Konfigurieren der Funktion "TCP State Bypass" auf der Serie ASA 5500

Einleitung

In diesem Dokument wird beschrieben, wie Sie die Funktion zur Umgehung des TCP-Status konfigurieren, mit der der ein- und ausgehende Datenverkehr über separate Cisco Adaptive Security Appliances (ASAs) der Serie ASA 5500 geleitet werden kann.

Voraussetzungen

Anforderungen

Auf der Cisco ASA muss mindestens die Basislizenz installiert sein, bevor Sie mit der in diesem Dokument beschriebenen Konfiguration fortfahren können.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf der Cisco Serie ASA 5500, auf der die Software Version 9.x ausgeführt wird.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Hintergrundinformationen

Dieser Abschnitt enthält eine Übersicht über die Funktion zur TCP-Zustandsumgehung und die zugehörigen Supportinformationen.

Übersicht über die TCP-Zustandsumgehungsfunktion

Standardmäßig wird der gesamte Datenverkehr, der über die ASA geleitet wird, mithilfe des Adaptive Security Algorithm geprüft und entweder zugelassen oder gemäß der Sicherheitsrichtlinie blockiert. Um die Firewall-Leistung zu maximieren, überprüft die ASA den Status jedes Pakets (z. B. ob es sich um eine neue Verbindung oder eine bestehende Verbindung handelt) und weist es entweder dem Sitzungsmanagementpfad (ein neues Verbindungs-Synchronisierungspaket (SYN-Paket), dem schnellen Pfad (eine bestehende Verbindung) oder dem Steuerungsebenenpfad (erweiterte Überprüfung) zu.

Die TCP-Pakete, die den aktuellen Verbindungen im Fast Path entsprechen, können die ASA passieren, ohne dass alle Aspekte der Sicherheitsrichtlinie überprüft werden müssen. Diese Funktion maximiert die Leistung. Die Methode, die verwendet wird, um die Sitzung im schnellen Pfad einzurichten (der das SYN-Paket verwendet), und die Prüfungen, die im schnellen Pfad stattfinden (wie die TCP-Sequenznummer), können jedoch asymmetrischen Routing-Lösungen im Wege stehen; sowohl der ausgehende als auch der eingehende Datenverkehr einer Verbindung müssen über dieselbe ASA verlaufen.

Beispiel: Eine neue Verbindung geht zu ASA 1. Das SYN-Paket durchläuft den Sitzungsmanagementpfad, und ein Eintrag für die Verbindung wird zur Tabelle für schnelle Pfade hinzugefügt. Wenn nachfolgende Pakete dieser Verbindung die ASA 1 durchlaufen, stimmen die Pakete mit dem Eintrag im Fast Path überein und werden weitergeleitet. Wenn nachfolgende Pakete an die ASA 2 weitergeleitet werden, bei der kein SYN-Paket den Sitzungsmanagementpfad durchlaufen hat, gibt es keinen Eintrag im schnellen Pfad für die Verbindung, und die Pakete werden verworfen.

Wenn auf den Upstream-Routern asymmetrisches Routing konfiguriert ist und der Datenverkehr zwischen zwei ASAs wechselt, können Sie die Funktion zur Umgehung des TCP-Status für bestimmten Datenverkehr konfigurieren. Die Funktion zur TCP-Zustandsumgehung ändert die Art und Weise, wie Sitzungen im Fast Path eingerichtet werden, und deaktiviert die Fast Path-Prüfungen. Diese Funktion behandelt TCP-Datenverkehr genauso wie UDP-Verbindungen: Wenn ein Nicht-SYN-Paket, das mit den angegebenen Netzwerken übereinstimmt, auf die ASA zugreift und es keinen Fast Path-Eintrag gibt, durchläuft das Paket den Sitzungsmanagementpfad, um die Verbindung auf dem Fast Path herzustellen. Sobald der Datenverkehr auf dem Fast Path ist, umgeht er die Fast Path Checks.

