Voz e comunicações unificadas : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA: Estabeleça e pesquise defeitos a Conectividade através do dispositivo do Cisco Security

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (1 Julho 2009) | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Quando um PIX Firewall é configurado inicialmente, tem uma política de segurança padrão onde todos no interior possa sair, e ninguém da parte externa possa obter dentro. Se seu local exige uma política de segurança diferente, você pode permitir que os usuários externos conectem a seu servidor de Web com o PIX.

Uma vez que você estabelece a conectividade básica com o PIX Firewall, você pode fazer alterações de configuração ao Firewall. Certifique-se que todas as alterações de configuração que você fizer ao PIX Firewall seja em conformidade com sua política de segurança do local.

Refira ASA 8.3: Estabeleça e pesquise defeitos a Conectividade através do dispositivo do Cisco Security para obter mais informações sobre da configuração idêntica na ferramenta de segurança adaptável de Cisco (ASA) com versão 8.3 e mais recente.

Consulte para monitorar e pesquisar defeitos os problemas de desempenho PIX 500 a fim aprender mais sobre os vários comandos show que são úteis para pesquisar defeitos.

Consulte para pesquisar defeitos conexões com o PIX e o ASA a fim aprender mais sobre o Troubleshooting da Conectividade da ferramenta de segurança.

Pré-requisitos

Requisitos

Este documento supõe que algumas configurações básicas têm sido terminadas já no PIX. Refira estes documentos para exemplos de uma configuração de PIX inicial:

Componentes Utilizados

A informação neste documento é baseada nas liberações de software de firewall de PIX 5.0.x e mais tarde.

Nota: As versões anterior do software de PIX usam o comando conduit em vez do comando access-list. Qualquer comando funciona nas Versões 5.0.x e posteriores do software PIX Firewall.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Como funciona a conectividade pelo PIX

Nessa rede, o host A é o servidor da Web com o endereço interno 10.2.1.5. O servidor de Web é atribuído um endereço (traduzido) externo de 192.168.202.5. Os usuários do Internet devem apontar a 192.168.202.5 a fim alcançar o servidor de Web. A entrada de DNS para seu servidor de Web precisa de ser esse endereço. Nenhuma outra conexão é permitida a partir da Internet.

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/15245-23-01.gif

Nota: Os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São os endereços da RFC1918 que foram usados em um ambiente de laboratório.leavingcisco.com

Configure a conectividade pelo PIX

Termine estas etapas a fim configurar a Conectividade com o PIX.

  1. Defina um conjunto global para os hosts internos usarem quando acessarem a Internet.

    global (outside) 1 192.168.202.10-192.168.202.50 netmask 255.255.255.0
    
  2. Dirija endereços internos para selecionar do 1 pool global.

    nat (inside) 1 0.0.0.0 0.0.0.0
    
  3. Atribua um endereço traduzido estático para o host interno a que os usuários do Internet têm o acesso.

    static (inside,outside) 192.168.202.5 10.2.1.5 0 0
    
  4. Use o comando access-list permitir usuários externos com o PIX Firewall. Use sempre o endereço convertido no comando access-list.

    access-list 101 permit tcp any host 192.168.202.5 eq www
      access-group 101 in interface outside
    

Para obter mais informações sobre da sintaxe de comando, veja a seção da sintaxe de comando de lista de acesso e de canalização deste documento.

Permita o tráfego de broadcast ARP

A ferramenta de segurança conecta a mesma rede em suas interfaces internas e externas. Porque o Firewall não é um salto roteado, você pode facilmente introduzir um Firewall transparente em uma rede existente. O re-endereçamento IP não é necessário. O tráfego do IPv4 é permitido com o Firewall transparente automaticamente de uma interface de segurança mais elevada a uma interface de segurança mais baixa, sem uma lista de acessos. Os protocolos Protocolo de resolución de la dirección (ARP) (ARP) são permitidos com o Firewall transparente nos ambos sentidos sem uma lista de acessos. O tráfego ARP pode ser controlado pela inspeção ARP. Para o tráfego da camada 3 que viaja de um ponto baixo a uma relação da segurança elevada, uma lista de acesso extendida é exigida.

