Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

PIX/ASA 7.x: Comunicações Intra-Interface

8 Junho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (14 Outubro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Informações de Apoio
Troubleshooting
      Comunicações Intra-Interface Não Habilitadas
      Comunicações Intra-Interface Habilitadas
      Intra-Interface Habilitada e Tráfego Transmitido para o AIP-SSM para Inspeção
      Intra-Interface Habilitada e Listas de Acesso Aplicadas a Uma Interface
      Adiantamento de Listas de Acesso
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento ajuda a fazer o troubleshooting de problemas comuns que podem ocorrer quando as comunicações intra-interface são habilitadas em um Adaptive Security Appliance (ASA) ou PIX com a versão 7.2 do software. A versão 7.2 do software inclui a capacidade de rotear dados de texto sem criptografia para dentro ou para fora da mesma interface. Para habilitar este recurso, execute o comando same-security-traffic permit intra-interface. Este documento supõe que o administrador de rede habilitou esse recurso ou planeja habilitá-lo no futuro. A configuração e o troubleshooting são proporcionados pela Command Line Interface (CLI).

Nota: Este documento concentra-se em dados não criptografados que chegam e saem do ASA. Os dados criptografados não são discutidos.

Pré-requisitos

Requisitos

A Cisco recomenda que você adquira conhecimento destes tópicos:

  • Listas de acesso

  • Roteamento

  • Intrusion Prevention System (IPS) do Advanced Inspection and Prevention-Security Services Module (AIP-SSM) — O conhecimento sobre este módulo será necessário somente se ele estiver instalado e operacional.

  • IPS Software versão 5.x — O conhecimento do IPS Software não será necessário se o AIP-SSM não for usado.

Componentes Utilizados

  • ASA 5510 7.2.1

  • AIP-SSM-10 com IPS Software 5.1.1

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Este documento utiliza esta configuração de rede. Os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. Eles são endereços RFC 1918 leavingcisco.com que foram usados em um ambiente de laboratório.

intra-interface-communications-1.gif

Esta tabela mostra a configuração inicial do ASA:

ASA

ciscoasa#show running-config
: Saved
:
ASA Version 7.2(1)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!

!--- O endereçamento IP atribuído às interfaces

interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.1.1.2 255.255.255.0
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

!--- Observe que não há listas de acesso.

pager lines 24
logging enable
logging buffered debugging
mtu inside 1500
mtu outside 1500
no asdm history enable
arp timeout 14400

!--- Não há regras de conversão de endereço de rede (NAT).


!--- As rotas estáticas foram adicionadas para fins de teste.

route inside 10.2.2.0 255.255.255.0 10.1.1.100 1
route outside 172.16.10.0 255.255.255.0 172.22.1.29 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:

Troubleshooting

Essas seções ilustram vários cenários de configuração, mensagens do Syslog relacionadas e saídas do rastreador de pacotes associadas às comunicações intra-interface.

Comunicações Intra-Interface Não Habilitadas

Na configuração do ASA, o host 172.22.1.6 tenta enviar um ping para o host 172.16.10.1. O host 172.22.1.6 envia um pacote de solicitação de echo ICMP para o gateway padrão (ASA). As comunicações intra-interface não foram habilitadas no ASA. O ASA descarta o pacote de solicitação de echo. O ping de teste falha. O ASA é usado para fazer o troubleshooting do problema.

Este exemplo mostra a saída das mensagens do Syslog e um rastreador de pacotes:

  • Esta é a mensagem do Syslog registrada no buffer:

    ciscoasa(config)#show logging
    
    !--- Saída suprimida.
    
    %ASA-3-106014: Deny inbound icmp src outside:172.22.1.6
    dst outside:172.16.10.1 (type 8, code 0)
  • Esta é a saída do rastreador de pacotes:

    ciscoasa(config)#packet-tracer input outside icmp 172.22.1.6 8 0 172.16.10.1 detailed
    Phase: 1
    Type: FLOW-LOOKUP
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:
    Found no matching flow, creating a new flow
    
    Phase: 2
    Type: ROUTE-LOOKUP
    Subtype: input
    Result: ALLOW
    Config:
    Additional Information:
    in   172.16.10.0     255.255.255.0   outside
    
    Phase: 3
    Type: ACCESS-LIST
    Subtype:
    
    Result: DROP
    
    Config:
    
    Implicit Rule
    
    
    !--- A regra implícita refere-se a regras de configuração não
    !--- configuradas pelo usuário. Por padrão, a comunicação intra-interface não é permitida.
    !--- Neste exemplo, o usuário não habilitou as comunicações intra-interface
    !--- e, consequentemente, o tráfego é negado implicitamente.
    
