Segurança física e sistemas de construção : Dispositivos de segurança Cisco PIX 500 Series

Utilização nat, global, estática, conduíte, e comandos access-list e porta Redirection(Forwarding) no PIX

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (7 Abril 2008) | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

A fim maximizar a Segurança quando você executa um firewall PIX segura Cisco, é importante compreender de como os pacotes são passados e às interfaces de segurança mais elevada das interfaces de segurança mais baixa usando o nat, comandos global, static, e conduit, ou comandos access-list e access-group nas versões de software de PIX 5.0 e mais atrasado. Este documento explica as diferenças entre estes comandos e como configurar o redirection(Forwarding) da porta na versão de software de PIX 6.0 e a característica da tradução de endereço de rede externa (NAT) adicionada na versão de software de PIX 6.2.

Refira indicações PIX/ASA 7.x NAT e de PANCADINHA a fim aprender mais sobre o NAT básico e configurações da tradução de endereço de porta (PAT) no Dispositivos de segurança Cisco PIX série 500.

Refira a utilização de indicações NAT e de PANCADINHA no firewall PIX segura Cisco a fim aprender mais sobre os exemplos básicos NAT e de configurações da PANCADINHA no firewall PIX segura Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada nestas versões de software.

  • Software Cisco Secure PIX Firewall versões 4.4.5 e posterior

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Diagrama de Rede

/image/gif/paws/12496/28b.gif

Configuração inicial

Os nomes das relações são:

  • ethernet0 do nameif fora de security0

  • nameif ethernet1 dentro da security100

Permitir o Acesso de Externo

O acesso externo descreve conexões de uma interface de nível de segurança mais elevado para uma interface de nível de segurança mais baixo. Isso inclui conexões de dentro para fora, dentro de DMZs (Zonas Desmilitarizadas) e DMZs para fora. Isto pode igualmente incluir conexões de um DMZ a outro, desde que a interface de origem da conexão tem um nível de segurança mais elevado do que o destino. Isto pode ser confirmado por uma revisão da configuração do “nameif” no PIX.

Existem duas polícias exigidas para permitir acesso de saída. O primeiro é um método de conversão. Esta pode ser uma tradução estática usando o comando static, ou uma tradução dinâmica usando regra nat/global. A outra exigência para o acesso externo é se há um presente do Access Control List (ACL), a seguir deve permitir o acesso de host de origem ao host de destino usando o protocolo e a porta específicos. Por padrão, não há restrições de acesso às conexões externas por meio do PIX. Isto significa que se não há nenhum ACL configurado para a interface de origem, a seguir à revelia, a conexão externa está permitida se há um método de tradução configurado.

Estas seções fornecem exemplos na configuração de um método de tradução e na limitação do acesso externo o uso de um ACL.

Permita algum do acesso dos host internos às redes externas

Essa configuração concede a todos os hosts da sub-rede 10.1.6.0/24 acesso ao meio externo. Os comandos nat and global são usados realizar isto.

  1. Define o grupo interno a ser incluído para NAT.

    nat (inside) 1 10.1.6.0 255.255.255.0
    
  2. Especifique um pool de endereços na interface externa na qual os hosts definidos na declaração de NAT são traduzidos.

    global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0 
    

Agora os hosts internos podem acessar as redes externas. Quando hosts internos iniciam uma conexão com o exterior, eles são convertidos para um endereço do conjunto global. Note que os endereços estão atribuídos do conjunto global em uma primeiro a chegar, base primeiro-traduzida, e no começo com o mais baixo endereço no pool. Por exemplo, se o host 10.1.6.25 for o primeiro a iniciar uma conexão externa, ele recebe o endereço 175.1.1.3. O próximo host externo recebe 175.1.1.4 e assim por diante. Esta não é uma tradução estática, e o timeout da tradução é excedido após um período de inatividade definido pelo comando timeout xlate hh: milímetro: ss .

