IP : Dispositivos de segurança Cisco PIX 500 Series

ASA/PIX/FWSM: Segurando ping ICMP e Traceroute

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (1 Julho 2009) | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Os pings e traceroute do Internet Control Message Protocol (ICMP) no PIX Firewall são manipulados diferentemente com base na versão do PIX e no código do ASA.

O ICMP de entrada com o PIX/ASA é negado à revelia. ICMP externo é permitido, mas a réplica de entrada é negada por padrão.

Nota: A informação no faz o Firewall aparecer em um Traceroute na seção ASA/PIX deste documento aplica-se às versões ASA 8.0(3) e mais atrasado. As versões antes de 8.0(3) não apoiam a configuração explicada nesta seção devido ao erro CSCsk76401 (clientes registrados somente).

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versões de software de PIX 4.1(6) e mais atrasado

  • Ferramenta de segurança do 5500 Series de Cisco ASA que executa 7.x e umas versões mais atrasadas para ping ICMP

  • Ferramenta de segurança do 5500 Series de Cisco ASA que executa 8.0(3) e umas versões mais atrasadas para Traceroute no ASA

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Diagrama de Rede

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/15246-31a.gif

Nota: Os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São os endereços da RFC1918 que foram usados em um ambiente de laboratório.

Envie um sibilo com o PIX

Versões de software 7.x PIX/ASA

Entrada de pings

Os sibilos iniciados da parte externa, ou uma outra baixa interface de segurança do PIX, são negados sejam padrão. Os sibilos podem ser permitidos pelo uso da estática e as Listas de acesso ou as Listas de acesso apenas. Neste exemplo, um server no interior do PIX é feito acessível aos sibilos externos. Uma tradução estática é criada entre o endereço interno (10.1.1.5) e o endereço exterior (192.168.1.5).

pix(config)#static (inside,outside) 192.168.1.5 10.1.1.5 netmask 255.255.255.255
pix(config)#access-list 101 permit icmp any host 192.168.1.5 echo
pix(config)#access-group 101 in interface outside

Saída de pings

Há duas opções em PIX 7.x que permitem que os usuários internos sibilem anfitriões na parte externa. A primeira opção é setup uma regra específica para cada tipo de mensagem de eco.

Por exemplo:

access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any source-quench 
access-list 101 permit icmp any any unreachable  
access-list 101 permit icmp any any time-exceeded
access-group 101 in interface outside

Isto permite somente estas mensagens do retorno com o Firewall quando um usuário interno sibila a um host exterior. Os outros tipos de mensagens de status ICMP puderam ser hostis e o Firewall obstrui todos mensagens ICMP restantes.

Uma outra opção é configurar a inspeção de ICMP. Isto permite que um endereço IP de Um ou Mais Servidores Cisco ICM NT confiado atravesse o Firewall e permite respostas de volta ao endereço confiável somente. Esta maneira, anfitriões em todas as interfaces internas pode sibilar anfitriões na parte externa e o Firewall permite que as respostas retornem. Isto igualmente dá-lhe a vantagem de monitorar o tráfego ICMP que atravessa o Firewall. Neste exemplo, a inspeção ICMP é adicionada à política global da inspeção do padrão.

Por exemplo:

policy-map global_policy
    class inspection_default
     inspect icmp

Sibilando uma outra relação

O comando do acesso de gerenciamento permite que os usuários conectem à relação de acesso de gerenciamento da parte externa SOMENTE quando o usuário está conectado ao PIX/ASA usando um IPSec VPN completo do túnel ou o cliente VPN SSL (cliente de AnyConnect 2.x, SVC 1.x) ou através de um túnel do IPSec local a local.

A interface interna do PIX não pode ser alcançada da parte externa, e vice-versa, a menos que o acesso de gerenciamento for configurado no modo de configuração global. Uma vez que o acesso de gerenciamento é permitido, o acesso do telnet, SSH, ou HTTP deve ser configurado para os anfitriões desejados.

pix(config)#management-access inside
pix(config)#show running-config management-access
management-access inside

Nota:  Para o ASA, os tipos ICMP de 127 e abaixo duro-codificaram a inspeção que não pode ser desligada. O comando icmp da inspeção não tem nenhuma influência nesta inspeção quando é de ligar/desligar.

Nota: Um mensagem de destinatário inalcançável que está sendo enviado uma maneira através do ASA que provê um pacote que já não atravesse o ASA será embandeirado e parado. Esta capacidade protetora não pode ser desligada.