Dieses Bild zeigt ein Beispiel für asymmetrisches Routing, bei dem der ausgehende Datenverkehr eine andere ASA durchläuft als der eingehende:

Anmerkung: Die Funktion zur TCP-Zustandsumgehung ist auf der Cisco Serie ASA 5500 standardmäßig deaktiviert. Darüber hinaus kann die TCP-Status-Bypass-Konfiguration eine hohe Anzahl von Verbindungen verursachen, wenn sie nicht ordnungsgemäß implementiert wird.

Support-Informationen

In diesem Abschnitt werden die Supportinformationen für die TCP-Zustandsumgehungsfunktion beschrieben.

• Kontextmodus - Die TCP-Zustandsumgehungsfunktion wird im Einzel- und Mehrfachkontextmodus unterstützt.
  
  
• Firewall Mode - Die Funktion zur Umgehung des TCP-Zustands wird im gerouteten und transparenten Modus unterstützt.
  
  
• Failover - Die Funktion zur Umgehung des TCP-Zustands unterstützt Failover.

Diese Funktionen werden nicht unterstützt, wenn Sie die TCP-Zustandsumgehungsfunktion verwenden:

• Anwendungsinspektion - Die Anwendungsinspektion erfordert, dass sowohl der ein- als auch der ausgehende Datenverkehr über dieselbe ASA geleitet wird, sodass die Anwendungsinspektion nicht durch die TCP-Zustandsumgehung unterstützt wird.
  
  
• Authentication, Authorization, and Accounting (AAA) authentifizierte Sitzungen - Wenn sich ein Benutzer bei einer ASA authentifiziert, wird der über die andere ASA zurückgegebene Datenverkehr abgelehnt, da sich der Benutzer bei dieser ASA nicht authentifiziert hat.
  
  
• TCP-Intercept, maximale embryonale Verbindungsgrenze, Randomisierung der TCP-Sequenznummer - Die ASA verfolgt den Verbindungsstatus nicht, daher werden diese Funktionen nicht angewendet.
  
  
• TCP-Normalisierung - Der TCP-Normalisierer ist deaktiviert.
  
  
• Funktionen des Sicherheitsdienstmoduls (SSM) und der Sicherheitsdienstkarte (SSC) - Sie können die Funktion zur Umgehung des TCP-Zustands nicht für Anwendungen verwenden, die auf einem SSM oder SSC ausgeführt werden, wie IPS oder Content Security (CSC).

Anmerkung: Da die Übersetzungssitzung für jede ASA separat eingerichtet wird, stellen Sie sicher, dass Sie auf beiden ASAs eine statische Network Address Translation (NAT) für den TCP-Status-Umgehungsverkehr konfigurieren. Wenn Sie dynamische NAT verwenden, unterscheidet sich die für die Sitzung auf der ASA 1 ausgewählte Adresse von der für die Sitzung auf der ASA 2 ausgewählten Adresse.

Konfigurieren

In diesem Abschnitt wird beschrieben, wie die Funktion zur Umgehung des TCP-Zustands auf der ASA 5500-Serie in zwei verschiedenen Szenarien konfiguriert wird.

Anmerkung: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Szenario 1

Dies ist die Topologie, die für das erste Szenario verwendet wird:

Anmerkung: Sie müssen die in diesem Abschnitt beschriebene Konfiguration auf beide ASAs anwenden.

Gehen Sie wie folgt vor, um die Funktion zur Umgehung des TCP-Status zu konfigurieren:

1. Geben Sie den Befehl class_map_name ein, um eine Klassenzuordnung zu erstellen. Die Klassenzuordnung wird verwendet, um den Datenverkehr zu identifizieren, für den die Stateful-Firewall-Überprüfung deaktiviert werden soll.

   Anmerkung: Die in diesem Beispiel verwendete Klassenzuordnung lautet tcp_bypass.

   ASA(config)#class-map tcp_bypass

2. Geben Sie den Befehl match parameter ein, um den relevanten Datenverkehr innerhalb der Klassenzuordnung anzugeben. Wenn Sie das Modular Policy Framework verwenden, verwenden Sie den Befehl match access-list im class-map configuration-Modus, um eine Zugriffsliste zur Identifizierung des Datenverkehrs zu verwenden, auf den Sie Aktionen anwenden möchten. Nachfolgend finden Sie ein Beispiel für diese Konfiguration:
   
   

   ASA(config)#class-map tcp_bypass
   ASA(config-cmap)#match access-list tcp_bypass

   Anmerkung: tcp_bypass ist der Name der Zugriffsliste, die in diesem Beispiel verwendet wird. Weitere Informationen zur Angabe des gewünschten Datenverkehrs finden Sie in der Identifying Traffic (Layer 3/4 Class Map).

