Segurança : Dispositivos de segurança Cisco PIX 500 Series

Firewall PIX segura Cisco com exemplo de configuração de dois Roteadores

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Interativo: Este documento oferece análise personalizada do seu dispositivo Cisco.


Índice


Introdução

Este exemplo de configuração demonstra como proteger uma rede com uma combinação de roteadores e um firewall Cisco Secure PIX. Existem três níveis de defesa (dois roteadores e o Firewall PIX) e configuração de login em servidor de syslog para auxiliar na identificação de ataques potenciais contra a segurança.

Nota: Este documento não cobre edições tais como a seleção de senha e os outros formulários da Segurança que são necessários para proteger com sucesso sua rede do ataque.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada na versão de Software PIX 5.3.1 e mais recentes.

Nota: Os comandos usados em outras versões de software de PIX variam levemente. Refira a documentação de PIX antes que você execute esta configuração.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede.

/image/gif/paws/15244/new_20.gif

Configurações

A primeira configuração é a do Firewall PIX porque as configurações do roteador precisam ser compreendidas em relação ao firewall.

Se obtiver a saída de um comando write terminal em seu dispositivo Cisco, você poderá usar a ferramenta de Intérprete de Saída (somente usuários registrados) para exibir os possíveis problemas e soluções.

Este documento utiliza as seguintes configurações:

Firewall de PIX

!--- Sets the outside address of the PIX Firewall:

ip address outside 131.1.23.2 

!--- Sets the inside address of the PIX Firewall:

ip address inside 10.10.254.1

!--- Sets the global pool for hosts inside the firewall:

global (outside) 1 131.1.23.12-131.1.23.254

!--- Allows hosts in the 10.0.0.0 network to be
!--- translated through the PIX:

nat (inside) 1 10.0.0.0 

!--- Configures a static translation for an admin workstation 
!--- with local address 10.14.8.50:

static (inside,outside) 131.1.23.11 10.14.8.50

!--- Allows syslog packets to pass through the PIX from RTRA.
!--- You can use conduits OR access-lists to permit traffic.
!--- Conduits has been added to show the use of the command,
!--- however they are commented in the document, since the 
!--- recommendation is to use access-list.
!--- To the admin workstation (syslog server):
!--- Using conduit: 
!--- conduit permit udp host 131.1.23.11 eq 514 host 131.1.23.1 



!--- Using access-list:

Access-list 101 permit udp host 131.1.23.1 host 131.1.23.11 255.255.255.0 eq 514
Access-group 101 in interface outside

!--- Permits incoming mail connections to 131.1.23.10:

static (inside, outside) 131.1.23.10 10.10.254.3

!--- Using conduits
!--- conduit permit TCP host 131.1.23.10 eq smtp any
!--- Using Access-lists, we use access-list 101
!--- which is already applied to interface outside.

Access-list 101 permit tcp any host 131.1.23.10 eq smtp

!--- PIX needs static routes or the use of routing protocols
!--- to know about networks not directly connected.
!--- Add a route to network 10.14.8.x/24.

route inside 10.14.8.0 255.255.255.0 10.10.254.2

!--- Add a default route to the rest of the traffic 
!--- that goes to the internet.

Route outside 0.0.0.0 0.0.0.0 131.1.23.1

!--- Enables the Mail Guard feature 
!--- to accept only seven SMTP commands 
!--- HELO, MAIL, RCPT, DATA, RSET, NOOP, and QUIT:
!--- (This can be turned off to permit ESMTP by negating with 
!--- the no fixup protocol smtp 25 command):

fixup protocol smtp 25

!--- Allows Telnet from the inside workstation at 10.14.8.50 
!--- into the inside interface of the PIX:

telnet 10.14.8.50

!--- Turns on logging:

logging on

!--- Turns on the logging facility 20:

logging facility 20

!--- Turns on logging level 7:

logging history 7

!--- Turns on the logging on the inside interface:

logging host inside 10.14.8.50

Nota: O RTRA é o roteador exterior do protetor. Deve proteger o PIX Firewall dos ataques dirigidos, proteger o servidor FTP/HTTP, e atuar como um sistema de alarme. Se qualquer um quebra no RTRA, o administrador de sistema deve ser notificado imediatamente.

RTRA
no service tcp small-servers 

!--- Prevents some attacks against the router itself.

logging trap debugging

!--- Forces the router to send a message 
!--- to the syslog server for each and every
!--- event on the router. This includes packets denied 
!--- access through access lists and
!--- configuration changes. This acts as an early warning system to the system
!--- administrator that someone is trying to break in, or has broken in and is
!--- trying to create a "hole" in their firewall.

logging 131.1.23.11

!--- The router logs all events to this 
!--- host, which in this case is the 
!--- "outside" or "translated" address of the system 
!--- administrator's workstation.

enable secret xxxxxxxxxxx
!
interface Ethernet 0
 ip address 131.1.23.1 255.255.255.0
!
interface Serial 0
 ip unnumbered ethernet 0
 ip access-group 110 in 

!--- Shields the PIX Firewall and the HTTP/FTP 
!--- server from attacks and guards 
!--- against spoofing attacks.

