Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA: Alternativo e restauração os arquivos de configuração da ferramenta de segurança usando o servidor TFTP

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este original descreve como fazer backup e restaurar a configuração e os arquivos de imagem do Security Appliance versões 6.x e 7.x. Este documento fornece os passos básicos a serem utilizados para copiar esses arquivos entre um servidor TFTP e um PIX/ASA.

Nota: Consulte Seleção e Uso do Servidor TFTP para selecionar o servidor TFTP.

Pré-requisitos

Requisitos

Antes que você use as informações neste documento, certifique-se de possuir um servidor TFTP na rede à qual possua conectividade IP. Use o comando ping para verificar a conectividade.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Produtos Relacionados

A configuração do Cisco PIX 500 Series Security Appliance Software versão 7.x também pode ser utilizado com o Cisco ASA Series Security Appliance Software versão 7.x.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Fazer Backup e Restaurar a Configuração

Esta seção fornece informações sobre os procedimentos utilizados para backup e restauração das configurações do PIX 6.x e 7.x:

Utilizar os Comandos tftp-server, config net e write net para Fazer Backup e Restaurar uma Configuração no PIX 6.x ou 7.x

Os comandos write net, config net e tftp-server permitem que você faça backup e restaure a configuração do PIX para as versões 6.x e 7.x.

Nota: Estes comandos e este procedimento são aceitos em ambas as versões PIX 6.x e 7.x. Em ambos os casos, os comandos devem ser executados no modo de configuração global.

  1. Execute o comando tftp-server para simplificar a inserção dos comandos configure net e write net.

    Quando esses comandos forem executados, você poderá herdar o servidor TFTP especificado pelo comando tftp-server ou fornecer o seu próprio valor. Você também poderá herdar o caminho no comando tftp-server como estiver, adicionar um caminho e um nome de arquivo ao fim do valor do comando tftp-server, ou substituir o valor do comando tftp-server. O PIX Security Appliance oferece suporte somente a um comando tftp-server.

    tftp-server [if_name] {ip_address|hostname} path
    
  2. Especifique o servidor TFTP, o caminho e o nome de arquivo padrão com os comandos configure net ou write net.

    Esses comandos são utilizados no modo de configuração global. Execute a forma no desses comandos para remover a configuração do servidor. Esse comando oferece suporte aos endereços IPv4 e IPv6.

    Nota: A sintaxe do comando varia ligeiramente para o PIX 6.x e 7.x. No PIX 6.x, [if_name] é um parâmetro opcional que represente o nome da interface em que o servidor TFTP reside. Se ele não especificado, uma interface interna será assumida. Se você especificar a interface externa, uma mensagem de aviso o informará que a interface externa não é segura. Entretanto, no PIX 7.x, [if_name] é um parâmetro obrigatório que especifica o nome da interface de gateway. Se você especificar uma interface diferente da interface de segurança mais alta, uma mensagem de aviso o informará que a interface não é segura.

    O nome de caminho especificado no comando tftp-server é adicionado à extremidade do endereço IP especificado nos comandos configure net e write net. Quanto mais que você especificar sobre um arquivo e nome de caminho com o comando tftp-server, menos você precisará especificar com os comandos configure net e write net. Se você especificar o caminho completo e o nome de arquivo no comando tftp-server, o endereço IP nos comandos configure net e write net poderão ser representados com dois-pontos.

    Este exemplo especifica um servidor TFTP, em seguida, lê a configuração de /pixfirewall/config/test_config:

    tftp-server inside 10.1.1.42 /pixfirewall/config/test_config
    
    configure net :
  3. Execute o comando configure net command para mesclar a configuração de execução atual com uma configuração TFTP armazenada no endereço IP especificado e no arquivo que você nomear.