Versões de software de PIX 5.0.1 a 6.3.3

O ICMP de entrada com o PIX é negado à revelia; ICMP externo é permitido, mas a réplica de entrada é negada por padrão.

Nota: A versão 6.3.3 é a maioria de versão recente do código disponível na altura da publicação. Para umas versões mais atrasadas, refira os Release Note para todas as mudanças possíveis.

Entrada de pings

O ICMP de entrada pode ser permitido com uma indicação de canalização ou uma instrução de lista de acesso, com base em que você se usa no PIX. Não misture a canalização e as listas de acesso.

Este exemplo mostra como permitir o interior de 10.1.1.5 do ICMP de dispositivo (estático a 192.168.1.5) por toda a parte externa dos dispositivos:

static (inside,outside) 192.168.1.5 10.1.1.5 netmask 255.255.255.255 0 0

!--- and either


conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo

!--- or


access-list 101 permit icmp any host 192.168.1.5 echo
access-group 101 in interface outside

Saída de pings

As respostas ao ICMP de saída podem ser permitidas com uma indicação de canalização ou uma instrução de lista de acesso, com base em que você se usa no PIX. Não misture a canalização e as listas de acesso.

Este exemplo mostra como permitir respostas aos pedidos ICMP iniciados pelo interior de 10.1.1.5 do dispositivo (estático a 192.168.1.5) de toda a parte externa dos dispositivos:

static (inside,outside) 192.168.1.5 10.1.1.5 netmask 255.255.255.255 0 0

!--- and either


conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo-reply
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 source-quench
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 unreachable
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 time-exceeded

!--- or 


access-list 101 permit icmp any host 192.168.1.5 echo-reply
access-list 101 permit icmp any host 192.168.1.5 source-quench
access-list 101 permit icmp any host 192.168.1.5 unreachable
access-list 101 permit icmp any host 192.168.1.5 time-exceeded
access-group 101 in interface outside

Versões de software de PIX 4.2(2) a 5.0.1

O ICMP de entrada com o PIX é negado à revelia. ICMP externo é permitido, mas a réplica de entrada é negada por padrão.

Entrada de pings

O ICMP de entrada pode ser permitido com uma instrução de canalização.

Este exemplo mostra como permitir o interior de 10.1.1.5 do ICMP de dispositivo (estático a 192.168.1.5) por toda a parte externa dos dispositivos:

static (inside,outside) 192.168.1.5 10.1.1.5 netmask 255.255.255.255 0 0
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo

Saída de pings

É possível permitir respostas ao ICMP de saída com uma instrução de canalização.

Este exemplo mostra como permitir respostas aos pedidos ICMP iniciados pelo interior de 10.1.1.5 do dispositivo (estático a 192.168.1.5) de toda a parte externa dos dispositivos:

static (inside,outside) 192.168.1.5 10.1.1.5 netmask 255.255.255.255 0 0
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo-reply
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 source-quench
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 unreachable
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 time-exceeded

Versões de software de PIX 4.1(6) a 4.2(2)

O ICMP de entrada com o PIX é negado à revelia. o ICMP externo é permitido por padrão.

Entrada de pings

O ICMP de entrada pode ser permitido com uma instrução de canalização.

Este exemplo mostra como permitir o interior de 10.1.1.5 do ICMP de dispositivo (estático a 192.168.1.5) por toda a parte externa dos dispositivos:

static (inside), outside) 192.168.1.5 10.1.1.5
conduit 192.168.1.5 8 icmp 0.0.0.0 0.0.0.0


!--- The 8 is for echo request; these are from RFC 792.

Veja a seção dos tipos de mensagem ICMP (RFC 792) deste documento para mais informação.

Saída de pings

O ICMP de saída e as respostas são permitidos à revelia.

Envie sibilos às interfaces de PIX

Nas versões de software de PIX 4.1(6) aos 5.2.1, tráfego ICMP à interface de PIX são permitidos. O PIX não pode ser configurado para não responder. Você não pode sibilar relações “no lado distante” do PIX em nenhuma versão. Baseado no diagrama da rede neste documento:

  • Você não pode sibilar 10.1.1.1 de 10.1.1.5.

  • Você não pode sibilar 192.168.1.1 da parte externa.

  • Você não deve poder sibilar 192.168.1.1 de 10.1.1.5.

