ASA 8.3 et versions ultérieures : exemple de configuration de la temporisation de connexion SSH/Telnet/HTTP à l'aide de MPF

Options de téléchargement

PDF (407.8 KB)
Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
ePub (272.2 KB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
Mobi (Kindle) (582.4 KB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils

Mis à jour:17 juin 2011

ID du document:113051

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Table des matières

Introduction

Conditions préalables

Exigences

Composants utilisés

Conventions

Configurer

Diagramme du réseau

Configurations

Temporisation Ébryonique

Dépannage

Informations connexes

Introduction

Ce document fournit un exemple de configuration d’un délai d’attente spécifique à une application particulière (telle que SSH/Telnet/HTTP) par opposition à un délai d’attente qui s’applique à toutes les applications avec l’appliance de sécurité adaptable Cisco (ASA) version 8.3(1) et ultérieures. Cet exemple de configuration utilise le cadre de stratégie modulaire (MPF) introduit dans la version 7.0 de l'appliance de sécurité adaptatif Cisco (ASA). Référez-vous à Utilisation de Modular Policy Framework pour plus d'informations.

Dans cet exemple de configuration, Cisco ASA est configuré pour permettre à la station de travail (10.77.241.129) d'établir une connexion Telnet/SSH/HTTP avec le serveur distant (10.1.1.1) situé derrière le routeur. Un délai de connexion distinct au trafic Telnet/SSH/HTTP est également configuré. La valeur normale du délai d'attente de connexion continue d'être associée à timeout conn 1:00:00 pour tout autre trafic TCP.

Référez-vous à Exemple de configuration de PIX/ASA 7.x et versions ultérieures/FWSM : Set SSH/Telnet/HTTP Connection Timeout using MPF pour la même configuration sur Cisco ASA avec les versions 8.2 et antérieures.

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur la version 8.3(1) du logiciel Cisco ASA Security Appliance avec Adaptive Security Device Manager (ASDM) 6.3.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Configurer

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque : Utilisez l’outil de recherche de commandes (clients enregistrés seulement) pour en savoir plus sur les commandes employées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Remarque : les schémas d'adressage IP utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisées dans un environnement de laboratoire.

Configurations

Ce document utilise les configurations suivantes :

Configuration CLI
Configuration ASDM

Remarque : ces configurations CLI et ASDM s'appliquent au module FWSM (Firewall Service Module).

Configuration CLI

Configuration ASA 8.3(1)
ASA Version 8.3(1) ! hostname ASA domain-name nantes-port.fr enable password S39lgaewi/JM5WyY level 3 encrypted enable password 2KFQnbNIdI.2KYOU encrypted passwd 1mZfSd48bl0UdPgP encrypted no names dns-guard ! interface Ethernet0/0 nameif outside security-level 0 ip address 192.168.200.1 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 10.77.241.142 255.255.255.0 boot system disk0:/asa831-k8.bin ftp mode passive dns domain-lookup outside !--- Creates an object called DM_INLINE_TCP_1. This defines the traffic !--- that has to be matched in the class map. object-group service DM_INLINE_TCP_1 tcp port-object eq www port-object eq ssh port-object eq telnet access-list outside_mpc extended permit tcp host 10.77.241.129 any object-group DM_INLINE_TCP_1 pager lines 24 mtu inside 1500 mtu outside 1500 no failover no asdm history enable arp timeout 14400 nat (inside) 0 access-list inside_nat0_outbound access-group 101 in interface outside route outside 0.0.0.0 0.0.0.0 192.168.200.2 1 timeout xlate 3:00:00 !--- The default connection timeout value of one hour is applicable to !--- all other TCP applications. timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ! !--- Define the class map Cisco-class in order !--- to classify Telnet/ssh/http traffic when you use Modular Policy Framework !--- to configure a security feature. !--- Assign the parameters to be matched by class map. class-map Cisco-class match access-list outside_mpc class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp !--- Use the pre-defined class map Cisco-class* in the policy map.* policy-map Cisco-policy !--- Set the connection timeout under the class mode where !--- the idle TCP (Telnet/ssh/http) connection is disconnected. !--- There is a set value of ten minutes in this example. !--- The minimum possible value is five minutes. class Cisco-class set connection timeout idle 0:10:00 reset ! ! service-policy global_policy global !--- Apply the policy-map Cisco-policy* on the interface. !--- You can apply the service-policy command to any interface that !--- can be defined by the nameif command.* service-policy Cisco-policy interface outside end

Configuration ASA 8.3(1)