    Se o endereço IP e o nome do caminho forem especificados no comando tftp-server, você poderá especificar server_ip: nome de arquivo com dois-pontos.

    configure net :

    Este exemplo define o servidor e o nome de arquivo no comando tftp-server, e substitui o servidor com o comando configure net. O mesmo nome de arquivo é utilizado.

    hostname(config)#tftp-server inside 10.1.1.1 configs/config1
    
    hostname(config)#configure net 10.2.2.2:
    

    Este exemplo define o servidor somente no comando tftp-server. O comando configure net especifica somente o nome do arquivo.

    hostname(config)#tftp-server inside 10.1.1.1
    
    hostname(config)#configure net :configs/config1
    

    Uma mesclagem adiciona todos os comandos da configuração new à configuração running e substitui quaisquer comandos que estejam em conflito com as novas versões. Por exemplo, se um comando permitir múltiplas instâncias, os comandos new serão adicionados aos comandos existentes na configuração running. Se um comando permitir somente uma instância, o comando new substituirá o comando na configuração running. Uma mesclagem nunca remove os comandos existentes na configuração running, mas não definidos na configuração new.

    Este comando é igual ao comando copy tftp running-config. Para o modo de contexto múltiplo no PIX 7.x, este comando estará disponível somente no espaço de execução do sistema. Portanto, o comando configure net é uma alternativa a ser utilizada em um contexto.

  4. Execute o comando write net para armazenar a configuração running no servidor TFTP.

    O comando write net é equivalente ao comando copy running-config tftp.

    write net :

    A configuração running é a configuração executada na memória no momento. Isso inclui quaisquer alterações feitas na linha de comando. No modo de contexto múltiplo, este comando salva somente a configuração atual. Você não pode salvar todos os contextos com um comando único. Este comando deve ser inserido separadamente para o sistema e para cada contexto.

    O comando write net usa as interfaces de contexto para gravar uma configuração em um servidor TFTP. Entretanto, o comando write memory usa as interfaces de contexto admin para salvar na configuração startup, pois o sistema usa as interfaces de contexto admin para acessar configurações startup de contexto.

    Este exemplo define o servidor TFTP e o nome de arquivo no comando tftp-server.

    hostname#tftp-server inside 10.1.1.1 /configs/contextbackup.cfg
    
    hostname#write net
    

    Este exemplo define o servidor e o nome de arquivo no comando write net. O comando tftp-server não é povoado.

    hostname#write net 10.1.1.1:/configs/contextbackup.cfg
    

    Nota: Se você possuir uma configuração do PIX Firewall que exista em um servidor TFTP e armazenar uma versão mais curta dessa configuração com o mesmo nome de arquivo no servidor TFTP, texto adicional poderá ser observado após a primeira: marca de fim. Alguns servidores TFTP começam a gravar no início do arquivo e assim deixam alguma configuração original após a primeira: marca de fim. Isso não afeta o PIX Firewall. Entretanto, como o comando configure net para de ler quando atinge a primeira: marca de fim, tal situação poderá causar confusão se você exibir a configuração e observar texto extra no fim.

Utilizar o Comando copy para Fazer Backup e Restaurar uma Imagem do PIX 6.x

O comando copy tftp flash permite que você baixe uma imagem do software na memória Flash do firewall via TFTP. Você pode utilizar o comando copy tftp flash com qualquer modelo do PIX Firewall que execute a versão 5.1 ou posterior. A imagem obtida por download é disponibilizada ao PIX Firewall na próxima recarga (reinicialização).

Esta é a saída do comando copy tftp flash:

copy tftp[:[[//location] [/tftp_pathname]]] flash[:[image | pdm]]

Se o comando é usado sem os parâmetros opcionais do lugar ou do pathname, a seguir o lugar e o nome de arquivo estão obtidos do usuário interativamente através de uma série de perguntas similares àquelas apresentadas pelo software do ½ do ¿  de Cisco IOSïÂ. Se você inserir somente dois-pontos, os parâmetros serão obtidos das configurações do comando tftp-server. Se outros parâmetros opcionais forem fornecidos, esses valores serão utilizados em vez da configuração do comando tftp-server correspondente. Se parâmetros opcionais, como dois-pontos e qualquer coisa depois dele, forem fornecidos, o comando será executado sem um prompt para entrada do usuário.

