Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parAntoine Falardeau Modifié depuis plus de 6 années
1
Remote Desktop Protocol l'Appliance de Sécurité
PIX ASA 7.x - Autoriser Remote Desktop Protocol à travers l'Appliance de Sécurité ccnp_cch
2
Sommaire Introduction - Prérequis - Composants utilisés
- Documents liés Configuration - Schéma du réseau - Configurations Résolution de problèmes ccnp_cch
3
Introduction ccnp_cch
Ce document décrit comment autoriser les connexions RDP (Remote Desktop protocol) à travers l'appliance de sécurité Cisco. RDP est un protocole multi-canal qui permet à un utilisateur de se connecter avec un autre ordinateur qui opère avec Microsoft Terminal Services. des clients existent pour la majorité des versions de Windows et d'autres systèmes d'exploitation tels que Linux , FreeBSD et MAC OSX. Le serveur écoute sur le port TCP 3389 par défaut. Dans cet exemple de configuration, l'appliance de sécurité est configurée pour permet- tre à un client RDP sur Internet de se connecter à un serveur RDP sur l'interface inter- ne d l'appliance de sécurité. L'appliance de sécurité réalise de la traduction d'adresse et le client se connecte au host en utilisant une adresse IP externe avec un mapping statique. Prérequis Ce document présume que le pare-feu PIX est totalement opérationnel et configuré. De même toutes les configurations initiales sont effectuées et les hosts doivent avoir une connectivité de bout en bout. Composants utilisés Les informations présentées dans ce document sont basées sur l'appliance de sécurité PIX 500 avec un logiciel version 7.x. Produits liés Cisco Adaptive Security Appliances (ASA) 5500 Series Security Appliance avec un logiciel version 7.x ccnp_cch
4
Configuration ccnp_cch
Dans cette section sont présentées les informations nécessaires pour configurer l'appli- ance de sécurité pour autoriser le trafic RDP (Remote Desktop Protocol) à travers le pare-feu. Schéma du réseau Mappé à Connexion RDP Inside Outside .1 .2 .1 .1 .2 .5 /24 Internet /24 /24 Note: Les systèmes d'adressage IP utilisés dans cette configuration ne sont pas routa- bles sur Internet. Ce sont des adresses conformes au RFC 1918 qui sont utilisées dans un environnement de laboratoire. Configurations Cette section montre la configuration de l'appliance de sécurité. Le trafic RDP issu du host sur Internet est autorisé vers le host , du réseau interne, qui écoute sur le port 3389 au travers d'un mapping statique de l'adresse IP Exécutez ces étapes: Configurez le NAT statique pour rediriger le trafic RDP reçu sur l'interface outside vers le host interne Créez une liste de contrôle d'accès (ACL) qui autorise RDP et appliquez la à une interface Note: comme NAT est réalisé par l'appliance de sécurité, l'ACL doit permettre l'accès à l'adresse IP mappée du serveur RDP et non à l'adresse réelle. Note: L'adresse IP ( ) utilisée pour la correspondance statique doit être dans le même sous-réseau que l'adresse IP de l'interface outside. ccnp_cch
5
PIX pix#show running−config : Saved : PIX Version 7.2(1) ! hostname pixfirewall enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0 nameif inside security−level 100 ip address interface Ethernet1 nameif outside security−level 0 ip address access−group 110 in interface outside !−−− Cette liste d'accès autorise le trafic RDP issu de !−−− vers la destination avec le port TCP 3389. access−list 110 extended permit tcp host host eq 3389 !−−− L'instruction NAT static redirige le trafic destiné à !−−− l'adresse IP vers l'adresse IP du host static (inside,outside) netmask route outside !−−− Partie supprimée. Note: Dans cette configuration d'ACL, "host " peut être remplacé par "any" pour autoriser l'accès au serveur RDP depuis Internet au sens large. Cela n'est pas recommandé, car cela pourrait permettre l'attaque du serveur RDP. En règle générale, créez des entrées d'ACLs aussi spécifiques que possible. Résolution de problèmes Si un client ou un intervalle de clients ne peut pas se connecter au serveur RDP, assurez-vous que ces clients sont autorisés dans l'ACL sur l'interface interne. Si aucun client ne peut se connecter au serveur RDP, assurez-vous que l'ACL qui est placée soit sur l'interface inside soit sur l'interface outside ne bloque pas le trafic de et vers le port 3389. Si aucun client ne peut se connecter au serveur RDP, vérifiez si les paquets excè- dent ou la valeur maximum du MSS. Si cela est le cas, configurez MPF pour auto- ccnp_cch
6
riser les paquets avec un MSS plus grand pour résoudre le problème comme le
montre cet exemple: pixfirewall(config)#access−list 110 extended permit tcp host host eq 3389 !−−− Cette commande est affichée sur deux lignes pour des !−−− raisons d'espace. tcp host host eq 80 ! pixfirewall(config)#class−map rdpmss pixfirewall(config−cmap)#match access−list 110 pixfirewall(config−cmap)#exit pixfirewall(config)#tcp−map mss−map pixfirewall(config−tcp−map)#exceed−mss allow pixfirewall(config−tcp−map)#exit pixfirewall(config)#policy−map rdpmss pixfirewall(config−pmap)#class rdpmss pixfirewall(config−pmap−c)#set connection advanced−options mss−map pixfirewall(config−pmap−c)#exit pixfirewall(config−pmap)#exit pixfirewall(config)#service−policy rdpmss interface outside Référez-vous à "Solution to Fragmentation Issues of PIX/ASA.7 and IOS:VPN Frag- mentation" pour apprendre les autres méthodes que vous pourrez utiliser pour ré- soudre le problème de MSS. La session RDP expire après que la valeur de timeout par défaut de la session TCP expire. Pour résoudre ce problème, augmentez le timeout comme cela timeout conn 10:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 Cette commande fixe le timeout à 10 heures. ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.