 255.255.255.0 [90/3072] via 192.168.10.254, 146:23:03, PROD

S*   0.0.0.0 0.0.0.0 [1/0] via 91.212.158.121, Outside

Строчка

access-group PROD_access_in in interface PROD

означает, что ACL применяется к интерфейсу PROD на ВХОД. Т.е трафик входит в ASA со стороны  интерфейса PROD.

В данном случае ASA разрешает прохождение трафика,  попадающего в ACL PROD_access_in  и инициированного со стороны  интерфейса PROD.   Т.е разрешается прохождение из сети 192.168.1.0/24 и NAVICON-PROD  в сети описанные в NAVICON-DEV. Остальной трафик запрещен.

Уточните, что именно вы ходите запретить  (какой трафик, откуда и куда).

Если вы ходите ограничивать трафик в строну сетей которые лежат за интерфейсом PROD, вам нужно вешать либо входной ACL на интерфейсы DEV и Outside, либо выходдной ACL (out) на интерфейс PROD. К слову, так как уровень безопасности интерфейса PROD выше чем у DEV и Outside, трафик с этих интерфейсов в строну PROD запрещен по умолчанию и вам нужно вешать только разрешающие правила.

Защитить хочу интерфейс PROD, но по непонятной мне причине траффик не выходит без ACL из интерфейса PROD в интерфейс DEV, даже если на DEV разрешён трафик в обе стороны.

Уберите ACL с интерфейса PROD и весь трафик будет разрешен с этого интерфейса в любой другой с меньшим уровнем безопасности.

By default, there is an implicit permit from a higher security interface to a lower security interface (outbound). Hosts on the higher security interface can access any host on a lower security interface. You can limit access by applying an access list to the interface.

http://www.cisco.com/en/US/docs/security/asa/asa90/configuration/guide/interface_complete_routed.html#wp1323203

Для трафика с одинаковом уровнем безопасности или из меньшего в больший – обязательно требуется ACL.

Как только вы повесили ACL, неважно на какой интерфейс, то существует неявный deny в конце листа, который запрещает трафик.

http://www.cisco.com/en/US/docs/security/asa/asa90/configuration/guide/acl_overview.html#wp1077565

Если требуется что-то другое, уточните откуда и куда (IP адреса/IP сети) нужно разрешить или запретить.

Нужно защитить сеть 192.168.1.0/24 на определённые IP по определённым портам из сетей 192.168.16-20/24.

Для реализации, нужно создать ACL разрешающий  желаемый трафик и повесить его на интерфейс DEV на Вход. Так как данный трафик идет из менее секьюрного интерфейса в более секьюрный, по умолчанию (без ACL) такой трафик запрещен.

У вас уже есть в конфигурации входной ACL разрешающий какой-то трафик из сетей NAVICON-DEV в строну хостов 192.168.1.XX . Остальной трафик  запрещается.

access-group DEV_access_in in interface DEV

ACL на интерфейсе PROD контролирует трафик инициированный только со стороны сетей лежащих за интерфейсом PROD, т.е outbound (исходящий) трафик.

Что именно не работает или работает не так как ожидается?  Можно привести пример c packet-tracer. 

Не работает доступ в интернет из DEV сети

packet-tracer input DEV tcp 192.168.16.1 1065 8.8.8.8 53

Phase: 1

Type: ROUTE-LOOKUP

Subtype: input

Result: ALLOW

Config:

Additional Information:

in   0.0.0.0         0.0.0.0         Outside

Phase: 2

Type: ACCESS-LIST

Subtype:

Result: DROP

Config:

Implicit Rule

Additional Information:

Result:

input-interface: DEV

input-status: up

input-line-status: up

output-interface: Outside

output-status: up

output-line-status: up

Action: drop

Drop-reason: (acl-drop) Flow is denied by configured rule

В таком случае на DEV на вход разрешаете весь трафик ACL вида permit ip any any.

На PROD вешаете выходной ACL на out разрешающий требуемое и запрещающий все остальное

Пример

access-list PROD_access_out extended permit tcp object-group NAVICON-DEV host 192.168.1.101 eq domain

access-group PROD_access_out out interface PROD

Более подробно можно ознакомится здесь

http://www.cisco.com/en/US/docs/security/asa/asa90/configuration/guide/access_rules.html#wp1083569

Просмотреть решение в исходном сообщении

Есть еще один вариант

Модифицировать DEV_access_in  следующим образом

1) Разрешаем желаемое

2) Запрещаем остальной трафик  в сеть 192.168.1.0/24

3) Разрешаем весь трафик ANY

Как это выглядит на примере

access-list DEV_access_in extended permit tcp object-group NAVICON-DEV host 192.168.1.101 eq domain

access-list DEV_access_in extended deny ip any4 192.168.1.0 255.255.255.0

access-list DEV_access_in extended permit  ip any4 any4

access-group DEV_access_in in interface DEV

Данный ACL разрешает прохождение трафика только на  определенные хосты сети 192.168.1.0 и запрещает остальной трафик только в сеть 192.168.1.0/24

При этом пользователи сети DEV будут иметь доступ в интернет и только специфический доступ на ресурсы сети PROD

Просмотреть решение в исходном сообщении

stasvezhnin
Beginner

Как уже указали в этой теме - запрещен выход трафика с того же самого интерфейса на который этот трафик пришел. Исправить можно командой:
same-security-traffic permit intra-interface

Не удалось отобразить этот виджет.