O local é um endereço IP ou um nome resolvido em um endereço IP através do mecanismo de resolução de nomes do PIX Firewall, que corresponde atualmente a mapeamentos estáticos por meio dos comandos name e names. O PIX Firewall deve saber como atingir esse local através das informações de sua tabela de roteamento. Esta informação é determinada pelos comandos ip address, route ou RIP. Isso depende da sua configuração.

O nome do caminho pode incluir quaisquer nomes de diretório além do último componente real do caminho para o arquivo no servidor. O nome do caminho não pode conter espaços. Se um nome de diretório contiver espaços no servidor TFTP em vez de no comando copy tftp flash, e se seu servidor TFTP estiver configurado para apontar para um diretório no sistema do qual você baixará a imagem, será necessário utilizar somente o endereço IP do sistema e o nome de arquivo da imagem. O servidor TFTP recebe o comando e determina o local de arquivo real de sua informação do diretório raiz. Em seguida, o servidor baixa a imagem TFTP para o PIX Firewall.

Este é o procedimento para copiar um arquivo de imagem de um servidor TFTP para um PIX, e de volta para um servidor TFTP.

  1. Execute o comando copy tftp flash para copiar a imagem do PIX do servidor TFTP para a Flash do PIX.

    Este exemplo faz com que o PIX Firewall solicite o nome do arquivo e o local antes de começar o download TFTP.

    pix#copy tftp flash
    Address or name of remote host [127.0.0.1]? 10.1.1.5
    Source file name [cdisk]? pix512.bin
    copying tftp://10.1.1.5/pix512.bin to flash
    
    
    !!
    1030 bytes copied in 2.489 secs (395 bytes/sec)
    pix#
  2. Execute o comando copy flash tftp para copiar a imagem do PIX da Flash para o servidor TFTP:

    pix#copy flash tftp
    Address or name of remote host []? 10.0.0.1
    Source filename []? pix512.bin
    Destination filename [pix512.bin]?
    Accessing tftp://10.66.64.10/backup_cfg_for_pix...
    !!!!
    
    1030 bytes copied in 9.612 secs (107 bytes/sec)
    pix#
  3. Execute o comando tftp-server para definir o nome de arquivo e o local.

    Isso economizará memória e, em seguida, baixará a imagem para a memória Flash.

    Este exemplo obtém as informações do comando tftp-server. Nesse caso, o servidor TFTP está em uma intranet e reside na interface externa.

    pixfirewall(config)#tftp-server outside 10.1.1.5 pix512.bin
    
    Warning: 'outside' interface has a low security level (0).

    Este exemplo mostra o uso de tftp: no comando copy. O PIX copia diretamente a imagem do TFTP para a Flash sem intervenção.

    pixfirewall(config)#copy tftp: flash 
    
    copying tftp://10.1.1.5/pix512.bin to flash
    
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!...
  4. Execute o nome de comando tftp-host nos comandos copy.

    Este exemplo mapeia um endereço IP em um nome de host TFTP com o comando name.

    name 10.1.1.6 tftp-host
    
    copy tftp://tftp-host/pix512.bin flash
    
    copy tftp://tftp-host/tftpboot/pix512.bin flash

Utilizar o Comando copy para Fazer Backup e Restaurar uma Configuração no PIX/ASA 7.x/8.x

Use um destes métodos para fazer backup e restaurar sua configuração em um PIX/ASA 7.x/8.x:

Utilizar o Comando copy para Fazer Backup e Restaurar a Configuração e a Imagem do PIX

O comando copy permite que você copie um arquivo de um local para outro.

copy [/noconfirm | /pcap] {url | running-config | startup-config}
 {running-config | startup-config | url}

Nota: Use o procedimento do comando copy mencionado nos passos 1 e 2 da seção Utilizar o Comando copy para Fazer Backup e Restaurar uma Imagem do PIX 6.x para fazer backup e restaurar a imagem do PIX para o servidor TFTP. O uso do comando copy é ligeiramente diferente nas versões 6.x e 7.x/8.x. Na versão 6.x, se você executar tftp: com o comando copy, como copy tftp: o flash, o PIX utilizará a informação do servidor TFTP armazenada, como o caminho e o nome de arquivo. Entretanto, na versão 7.x/8.x, o PIX fará várias perguntas ao usuário, mesmo se tftp: com o comando copy e a informação do servidor TFTP forem especificados.

