Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

PIX/ASA 7.x ou Superior: Exemplo de Configuração de Passagem de Túnel IPSec através de um Security Appliance com o Uso de Listas de Acesso e MPF com NAT

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (26 Setembro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componente Utilizados
      Convenções
      Produtos Relacionados
Configuração
      Diagrama de Rede
      Configurações
      Configuração do PIX Security Appliance e Listas de Acesso
      Configuração do PIX Security Appliance e MPF (Estrutura de Políticas Modular)
Verificação
Troubleshooting
      Comandos de Troubleshooting para IPsec do Roteador
      Limpeza de Associações de Segurança
      Comandos de Troubleshooting para PIX
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Esta configuração de exemplo demonstra um túnel IPsec em um firewall que executa a Tradução de Endereço de Rede (NAT). Ela não funcionará com a Tradução de Endereço de Porta (PAT) se você usar versões do Cisco IOS® Software anteriores a, sem incluir, 12.2(13)T. Esse tipo de configuração pode ser usado para o tráfego IP do túnel. Essa configuração não pode ser usada para criptografar tráfegos que não ocorram através de um firewall, como IPX ou atualizações de roteamento. O tunelamento de encapsulamento de roteamento genérico (GRE) é uma escolha mais apropriada. Neste exemplo, os Cisco 2621 e 3660 Routers foram os pontos de extremidade do túnel IPSec que liga duas redes privadas, com conduítes ou listas de controle de acesso (ACLs) no PIX entre eles para permitir o tráfego IPsec.

Nota: O NAT é uma conversão de endereço um para um, que não deve ser confundida com PAT, que é uma conversão de muitos (dentro do firewall) para um. Para obter mais informações sobre operação e configuração do NAT, consulte Verificando a Operação do NAT e Troubleshooting Básico do NAT ou Como o NAT Funciona.

Nota: Talvez o IPSec com PAT não funcione corretamente porque o dispositivo de ponto de extremidade do túnel externo não pode manipular vários túneis a partir de um endereço IP. Entre em contato com o seu fornecedor para determinar se os dispositivos de ponto de extremidade do túnel funcionam com PAT. Além disso, nas versões Cisco IOS Software Release 12.2(13)T e posteriores, o recurso de Transparência NAT também pode ser usado para PAT. Para obter mais detalhes, consulte Transparência do NAT IPSec. Consulte Suporte a ESP IPSec através de NAT para obter mais informações sobre esses recursos no Cisco IOS Software Release 12.2(13)T e versões posteriores.

Nota: Antes de você abrir uma ocorrência com o Suporte Técnico da Cisco, consulte Perguntas mais Frequentes sobre NAT que contêm várias respostas para perguntas comuns.

Consulte Configurando um Túnel IPSec através de um Firewall com NAT para obter mais informações sobre como configurar um túnel IPsec através de um firewall com NAT no PIX versões 6.x e anteriores.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco IOS Software Release 12.0.7.T (até, mas sem incluir, o Cisco IOS Software Release 12.2(13)T)

    Para obter informações sobre versões mais recentes, consulte Transparência NAT IPSec.

  • Cisco 2621 Router

  • Cisco 3660 Router

  • Cisco PIX 500 Series Security Appliance que executa a versão 7.x e superior

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Produtos Relacionados

Este documento também pode ser usado com o Cisco 5500 Series Adaptive Security Appliance (ASA) com a versão 7.x ou posterior do software.

Configuração

Nesta seção, você encontra as informações para configurar os recursos descritos neste documento.

Nota:  Para obter mais informações sobre os comandos neste documento, use a Command Lookup Tool (somente clientes registrados).

Diagrama de Rede

Este documento utiliza esta configuração de rede:

ipsec-pix70-nat-01.gif

Configurações

Este documento utiliza estas configurações:

Cisco 2621

Current configuration:
 !
 version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname goss-2621
 !
 ip subnet-zero
 !
 ip audit notify log
 ip audit po max-events 100
 isdn voice-call-failure 0
 cns event-service server
 !

!--- A política de IKE.

 crypto isakmp policy 10
  hash md5
  authentication pre-share
 crypto isakmp key cisco123 address 99.99.99.2 
 !
 crypto ipsec transform-set myset esp-des esp-md5-hmac
 !
 crypto map mymap local-address FastEthernet0/1


!--- A política de IPsec.


 crypto map mymap 10 ipsec-isakmp
  set peer 99.99.99.2
  set transform-set myset

 
!--- Inclua o tráfego entre as redes privadas
!--- no processo de criptografia.


  match address 101
 !
 controller T1 1/0
 !
 interface FastEthernet0/0
  ip address 10.2.2.1 255.255.255.0
  no ip directed-broadcast
  duplex auto
  speed auto
 !
 interface FastEthernet0/1
  ip address 10.1.1.2 255.255.255.0
  no ip directed-broadcast
  duplex auto
  speed auto


!--- Aplique à interface.


  crypto map mymap
 !
 ip classless
 ip route 0.0.0.0 0.0.0.0 10.1.1.1
 no ip http server

 
!--- Inclua o tráfego entre as redes privadas
!--- no processo de criptografia.


 access-list 101 permit ip 10.2.2.0 0.0.0.255 10.3.3.0 0.0.0.255
 line con 0
  transport input none
 line aux 0
 line vty 0 4
 !
 no scheduler allocate
 end

Cisco 3660

version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname goss-3660
 !
 ip subnet-zero
 !
 cns event-service server
 !