!
access-list 110 deny ip 131.1.23.0 0.0.0.255 any log

!--- RTRA and the PIX Firewall. 
!--- This is to prevent spoofing attacks.

access-list 110 deny ip any host 131.1.23.2 log

!--- Prevents direct attacks against the 
!--- outside interface of the PIX Firewall and
!--- logs any attempts to connect to the  
!--- outside interface of the PIX to the syslog server.

access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established 

!--- Permits packets which are part 
!--- of an established TCP session.

access-list 110 permit tcp any host 131.1.23.3 eq ftp 

!--- Allows FTP connections into the FTP/HTTP server.

access-list 110 permit tcp any host 131.1.23.3 eq ftp-data

!--- Allows ftp-data connections into the FTP/HTTP server.

access-list 110 permit tcp any host 131.1.23.3 eq www

!--- Allows HTTP connections into the FTP/HTTP server.

access-list 110 deny ip any host 131.1.23.3 log

!--- Disallows all other connections to 
!--- the FTP/HTTP server, and logs any attempt
!--- to connect this server to the syslog server.

access-list 110 permit ip any 131.1.23.0 0.0.0.255

!--- Permits other traffic destined to the 
!--- network between the PIX Firewall and RTRA.

!
line vty 0 4
 login
 password xxxxxxxxxx
 access-class 10 in

!--- Restricts Telnet access to the router 
!--- to those IP addresses listed in 
!--- access list 10.

!
access-list 10 permit ip 131.1.23.11

!--- Permits only the workstation of the administrator
!--- to Telnet into the router. This
!--- access list may need to be changed to permit 
!--- access from the Internet for
!--- maintenance, but should contain as few 
!--- entries as possible.

Nota: O RTRB é o interior que protege o roteador. Ele é a última linha de defesa do seu firewall e o ponto de entrada para sua rede interna.

Se você tiver a saída de um comando show running-configuration do dispositivo Cisco, poderá usará o Output Interpreter (somente para clientes registrados) para exibir possíveis problemas e correções.

RTRB
logging trap debugging
logging 10.14.8.50

!--- Log all activity on this router to the 
!--- syslog server on the administrator's 
!--- workstation, including configuration changes.

!
interface Ethernet 0
 ip address 10.10.254.2 255.255.255.0
 no ip proxy-arp
 ip access-group 110 in

!--- Prevents inside and outside addresses 
!--- from mingling; guards against attacks 
!--- launched from the PIX Firewall or the 
!--- SMTP server as much as possible.

!
access-list 110 permit udp host 10.10.250.5 0.0.0.255

!--- Permits syslog messages destined 
!--- to the administrator's workstation.

access-list 110 deny ip host 10.10.254.1 any log

!--- Denies any other packets sourced 
!--- from the PIX Firewall.

access-list 110 permit tcp host 10.10.254.3 10.0.0.0 0.255.255.255 eq smtp

!--- Permits SMTP mail connections from the 
!--- mail host to internal mail servers.

access-list 110 deny ip host 10.10.254.3 10.0.0.0 0.255.255.255

!--- Denies all other traffic sourced 
!--- from the mail server.

access-list 110 deny ip 10.10.250.0 0.0.0.255 any

!--- Prevents spoofing of trusted addresses 
!--- on the internal network.

access-list 110 permit ip 10.10.254.0 0.0.0.255 10.10.250.0 0.255.255.255

!--- Permits all other traffic sourced from  
!--- the network between the PIX Firewall and RTRB.

!
line vty 0 4
 login
 password xxxxxxxxxx
 access-class 10 in

!--- Restricts Telnet access to the router 
!--- to those IP addresses listed in 
!--- access list 10.

!
access-list 10 permit ip 10.14.8.50

!--- Permits only the workstation of the administrator 
!--- to Telnet into the router. This
!--- access list may need to be changed to permit 
!--- access from the Internet for
!--- maintenance, but should contain as few entries as possible.

!--- A static route or routing protocol must be utilized
!--- to make the router aware of network 10.14.8.x (which is 
!--- inside the corporate network). This is because 
!--- it is not a directly connected network. 

