ASA 8.3 und höher: SSH-/Telnet-/HTTP-Verbindungs-Timeout mithilfe des MPF-Konfigurationsbeispiels festlegen

Download-Optionen

PDF (410.6 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (270.5 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (581.7 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:17. Juni 2011

Dokument-ID:113051

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einleitung

Voraussetzungen

Anforderungen

Verwendete Komponenten

Konventionen

Konfigurieren

Netzwerkdiagramm

Konfigurationen

Ebryonsche Zeitüberschreitung

Fehlerbehebung

Zugehörige Informationen

Einleitung

Dieses Dokument enthält eine Beispielkonfiguration für die Cisco Adaptive Security Appliance (ASA) mit Version 8.3(1) und höher für einen Timeout, der spezifisch für eine bestimmte Anwendung wie SSH/Telnet/HTTP ist, im Gegensatz zu einer Konfiguration, die für alle Anwendungen gilt. In diesem Konfigurationsbeispiel wird das Modular Policy Framework (MPF) verwendet, das in Version 7.0 der Cisco Adaptive Security Appliance (ASA) eingeführt wurde. Weitere Informationen finden Sie unter Using Modular Policy Framework (Modulares Richtlinien-Framework).

In dieser Beispielkonfiguration ist die Cisco ASA so konfiguriert, dass die Workstation (10.77.241.129) Telnet/SSH/HTTP an den Remote-Server (10.1.1.1) hinter dem Router senden kann. Ein separates Timeout für Verbindungen mit Telnet-/SSH-/HTTP-Datenverkehr wird ebenfalls konfiguriert. Für den anderen TCP-Datenverkehr gilt weiterhin der normale Verbindungs-Timeout-Wert, der mit timeout conn 1:00:00 verknüpft ist.

Weitere Informationen finden Sie unter PIX/ASA 7.x und höher/FWSM: Set SSH/Telnet/HTTP Connection Timeout using MPF Configuration Example (SSH-/Telnet-/HTTP-Verbindungszeitüberschreitung mit MPF-Konfigurationsbeispiel für dieselbe Konfiguration auf Cisco ASA mit Version 8.2 und höher).

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf der Cisco ASA Security Appliance Software-Version 8.3(1) mit Adaptive Security Device Manager (ASDM) 6.3.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Hinweis: Verwenden Sie das Command Lookup Tool, also das Tool für die Suche nach Befehlen (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

Hinweis: Die in dieser Konfiguration verwendeten IP-Adressierungsschemata sind im Internet nicht legal routbar. Es handelt sich dabei um RFC 1918-Adressen, die in einer Laborumgebung verwendet wurden.

Konfigurationen

In diesem Dokument werden folgende Konfigurationen verwendet:

CLI-Konfiguration
ASDM-Konfiguration

Hinweis: Diese CLI- und ASDM-Konfigurationen gelten für das Firewall Service Module (FWSM).

CLI-Konfiguration

ASA 8.3(1)-Konfiguration
ASA Version 8.3(1) ! hostname ASA domain-name nantes-port.fr enable password S39lgaewi/JM5WyY level 3 encrypted enable password 2KFQnbNIdI.2KYOU encrypted passwd 1mZfSd48bl0UdPgP encrypted no names dns-guard ! interface Ethernet0/0 nameif outside security-level 0 ip address 192.168.200.1 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 10.77.241.142 255.255.255.0 boot system disk0:/asa831-k8.bin ftp mode passive dns domain-lookup outside !--- Creates an object called DM_INLINE_TCP_1. This defines the traffic !--- that has to be matched in the class map. object-group service DM_INLINE_TCP_1 tcp port-object eq www port-object eq ssh port-object eq telnet access-list outside_mpc extended permit tcp host 10.77.241.129 any object-group DM_INLINE_TCP_1 pager lines 24 mtu inside 1500 mtu outside 1500 no failover no asdm history enable arp timeout 14400 nat (inside) 0 access-list inside_nat0_outbound access-group 101 in interface outside route outside 0.0.0.0 0.0.0.0 192.168.200.2 1 timeout xlate 3:00:00 !--- The default connection timeout value of one hour is applicable to !--- all other TCP applications. timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ! !--- Define the class map Cisco-class in order !--- to classify Telnet/ssh/http traffic when you use Modular Policy Framework !--- to configure a security feature. !--- Assign the parameters to be matched by class map. class-map Cisco-class match access-list outside_mpc class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp !--- Use the pre-defined class map Cisco-class* in the policy map.* policy-map Cisco-policy !--- Set the connection timeout under the class mode where !--- the idle TCP (Telnet/ssh/http) connection is disconnected. !--- There is a set value of ten minutes in this example. !--- The minimum possible value is five minutes. class Cisco-class set connection timeout idle 0:10:00 reset ! ! service-policy global_policy global !--- Apply the policy-map Cisco-policy* on the interface. !--- You can apply the service-policy command to any interface that !--- can be defined by the nameif command.* service-policy Cisco-policy interface outside end

ASA 8.3(1)-Konfiguration

ASA Version 8.3(1) 
!
hostname ASA
domain-name nantes-port.fr
enable password S39lgaewi/JM5WyY level 3 encrypted
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 1mZfSd48bl0UdPgP encrypted
no names

dns-guard
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.200.1 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
ip address 10.77.241.142 255.255.255.0
 

boot system disk0:/asa831-k8.bin
ftp mode passive
dns domain-lookup outside


!--- Creates an object called DM_INLINE_TCP_1. This defines the traffic !--- that has to be matched in the class map.


object-group service DM_INLINE_TCP_1 tcp
 port-object eq www
 port-object eq ssh
 port-object eq telnet

access-list outside_mpc extended permit tcp host 10.77.241.129 any object-group DM_INLINE_TCP_1 


pager lines 24
mtu inside 1500
mtu outside 1500
no failover
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list inside_nat0_outbound
access-group 101 in interface outside

route outside 0.0.0.0 0.0.0.0 192.168.200.2 1
timeout xlate 3:00:00


!--- The default connection timeout value of one hour is applicable to !--- all other TCP applications.