3. Geben Sie den Befehl policy-map name ein, um eine Richtlinienzuordnung hinzuzufügen oder eine (bereits vorhandene) Richtlinienzuordnung zu bearbeiten, die die Aktionen zuweist, die in Bezug auf den angegebenen Klassenzuordnungsverkehr ausgeführt werden sollen. Wenn Sie das Modular Policy Framework verwenden, verwenden Sie den Befehl policy-map (ohne das type-Schlüsselwort) im globalen Konfigurationsmodus, um dem Datenverkehr, den Sie mit einer Layer-3/4-Klassenzuordnung identifiziert haben, Aktionen zuzuweisen (class-map oder class-map type management-Befehl). In diesem Beispiel lautet die Richtlinienzuordnung tcp_bypass_policy:
   
   

   ASA(config-cmap)#policy-map tcp_bypass_policy

4. Geben Sie den Befehl class im Richtlinienzuordnungs-Konfigurationsmodus ein, um die erstellte Klassenzuordnung (tcp_bypass) der Richtlinienzuordnung (tcp_bypass_policy) zuzuweisen, sodass Sie die Aktionen dem Klassenzuordnungsverkehr zuweisen können. In diesem Beispiel lautet die Klassenzuordnung tcp_bypass:
   
   

   ASA(config-cmap)#policy-map tcp_bypass_policy
   ASA(config-pmap)#class tcp_bypass

5. Geben Sie den Befehl set connection advanced-options tcp-state-bypass im Klassenkonfigurationsmodus ein, um die Funktion zur TCP-Zustandsumgehung zu aktivieren. Dieser Befehl wurde in Version 8.2(1) eingeführt. Der Zugriff auf den Klassenkonfigurationsmodus erfolgt über den Richtlinienzuweisungs-Konfigurationsmodus, wie in diesem Beispiel gezeigt:
   
   

   ASA(config-cmap)#policy-map tcp_bypass_policy
   ASA(config-pmap)#class tcp_bypass
   ASA(config-pmap-c)#set connection advanced-options tcp-state-bypass

6. Geben Sie service-policy policy_map_name [ global | interface intf ] im globalen Konfigurationsmodus ein, um eine Richtlinienzuordnung global auf allen Schnittstellen oder auf einer Zielschnittstelle zu aktivieren. Um die Dienstrichtlinie zu deaktivieren, verwenden Sie die Form no dieses Befehls. Geben Sie den Befehl service-policy ein, um eine Reihe von Richtlinien auf einer Schnittstelle zu aktivieren. Das globale Schlüsselwort wendet die Richtlinienzuordnung auf alle Schnittstellen an, und das interface-Schlüsselwort wendet die Richtlinienzuordnung nur auf eine Schnittstelle an. Es ist nur eine globale Richtlinie zulässig. Um die globale Richtlinie für eine Schnittstelle zu überschreiben, können Sie eine Dienstrichtlinie auf diese Schnittstelle anwenden. Sie können auf jede Schnittstelle nur eine Richtlinienzuordnung anwenden. Hier ein Beispiel:
   
   

   ASA(config-pmap-c)#service-policy tcp_bypass_policy outside

Nachfolgend finden Sie eine Beispielkonfiguration für die Funktion zur TCP-Zustandsumgehung auf ASA1:

!--- Configure the access list to specify the TCP traffic
!--- that needs to by-pass inspection to improve the performance.
 
ASA1(config)#access-list tcp_bypass extended permit tcp 10.1.1.0 255.255.255.0
 172.16.1.0 255.255.255.0

!--- Configure the class map and specify the match parameter for the
!--- class map to match the interesting traffic.