Nota: A ferramenta de segurança do modo transparente não passa pacotes do Cisco Discovery Protocol (CDP) ou pacotes do IPv6, ou nenhuns pacotes que não têm Ethertype superior ou igual a um 0x600 válidos. Por exemplo, você não pode passar pacotes IS-IS. Uma exceção é feita para o bridge protocol data units (BPDU), que são apoiadas.

Endereços permitidos MAC

Estes endereços MAC de destino são permitidos com o Firewall transparente. Todo o MAC address não nesta lista é deixado cair:

  • RETIFIQUE o endereço MAC de destino da transmissão igual ao FFFF.FFFF.FFFF

  • Endereços MAC de transmissão múltipla do IPv4 de 0100.5E00.0000 a 0100.5EFE.FFFF

  • Endereços do Multicast IPv6 MAC de 3333.0000.0000 a 3333.FFFF.FFFF

  • Endereço de multicast BPDU igual a 0100.0CCC.CCCD

  • Endereços MAC de transmissão múltipla do APPLETALK de 0900.0700.0000 a 0900.07FF.FFFF

Tráfego não permitido passar no modo do roteador

No modo do roteador, alguns tipos de tráfego não podem passar através da ferramenta de segurança mesmo se você a permite em uma lista de acessos. O Firewall transparente, contudo, pode permitir quase todo o tráfego com da utilização de uma lista de acesso extendida (para o tráfego IP) ou de uma lista de acessos de Ethertype (para o tráfego não-IP).

Por exemplo, você pode estabelecer adjacências do protocolo de roteamento com um Firewall transparente. Você pode permitir o tráfego do Open Shortest Path First (OSPF), do Routing Information Protocol (RIP), do Enhanced Interior Gateway Routing Protocol (EIGRP), ou do Border Gateway Protocol (BGP) baseado completamente em uma lista de acesso extendida. Igualmente, os protocolos como o Hot Standby Router Protocol (HSRP) ou o Virtual Router Redundancy Protocol (VRRP) podem passar através da ferramenta de segurança.

O tráfego não-IP (por exemplo APPLETALK, IPX, BPDU, e MPLS) pode ser configurado para atravessar a utilização de uma lista de acessos de Ethertype.

Para as características que não são apoiadas diretamente no Firewall transparente, você pode permitir que o tráfego passe completamente de modo que o Roteadores do fluxo acima e fluxo abaixo possa apoiar a funcionalidade. Por exemplo, usando uma lista de acesso extendida, você pode permitir o tráfego DHCP (em vez dos recursos de relay unsupported do [DHCP] do protocolo de configuração dinâmica host) ou o tráfego multicast tal como isso criado pelo IP/TV.

Solucionar problemas de conectividade

Se os usuários do Internet não podem alcançar seu site, termine estas etapas:

  1. Certifique-se de você ter incorporado corretamente endereços de configuração:

    • Endereço externo válido

    • Endereço interno correto

    • O DNS externo traduziu o endereço

  2. Verifique a interface externa para ver se há erros. O dispositivo do Cisco Security preconfigured auto-para detectar os ajustes da velocidade e duplexação em uma relação. Contudo, diversas situações existem que podem fazer com que o processo de auto-negociação falhe. Isto conduz à velocidade ou as incompatibilidades duplex (bidirecional) (e os problemas de desempenho). Para a infraestrutura de rede de missão crítica, Cisco não codifica manualmente a velocidade e duplexação em cada relação tão lá é nenhuma possibilidade para o erro. Estes dispositivos geralmente não se movem ao redor, assim que se você os configura corretamente, você não deve precisar de mudá-los.

