Ce document fournit un exemple de configuration d’un délai d’attente spécifique à une application particulière (telle que SSH/Telnet/HTTP) par opposition à un délai d’attente qui s’applique à toutes les applications avec l’appliance de sécurité adaptable Cisco (ASA) version 8.3(1) et ultérieures. Cet exemple de configuration utilise le cadre de stratégie modulaire (MPF) introduit dans la version 7.0 de l'appliance de sécurité adaptatif Cisco (ASA). Référez-vous à Utilisation de Modular Policy Framework pour plus d'informations.
Dans cet exemple de configuration, Cisco ASA est configuré pour permettre à la station de travail (10.77.241.129) d'établir une connexion Telnet/SSH/HTTP avec le serveur distant (10.1.1.1) situé derrière le routeur. Un délai de connexion distinct au trafic Telnet/SSH/HTTP est également configuré. La valeur normale du délai d'attente de connexion continue d'être associée à timeout conn 1:00:00 pour tout autre trafic TCP.
Référez-vous à Exemple de configuration de PIX/ASA 7.x et versions ultérieures/FWSM : Set SSH/Telnet/HTTP Connection Timeout using MPF pour la même configuration sur Cisco ASA avec les versions 8.2 et antérieures.
Aucune exigence spécifique n'est associée à ce document.
Les informations contenues dans ce document sont basées sur la version 8.3(1) du logiciel Cisco ASA Security Appliance avec Adaptive Security Device Manager (ASDM) 6.3.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Remarque : Utilisez l’outil de recherche de commandes (clients enregistrés seulement) pour en savoir plus sur les commandes employées dans cette section.
Ce document utilise la configuration réseau suivante :
Remarque : les schémas d'adressage IP utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisées dans un environnement de laboratoire.
Ce document utilise les configurations suivantes :
Remarque : ces configurations CLI et ASDM s'appliquent au module FWSM (Firewall Service Module).
Configuration ASA 8.3(1) |
---|
ASA Version 8.3(1) ! hostname ASA domain-name nantes-port.fr enable password S39lgaewi/JM5WyY level 3 encrypted enable password 2KFQnbNIdI.2KYOU encrypted passwd 1mZfSd48bl0UdPgP encrypted no names dns-guard ! interface Ethernet0/0 nameif outside security-level 0 ip address 192.168.200.1 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 10.77.241.142 255.255.255.0 boot system disk0:/asa831-k8.bin ftp mode passive dns domain-lookup outside !--- Creates an object called DM_INLINE_TCP_1. This defines the traffic !--- that has to be matched in the class map. object-group service DM_INLINE_TCP_1 tcp port-object eq www port-object eq ssh port-object eq telnet access-list outside_mpc extended permit tcp host 10.77.241.129 any object-group DM_INLINE_TCP_1 pager lines 24 mtu inside 1500 mtu outside 1500 no failover no asdm history enable arp timeout 14400 nat (inside) 0 access-list inside_nat0_outbound access-group 101 in interface outside route outside 0.0.0.0 0.0.0.0 192.168.200.2 1 timeout xlate 3:00:00 !--- The default connection timeout value of one hour is applicable to !--- all other TCP applications. timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ! !--- Define the class map Cisco-class in order !--- to classify Telnet/ssh/http traffic when you use Modular Policy Framework !--- to configure a security feature. !--- Assign the parameters to be matched by class map. class-map Cisco-class match access-list outside_mpc class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp !--- Use the pre-defined class map Cisco-class in the policy map. policy-map Cisco-policy !--- Set the connection timeout under the class mode where !--- the idle TCP (Telnet/ssh/http) connection is disconnected. !--- There is a set value of ten minutes in this example. !--- The minimum possible value is five minutes. class Cisco-class set connection timeout idle 0:10:00 reset ! ! service-policy global_policy global !--- Apply the policy-map Cisco-policy on the interface. !--- You can apply the service-policy command to any interface that !--- can be defined by the nameif command. service-policy Cisco-policy interface outside end |
Complétez ces étapes afin de configurer le délai de connexion TCP pour le trafic Telnet, SSH et HTTP à l'aide de l'ASDM comme indiqué.
Remarque : référez-vous à Autoriser l'accès HTTPS pour ASDM pour les paramètres de base afin d'accéder au PIX/ASA via ASDM.
Choisissez Configuration > Firewall > Service Policy Rules et cliquez sur Add afin de configurer la règle de stratégie de service comme indiqué.
Dans la fenêtre Assistant Ajout de règle de stratégie de service - Stratégie de service, sélectionnez la case d'option en regard de Interface dans la section Créer une stratégie de service et appliquer à. Choisissez maintenant l'interface souhaitée dans la liste déroulante et fournissez un nom de stratégie. Le nom de stratégie utilisé dans cet exemple est Cisco-policy. Cliquez ensuite sur Next.
Créez un nom de mappage de classe Cisco-class et cochez la case Adresse IP source et de destination (utilise ACL) dans les critères de correspondance de trafic. Cliquez ensuite sur Next.
Dans la fenêtre Assistant Ajout de règle de stratégie de service - Correspondance du trafic - Adresse source et de destination, sélectionnez la case d'option en regard de Correspondance, puis fournissez l'adresse source et l'adresse de destination comme indiqué. Cliquez sur le bouton déroulant en regard de Service pour choisir les services requis.
Sélectionnez les services requis tels que telnet, ssh et http. Cliquez ensuite sur OK.
Configurez les délais. Cliquez sur Next (Suivant).
Choisissez Connection Settings afin de configurer le délai de connexion TCP comme 10 minutes. Cochez également la case Send reset to TCP endpoints before timeout. Cliquez sur Finish (Terminer).
Cliquez sur Apply afin d'appliquer la configuration à l'appliance de sécurité.
La configuration est terminée.
Une connexion embryonnaire est la connexion qui est à moitié ouverte ou, par exemple, la connexion en trois étapes n'est pas terminée pour elle. Il est défini comme délai SYN sur l'ASA. Par défaut, le délai d'attente SYN sur l'ASA est de 30 secondes. Voici comment configurer Embryonic Timeout :
access-list emb_map extended permit tcp any any class-map emb_map match access-list emb_map policy-map global_policy class emb_map set connection timeout embryonic 0:02:00 service-policy global_policy global
Si vous constatez que le délai de connexion ne fonctionne pas avec le MPF, vérifiez la connexion d'initiation TCP. Le problème peut être une inversion de l'adresse IP source et de destination, ou une adresse IP mal configurée dans la liste d'accès ne correspond pas dans le MPF pour définir la nouvelle valeur de délai d'attente ou pour modifier le délai d'attente par défaut pour l'application. Créez une entrée de liste d'accès (source et destination) en fonction de l'initiation de la connexion afin de définir le délai d'expiration de la connexion avec MPF.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
13-Jun-2011 |
Première publication |