Permita o acesso restante dos host internos às redes externas

O problema é que há mais hosts internos do que endereços externos. Use a tradução de endereço de porta (PAT) para permitir a todos os anfitriões o acesso à parte externa. Se um endereço for especificado na instrução, esse endereço será convertido em porta. O PIX permite uma conversão de porta por interface, e essa conversão suporta até 65.535 objetos xlate ativos para o endereço global único. Conclua estes passos:

  1. Defina o grupo interno a ser incluído para a PANCADINHA. (Usando 0 0 nós selecionamos todos os host internos.)

    nat (inside) 1 10.1.6.0 255.255.255.0
    
  2. Especifique o endereço global a ser usado para a PANCADINHA.

    global (outside) 1 175.1.1.65
    

Há algumas coisas a considerar quando você usa o PAT.

  • Os endereços IP que você especificar para o PAT não poderão pertencer a outro pool de endereços global.

  • O PAT não funciona com aplicações H.323, servidores de nome de cache e o Point-to-Point Tunneling Protocol (PPTP). O PAT funciona com o Domain Name Service (DNS), FTP e FTP passivo, HTTP, email, RPC, rshell, Telnet, filtragem de URL e traceroute externo.

  • Não use a PANCADINHA quando os aplicativos multimídia precisam de ser executados com o Firewall. Os aplicativos multimídia podem entrar em conflito com os mapeamentos de porta fornecidos pelo PAT.

  • No PIX Software Release 4.2(2), o recurso PAT não funciona com pacotes de dados IP que chegam em ordem reversa. Este problema é corrigido na liberação 4.2(3).

  • Os endereços IP no conjunto de endereços globais especificados com o comando global requerem entradas de DNS reverso para assegurar que todos os endereços de rede externa estejam acessíveis através do PIX. Para criar mapeamentos de DNS reversos, use um registro DNS Pointer (PTR) no arquivo de mapeamento de endereços em nome para cada endereço global. Sem as entradas de PTR, os sites podem experimentar conectividade lenta ou intermitente à Internet e as solicitações de FTP falham constantemente.

    Por exemplo, se um endereço IP global for 175.1.1.3 e o nome do domínio para o firewall PIX for pix.caguana.com, o registro PTR seria:

    3.1.1.175.in-addr.arpa. IN PTR 
    pix3.caguana.com 
    4.1.1.175.in-addr.arpa. IN PTR 
    pix4.caguana.com & so on.

Permita o acesso dos host internos a um DMZ sem tradução

Quando as configurações mais cedo neste uso do documento os comandos nat and global permitir que os anfitriões na rede interna alcancem anfitriões em um DMZ conectarem traduzindo os endereços de origem dos host internos, tal tradução não está desejada às vezes. Mas quando um host em uma relação do PIX Firewall inicia uma conexão a um host em uma outra relação, o PIX deve ter uma maneira de traduzir o endereço IP de Um ou Mais Servidores Cisco ICM NT desse host através dse. Mesmo se não é necessário que o endereço IP de Um ou Mais Servidores Cisco ICM NT seja traduzido, uma tradução deve ainda ocorrer. Consequentemente, a fim permitir anfitriões no acesso interno aos anfitriões no DMZ, uma tradução que não traduza realmente deve ser configurada.

Supõe que os anfitriões na rede interna de 10.1.6.0/24 precisam o acesso aos anfitriões na rede do DMZ de 172.22.1.0/24:

  1. Crie uma tradução estática entre a rede interna inteira e o DMZ que não traduz realmente endereços internos.

    static (inside,dmz) 10.1.6.0 10.1.6.0 netmask 255.255.255.0
    
  2. Crie uma tradução estática para permitir um acesso do host interno ao DMZ sem realmente traduzir o endereço do host.

    static (inside,dmz) 10.1.6.100 10.1.6.100
    

    Nota: O PIX adiciona automaticamente um netmask de 255.255.255.255.

