Comunicar interfaces enrutadas para Cisco ASA 5506-X [cerrado]

Navega tus respuestas
0

Recientemente, nuestra organización ha recibido un nuevo ASA 5506-X para reemplazar el antiguo PIX506e para un proyecto. Hemos encontrado un problema en la interfaz enrutada en ASA 5506, que es muy diferente de ASA 5505. No pudimos conseguir que el tráfico pasara del Exterior al Interior y viceversa. Entiendo que el flujo de tráfico de Inside to Outside está permitido de forma predeterminada.

Como se describe en el diagrama, estos son el resumen:

  1. La interfaz interna de ASA está configurada con 192.10.5.253
  2. La interfaz externa de ASA está configurada con 10.1.150.1
  3. La red exterior tiene 4 VLANS, VLAN10 es la VLAN a la que se encuentra nuestra estación de trabajo, que lleva una IP de 10.1.10.201.
  4. Hay un servidor en la red del cliente, que tiene una IP de 192.10.5.3.
  5. Básicamente, ASA 5506-X actúa como un enrutador para enrutar el tráfico entre la red interna y externa.
  6. Hay un conmutador de capa 3 en la red externa. Que tiene la ruta estática para llegar a 192.10.5.0/24 a través de la puerta de enlace de 10.1.150.1.

Configuración ASA 5506-X:

  1. Habilitado permite el tráfico entre las mismas interfaces con nivel de seguridad.
  2. ACL que permite CUALQUIER CUALQUIER TCP ICMP en la interfaz interna y externa.
  3. NAT desde la red externa a la red interna. (es una lista larga)
  4. Ruta estática a 0.0.0.0/0 a través de 192.10.5.254 (IP del dispositivo del cliente) a WAN
  5. Ruta estática a la red 10.1.0.0/16, a través de la puerta de enlace de 10.1.150.254 (IP de la interfaz VLAN dentro del conmutador de la capa 3 de la red)

Lo que está funcionando:

  1. Dentro de la red externa, tenemos un conmutador Ruggedcom de capa 3. Donde configuramos el enrutamiento inter VLAN en él y funciona bien. Todas las 4 VLAN en la red externa pueden comunicarse y hacer ping al 10.1.150.1.
  2. Para el conmutador de red del cliente, es solo un conmutador de capa 2 y no hay segregación de VLAN.
  3. Todos los dispositivos finales pueden comunicarse dentro de su propia red.
  4. ASA 5506-X puede hacer ping a todos los equipos y todos los dispositivos finales.

Lo que no funciona:

  1. Los dispositivos finales de la red externa no pueden hacer ping dentro de los dispositivos finales de la red incluso con la ruta estática establecida.

Hice una investigación y descubrí que ASA 5506-X no permite la comunicación entre las interfaces. Incluso especifiqué ACL para permitir CUALQUIER tráfico de la fuente ANY al destino ANY. Estoy usando la versión 9.6 de ASA. ¿Qué podría estar yendo mal aquí?

    
pregunta YFQ 16.08.2017 - 04:00
fuente

1 respuesta

3

Sin que publiques tu configuración aquí, es muy difícil para mí ayudar, sin embargo, intentaré darte una idea de por qué esto podría no estar funcionando.

En primer lugar, como ha declarado por diseño, no puede hacer ping a una interfaz si proviene de otra interfaz, esta es una característica de seguridad del ASA y está totalmente diseñada de esa manera. Esto a veces se conoce como una "interfaz distante": si lo piensas, es bueno que no puedas hacer ping entre las interfaces, de manera realista no querrías tal cosa incluso si piensas que sí. Me gustaría agregar que esto no se puede no deshabilitar.

En segundo lugar, sin alterar sus reglas de acceso, tampoco podrá lograrlo. Hay una razón simple para esto, la ASA tiene algo llamado Modular Policy Framework esto es lo que esencialmente impide que esta operación suceda. Por defecto, el MPF no inspeccionará el tráfico ICMP; en esencia, lo que esto significa es que no podrá hacer ping o trazar rutas desde el interior hacia el exterior. Hay dos formas de lograrlo.

  • Inspeccionando ICMP
  • Regla de acceso para permitir respuestas de ping

Al inspeccionar el tráfico ICMP, esto permitiría posteriormente esta función, alternativamente, puede agregar una regla de acceso para permitir que las respuestas de ping nuevamente. Idealmente, desearía elegir la primera ya que es más segura. Si no está inspeccionando el tráfico ICMP, es posible que alguien emita un ataque DoS ICMP, también conocido como " Ping flood "

Para inspeccionar el tráfico ICMP, el siguiente es un ejemplo de cómo lo lograría. 

SecSe# config t
SecSe(config)# policy-map global_policy
SecSe(config-pmap)#  class inspection_default
SecSe(config-pmap-c)# inspect icmp

En lo que respecta a la segunda opción, una simple regla de acceso sería suficiente, aunque como he mencionado, este es un método poco aconsejable. 

SecSe# config t
SecSe(config)# access-list OUTSIDE_IN permit icmp any any echo-reply
SecSe(config)# access-group OUTSIDE_IN in interface outside

En tercer lugar, en lo que respecta a su punto final, es posible que tenga una ruta estática pero nunca funcionará si no permite que vuelva a ingresar el tráfico. El problema, nuevamente aquí, es que necesitará una regla de acceso para permitir ese tráfico en el ASA, de lo contrario, solo lo eliminará ya que así es como funciona un firewall.

Como dije para que lo ayudara, necesitaré su configuración, pero como he mencionado, esta es una pregunta que sería mejor para Network Engineer Exchange que para aquí.

    
respondido por el J.J 25.05.2018 - 15:14
fuente

Lea otras preguntas en las etiquetas

¿Funciona CSRF si su navegador ha almacenado cookies? ¿Esta versión de openssl es vulnerable?