Segurança : Dispositivos de segurança Cisco PIX 500 Series

Perguntas Mais Freqüentes sobre o Cisco Secure PIX Firewall

22 Janeiro 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (26 Setembro 2008) | Feedback

Perguntas

Introdução
Hardware
Software – Instalação e Melhoramentos
Software - Failover
Perguntas Adicionais do Software
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Este documento contém as perguntas freqüentemente (FAQs) a respeito do Cisco Secure PIX Firewall.

Consulte Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos.

Hardware

P. Desejo instalar uma nova placa de interface no meu Cisco Secure PIX Firewall. Em que slot devo instalá-la?

Cada modelo de PIX é diferente. Vá até a documentação PIX e escolha a sua versão do software. Nessa página, selecione Guia de Instalação; em seguida, escolha Instalando uma Placa de Circuito para obter diagramas e instruções detalhadas.

P. Estou tentando instalar uma nova placa de interface no meu Cisco Secure PIX Firewall. Firewall. A placa parece ser muito grande para qualquer um dos slots. Eu estou com a parte errada?

É normal para alguns dos dentes dourados na placa estender-se além da borda do soquete.

P. Meu Cisco Secure PIX Firewall foi fornecido com duas placas Ethernet. Estou incluindo interfaces adicionais e agora ela não inicializa no prompt de comando.

O número de interfaces suportadas depende do modelo, da versão do software e da licença do PIX. Consulte a documentação PIX para saber sobre interfaces físicas máximas e interfaces de VLAN máximas que podem ser configuradas no PIX 6.3 (versão mais recente desde a escrita deste documento).

P. Preciso estabelecer uma conexão de console com o meu Cisco Secure PIX Firewall. Que tipo de cabo devo usar?

Use um modem a cabo nulo DB9 a DB9 disponível na maioria das lojas de informática. Às vezes, o Cisco Secure PIX Firewall vem com dois adaptadores DB9 para RJ-45. Se você tiver esses adaptadores, conecte um ao Cisco Secure PIX Firewall e o outro à porta serial do seu PC. Use um cabo de rollover (e não um cabo crossover) para conectar os dois adaptadores RJ-45. Defina as configurações do HyperTerminal como N81, nenhum controle de fluxo e 9600 de baud. Se os problemas persistirem, verifique a configuração da porta PC COM e veja se está configurada e funcionando corretamente. Se estiver certo de que tudo está configurado corretamente, faça um teste em um router ou um switch para ver se um prompt é exibido. Consulte a documentação PIX da versão de software do seu PIX para obter mais informações. Nessa página, selecione Guia de Instalação; em seguida, escolha Instalando Cabos de Interface para obter diagramas e instruções detalhadas.

P. Onde está a unidade de disquete no modelo PIX 520?

Está localizada atrás de uma pequena placa metálica na parte da frente do canto superior esquerdo. Remova os dois parafusos apertados com os dedos para obter acesso. Consulte Instalando um PIX 520 ou um Modelo Anterior para obter mais orientações.

P. O Cisco Secure PIX Firewall está conectado diretamente a um router, mas as luzes de link não aparecem e nenhum dispositivo pode fazer ping no outro. O que está errado?

Verifique se você está usando um bom cabo cruzado para conectar o PIX diretamente a um router. Se você conectar o PIX a um hub ou um switch, use um cabo Ethernet direto.

P. Como posso saber a diferença de velocidade do processador em placas de Gigabit Ethernet no PIX? Por exemplo, como posso saber a diferença entre as placas PIX-1GE-66 e PIX-1GE?

Digite show interface e observe esta linha:

Hardware is i82542 rev03 gigabit ethernet, address is XXXX.XXXX.XXXX

or


Hardware is i82543 rev02 gigabit ethernet, address is XXXX.XXXX.XXXX

O i82542 representa 33 MHz e o i82543 representa 66 MHz.

P. Se eu adquirir placas de rede de uma outra fonte além da Cisco e usá-las no PIX, elas serão suportadas?

Não.

P. Quando o PIX inicializa, ele relata a solicitação de interrupção (IRQ) da placa de interface de rede (NIC) e usa algumas delas duas vezes (duplicatas). Isso gera algum problema?

Essas mensagens são normais e podem ser ignoradas.

4: ethernet2: address is 00e0.0000.05cb, irq 11
5: ethernet3: address is 00e0.0000.05ca, irq 11

P. Quando o PIX com placas de interface de rede (NICs) de Gigabit Ethernet inicializa, o PIX relata as solicitações de interrupção (IRQs) como "irq 255." Isso gera algum problema?

