Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA: Estabelecimento e Troubleshooting da Conectividade por Meio do Cisco Security Appliance

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (13 Setembro 2013) | Inglês (27 Outubro 2011) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Como Funciona a Conectividade por Meio do PIX
Configuração da Conectividade por Meio do PIX
Permissão do Tráfego de Broadcast ARP
      Endereços MAC Permitidos
      Tráfego não Permitido no Modo de Roteador
Troubleshooting de Problemas de Conectividade
Sintaxe do Comando access-list
      PIX Software Release 5.0.x e Posterior
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Quando um PIX Firewall é configurado inicialmente, ele possui um política de segurança padrão que permite a saída de todos os usuários internos e proíbe a entrada de qualquer usuário externo. Se o seu site exigir uma política de segurança diferente, você poderá permitir que os usuários externos se conectem ao seu servidor Web por meio do PIX.

Depois de estabelecer a conectividade básica por meio do PIX Firewall, você poderá alterar sua configuração. Verifique se todas as alterações de configuração feitas no PIX Firewall estão em conformidade com a política de segurança do seu site.

Consulte Monitoração e Troubleshooting de Problemas de Desempenho do PIX 500 para obter mais informações sobre os diversos comandos show úteis para troubleshooting.

Consulte Troubleshooting de Conexões por meio do PIX e do ASA para obter mais informações sobre o troubleshooting da conectividade de security appliances.

Pré-requisitos

Requisitos

Este documento pressupõe que algumas configurações básicas já tenham sido concluídas no PIX. Consulte estes documentos para obter exemplos da configuração inicial do PIX:

Componentes Utilizados

As informações neste documento são baseadas no PIX Firewall Software Releases 5.0 e posteriores.

Nota: As versões anteriores do PIX software utilizam o comando conduit em vez do comando access-list. Ambos os comandos funcionam no PIX Firewall Software Releases 5.0.x e posteriores.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Como Funciona a Conectividade por Meio do PIX

Nesta rede, o Host A é o servidor Web com o endereço interno 10.2.1.5. O endereço externo (convertido) 192.168.202.5 é atribuído ao servidor Web. Para acessar esse servidor, os usuários da Internet devem apontar para 192.168.202.5. A entrada DNS do servidor Web precisa ser esse endereço. Nenhuma outra conexão é permitida a partir da Internet.

23.gif

Nota: Os esquemas de endereçamento IP utilizados nesta configuração não são legalmente roteáveis na Internet. Eles são endereços da RFC 1918 leavingcisco.com que foram utilizados em um ambiente de laboratório.

Configuração da Conectividade por Meio do PIX

Execute estes passos para configurar a conectividade por meio do PIX.

  1. Configure um pool global para os hosts internos utilizarem quando acessarem a Internet.

    global (outside) 1 192.168.202.10-192.168.202.50 netmask 255.255.255.0
    
  2. Determine os endereços internos a serem selecionados no pool global 1.

    nat (inside) 1 0.0.0.0 0.0.0.0
    
  3. Atribua um endereço convertido estático ao host interno ao qual os usuários da Internet têm acesso.

    static (inside,outside) 192.168.202.5 10.2.1.5 0 0
    
  4. Utilize o comando access-list para permitir que os usuários externos passem pelo PIX Firewall. Utilize sempre o endereço convertido no comando access-list.

    access-list 101 permit tcp any host 192.168.202.5 eq www
      access-group 101 in interface outside
    

Para obter mais informações sobre a sintaxe do comando, consulte a seção Sintaxe dos Comandos conduit e access-list deste documento.

Permissão do Tráfego de Broadcast ARP

O security appliance conecta a mesma rede em suas interfaces internas e externas. Como o firewall não é um salto roteado, é possível introduzir facilmente um firewall transparente em uma rede existente. A reatribuição de endereços IP não é necessária. A passagem do tráfego IPv4 pelo firewall transparente é permitida automaticamente a partir de uma interface de segurança mais alta para outra de menor segurança, sem uma lista de acesso. Protocolos ARP (Address Resolution Protocol) são permitidos através do firewall transparente em ambas as direções sem uma lista de acesso. O tráfego ARP pode ser controlado pela inspeção ARP. Para o tráfego da Camada 3 que passa de uma interface de baixa segurança para outra de alta segurança, é necessária uma lista de acesso estendida.

Nota: O security appliance no modo transparente não transmite pacotes CDP (Cisco Discovery Protocol) ou IPv6 nem quaisquer outros pacotes que não possuam um EtherType válido igual ou maior que 0x600. Por exemplo, não é possível transmitir pacotes IS-IS. Uma exceção é feita para as BPDUs (bridge protocol data units), para as quais há suporte.

