Segurança : Dispositivos de segurança Cisco PIX 500 Series

Usando e configurando grupos de objetos PIX/ASA/FWSM

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve grupos de objetos, uma característica introduzida na versão 6.2 do código de PIX. O agrupamento de objetos permite que objetos como hosts IP ou redes, protocolos, portas e tipos Internet Control Message Protocol (ICMP) sejam coletados em grupos de objetos. Uma vez que configurado, um grupo de objetos pode então ser usado com os comandos pix da conduíte padrão ou da lista de acesso a fim prover todos os objetos dentro desse grupo. Isto reduz o tamanho da configuração.

Nota: Você não pode rebatizar os grupos de objetos. Você precisa de suprimir d e aplicá-los outra vez com as mudanças.

Nota: Uma vez que a lista de acesso é criada com os grupos de objetos, deve ser aplicada à relação com o comando access-group.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • PIX Software Release de Cisco 6.2(2) e mais atrasado

  • PIX Firewall de Cisco 515 (todo o modelo de PIX funciona com estas configurações)

  • Cisco ASA com Software Release 7.0 e Mais Recente

  • Módulo firewall service de Cisco (FWSM) essa versão de software 1.1 das corridas e mais atrasado

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

A informação neste documento é igualmente aplicável à ferramenta de segurança adaptável do Cisco 5500 Series (ASA) essa versão de software 7.0 das corridas e mais atrasado.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Use grupos de objetos

Quando você usa um grupo de objetos dentro de um comando, você deve usar o objeto-grupo da palavra-chave antes do nome do grupo, segundo as indicações deste exemplo.

access-list 100 permit object-group protocols object-group
   remotes object-group locals object-group services

Nesse exemplo, protocolos, remotos, locais e serviços são nomes de grupos de objetos previamente definidos. Os grupos de objetos podem igualmente ser aninhados, onde você pode incluir um grupo de objetos como um subconjunto de um outro grupo de objetos.

O comando set é mostrado nesta saída.

object-group grp_id

object-group description description_text

group-object object_grp_name


object-group icmp-type grp_id

icmp-object icmp_type


object-group network grp_id

network-object host host_addr

network-object net_addr netmask

object-group protocol grp_id

protocol-object protocol


object-group service grp_id {tcp|udp|tcp-udp}

port-object eq service

port-object range begin_service end_service

Configurar grupos de objetos

Configuração de tipo ICMP

O ICMP-tipo grupo de objetos é usado a fim especificar tipos específicos ICMP para o uso somente com Access Control Lists (ACLs) e conduítes ICMP. Uma lista completa de tipos ICMP é ficada situada na referência de comando PIX para o comando object-group.

(config)#object-group icmp-type icmp-allowed
(config-icmp-type)#icmp-object echo 
(config-icmp-type)#icmp-object time-exceeded
(config-icmp-type)#exit

(config)#access-list 100 permit icmp any any object-group icmp-allowed

Configuração de rede

Use o grupo de objeto de rede a fim especificar os endereços IP de Um ou Mais Servidores Cisco ICM NT ou os intervalos de sub-rede do host que você quer definir em um ACL ou em uma conduíte. Os endereços IP do host são prefixados com o host de palavra-chave e podem ser um endereço IP ou um nome de host já definido com o comando de nome. Você pode usar este grupo de objetos como a fonte ou o destino no ACL/conduit associado.

(config)#names
(config)#name 10.1.1.10 myFTPserver

(config)#object-group network ftp_servers

(config-network)#network-object host 10.1.1.14
(config-network)#network-object host myFTPserver

(config-network)#network-object 10.1.1.32 255.255.255.224
(config-network)#exit

(config)#access-list 101 permit ip any object-group ftp_servers

Se esta lista consiste somente nos servidores FTP, este exemplo específico aplica-se.

(config)#access-list 101 permit tcp any object-group ftp_servers eq ftp

Configuração de protocolo

Use o grupo de objeto de protocolo a fim especificar um protocolo que você queira definir em um ACL ou em uma conduíte. Você pode usar este grupo de objetos como o tipo de protocolo somente no ACL ou na conduíte associada. Note que os protocolos permitidos para este grupo de objetos são somente os nomes de protocolo do padrão PIX permitidos em uma lista de acesso ou em um comando conduit, tal como o Transmission Control Protocol (TCP), User Datagram Protocol (UDP), Generic Routing Encapsulation (GRE), Enhanced Interior Gateway Routing Protocol (EIGRP), Encapsulating Security Payload (ESP), Authentication Header (AH), e assim por diante. Os protocolos que se sentam sobre o TCP ou o UDP não podem ser especificados com um grupo de objeto de protocolo. Em lugar de, estes protocolos usam um grupo de objetos, segundo as indicações deste exemplo.