Essa mensagem é normal e pode ser ignorada.

0: gb-ethernet0: address is 0003.0000.1e75, irq 255

P. Quais são as configurações de hardware padrão para o PIX?

Plataforma 501 506 515 (R/UR) 515E (R/UR) 520 525 (R/UR) 535 (R/UR)
CPU AMD 133 PI 200 PI 200 PII 433 PII 350 PIII 600 PIII 1GH
RAM (MB) 8 32 32/64 32/64 128 128/256 512/1024

P. Posso melhorar a bios do PIX?

Não.

Software – Instalação e Melhoramentos

P. Quando tento executar o TFTP pixNNN.exe no meu PIX, recebo erros que declaram "número mágico ruim." O que estou fazendo de errado?

Você precisa carregar o arquivo .bin, não o arquivo .exe. O arquivo .exe é um arquivo auto-extraível que contém o arquivo .bin (entre outras coisas).

Observação: O arquivo .bin é usado apenas para o Software PIX versões 5.0.x e anterior. Copie o arquivo .exe em um diretório temporário do disco rígido do PC e execute o programa para extrair os arquivos. Em seguida, copie o arquivo pixNNN.bin em seu servidor de FTP.

P. Quanto tento melhorar meu software de um disquete flexível, o Cisco Secure PIX Firewall entra em loop toda vez que tenta ler o disco. O que está errado?

Verifique se o disco está formatado corretamente (use o comando DOS format A:), depois use rawrite para colocar a imagem no disquete flexível. Se o processo falhar, tente a operação de um PC diferente.

Observação: O melhoramento a partir de um disquete apenas é válida para o Software PIX versões 5.0.x e anterior.

P. Estou instalando um novo Cisco Secure PIX Firewall que parece estar configurado corretamente. Minha LAN era conectada diretamente ao router de Internet . Agora com o PIX no lugar, meus usuários na LAN não conseguem sair. O que está errado?

Há algumas possibilidades diferentes.

P. Recentemente adicionei um router interno para conectar a uma segunda rede interna, ao Cisco Secure PIX Firewall. Os usuários entre o Cisco Secure PIX Firewall e o router interno obtêm êxito no acesso à Internet, mas não conseguem acesso a essa nova rede interna. Os usuários na nova rede não conseguem passar pelo router interno. O que está errado?

Você deve digitar uma declaração interna de rota específica no PIX para essa nova rede, pelo novo router. Você também pode digitar uma declaração específica route inside para a rede principal por esse router, o que permitirá crescimento futuro.

R. Por exemplo, se a sua rede existente for 192.168.1.0/24 e a rede nova for 192.168.2.0/24, a porta Ethernet do seu router interno será 192.168.1.2. A configuração de rota do PIX se parece com o seguinte:

route inside 192.168.2.0 255.255.255.0 192.168.1.2 1

ou (a rede principal):

route inside 192.168.0.0 255.255.0.0 192.168.1.2 1

Estações de trabalho entre o Cisco Secure PIX Firewall e o router devem fazer com que o gateway respectivo aponte para o router, não para o PIX. Embora não estejam diretamente conectados, eles têm problemas ao acessar a nova rede interna, caso o gateway respectivo não aponte para o router. O router deve ter um gateway padrão que direcione todo o tráfego desconhecido para a interface interna do Cisco Secure PIX Firewall. A instalação de uma rota para essa nova rede no PIX também não funcionará. O PIX não faz o roteamento ou redireciona para fora da interface recebida do pacote. Ao contrário de um router, o PIX não pode fazer o roteamento de pacotes de volta pela mesma interface onde o pacote foi recebido inicialmente. Além disso, verifique se a sua declaração nat inclui a nova rede ou a rede principal que você está adicionando.

P. Como eu determino quanta memória Flash o meu PIX contém?

Se você executar um comando show version no PIX e o tamanho flash não for fornecido em MB, use esta tabela para ver quanta memória Flash o seu PIX contém.

i28F020 512 KB
AT29C040A 2 MB
atmel 2 MB
i28F640J5 8 MB - PIX 506 16 MB – todos os demais PIXes
strata 16 MB

Por exemplo, se a saída de comando show version tiver esta aparência:

Cisco Secure PIX Firewall Version 5.1(1)
Compiled on Fri 01-Oct-99 13:56 by pixbuild 

pix515 up 4 days 22 hours 10 mins 42 secs 
Hardware: PIX-515, 64 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300
BIOS Flash AT29C257 @ 0xfffd8000
 
0: ethernet0: address is 00aa.0000.0037, irq 11
1: ethernet1: address is 00aa.0000.0038, irq 10
2: ethernet2: address is 00a0.c92a.f029, irq 9
3: ethernet3: address is 00a0.c948.45f9, irq 7
 
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES: Disabled
Maximum Interfaces: 6
 
Serial Number: 123 (0x7b)
Activation Key: 0xc5233151 0xb429f6d0 0xda93739a 0xe15cdf51

A quantidade de memória flash é de 16 MB.