Restrigir o Acesso de Host Internos a Redes Externas

Se houver um método de tradução válido definido para o host de origem, e nenhuma ACL definida para a interface do PIX de origem, então a conexão externa será permitida por padrão. Contudo, em alguns casos pôde ser necessário restringir o acesso externo baseado na fonte, no destino, no protocolo, e/ou na porta. Isto pode ser realizado quando você configura um ACL com o comando access-list e o aplica à interface de PIX do origem da conexão com o comando access-group. ACLs PIX apenas são aplicadas na direção de entrada. Os ACLs estão disponíveis no código da versão 5.0.1 do PIX ou mais recente. O código inicial usa “de partida” e “aplique” as indicações que são descritas na referência de comando PIX.

Este é um exemplo que permita o acesso de partida HTTP para uma sub-rede, mas nega a todos anfitriões restantes o acesso HTTP à parte externa, e permite todo tráfego IP restante para todos.

  1. Defina a ACL.

    access-list acl_outbound permit tcp 10.1.6.0 255.255.255.0 any eq www
    access-list acl_outbound deny tcp any any eq www
    access-list acl_outbound permit ip any any
    

    Nota: O PIX ACL difere dos ACL no Roteadores do Cisco IOS que o PIX não usa um wildcard mask como o Cisco IOS. Ele usa uma máscara de sub-rede regular na definição de ACL. Assim como ocorre com os roteadores Cisco IOS, a ACL do PIX possui uma declaração "negar tudo" implícita no final.

  2. Aplique a ACL à interface interna.

    access-group acl_outbound in interface inside
    

Permita o acesso dos hosts não confiáveis aos hosts em sua rede confiável

A maioria de organizações precisam de permitir host não confiável em recursos em sua rede confiável, com um exemplo comum que é um servidor de Web interno. Por padrão, o PIX nega conexões dos host externos para os host internos. Use os comandos static and conduit permitir esta conexão. Nas versões de software de PIX 5.0.1 e mais atrasado, os comandos access-list e access-group estão disponíveis além do que comandos conduit.

As canalizações ou os ACLs fazem sentido para um PIX de duas interfaces. As conduítes sentido-são baseadas. Têm um conceito do interior e da parte externa. Com umas duas interfaces PIX, a conduíte permite o tráfego da parte externa ao interior. Diferente das canalizações, os ACLs são aplicados a interfaces com o comando access-group. Este comando associa a ACL à interface para examinar o tráfego que flui em uma direção específica.

Em contraste com os comandos nat e global que permitem a saída de hosts internos, o comando static cria uma tradução bidirecional que permite a saída de hosts internos e a entrada de hosts externos caso sejam criadas as canalizações adequadas ou sejam adicionados grupos/ACLs (software PIX versão 5.0.1 ou posterior).

Nos exemplos de configuração da PANCADINHA mais cedo neste documento, se um host exterior tentado conectar ao endereço global, ele poderia ser usado pelo milhares de hosts internos. O comando static cria um mapeamento um a um. O comando conduit ou access-list define que tipo de conexão está permitido a um host interno e exigido sempre quando um host de segurança mais baixa conecta a um host de segurança mais elevada. O comando conduit ou access-list é baseado em ambos porta e protocolo. Pode ser muito permissivo ou muito restritiva, segundo o que o administrador de sistema quer conseguir.

O diagrama da rede neste documento ilustra o uso destes comandos configurar o PIX para permitir que todos os host não confiável conectem ao servidor de Web interno, e permite este host não confiável, 199.199.199.24, acesso a um serviço de FTP na mesma máquina.

Use conduítes nas versões de PIX 4.4.5 e mais atrasado

Termine estas etapas para as versões de software de PIX 4.4.5 e umas conduítes de utilização mais atrasadas.