Este é o procedimento para copiar uma configuração de um PIX para um servidor TFTP, e de volta para o PIX.

  1. Selecione e copie o arquivo de configuração running do PIX para o servidor TFTP:

    pix#copy running-config tftp
    Address or name of remote host []? 10.0.0.1
    Destination filename [pix-confg]? backup_cfg_for_pix
    !!
    1030 bytes copied in 2.489 secs (395 bytes/sec)
    pix#
  2. Selecione e copie o arquivo de configuração do servidor TFTP para um mesmo PIX em modo (enable) privilegiado, que possua uma configuração básica.

    pix#copy tftp running-config
    Address or name of remote host []? 10.0.0.1
    Source filename []? backup_cfg_for_pix
    Destination filename [running-config]?
    Accessing tftp://10.66.64.10/backup_cfg_for_pix...
    Loading backup_cfg_for_pix from 10.0.0.1 (via Ethernet0): !
    [OK - 1030 bytes]
    
    1030 bytes copied in 9.612 secs (107 bytes/sec)
    pix#

Fazer Backup e Restaurar a Configuração de Modo Simples ou Configuração do Sistema de Modo Múltiplo

No modo de contexto simples, ou da configuração de sistema no modo múltiplo, você pode copiar a configuração startup ou a configuração running para um servidor externo ou para a memória Flash local:

Nota: Quando você copia uma configuração para a configuração running, você mescla duas configurações. Uma mesclagem adiciona quaisquer comandos new da configuração new à configuração running. Se as configurações forem iguais, nenhuma alteração ocorrerá. Se os comandos estiverem em conflito ou se afetarem a execução do contexto, o efeito da mesclagem dependerá do comando. Você pôde obter erros ou resultados inesperados.

  1. Selecione e copie a configuração startup ou a configuração running para um servidor externo ou para a memória Flash local:

    hostname#copy {startup-config | running-config}
    tftp://server[/path]/filename
    
  2. Execute este comando copy tftp para restaurar o arquivo no PIX:

    hostname#copy tftp://server[/path]/filename {startup-config | running-config}
    
  3. Execute este comando copy para copiar para um servidor FTP:

    hostname#copy {startup-config | running-config} 
    ftp://[user[:password]@]server[/path]/filename
    
  4. Execute este comando copy para restaurar o arquivo no PIX:

    hostname#copy ftp://[user[:password]@]server[/path]/filename {startup-config | running-config}
    
  5. Execute este comando copy para copiar para a memória Flash local:

    hostname#copy {startup-config | running-config} {flash:/ | disk0:/ | 
    disk1:/}[path/]filename
    
  6. Execute este comando copy para restaurar o arquivo de backup:

    hostname#copy {flash:/ | disk0:/ | 
    disk1:/}[path/]filename {startup-config | running-config}
    

    Certifique-se de que o diretório de destino existe. Se ele não existir, execute o comando mkdir para criar o diretório.

Fazer Backup e Restaurar uma Configuração de Contexto na Memória Flash

No modo de contexto múltiplo, execute um destes comandos no espaço da execução do sistema para copiar as configurações de contexto que estejam na memória Flash local.