P. Quando eu preciso usar uma nova chave de ativação para o PIX?

Você precisará de uma nova chave de ativação quando melhorar o PIX em um pacote de software restrito que suporte recursos adicionais, como mais conexões, Failover, IPsec ou interfaces adicionais. Além disso, às vezes uma nova chave de ativação é necessária após o melhoramento do Flash em um PIX.

R. Para solicitar uma chave de ativação que não seja de 56 bits, envie um e-mail para licensing@cisco.com e forneça estas informações:

  • O número serial de PIX (ou, se você estiver fazendo um melhoramento do Flash, o número serial na placa de Flash)
  • O resultado de um comando show version executado no PIX.
  • Sua versão atual do software PIX
  • Tipo de Licença requerida (DES, 3DES, Restrita a Irrestrita).
  • Número de Qualificação, número de Ordem de Compra, número de Pedido de Vendas ou o número PAK
  • O nome e o endereço completos de sua empresa

Acesse a página Chave de Melhoria de licença de 56 bits do PIX (clientes registrados somente) para solicitar uma chave de ativação de 56 bits.

Acesse a página Cisco ASA 3DES/AES License Registration (clientes registrados somente) para solicitar uma chave de ativação AES/3DES.

Observação: A chave de ativação de 56 bits é necessária para criptografia com IPsec.

P. O PIX pode passar tráfego IPX ou AppleTalk?

Não, o PIX é um Firewall apenas de IP.

P. O PIX suporta endereçamento secundário em interfaces?

Ao contrário do Cisco IOS®, o PIX não suporta endereçamento secundário em interfaces.

P. O PIX suporta 802.1Q em suas interfaces?

Sim, no PIX 6.um novo recurso foi adicionado, em que o PIX pode criar interfaces lógicas. Cada interface lógica corresponde a uma VLAN no switch. Consulte Usando VLANs com o Firewall para obter mais informações.

P. O PIX suporta SSH?

Sim, consulte SSH – Dentro ou Fora para obter os procedimentos passo a passo de configuração do SSH. O PIX utiliza o SSH versão 1.

Software - Failover

P. Tenho dois Cisco Secure PIX Firewalls configurados em uma topologia de Failover. Os Cisco Secure PIX Firewalls continuam comutando, para trás e para frente ao longo do dia. Por que isso acontece?

Para que o Failover funcione corretamente, ele precisa estar configurado corretamente. Antes da versão 5.1, todas as interfaces deviam estar configuradas com um endereço IP exclusivo em cada sub-rede respectiva, e todas as interfaces devem estiar fisicamente conectadas. Isso incluía interfaces que atualmente você não utiliza. Com a versão 5.1 e posterior, você pode encerrar uma interface não utilizada. Entretanto, você precisa encerrar o mesmo número de interface nos dois PIXes. Antes da versão 5.1, o Failover enviava um Pacote de saudação de cada interface, ainda que estivessem encerradas. Ele espera receber uma resposta em retorno. Se não receber nenhuma depois de várias tentativas, o Failover é ativado. Além disso, verifique se o PIX principal pode efetuar ping nas interfaces de Failover; em caso negativo, verifique se as interfaces estão ativas. Verifique também as interfaces do switch, caso eles estejam conectados por um switch.

P. Qual a extensão do cabo de Failover de PIX? Posso usar um cabo mais longo?

O cabo serial da Cisco tem 2 metros de comprimento. O pino encontra-se na documentação do Cisco PIX Firewall da versão do seu software PIX. Não foram testados cabos mais longos. O uso de um cabo mais longo não é suportado. No PIX 6.2 há um novo recurso chamado "Failover de LAN" que permite o uso de uma interface dedicada no PIX como o cabo de Failover. Consulte a documentação PIX Firewall, Versão 6.2 para obter mais informações.

P. A interface de VLAN pode ser usada no Failover?

VLANs física e lógica são suportadas pelo Failover. A restrição é que failover lan interface e failover link não conseguem usar uma interface de VLAN lógica.