  1. Defina uma tradução de endereços estáticos do servidor Web interno para um endereço externo/global.

    static (inside,outside) 175.1.1.254 10.200.1.254
    
  2. Defina quais hosts podem se conectar em quais portas do seu servidor Web/FTP.

    conduit permit tcp host 175.1.1.254 eq www any
    conduit permit tcp host 175.1.1.254 eq ftp host 199.199.199.24
    

Nas versões 5.0.1 e posterior do software PIX, os ACLs com grupos de acesso podem ser usados em vez das canalizações. Canais ainda estão disponíveis, mas uma decisão deve ser tomada no sentido de usar canais ou ACLs. Não é aconselhável combinar ACLs e canalizações na mesma configuração. Se ambos são configurados, os ACL tomam a preferência sobre as conduítes.

Use ACL nas versões de PIX 5.0.1 e mais atrasado

Termine estas etapas para as versões de software de PIX 5.0.1 e uns ACL de utilização mais atrasados.

  1. Defina uma tradução de endereços estáticos do servidor Web interno para um endereço externo/global.

    static (inside, outside) 175.1.1.254 10.200.1.254
    
  2. Defina quais hosts podem se conectar em quais portas do seu servidor Web/FTP.

    access-list 101 permit tcp any host 175.1.1.254 eq www
    access-list 101 permit tcp host 199.199.199.24 host 175.1.1.254 eq ftp
    
  3. Aplique à ACL à interface externa.

    access-group 101 in interface outside
    

Nota: Seja cuidadoso ao implementar estes comandos. Se um ou outro o comando conduit permit ip any any ou access-list 101 permit ip any any é executado, todo o host na rede não confiável pode alcançar qualquer host na rede confiável usando o IP enquanto há uma tradução ativa.

Desabilitação NAT

Se tiver um endereço público na rede interna, e você quiser que os hosts internos sejam enviados para fora sem conversão, desative a NAT. Você igualmente precisa de mudar o comando static.

Usando o exemplo neste documento, o comando nat muda enquanto esta saída mostra:

nat (inside) 0 175.1.1.0 255.255.255.0 

Use estes comandos se você usa ACL nas versões de software de PIX 5.0.1 e mais atrasado:

access-list 103 permit ip 175.1.1.0 255.255.255.0 any
nat (inside) 0 access-list 103

Este comando desabilita o NAT para a rede 175.1.1.0. O comando static para o servidor de Web muda enquanto esta saída mostra:

static (inside, outside) 175.1.1.254 175.1.1.254

Este comando define a conduíte para o servidor de Web.

conduit permit tcp host 175.1.1.254 eq www any

Use estes comandos se você usa ACL nas versões de software de PIX 5.0.1 e mais atrasado:

access-list 102 permit tcp any host 175.1.1.254 eq www
access-group 102 in interface outside

Observe a diferença entre usar o nat 0 com especificação rede/máscara em vez de usar um ACL que usa uma rede/máscara que permite apenas a iniciação de conexões do lado de dentro. O uso dos ACL permite a iniciação da conexão por de entrada ou pelo tráfego de saída. As interfaces de PIX devem estar em sub-redes diferentes para evitar problemas de alcançabilidade.

Redirecionamento de Portas (Encaminhamento) com Statics

Em PIX 6.0, a característica de Redirection(Forwarding) da porta foi adicionada para permitir que os usuários externos conectem a um endereço /porta de IP particular e mandem o PIX reorientar o tráfego ao server interno apropriado; o comando static foi alterado. O endereço compartilhado pode ser um endereço único, um endereço de PAT de saída compartilhado, ou compartilhado com a interface externa.

Nota: Estes comandos estão em duas linhas devido às limitações de espaço.

static [(internal_if_name, external_if_name)] 
{global_ip|interface}
local_ip [netmask mask] [max_conns [emb_limit 
[norandomseq]]]
static [(internal_if_name, external_if_name)] {tcp|udp} 
{global_ip|interface} 
global_port local_ip local_port [netmask mask] [max_conns 
[emb_limit [norandomseq]]]

Estes são os redirecionamentos de porta para a rede de exemplo:

  • Os usuários externos direcionam solicitações de telnet para o endereço IP exclusivo 172.18.124.99, o qual é redirecionado pelo PIX para 10.1.1.6.