ASA1(config)#class-map tcp_bypass
ASA1(config-cmap)#description "TCP traffic that bypasses stateful firewall"
ASA1(config-cmap)#match access-list tcp_bypass
  
!--- Configure the policy map and specify the class map
!--- inside this policy map for the class map.
 
ASA1(config-cmap)#policy-map tcp_bypass_policy
ASA1(config-pmap)#class tcp_bypass
 
!--- Use the set connection advanced-options tcp-state-bypass 
!--- command in order to enable TCP state bypass feature.
 
ASA1(config-pmap-c)#set connection advanced-options tcp-state-bypass
 
!--- Use the service-policy policymap_name [ global | interface intf ]
!--- command in global configuration mode in order to activate a policy map
!--- globally on all interfaces or on a targeted interface.
 
ASA1(config-pmap-c)#service-policy tcp_bypass_policy outside

!--- NAT configuration

ASA1(config)#object network obj-10.1.1.0
ASA1(config-network-object)#subnet 10.1.1.0 255.255.255.0
ASA1(config-network-object)#nat(inside,outside) static 192.168.1.0

Nachfolgend finden Sie eine Beispielkonfiguration für die Funktion zur TCP-Zustandsumgehung auf ASA2:

!--- Configure the access list to specify the TCP traffic
!--- that needs to by-pass inspection to improve the performance.
 
ASA2(config)#access-list tcp_bypass extended permit tcp 172.16.1.0 255.255.255.0
 10.1.1.0 255.255.255.0
 
!--- Configure the class map and specify the match parameter for the
!--- class map to match the interesting traffic.
 
ASA2(config)#class-map tcp_bypass
ASA2(config-cmap)#description "TCP traffic that bypasses stateful firewall"
ASA2(config-cmap)#match access-list tcp_bypass 
 
!--- Configure the policy map and specify the class map
!--- inside this policy map for the class map.
 
ASA2(config-cmap)#policy-map tcp_bypass_policy
ASA2(config-pmap)#class tcp_bypass
 
!--- Use the set connection advanced-options tcp-state-bypass 
!--- command in order to enable TCP state bypass feature.
 
ASA2(config-pmap-c)#set connection advanced-options tcp-state-bypass
 
!--- Use the service-policy policymap_name [ global | interface intf ]
!--- command in global configuration mode in order to activate a policy map
!--- globally on all interfaces or on a targeted interface.
 
ASA2(config-pmap-c)#service-policy tcp_bypass_policy outside 
 
!--- NAT configuration 

ASA2(config)#object network obj-10.1.1.0
ASA2(config-network-object)#subnet 10.1.1.0 255.255.255.0
ASA1(config-network-object)#nat(inside,outside) static 192.168.1.0

Szenario 2

In diesem Abschnitt wird beschrieben, wie die Funktion zur Umgehung des TCP-Status auf ASA-Geräten für Szenarien konfiguriert wird, bei denen asymmetrisches Routing verwendet wird. Dabei wird der Datenverkehr über dieselbe Schnittstelle auf die ASA zu- und abfließen (Aktivierung).

Die Topologie in diesem Szenario sieht wie folgt aus:

    

Gehen Sie wie folgt vor, um die Funktion zur Umgehung des TCP-Status zu konfigurieren:

1. Erstellen Sie eine Zugriffsliste, um den Datenverkehr abzugleichen, der die TCP-Überprüfung umgehen soll:
   
   

   ASA(config)#access-list tcp_bypass extended permit tcp 192.168.2.0 255.255.255.0
    192.168.1.0 255.255.255.0

2. Geben Sie den Befehl class_map_name ein, um eine Klassenzuordnung zu erstellen. Die Klassenzuordnung wird verwendet, um den Datenverkehr zu identifizieren, für den die Stateful-Firewall-Überprüfung deaktiviert werden soll.

   Anmerkung: Die in diesem Beispiel verwendete Klassenzuordnung lautet tcp_bypass.

