Remote Desktop Protocol l'Appliance de Sécurité PIX ASA 7.x - Autoriser Remote Desktop Protocol à travers l'Appliance de Sécurité ccnp_cch

Sommaire  Introduction - Prérequis - Composants utilisés - Documents liés  Configuration - Schéma du réseau - Configurations  Résolution de problèmes ccnp_cch

Introduction ccnp_cch Ce document décrit comment autoriser les connexions RDP (Remote Desktop protocol) à travers l'appliance de sécurité Cisco. RDP est un protocole multi-canal qui permet à un utilisateur de se connecter avec un autre ordinateur qui opère avec Microsoft Terminal Services. des clients existent pour la majorité des versions de Windows et d'autres systèmes d'exploitation tels que Linux , FreeBSD et MAC OSX. Le serveur écoute sur le port TCP 3389 par défaut. Dans cet exemple de configuration, l'appliance de sécurité est configurée pour permet- tre à un client RDP sur Internet de se connecter à un serveur RDP sur l'interface inter- ne d l'appliance de sécurité. L'appliance de sécurité réalise de la traduction d'adresse et le client se connecte au host en utilisant une adresse IP externe avec un mapping statique. Prérequis Ce document présume que le pare-feu PIX est totalement opérationnel et configuré. De même toutes les configurations initiales sont effectuées et les hosts doivent avoir une connectivité de bout en bout. Composants utilisés Les informations présentées dans ce document sont basées sur l'appliance de sécurité PIX 500 avec un logiciel version 7.x. Produits liés  Cisco Adaptive Security Appliances (ASA) 5500 Series Security Appliance avec un logiciel version 7.x ccnp_cch

Configuration ccnp_cch Dans cette section sont présentées les informations nécessaires pour configurer l'appli- ance de sécurité pour autoriser le trafic RDP (Remote Desktop Protocol) à travers le pare-feu. Schéma du réseau Mappé à 192.168.1.5 Connexion RDP Inside Outside .1 .2 .1 .1 .2 .5 10.1.1.0/24 Internet 192.168.1.0/24 172.16.1.0/24 Note: Les systèmes d'adressage IP utilisés dans cette configuration ne sont pas routa- bles sur Internet. Ce sont des adresses conformes au RFC 1918 qui sont utilisées dans un environnement de laboratoire. Configurations Cette section montre la configuration de l'appliance de sécurité. Le trafic RDP issu du host 172.16.1.2 sur Internet est autorisé vers le host 10.1.1.5, du réseau interne, qui écoute sur le port 3389 au travers d'un mapping statique de l'adresse IP 192.168.1.5. Exécutez ces étapes:  Configurez le NAT statique pour rediriger le trafic RDP reçu sur l'interface outside vers le host interne.  Créez une liste de contrôle d'accès (ACL) qui autorise RDP et appliquez la à une interface. Note: comme NAT est réalisé par l'appliance de sécurité, l'ACL doit permettre l'accès à l'adresse IP mappée du serveur RDP et non à l'adresse réelle. Note: L'adresse IP (192.168.1.5) utilisée pour la correspondance statique doit être dans le même sous-réseau que l'adresse IP de l'interface outside. ccnp_cch

PIX pix#show running−config : Saved : PIX Version 7.2(1) ! hostname pixfirewall enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0 nameif inside security−level 100 ip address 10.1.1.1 255.255.255.0 interface Ethernet1 nameif outside security−level 0 ip address 192.168.1.2 255.255.255.0 access−group 110 in interface outside !−−− Cette liste d'accès autorise le trafic RDP issu de 172.16.1.2 !−−− vers la destination 192.168.1.5 avec le port TCP 3389. access−list 110 extended permit tcp host 172.16.1.2 host 192.168.1.5 eq 3389 !−−− L'instruction NAT static redirige le trafic destiné à !−−− l'adresse IP 192.168.1.5 vers l'adresse IP du host 10.1.1.5. static (inside,outside) 192.168.1.5 10.1.1.5 netmask 255.255.255.255 route outside 0.0.0.0 0.0.0.0 192.168.1.1 1 !−−− Partie supprimée. Note: Dans cette configuration d'ACL, "host 172.16.1.2" peut être remplacé par "any" pour autoriser l'accès au serveur RDP depuis Internet au sens large. Cela n'est pas recommandé, car cela pourrait permettre l'attaque du serveur RDP. En règle générale, créez des entrées d'ACLs aussi spécifiques que possible. Résolution de problèmes  Si un client ou un intervalle de clients ne peut pas se connecter au serveur RDP, assurez-vous que ces clients sont autorisés dans l'ACL sur l'interface interne.  Si aucun client ne peut se connecter au serveur RDP, assurez-vous que l'ACL qui est placée soit sur l'interface inside soit sur l'interface outside ne bloque pas le trafic de et vers le port 3389.  Si aucun client ne peut se connecter au serveur RDP, vérifiez si les paquets excè- dent ou la valeur maximum du MSS. Si cela est le cas, configurez MPF pour auto- ccnp_cch

riser les paquets avec un MSS plus grand pour résoudre le problème comme le montre cet exemple: pixfirewall(config)#access−list 110 extended permit tcp host 172.16.1.2 host 192.168.1.5 eq 3389 !−−− Cette commande est affichée sur deux lignes pour des !−−− raisons d'espace. tcp host 172.16.1.2 host 192.168.1.5 eq 80 ! pixfirewall(config)#class−map rdpmss pixfirewall(config−cmap)#match access−list 110 pixfirewall(config−cmap)#exit pixfirewall(config)#tcp−map mss−map pixfirewall(config−tcp−map)#exceed−mss allow pixfirewall(config−tcp−map)#exit pixfirewall(config)#policy−map rdpmss pixfirewall(config−pmap)#class rdpmss pixfirewall(config−pmap−c)#set connection advanced−options mss−map pixfirewall(config−pmap−c)#exit pixfirewall(config−pmap)#exit pixfirewall(config)#service−policy rdpmss interface outside Référez-vous à "Solution to Fragmentation Issues of PIX/ASA.7 and IOS:VPN Frag- mentation" pour apprendre les autres méthodes que vous pourrez utiliser pour ré- soudre le problème de MSS.  La session RDP expire après que la valeur de timeout par défaut de la session TCP expire. Pour résoudre ce problème, augmentez le timeout comme cela. timeout conn 10:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 Cette commande fixe le timeout à 10 heures. ccnp_cch