Valider les services VoIP (SIP, H323, MGCP,SCCP) PIX ASA 7.x - Valider les services VoIP (SIP, H323, MGCP,SCCP) ccnp_cch
Sommaire • Rappel • Configuration • Vérification • Introduction - Prérequis - Composants utilisés - Produits liés • Rappel - SIP - MGCP - H323 - SCCP • Configuration - Schéma du réseau pour SIP - Configuration pour SIP - Schéma du réseau pour MGCP,H323 et SCCP - Configuration pour MGCP - Configuration pour H323 - Configuration pour SCCP • Vérification ccnp_cch
Introduction ccnp_cch Ce document décrit comment autoriser le trafic des protocoles VoIP sur l'interface externe et valider l'inspection pour chaque protocole dans les appliances Cisco PIX et ASA. Voici ces protocoles: SIP (Session Initiation Protocol) - SIP est un protocole de contrôle (signalisation) de couche application qui crée, modifie et termine des sessions entre un ou plu- sieurs utilisateurs participants. Ces sessions comprennent des communications téléphoniques Internet, de la distribution multimédia et les conférences multimédia. SIP comme cela est défini par l'IETF ( Internet Engineering Task Force) permet des communications VoIP. SIP fonctionne aussi avec SDP (Session Description Protocol) pour la signalisation des appels. SDP spécifie les détails du flux du média. L'appli- ance de sécurité peut supporter toute les passerelles SIP quand SIP est utilisé. SIP et SDP sont définis par ces RFCs: SIP : Session Initiation Protocol, RFC 3261 SDP : Session Description Protocol, RFC 2327 Pour supporter les communications SIP à travers l'appliance de sécurité, les mes- sages de signalisation pour les adresses de connexion média, les ports média et les connexions embryonnaires pour le média doivent être inspectées. Ceci est du au fait que la signalisation est transmise sur un port destination reconnu ( Port UDP/TCP 5060), les flux média sont alloués dynamiquement. Ainsi, SIP embarque les adresses IP dans la partie données utilisateur du paquet IP. L'inspection SIP applique NAT pour ces adresses IP embarquées. Note: Si une extrémité distante tente de s'enregistrer avec un proxy SIP sur un ré- seau protégé par l'appliance de sécurité, l'enregistrement échoue à cause de condi- tions très particulières. Ces conditions sont réunies quand PAT (Port Address Trans- lation) est configuré pour l'extrémité distante, le serveur d'enregistrement SIP est sur le réseau externe et quand le port manque dans le champ contact du message REGISTER transmis par l'extrémité vers le serveur Proxy. MGCP (Media Gateway Control Protocol) - MGCP est un protocole de contrôle de communication client-serveur construit sur une architecture de contrôle centralisée. Toute l'information de plan de numérotation réside sur un agent d'appel séparé. L'agent d'appel qui contrôle les ports sur la passerelle réalise le contrôle de commu- nication. La passerelle réalise la traduction du média entre le RTPC (Réseau Télé- phonique Public Commuté) et les réseaux VoIP pour les communications externes. Dans un réseau basé sur Cisco, les CallManager fonctionnent comme des agents d'appel. MGCP est un standard IETF qui est défini par plusieurs RFCs telles que RFC 2705 et RFC 3435. Ses capacités peuvent être étendues par l'utilisation de paquetages qui comprennent par exemple la gestion des tonalités (DTMF), RTP sécurisé, main- tient d'appel et transfert d'appel. ccnp_cch
Une passerelle MGCP est relativement aisée à configurer Une passerelle MGCP est relativement aisée à configurer. Parce que l'agent d'agent d'appel a toute l'intelligence du routage de l'appel, vous n'avez pas besoin de confi- gurer la passerelle avec toutes les extrémités de communication qui auraient du être nécessaires. La contrepartie est qu'un agent d'appel doit toujours être disponible. Les passerelles MGCP Cisco peuvent utiliser SRST (Survivable Remote Stie TelePho- ny) et MGCP Fallback pour permettre au protocole H.323 de prendre place et fournir du routage d'appel local en l'absence du CallManager. Dans ce cas, vous devez con- figurer des extrémités de communication sur la passerelle pour qu'elles soient utili- sées par H.323. H323 - L'inspection H.323 fournit le support pour les applications conformes à la norme H.323 telles Cisco CallManager et VocalTec Gatekeeper. H.323 est