ASA Version 8.3(1) 
!
hostname ASA
domain-name nantes-port.fr
enable password S39lgaewi/JM5WyY level 3 encrypted
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 1mZfSd48bl0UdPgP encrypted
no names

dns-guard
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.200.1 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
ip address 10.77.241.142 255.255.255.0
 

boot system disk0:/asa831-k8.bin
ftp mode passive
dns domain-lookup outside


!--- Creates an object called DM_INLINE_TCP_1. This defines the traffic !--- that has to be matched in the class map.


object-group service DM_INLINE_TCP_1 tcp
 port-object eq www
 port-object eq ssh
 port-object eq telnet

access-list outside_mpc extended permit tcp host 10.77.241.129 any object-group DM_INLINE_TCP_1 


pager lines 24
mtu inside 1500
mtu outside 1500
no failover
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list inside_nat0_outbound
access-group 101 in interface outside

route outside 0.0.0.0 0.0.0.0 192.168.200.2 1
timeout xlate 3:00:00


!--- The default connection timeout value of one hour is applicable to !--- all other TCP applications.

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!


!--- Define the class map Cisco-class in order !--- to classify Telnet/ssh/http traffic when you use Modular Policy Framework !--- to configure a security feature. !--- Assign the parameters to be matched by class map.


class-map Cisco-class
 match access-list outside_mpc

class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp


!--- Use the pre-defined class map Cisco-class in the policy map. 


policy-map Cisco-policy


!--- Set the connection timeout under the class mode where !--- the idle TCP (Telnet/ssh/http) connection is disconnected. !--- There is a set value of ten minutes in this example. !--- The minimum possible value is five minutes.


 class Cisco-class
  set connection timeout idle 0:10:00 reset
!
!
service-policy global_policy global


!--- Apply the policy-map Cisco-policy on the interface. !--- You can apply the service-policy command to any interface that !--- can be defined by the nameif command.

service-policy Cisco-policy interface outside
end

Configuration ASDM

Complétez ces étapes afin de configurer le délai de connexion TCP pour le trafic Telnet, SSH et HTTP à l'aide de l'ASDM comme indiqué.

Remarque : référez-vous à Autoriser l'accès HTTPS pour ASDM pour les paramètres de base afin d'accéder au PIX/ASA via ASDM.

Choisissez Configuration > Firewall > Service Policy Rules et cliquez sur Add afin de configurer la règle de stratégie de service comme indiqué.
Dans la fenêtre Assistant Ajout de règle de stratégie de service - Stratégie de service, sélectionnez la case d'option en regard de Interface dans la section Créer une stratégie de service et appliquer à. Choisissez maintenant l'interface souhaitée dans la liste déroulante et fournissez un nom de stratégie. Le nom de stratégie utilisé dans cet exemple est Cisco-policy. Cliquez ensuite sur Next.
Créez un nom de mappage de classe Cisco-class et cochez la case Adresse IP source et de destination (utilise ACL) dans les critères de correspondance de trafic. Cliquez ensuite sur Next.
Dans la fenêtre Assistant Ajout de règle de stratégie de service - Correspondance du trafic - Adresse source et de destination, sélectionnez la case d'option en regard de Correspondance, puis fournissez l'adresse source et l'adresse de destination comme indiqué. Cliquez sur le bouton déroulant en regard de Service pour choisir les services requis.
Sélectionnez les services requis tels que telnet, ssh et http. Cliquez ensuite sur OK.
Configurez les délais. Cliquez sur Next (Suivant).
Choisissez Connection Settings afin de configurer le délai de connexion TCP comme 10 minutes. Cochez également la case Send reset to TCP endpoints before timeout. Cliquez sur Finish (Terminer).
Cliquez sur Apply afin d'appliquer la configuration à l'appliance de sécurité.

La configuration est terminée.

Temporisation Ébryonique

Une connexion embryonnaire est la connexion qui est à moitié ouverte ou, par exemple, la connexion en trois étapes n'est pas terminée pour elle. Il est défini comme délai SYN sur l'ASA. Par défaut, le délai d'attente SYN sur l'ASA est de 30 secondes. Voici comment configurer Embryonic Timeout :

access-list emb_map extended permit tcp any any 
 
class-map emb_map
match access-list emb_map
  
policy-map global_policy
class emb_map
set connection timeout embryonic 0:02:00
 
service-policy global_policy global

Dépannage

Si vous constatez que le délai de connexion ne fonctionne pas avec le MPF, vérifiez la connexion d'initiation TCP. Le problème peut être une inversion de l'adresse IP source et de destination, ou une adresse IP mal configurée dans la liste d'accès ne correspond pas dans le MPF pour définir la nouvelle valeur de délai d'attente ou pour modifier le délai d'attente par défaut pour l'application. Créez une entrée de liste d'accès (source et destination) en fonction de l'initiation de la connexion afin de définir le délai d'expiration de la connexion avec MPF.