La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Remote Desktop Protocol l'Appliance de Sécurité

Publié parAntoine Falardeau Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Remote Desktop Protocol l'Appliance de Sécurité"— Transcription de la présentation:

1 Remote Desktop Protocol l'Appliance de Sécurité
PIX ASA 7.x - Autoriser Remote Desktop Protocol à travers l'Appliance de Sécurité ccnp_cch

2 Sommaire  Introduction - Prérequis - Composants utilisés
- Documents liés  Configuration - Schéma du réseau - Configurations  Résolution de problèmes ccnp_cch

3 Introduction ccnp_cch
Ce document décrit comment autoriser les connexions RDP (Remote Desktop protocol) à travers l'appliance de sécurité Cisco. RDP est un protocole multi-canal qui permet à un utilisateur de se connecter avec un autre ordinateur qui opère avec Microsoft Terminal Services. des clients existent pour la majorité des versions de Windows et d'autres systèmes d'exploitation tels que Linux , FreeBSD et MAC OSX. Le serveur écoute sur le port TCP 3389 par défaut. Dans cet exemple de configuration, l'appliance de sécurité est configurée pour permet- tre à un client RDP sur Internet de se connecter à un serveur RDP sur l'interface inter- ne d l'appliance de sécurité. L'appliance de sécurité réalise de la traduction d'adresse et le client se connecte au host en utilisant une adresse IP externe avec un mapping statique. Prérequis Ce document présume que le pare-feu PIX est totalement opérationnel et configuré. De même toutes les configurations initiales sont effectuées et les hosts doivent avoir une connectivité de bout en bout. Composants utilisés Les informations présentées dans ce document sont basées sur l'appliance de sécurité PIX 500 avec un logiciel version 7.x. Produits liés  Cisco Adaptive Security Appliances (ASA) 5500 Series Security Appliance avec un logiciel version 7.x ccnp_cch

4 Configuration ccnp_cch
Dans cette section sont présentées les informations nécessaires pour configurer l'appli- ance de sécurité pour autoriser le trafic RDP (Remote Desktop Protocol) à travers le pare-feu. Schéma du réseau Mappé à Connexion RDP Inside Outside .1 .2 .1 .1 .2 .5 /24 Internet /24 /24 Note: Les systèmes d'adressage IP utilisés dans cette configuration ne sont pas routa- bles sur Internet. Ce sont des adresses conformes au RFC 1918 qui sont utilisées dans un environnement de laboratoire. Configurations Cette section montre la configuration de l'appliance de sécurité. Le trafic RDP issu du host sur Internet est autorisé vers le host , du réseau interne, qui écoute sur le port 3389 au travers d'un mapping statique de l'adresse IP Exécutez ces étapes:  Configurez le NAT statique pour rediriger le trafic RDP reçu sur l'interface outside vers le host interne  Créez une liste de contrôle d'accès (ACL) qui autorise RDP et appliquez la à une interface Note: comme NAT est réalisé par l'appliance de sécurité, l'ACL doit permettre l'accès à l'adresse IP mappée du serveur RDP et non à l'adresse réelle. Note: L'adresse IP ( ) utilisée pour la correspondance statique doit être dans le même sous-réseau que l'adresse IP de l'interface outside. ccnp_cch