(config)#object-group protocol proto_grp_1
 
(config-protocol)#protocol-object udp
(config-protocol)#protocol-object tcp
(config-protocol)#protocol-object esp
(config-protocol)#exit

(config)#access-list 102 permit object-group proto_grp_1 any any

Configuração do serviço

Use o grupo de objetos do serviço a fim especificar o específico ou as escalas das portas TCP e/ou UDP que você quer definir em um ACL ou em uma conduíte. Você pode usar este grupo de objetos como a porta de origem ou a porta do destino no ACL/conduit associado, segundo as indicações deste exemplo.

(config)#object-group service allowed_prots tcp
(config-service)#port-object eq ftp
(config-service)#port-object range 2020 2021
(config-service)#exit

(config)#object-group service high_ports tcp-udp
(config-service)#port-object range 1024 65535
(config-service)#exit 

(config)#access-list 103 permit tcp any object-group 
          high_ports any object-group allowed_prots

Nota: Os grupos de objetos do serviço avançado foram introduzidos com a liberação da versão de software 8.0. Os grupos de objetos do serviço avançado permitem o ASA/PIX de combinar junto protocolos IP no mesmo grupo de serviço, que elimina a necessidade para o protocolo e o ICMP-tipo grupos de objetos do específico. O tipo de protocolo não deve ser especificado a fim configurar um objeto-grupo do serviço avançado.

(config)#object-group service RTPUsers
(config-service)#service-object icmp echo-reply
(config-service)#service-object icmp echo
(config-service)#service-object tcp http
(config-service)#service-object tcp https
(config-service)#service-object tcp http
(config-service)#service-object tcp pptp
(config-service)#service-object udp domain
(config-service)#service-object udp isakmp
(config-service)#service-object esp
(config-service)#service-object gre
(config-service)#exit 
(config)#access-list acl_inside permit object-group RTPUsers 192.168.50.0 
255.255.255.0 any
(config)#show access-list acl_inside
access-list acl_inside line 1 extended permit object-group RTPUsers 
192.168.50.0 255.255.255.0 any 
access-list acl_inside line 1 extended permit icmp 
192.168.50.0 255.255.255.0 any echo-reply (hitcnt=0) 
access-list acl_inside line 1 extended permit icmp 
192.168.50.0 255.255.255.0 any echo (hitcnt=0) 
access-list acl_inside line 1 extended permit tcp 
192.168.50.0 255.255.255.0 any eq www (hitcnt=0) 
access-list acl_inside line 1 extended permit tcp 
192.168.50.0 255.255.255.0 any eq https (hitcnt=0) 
access-list acl_inside line 1 extended permit udp 
192.168.50.0 255.255.255.0 any eq domain (hitcnt=0) 
access-list acl_inside line 1 extended permit esp 
192.168.50.0 255.255.255.0 any (hitcnt=0) 
access-list acl_inside line 1 extended permit gre 
192.168.50.0 255.255.255.0 any (hitcnt=0) 
access-list acl_inside line 1 extended permit udp 
192.168.50.0 255.255.255.0 any eq isakmp (hitcnt=0) 
access-list acl_inside line 1 extended permit tcp 
192.168.50.0 255.255.255.0 any eq pptp (hitcnt=0) 

Configuração de aninhamento de grupo de objetos

Apenas grupos de objetos do mesmo tipo podem ser aninhados uns com os outros. Por exemplo, você não pode aninhar um grupo de objetos do tipo protocolo em um grupo de objetos do tipo rede.

A fim aninhar um grupo dentro de um grupo, emita o subcommand do grupo-objeto. Neste exemplo, você pode usar o grupo dos all_hosts em um ACL ou em uma conduíte a fim especificar todos os quatro anfitriões. Ou, você pode usar host_grp_1 ou host_grp_2 a fim especificar somente os dois anfitriões dentro de cada grupo.

(config)#object-group network host_grp_1

(config-network)#network-object host 10.1.1.10
(config-network)#network-object host 10.1.1.14 
(config-network)#exit
       
(config)#object-group network host_grp_2

(config-network)#network-object host 172.16.10.1
(config-network)#network-object host 172.16.10.2
(config-network)#exit
       

(config)#object-group network all_hosts

(config-network)#group-object host_grp_1

(config-network)#group-object host_grp_2

(config-network)#exit

Verificar

Esta seção fornece informações que você pode usar para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

  • mostre o objeto-grupo da executar-configuração — Mostra os ACL atualmente definidos.

  • mostre o <acl> da lista de acesso — Mostra o ACL e o contador de acertos associado para cada linha. Este comando mostra as entradas ACL expandidas para cada grupo de objetos definido.

  • cancele o [grp_type] do objeto-grupo — Quando entrado sem um parâmetro, o comando object-group claro remove todos os grupos de objetos definidos que não são usados em um comando. O uso do parâmetro do grp_type remove todos os grupos de objetos definidos que não são usados em um comando para esse tipo de grupo somente.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 25700