P. O recurso de servidor de DHCP é suportado com o Failover?

Não, o servidor de DHCP não é suportado com o Failover, nem o PIX é configurado para obter um endereço IP pelo DHCP (porque é necessário o comando failover interface-name ip address para que o Failover seja configurado).

P. Tenho dois Cisco Secure PIX Firewalls configurados em uma topologia de Failover. Um deles tem licença Irrestrita e o outro tem licença de Failover. O que acontece se os dois Firewalls PIX perdem potência e apenas a unidade de Failover consegue reinicializar

O PIX Firewall com a licença de Failover destina-se ao uso para o failover apenas e não no modo independente. Quando os dois Firewalls de Pix perdem potência e apenas a unidade de Failover reinicializa, é como se a unidade de Failover fosse usada no modo independente. Quando a unidade de Failover é usada no modo independente, ela reinicializa pelo menos uma vez a cada 24 horas até retornar à obrigação de failover, quando ela detecta a presença do Pix Firewall principal.

Perguntas Adicionais do Software

P. O PIX encaminha tráfego IGMP?

A versão 6.2 do software PIX Firewall permite configurar rotas de transmissão multicast estaticamente ou usar um helper address (endereço do ajudante) do Protocolo de Gestão do Grupo de Internet (IGMP) para encaminhar relatórios de IGMP e deixar anúncios.

R. A lista resume o suporte de transmissão multicast nesta versão.

  • Filtros de lista de acesso podem ser aplicados ao tráfego multicast para permitir ou negar protocolos e portas específicos.
  • Network Address Translation (NAT) e Port Address Translation (PAT) podem ser executadas nos endereços de origem de pacote de transmissão multicast, apenas.
  • Pacotes de dados de transmissão multicast com endereços de destino na escala de endereço 224.0.0.0/24 não são encaminhados. Entretanto, todo o restante na escala de endereço 224.0.0.0/8 é encaminhado.
  • Pacotes de IGMP para grupos de endereços na faixa 224.0.0.0 a 224.0.0.255 não são encaminhados porque esses endereços são reservados para uso do protocolo.
  • O NAT não é executado em pacotes de IGMP. Quando o encaminhamento de IGMP é configurado, o PIX encaminha os pacotes de IGMP (informar e deixar) com o endereço IP da interface auxiliar como o endereço IP de origem.

P. O PIX possui um recurso de solução de problemas que possa obter o rastreamento de pacotes para ver o conteúdo do pacote em detalhes?

A versão 6.2 do software PIX Firewall suporta captura de pacote de informação para farejar ou “ver” algum tráfego aceito ou bloqueado pelo PIX. Após a captura das informações do pacote, você pode exibi-las no console, transferi-las para um arquivo pela rede usando um servidor de TFTP ou acessá-las por um navegador da Web usando HTTP seguro. O PIX não captura tráfego não relacionado a ele mesmo no mesmo segmento de rede. Além disso, esse recurso de captura de pacote não inclui sistema de arquivos, resolução de nome DNS nem suporte a modo misturado.

P. O PIX suporta OSPF?

A implementação do PIX Firewall na versão 6.3 tem suporta código de intra-área, inter-área e rotas externas. Essa versão também suporta a distribuição de rotas estáticas para processos Abrir Caminho Mais Curto Primeiro (OSPF) e redistribuição de rota entre processos OSPF.

P. O PIX suporta PPPoE?

A versão 6.2 do software PIX Firewall suporta Protocolo de Ponto a Ponto em Ethernet (PPPoE). (O PPPoE oferece um método padrão de usar a autenticação PPP em uma rede Ethernet, e é usado por vários provedores de serviço da Internet (ISPs) para conceder às máquinas clientes o acesso às respectivas redes, normalmente por meio de DSL.) O PPPoE é suportado nas interfaces externas dos Aplicativos de Segurança da Série Cisco PIX 500.

P. O SFTP é suportado pelo PIX?

Não. Em uma conexão FTP comum, o cliente ou o servidor deve informar um ao outro que porta usar para a transferência de dados. O PIX é capaz de inspecionar essa conversação e abrir a tal porta. Entretanto, com o SFTP essa conversação é criptografada e o PIX não é capaz de determinar que portas abrir; o SFTP acaba falhando.

R. Uma alternativa possível nessa situação é usar um cliente de SFTP que suporte o uso de um "canal de dados desobstruído." Com essa opção habilitada, o PIX deverá ser capaz de determinar que porta precisa ser aberta.