    Additional Information:
     Forward Flow based lookup yields rule:
     in  id=0x3bd8480, priority=111, domain=permit, deny=true
            hits=0, user_data=0x0, cs_id=0x0, flags=0x4000, protocol=0
            src ip=0.0.0.0, mask=0.0.0.0, port=0
            dst ip=0.0.0.0, mask=0.0.0.0, port=0
    
    Result:
    input-interface: outside
    input-status: up
    input-line-status: up
    output-interface: outside
    output-status: up
    output-line-status: up
    Action: drop
    Drop-reason: (acl-drop) Flow is denied by configured rule

A saída do rastreador de pacotes drop...implicit rule sugere que uma opção de configuração padrão está bloqueando o tráfego. O administrador precisa verificar a configuração em execução para garantir que as comunicações intra-interface sejam habilitadas. Neste caso, a configuração do ASA necessita que as comunicações intra-interface sejam habilitadas (same-security-traffic permit intra-interface).

ciscoasa#show running-config

!--- Saída suprimida.

interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

same-security-traffic permit intra-interface


!--- Quando as comunicações intra-interface estão habilitadas, a linha
!--- destacada em negrito é incluída na configuração. A linha de configuração
!--- está presente após a configuração da interface e antes
!--- de qualquer configuração de lista de acesso.

access-list...
access-list...

Comunicações Intra-Interface Habilitadas

As comunicações intra-interface estão agora habilitadas. O comando same-security-traffic permit intra-interface é adicionado à configuração anterior. O host 172.22.1.6 tenta enviar um ping para o host 172.16.10.1. O host 172.22.1.6 envia um pacote de solicitação de echo ICMP para o gateway padrão (ASA). O host 172.22.1.6 registra as respostas bem-sucedidas de 172.16.10.1. O ASA transmite o tráfego ICMP com êxito.

Estes exemplos mostram a mensagem do Syslog do ASA e as saídas do rastreador de pacotes:

  • Estas são as mensagens do Syslog registrada no buffer:

    ciscoasa#show logging
    
    !--- Saída suprimida.
    
    %PIX-7-609001: Built local-host outside:172.22.1.6
    %PIX-7-609001: Built local-host outside:172.16.10.1
    %PIX-6-302020: Built ICMP connection for faddr 172.22.1.6/64560
    gaddr 172.16.10.1/0 laddr 172.16.10.1/0
    %PIX-6-302021: Teardown ICMP connection for faddr 172.22.1.6/64560
    gaddr 172.16.10.1/0 laddr 172.16.10.1/0
    %PIX-7-609002: Teardown local-host outside:172.22.1.6 duration 0:00:04
    %PIX-7-609002: Teardown local-host outside:172.16.10.1 duration 0:00:04
  • Esta é a saída do rastreador de pacotes:

    ciscoasa(config)#packet-tracer input outside icmp 172.22.1.6 8 0 172.16.10.1
    
    Phase: 1
    Type: FLOW-LOOKUP
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:
    Found no matching flow, creating a new flow
    
    Phase: 2
    Type: ROUTE-LOOKUP
    Subtype: input
    Result: ALLOW
    Config:
    Additional Information:
    in   172.16.10.0     255.255.255.0   outside
    
    Phase: 3
    Type: ACCESS-LIST
    Subtype:
    Result: ALLOW
    Config:
    Implicit Rule
    Additional Information:
    
    Phase: 4      (
    Type: IP-OPTIONS
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:
    
    Phase: 5
    Type: INSPECT
    Subtype: np-inspect
    Result: ALLOW
    Config:
    Additional Information:
    
    Phase: 6
    Type: FLOW-CREATION
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:
    New flow created with id 23, packet dispatched to next module
    
    Phase: 7
    Type: ROUTE-LOOKUP
    Subtype: output and adjacency
    Result: ALLOW
    Config:
    Additional Information:
    found next-hop 172.22.1.29 using egress ifc outside
    adjacency Active
    next-hop mac address 0030.a377.f854 hits 0
    
    Result:
    input-interface: outside
    input-status: up
    input-line-status: up
    output-interface: outside
    output-status: up
    output-line-status: up
    
    Action: allow
    
    

    Nota: Nenhuma lista de acesso é aplicada à interface externa. Na configuração de exemplo, a interface externa recebe o nível de segurança 0. Por padrão, o firewall não permite o tráfego de uma interface de baixa segurança para uma interface de alta segurança. Isso poderá fazer com que os administradores acreditem que o tráfego intra-interface não é permitido na interface externa (baixa segurança) sem a permissão de uma lista de acesso. No entanto, o tráfego da mesma interface é transmitido livremente quando nenhuma lista de acesso é aplicada à interface.

