Segurança : Dispositivos de segurança Cisco PIX 500 Series

O PIX e o comando traceroute

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento discute permitir e debugar o comando traceroute com o PIX. O comando traceroute (que pode ser sabido como o tracert em um PC, o traço ou traceroute no software de Cisco IOS�, ou traceroute em UNIX) pode ser usado para pesquisar defeitos a Conectividade. O comando traceroute pode operar-se baseado diferentemente no sistema operacional do dispositivo de origem (a caixa que faz o traço). Refira a utilização do comando traceroute em sistemas operacionais para obter mais informações sobre dos sistemas operacionais e como o comando traceroute trabalha.

Os exemplos neste documento mostram como permitir estes comandos com o PIX:

  • O comando microsoft traceroute (que confia no [ICMP] do protocolo Protocolo de control de mensajes de Internet (ICMP))

  • O Cisco IOS ou o comando traceroute de UNIX (que confia em uma combinação de User Datagram Protocol (UDP) e de ICMP)

Nota: O PIX começou apoiar a iniciação do comando traceroute da versão de software 7.2(1) e mais atrasado. Veja o uso o comando traceroute do PIX seccionar para mais informações.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Diagrama de Rede

/image/gif/paws/25708/pixtrace_01.gif

A saída do comando traceroute pelo PIX

Deve haver estático ou umas declarações globais a fim permitir a tradução de endereços. Neste exemplo, a tradução é de 172.18.124.41 a 209.165.202.246. Consequentemente, a instrução estática é:

static (inside, outside) 209.165.202.246 172.18.124.41

Além do que a estática ou as declarações globais, as conduítes ou o Access Control Lists (ACLs) são adicionados igualmente.

Microsoft

o ICMP externo é permitido por padrão. Nas versões de PIX 4.2.2 e mais atrasado, as respostas da “resposta de eco” do ICMP de entrada “inacessível,” “tempo excedido,” e devem explicitamente ser permitidas através das conduítes ou dos ACL:

conduit permit icmp host 209.165.200.246 any unreachable
conduit permit icmp host 209.165.200.246 any time-exceeded
conduit permit icmp host 209.165.200.246 any echo-reply

A versão de PIX em 5.0.1 ou em mais atrasado, ACL pode ser usada em vez das conduítes (não conjuntamente com conduítes) a fim executar a mesma função:

access-group 101 in interface outside
access-list 101 permit icmp any host 209.165.200.246 unreachable
access-list 101 permit icmp any host 209.165.200.246 time-exceeded
access-list 101 permit icmp any host 209.165.200.246 echo-reply

Isto permite somente estas mensagens do retorno com o Firewall quando um usuário interno faz um sibilo ou uma rota do traço a um host exterior. Os outros tipos de mensagens de status ICMP puderam ser hostis e o Firewall obstrui todos mensagens ICMP restantes.

Em PIX 7.x, uma outra opção é configurar a inspeção de ICMP. Isto permite que um endereço IP de Um ou Mais Servidores Cisco ICM NT confiado atravesse o Firewall e permite respostas de volta ao endereço confiável somente. Esta maneira, todas as interfaces internas pode sibilar exterior e o Firewall permite que as respostas retornem. Isto igualmente dá-lhe a vantagem de monitorar o tráfego ICMP que atravessa o Firewall.

Por exemplo:

policy-map global_policy
    class inspection_default
    inspect icmp

Refira a referência de comandos para obter mais informações sobre do comando icmp da inspeção.

Cisco IOS ou UNIX

O ICMP de saída e o UDP são permitidos à revelia, como são respostas ao UDP de partida. Nas versões de PIX 4.2.2 e mais atrasado, o ICMP de entrada “tempo excedeu” e as respostas “inacessíveis” devem explicitamente ser permitidas através das conduítes ou dos ACL:

conduit permit icmp host 209.165.200.246 any unreachable
conduit permit icmp host 209.165.200.246 any time-exceeded

A versão de PIX em 5.0.1 ou em mais atrasado, ACL pode ser usada em vez das conduítes (não conjuntamente com conduítes) a fim executar a mesma função:

access-group 101 in interface outside
access-list 101 permit icmp any host 209.165.200.246 unreachable
access-list 101 permit icmp any host 209.165.200.246 time-exceeded

A visualização do usuário

Esta saída é um exemplo de um comando do traceroute externo com um PIX. Note que você não vê a interface interna do PIX mas vê “perto das relações” de cada roteador entre o dispositivo de seguimento e o destino.

