ASA 8.3 ou posterior: Exemplo de Configuração de Timeout para Conexão SSH/Telnet/HTTP Usando MPF

Opções de download

PDF (409.1 KB)
Ver no Adobe Reader em vários dispositivos
ePub (269.6 KB)
Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
Mobi (Kindle) (581.0 KB)
Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos

Atualizado:17 de junho de 2011

ID do documento:113051

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Pré-requisitos

Requisitos

Componentes Utilizados

Conventions

Configurar

Diagrama de Rede

Configurações

Tempo limite embrionário

Troubleshooting

Informações Relacionadas

Introdução

Este documento fornece uma configuração de exemplo para o Cisco Adaptive Security Appliance (ASA) com versão 8.3(1) ou posterior de um tempo limite que é específico para alguma aplicação em particular, como SSH/Telnet/HTTP, diferente de um que se aplica a toda aplicações. Este exemplo de configuração usa a Estrutura de Política Modular (MPF - Modular Policy Framework), que foi introduzida no Cisco Adaptive Security Appliance (ASA) versão 7.0. Consulte Utilização da Estrutura de Política Modular para obter mais informações.

Nesta configuração de exemplo, o Cisco ASA é configurado para permitir que a estação de trabalho (10.77.241.129) execute telnet/SSH/HTTP para o servidor remoto (10.1.1.1) atrás do roteador. Um intervalo de conexão separado para tráfego Telnet/SSH/HTTP também é configurado. Todo o tráfego TCP restante continua a ter o valor de tempo limite de conexão normal associado com timeout conn 1:00:00.

Consulte PIX/ASA 7.x e posterior/FWSM: Exemplo de Configuração de Timeout para Conexão SSH/Telnet/HTTP Usando MPF para obter a mesma configuração no Cisco ASA com versões 8.2 e anteriores.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas no software Cisco ASA Security Appliance versão 8.3(1) com Adaptive Security Device Manager (ASDM) 6.3.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota:Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Observação: os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São endereços RFC 1918, que foram usados em um ambiente de laboratório.

Configurações

Este documento utiliza as seguintes configurações:

Configuração de CLI
Configuração do ASDM

Observação: essas configurações de CLI e ASDM são aplicáveis ao Firewall Service Module (FWSM).

Configuração de CLI

Configuração do ASA 8.3(1)
ASA Version 8.3(1) ! hostname ASA domain-name nantes-port.fr enable password S39lgaewi/JM5WyY level 3 encrypted enable password 2KFQnbNIdI.2KYOU encrypted passwd 1mZfSd48bl0UdPgP encrypted no names dns-guard ! interface Ethernet0/0 nameif outside security-level 0 ip address 192.168.200.1 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 10.77.241.142 255.255.255.0 boot system disk0:/asa831-k8.bin ftp mode passive dns domain-lookup outside !--- Creates an object called DM_INLINE_TCP_1. This defines the traffic !--- that has to be matched in the class map. object-group service DM_INLINE_TCP_1 tcp port-object eq www port-object eq ssh port-object eq telnet access-list outside_mpc extended permit tcp host 10.77.241.129 any object-group DM_INLINE_TCP_1 pager lines 24 mtu inside 1500 mtu outside 1500 no failover no asdm history enable arp timeout 14400 nat (inside) 0 access-list inside_nat0_outbound access-group 101 in interface outside route outside 0.0.0.0 0.0.0.0 192.168.200.2 1 timeout xlate 3:00:00 !--- The default connection timeout value of one hour is applicable to !--- all other TCP applications. timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ! !--- Define the class map Cisco-class in order !--- to classify Telnet/ssh/http traffic when you use Modular Policy Framework !--- to configure a security feature. !--- Assign the parameters to be matched by class map. class-map Cisco-class match access-list outside_mpc class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp !--- Use the pre-defined class map Cisco-class* in the policy map.* policy-map Cisco-policy !--- Set the connection timeout under the class mode where !--- the idle TCP (Telnet/ssh/http) connection is disconnected. !--- There is a set value of ten minutes in this example. !--- The minimum possible value is five minutes. class Cisco-class set connection timeout idle 0:10:00 reset ! ! service-policy global_policy global !--- Apply the policy-map Cisco-policy* on the interface. !--- You can apply the service-policy command to any interface that !--- can be defined by the nameif command.* service-policy Cisco-policy interface outside end

Configuração do ASA 8.3(1)