!--- A política de IKE.


 crypto isakmp policy 10
  hash md5
  authentication pre-share
 crypto isakmp key cisco123 address 99.99.99.12 
 !
 crypto ipsec transform-set myset esp-des esp-md5-hmac
 !
 crypto map mymap local-address FastEthernet0/0


!--- A política de IPsec.


 crypto map mymap 10 ipsec-isakmp
  set peer 99.99.99.12
  set transform-set myset

 
!--- Inclua o tráfego entre as redes privadas
!--- no processo de criptografia. 


  match address 101
 !
 interface FastEthernet0/0
  ip address 99.99.99.2 255.255.255.0
  no ip directed-broadcast
  ip nat outside
  duplex auto
  speed auto


!--- Aplique à interface.


  crypto map mymap
 !
 interface FastEthernet0/1
  ip address 10.3.3.1 255.255.255.0
  no ip directed-broadcast
  ip nat inside
  duplex auto
  speed auto
 !
 interface Ethernet3/0
  no ip address
  no ip directed-broadcast
  shutdown
 !
 interface Serial3/0
  no ip address
  no ip directed-broadcast
  no ip mroute-cache
  shutdown
 !
 interface Ethernet3/1
  no ip address
  no ip directed-broadcast
 interface Ethernet4/0
  no ip address
  no ip directed-broadcast
  shutdown
 !
 interface TokenRing4/0
  no ip address
  no ip directed-broadcast
  shutdown
  ring-speed 16
 !

 
!--- O pool a partir do qual os hosts internos são traduzidos para
!--- a rede 99.99.99.0/24 exclusiva globalmente.


 ip nat pool OUTSIDE 99.99.99.70 99.99.99.80 netmask 255.255.255.0


!--- Exclua a rede privada do processo de NAT.


 ip nat inside source route-map nonat pool OUTSIDE
 ip classless
 ip route 0.0.0.0 0.0.0.0 99.99.99.1
 no ip http server
 !

 
!--- Inclua o tráfego entre as redes privadas
!--- no processo de criptografia. 


 access-list 101 permit ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255
 access-list 101 deny   ip 10.3.3.0 0.0.0.255 any


!--- Exclua a rede privada do processo de NAT.


 access-list 110 deny   ip 10.3.3.0 0.0.0.255 10.2.2.0 0.0.0.255
 access-list 110 permit ip 10.3.3.0 0.0.0.255 any
 route-map nonat permit 10
  match ip address 110
 !
 line con 0
  transport input none
 line aux 0
 line vty 0 4
 !
 end

Configuração do PIX Security Appliance e Listas de Acesso

Configuração do ASDM 5.0

Execute estes passos para configurar o PIX Firewall versão 7.0 usando o ASDM.

  1. Acesse o console do PIX. Usando uma configuração limpa, use os prompts interativos para ativar a GUI do Advanced Security Device Manager (ASDM) para gerenciamento do PIX da Workstation 10.1.1.3.

    Bootstrap ASDM do PIX Firewall

    Pre-configure Firewall now through interactive prompts [yes]? yes
    Firewall Mode [Routed]:
    Enable password [<use current password>]: cisco
    Allow password recovery [yes]?
    Clock (UTC):
      Year [2005]:
      Month [Mar]:
      Day [15]:
      Time [05:40:35]: 14:45:00
    Inside IP address: 10.1.1.1
    Inside network mask: 255.255.255.0
    Host name: pix-firewall
    Domain name: cisco.com
    IP address of host running Device Manager: 10.1.1.3
    The following configuration will be used:
             Enable password: cisco
             Allow password recovery: yes
             Clock (UTC): 14:45:00 Mar 15 2005
             Firewall Mode: Routed
             Inside IP address: 10.1.1.1
             Inside network mask: 255.255.255.0
             Host name: OZ-PIX
             Domain name: cisco.com
             IP address of host running Device Manager: 10.1.1.3
    Use this configuration and write to flash? yes
             INFO: Security level for "inside" set to 100 by default.
             Cryptochecksum: a0bff9bb aa3d815f c9fd269a 3f67fef5
    965 bytes copied in 0.880 secs

  2. Na Workstation 10.1.1.3, abra um navegador da Web e use o ADSM (neste exemplo, https://10.1.1.1).

  3. Escolha Yes nos prompts de certificados e faça login com a senha ativada conforme definido na Configuração Bootstrap ASDM do PIX Firewall.

  4. Se essa for a primeira execução do ASDM no PC, a escolha de utilização do ASDM Launcher ou do ASDM como um Java App será solicitada.

    Neste exemplo, o ASDM Launcher é selecionado e instala estes prompts.

