Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA: Configurar e pesquise defeitos o PIX Firewall com uma única rede interna

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Interativo: Este documento oferece análise personalizada do seu dispositivo Cisco.


Índice


Introdução

Esta configuração de exemplo demonstra como configurar um Mecanismo de Segurança para separar uma rede corporativa da Internet.

Pré-requisitos

Requisitos

A rede interna tem um servidor de Web, um mail server, e um servidor FTP que os usuários no Internet possam alcançar. Todo acesso restante aos anfitriões na rede interna é negado dos usuários externos.

  • Endereço real do servidor de Web - 192.168.1.4; Endereço do Internet 10.1.1.3

  • Endereço real do mail server - 192.168.1.15; Endereço do Internet 10.1.1.4

  • Endereço real do servidor FTP - 192.168.1.10; Endereço do Internet 10.1.1.5

O acesso irrestrito é permitido a todos os usuários na rede interna ao Internet. São permitidos aos usuários internos sibilar dispositivos no Internet, mas não são permitidos aos usuários no Internet sibilar dispositivos no interior.

A empresa usada nesta configuração comprou uma rede da classe A de seu ISP (10.1.1.x). O .1 e .2 endereço é reservado para o roteador externo e a interface externa do PIX respectivamente. Os endereços .3 - .5 são usados para os servidores internos que os usuários no Internet podem alcançar. O endereços .6 - .14 é reservado para uso futuro para os server que os usuários externos podem alcançar.

O PIX Firewall no exemplo tem quatro Network Interface Cards, mas somente dois deles estão no uso. O PIX estabelece-se para enviar Syslog a um servidor de SYSLOG no interior com um endereço IP de Um ou Mais Servidores Cisco ICM NT de 192.168.1.220 (não mostrado no diagrama da rede).

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco PIX Firewall 535

  • Liberação de Software do firewall Cisco PIX 6.x e mais tarde

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração pode igualmente ser usada com a ferramenta de segurança adaptável do Cisco 5500 Series, que executa a versão 7.x e mais recente.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/13825/single-net-1.gif

Nota: Os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São os endereços do RFC 1918 <http://www.ietf.org/rfc/rfc1918.txt?number=1918> que foram usados em um ambiente de laboratório.

Configuração PIX 6.x

Nota: Os comandos não-padrão são mostrados em corajoso.

PIX
Building configuration... 
: Saved 
: 
PIX Version 6.3(3) 
nameif gb-ethernet0 outside security0 
nameif gb-ethernet1 inside security100 
nameif ethernet0 intf2 security10 
nameif ethernet1 intf3 security15 
enable password 8Ry2YjIyt7RRXU24 encrypted 
passwd 2KFQnbNIdI.2KYOU encrypted 
hostname pixfirewall 


!--- Output Suppressed




!--- Create an access list to allow pings out 
!--- and return packets back in. 

access-list 100 permit icmp any any echo-reply  
access-list 100 permit icmp any any time-exceeded  
access-list 100 permit icmp any any unreachable  


!--- Allows anyone on the Internet to connect to 
!--- the web, mail, and FTP servers. 

access-list 100 permit tcp any host 10.1.1.3 eq www  
access-list 100 permit tcp any host 10.1.1.4 eq smtp  
access-list 100 permit tcp any host 10.1.1.5 eq ftp 
pager lines 24 


!--- Enable logging. 

logging on 
no logging timestamp 
no logging standby 
no logging console 
no logging monitor 


!--- Enable error and more severe syslog messages 
!--- to be saved to the local buffer. 

logging buffered errors 


!--- Send notification and more severe syslog messages
!--- to the syslog server. 

logging trap notifications 
no logging history 
logging facility 20 
logging queue 512 


!--- Send syslog messages to a syslog server 
!--- on the inside interface. 

logging host inside 192.168.1.220 


!--- All interfaces are shutdown by default. 

interface gb-ethernet0 1000auto 
interface gb-ethernet1 1000auto 
interface ethernet0 auto shutdown 
interface ethernet1 auto shutdown 
mtu outside 1500 
mtu inside 1500 
mtu intf2 1500 
mtu intf3 1500 
ip address outside 10.1.1.2 255.255.255.0 
ip address inside 192.168.1.1 255.255.255.0 
ip address intf2 127.0.0.1 255.255.255.255 
ip address intf3 127.0.0.1 255.255.255.255 
ip audit info action alarm 
ip audit attack action alarm 
no failover 
failover timeout 0:00:00 
failover poll 15 
failover ip address outside 0.0.0.0 
failover ip address inside 0.0.0.0 
failover ip address intf2 0.0.0.0 
failover ip address intf3 0.0.0.0 
arp timeout 14400 


!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.

global (outside) 1 10.1.1.15-10.1.1.253 


!--- Define a Port Address Translation (PAT) address that 
!--- is used once the NAT pool is exhausted.

