Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

PIX/ASA 7.x: Habilitação da Comunicação Entre Interfaces

8 Junho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (24 Outubro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Informações de Apoio
      NAT
      Níveis de Segurança
      ACL
Configuração
      Diagrama de Rede
      Configuração Inicial
      DMZ para Rede Interna
      Internet para DMZ
      Rede Interna/DMZ para Internet
      Comunicações com o Mesmo Nível de Segurança
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento apresenta um exemplo de configuração para várias formas de comunicação entre interfaces no ASA/PIX Security Appliance.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Atribuição de endereços IP e gateway padrão.

  • Conectividade de rede física entre dispositivos.

  • Número da porta de comunicação identificada para o serviço implementado.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Adaptive Security Appliance com software versão 7.x ou posterior

  • Windows 2003 Server

  • Estações de trabalho Windows XP

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser utilizada com estas versões de hardware e software:

  • PIX 500 Series Firewalls com software versão 7.x ou posterior

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Este documento descreve os passos necessários para permitir o fluxo de comunicação entre interfaces diferentes. Formas de comunicação como estas são discutidas:

  1. Comunicação de hosts externos que solicitam acesso a recursos localizados na DMZ.

  2. Comunicação de hosts na rede interna que solicitam acesso a recursos localizados na DMZ.

  3. Comunicação de hosts na rede interna e na DMZ que solicitam acesso a recursos externos.

NAT

Em nosso exemplo, usaremos o Network Address Translation (NAT) e o Port Address Translation (PAT) na configuração. A conversão de endereços substitui o endereço real (local) em um pacote por um endereço mapeado (global) que é roteável para a rede de destino. O NAT é composto por dois passos: o processo no qual um endereço real é convertido em um endereço mapeado e o processo de desfazer a conversão para o tráfego de retorno. Há duas formas de conversão de endereços que usamos neste guia de configuração: estática e dinâmica.

As conversões dinâmicas permitem que cada host use um endereço ou porta diferente para cada conversão subseqüente. As conversões dinâmicas podem ser usadas quando os hosts locais compartilham ou se "ocultam por trás" de endereços globais. Nesse modo, um endereço local não pode reservar permanentemente um endereço global para conversão. Pelo contrário, a conversão de endereços ocorre na forma muitos para um ou muitos para muitos e as entradas de conversão são criadas somente à medida que são necessárias. Assim que uma entrada de conversão é liberada do uso, ela é excluída e disponibilizada para outros hosts locais. Esse tipo de conversão é mais útil em conexões de saída nas quais os hosts internos recebem um endereço ou número de porta dinâmico somente à medida que as conexões são feitas. Há duas formas de conversão de endereços dinâmica:

  • NAT dinâmico - Os endereços locais são convertidos no próximo endereço global disponível em um pool. A conversão ocorre no modo um para um. Assim, é possível esgotar o pool de endereços globais quando um número maior de hosts locais solicita conversão ao mesmo tempo.

  • Sobrecarga de NAT (PAT) - Os endereços locais são convertidos em um único endereço global. Cada conexão é tornada única quando o próximo número de porta de ordem elevada do endereço global é atribuído como origem da conexão. A conversão ocorre no modo muitos para um porque vários hosts locais compartilham um endereço global comum.

A conversão estática cria uma conversão fixa dos endereços reais para os endereços mapeados. Uma configuração de NAT estático mapeia o mesmo endereço para cada conexão feita por um host e é uma regra de conversão persistente. As conversões de endereços estáticas são usadas quando um host interno ou local precisa ter o mesmo endereço global para cada conexão. A conversão de endereços ocorre no modo um para um. As conversões estáticas podem ser definidas para um único host ou para todos os endereços pertencentes a uma sub-rede IP.

A diferença principal entre o NAT dinâmico e um intervalo de endereços para o NAT estático é que o NAT estático permite que um host remoto inicie uma conexão para um host convertido, desde que haja uma lista de acesso que o permita, enquanto que o NAT dinâmico não. Você também precisa de um número igual de endereços mapeados com o NAT estático.

O Security Appliance converte um endereço quando uma regra de NAT corresponde ao tráfego. Se nenhuma regra de NAT é correspondente, o processamento do pacote continua. A exceção é quando o controle de NAT é habilitado. O controle de NAT exige que os pacotes que passam de uma interface com segurança maior (interna) para uma interface com segurança menor (externa) atendam a uma regra de NAT. Caso contrário, o processamento do pacote é interrompido. Para exibir informações de configuração comuns, consulte o documento PIX/ASA 7.x: NAT e PAT . Para obter informações mais detalhadas sobre o funcionamento do NAT, consulte o guia Como o NAT Funciona.