    Exemplo:

    asa(config)#interface ethernet 0/0
    asa(config-if)#duplex full
    asa(config-if)#speed 100
    asa(config-if)#exit
    

    Em algumas situações, codificar os ajustes da velocidade e duplexação conduz à geração de erros. Assim, você precisa de configurar a relação à configuração padrão de autodetect o modo enquanto este exemplo mostra:

    Exemplo:

    asa(config)#interface ethernet 0/0
    asa(config-if)#duplex auto
    asa(config-if)#speed auto
    asa(config-if)#exit
    

    Refira a seção dos ajustes da velocidade e duplexação do monitor e pesquise defeitos os problemas de desempenho PIX 500 para mais informação.

  3. Se o tráfego não envia nem recebe através da relação do PIX ou do roteador do fim do cabeçalho, tente cancelar as estatísticas ARP.

    asa#clear arp
    
  4. Use o comando show static a fim certificar-se de que a tradução estática está permitida.

  5. Use a palavra-chave da relação em vez do endereço IP de Um ou Mais Servidores Cisco ICM NT da relação nas indicações do NAT estático se o mapeamento estático não trabalha após a elevação à versão 7.2(1).

    Exemplo:

    static (inside,outside) tcp 192.168.202.2 80 10.2.1.5 1025 netmask 255.255.255.255 
    

    Nesta encenação, o endereço IP externo é usado como o endereço IP de Um ou Mais Servidores Cisco ICM NT traçado para o servidor de Web. Assim, este mapeamento estático não pôde trabalhar para a versão 7.2(1) PIX/ASA. A fim resolver esta edição, você pode usar esta sintaxe.

    static (inside,outside) tcp interface 80 10.2.1.5 1025 netmask 255.255.255.255 
    
  6. Verifique para ver que a rota padrão no servidor de Web aponta à interface interna do PIX.

  7. Verifique a tabela de tradução usando o comando show xlate a fim ver se a tradução foi criada.

  8. Use o comando debug do logging buffer a fim verificar os arquivos de registro para ver se nega ocorrem. (Procure o endereço traduzido e veja se você vê alguns nega.)

  9. Use o comando capture se você usa a versão 6.2.2 ou mais recente com este comando:

    access-list webtraffic permit tcp any host 192.168.202.5
    
    capture capture1 access-list webtraffic interface outside
    

    Se você usa uma versão mais cedo de 6.2.2 e se a rede não é ocupada, você pode capturar o tráfego com o comando packet debugar. Este comando captura os pacotes que vêm de todo o host externo para o servidor de Web.

    debug packet outside dst 192.168.202.5 proto tcp dport 80 bot
    

    Nota: Este comando gerencie uma quantidade significativa de saída. Pode fazer com que um roteador pendure ou recarregue sob cargas de tráfego pesado.

  10. Se os pacotes o fazem ao PIX, certifique-se que sua rota ao servidor de Web do PIX está correta. (Verifique os comandos route em sua configuração de PIX.)

  11. Verifique para ver se o proxy ARP é desabilitado. Emita o comando show running-config sysopt em PIX/ASA 7.x ou mostre o sysopt em PIX 6.x.

    O proxy ARP é desabilitado aqui pela parte externa do noproxyarp do comando sysopt:

    ciscoasa#show running-config sysopt
    no sysopt connection timewait
    sysopt connection tcpmss 1380
    sysopt connection tcpmss minimum 0
    no sysopt nodnsalias inbound
    no sysopt nodnsalias outbound
    no sysopt radius ignore-secret
    sysopt noproxyarp outside
    sysopt connection permit-vpn

    A fim re-permitir o proxy ARP, incorpore este comando ao modo de configuração global:

    ciscoasa(config)#no sysopt noproxyarp outside
    

    Quando um host enviar o tráfego IP a um outro dispositivo na mesma rede Ethernet, as necessidades do host de conhecer o MAC address do dispositivo. O ARP é um protocolo da camada 2 que resolva um endereço IP de Um ou Mais Servidores Cisco ICM NT a um MAC address. Um host envia uma requisição ARP e pede-a “quem é este endereço IP de Um ou Mais Servidores Cisco ICM NT?”. O dispositivo que possui o endereço IP de Um ou Mais Servidores Cisco ICM NT responde, “eu possuo esse endereço IP de Um ou Mais Servidores Cisco ICM NT; está aqui meu MAC address.”