global (outside) 1 10.1.1.254 


!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.

nat (inside) 1 0.0.0.0 0.0.0.0 0 0 


!--- Define a static translation for the internal 
!--- web server to be accessible from the Internet.

static (inside,outside) 10.1.1.3 192.168.1.4 
   netmask 255.255.255.255 0 0 


!--- Define a static translation for the internal 
!--- mail server to be accessible from the Internet.

static (inside,outside) 10.1.1.4 192.168.1.15 
   netmask 255.255.255.255 0 0 


!--- Define a static translation for the internal 
!--- FTP server to be accessible from the Internet.

static (inside,outside) 10.1.1.5 192.168.1.10 
   netmask 255.255.255.255 0 0 


!--- Apply access list 100 to the outside interface.

access-group 100 in interface outside 


!--- Define a default route to the ISP router.

route outside 0.0.0.0 0.0.0.0 10.1.1.1 1 


!--- Output Suppressed




!--- Allow the host 192.168.1.254 to be able to 
!--- Telnet to the inside of the PIX. 

telnet 192.168.1.254 255.255.255.255 inside 
: end 
[OK] 


!--- Output Suppressed

Configurando PIX/ASA 7.x e mais tarde

Nota: Os comandos não-padrão são mostrados em corajoso.

PIX/ASA
pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.1.1.2 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!


!--- Output Suppressed



!--- Create an access list to allow pings out 
!--- and return packets back in.


access-list 100 extended permit icmp any any echo-reply
access-list 100 extended permit icmp any any time-exceeded
access-list 100 extended permit icmp any any unreachable



!--- Allows anyone on the Internet to connect to 
!--- the web, mail, and FTP servers. 


access-list 100 extended permit tcp any host 10.1.1.3 eq www
access-list 100 extended permit tcp any host 10.1.1.4 eq smtp
access-list 100 extended permit tcp any host 10.1.1.5 eq ftp
pager lines 24


!--- Enable logging.


logging enable



!--- Enable error and more severe syslog messages 
!--- to be saved to the local buffer. 


logging buffered errors



!--- Send notification and more severe syslog messages
!--- to the syslog server. 


logging trap notifications



!--- Send syslog messages to a syslog server 
!--- on the inside interface. 



logging host inside 192.168.1.220

mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400



!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.


global (outside) 1 10.1.1.15-10.1.1.253



!--- Define a Port Address Translation (PAT) address that 
!--- is used once the NAT pool is exhausted.


global (outside) 1 10.1.1.254



!--- !--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.


nat (inside) 1 0.0.0.0 0.0.0.0



!--- Define a static translation for the internal 
!--- web server to be accessible from the Internet.


static (inside,outside) 10.1.1.3 192.168.1.4 netmask 255.255.255.255



!--- Define a static translation for the internal 
!--- mail server to be accessible from the Internet.


static (inside,outside) 10.1.1.4 192.168.1.15 netmask 255.255.255.255



!--- Define a static translation for the internal 
!--- FTP server to be accessible from the Internet.


static (inside,outside) 10.1.1.5 192.168.1.10 netmask 255.255.255.255



!--- Apply access list 100 to the outside interface.


access-group 100 in interface outside



!--- !--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.1.1.1 1


!--- Output Suppressed



!--- Allow the host 192.168.1.254 to be able to 
!--- Telnet to the inside of the PIX. 


telnet 192.168.1.254 255.255.255.255 inside
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
: end


!--- Output Suppressed

NOTA: Para obter mais informações sobre da configuração do NAT e da PANCADINHA no PIX/ASA, refira indicações PIX/ASA 7.x NAT e de PANCADINHA.

Para obter mais informações sobre da configuração das Listas de acesso no PIX/ASA, refira PIX/ASA 7.x: Redirecionamento de porta (transmissão) com nat, o global, estática e comandos access-list.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • relação da mostra — Mostra estatísticas de interface.

  • tráfego da mostra — Mostra quanto passagens do tráfego com o PIX.

  • xlate da mostra — Mostra as traduções atual construídas com o PIX.

  • show conn — Mostra as conexões atual com o PIX.

    NOTA: Para obter mais informações sobre de como pesquisar defeitos o PIX/ASA, consulte para pesquisar defeitos conexões com o PIX e o ASA.

Comandos para Troubleshooting

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • debugar o traço ICMP — Mostra todas as requisições de eco e respostas do Internet Control Message Protocol (ICMP) ou com ao PIX.

Troubleshooting Problemas Comuns

Se você tem a saída do comando write terminal de seu dispositivo Cisco, você pode usar a ferramenta Output Interpreter (clientes registrados somente) para indicar problemas potenciais e reparos.

  • O conjunto NAT (e o endereço PAT - à excecpção da PANCADINHA da relação) devem usar os endereços IP de Um ou Mais Servidores Cisco ICM NT que não são usados por nenhum outro dispositivo na rede. Isto inclui endereços estáticos (para traduções) ou endereços usados nas relações.