   ASA(config)#class-map tcp_bypass

3. Geben Sie den Befehl match parameter ein, um den Datenverkehr in der Klassenzuordnung anzugeben. Wenn Sie das Modular Policy Framework verwenden, verwenden Sie den Befehl match access-list im class-map configuration-Modus, um eine Zugriffsliste zur Identifizierung des Datenverkehrs zu verwenden, auf den Sie Aktionen anwenden möchten. Nachfolgend finden Sie ein Beispiel für diese Konfiguration:
   
   

   ASA(config)#class-map tcp_bypass
   ASA(config-cmap)#match access-list tcp_bypass

   Anmerkung: tcp_bypass ist der Name der Zugriffsliste, die in diesem Beispiel verwendet wird. Weitere Informationen zur Angabe des gewünschten Datenverkehrs finden Sie unter Identifying Traffic (Layer 3/4 Class Map).

4. Geben Sie den Befehl policy-map name ein, um eine Richtlinienzuordnung hinzuzufügen oder eine (bereits vorhandene) Richtlinienzuordnung zu bearbeiten, mit der die Aktionen für den angegebenen Klassenzuordnungsverkehr festgelegt werden. Wenn Sie das Modular Policy Framework verwenden, verwenden Sie den Befehl policy-map (ohne das type-Schlüsselwort) im globalen Konfigurationsmodus, um die Aktionen dem Datenverkehr zuzuweisen, den Sie mit einer Layer-3/4-Klassenzuordnung identifiziert haben (class-map oder class-map type management-Befehl). In diesem Beispiel lautet die Richtlinienzuordnung tcp_bypass_policy:
   
   

   ASA(config-cmap)#policy-map tcp_bypass_policy

5. Geben Sie den Befehl class im Richtlinienzuordnungs-Konfigurationsmodus ein, um die erstellte Klassenzuordnung (tcp_bypass) der Richtlinienzuordnung (tcp_bypass_policy) zuzuweisen, sodass Sie dem Klassenzuordnungsverkehr Aktionen zuweisen können. In diesem Beispiel lautet die Klassenzuordnung tcp_bypass:
   
   

   ASA(config-cmap)#policy-map tcp_bypass_policy
   ASA(config-pmap)#class tcp_bypass

6. Geben Sie den Befehl set connection advanced-options tcp-state-bypass im Klassenkonfigurationsmodus ein, um die Funktion zur TCP-Zustandsumgehung zu aktivieren. Dieser Befehl wurde in Version 8.2(1) eingeführt. Der Zugriff auf den Klassenkonfigurationsmodus erfolgt über den Richtlinienzuweisungs-Konfigurationsmodus, wie in diesem Beispiel gezeigt:
   
   

   ASA(config-cmap)#policy-map tcp_bypass_policy
   ASA(config-pmap)#class tcp_bypass
   ASA(config-pmap-c)#set connection advanced-options tcp-state-bypass

7. Geben Sie service-policy policy_map_name [ global | interface intf ] im globalen Konfigurationsmodus verwendet, um eine Richtlinienzuordnung global auf allen Schnittstellen oder auf einer Zielschnittstelle zu aktivieren. Um die Dienstrichtlinie zu deaktivieren, verwenden Sie die Form no dieses Befehls. Geben Sie den Befehl service-policy ein, um eine Reihe von Richtlinien auf einer Schnittstelle zu aktivieren. Das globale Schlüsselwort wendet die Richtlinienzuordnung auf alle Schnittstellen an, und das interface-Schlüsselwort wendet die Richtlinie nur auf eine Schnittstelle an. Es ist nur eine globale Richtlinie zulässig. Um die globale Richtlinie für eine Schnittstelle zu überschreiben, können Sie eine Dienstrichtlinie auf diese Schnittstelle anwenden. Sie können auf jede Schnittstelle nur eine Richtlinienzuordnung anwenden. Hier ein Beispiel:
   
   

   ASA(config-pmap-c)#service-policy tcp_bypass_policy inside

8. Erlauben Sie die gleiche Sicherheitsstufe für den Datenverkehr auf der ASA:
   
   

   ASA(config)#same-security-traffic permit intra-interface

Nachfolgend finden Sie eine Beispielkonfiguration für die Funktion zur TCP-Zustandsumgehung auf der ASA:

!--- Configure the access list to specify the TCP traffic
!--- that needs to bypass inspection to improve the performance.
 