5 PIX pix#show running−config : Saved : PIX Version 7.2(1) ! hostname pixfirewall enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0 nameif inside security−level 100 ip address interface Ethernet1 nameif outside security−level 0 ip address access−group 110 in interface outside !−−− Cette liste d'accès autorise le trafic RDP issu de !−−− vers la destination avec le port TCP 3389. access−list 110 extended permit tcp host host eq 3389 !−−− L'instruction NAT static redirige le trafic destiné à !−−− l'adresse IP vers l'adresse IP du host static (inside,outside) netmask route outside !−−− Partie supprimée. Note: Dans cette configuration d'ACL, "host " peut être remplacé par "any" pour autoriser l'accès au serveur RDP depuis Internet au sens large. Cela n'est pas recommandé, car cela pourrait permettre l'attaque du serveur RDP. En règle générale, créez des entrées d'ACLs aussi spécifiques que possible. Résolution de problèmes  Si un client ou un intervalle de clients ne peut pas se connecter au serveur RDP, assurez-vous que ces clients sont autorisés dans l'ACL sur l'interface interne.  Si aucun client ne peut se connecter au serveur RDP, assurez-vous que l'ACL qui est placée soit sur l'interface inside soit sur l'interface outside ne bloque pas le trafic de et vers le port 3389.  Si aucun client ne peut se connecter au serveur RDP, vérifiez si les paquets excè- dent ou la valeur maximum du MSS. Si cela est le cas, configurez MPF pour auto- ccnp_cch

6 riser les paquets avec un MSS plus grand pour résoudre le problème comme le
montre cet exemple: pixfirewall(config)#access−list 110 extended permit tcp host host eq 3389 !−−− Cette commande est affichée sur deux lignes pour des !−−− raisons d'espace. tcp host host eq 80 ! pixfirewall(config)#class−map rdpmss pixfirewall(config−cmap)#match access−list 110 pixfirewall(config−cmap)#exit pixfirewall(config)#tcp−map mss−map pixfirewall(config−tcp−map)#exceed−mss allow pixfirewall(config−tcp−map)#exit pixfirewall(config)#policy−map rdpmss pixfirewall(config−pmap)#class rdpmss pixfirewall(config−pmap−c)#set connection advanced−options mss−map pixfirewall(config−pmap−c)#exit pixfirewall(config−pmap)#exit pixfirewall(config)#service−policy rdpmss interface outside Référez-vous à "Solution to Fragmentation Issues of PIX/ASA.7 and IOS:VPN Frag- mentation" pour apprendre les autres méthodes que vous pourrez utiliser pour ré- soudre le problème de MSS.  La session RDP expire après que la valeur de timeout par défaut de la session TCP expire. Pour résoudre ce problème, augmentez le timeout comme cela timeout conn 10:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 Cette commande fixe le timeout à 10 heures. ccnp_cch

Télécharger ppt "Remote Desktop Protocol l'Appliance de Sécurité"

Présentations similaires

Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n° 36243.

Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n°
Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
Sécurité - Configuration du PIX avec un seul réseau interne

Sécurité - Configuration du PIX avec un seul réseau interne
Client léger VPN SSL avec ASDM

Client léger VPN SSL avec ASDM
Sécurité - ASA/PIX 7.x - Adresse IP statique pour Client VPN IPSec avec configuration CLI et ASDM ccnp_cch.

Sécurité - ASA/PIX 7.x - Adresse IP statique pour Client VPN IPSec avec configuration CLI et ASDM ccnp_cch.
Hot Standby Router Protocol (HSRP) - Partage de charge

Hot Standby Router Protocol (HSRP) - Partage de charge
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
Configuration PIX avec deux Routeurs

Configuration PIX avec deux Routeurs
Sécurité - Configuration d'un

Sécurité - Configuration d'un
QoS - Propagation de la Politique de QoS via BGP

QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN

Sécurité - Cisco ASA Outil de capture WebVPN
Commande ip nat service

Commande ip nat service
Sécurité - Configuration du PIX

Sécurité - Configuration du PIX
Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec

Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec
PIX/ASA 7.x - Configuration Relais DHCP

PIX/ASA 7.x - Configuration Relais DHCP
Sécurité - ASA7.x et IOS - VPN et Fragmentation

Sécurité - ASA7.x et IOS - VPN et Fragmentation
Sécurité - ASA7.x/PIX 6.x et plus

Sécurité - ASA7.x/PIX 6.x et plus
Tunnel pour paquets IP Multicast

Tunnel pour paquets IP Multicast

Présentations similaires

Annonces Google