Dica: Sempre que alterar a configuração do NAT, recomenda-se limpar as conversões de NAT atuais. A tabela de conversão pode ser limpa com o comando clear xlate. No entanto, tenha cuidado ao fazer isso, pois a limpeza da tabela de conversão desconecta todas as conexões atuais que usam conversões. A alternativa à limpeza da tabela de conversão é aguardar o timeout das conversões atuais, mas isso não é recomendado porque um comportamento inesperado pode ocorrer quando novas conexões são criadas com as novas regras.

Níveis de Segurança

O valor de nível de segurança controla como os hosts/dispositivos nas diferentes interfaces interagem uns com os outros. Por padrão, os hosts/dispositivos conectados a interfaces com níveis de segurança maiores podem acessar os hosts/dispositivos conectados a interfaces com níveis de segurança menores. Os hosts/dispositivos conectados a interfaces com níveis de segurança menores não podem acessar os hosts/dispositivos conectados a interfaces com níveis de segurança maiores sem a permissão de listas de acesso.

O comando security-level é novo na versão 7.0 e substitui a parte do comando nameif que atribuia um nível de segurança para uma interface. Duas interfaces, as interfaces "inside" e "outside", possuem níveis de segurança padrão. No entanto, ambos podem ser sobrescritos com o comando security-level. Se você atribuir o nome "inside" a uma interface, ela receberá um nível de segurança padrão igual a 100. Uma interface chamada "outside" recebe um nível de segurança padrão igual a 0. Todas as outras interfaces recém adicionadas recebem um nível de segurança padrão igual a 0. Para atribuir um novo nível de segurança a uma interface, use o comando security-level no modo de comandos da interface. Os níveis de segurança variam entre 1 e 100.

Nota: Os níveis de segurança são usados somente para determinar como o firewall inspeciona e gerencia o tráfego. Por exemplo, o tráfego que atravessa uma interface de segurança mais alta para uma interface de segurança mais baixa é encaminhado com políticas padrão menos estritas que o tráfego proveniente de uma interface com nível de segurança menor para uma interface com nível de segurança maior. Para obter mais informações sobre os níveis de segurança, consulte o Guia de Referência de Comandos do ASA/PIX 7.x.

O ASA/PIX 7.x também introduziu a capacidade de configurar várias interfaces com o mesmo nível de segurança. Por exemplo, interfaces diferentes conectadas a parceiros ou outras DMZs podem receber um nível de segurança 50. Por padrão, essas interfaces com a mesma segurança não podem se comunicar umas com as outras. Para contornar essa questão, o comando same-security-traffic permit inter-interface foi apresentado. Esse comando permite a comunicação entre interfaces com o mesmo nível de segurança. Para obter mais informações sobre interfaces com a mesma segurança, consulte o Guia de Referência de Comandos Configurando Parâmetros de Interface e consulte este exemplo.

ACL

As listas de controle de acesso normalmente consistem em várias entradas de controle de acesso (ACEs) organizadas internamente pelo Security Appliance em uma lista vinculada. As ACEs descrevem um conjunto de tráfego como aquele de um host ou uma rede e descreve uma ação que deve ser aplicada a esse tráfego. Em geral, permitir ou negar. Quando um pacote é submetido a uma lista de controle de acesso, o Cisco Security Appliance pesquisa nessa lista vinculada de ACEs para encontrar uma entrada que corresponda ao pacote. A primeira ACE que corresponder ao Security Appliance é aquela que será aplicada ao pacote. Quando a correspondência for encontrada, a ação especificada na ACE (permitir ou negar) será aplicada ao pacote.

Apenas uma lista de acesso é permitida por interface em cada direção. Isso significa que pode haver somente uma lista de acesso aplicável ao tráfego recebido em uma interface e outra aplicável ao tráfego de saída na mesma interface. As listas de acesso que não se aplicam a interfaces, como ACLs de NAT, são ilimitadas.

Nota: Por padrão, todas as listas de acesso possuem uma ACE implícita no final que nega todo o tráfego. Assim, qualquer tráfego que não corresponder a alguma ACE inserida na lista de acesso corresponderá à negação implícita no final da lista e será descartado. É necessário haver pelo menos uma instrução de permissão na lista de acesso de uma interface para que o tráfego flua. Sem uma instrução de permissão, todo o tráfego é negado.

Nota: As listas de acesso são implementadas com os comandos access-list e access-group. Esses comandos são usados em vez dos comandos conduit e outbound usados nas versões anteriores do PIX Firewall Software. Para obter mais informações sobre ACLs, consulte Configurando Listas de Acesso de IP.

Configuração

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota:  Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza esta configuração de rede:

generic_ports1.gif

Configuração inicial

Este documento utiliza as seguintes configurações:

  • Com esta configuração de firewall básica, não há instruções NAT/STATIC no momento.