  1. Execute este comando copy para copiar para um servidor TFTP:

    hostname#copy disk:[path/]filename tftp://server[/path]/filename
    
  2. Execute este comando copy para restaurar o arquivo no PIX:

    hostname#copy tftp://server[/path]/filename disk:[path/]filename
    
  3. Execute este comando copy para copiar para um servidor FTP:

    hostname#copy disk:[path/]filename ftp://[user[:password]@]server 
    [/path]/filename
    
  4. Execute este comando copy para restaurar o arquivo no PIX:

    hostname#copy ftp://[user[:password]@]server 
    [/path]/filename disk:[path/]filename
    
  5. Execute este comando copy para copiar para a memória Flash local:

    hostname#copy {flash:/ | disk0:/ | disk1:/}[path/]filename {flash:/ | disk0:/ | 
    disk1:/}[path/]newfilename
    
  6. Execute este comando copy para restaurar o arquivo no PIX:

    hostname#copy {flash:/ | disk0:/ | 
    disk1:/}[path/]newfilename {flash:/ | disk0:/ | disk1:/}[path/]filename
    

Fazer Backup de uma Configuração de Contexto em um Contexto

No modo de contexto múltiplo, de dentro de um contexto, você pode executar estes backups:

  1. Execute este comando copy para copiar a configuração running para o servidor da configuração startup (conectado ao contexto admin):

    hostname/contexta#copy running-config startup-config
    
  2. Execute este comando copy para copiar a configuração running para um servidor TFTP conectado à rede do contexto:

    hostname/contexta#copy running-config tftp:/server[/path]/filename
    

Suporte arquivos adicionais usando a exportação e os comandos import

Os arquivos adicionais essenciais para sua configuração podem incluir:

  • Arquivos que você importa usando o comando import webvpn. Atualmente esses arquivos incluem personalizações, listas de URLs, conteúdo da Web, plug-ins e traduções de idiomas.

  • Políticas DAP (dap.xml)

  • Configurações CSD (data.xml)

  • Chaves e certificados digitais

  • Arquivos de status de certificados e banco de dados de usuários da CA local

A CLI permite que você faça backup e restaure elementos individuais da sua configuração usando os comandos import e export. Para fazer backup desses arquivos, por exemplo, os importados através do comando webvpn import ou certificados, execute estes passos:

  1. Execute o comando show apropriado. Por exemplo.

    hostname #show import webvpn plug-in
    ica
    rdp
    ssh,telnet
    vnc
    hostname#
  2. Execute o comando export para o arquivo que você deseja fazer backup, neste exemplo, o arquivo rdp.

    hostname #export webvpn plug-in protocol rdp tftp://tftpserver/backupfilename
    
    hostname #

Utilizar um Script para Fazer Backup e Restaurar Arquivos

Você pode utilizar um script para fazer backup e restaurar os arquivos de configuração em seu mecanismo de segurança, que inclui todas as extensões que você importa através da CLI import webvpn, os arquivos XML da configuração CSD e o arquivo XML da configuração DAP. Por razões de segurança, a Cisco não recomenda que você execute backups automatizados de chaves digitais e certificados ou da chave CA local.

Esta seção fornece instruções para fazer isso, e inclui um script de exemplo que você pode utilizar como está ou modificá-lo de acordo com as necessidades do seu ambiente. O script de exemplo é específico para um sistema Linux. Para utilizar um sistema Microsoft Windows, você precisa modificá-lo com a lógica da amostra.

Nota: A CLI existente permite que você faça backup e restaure arquivos individuais com o uso dos comandos copy, export e import. Entretanto, ela não possui um recurso que o permita fazer backup de todos os arquivos de configuração do ASA em uma operação. Se você executa o script, isso facilita o uso de CLIs múltiplas.

Pré-requisitos:

Para utilizar um script para fazer backup e restaurar uma configuração do ASA, execute estas tarefas:

  • Instale o Perl com um módulo Expect.

  • Instale um cliente SSH que possa alcançar o ASA.

  • Instale um servidor TFTP para enviar arquivos do ASA para o local de backup.

Outra opção é utilizar uma ferramenta disponível comercialmente. Você pode inserir a lógica deste script em tal ferramenta.