une suite de protocoles définie par l'UIT-T (Union Internationale des Télécommunications) pour des conférences multimédia sur des LANs. L'appliance de sécurité supporte H.323 au travers de la version 4 qui comprend la fonctionnalité H.323-v3 "Multiple Calls on One Call Signaling Channel". Avec l'inspection H.323 validée, l'appliance de sécurité supporte des communications multiples sur le même canal de signalisation, une fonctionnalité introduite avec la version 3 de H.323. Cette fonctionnalité réduit le temps d'établissement d'appel et réduit l'utilisation de ports avec l'appliance de sécurité. Voici les deux fonctions majeures de l'inspection H.323: Appliquer NAT sur les adresses IPv4 embarquées dans les messages H.225 et H.245. comme les messages H.323 sont encodés au format PER, l'appliance de sécurité utilise ASN.1 pour décoder les messages H.323. Allouer dynamiquement les connexions négociées par H.245 et RTP/RTCP SCCP ( Skinny Client Control Protocol) - SCCP est un protocole simplifié utilisé dans les réseaux VoIP. Les IP Phones Cisco qui utilisent SCCP peuvent coexister dans un environnement H.323. Quand ils sont utilisés avec Cisco CallManager, le client SCCP peut interopérer avec des terminaux conformes à H.323. Les fonctions de la couche application dans l'appliance de sécurité reconnaissent la version 3.3 de SCCP. La fonctionnalité du logiciel de couche application assure que tous les pa- quets de signalisation SCCP et de média peuvent traverser l'appliance de sécurité en appliquant NAT aux paquets de signalisation SCCP. Il y a 5 versions du protocole SCCP : 2.4, 3.0.4, 3.1.1, 3.2 et 3.3.2. L'appliance de sécurité supporte toutes les versions jusqu'à la version 3.3.2. L'appliance de sécurité fournit le support NAT et PAT pour SCCP. PAT est nécessaire si vous avez un nom- bre limité d'adresses IP globales pour l'utilisation des IP Phones. Le trafic normal entre le Cisco CallManager et les IP Phones Cisco utilise SCCP et est géré par l'inspection SCCP sans configuration spéciale. L'appliance de sécurité sup- porte également les options DHCP 150 et 66 qui permettent à l'appliance de sécurité de transmettre la localisation d'un serveur TFTP aux IP Phones Cisco et à d'autres clients DHCP. ccnp_cch
Prérequis Ce document suppose que la configuration VPN nécessaire est faite sur tous les équi- pements et fonctionne correctement. Référez-vous à "PIX/ASA 7.x Security Appliance to an IOS Router LAN−to−LAN IPsec Tunnel Configuration Example" pour en apprendre plus sur la configuration VPN. Référez-vous à "PIX/ASA 7.x: Enable Communication Between Interfaces" pour plus d'information sur comment valider la communication entre interface. Composants utilisés Les informations présentées dans ce document sont basées sur Cisco 5500 Series Adaptive Security Appliance (ASA) qui opère avec le logiciel version 7.x. Produits liés Cette configuration peut être également utilisée avec Cisco Firewall PIX Series 500 qui opère avec un logiciel version 7.x. Rappel SIP L'inspection SIP applique NAT aux messages SIP basés texte, recalcule la longueur du contenu pour la portion SDP du message et recalcule la longueur du paquet et la checksum. L'inspection ouvre dynamiquement les connexions média pour les ports spécifiés dans la partie du message SIP comme les adresses/ports sur lesquels l'ex- trémité doit écouter. L'inspection SIP a une base de données avec les indices CALL-ID/FROM/TO à partir de la charge utile SIP qui identifie la communication, comme également la source et la destination. Sont contenus dans cette base de données les adresses média et les ports média qui étaient contenus dans les champs d'information SIP média et type de média. Il peut y avoir de multiples adresses média et ports pour une session. Les con- nexions RTP/RTCP sont ouvertes entre les deux extrémités en utilisant ces adresses et port média. Le port reconnu 5060 doit être utilisé dans le message d'appel initial (INVITE). Cepen- dant, les messages suivants pourraient avoir un autre numéro de port. Le moteur d'inspection SIP ouvre des trous de passage pour les connexions de signalisation et marque ces connexions comme connexions SIP. Ceci est fait pour les messages qui doivent atteindre l'application SIP et subir NAT. Dès qu'une connexion SIP est établie, la session SIP est placée dans un état transi- toire. Cet état persiste jusqu'à ce qu'un message de réponse soit reçu et indique l'a- dresse média RTP et le port sur lequel l'extrémité destination écoute. S'il y a un pro- blème pour recevoir les messages de réponse dans la minute qui suit, la connexion de signalisation est effacée. ccnp_cch