P. Existe um modo de filtrar pacotes de e-mail no Cisco Secure PIX Firewall? Por exemplo, posso fazer com que o Cisco Secure PIX Firewall filtre o vírus "I luv you" ?

O Cisco Secure PIX Firewall não executa filtragem de conteúdo na camada de aplicativo. Em outras palavras, ele não inspeciona a porção de dados no pacote de TCP. Portanto, ele não pode filtrar conteúdo de e-mail. A maioria dos servidores de e-mail de hoje filtra na camada de aplicativo.

P. Quando tento usar a Network Address Translation (NAT) no meu Cisco Secure PIX Firewall usando as declarações NAT/GLOBAL, tenho problemas com usuários externos que não conseguem acessar hosts internos de forma consistente. O que está errado?

O NAT dinâmico que usa os comandos nat e global cria um estado de conexão/conversão temporária que é SEMPRE construído de uma interface com um nível de segurança superior para uma interface com um nível de segurança inferior (de dentro para fora). As condições nessas transações construídas dinamicamente só se aplicam quando o estado de conexão é criado. Qualquer host interno em que o externo precise iniciar uma conexão sem que o host interno estabeleça primeiro uma conexão de saída, deve ser convertido no comando static. Ao converter o host estaticamente, esse estado de conexão é mapeado permanentemente, e todos os conduítes aplicados a essa conversão estática permanecem abertos o tempo todo. Com isso estabelecido, as conexões IP podem ser iniciadas na Internet sem falha. Nas versões 5.0.x e posterior do software PIX, use listas de acesso em vez de conduítes.

P. Meu servidor de Web interno é convertido estaticamente para externo. Usuários externos não conseguem acesso. O que causa isso?

O mapeamento estático torna possível a conversão/conexão. Porém, por padrão, o Cisco Secure PIX Firewall recusa TODAS as tentativas de conexão de entrada, a menos que isso seja explicitamente permitido. Essa "permissão" é concedida quando se aplica um conduíte à conversão estática. As indicações de conduíte informam ao Cisco Secure PIX Firewall a quem você deseja conceder permissão na Internet e onde e em que protocolo e porta. Nas versões 5.0.x e posterior do software PIX, use listas de acesso em vez de conduítes.

P. Tenho um servidor de Web na interface interna do Cisco Secure PIX Firewall. Firewall. Ele está mapeado para um endereço público externo. Quero que meus usuários internos possam acessar esse servidor pelo nome de DNS ou endereço externo respectivo. De que forma isso pode ser feito?

As regras do TCP não permitem que você faça isso, mas há boas soluções. Por exemplo, imagine que o endereço IP real do seu servidor de Web seja 10.10.10.10 e o endereço público seja 99.99.99.99. O DNS resolve 99.99.99.99 para www.mydomain.com. Se o seu host interno (por exemplo, 10.10.10.25) tentar acessar o www.mydomain.com, o navegador resolve isso para 99.99.99.99. O navegador, então, envia esse pacote ao PIX, que, por sua vez, envia-o para fora do router de Internet. O router de Internet já tem uma sub-rede de 99.99.99.x conectada diretamente. Ele então supõe que o pacote não se destina a ele, mas a um host conectado diretamente, e descarta esse pacote. Para contornar esse problema, o seu host interno deve resolver www.mydomain.com como o seu próprio endereço 10.10.10.10 real, ou você deve retirar o segmento externo da rede 99.99.99.x a fim de que o router possa ser configurado para rotear esse pacote de volta para o PIX.

R. Se o seu DNS localiza-se fora do PIX (ou em um de seus DMZs), você pode usar o comando alias no Cisco Secure PIX Firewall para corrigir o pacote de DNS para que ele resolva no endereço 10.10.10.10. Certifique-se de reinicializar seus PCs para liberar o cache DNS depois que você fizer essa alteração. (Faça um teste efetuando ping em www.mydomain.com antes e depois do comando alias ser aplicado, para ter certeza de que a resolução é alterada do endereço 99.99.99.99 para o endereço 10.10.10.10.)

Se você tem o seu próprio servidor DNS dentro da rede, isso não funciona, porque a pesquisa de DNS nunca atravessa o PIX, portanto não há nada a corrigir. Nesse caso, configure o seu DNS local de acordo ou use os arquivos ‘host’ locais dos seus PCs para resolver esse nome. A outra opção é melhor por ser mais confiável. Retire a sub-rede 99.99.99.x do PIX e do router. Escolha um esquema de numeração RFC 1918 leavingcisco.com que não esteja sendo usado internamente (nem em nenhuma interface de PIX do perímetro). Em seguida, coloque uma instrução de rota de volta ao PIX para essa rede e lembre-se de alterar sua rota padrão de PIX para fora do novo endereço IP no router. O router externo recebe esse pacote e o roteia de volta para o PIX, com base nessa tabela de roteamento. O router não ignorará mais esse pacote, pois ele não tem nenhuma interface configurada nessa rede.