goss-c1-2513#trace 209.165.202.130

Type escape sequence to abort.
Tracing the route to 209.165.202.130

  1 172.18.124.40 0 msec 0 msec 4 msec
  2 209.165.200.241 12 msec 8 msec 96 msec
  3 209.165.202.130 104 msec 8 msec * 

Em PIX 7.0, se o NAT é permitido, você é incapaz de ver os endereços IP de Um ou Mais Servidores Cisco ICM NT das interfaces de PIX e os endereços IP real dos saltos intermediários. Contudo, em PIX 7.0, o NAT não é uma obrigação e pode ser desabilitado com o comando no nat-control. Se a regra NAT é removida, você pode ver o endereço IP real, contanto que o endereço IP real é routeable.

O comando traceroute entrando no PIX

A fim usar o comando traceroute obter a um dispositivo dentro do PIX, deve haver um mapeamento estático ao dispositivo interno. Neste exemplo, o mapeamento estático é:

static (inside, outside) 209.165.202.246 172.18.124.41

Além do que a estática ou as declarações globais, as conduítes ou os ACL são adicionados igualmente.

Microsoft

Nas versões de PIX 4.2.2 e mais atrasado, um ICMP de entrada “eco” deve explicitamente ser permitido:

conduit permit icmp host 209.165.200.246 any echo

As versões de PIX em 5.0.1 ou em mais atrasado, ACL podem ser usadas em vez das conduítes (não conjuntamente com conduítes) a fim executar a mesma função:

access-group 101 in interface outside
access-list 101 permit icmp any host 209.165.200.246 echo

Cisco IOS ou UNIX

O UDP de entrada deve ser permitido. Porque as portas de origem e de destino são aleatórias, todo o UDP é permitido ao dispositivo:

conduit permit udp host 209.165.200.246 any

As versões de PIX em 5.0.1 ou em mais atrasado, ACL podem ser usadas em vez das conduítes (não conjuntamente com conduítes) a fim executar a mesma função:

access-group 101 in interface outside
access-list 101 permit udp host 209.165.200.246 any

A visualização do usuário

Esta saída é um exemplo de um comando traceroute de entrada com um PIX. As duas entradas para o endereço global são porque há dois saltos além do PIX ao dispositivo interno. Contudo, o PIX não divulga o endereço IP de Um ou Mais Servidores Cisco ICM NT real do dispositivo interno (o mapeamento estático), nem você vê o endereço IP de Um ou Mais Servidores Cisco ICM NT do PIX na lista.

goss-e4-2513a#trace 209.165.200.246

Type escape sequence to abort.
Tracing the route to 209.165.200.246

  1 209.165.202.129 4 msec 4 msec 8 msec
  2 209.165.200.246 4 msec 0 msec 4 msec
  3 209.165.200.246 8 msec 4 msec *

Use o comando traceroute obter às interfaces de PIX

O PIX não é visto na lista de rotas em comandos traceroute de partida ou de entrada. Mas pode você emitir um comando traceroute obter às interfaces de PIX?

/image/gif/paws/25708/pixtrace_02.gif

Com este diagrama como um exemplo, você pode ver que o tráfego UDP e ICMP necessário para que o traceroute trabalhe de A ao C não é possível porque você não pode enviar o tráfego UDP ou ICMP da parte externa ao endereço privado da interface interna PIX, e estabelecer uma estática para a interface interna é inválido. Um traceroute de D a B não é possível tampouco porque a interface externa PIX não responde ao UDP ou ao ICMP do interior. Consequentemente, emitir um comando traceroute de A ao C ou ao D a B não trabalha.

Estas tentativas ao PIX próprias do traceroute de Microsoft trabalham.

  • Você pode emitir um comando traceroute de D ao C.

  • Você pode emitir um comando traceroute de A ao B.

Estas Cisco IOS ou tentativas ao PIX próprias do traceroute de UNIX não trabalham.

  • Você não pode emitir um comando traceroute de D ao C.

  • Você não pode emitir um comando traceroute de A ao B.

Na versão de PIX 5.2, o comando icmp foi introduzido. Este comando permite que você altere o comportamento do PIX ao tráfego ICMP destinado à interface local do PIX. Você pode agora permitir/pedidos do desabilitação ICMP recebidos pelo PIX.