Executando o Script

Execute estes passos para executar um script de backup e restauração:

  1. Baixe ou recorte e cole o arquivo de script em qualquer local em seu sistema.

  2. Na linha de comando, insira Perl scriptname, onde scriptname é o nome do arquivo de script.

  3. Pressione Enter.

  4. O sistema solicitará valores para cada uma das opções. Alternativamente, você pode inserir valores para as opções ao inserir o comando Perl scriptname antes que pressione Enter. De qualquer maneira, o script exigirá que você insira um valor para cada opção.

  5. O script começa a executar e imprime os comandos que ele executa, o que o fornece um registro das CLIs. Você pode utilizar estas CLIs para uma restauração posterior, especialmente úteis se você desejar restaurar somente um ou dois arquivos.

Usar um Programa de Emulação de Terminal para Fazer Backup e Restaurar uma Configuração

Um programa de emulação de terminal pode ser utilizado para fazer backup e restaurar uma configuração. Esta é uma descrição do procedimento que usa o software de emulação de terminal Microsoft HyperTerminal e o PIX 6.x ou 7.x/8.x.

  1. No prompt pix> , execute o comando enable e insira a senha necessária quando solicitada.

    O prompt altera para pix#. Isso indica que o PIX está no modo privilegiado.

  2. Execute o comando terminal pager 0 para forçar o PIX a retornar imediatamente a resposta inteira, em vez de uma tela de cada vez.

    Isso permite que você capture a configuração sem --mais-- prompts gerados quando o PIX responder com uma janela de cada vez.

  3. No menu do HyperTerminal, escolha Transfer > Capture Text.

    A janela Capture Text é exibida.

  4. Nomeie este arquivo como config.txt.

  5. Clique em Start para dispensar a janela Capture Text e iniciar a captura.

  6. Emita o comando show running-config e dê um tempo para o roteador concluir sua resposta.

    Isto será exibido:

    Building configuration...

    A configuração vem após Building configuration.

  7. No menu do HyperTerminal, escolha Transfer > Capture Text > Stop para encerrar a captura de tela.

  8. Abra o arquivo config.txt criado em qualquer editor de texto, como o Notepad ou o Wordpad, e salve o arquivo.

  9. Conecte ao PIX que necessita da configuração restaurada.

  10. Abra o arquivo config.txt.

  11. Destaque todo o conteúdo do arquivo config.txt.

    Arraste o cursor de antes do primeiro caractere para após o último caractere no arquivo enquanto você mantém o botão esquerdo do mouse pressionado para realçar. Alternativamente, se você usa o Notepad, escolha Edit > Select All no menu.

  12. Escolha Edit > Copy do menu do editor de texto, ou mantenha a tecla CTRL pressionada e simultaneamente pressione a tecla C para copiar o texto selecionado da área de transferência do Windows.

  13. Alterne para a janela do HyperTerminal, e execute o comando configure terminal no prompt pix#.

  14. Pressione Enter.

  15. Escolha Edit > Paste para Host no menu do HyperTerminal para colar o arquivo de configuração no PIX.

  16. Depois que a configuração for colada e o PIX o retornar ao prompt de configuração, execute o comando copy running-config startup-config para gravar a configuração na memória.

  17. Execute o comando exit para retornar ao prompt pix#.

Certificados alternativos e da restauração

Termine estas etapas a fim restaurar a informação do certificado de um ASA a um outro ASA:

  1. Exporte o certificado do ASA original em um formato do PKCS12.

    crypto ca export [trustpoint name] pkcs12 [export password]

    Isto importa todos os Certificados na corrente e igualmente na chave que é usada com este certificado. Quando você move o certificado inteiro para um outro ASA, você precisa de mover igualmente a chave com ela.

  2. Importe o certificado com a chave sobre ao segundo Firewall.

    crypto ca import [trust point name] pkcs12 [password used to export]

    Você não precisa de definir nenhuns confiança-pontos antes que você incorpore este comando. Cria os confiança-pontos automaticamente. Assim se há algum ponto da confiança com o mesmo nome a seguir remove-o antes que você o aplique.

Verificar

Execute o comando show running-config para confirmar se o arquivo de configuração foi copiado para o PIX de destino.


Informações Relacionadas


Document ID: 70771