O PIX 6.2 introduz um novo recurso, chamado Bidirectional NAT (NAT Bidirecional), que oferece a funcionalidade do comando alias e muito mais.

Consulte Entendendo o Comando alias do Cisco Secure PIX Firewall para obter mais informações sobre o comando alias.

Consulte Usando o NAT Externo na referência a comando do PIX, para obter mais informações sobre o recurso Bidirectional NAT.

Observação: Se você executar a versão 7.x do software PIX/ASA, recomenda-se não usar o comando alias. No lugar dele, recomenda-se usar O NAT externo com Switch DNS. Consulte a Seção de Inspeção de DNS de Aplicando a Inspeção de Protocolo de Camada de Aplicativo.

P. O Cisco Secure PIX Firewall suporta mapeamento de porta?

O PIX suporta redirecionamento de porta de entrada com a versão 6.0 do Software PIX. Versões anteriores não suportam mapeamento de porta.

P. Posso mapear um único endereço interno para mais de um endereço externo?

O firewall PIX seguro Cisco permite uma única conversão de um para um para um host local (interno). Se você tiver mais de duas interfaces no Cisco Secure PIX Firewall, será possível converter um endereço local em endereços diferentes em cada interface respectiva, mas apenas uma conversão por interface é permitida em relação a cada endereço. De modo semelhante, você não pode fazer o mapeamento estático de um único endereço externo para vários endereços locais.

P. Posso conectar dois ISPs diferentes ao Cisco Secure PIX Firewall (para balanceamento de carga)?

Você não pode balancear a carga no PIX. O Cisco Secure PIX Firewall foi desenhado para processar apenas uma rota padrão. Quando dois ISPs são conectados a um único PIX, significa que o Firewall precisa tomar decisões de roteamento em um nível muito mais inteligente. Em vez disso, use um router do Gateway fora do PIX, para que o PIX continue a enviar todo o tráfego respectivo para um router. Esse router pode fazer o roteamento/balanceamento de carga entre os dois ISPs. Você também pode ter dois routers fora do PIX usando o Protocolo de Roteamento de Hot-Standby (HSRP) e definir o gateway padrão do PIX como o endereço HSRP virtual. Como alternativa (se possível), use o OSPF (Open Shortest Path First), que suporta balanceamento de carga entre um máximo de três peers e uma única interface.

P. Quantos endereços PAT posso ter no meu Cisco Secure PIX Firewall?

Na versão 5.2 e posteriores do Software PIX, é possível ter vários endereços PAT por interface. Versões anteriores do Software PIX não suportam vários endereços PAT por interface.

P. Existe um modo de informar ao Cisco Secure PIX Firewall para fornecer mais largura de banda para determinados usuários?

Não.

P. Preciso permitir o acesso dos meus usuários a pastas compartilhadas no meu domínio NT de locais remotos. Como posso fazer isso?

O protocolo NetBios da Microsoft permite o compartilhamento de arquivo e impressora. Habilitar o NetBios pela Internet não satisfaz aos requisitos de segurança de maioria das redes. Além disso, o NetBios é difícil de configurar usando o NAT. Embora a Microsoft torne isso mais seguro usando tecnologias criptografadas, que funcionam perfeitamente com o PIX, é possível abrir as portas necessárias.

R. Resumindo, você precisará configurar conversões estáticas para todos os hosts que requeiram acesso e conduítes (ou listas de acesso em versões 5.0 e posterior do Software PIX ) para portas TCP 135 e 139 e portas UDP 137 e 138. Você deve usar um servidor de WINS para resolver os endereços convertidos em nomes NetBios ou um arquivo LMHOSTS local configurado corretamente em todos as suas máquinas clientes remotas. Se você utilizar o WINS, cada host deverá ter uma entrada WINS estática para AMBOS os endereços, locais e convertidos, dos hosts acessados. O uso de LMHOSTS deve ter ambos, a menos que seus usuários remotos nunca se conectem à sua rede interna (por exemplo, computadores laptop). O seu servidor de WINS deve estar acessível à Internet com os comandos static e conduit, e os seus hosts remotos devem estar configurados para apontar para esse servidor de WINS. Finalmente, os aluguéis de Protocolo de Configuração de Hosts Dinâmicos (DHCP) devem ser configurados para nunca expirar. Você também pode configurar os endereços IP estaticamente nos hosts que precisem ser acessados da Internet.