ASA Version 8.3(1) 
!
hostname ASA
domain-name nantes-port.fr
enable password S39lgaewi/JM5WyY level 3 encrypted
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 1mZfSd48bl0UdPgP encrypted
no names

dns-guard
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.200.1 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
ip address 10.77.241.142 255.255.255.0
 

boot system disk0:/asa831-k8.bin
ftp mode passive
dns domain-lookup outside


!--- Creates an object called DM_INLINE_TCP_1. This defines the traffic !--- that has to be matched in the class map.


object-group service DM_INLINE_TCP_1 tcp
 port-object eq www
 port-object eq ssh
 port-object eq telnet

access-list outside_mpc extended permit tcp host 10.77.241.129 any object-group DM_INLINE_TCP_1 


pager lines 24
mtu inside 1500
mtu outside 1500
no failover
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list inside_nat0_outbound
access-group 101 in interface outside

route outside 0.0.0.0 0.0.0.0 192.168.200.2 1
timeout xlate 3:00:00


!--- The default connection timeout value of one hour is applicable to !--- all other TCP applications.

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!


!--- Define the class map Cisco-class in order !--- to classify Telnet/ssh/http traffic when you use Modular Policy Framework !--- to configure a security feature. !--- Assign the parameters to be matched by class map.


class-map Cisco-class
 match access-list outside_mpc

class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp


!--- Use the pre-defined class map Cisco-class in the policy map. 


policy-map Cisco-policy


!--- Set the connection timeout under the class mode where !--- the idle TCP (Telnet/ssh/http) connection is disconnected. !--- There is a set value of ten minutes in this example. !--- The minimum possible value is five minutes.


 class Cisco-class
  set connection timeout idle 0:10:00 reset
!
!
service-policy global_policy global


!--- Apply the policy-map Cisco-policy on the interface. !--- You can apply the service-policy command to any interface that !--- can be defined by the nameif command.

service-policy Cisco-policy interface outside
end

Configuração do ASDM

Conclua estas etapas para configurar o timeout de conexão TCP para tráfego Telnet, SSH e HTTP usando o ASDM como mostrado.

Observação: Consulte Permitindo o Acesso HTTPS para ASDM para obter as configurações básicas para acessar o PIX/ASA através do ASDM.

Selecione Configuration > Firewall > Service Policy Rules e clique em Add para configurar a regra Service Policy como mostrado.
Na janela Add Service Policy Rule Wizard - Service Policy, escolha o botão de opção ao lado de Interface na seção Create a Service Policy and Apply To. Agora, escolha a interface desejada na lista suspensa e forneça um Policy Name. O nome da política usado neste exemplo é Cisco-policy. Em seguida, clique em Avançar.
Crie um nome de mapa de classe Cisco-class e marque a caixa de seleção Source and Destination IP address (uses ACL) nos Traffic Match Criteria. Em seguida, clique em Avançar.
Na janela Add Service Policy Rule Wizard - Traffic Match - Source and Destination Address, escolha o botão de opção ao lado de Match e forneça os endereços de origem e destino como mostrado. Clique no botão suspenso ao lado de Service para escolher os serviços necessários.
Selecione os serviços necessários, como telnet, ssh e http. Em seguida, clique em OK.
Configure os tempos limite. Clique em Next.
Escolha Connection Settings para configurar o TCP Connection Timeout como 10 minutos. Além disso, marque a caixa de seleção Send reset to TCP endpoints before timeout. Clique em Finish.
Clique em Apply para aplicar a configuração ao Security Appliance.

Isso conclui a configuração.

Tempo limite embrionário

Uma conexão embrionária é a conexão que está meio aberta ou, por exemplo, o handshake triplo não foi concluído para ela. É definido como tempo limite SYN no ASA. Por padrão, o tempo limite de SYN no ASA é de 30 segundos. Veja a seguir como configurar o Tempo Limite Embrionário:

access-list emb_map extended permit tcp any any 
 
class-map emb_map
match access-list emb_map
  
policy-map global_policy
class emb_map
set connection timeout embryonic 0:02:00
 
service-policy global_policy global

Troubleshooting

Se você descobrir que o tempo limite da conexão não funciona com o MPF, verifique a conexão de início do TCP. O problema pode ser uma inversão do endereço IP origem e destino ou um endereço IP configurado incorretamente na lista de acesso não corresponde no MPF para definir o novo valor de tempo limite ou para alterar o tempo limite padrão do aplicativo. Crie uma entrada de lista de acesso (origem e destino) de acordo com o início da conexão para definir o tempo limite da conexão com o MPF.