Endereços MAC Permitidos

Os endereços MAC de destino a seguir são permitidos através do firewall transparente. Qualquer endereço MAC não incluído nesta lista será descartado:

  • Endereço MAC de destino de broadcast TRUE igual a FFFF.FFFF.FFFF

  • Endereços MAC de multicast IPv4 de 0100.5E00.0000 a 0100.5EFE.FFFF

  • Endereços MAC de multicast IPv6 de 3333.0000.0000 a 3333.FFFF.FFFF

  • Endereço de multicast BPDU igual a 0100.0CCC.CCCD

  • Endereços MAC de multicast AppleTalk de 0900.0700.0000 a 0900.07FF.FFFF

Tráfego Não Permitido no Modo de Roteador

No modo de roteador, alguns tipos de tráfego não poderão passar pelo security appliance mesmo que sejam permitidos em uma lista de acesso. Entretanto, o firewall transparente poderá permitir a passagem de praticamente qualquer tráfego, seja com uma lista de acesso estendida (para o tráfego IP) ou com uma lista de acesso EtherType (para o tráfego não-IP).

Por exemplo, você pode estabelecer adjacências de protocolo de roteamento por meio de um firewall transparente. Também pode permitir a passagem do tráfego OSPF (Open Shortest Path First), RIP (Routing Information Protocol), EIGRP (Enhanced Interior Gateway Routing Protocol) ou BGP (Border Gateway Protocol) com base em uma lista de acesso estendida. Da mesma forma, protocolos como o HRSP (Hot Standby Router Protocol) ou o VRRP(Virtual Router Redundancy Protocol) podem passar pelo security appliance.

A passagem do tráfego não-IP (por exemplo, AppleTalk, IPX, BPDUs e MPLS) pode ser configurada com uma lista de acesso EtherType.

No caso de recursos para os quais não há suporte direto no firewall transparente, você poderá permitir a passagem do tráfego de modo que os roteadores upstream e downstream possam oferecer suporte à funcionalidade. Por exemplo, utilizando uma lista de acesso estendida, você poderá permitir o tráfego DHCP (em vez do recurso de retransmissão DHCP [Dynamic Host Configuration Protocol] sem suporte) ou o tráfego de multicast, como o criado pelo IP/TV.

Troubleshooting de Problemas de Conectividade

Se os usuários da Internet não conseguirem acessar o seu site, execute estes passos:

  1. Verifique se digitou os endereços de configuração corretamente:

    • Endereço externo válido

    • Endereço interno correto

    • O DNS externo converteu o endereço

  2. Verifique se há erros na interface externa. O Cisco Security Appliance é pré-configurado para detectar automaticamente as definições duplex e de velocidade em uma interface. Entretanto, diversas situações podem fazer com que o processo de negociação automática falhe. Isso resultará em incompatibilidades de velocidade ou duplex (e problemas de desempenho). Para uma infraestrutura de rede crítica, a Cisco codifica manualmente as definições de velocidade e duplex em cada interface para que não haja chances de erro. Como esses dispositivos geralmente são estáticos, se você configurá-los corretamente, não deverá precisar alterá-los.

    Exemplo:

    asa(config)#interface ethernet 0/0
    asa(config-if)#duplex full
    asa(config-if)#speed 100
    asa(config-if)#exit
    

    Em algumas situações, a codificação das definições de velocidade e duplex resultará na geração de erros. Portanto, é necessário configurar a interface como a definição padrão do modo de detecção automática, conforme mostrado neste exemplo:

    Exemplo:

    asa(config)#interface ethernet 0/0
    asa(config-if)#duplex auto
    asa(config-if)#speed auto
    asa(config-if)#exit
    

    Consulte a seção Definições de Velocidade e Duplex deMonitoração e Troubleshooting de Problemas de Desempenho do PIX 500 para obter mais informações.

  3. Se o tráfego não for enviado nem recebido por meio da interface do PIX ou do roteador de headend, tente limpar as estatísticas ARP.

    asa#clear arp
    
  4. Utilize o comando show static para verificar se a conversão estática está ativada.

  5. Utilize a palavra-chave interface em vez do endereço IP da interface nas instruções NAT estáticas se o mapeamento estático não funcionar após a atualização para a versão 7.2(1).

    Exemplo:

    static (inside,outside) tcp 192.168.202.2 80 10.2.1.5 1025 netmask 255.255.255.255 
    

    Neste cenário, o endereço IP externo é utilizado como o endereço IP mapeado do servidor Web. Portanto, é possível que esse mapeamento estático não funcione no PIX/ASA versão 7.2(1). Para solucionar esse problema, você poderá usar esta sintaxe.

    static (inside,outside) tcp interface 80 10.2.1.5 1025 netmask 255.255.255.255 
    
  6. Verifique se a rota padrão no servidor Web aponta para a interface interna do PIX.

  7. Verifique a tabela de conversão utilizando o comando show xlate para ver se a conversão foi criada.

  8. Utilize o comando logging buffer debug para verificar nos arquivos de log se ocorrem negações. (Procure o endereço convertido e verifique se há negações.)