  • Nenhuma ACL é aplicada. Assim, a ACE implícita deny any any é usada.

Dispositivo 1

ASA-AIP-CLI(config)#show running-config

 ASA Version 7.2(2)
!
hostname ASA-AIP-CLI
domain-name corp.com
enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
 nameif Outside
 security-level 0
 ip address 172.22.1.163 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.20.1.1 255.255.255.0
!
interface Ethernet0/2
 nameif DMZ
 security-level 50
 ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/3
 nameif DMZ-2-testing
 security-level 50
 ip address 192.168.10.1 255.255.255.0
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp.com
pager lines 24
mtu inside 1500
mtu Outside 1500
mtu DMZ 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat-control
route Outside 0.0.0.0 0.0.0.0 172.22.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:4b2f54134e685d11b274ee159e5ed009
: end
ASA-AIP-CLI(config)#  

DMZ para Rede Interna

Para permitir a comunicação da DMZ para os hosts da rede interna, use estes comandos. Neste exemplo, um servidor Web na DMZ precisa acessar um servidor AD/DNS na rede interna.

generic_ports2.gif

  1. Crie uma entrada de NAT estático para o servidor AD/DNS na DMZ. O NAT estático cria uma conversão fixa de um endereço real para um endereço mapeado. O endereço mapeado é um endereço que pode ser usado pelos hosts da DMZ para acessar o servidor na rede interna sem que seja necessário conhecer o endereço real do servidor. Este comando mapeia o endereço da DMZ 192.168.2.20 no endereço interno real 172.20.1.5.

    ASA-AIP-CLI(config)# static (inside,DMZ) 192.168.2.20 172.20.1.5 netmask 255.255.255.255

  2. ACLs são necessárias para permitir que uma interface com nível de segurança menor acesse uma interface com nível de segurança maior. Neste exemplo, concedemos ao servidor Web da DMZ (segurança 50) acesso ao servidor AD/DNS interno (segurança 100) com estas portas específicas: DNS, Kerberos e LDAP.

    ASA-AIP-CLI(config)# access-list DMZtoInside extended permit udp host 192.168.1.10 host 192.168.2.20 eq domain

    ASA-AIP-CLI(config)# access-list DMZtoInside extended permit tcp host 192.168.1.10 host 192.168.2.20 eq 88

    ASA-AIP-CLI(config)# access-list DMZtoInside extended permit udp host 192.168.1.10 host 192.168.2.20 eq 389

    Nota: As ACLs permitem acessar o endereço mapeado do servidor AD/DNS criado neste exemplo, e não o endereço interno real.

  3. Neste passo, você aplica a ACL à interface da DMZ na direção de entrada com o seguinte comando:

    ASA-AIP-CLI(config)# access-group DMZtoInside in interface DMZ

    Nota: Se desejar bloquear ou desabilitar o tráfego da porta 88 da DMZ para a rede interna, por exemplo, execute:

    ASA-AIP-CLI(config)# no access-list DMZtoInside extended permit
    tcp host 192.168.1.10 host 192.168.2.20 eq 88

    Dica: Sempre que alterar a configuração do NAT, recomenda-se limpar as conversões de NAT atuais. A tabela de conversão pode ser limpa com o comando clear xlate. Tenha cuidado ao fazer isso, pois a limpeza da tabela de conversão desconecta todas as conexões atuais que usam conversões. A alternativa à limpeza da tabela de conversão é aguardar o timeout das conversões atuais, mas isso não é recomendado porque um comportamento inesperado pode ocorrer quando novas conexões são criadas com as novas regras.

    Outras configurações comuns incluem:

Internet para DMZ

Para permitir a comunicação de usuários na Internet ou interface externa (segurança 0) para um servidor Web na DMZ (segurança 50), use os seguintes comandos:

generic_ports3.gif

  1. Crie uma conversão estática para o servidor Web na DMZ para a rede externa. O NAT estático cria uma conversão fixa de um endereço real para um endereço mapeado. O endereço mapeado é um endereço que pode ser usado pelos hosts na Internet para acessar o servidor Web na DMZ sem que seja necessário conhecer o endereço real do servidor. Este comando mapeia o endereço externo 172.22.1.25 no endereço real da DMZ 192.168.1.10.

    ASA-AIP-CLI(config)# static (DMZ,Outside) 172.22.1.25 192.168.1.10 netmask 255.255.255.255

  2. Crie uma ACL que permita aos usuários externos acessarem o servidor Web através do endereço mapeado. Observe que o servidor Web também hospeda o FTP.