Um modo mais seguro de se fazer isso é configurar o Protocolo de Túnel de Ponto a Ponto (PPTP) ou a criptografia IPsec. Consulte os especialistas de desenho e de segurança de rede para obter detalhes adicionais sobre ramificações de segurança.

P. Estou no console/Telnet do PIX e obtenho o erro "201008: o PIX está impedindo novas conexões." Meu PIX não passa nenhum tráfego de entrada nem de saída. O que está errado?

Esse erro significa que você está efetuando "syslog de TCP confiável" em um software PIX Firewall Syslog Server (PFSS) de um sistema Windows NT, e que o sistema não responde às mensagens do syslog do PIX. Para corrigir esse problema, tente uma das seguintes opções:

  • Vá até o servidor NT que executa o PFSS e corrija o problema que impede que o servidor aceite dados TCP syslog do PIX. O problema geralmente é um disco rígido cheio ou algo com o serviço syslog que não está funcionando.
  • Desabilite o recurso TCP syslog e retorne ao UDP utilitário padrão. Isso pode ser feito na linha de comando do PIX, com o comando logging host [in_if_name] ip_address [protocol/port] . Digite logging host ip_address e, em seguida, digite novamente o comando sem a parte relativa ao protocolo/porta. Ele assume o padrão protocolo/porta de UDP/514.

Observação: O recurso "syslog de TCP confiável" do PIX e do PFSS destina-se a criar uma política de segurança que declare "Se o PIX não consegue conectá-lo, não o faça". Se isso não é o que você pretendia, não execute o "syslog de TCP confiável". Em vez disso, use as capacidades padrão do syslog que não bloqueiam o tráfego interno/externo se o servidor syslog estiver indisponível.

P. Quando executo determinados comandos no PIX que acessam a configuração em Flash (show config command), obtenho um erro que diz "O dispositivo Flash está sendo usado por outra tarefa". O que isso significa?

Esta saída mostra um exemplo desse erro:

pixfirewall#write memory
Building configuration...
Cryptochecksum: 386bb809 e4d28698 91990edb 8483760c
The flash device is in use by another task.
[FAILED]
Type help or '?' for a list of available commands.
pixfirewall# 

Isso significa que existe outra sessão no PIX onde alguém usou um comando write terminal ou semelhante que acessa o Flash e he Flash e está localizado em um prompt "--more--".

Para verificar isso, execute o comando who enquanto estiver conectado ao console do PIX.

PIX#who
0: 14.36.1.66
PIX#

Neste exemplo você vê que um usuário de 14.36.1.66 está conectado ao PIX via Telnet. Você pode usar o comando kill para desconectar esse usuário a força.

PIX#kill ?
usage: kill <telnet_id>
PIX#kill 0
PIX#who
PIX# 

O usuário foi desconectado e agora você pode executar a operação Flash. Na ligeira possibilidade de que isso não funcione, reinicializar o PIX também soluciona o problema.

P. Posso operar o PIX em uma configuração "one armed"?

Não, o PIX não opera na configuração "one-armed", devido ao algoritmo de segurança adaptável em que ele opera. Consulte Entendendo o PIX Firewall para obter mais informações.

R. Por exemplo, se você tem um PIX com duas interfaces (interna e externa) e na interface interna há uma rede 10.1.1.0/24. Fora dessa rede há um router conectado à rede 10.1.2.0/24. Em seguida, suponha que haja um servidor 10.1.1.5 na interface interna. Esse host tem um gateway padrão da interface interna do PIX (10.1.1.1). Nesse cenário, suponha que o PIX tenha as informações de roteamento corretas, como a rota dentro de 10.1.2.0 255.255.255.0 10.1.1.254, onde 10.1.1.254 é o endereço IP do router. Talvez você pense que o host 10.1.1.5 pode enviar um pacote a 10.1.2.20 e que esse pacote irá para o PIX, será redirecionado para o router em 10.1.1.254 e prosseguirá para o host de destino. Entretanto, esse não é o caso. O PIX não envia redirecionamentos de ICMP como um router. Além disso, o PIX não permite que um pacote deixe sua interface de origem. Assim, considerando que o host 10.1.1.5 enviou um pacote com o endereço de destino 10.1.2.20 para a interface interna do PIX, o PIX deve cancelar esse pacote porque ele foi destinado para ir para a mesma interface (interface interna) de onde veio. Isso se aplica a qualquer interface do PIX e não apenas à interface interna. Nesse cenário, a solução é o host 10.1.1.5 configurar o gateway padrão como a interface do router (10.1.1.254) e, em seguida, fazer com que um gateway padrão no router aponte para o PIX (10.1.1.1).

