Problema ASA IPS: interfaz de enrutamiento y administración

7

Tenemos una red de administración (192.168.25.0/24) donde tenemos la administración de ip de ASA 5525-X IPS Bundle (.250) e IPS (.37). El IPS tiene una puerta de enlace predeterminada de nuestro conmutador de capa 3 (.1) que está detrás del ASA (según los documentos de Cisco ).

Para pasar el tráfico de regreso al IPS, creé una ruta para 192.168.25.0/24 que apunta al interruptor L3.

Cuando escribo #sh routeen el ASA:

C    192.168.30.0 255.255.255.0 is directly connected, inside
C    192.168.25.0 255.255.255.0 is directly connected, management
C    192.168.35.0 255.255.255.0 is directly connected, outside
S*   0.0.0.0 0.0.0.0 [1/0] via 192.168.35.1, outside

al mismo tiempo #sh running-config route:

route outside 0.0.0.0 0.0.0.0 192.168.35.1 1
route inside 192.168.25.0 255.255.255.0 192.168.30.2 1

Entonces, en la tabla de enrutamiento tengo información de que la subred está directamente conectada y si el tráfico de la interfaz de administración no pasará a IPS. Pero el IPS puede acceder a Internet y el tráfico pasa por el interruptor L3 (verifiqué el contador).

¿Alguien puede explicar cómo debería funcionar el enrutamiento para la función IPS?

Эдуард Буремный
fuente
Si elimina la dirección IP de la terraza de administración I, ¿qué IP utiliza para contactar con el dispositivo?
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

2

Me he encontrado con este problema antes y hay un par de cosas que suceden en este escenario.

Primero, la interfaz de administración no juega con las mismas reglas que otras interfaces en el FW. De forma predeterminada, no pasará ni recibirá tráfico de ninguna otra interfaz en el dispositivo debido a la configuración "Solo administración".

En segundo lugar, la forma en que Cisco implementa la interfaz de administración provoca un bucle de enrutamiento con el ASA. Desea enrutar todo el tráfico a la red de administración a través del conmutador L3 en el interior, pero el ASA considera que la red de administración está conectada directamente a través de la interfaz de administración

Desea que el tráfico tome la siguiente ruta:

IPS> Conmutador L3> ASA interior> Internet> ASA exterior> Conmutador L3> IPS

Desafortunadamente, el camino que está tomando realmente se ve así:

IPS> Switch L3> ASA Inside> Internet> ASA Outside> Bit Bucket

Cualquier paquete enviado desde el IPS a Internet se devuelve a la interfaz externa ASA, momento en el que se verifica la tabla de enrutamiento y ve que la red de administración está conectada directamente a través de la interfaz de administración. Dado que la interfaz de administración no recibirá tráfico de otra interfaz por defecto, los bits caen al suelo.

Desafortunadamente, la mejor manera de resolver este problema es abandonar el uso de la interfaz de administración para administrar el firewall y, en su lugar, usar la interfaz interna. Si elimina la dirección IP de la interfaz de administración (pero aún mantiene el puerto habilitado para el módulo IPS), eso eliminará la red de administración de la tabla de enrutamiento ASA. Esto permitirá que el tráfico tome la ruta correcta de regreso al interruptor L3 en el interior cuando regrese de Internet.

espero que esto ayude

Mike sin fin
fuente
¡Gracias! Entiendo que el tráfico de INternet a IPS debe ser así: IPS> Conmutador L3> ASA Inside> Internet> ASA Outside> Bit Bucket, porque hemos conectado la red en la tabla de enrutamiento. Pero el tráfico va de esa manera: IPS> Switch L3> ASA Inside> Internet> ASA Outside> Switch L3> IPS y es bastante extraño). PD cuando quiero eliminar la ruta estática (ruta dentro de 192.168.25.0 255.255.255.0 192.168.30.2 1) de la configuración en ejecución obtengo el error: ERROR: No se puede eliminar la ruta conectada. Comportamiento muy extraño.
Эдуард Буремный
Es una ruta conectada, y no apunta al interior sino a la interfaz de administración real.
cpt_fink
2

Desafortunadamente, la interfaz mgmt0 / 0 en un ASA a menudo se usa incorrectamente. Solo debe usarse para la administración del contexto de administración / sistema de un ASA en modo multicontexto, o para una subred de administración dedicada que usa el ASA como su puerta de enlace predeterminada.

Lo que debe hacer es eliminar la dirección IP de la interfaz mgmt0 / 0 en el propio ASA (¡NO EL IPS!) Y todo debería funcionar como se espera, siempre y cuando la subred de administración se enrute a la interfaz correcta en el ASA.

Lo que sucede con el ASA que tiene una interfaz en la subred de administración (192.168.25.0/24 en este caso) son todos los paquetes de esa subred que usan una puerta de enlace interna (conmutador L3) y luego intentan y reenvían los paquetes a través de la insideinterfaz. verificación de reenvío de ruta inversa (RPF) y se descarta como tráfico falso.

El flujo de tráfico real que está viendo es IPS> Conmutador L3> ASA> Bit Bucket (Fallo de RPF), hasta que vuelva a direccionar el IPS, desactive la comprobación de RPF (no recomendado) o elimine la IP de la interfaz de administración 0/0 del ASA. continuará viendo este comportamiento.

cpt_fink
fuente