  • Você não pode sibilar 10.1.1.1 da parte externa.

Nas versões de software de PIX 5.2.1, o ICMP é permitido ainda à revelia, mas as respostas de ping PIX de suas próprias relações podem ser desabilitadas com o comando icmp (isto é, um “discrição PIX”).

icmp permit|deny [host] src_addr [src_mask] [type] int_name

Neste exemplo, o PIX não pode enviar respostas de eco em resposta às requisições de eco:

icmp deny any echo outside

Assim como nas listas de acesso, na ausência de instruções de permissão também há uma negação implícita de qualquer outro tráfego de ICMP.

Esse comando permite pings da rede imediatamente fora do PIX:

icmp permit 192.168.1.0 255.255.255.0 echo outside

Assim como nas listas de acesso, na ausência de instruções de permissão também há uma negação implícita de qualquer outro tráfego de ICMP.

O comando traceroute entrando no PIX

Problema: O PIX Firewall esconde todas as redes internas na saída de traceroutes de entrada.

Resolução:

O PIX não apoia o comando traceroute. Quando um traceroute é emitido da parte externa, o PIX não indica seu próprio endereço IP de Um ou Mais Servidores Cisco ICM NT da relação nem ele indica os endereços IP de Um ou Mais Servidores Cisco ICM NT das redes internas. O endereço de destino é indicado épocas múltiplas para cada salto interno.

Trabalho de Traceroutes somente com traduções de endereço da rede estática (NAT) e não com endereços IP de Um ou Mais Servidores Cisco ICM NT da tradução de endereço de porta (PAT). Por exemplo, um cliente no Internet com o endereço 209.165.202.130 executa um traceroute a um servidor de Web no interior do PIX com um endereço público de 209.165.201.25 e um endereço privado de 10.1.3.25. Há dois Roteadores entre o PIX e o servidor de Web interno. A saída do traceroute na máquina cliente aparece esta maneira:

Target IP address: 209.165.201.25 Source address: 209.165.202.130

 Tracing the route to 209.165.201.25 
  1 209.165.202.128 4 msec 3 msec 4 msec 
  2 209.165.201.25 3 msec 5 msec 0 msec 
  3 209.165.201.25 4 msec 6 msec 3 msec 
  4 209.165.201.25 3 msec 2 msec 2 msec 

Na versão de PIX 6.3 e mais atrasado, este comportamento pode ser desabotoado se o comando error ICMP do fixup protocol é emitido. Quando esta característica é permitida, o PIX cria xlates para os saltos intermediários que enviam Mensagens de Erro do Internet Control Message Protocol (ICMP), com base na configuração do NAT estático. O PIX overwrites o pacote com os endereços IP de Um ou Mais Servidores Cisco ICM NT traduzidos.

Quando o NAT é permitido em PIX 7.0, os endereços IP de Um ou Mais Servidores Cisco ICM NT das interfaces de PIX e os endereços IP real dos saltos intermediários não podem ser considerados. Contudo, em PIX 7.0, o NAT não é essencial e pode ser desabilitado com o comando no nat-control. Se a regra NAT é removida, o endereço IP real pode ser considerado se é routeable.

Configurar o PIX/ASA para mostrar sua rede interna da rede externa:

ciscoasa#config t 
ciscoasa(config)#access-list internal-out permit icmp any any echo-reply 
ciscoasa(config)#access-list internal-out permit icmp any any time-exceeded 
ciscoasa(config)#access-list internal-out permit icmp any any unreachable 
ciscoasa(config)#policy-map global_policy 
ciscoasa(config-pmap)#class inspection_default 
ciscoasa(config-pmap-c)#
inspect icmp
 
ciscoasa(config-pmap-c)#
inspect icmp error
 
ciscoasa(config-pmap-c)#end 
ciscoasa(config)#service-policy global_policy global
ciscoasa(config)#access-group internal-out in interface outside

Para mais informação, refira o o comando traceroute de entrada através da seção PIX Do PIX e do comando traceroute.

Faça o Firewall aparecer em um Traceroute em ASA/PIX

ciscoasa(config)#class-map class-default
ciscoasa(config)#match any


!--- This class-map exists by default.


ciscoasa(config)#policy-map global_policy


!--- This Policy-map exists by default.


ciscoasa(config-pmap)#class class-default


!--- Add another class-map to this policy.


ciscoasa(config-pmap-c)#set connection decrement-ttl


!--- Decrement the IP TTL field for packets traversing the firewall.
!--- By default, the TTL is not decrement hiding (somewhat) the firewall.


ciscoasa(config-pmap-c)#exit
ciscoasa(config-pmap)#exit
ciscoasa(config)#service-policy global_policy global


!--- This service-policy exists by default.