Une fois que l'échange final est fait, l'état de la communication passe "active" et la connexion de signalisation persiste jusqu'à ce qu'un message BYE soit reçu. Si une extrémité interne initie une communication vers une extrémité externe, une passage média est ouvert vers l'interface externe pour permettre aux paquets RTP/ RTCP UDP de s'écouler vers l'adresse et le port média de l'extrémité spécifiés dans le message INVITE à partir de l'extrémité interne. Les paquets RTP/RTCP UDP non solli- cités vers une interface interne ne traverserons pas l'appliance de sécurité sauf si la configuration de l'appliance de sécurité l'autorise de manière explicite. Les connexions média sont libérées dans les deux minutes après que la connexion soit passée libre. C'est un timeout configurable et il peut être fixé pour un temps plus court ou plus long. MGCP Pour utiliser MGCP, vous avez usuellement besoin de configurer au moins deux com- mandes d'inspection: une pour le port sur lequel la passerelle reçoit des commandes et une pour le port sur lequel l'agent d'appel reçoit les commandes. Normalement un agent d'appel transmet des commandes au port MGCP par défaut 2427 pour les pas- serelles et une passerelle transmet des commandes au port MGCP par défaut 2427 pour les agents d'appel. Les messages MGCP sont transmis au-dessus de UDP. Une réponse est transmise en arrière vers l'adresse IP source (adresse IP et numéro de port UDP) mais la réponse peut arriver d'une autre adresse que celle utilisée pour la commande. Ceci peut se produire quand plusieurs agents d'appel sont utilisés dans une configuration de se- cours et l'agent d'appel qui a reçu la commande a passé le contrôle à l'agent de se- cours qui ensuite transmet la réponse. H.323 La pile de protocoles H.323 peut utiliser de manière collective jusqu'à deux ports TCP et quatre à connexions UDP. FastConnect utilise une seule connexion TCP et le RAS (Registration , Admission et Status) utilise une seule connexion UDP pour l'enregistre- ment, l'admission et l'état. Un client H.323 peut initialement établir une connexion TCP vers un serveur H.323 en utilisant le port TCP 1720 pour une requête d'établissement d'appel Q.931. Com- me partie du processus d'établissement d'appel, le terminal H.323 fournit un numéro de port au client pour qu'il soit utilisé pour une connexion TCP H.245. Dans les en- vironnements H.323 dans lesquels un "gatekeeper" est utilisé, le paquet initial est transmis en utilisant UDP. L'inspection H.323 surveille la connexion TCP Q.931 pour déterminer le numéro de port H.245. Si les terminaux H.323 n'utilisent pas FastConnect, l'appliance de sécu- rité alloue dynamiquement la connexion H.245 basée sur l'inspection des messages H.225. Dans chaque message H.245, les extrémités H.323 échangent les numéros de ports qui sont utilisés pour les flux de données UDP qui suivent. L'inspection H.323 ccnp_cch
inspecte les messages H inspecte les messages H.245 pour identifier les ports et créer dynamiquement les con- nexions pour le média d'échange. RTP utilise le numéro de port négocié tandis que RTCP utilise le numéro de port suivant. Le canal de contrôle H.323 gère H.225, H.245 et le RAS H.323. l'inspection H.323 utilise ces ports: Port UDP 1718 - Découverte du Gatekeeper Port UDP 1719 - RAS Port TCP 1720 - Port de contrôle Vous devez permettre le trafic pour le port H.323 reconnu 1720 pour la signalisation d'appel. Cependant, les ports de signalisation H.245 sont négociés entre extrémités dans la signalisation H.225. Quand un Gatekeeper H.323 est utilisé, l'appliance de sécurité ouvre une connexion H.225 basée sur l'inspection du message Amission Control (ACF). Après que les messages H.225 aient été inspectés, l'appliance de sécurité ouvre un canal H.245 et ensuite inspecte le trafic transmis sur le canal H.245. Tous les messa- ges H.245 qui passent par l'appliance de