  9. Utilize o comando capture se você utilizar a versão 6.2.2 ou posterior com o seguinte comando:

    access-list webtraffic permit tcp any host 192.168.202.5
    
    capture capture1 access-list webtraffic interface outside
    

    Se você utilizar uma versão anterior à 6.2.2 e a rede não estiver ocupada, poderá capturar o tráfego com o comando debug packet. Esse comando captura pacotes provenientes de qualquer host externo para o servidor Web.

    debug packet outside dst 192.168.202.5 proto tcp dport 80 bot
    

    Nota: Esse comando gera uma quantidade significativa de saída. Ele poderá ocasionar o travamento ou a recarga do roteador sob condições de tráfego intenso.

  10. Se os pacotes chegarem ao PIX, verifique se a rota do PIX para o servidor Web está correta. (Verifique os comandos route na configuração do PIX.)

  11. Verifique se o proxy ARP está desativado. Execute o comando show running-config sysopt no PIX/ASA 7.x ou show sysopt no PIX 6.x.

    Aqui o proxy ARP foi desativado pelo comando sysopt noproxyarp outside:

    ciscoasa#show running-config sysopt
    no sysopt connection timewait
    sysopt connection tcpmss 1380
    sysopt connection tcpmss minimum 0
    no sysopt nodnsalias inbound
    no sysopt nodnsalias outbound
    no sysopt radius ignore-secret
    sysopt noproxyarp outside
    sysopt connection permit-vpn

    Para reativar o proxy ARP, digite este comando no modo de configuração global:

    ciscoasa(config)#no sysopt noproxyarp outside
    

    Quando um host envia o tráfego IP para outro dispositivo na mesma rede Ethernet, ele precisa saber o endereço MAC do dispositivo. O ARP é um protocolo da Camada 2 que resolve um endereço IP para um endereço MAC. O host envia uma solicitação ARP e pergunta "Who is this IP address?". O dispositivo que possui o endereço IP responde, "I own that IP address; here is my MAC address".

    O proxy ARP permite que o security appliance responda a uma solicitação ARP em nome dos hosts subjacentes a ele. Para fazer isso, ele responde às solicitações ARP sobre os endereços mapeados estáticos desses hosts. O security appliance responde à solicitação com seu próprio endereço MAC e encaminha os pacotes IP para o host interno adequado.

    Por exemplo, no diagrama deste documento, quando é feita uma solicitação ARP sobre o endereço IP global do servidor Web, 192.168.202.5, o security appliance responde com o seu próprio endereço MAC. Se o proxy ARP não estiver ativado nesta situação, os hosts na rede externa do security appliance não poderão alcançar o servidor Web emitindo uma solicitação ARP sobre o endereço 192.168.202.5. Consulte a referência de comandos para obter mais informações sobre o comando sysopt.

  12. Se aparentemente tudo estiver correto e os usuários ainda não puderem acessar o servidor Web, abra uma solicitação de serviço no Suporte Técnico da Cisco.

Sintaxe do Comando access-list

PIX Software Release 5.0.x e Posterior

O comando access-list foi introduzido no PIX Software Release 5.0. Este exemplo mostra a sintaxe do comando access-list:

access-list acl_name [deny | permit] protocol source source_netmask destination destination_netmask

Exemplo: access-list 101 permit tcp any host 192.168.202.5 eq www

Para aplicar a lista de acesso, você deve incluir esta sintaxe na sua configuração:

access-group acl_name in interface interface_name

O comando access-group vincula uma lista de acesso a uma interface. Essa lista é aplicada ao tráfego de entrada para uma interface. Se você inserir a opção permit em uma instrução do comando access-list, o PIX Firewall continuará a processar o pacote. Se você inserir a opção deny em uma instrução do comando access-list, o PIX Firewall descartará o pacote.

Nota: Cada ACE (Access Control Entry) inserida para determinado nome de lista de acesso será anexada ao final da lista, a menos que você especifique o número da linha na ACE.

Nota: A ordem das ACEs é importante. Ao decidir se deve encaminhar ou descartar um pacote, o security appliance o testará em relação a cada ACE na ordem em que as entradas são listadas. Quando for encontrada uma correspondência, nenhuma outra ACE será verificada. Por exemplo, se você criar uma ACE no início de uma lista de acesso que permita explicitamente todo o tráfego, nenhuma outra instrução será verificada.

Nota: Há uma negação implícita no final das listas de acesso. Portanto, a menos que você permita explicitamente, o tráfego não poderá passar. Por exemplo, se desejar permitir que todos os usuários acessem uma rede por meio do security appliance, com exceção de determinados endereços, você precisará negar esses endereços e permitir todos os outros.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 15245