    Se você tem as versões de software de PIX 5.2 ou mais atrasado, o endereço de interface externa do PIX pode ser usado para a PANCADINHA. Isto é útil se você tem somente um endereço externo disponível, ou precisa de conservar seu espaço de endereços IP.

    A fim permitir a PANCADINHA no endereço de interface externa, remova o conjunto NAT e o endereço PAT globais da configuração, e use o endereço IP de Um ou Mais Servidores Cisco ICM NT da interface externa como o endereço PAT.

    ip address outside 10.1.1.2
    nat (inside) 1 0 0 global (outside) 1 interface

    Nota: Alguns aplicativos multimídia podem opor aos mapeamentos de porta fornecidos pela PANCADINHA. A PANCADINHA não trabalha com o comando estabelecido. A PANCADINHA trabalha com Domain Name System (DNS), FTP e FTP passivo, HTTP, email, Remote-procedure-call (RPC), rshell, telnet, Filtragem URL, e traceroute externo. Diversas versões de PIX apoiam H.323 com PANCADINHA em diversas versões. H.323v2 com apoio da PANCADINHA foi adicionado na versão 6.2.2, quando H.323v3 e v4 com apoio da PANCADINHA foram adicionados na versão 6.3.

  • Você deve ter uma lista de acessos (ou a conduíte) para permitir o acesso em seus server. O acesso de entrada não é permitido à revelia.

    Nota: O comando conduit foi substituído pelo comando access-list. Cisco recomenda que você migra sua configuração longe do comando conduit manter a compatibilidade futura.

  • Após alguma lista de acessos, há um comando deny ip any any implícito.

  • Se o servidor DNS está na parte externa do PIX, e os usuários internos querem alcançar os servidores internos com seu nome de DNS, a seguir o comando alias deve ser usado para medicar a resposta de DNS do servidor DNS.

  • Se você ainda tem problemas depois que você revê estes problemas comuns, termine estas etapas:

    1. Verifique que você tem a conectividade IP entre os dois dispositivos. A fim fazer isto, consola no PIX, ou no telnet no PIX. Emita o monitor e os comandos debug icmp trace terminais.

    2. Se os usuários internos têm server de acesso da dificuldade no Internet, sibile o server que você está tentando alcançar e ver se você obtém uma resposta. Se você não recebe uma resposta, olha as indicações debugar e se certifica de você ver a requisição de eco ICMP sair com o PIX. Se você não vê as requisições de eco, a seguir verifique o gateway padrão da máquina de origem. Tipicamente, é o PIX.

      Também, o nslookup do uso no cliente, e certifica-se que pode resolver o endereço IP de Um ou Mais Servidores Cisco ICM NT do server que você está tentando alcançar.

    3. Quando você tem a conectividade IP, gire debugam o traço ICMP e desligam sobre o console de registro debugam (se conectado ao console) ou o monitor de registo debuga (se conectado ao PIX através do telnet). Isto faz com que os mensagens do syslog sejam indicados a sua tela. Tente conectar ao server, e olhe os Syslog para ver se algum tráfego é negado. Em caso afirmativo, os Syslog devem dar-lhe uma boa ideia de porque este está acontecendo. Você pode igualmente olhar a descrição dos mensagens do syslog.

    4. Se os usuários externos são incapazes de alcançar seus servidores internos:

      1. Verifique a sintaxe de seu comando static.

      2. Verifique novamente que você tem o acesso permitido com suas indicações de comando access-list.

      3. Verifique novamente que você aplicou a lista de acessos com o comando access-group.

    5. Se você é um usuário registrado e você está entrado, você pode pesquisar defeitos seus problemas de PIX com o tac case collection (clientes registrados somente).

Informações a serem coletadas se você abrir um pedido de serviço de TAC

Se você ainda precisa o auxílio depois que você segue os passos de Troubleshooting neste documento e os quer abrir um pedido do serviço com o tac Cisco, seja certo incluir esta informação para pesquisar defeitos seu PIX Firewall.
  • Descrição do problema e detalhes relevantes de topologia
  • Troubleshooting realizado antes da abertura da solicitação de serviço
  • Saída do comando show tech-support
  • Saída do comando show log após a execução com o comando de depuração de registro colocado em buffer ou capturas do console que demonstram o problema (se disponível)
Anexe os dados coletados à sua requisição de serviço em um texto não compactado e simples (.txt). Você pode anexar a informação a seu pedido do serviço transferindo arquivos pela rede o que usa a ferramenta de consulta do pedido do serviço (clientes registrados somente). Se você não pode alcançar a ferramenta de consulta do pedido do serviço, você pode enviar a informação em um anexo de Email a attach@cisco.com com seu número do pedido do serviço na linha de assunto de sua mensagem.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 13825