sécurité subissent l'inspection de l'applica- tion H.245 laquelle traduit les adresses IP embarquées et ouvre les canaux média né- gociés dans les messages H.245. Le standard UIT-T H.323 requiert que l'en-tête TPKT (Transport Protocol data unit packet) qui définit la longueur du message, précède H.225 et H.245 avant avant d'être passé sur une connexion fiable. Comme l'en-tête TPKT n'a pas nécessairement besoin d'être transmis dans le même paquet que les messages H.225 et H.245, l'appliance de sécurité doit se rappeler de la longueur TPKT pour traiter et décoder correctement les messages. Pour chaque connexion, l'appliance de sécurité garde un enregistrement de la longueur TPKT pour le message suivant. Si l'appliance de sécurité a besoin d'exécuter NAT sur les adresses IP dans les messa- ges, elle change la checksum, la longueur UUIE et le TPKT si celui-ci est inclus dans le paquet avec le message H.225. Si le TPKT est transporté dans un paquet séparé, l'appliance de sécurité génère des acquittements (ACK) pour ce TPKT et ajoute un nouveau TPKT au message H.245 avec la nouvelle longueur. SCCP Pour les topologies dans lesquelles le CallManager Cisco est situé sur l'interface de sécurité la plus élevée, en regard des IP Phones si NAT est requis pour l'adresse IP du CallManager, le mapping doit être statique car un IP Phone Cisco demande à ce l'a- dresse IP du CallManager soit spécifiée explicitement dans sa configuration. Une en- trée d'identité statique permet au CallManager Cisco situé sur une interface de sécu- rité élevée d'accepter des enregistrements venant des IP Phones Cisco. Les IP Phones Cisco ont besoin d'un accès TFTP pour télécharger la configuration dont ils ont besoin pour se connecter au serveur Cisco CallManager. Quand les IP Phones Cisco sont sur une interface de sécurité plus faible comparée au serveur TFTP, vous devez utiliser une liste d'accès pour se connecter au serveur TFP ccnp_cch
protégé sur le port UDP 69. Comme vous n'avez pas besoin d'entrée statique pour le serveur TFTP, il n'y a pas besoin d'identité statique. Quand NAT est utilisé, une entrée d'identité statique correspond à la même adresse IP. Quand PAT est utilisé, il fait cor- respondre avec la même adresse IP et le même port. Quand les IP Phones Cisco sont sur une interface de sécurité élevée par rapport au CallManager cisco et au serveur TFTP, aucune liste d'accès ou entrée statique n'est requise pour permettre aux IP Phones de Cisco d'initier la connexion. Configuration Dans cette section sont présentées les informations nécessaires pour la configuration des fonctionnalités décrites dans ce document. Schéma du réseau pour SIP 10.1.1.0/24 10.2.2.0/24 Routeur Internet .1 .2 Serveur Proxy 10.1.1.0/24 172.16.1.5/24 Tunnel VPN IPSec Configuration pour SIP Cette section utilise ces configurations L'appliance de sécurité supporte l'inspection d'application au travers de la fonction Adaptive Security Algorithm. Au travers de l'inspection stateful d'application utilisée par l'Adaptive Security Algorithm, l'appliance de sécurité trace chaque connexion qui traverse le pare-feu et s'assure qu'elles sont valides. Le pare-feu au travers de l'inspec- tion stateful supervise également l'état de la connexion pour rassembler des informa- tions et les placer dans une table d'états. Avec l'utilisation de la table d'états en plus des règles définies par l'administrateur, les décisions de filtrage sont basées sur un contexte qui est établi sur la base des paquets qui ont déjà traversé la pare-feu. L'im- plémentation de l'inspection d'application consiste en ces actions: Identifier le trafic Appliquer les inspections au trafic Activez les inspections sur une interface ccnp_cch