Intra-Interface Habilitada e Tráfego Transmitido para o AIP-SSM para Inspeção

O tráfego intra-Interface pode ser transmitido para o AIP-SSM para inspeção. Esta seção supõe que administrador tenha configurado o ASA para encaminhar tráfego para o AIP-SSM e que o administrador sabe como configurar o IPS Software 5.x.

Neste ponto, a configuração do ASA contém a configuração de exemplo anterior, as comunicações intra-interface estão habilitadas e todo (qualquer) o tráfego é encaminhado para o AIP-SSM. A assinatura 2004 do IPS é modificada para descartar o tráfego de solicitação de echo. O host 172.22.1.6 tenta enviar um ping para o host 172.16.10.1. O host 172.22.1.6 envia um pacote de solicitação de echo ICMP para o gateway padrão (ASA). O ASA encaminha o pacote de solicitação de echo para o AIP-SSM para inspeção. O AIP-SSM descarta o pacote de dados de acordo com a configuração do IPS.

Estes exemplos mostram a mensagem do Syslog do ASA e a saída do rastreador de pacotes:

  • Esta é a mensagem do Syslog registrada no buffer:

    ciscoasa(config)#show logging
    
    !--- Saída suprimida.
    
    %ASA-4-420002: IPS requested to drop ICMP packet from
    outside:172.22.1.6/2048 to outside:172.16.10.1/0
    
    !--- A mensagem de Syslog do ASA registra a solicitação do IPS
    !--- para descartar o tráfego de ICMP.
    
    
  • Esta é a saída do rastreador de pacotes:

    ciscoasa#packet-tracer input outside icmp 172.22.1.6 8 0 172.16.10.1
    
    Phase: 1
    Type: FLOW-LOOKUP
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:
    Found no matching flow, creating a new flow
    
    Phase: 2
    Type: ROUTE-LOOKUP
    Subtype: input
    Result: ALLOW
    Config:
    Additional Information:
    in   172.16.10.0     255.255.255.0   outside
    
    Phase: 3
    Type: ACCESS-LIST
    Subtype:
    Result: ALLOW
    Config:
    Implicit Rule
    Additional Information:
    
    Phase: 4
    Type: IP-OPTIONS
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:
    
    Phase: 5
    Type: INSPECT
    Subtype: np-inspect
    Result: ALLOW
    Config:
    Additional Information:
    
    Phase: 6
    Type: IDS
    Subtype:
    
    Result: ALLOW
    
    Config:
    
    class-map traffic_for_ips
     match any
    policy-map global_policy
     class traffic_for_ips
      ips inline fail-open
    service-policy global_policy global
    
    
    !--- O rastreador de pacotes reconhece que o tráfego deve ser enviado para o AIP-SSM.
    !--- O rastreador de pacotes não tem conhecimento de como o
    !--- software de IPS lida com o tráfego.
    
    Additional Information:
    
    Phase: 7
    Type: FLOW-CREATION
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:
    New flow created with id 15, packet dispatched to next module
    
    Result:
    input-interface: outside
    input-status: up
    input-line-status: up
    output-interface: outside
    output-status: up
    output-line-status: up
    
    Action: allow
    
    
    !--- Da perspectiva do rastreador de pacotes, o tráfego é permitido.
    !--- O rastreador de pacotes não interage com a configuração do IPS.
    !--- O rastreador de pacotes indica que o tráfego é permitido mesmo quando o IPS
    !--- pode impedir a passagem do tráfego inspecionado.
    
    

É importante observar que os administradores devem usar todas as ferramentas de troubleshooting possíveis enquanto pesquisam um problema. Este exemplo mostra como duas ferramentas de troubleshooting diferentes podem apresentar cenários distintos. Ambas as ferramentas em conjunto contam a história toda. A política de configuração do ASA permite o tráfego, mas a configuração de IPS não.

Intra-Interface Habilitada e Listas de Acesso Aplicadas a Uma Interface

Esta seção usa a configuração de exemplo original deste documento, comunicações intra-interface habilitadas, e uma lista de acesso aplicada à interface testada. Estas linhas são adicionadas à configuração. A lista de acesso destina-se a ser uma representação simples do que poderia ser configurado em um firewall de produção.

ciscoasa(config)#access-list outside_acl permit tcp any host 172.22.1.147 eq 80
ciscoasa(config)#access-group outside_acl in interface outside

!--- Os firewalls de produção também possuem regras de NAT configuradas.
!--- Este laboratório testa as comunicações intra-interface.
!--- Regras de NAT não são obrigatórias.

O host 172.22.1.6 tenta enviar um ping para o host 172.16.10.1. O host 172.22.1.6 envia um pacote de solicitação de echo ICMP para o gateway padrão (ASA). O ASA descarta o pacote de echo de acordo com as regras da lista de acesso. O ping de teste do host 172.22.1.6 falha.