pixfaq_01.gif

P. O PIX funcionará corretamente se conectado a uma porta de tronco em um switch?

Sim, no entanto, o PIX deve ser configurado para encapsulamento 802.1Q Ele é endereçado O PIX suporta 802.1Q nas respectivas interfaces?.

P. Eu posso definir um intervalo de expiração na porta de console do PIX?

Sim, esse é um novo recurso da versão 6.3. Consulte o comando console timeout .

P. Sei que o PIX pode efetuar NAT baseado no endereço de origem, mas, ele pode efetuar NAT baseado no destino?

Somente no PIX versão 6.2 e posterior é que você pode usar o NAT baseado no destino. Consulte a documentação PIX Firewall, Versão 6.2 para obter mais informações.

P. Não consigo obter montagens Network File System (NFS) para trabalhar no PIX. O que estou fazendo de errado?

O PIX não suporta o mapeador de porta (porta 111) no TCP. Você deve configurar o NFS de forma a UDP como alternativa.

P. O PIX executa listas de controle de acesso (ACLs) baseadas no período?

Ao contrário do Cisco IOS, o PIX não executa ACLs baseadas em tempo. Se você autenticar usuários que acessam o PIX e o servidor de autenticação suportar a limitação de usuários a determinados horários do dia, o PIX cumprirá essas rejeições de usuário.

P. Posso personalizar o texto das mensagens do syslog que o PIX envia?

As mensagens do syslog que o PIX gera são codificadas no sistema operacional e não é possível personalizá-las.

P. O PIX pode fazer resolução de nome?

Embora um PIX configurado corretamente não permita o tráfego de Domain Name System (DNS) para permitir que dispositivos internos e externos façam DNS, o próprio PIX não resolve nomes.

P. Eu vejo mensagens "conexão negada" no syslog de PIX, alem de negações de Telnets para as interfaces de PIX. Mas não vejo negações de outro tráfego para as interfaces de PIX. Isso é normal?

Antes da versão 6.2.2, as mensagens deny do tráfego para as interfaces de PIX interfaces limitavam-se a Telnets negadas ou a porta TCP/23. Nas versões 6.2.3 e 6.3.1, as novas mensagens do syslog são adicionadas do syslog ID 710003 que trata do tráfego negado para a interface do próprio PIX.

P. Não consigo efetuar ping da rede dentro do PIX para a interface externa do PIX, nem da rede fora do PIX para a interface interna do PIX. Isso é normal?

Sim, diferentemente do Cisco IOS, o PIX não responde a solicitações ICMP para interfaces no “lado distante” do dispositivo faz ping do PIX.

P. O PIX pode atuar como um servidor de NTP?

Não.

P. É possível alterar as portas padrão usadas para o IPsec no PIX?

Não.

P. O PIX suporta Dynamic Domain Name Services? (DDNS)?

Não.

P. Um Cisco PIX Firewall está configurado para se comunicar com um Cisco Works Auto-Update Server e todo o tráfego parou de passar por ele. Por que isso acontece e como corrijo?

O Firewall do Cisco PIX interrompe qualquer conexão nova se tiver sido configurado para se comunicar com o servidor de Atualização automática e se não tiver sido contatado por um determinado período de tempo. Um administrador pode alterar o valor do período de intervalo de expiração, com o comando auto-update timeout period.

R. A especificação Atualização Automática fornece a infra-estrutura necessária para que os aplicativos de gerenciamento remoto façam download de configurações do PIX Firewall, imagens de software e executem monitoramento básico em um local centralizado. A falha na comunicação com o servidor faz com que o PIX deixe de passar todo o tráfego.

P. Não consigo acessar a interface interna do PIX quando conectado por um túnel VPN. Como posso fazer isso?

A interface interna do PIX não pode ser acessada de fora e vice-versa, a menos que o comando management-access esteja configurado no modo de configuração global. Depois que management-access estiver habilitado, o acesso a Telnet, SSH ou HTTP ainda deverá ser configurado em relação aos hosts desejados.

pix(config)#management-access inside
pix(config)#show running-config management-access
management-access inside

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 15247