Configuration de l'ASA pour SIP Configuration de l'inspection de base SIP Par défaut la configuration inclut une politique qui correspond à toute inspection d'application par défaut et applique l'inspection au trafic sur toutes les interfaces (politique globale). L'inspection de trafic d'application par défaut inclut le trafic vers les ports par défaut du protocole. Vous pouvez appliquer une seule politique globale. Par conséquent si vous voulez modifier la politique globale, par exemple pour appliquer l'inspection à des ports non-standards ou ajouter des inspections qui ne sont pas vali- dées par défaut, vous devez soit éditer la politique par défaut ou la dévalider et en appliquer une nouvelle. Pour une liste de tous les ports par défaut, référez-vous à "Default Inspection Policy" 1. Entrez la commande policy−map global_policy. ASA5510(config)#policy−map global_policy 2. Entrez la commande class inspection_default. ASA5510(config−pmap)#class inspection_default 3. Entrez la commande inspect sip. ASA5510(config−pmap−c)#inspect sip Configuration de l'ASA pour SIP ASA Version 7.2(1)24 ! ASA5510 ASA5510 enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0/0 nameif inside security−level 100 ip address 10.1.1.1 255.255.255.0 interface Ethernet0/1 nameif outside security−level 0 ip address 172.16.1.2 255.255.255.0 !−−− Partie supprimée. ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive !−−− Commande pour autoriser le trafic SIP entrant. access−list 100 extended permit tcp 10.2.2.0 255.255.255.0 host 172.16.1.5 eq sip pager lines 24 mtu inside 1500 mtu outside 1500 no failover ccnp_cch
ccnp_cch asdm image disk0:/asdm−522.bin no asdm history enable arp timeout 14400 !−−− Commande pour rediriger le trafic SIP reçu sur l'interface externe !−−− vers l'interface interne pour l'adresse spécifiée. ! static (inside,outside) 172.16.1.5 10.1.1.10 netmask 255.255.255.255 access−group 100 in interface outside route outside 0.0.0.0 0.0.0.0 172.16.1.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp−pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip−invite 0:03:00 sip−disconnect 0:02:00 timeout uauth 0:05:00 absolute no snmp−server location no snmp−server contact snmp−server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 class−map inspection_default match default−inspection−traffic policy−map type inspect dns preset_dns_map parameters message−length maximum 512 policy−map global_policy class inspection_default inspect dns preset_dns_map inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp !−−− Commande pour valider l'inspection SIP. inspect sip inspect xdmcp inspect ftp !−−− Cette commande indique à l'équipement d'utiliser !−−− la policy map "global_policy" sur toutes les interfaces. service−policy global_policy global prompt ASA5510 context Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e : end ASA5510# ccnp_cch
Cisco CallManager (CCM) 10.1.1.0/24 172.16.1.5/24 Schéma du réseau pour MGCP, H.323 et SCCP RTCP .5 Passerelle VoIP Tunnel VPN IPSec .1 .2 .1 .1 .2 Internet Routeur 10.1.1.0/24 10.2.2.0/24 Cisco CallManager (CCM) 10.1.1.0/24 172.16.1.5/24 Configuration pour MGCP Cette section utilise ces configurations L'appliance de sécurité supporte l'inspection d'application au travers de la fonction Adaptive Security Algorithm. Au travers de l'inspection stateful d'application utilisée par l'Adaptive Security Algorithm, l'appliance de sécurité trace chaque connexion qui traverse le pare-feu et s'assure qu'elles sont valides. Le pare-feu au travers de l'inspec- tion stateful supervise également l'état de la connexion pour rassembler des informa- tions et les placer dans une table d'états. Avec l'utilisation de la table d'états en plus des règles définies par l'administrateur, les décisions de filtrage sont basées sur un contexte qui est établi sur la base des paquets qui ont déjà traversé la pare-feu. L'im- plémentation de l'inspection d'application consiste en ces actions: Identifier le trafic Appliquer les inspections au trafic Activez les inspections sur une interface ccnp_cch
ccnp_cch Configuration de l'inspection de base MGCP Par défaut la configuration inclut une politique qui correspond à toute inspection d'application par défaut et applique l'inspection au trafic sur toutes les interfaces (politique globale). L'inspection de trafic d'application par défaut inclut le trafic vers les ports par défaut du protocole. Vous pouvez appliquer une seule politique globale. Par conséquent si vous voulez modifier la politique globale, par exemple pour appli- quer l'inspection à des ports non-standards ou ajouter des inspections qui ne sont pas validées par défaut, vous devez soit éditer la politique par défaut ou la dévalider et en appliquer une nouvelle. Pour une liste de tous les ports par défaut, référez-vous à "Default Inspection Policy" 1. Entrez la commande policy−map global_policy. ASA5510(config)#policy−map global_policy 2. Entrez la commande class inspection_default. ASA5510(config−pmap)#class inspection_default 3. Entrez la commande inspect mgcp. ASA5510(config−pmap−c)#inspect mgcp Configurer une Policy Map d'inspection MGCP pour un contrôle d'inspection additionnel Si le réseau a plusieurs agents d'appel et passerelles pour lesquelles l'appliance de sé- curité doit ouvrir des passages, créez une correspondance MGCP. Vous pourrez ensui- te appliquer la correspondance MGCP quand vous validez l'inspection MGCP. Référez- vous à "Configuration de l'inspection d'application" pour plus d'information. !−−− Permet le trafic entrant sur le port 2427. ASA5510(config)#access−list 100 extended permit udp 10.2.2.0 255.255.255.0 host 172.16.1.5 eq 2427 !−−− Permet le trafic entrant sur le port 2727. host 172.16.1.5 eq 2727 ASA5510(config)#class−map mgcp_port ASA5510(config−cmap)#match access−list 100 ASA5510(config−cmap)#exit !−−− Commande pour créer la policy map d'inspection MGCP. ASA5510(config)#policy−map type inspect mgcp mgcpmap !−−− Commande pour configurer les paramètres qui affectent le moteur !−−− d'inspection et entre en mode de configuration policy map. ASA5510(config−pmap)#parameters !−−− Commande pour configurer les agents d'appel. ASA5510(config−pmap−p)#call−agent 10.1.1.10 101 !−−− Commande pour configurer les passerelles. ASA5510(config−pmap−p)#gateway 10.2.2.5 101 ccnp_cch
Configuration de l'ASA pour MGCP !−−− Commande pour changer le nombre maximum de commandes autorisées !−−− dans la file d'attente de commandes MGCP. ASA5510(config−pmap−p)#command−queue 150 ASA5510(config−pmap−p)# exit ASA5510(config)#policy−map inbound_policy ASA5510(config−pmap)# class mgcp_port ASA5510(config−pmap−c)#inspect mgcp mgcpmap ASA5510(config−pmap−c)# exit ASA5510(config)#service−policy inbound_policy interface outside Configuration de l'ASA pour MGCP ASA Version 7.2(1)24 ! hostname ASA5510 enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0/0 nameif inside security−level 100 ip address 10.1.1.1 255.255.255.0 interface Ethernet0/1 nameif outside security−level 0 ip address 172.16.1.2 255.255.255.0 !−−− Permet le trafic entrant sur les ports 2427 et 2727. access−list 100 extended permit udp 10.2.2.0 255.255.255.0 host 172.16.1.5 eq 2427 access−list 100 extended permit udp 10.2.2.0 255.255.255.0 host 172.16.1.5 eq 2727 pager lines 24 mtu inside 1500 mtu outside 1500 no failover no asdm history enable arp timeout 14400 !−−− Commande pour rediriger le trafic MGCP reçu sur l'interface externe !−−− vers l'interface interne pour l'adresse IP spécifiée. static (inside,outside) 172.16.1.5 10.1.1.10 netmask 255.255.255.255 access−group 100 in interface outside timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp−pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip−invite 0:03:00 sip−disconnect 0:02:00 timeout uauth 0:05:00 absolute no snmp−server location no snmp−server contact snmp−server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ccnp_cch
ccnp_cch ! class−map mgcp_port match access−list 100 class−map inspection_default match default−inspection−traffic policy−map type inspect dns preset_dns_map parameters message−length maximum 512 policy−map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect mgcp policy−map type inspect mgcp mgcpmap call−agent 10.1.1.10 101 gateway 10.2.2.5 101 command−queue 150 policy−map inbound_policy class mgcp_port inspect mgcp mgcpmap service−policy global_policy global service−policy inbound_policy interface outside prompt hostname context Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e : end ccnp_cch