  • Os usuários externos direcionam solicitações de FTP para endereços IP exclusivos 172.18.124.99, que o PIX redireciona para 10.1.1.3.

  • Os usuários externos direcionam as solicitações de Telnet para o endereço PAT 172.18.124.208, o qual é redirecionado pelo PIX para 10.1.1.4.

  • Os usuários externos direcionam requisições de Telnet para o endereço IP externo de PIX 172.18.124.216, que o PIX redireciona para 10.1.1.5.

  • Os usuários externos direcionam a solicitação de HTTP para endereço IP externo 172.18.124.216 do PIX, o qual é redirecionado pelo PIX para 10.1.1.5.

  • Os usuários externos direcionam solicitações de porta 8080 HTTP para o endereço PAT 172.18.124.208, o qual o PIX redireciona para a porta 80 10.1.1.7

Este exemplo igualmente obstrui o acesso de alguns usuários do interior à parte externa com ACL 100. Este passo é opcional. todo o tráfego é permitido no sentido de saída sem o ACL no lugar.

Diagrama de Rede - Redirecionamento de Portas (Encaminhamento)

/image/gif/paws/12496/28-02.gif

Configuração de PIX parcial - Porta Redirection(Forwarding)

Esta configuração parcial ilustra o uso da reorientação da porta estática.

Configuração de PIX parcial - Porta Redirection(Forwarding)
fixup protocol ftp 21

!--- Use of an outbound ACL is optional.

access-list 100 permit tcp 10.1.1.0 255.255.255.128 any eq www
access-list 100 deny tcp any any eq www
access-list 100 permit tcp 10.0.0.0 255.0.0.0 any
access-list 100 permit udp 10.0.0.0 255.0.0.0 host 172.18.124.100 eq domain 

access-list 101 permit tcp any host 172.18.124.99 eq telnet 
access-list 101 permit tcp any host 172.18.124.99 eq ftp 
access-list 101 permit tcp any host 172.18.124.208 eq telnet 
access-list 101 permit tcp any host 172.18.124.216 eq telnet 
access-list 101 permit tcp any host 172.18.124.216 eq www 
access-list 101 permit tcp any host 172.18.124.208 eq 8080

ip address outside 172.18.124.216 255.255.255.0
ip address inside 10.1.1.2 255.255.255.0

global (outside) 1 172.18.124.208
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6 
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3 
   ftp netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4 
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface telnet 10.1.1.5 
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface www 10.1.1.5 
   www netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7 
   www netmask 255.255.255.255 0 0

!--- Use of an outbound ACL is optional.

access-group 100 in interface inside
access-group 101 in interface outside

NAT externa

Em PIX 6.2 e mais atrasado, o NAT e a PANCADINHA podem ser aplicados para traficar de uma parte externa, ou para fixar-se menos, para conectar a uma relação (mais segura) interna. Isto é referido às vezes como “o NAT bidirecional.”

O NAT/PAT exterior é similar ao NAT/PAT interno, mas a tradução de endereços é aplicada aos endereços dos anfitriões que residem nas relações (menos seguras) exteriores do PIX. A fim configurar o NAT exterior dinâmico, especifique os endereços a ser traduzidos em menos interface segura e especifique o endereço global ou os endereços na relação (mais segura) interna. Use o comando static especificar o mapeamento um a um a fim configurar o NAT exterior estático.

Depois que o NAT externo for configurado, quando um pacote chegar na interface externa (menos segura) do PIX, o PIX tentará localizar um xlate (entrada de tradução de endereço) existente no banco de dados de conexões. Se não houver nenhum xlate, ele pesquisará a política NAT da configuração em execução. Se uma política de NAT é encontrada, um xlate está criado e introduzido no base de dados. Em seguida, o PIX regrava o endereço de origem no endereço global ou mapeado e transmite o pacote na interface interna. Com o xlate estabelecido, os endereços de quaisquer pacotes subseqüentes podem ser rapidamente convertidos por meio da consulta de entradas no banco de dados das conexões.