WARNING: Policy map global_policy is already configured as a service policy

ciscoasa(config)#icmp unreachable rate-limit 10 burst-size 5


!--- Adjust ICMP unreachable replies:
!--- The default is rate-limit 1 burst-size 1.
!--- The default will result in timeouts for the ASA hop:


ciscoasa(config)#access-list outside-in-acl remark Allow ICMP Type 11 for Windows tracert
ciscoasa(config)#access-list outside-in-acl extended permit icmp any any time-exceeded


!--- The access-list is for the far end of the ICMP traffic (in this case
!---the outside interface) needs to be modified in order to allow ICMP type 11 replies
!--- time-exceeded):

ciscoasa(config)#access-group outside-in-acl in interface outside


!--- Apply access-list to the outside interface.

ciscoasa(config)#

Exemplo

Topologia

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/15246-31b.gif

Nota: Os esquemas do endereço IP de Um ou Mais Servidores Cisco ICM NT usados nesta configuração não são legalmente roteável no Internet. São os endereços do RFC 1918 que foram usados em um ambiente de laboratório.

Antes que você aplicar a alteração de política:

C:\>tracert -d www.yahoo.com.

Tracing route to www.yahoo-ht3.akadns.net [192.168.93.52]
over a maximum of 30 hops:

  1     1 ms    <1 ms    <1 ms  172.16.2.1

!--- First shown hop is Router 1
     
  2     6 ms     6 ms     5 ms  192.168.100.101
(etc...)

Depois que você aplica a alteração de política:

C:\>tracert -d www.yahoo.com.

Tracing route to www.yahoo-ht3.akadns.net [192.168.93.52]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  172.16.2.254
  
!--- First shown hop is ASA

  2    <1 ms    <1 ms    <1 ms  172.16.2.1

!---  Router 1 is now second hop

  3     6 ms     6 ms     6 ms  192.168.100.101
 (etc...)

Mensagem de Erro - 313005

Mensagem de erro

%PIX|ASA-4-313005: No matching connection for ICMP error message: 
icmp_msg_info on interface_name interface. Original IP payload: 
embedded_frame_info icmp_msg_info = icmp src src_interface_name:src_address dst 
dest_interface_name:dest_address (type icmp_type, code icmp_code) 
embedded_frame_info = prot src source_address/source_port dst 
dest_address/dest_port

Explicação

Os pacotes do erro ICMP são deixados cair pela ferramenta de segurança porque os mensagens de erro ICMP não são relacionados a nenhuma sessão já estabelecida na ferramenta de segurança.

Ação recomendada

Se a causa é um ataque, você pode negar o host com ACL.

Tipos de mensagem ICMP (RFC 792)

Número da mensagem Mensagem
0 Resposta de Eco
3 destino inalcançável
4 Supressão de origem:
5 Redirecionar
8 Eco
11 Tempo excedido
12 Problema de parâmetro
13 Timestamp
14 Resposta de timbre de hora
15 Solicitação de informações
16 Information Reply

Informação a serem coletadas se você abre um pedido do serviço

Se você ainda precisa o auxílio após ter seguido os passos de Troubleshooting acima e o quer abrir um pedido do serviço com o tac Cisco, seja certo incluir a informação seguinte para pesquisar defeitos seu PIX Firewall.
  • Descrição do problema e detalhes relevantes de topologia
  • Troubleshooting realizado antes da abertura da solicitação de serviço
  • Saída do comando show tech-support
  • Saída do comando show log após a execução com o comando de depuração de registro colocado em buffer ou capturas do console que demonstram o problema (se disponível)
Anexe os dados coletados à sua requisição de serviço em um texto não compactado e simples (.txt). Você pode anexar a informação a seu pedido do serviço transferindo arquivos pela rede o que usa a ferramenta de consulta do pedido do serviço (clientes registrados somente). Se você não pode alcançar a ferramenta de consulta do pedido do serviço, você pode enviar a informação em um anexo de Email a attach@cisco.com com seu número do pedido do serviço na linha de assunto de sua mensagem.


Informações Relacionadas


Document ID: 15246