ccnp_cch Configuration pour H.323 Cette section utilise ces configurations L'appliance de sécurité supporte l'inspection d'application au travers de la fonction Adaptive Security Algorithm. Au travers de l'inspection stateful d'application utilisée par l'Adaptive Security Algorithm, l'appliance de sécurité trace chaque connexion qui traverse le pare-feu et s'assure qu'elles sont valides. Le pare-feu au travers de l'inspec- tion stateful supervise également l'état de la connexion pour rassembler des informa- tions et les placer dans une table d'états. Avec l'utilisation de la table d'états en plus des règles définies par l'administrateur, les décisions de filtrage sont basées sur un contexte qui est établi sur la base des paquets qui ont déjà traversé la pare-feu. L'im- plémentation de l'inspection d'application consiste en ces actions: Identifier le trafic Appliquer les inspections au trafic Activez les inspections sur une interface Configuration de l'inspection de base H323 Par défaut la configuration inclut une politique qui correspond à toute inspection d'application par défaut et applique l'inspection au trafic sur toutes les interfaces (politique globale). L'inspection de trafic d'application par défaut inclut le trfic vers les ports par défaut du protocole. Vous pouvez appliquer une seule politique globale. Par conséquent si vous voulez modifier la politique globale, par exemple pour appliquer l'inspection à des ports non-standards ou ajouter des inspections qui ne sont pas vali- dées par défaut, vous devez soit éditer la politique par défaut ou la dévalider et en appliquer une nouvelle. Pour une liste de tous les ports par défaut, référez-vous à "Default Inspection Policy" 1. Entrez la commande policy−map global_policy. ASA5510(config)#policy−map global_policy 2. Entrez la commande class inspection_default. ASA5510(config−pmap)#class inspection_default 3. Entrez la commande inspect h323. ASA5510(config−pmap−c)#inspect h323 h225 ASA5510(config−pmap−c)#inspect h323 ras ccnp_cch
Configuration de l'ASA pour H.323 ASA Version 7.2(1)24 ! ASA5510 ASA5510 enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0/0 nameif inside security−level 100 ip address 10.1.1.1 255.255.255.0 interface Ethernet0/1 nameif outside security−level 0 ip address 172.16.1.2 255.255.255.0 !−−− Partie supprimée. passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive !−−− Commande pour permettre le trafic UDP entrant sur le port !--- GateKeeper Discovery. access−list 100 extended permit udp 10.2.2.0 255.255.255.0 host 172.16.1.5 eq 1718 !−−− Commande pour permettre le port UDP entrant RAS. access−list 100 extended permit udp 10.2.2.0 255.255.255.0 host 172.16.1.5 eq 1719 !−−− Commande pour permettre le trafic entrant du protocole H323. access−list 100 extended permit tcp 10.2.2.0 255.255.255.0 host 172.16.1.5 eq h323 pager lines 24 mtu inside 1500 mtu outside 1500 no failover asdm image disk0:/asdm−522.bin no asdm history enable arp timeout 14400 !−−− Commande pour rediriger le tafic du protocole H.323 reçu sur !--- l'interface externe vers l'interface interne pour l'adresse IP !--- spécifiée. static (inside,outside) 172.16.1.5 10.1.1.10 netmask 255.255.255.255 access−group 100 in interface outside route outside 0.0.0.0 0.0.0.0 172.16.1.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp−pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip−invite 0:03:00 sip−disconnect 0:02:00 timeout uauth 0:05:00 absolute no snmp−server location ccnp_cch
ccnp_cch no snmp−server contact snmp−server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ! class−map inspection_default match default−inspection−traffic policy−map type inspect dns preset_dns_map parameters message−length maximum 512 policy−map global_policy class inspection_default inspect dns preset_dns_map !−−− Commande pour valider l'inspection H.323. inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect ftp !−−− Cette commande indique à l'équipement d'utiliser !−−− la policy map "global_policy" sur toutes les interfaces. service−policy global_policy global prompt ASA5510 context Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e : end ASA5510# ccnp_cch
ccnp_cch Configuration pour SCCP Cette section utilise ces configurations L'appliance de sécurité supporte l'inspection d'application au travers de la fonction Adaptive Security Algorithm. Au travers de l'inspection stateful d'application utilisée par l'Adaptive Security Algorithm, l'appliance de sécurité trace chaque connexion qui traverse le pare-feu et s'assure qu'elles sont valides. Le pare-feu au travers de l'inspec- tion stateful supervise également l'état de la connexion pour rassembler des informa- tions et les placer dans une table d'états. Avec l'utilisation de la table d'états en plus des règles définies par l'administrateur, les