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!


!--- Define the class map Cisco-class in order !--- to classify Telnet/ssh/http traffic when you use Modular Policy Framework !--- to configure a security feature. !--- Assign the parameters to be matched by class map.


class-map Cisco-class
 match access-list outside_mpc

class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp


!--- Use the pre-defined class map Cisco-class in the policy map. 


policy-map Cisco-policy


!--- Set the connection timeout under the class mode where !--- the idle TCP (Telnet/ssh/http) connection is disconnected. !--- There is a set value of ten minutes in this example. !--- The minimum possible value is five minutes.


 class Cisco-class
  set connection timeout idle 0:10:00 reset
!
!
service-policy global_policy global


!--- Apply the policy-map Cisco-policy on the interface. !--- You can apply the service-policy command to any interface that !--- can be defined by the nameif command.

service-policy Cisco-policy interface outside
end

ASDM-Konfiguration

Führen Sie diese Schritte aus, um die TCP-Verbindungszeitüberschreitung für Telnet-, SSH- und HTTP-Datenverkehr mithilfe von ASDM wie dargestellt einzurichten.

Hinweis: Unter Zulassen des HTTPS-Zugriffs für ASDM finden Sie die grundlegenden Einstellungen für den Zugriff auf PIX/ASA über ASDM.

Wählen Sie Configuration > Firewall > Service Policy Rules aus, und klicken Sie auf Add, um die Service Policy-Regel wie dargestellt zu konfigurieren.
Wählen Sie im Fenster Assistent zum Hinzufügen von Dienstrichtlinienregeln - Dienstrichtlinie das Optionsfeld neben Schnittstelle im Abschnitt Dienstrichtlinie erstellen und anwenden auf. Wählen Sie nun die gewünschte Schnittstelle aus der Dropdown-Liste aus, und geben Sie einen Richtliniennamen an. Der in diesem Beispiel verwendete Richtlinienname lautet Cisco-policy. Klicken Sie anschließend auf Next (Weiter).
Erstellen Sie einen Klassenzuordnungsnamen Cisco-class, und aktivieren Sie das Kontrollkästchen Quell- und Ziel-IP-Adresse (verwendet ACL) in den Datenverkehrszuordnungskriterien. Klicken Sie anschließend auf Next (Weiter).
Wählen Sie im Fenster Assistent zum Hinzufügen von Servicerichtlinien - Datenverkehrszuordnung - Quell- und Zieladresse das Optionsfeld neben Zuordnen aus, und geben Sie dann die Quell- und Zieladresse wie dargestellt ein. Klicken Sie auf die Dropdown-Schaltfläche neben Service, um die erforderlichen Services auszuwählen.
Wählen Sie die erforderlichen Services aus, z. B. Telnet, SSH und http. Klicken Sie dann auf OK.
Konfigurieren von Zeitüberschreitungen. Klicken Sie auf Next (Weiter).
Wählen Sie Connection Settings (Verbindungseinstellungen) aus, um das TCP-Verbindungstimeout auf 10 Minuten festzulegen. Aktivieren Sie außerdem das Kontrollkästchen Zurücksetzen an TCP-Endpunkte vor Zeitüberschreitung senden. Klicken Sie auf Beenden.
Klicken Sie auf Apply, um die Konfiguration auf die Sicherheits-Appliance anzuwenden.

Damit ist die Konfiguration abgeschlossen.

Ebryonsche Zeitüberschreitung

Eine embryonale Verbindung ist die Verbindung, die halb offen ist oder für die beispielsweise der Drei-Wege-Handshake noch nicht abgeschlossen ist. Sie wird auf der ASA als SYN-Zeitüberschreitung definiert. Standardmäßig beträgt die SYN-Zeitüberschreitung auf der ASA 30 Sekunden. Dies ist, wie Sie Embryonalzeitüberschreitung konfigurieren:

access-list emb_map extended permit tcp any any 
 
class-map emb_map
match access-list emb_map
  
policy-map global_policy
class emb_map
set connection timeout embryonic 0:02:00
 
service-policy global_policy global

Fehlerbehebung

Wenn Sie feststellen, dass die Verbindungs-Zeitüberschreitung nicht mit der MPF funktioniert, überprüfen Sie die TCP-Initiierungsverbindung. Das Problem kann eine Umkehrung der Quell- und Ziel-IP-Adresse sein, oder eine falsch konfigurierte IP-Adresse in der Zugriffsliste stimmt in der MPF nicht überein, um den neuen Timeoutwert festzulegen oder den Standard-Timeout für die Anwendung zu ändern. Erstellen Sie einen Zugriffslisteneintrag (Quelle und Ziel) entsprechend dem Verbindungsaufbau, um den Verbindungstimeout mit MPF einzustellen.