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Conceitos

A finalidade dos Firewall é impedir a entrada não autorizada em sua rede ao permitir o tráfego desejado ao mesmo tempo. É provavelmente mais fácil começar com uma análise de qual seria o objetivo de uma interrupção do que tentar dificultá-la para que um possível criminoso não consiga entrar na rede. Supõe, na situação descrita neste documento, que o criminoso teve um server na mente que conteve a informação secreta que seria do valor maior a seus concorrentes. O endereço IP de Um ou Mais Servidores Cisco ICM NT deste server, o criminoso aprendeu, é 10.100.100.10.

Imediatamente, o criminoso é defrontado com um problema sério: o endereço IP de Um ou Mais Servidores Cisco ICM NT do server é um endereço que não possa ser alcançado sobre o Internet, como nenhuma organização anexado aos pacotes do Internet para a frente a um endereço de destino da rede 10. Isto força o criminoso a uma ou outra tentativa de encontrar que endereço este traduz no Internet (um administrador de sistema esperto nunca deixou este endereço ser traduzido no Internet), ou ruptura diretamente em sua rede a fim obter um “camp de base” de qual para atacar o server que contém os dados sensíveis. Supõe que o criminoso não pode encontrar nenhuma maneira de atacar diretamente o server, e assim que começos para atacar sua rede a fim atacar o server de dentro de sua rede.

O primeiro obstáculo encontrado pelo invasor é o DMZ, que fica entre o RTRA e o PIX Firewall. O criminoso pode tentar quebrar no RTRA, mas o roteador é configurado para aceitar somente conexões da estação de trabalho do administrador, e aos bloqueares pacote que parecem ser originado do DMZ próprio. Se o invasor entrar no RTRA, ele só poderá atacar o PIX Firewall propriamente dito - ele não estará 'na' rede e continuará não podendo atacar o host com o material sensível diretamente.

O criminoso poderia igualmente tentar quebrar no servidor FTP/HTTP, que é uma possibilidade a ser olhada para. Este host deve ser tão seguro como possível contra uns ataques. Se o criminoso tiver sucesso ao invadir o servidor FTP/HTTP, ele ainda não estaria em uma posição para atacar o host com os dados sensíveis diretamente, mas estaria em posição para atacar o PIX Firewall diretamente. Em um ou outro caso, as atividades do criminoso devem ser registradas em algum ponto no desenrolar do processo, assim, o administrador de sistema deverá ser alertado quanto à presença de um intruso.

Se o atacante invadiu com sucesso a DMZ externa, ele ficará em posição para atacar o PIX Firewall e outros elementos, de forma que a segunda DMZ ou a DMZ interna se torna o próximo alvo. Pode alcançar este objetivo com um ataque no PIX Firewall próprio, ou um ataque no RTRB, que é programado para aceitar outra vez sessões de Telnet somente da estação de trabalho do administrador de sistema. Mais uma vez, suas tentativas de quebrar no DMZ interno são registradas pelo PIX Firewall e pelo RTRB, assim que o administrador de sistema deve ter algum aviso e poder parar o ataque antes que o atacante obtenha ao ponto onde pode atacar o servidor sensível diretamente.

O atacante também pode se desviar do DMZ externo e tentar invadir o DMZ interno, atacando o host de e-mail. Esse host é protegido pelo firewall PIX e deve ser protegido por monitoramento e configuração cuidadosos. Este é o host mais vulnerável em todo o firewall.

O conceito é fornecer diversas camadas de defesa um pouco do que uma parede “forte” super. As partes devem estar conjuntamente integradas numa forte estrutura de firewall, suficientemente flexível para permitir o tráfego a ser autorizado, além de prover, ao mesmo tempo, muitos alarmes e sistemas de avisos antecipados.

Protocolos de rede cujo uso não é recomendado com um firewall

Devido à sua natureza inerentemente instável, alguns protocolos de rede não são adequados para execução através de Firewalls de redes não-confiáveis para redes confiáveis. Exemplos desses protocolos inseguros:

  • NFS

  • rlogin

  • rsh

  • alguns RPC-basearam o protocolo

As revisões recentes do PIX incluíram o apoio para protocolos RPC. Cisco, contudo, desanima fortemente o uso desta capacidade, porque o RPC é muito incerto. Esta característica é significada ser usada somente no mais incomum das circunstâncias.

O PIX 7.0 usa o comando inspect rpc segurar pacotes RPC. O comando inspect sunrpc permite ou desabilita a inspeção de aplicativo para o protocolo RPC de Sun. Os serviços de Sun RPC podem ser executado em toda a porta no sistema. Quando um cliente tenta alcançar um serviço RPC em um server, deve encontrar que movem corridas desse serviço particular sobre. Em ordem faça isto, as consultas cliente o processo do mapeador de porta no número de porta bem conhecido 111. O cliente envia o número do programa RPC do serviço, e recebe de volta o número de porta. A partir daqui, o programa de cliente envia suas perguntas RPC a essa porta nova.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 15244