décisions de filtrage sont basées sur un contexte qui est établi sur la base des paquets qui ont déjà traversé la pare-feu. L'im- plémentation de l'inspection d'application consiste en ces actions: Identifier le trafic Appliquer les inspections au trafic Activez les inspections sur une interface Configuration de l'inspection de base SCCP Par défaut la configuration inclut une politique qui correspond à toute inspection d'application par défaut et applique l'inspection au trafic sur toutes les interfaces (politique globale). L'inspection de trafic d'application par défaut inclut le trafic vers les ports par défaut du protocole. Vous pouvez appliquer une seule politique globale. Par conséquent si vous voulez modifier la politique globale, par exemple pour appliquer l'inspection à des ports non-standards ou ajouter des inspections qui ne sont pas vali- dées par défaut, vous devez soit éditer la politique par défaut ou la dévalider et en appliquer une nouvelle. Pour une liste de tous les ports par défaut, référez-vous à "Default Inspection Policy" 1. Entrez la commande policy−map global_policy. ASA5510(config)#policy−map global_policy 2. Entrez la commande class inspection_default. ASA5510(config−pmap)#class inspection_default 3. Entrez la commande inspect skinny. ASA5510(config−pmap−c)#inspect skinny ccnp_cch
Configuration de l'ASA pour SCCP ASA Version 7.2(1)24 ! ASA5510 ASA5510 enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0/0 nameif inside security−level 100 ip address 10.1.1.1 255.255.255.0 interface Ethernet0/1 nameif outside security−level 0 ip address 172.16.1.2 255.255.255.0 !−−− Partie supprimée. passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive !−−− Commande pour permettre le trafic SCCP entrant. access−list 100 extended permit tcp 10.2.2.0 255.255.255.0 host 172.16.1.5 eq 2000 pager lines 24 mtu inside 1500 mtu outside 1500 no failover asdm image disk0:/asdm−522.bin no asdm history enable arp timeout 14400 !−−− Command to rediriger le trafic SCCP reçu sur l'interface externe !--- vers l'interface interne pour l'adresse IP spécifiée. static (inside,outside) 172.16.1.5 10.1.1.10 netmask 255.255.255.255 access−group 100 in interface outside route outside 0.0.0.0 0.0.0.0 172.16.1.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp−pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip−invite 0:03:00 sip−disconnect 0:02:00 timeout uauth 0:05:00 absolute no snmp−server location no snmp−server contact snmp−server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ccnp_cch
Vérification ccnp_cch ! class−map inspection_default match default−inspection−traffic policy−map type inspect dns preset_dns_map parameters message−length maximum 512 policy−map global_policy class inspection_default inspect dns preset_dns_map inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp !−−− Commande pour valider l'inspection SCCP. inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect ftp !−−− Cette commande indique à l'équipement d'utiliser !−−− la policy map "global_policy" sur toutes les interfaces. service−policy global_policy global prompt ASA5510 context Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e : end ASA5510# Vérification Utilisez cette section pour vérifier que votre configuration fonctionne correctement. SIP : Pour vous assurez que la configuration a bien été prise en compte, utilisez la com- mande show service-policy et limiter la sortie à l'inspection SIP uniquement en utili- sant la commande show service-policy inspect sip. ASA5510#show service−policy inspect sip Global policy: Service−policy: global_policy Class−map: inspection_default Inspect: sip, packet 0, drop 0, reset−drop 0 ASA5510# ccnp_cch
ccnp_cch MGCP : ASA5510#show service−policy inspect mgcp H.323 : SCCP: Global policy: Service−policy: global_policy Class−map: inspection_default Inspect: skinny, packet 0, drop 0, reset−drop 0 H.323 : ASA5510(config)#show service−policy inspect h323 h225 Inspect: h323 h225 _default_h323_map, packet 0, drop 0, reset−drop 0 h245−tunnel−block drops 0 connection ASA5510(config)#show service−policy inspect h323 ras Inspect: h323 ras _default_h323_map, packet 0, drop 0, reset−drop 0 SCCP: ASA5510(config)#show service−policy inspect skinny ccnp_cch