Diagrama de Rede - NAT Externo

/image/gif/paws/12496/28-01.gif

No exemplo:

  • Dispositivo 10.100.1.2 ao NAT a 209.165.202.135 quando sair

  • Dispositivo 209.165.202.129 ao NAT a 10.100.1.3 quando entrar

  • Outros dispositivos na rede 10.100.1.x ao NAT aos endereços nos 209.165.202.140-209.165.202.141 pool quando sair

  • Conectividade do dispositivo 209.165.202.129 ao dispositivo 10.100.1.2 com dispositivo 209.165.202.129 que vê o dispositivo interno como 209.165.202.135 e dispositivo 10.100.1.2 que vê o tráfego de 209.165.202.129 como vindo de 10.100.1.3 (devido ao NAT exterior)

Alcance a todos os dispositivos 209.165.202.x usando ACL ou conduítes é permitido.

Configuração parcial de PIX – NAT externo

Configuração parcial de PIX – NAT externo
ip address outside 209.165.202.130 255.255.255.224
ip address inside 10.100.1.1 255.255.255.0
global (outside) 5 209.165.202.140-209.165.202.141 netmask 255.255.255.224
nat (inside) 5 10.100.1.0 255.255.255.0 0 0
static (inside,outside) 209.165.202.135 10.100.1.2 netmask 255.255.255.255 0 0
static (outside,inside) 10.100.1.3 209.165.202.129 netmask 255.255.255.255 0 0
conduit permit ip 209.165.202.0 255.255.255.0 209.165.202.0 255.255.255.0

!--- Or in lieu of conduits, we leave the static statements but have the following.
 
access-list 101 permit ip 209.165.202.0 255.255.255.0 209.165.202.0 255.255.255.0
access-group 101 in interface outside

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

  • Se você usa ping ICMP para testar uma tradução configurada, os sibilos são prováveis e fazê-la não parecem como se a tradução não está trabalhando. À revelia, o PIX obstrui mensagens ICMP das interfaces de segurança mais baixa às interfaces de segurança mais elevada. Isto ocorre mesmo se a resposta de eco é em resposta a um sibilo iniciado do interior. Em consequência, seja certo usar um outro método, como o telnet, para verificar sua configuração.

  • Depois que você faz todas as mudanças às Regras de tradução no PIX incentiva-se fortemente que o comando clear xlate esteja emitido. Isto assegura-se de que nenhuma traduções velha não interfiram com recentemente configuradas e façam com que se operem incorretamente.

  • Depois que você configura ou muda traduções estáticas entre server no interior ou DMZ e a parte externa, pôde ser necessário cancelar o cache ARP do gateway router ou do outro dispositivo de próximo salto.

Informações a serem coletadas se você abrir um caso de TAC

Se você ainda precisa o auxílio após ter seguido os passos de Troubleshooting acima e o quer abrir um caso com o tac Cisco, seja certo incluir a informação seguinte para pesquisar defeitos seu PIX Firewall.
  • Descrição do problema e detalhes relevantes de topologia
  • Pesquise defeitos antes que você abra o caso
  • Saída do comando show tech-support
  • Saída do comando show log após a execução com o comando de depuração de registro colocado em buffer ou capturas do console que demonstram o problema (se disponível)
Anexe os dados coletados à sua ocorrência em formato de texto simples descompactado (.txt). Você pode anexar informações para o seu caso, carregando-o com o uso da Case Query Tool (somente clientes registrados). Se você não pode alcançar a ferramenta do Case Query, você pode enviar a informação em um anexo de Email a attach@cisco.com com seu número de caso na linha de assunto de sua mensagem.


Informações Relacionadas


Document ID: 12496