ASA 8.3 y versiones posteriores: Ejemplo de Configuración de Set SSH/Telnet/HTTP Connection Timeout con MPF

Opciones de descarga

PDF (408.2 KB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (270.8 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (582.3 KB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:17 de junio de 2011

ID del documento:113051

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Introducción

Prerequisites

Requirements

Componentes Utilizados

Convenciones

Configurar

Diagrama de la red

Configuraciones

Tiempo de espera ebriónico

Troubleshoot

Información Relacionada

Introducción

Este documento proporciona una configuración de ejemplo de Cisco Adaptive Security Appliance (ASA) con la versión 8.3(1) y posteriores de un tiempo de espera que es específico de una determinada aplicación como SSH/Telnet/HTTP, en comparación con uno que se aplica a todas las aplicaciones. Este ejemplo de configuración utiliza el Marco de políticas modulares (MPF) que se introdujo en la versión 7.0 del dispositivo de seguridad adaptable (ASA) de Cisco. Consulte Uso del Marco de Políticas Modular para obtener más información.

En esta configuración de ejemplo, Cisco ASA se configura para permitir que la estación de trabajo (10.77.241.129) utilice Telnet/SSH/HTTP para conectarse al servidor remoto (10.1.1.1) detrás del router. También se configura un tiempo de espera de conexión independiente para el tráfico Telnet/SSH/HTTP. El resto del tráfico TCP continúa teniendo el valor de tiempo de espera de conexión normal asociado con el tiempo de espera conn 1:00:00.

Consulte PIX/ASA 7.x y posterior/FWSM: Set SSH/Telnet/HTTP Connection Timeout using MPF Configuration Example para obtener la misma configuración en Cisco ASA con las versiones 8.2 y anteriores.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información de este documento se basa en la versión 8.3(1) del software Cisco ASA Security Appliance con Adaptive Security Device Manager (ASDM) 6.3.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use el Command Lookup Tool (únicamente clientes registrados) para obtener más información sobre los comandos que se utilizan en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Nota: Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son direcciones RFC 1918 que se han utilizado en un entorno de laboratorio.

Configuraciones

En este documento, se utilizan estas configuraciones:

Configuración de CLI
Configuración de ASDM

Nota: estas configuraciones de CLI y ASDM se aplican al módulo de servicio de firewall (FWSM).

Configuración de CLI

Configuración de ASA 8.3(1)
ASA Version 8.3(1) ! hostname ASA domain-name nantes-port.fr enable password S39lgaewi/JM5WyY level 3 encrypted enable password 2KFQnbNIdI.2KYOU encrypted passwd 1mZfSd48bl0UdPgP encrypted no names dns-guard ! interface Ethernet0/0 nameif outside security-level 0 ip address 192.168.200.1 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 10.77.241.142 255.255.255.0 boot system disk0:/asa831-k8.bin ftp mode passive dns domain-lookup outside !--- Creates an object called DM_INLINE_TCP_1. This defines the traffic !--- that has to be matched in the class map. object-group service DM_INLINE_TCP_1 tcp port-object eq www port-object eq ssh port-object eq telnet access-list outside_mpc extended permit tcp host 10.77.241.129 any object-group DM_INLINE_TCP_1 pager lines 24 mtu inside 1500 mtu outside 1500 no failover no asdm history enable arp timeout 14400 nat (inside) 0 access-list inside_nat0_outbound access-group 101 in interface outside route outside 0.0.0.0 0.0.0.0 192.168.200.2 1 timeout xlate 3:00:00 !--- The default connection timeout value of one hour is applicable to !--- all other TCP applications. timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ! !--- Define the class map Cisco-class in order !--- to classify Telnet/ssh/http traffic when you use Modular Policy Framework !--- to configure a security feature. !--- Assign the parameters to be matched by class map. class-map Cisco-class match access-list outside_mpc class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp !--- Use the pre-defined class map Cisco-class* in the policy map.* policy-map Cisco-policy !--- Set the connection timeout under the class mode where !--- the idle TCP (Telnet/ssh/http) connection is disconnected. !--- There is a set value of ten minutes in this example. !--- The minimum possible value is five minutes. class Cisco-class set connection timeout idle 0:10:00 reset ! ! service-policy global_policy global !--- Apply the policy-map Cisco-policy* on the interface. !--- You can apply the service-policy command to any interface that !--- can be defined by the nameif command.* service-policy Cisco-policy interface outside end

Configuración de ASA 8.3(1)