    O proxy ARP permite que a ferramenta de segurança responda a uma requisição ARP em nome dos anfitriões atrás dele. Faz este respondendo às requisições ARP para os endereços traçados estática daqueles anfitriões. A ferramenta de segurança responde ao pedido com seu próprio MAC address e então para a frente aos pacotes IP sobre ao host interno apropriado.

    Por exemplo, no diagrama neste documento, quando uma requisição ARP é feita para o endereço IP global do servidor de Web, 192.168.202.5, a ferramenta de segurança responde com seu próprio MAC address. Se o proxy ARP não é permitido nesta situação, os anfitriões na rede externa da ferramenta de segurança não podem alcançar o servidor de Web emitindo uma requisição ARP para o endereço 192.168.202.5. Refira a referência de comandos para obter mais informações sobre do comando sysopt.

  12. Se tudo parece estar correto, e os usuários ainda não podem alcançar o servidor de Web, abra um caso com Suporte técnico de Cisco.

Mensagem de Erro - %PIX|ASA-4-407001:

Poucos anfitriões são incapazes de conectar ao Internet e ao Mensagem de Erro - %PIX|ASA-4-407001: Negue o tráfego para o local-host interface_name: os inside_address, limite da licença de Mensagem de Erro excedido número são considerados no Syslog. Como pode este erro ser resolved?

Este Mensagem de Erro é considerado quando o número de usuários excede o limite do usuário da licença usada. Promova a licença a um número mais alto de usuários, que podem ser 50 pés, 100 ou licença do usuário ilimitado como necessário, a fim resolver este erro.

Sintaxe de comando access-list

Software PIX versões 5.0.x e posteriores

O comando access-list foi introduzido no PIX Software Release 5.0. Este exemplo mostra a sintaxe para o comando access-list:

acl_name da lista de acesso [negue | destination_netmask do destino do source_netmask do origem de protocolo da licença]

Exemplo: a licença tcp algum do access-list 101 hospeda o eq WWW de 192.168.202.5

A fim aplicar a lista de acessos, você deve incluir esta sintaxe em sua configuração:

acl_name do acesso-grupo no interface_name da relação

O comando access-group liga uma lista de acessos a uma relação. A lista de acessos é aplicada para traficar de entrada a uma relação. Se você incorpora a opção da licença a uma indicação de comando access-list, o PIX Firewall continua a processar o pacote. Se você incorpora a opção da negação a uma indicação de comando access-list, o PIX Firewall rejeita o pacote.

Nota: Cada entrada de controle de acesso (ACE) que você inscreve para um nome dado da lista de acessos está adicionada à extremidade da lista de acessos a menos que você especificar o número de linha no ACE.

Nota: A ordem de ACE é importante. Quando a ferramenta de segurança decidir se enviar ou para deixar cair um pacote, a ferramenta de segurança testar o pacote contra cada ACE na ordem em que as entradas estão listadas. Depois que um fósforo é encontrado, não mais ACE está verificado. Por exemplo, se você cria um ACE no início de uma lista de acessos que permita explicitamente todo o tráfego, nenhuma indicação mais adicional é verificada.

Nota: As Listas de acesso mandam um implícito negar na extremidade da lista. Assim a menos que você a permitir explicitamente, o tráfego não pode passar. Por exemplo, se você quer permitir que todos os usuários alcancem uma rede através da ferramenta de segurança à exceção dos endereços específicos, a seguir você necessidade de negar os endereços específicos e de permitir então todos os outro.


Informações Relacionadas


Document ID: 15245