Estes exemplos mostram a mensagem do Syslog do ASA e a saída do rastreador de pacotes:

  • Esta é a mensagem do Syslog registrada no buffer:

    ciscoasa(config)#show logging
    
    !--- Saída suprimida.
    
    %ASA-4-106023: Deny icmp src outside:172.22.1.6 dst
    outside:172.16.10.1 (type 8, code 0) by access-group
    "outside_acl" [0xc36b9c78, 0x0]
  • Esta é a saída do rastreador de pacotes:

    ciscoasa(config)#packet-tracer input outside icmp 172.22.1.6 8 0 172.16.10.1 detailed
    
    Phase: 1
    Type: FLOW-LOOKUP
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:
    Found no matching flow, creating a new flow
    
    Phase: 2
    Type: ROUTE-LOOKUP
    Subtype: input
    Result: ALLOW
    Config:
    Additional Information:
    in   172.16.10.0     255.255.255.0   outside
    
    Phase: 3
    Type: ACCESS-LIST
    Subtype:
    
    Result: DROP
    
    Config:
    
    Implicit Rule
    
    
    !--- A negação total implícita no final de uma lista de acesso impede
    !--- a passagem do tráfego intra-interface.
    
    Additional Information:
     Forward Flow based lookup yields rule:
     in  id=0x264f010, priority=11, domain=permit, deny=true
            hits=0, user_data=0x5, cs_id=0x0, flags=0x0, protocol=0
            src ip=0.0.0.0, mask=0.0.0.0, port=0
            dst ip=0.0.0.0, mask=0.0.0.0, port=0
    
    Result:
    input-interface: outside
    input-status: up
    input-line-status: up
    output-interface: outside
    output-status: up
    output-line-status: up
    Action: drop
    Drop-reason: (acl-drop) Flow is denied by configured rule

Nota: No caso de uma lista de acesso aplicada à interface incluir uma instrução de negação, a saída do rastreador de pacotes é alterada. Por exemplo:

ciscoasa(config)#access-list outside_acl permit tcp any host 172.22.1.147 eq 80
ciscoasa(config)#access-list outside_acl deny ip any any
ciscoasa(config)#access-group outside_acl in interface outside
ciscoasa#packet-tracer input outside icmp 172.22.1.6 8 0 172.16.10.1 detailed

!--- Saída suprimida.

Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: DROP
Config:

access-group outside_acl in interface outside
access-list outside_acl extended deny ip any any 

Additional Information:
 Forward Flow based lookup yields rule:

Se as comunicações intra-interface forem desejadas em uma interface específica e as listas de acesso forem aplicadas à mesma interface, as regras de lista de acesso deverão permitir o tráfego intra-interface. Com o uso dos exemplos nesta seção, a lista de acesso precisa ser escrita como:

ciscoasa(config)#access-list outside_acl permit tcp any host 172.22.1.147 eq 80
ciscoasa(config)#access-list outside_acl permit ip 172.22.1.0 255.255.255.0 172.16.10.0 255.255.255.0

!--- 172.22.1.0 255.255.255.0 representa uma rede
!--- conectada localmente no ASA
!--- 172.16.1.0 255.255.255.0 representa qualquer rede que
!--- 172.22.1.0/24 precisa acessar.

ciscoasa(config)# access-list outside_acl deny ip any any
ciscoasa(config)# access-group outside_acl in interface outside

Adiantamento de Listas de Acesso

Nem todas as políticas de acesso de firewall são as mesmas. Algumas são mais especificas que outras. No caso das comunicações intra-interface estarem habilitadas e firewall não possuir uma lista de acesso aplicada a todas as interfaces, talvez seja interessante adicionar uma lista de acesso no momento em que as comunicações intra-interface forem habilitadas. A lista de acesso aplicada precisa permitir as comunicações intra-interface e também manter outros requisitos de política de acesso.

Este exemplo ilustra esse aspecto. O ASA conecta uma rede privada (interface interna) à Internet (interface externa). O ASA na interface interna não possui uma lista de acesso aplicada. Por padrão, todo o tráfego IP é permitido do interior para o exterior. A sugestão é adicionar uma lista de acesso semelhante a esta saída:

access-list inside_acl permit ip <locally connected network> <all other internal networks>
access-list inside_acl permit ip any any
access-group inside_acl in interface inside

Este conjunto de listas de acesso continua a permitir todo o tráfego IP: as linhas da lista de acesso específicas para as comunicações intra-interface lembram aos administradores que as comunicações intra-interface devem ser permitidas por uma lista de acesso aplicada.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 71342