ASA(config)#access-list tcp_bypass extended permit tcp 192.168.2.0 255.255.255.0
 192.168.1.0 255.255.255.0
  
!--- Configure the class map and specify the match parameter for the
!--- class map to match the interesting traffic.
 
ASA(config)#class-map tcp_bypass
ASA(config-cmap)#description "TCP traffic that bypasses stateful firewall"
ASA(config-cmap)#match access-list tcp_bypass 
 
!--- Configure the policy map and specify the class map
!--- inside this policy map for the class map.
 
ASA(config-cmap)#policy-map tcp_bypass_policy
ASA(config-pmap)#class tcp_bypass
 
!--- Use the set connection advanced-options tcp-state-bypass 
!--- command in order to enable TCP state bypass feature.
 
ASA(config-pmap-c)#set connection advanced-options tcp-state-bypass
 
!--- Use the service-policy policymap_name [ global | interface intf ]
!--- command in global configuration mode in order to activate a policy map
!--- globally on all interfaces or on a targeted interface.
 
ASA(config-pmap-c)#service-policy tcp_bypass_policy inside

!--- Permit same security level traffic on the ASA to support U-turning

ASA(config)#same-security-traffic permit intra-interface

Überprüfung

Geben Sie Show Conn , um die Anzahl der aktiven TCP- und UDP-Verbindungen sowie Informationen über die Verbindungen verschiedener Typen anzuzeigen. Um den Verbindungsstatus für den angegebenen Verbindungstyp anzuzeigen, geben Sie den Show Conn im privilegierten EXEC-Modus.

Anmerkung: Dieser Befehl unterstützt IPv4- und IPv6-Adressen. Die Ausgabe, die für die Verbindungen angezeigt wird, die die TCP-Zustandsumgehungsfunktion verwenden, umfasst das Flag b.

Hier ein Beispiel:

ASA(config)show conn
1 in use, 3 most used
TCP tcp 10.1.1.1:49525 tcp 172.16.1.1:21, idle 0:01:10, bytes 230, flags b

Fehlerbehebung

Es gibt keine spezifischen Informationen zur Fehlerbehebung für diese Funktion. In den folgenden Dokumenten finden Sie allgemeine Informationen zur Behebung von Verbindungsproblemen:

   

• ASA-Paketerfassung mit CLI und ASDM - Konfigurationsbeispiel
  
  
• Paketfluss durch die Cisco ASA Firewall

Anmerkung: Die TCP-Status-Bypass-Verbindungen werden nicht in einem Failover-Paar auf die Standby-Einheit repliziert.

Fehlermeldungen

Die ASA zeigt diese Fehlermeldung auch dann an, wenn die Funktion zur TCP-Zustandsumgehung aktiviert wurde:

%PIX|ASA-4-313004:Denied ICMP type=icmp_type, from source_address oninterface 
interface_name to dest_address:no matching session

Die Internet Control Message Protocol (ICMP)-Pakete werden von der ASA aufgrund der Sicherheitsüberprüfungen verworfen, die durch die zustandsbehaftete ICMP-Funktion hinzugefügt werden. Dabei handelt es sich in der Regel entweder um ICMP-Echoantworten ohne gültige Echoanfrage, die bereits über die ASA weitergeleitet wurde, oder um ICMP-Fehlermeldungen, die sich nicht auf derzeit in der ASA eingerichtete TCP-, UDP- oder ICMP-Sitzungen beziehen.

Die ASA zeigt dieses Protokoll auch dann an, wenn die TCP-Statusumgehungsfunktion aktiviert ist, da die Deaktivierung dieser Funktion (d. h. die Überprüfung der ICMP-Rückgabeeinträge für Typ 3 in der Verbindungstabelle) nicht möglich ist. Die Funktion zur TCP-Zustandsumgehung funktioniert jedoch ordnungsgemäß.

Geben Sie den folgenden Befehl ein, um das Auftreten dieser Meldungen zu verhindern:

hostname(config)#no logging message 313004

Zugehörige Informationen

• Cisco Adaptive Security Device Manager
  
  
• Cisco Adaptive Security Appliances der Serie ASA 5500
  
  
• Requests for Comments (RFCs)
  
  
• Technischer Support und Dokumentation für Cisco Systeme