ASA Version 8.3(1) 
!
hostname ASA
domain-name nantes-port.fr
enable password S39lgaewi/JM5WyY level 3 encrypted
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 1mZfSd48bl0UdPgP encrypted
no names

dns-guard
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.200.1 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
ip address 10.77.241.142 255.255.255.0
 

boot system disk0:/asa831-k8.bin
ftp mode passive
dns domain-lookup outside


!--- Creates an object called DM_INLINE_TCP_1. This defines the traffic !--- that has to be matched in the class map.


object-group service DM_INLINE_TCP_1 tcp
 port-object eq www
 port-object eq ssh
 port-object eq telnet

access-list outside_mpc extended permit tcp host 10.77.241.129 any object-group DM_INLINE_TCP_1 


pager lines 24
mtu inside 1500
mtu outside 1500
no failover
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list inside_nat0_outbound
access-group 101 in interface outside

route outside 0.0.0.0 0.0.0.0 192.168.200.2 1
timeout xlate 3:00:00


!--- The default connection timeout value of one hour is applicable to !--- all other TCP applications.

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!


!--- Define the class map Cisco-class in order !--- to classify Telnet/ssh/http traffic when you use Modular Policy Framework !--- to configure a security feature. !--- Assign the parameters to be matched by class map.


class-map Cisco-class
 match access-list outside_mpc

class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp


!--- Use the pre-defined class map Cisco-class in the policy map. 


policy-map Cisco-policy


!--- Set the connection timeout under the class mode where !--- the idle TCP (Telnet/ssh/http) connection is disconnected. !--- There is a set value of ten minutes in this example. !--- The minimum possible value is five minutes.


 class Cisco-class
  set connection timeout idle 0:10:00 reset
!
!
service-policy global_policy global


!--- Apply the policy-map Cisco-policy on the interface. !--- You can apply the service-policy command to any interface that !--- can be defined by the nameif command.

service-policy Cisco-policy interface outside
end

Configuración de ASDM

Complete estos pasos para configurar el tiempo de espera de la conexión TCP para el tráfico Telnet, SSH y HTTP usando ASDM como se muestra.

Nota: Refiérase a Cómo Permitir el Acceso HTTPS para ASDM para obtener las configuraciones básicas para acceder al PIX/ASA a través de ASDM.

Elija Configuration > Firewall > Service Policy Rules y haga clic en Agregar para configurar la regla de política de servicio como se muestra.
En la ventana Asistente de Agregar Regla de Política de Servicio - Política de Servicio, elija el botón de opción junto a Interfaz en la sección Crear una Política de Servicio y Aplicar a. Ahora elija la interfaz que desee en la lista desplegable y proporcione un nombre de política. El nombre de política utilizado en este ejemplo es Cisco-policy. A continuación, haga clic en Next.
Cree un nombre de mapa de clase Cisco-class y marque la casilla de verificación Source and Destination IP address (uses ACL) en los Criterios de coincidencia de tráfico. A continuación, haga clic en Next.
En la ventana Asistente para agregar reglas de directiva de servicio - Coincidencia de tráfico - Dirección de origen y de destino, elija el botón de opción junto a Coincidencia y, a continuación, proporcione la dirección de origen y de destino como se muestra. Haga clic en el botón desplegable junto a Servicio para elegir los servicios requeridos.
Seleccione los servicios requeridos como telnet, ssh y http. A continuación, haga clic en Aceptar.
Configure los tiempos de espera. Haga clic en Next (Siguiente).
Elija Connection Settings para configurar el tiempo de espera de la conexión TCP como 10 minutos. Además, marque la casilla de verificación Send reset to TCP endpoints before timeout. Haga clic en Finish (Finalizar).
Haga clic en Apply para aplicar la configuración al Dispositivo de Seguridad.

Esto completa la configuración.

Tiempo de espera ebriónico

Una conexión embrionaria es la conexión que está medio abierta o, por ejemplo, el protocolo de enlace de tres vías no se ha completado para ella. Se define como tiempo de espera SYN en el ASA. De forma predeterminada, el tiempo de espera SYN en el ASA es de 30 segundos. Así es como se configura el tiempo de espera embrionario:

access-list emb_map extended permit tcp any any 
 
class-map emb_map
match access-list emb_map
  
policy-map global_policy
class emb_map
set connection timeout embryonic 0:02:00
 
service-policy global_policy global

Troubleshoot

Si descubre que el tiempo de espera de la conexión no funciona con el MPF, verifique la conexión de iniciación TCP. El problema puede ser una inversión de la dirección IP de origen y de destino, o una dirección IP mal configurada en la lista de acceso no coincide en el MPF para establecer el nuevo valor de tiempo de espera o para cambiar el tiempo de espera predeterminado para la aplicación. Cree una entrada de la lista de acceso (origen y destino) de acuerdo con la iniciación de la conexión para establecer el tiempo de espera de la conexión con MPF.