Configurar estes comandos a fim parar o PIX da resposta a uma tentativa do sibilo do host A:

icmp deny host A echo outside 
icmp permit any outside 

O comando second (licença ICMP alguma parte externa) é precisado, como o padrão é negar uma vez a qualquer tipo ICMP o comando icmp está no uso.

Use o comando traceroute do PIX

O PIX não apoia a iniciação do comando traceroute acima através da versão de software 7.1 mas começado apoiar este comando na versão 7.2(1) e mais recente.

O comando traceroute é usado descobrir as rotas que os pacotes tomam realmente quando viajam a seu destino. O dispositivo (por exemplo, PIX ou um roteador ou um PC) manda uma sequência de datagramas do User Datagram Protocol (UDP) a um endereço de porta inválida no host remoto.

Três datagramas são enviadas, cada um com um conjunto de valor de campo do tempo ao vivo (TTL) a 1. O valor TTL de 1 causa a datagrama ao intervalo assim que bater o primeiro roteador no trajeto. Este roteador responde então com um Time Exceeded Message ICMP (TEM) que indica que a datagrama expirou.

Outras três mensagens de UDP são agora enviadas, cada uma com o valor de TTL definido como 2, que faz com que o segundo roteador retorne ICMP TEMs. Este processo continua até que os pacotes realmente alcancem o outro destino. Desde que estas datagramas tentam alcançar uma porta inválida no host de destino, os mensagens Unreachable da porta ICMP são retornados, e para indicar uma porta inalcançável. Este sinais de evento o programa Traceroute que está terminado.

Este exemplo mostra o traceroute output que resultados quando um endereço IP de destino é especificado:

 

PIX#traceroute 192.168.200.225

Tracing the route to 192.168.200.225

 1  10.83.194.1 0 msec 10 msec 0 msec

 2  10.83.193.65 0 msec 0 msec 0 msec

 3  10.88.193.101 0 msec 10 msec 0 msec

 4  10.88.193.97 0 msec 0 msec 10 msec

 5  10.88.239.9 0 msec 10 msec 0 msec

 6  10.88.238.65 10 msec 10 msec 0 msec

 7 172.16.7.221 70 msec 70 msec 80 msec  

 8 192.168.200.225 70 msec 70 msec 70 msec

Refira a referência de comandos da versão de software de PIX 7.2 a fim aprender mais sobre o comando traceroute.

Troubleshooting

  • Pode você emitir um comando traceroute aos dispositivos em ambos os lados do PIX?

  • Pode você sibilar do PIX ao dispositivo exterior e do PIX ao dispositivo interno?

  • Pode você sibilar do dispositivo exterior ao PIX e do dispositivo interno ao PIX?

  • O traceroute falha de um PC e Cisco IOS ou caixa Unix?

  • Onde o traceroute falha?

  • Os dispositivos no meio têm os ACL que puderam obstruir o tráfego?

  • Toda a falha do tráfego ou apenas o traceroute traficam?

  • Há os mapeamentos estáticos do dispositivo estabelecidos para o traceroute de entrada?

  • O dispositivo interno tem uma rota ao PIX?

Use o cuidado extremo quando você adiciona comandos debug a um PIX pesadamente carregado. Contudo, com base na quantidade de tráfego com o PIX, debugar pode ser girado sobre:

debug icmp trace

Você pode igualmente girar sobre o pacote debuga para umas ou várias relações:

debug packet inside src 172.18.124.41 dst 209.165.202.130 proto udp both
debug packet outside src 209.165.202.130 dst any proto udp both

Esta saída mostra que um parcial debuga em um traceroute de entrada:

172.18.124.41   ==>     209.165.202.130
       ttl = 0x1       proto=0x11      chksum = 0xf23d
      -- UDP --
Inbound  ICMP time exceeded (code 0) 209.165.200.241 > 209.165.200.243 > 
   172.18.124.41
172.18.124.41   ==>     209.165.202.130
       ttl = 0x2       proto=0x11      chksum = 0xf138
    -- UDP --
Inbound  ICMP unreachable (code 3) 209.165.202.130 > 209.165.200.243 > 
   172.18.124.41

Esta saída mostra que um parcial debuga em um traceroute externo:

209.165.202.130 ==>     209.165.200.246
        ttl = 0x2       proto=0x11      chksum = 0x7f29
        -- UDP --
153: Outbound ICMP unreachable (code 3) 172.18.124.41 > 209.165.200.246 > 
   209.165.202.130

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 25708