    ASA-AIP-CLI(config)# access-list OutsidetoDMZ extended permit tcp any host 172.22.1.25 eq www

    ASA-AIP-CLI(config)# access-list OutsidetoDMZ extended permit tcp any host 172.22.1.25 eq ftp

  3. O último passo desta configuração é aplicar a ACL à interface externa para o tráfego na direção de entrada.

    ASA-AIP-CLI(config)# access-group OutsidetoDMZ in interface Outside

    Nota: Lembre-se que é possível aplicar somente uma lista de acesso por interface em cada direção. Se já houver uma ACL de entrada aplicada à interface externa, você não poderá aplicar esta ACL de exemplo a ela. Em vez disso, adicione as ACEs neste exemplo à ACL atual aplicada à interface.

    Nota: Se desejar bloquear ou desabilitar o tráfego de FTP da Internet para a DMZ, por exemplo, execute:

    ASA-AIP-CLI(config)# no access-list OutsidetoDMZ extended permit
    tcp any host 172.22.1.25 eq ftp

    Dica: Sempre que alterar a configuração do NAT, recomenda-se limpar as conversões de NAT atuais. A tabela de conversão pode ser limpa com o comando clear xlate. Tenha cuidado ao fazer isso, pois a limpeza da tabela de conversão desconecta todas as conexões atuais que usam conversões. A alternativa para a limpeza da tabela de conversão é aguardar o timeout das conversões atuais, mas isso não é recomendado porque um comportamento inesperado pode ocorrer quando novas conexões são criadas com as novas regras.

Rede Interna/DMZ para Internet

Neste cenário, os hosts localizados na interface interna (segurança 100) do Security Appliance recebem acesso à Internet na interface externa (segurança 0). Isso é conseguido com a forma PAT, ou sobrecarga de NAT, do NAT dinâmico. Ao contrário dos outros cenários, nenhuma ACL é necessária porque os hosts em uma interface de segurança mais alta podem acessar os hosts em uma interface de segurança mais baixa.

generic_ports4.gif

  1. Especifique as origens do tráfego que devem ser convertidas. Aqui o número da regra de NAT 1 é definido e todo o tráfego dos hosts internos e da DMZ é permitido.

    ASA-AIP-CLI(config)# nat (inside) 1 172.20.1.0 255.255.255.0

    ASA-AIP-CLI(config)# nat (inside) 1 192.168.1.0 255.255.255.0

  2. Especifique que endereço, pool de endereços ou interface o tráfego convertido pelo NAT deve usar ao acessar a interface externa. Nesse caso, o PAT é executado com endereço da interface externa. Isso é especialmente útil quando o endereço da interface externa não é conhecido de antemão, como em uma configuração de DHCP. Aqui o comando global é executado com o mesmo ID de NAT 1, o que o vincula as regras de NAT do mesmo ID.

    ASA-AIP-CLI(config)# global (Outside) 1 interface

Dica: Sempre que alterar a configuração do NAT, recomenda-se limpar as conversões de NAT atuais. A tabela de conversão pode ser limpa com o comando clear xlate. Tenha cuidado ao fazer isso, pois a limpeza da tabela de conversão desconecta todas as conexões atuais que usam conversões. A alternativa para a limpeza da tabela de conversão é aguardar o timeout das conversões atuais, mas isso não é recomendado porque um comportamento inesperado pode ocorrer quando novas conexões são criadas com as novas regras.

Nota: Se desejar bloquear o tráfego da zona de segurança mais alta (interna) para a zona de segurança mais baixa (Internet/DMZ), crie uma ACL e aplique-a à interface interna do PIX/ASA como entrada.

Nota:  Exemplo: Para bloquear o tráfego da porta 80 do host 172.20.1.100 da rede interna para a Internet, execute:

ASA-AIP-CLI(config)#access-list InsidetoOutside extended deny tcp host 172.20.1.100 any eq www
ASA-AIP-CLI(config)#access-list InsidetoOutside extended permit tcp any any
ASA-AIP-CLI(config)#access-group InsidetoOutside in interface inside

Comunicações com o Mesmo Nível de Segurança

A configuração inicial mostra que as interfaces "DMZ" e "DMZ-2-testing" estão configuradas com o nível de segurança (50). Por padrão, essas duas interfaces não podem se comunicar uma com a outra. Você pode permitir a comunicação entre essas interfaces com o comando:

generic_ports5.gif

ASA-AIP-CLI(config)# same-security-traffic permit inter-interface

Nota: Mesmo que o comando "same-security traffic permit inter-interface" tenha sido configurado para as interfaces com o mesmo nível de segurança ("DMZ" e "DMZ-2-testing"), uma regra de conversão (estática/dinâmica) ainda é necessária para possibilitar o acesso aos recursos ligados a essas interfaces.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 81815