  5. Prossiga para a janela inicial do ASDM e selecione a guia Configuration.

    ipsec-pix70-nat-02.gif

  6. Realce Ethernet 0 Interface e clique em Edit para configurar a interface externa.

    ipsec-pix70-nat-03.gif

  7. Clique em OK no prompt da interface de edição.

    ipsec-pix70-nat-04.gif

  8. Insira os detalhes da interface e clique em OK ao concluir.

    ipsec-pix70-nat-05.gif

  9. Clique em OK no prompt Changing an Interface.

    ipsec-pix70-nat-06.gif

  10. Clique em Apply para aceitar a configuração de interface. A configuração também é aplicada ao PIX. Este exemplo usa rotas estáticas.

    ipsec-pix70-nat-07.gif

  11. Clique em Routing na guia Features, realce Static Route e clique em Add.

    ipsec-pix70-nat-08.gif

  12. Configure o Gateway padrão e clique em OK.

    ipsec-pix70-nat-09.gif

  13. Clique em Add e adicione as rotas às redes internas.

    ipsec-pix70-nat-10.gif

  14. Confirme se as rotas corretas estão configuradas e clique em Apply.

    ipsec-pix70-nat-11.gif

  15. Neste exemplo, o NAT é utilizado. Desmarque a caixa Enable traffic through the firewall without address translation e clique em Add para configurar a regra de NAT.

    ipsec-pix70-nat-12.gif

  16. Configure a Rede de Origem (este exemplo usa qualquer uma). Em seguida, clique em Manage Pools para definir o PAT.

    ipsec-pix70-nat-13.gif

  17. Selecione a interface outside e clique em Add.

    ipsec-pix70-nat-14.gif

    Este exemplo usa um PAT com o endereço IP da interface.

    ipsec-pix70-nat-15.gif

  18. Clique em OK quando o PAT estiver configurado.

    ipsec-pix70-nat-16.gif

  19. Clique em Add para configurar a conversão estática.

    ipsec-pix70-nat-17.gif

  20. Selecione inside na caixa suspensa da interface, insira o endereço IP 10.1.1.2, a máscara de sub-rede 255.255.255.255, escolha Static e no campo IP Address, digite o endereço externo 99.99.99.12. Clique em OK ao concluir.

    ipsec-pix70-nat-18.gif

  21. Clique em Apply para aceitar a configuração da interface. A configuração também é aplicada ao PIX.

    ipsec-pix70-nat-19.gif

  22. Selecione Security Policy na guia Features para configurar a regra de Política de Segurança.

    ipsec-pix70-nat-20.gif

  23. Clique em Add para permitir tráfego específico e clique em OK para continuar.

    ipsec-pix70-nat-21.gif

  24. Clique em Add para permitir tráfego ISAKMP e clique em OK para continuar.

    ipsec-pix70-nat-22.gif

  25. Clique em Add para permitir tráfego da porta 4500 UDP para NAT-T e clique em OK para continuar.

    ipsec-pix70-nat-22-ext.gif

  26. Clique em Apply para aceitar a configuração de interface. A configuração também é aplicada ao PIX.

    ipsec-pix70-nat-23.gif

  27. A conexão está agora concluída.

    Escolha File > Show Running Configuration in New Window para exibir a configuração da CLI.

    ipsec-pix70-nat-24.gif

Configuração do PIX Firewall

PIX Firewall

pixfirewall# show run
: Saved
:
PIX Version 7.0(0)102
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 99.99.99.1 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0 
!
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name cisco.com
ftp mode passive

access-list outside_access_in remark Access Rule to Allow ESP traffic
access-list outside_access_in
            extended permit esp host 99.99.99.2 host 99.99.99.12

access-list outside_access_in
            remark Access Rule to allow ISAKMP to host 99.99.99.12
access-list outside_access_in
            extended permit udp host 99.99.99.2 eq isakmp host 99.99.99.12


access-list outside_access_in
            remark Access Rule to allow port 4500 (NAT-T) to host 99.99.99.12
access-list outside_access_in
                    extended permit udp host 99.99.99.2 eq 4500 host 99.99.99.12
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
monitor-interface inside
monitor-interface outside
asdm image flash:/asdmfile.50073
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 0.0.0.0 0.0.0.0
static (inside,outside) 99.99.99.12 10.1.1.2 netmask 255.255.255.255
access-group outside_access_in in interface outside
route inside 10.2.2.0 255.255.255.0 10.1.1.2 1
route outside 0.0.0.0 0.0.0.0 99.99.99.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.1.1.3 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map asa_global_fw_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp 
!
service-policy asa_global_fw_policy global
Cryptochecksum:0a12956036ce4e7a97f351cde61fba7e
: end

Configuração do PIX Security Appliance e MPF (Estrutura de Políticas Modular)

Em vez da lista de acesso, use o comando inspect ipsec-pass-thru na MPF (Estrutura de Política Modular) para passar o tráfego IPsec através dos PIX/ASA Security Appliances.

Esta inspeção é configurada para abrir pinholes para tráfego ESP. Todos os fluxos de dados ESP são permitidos quando há um fluxo de encaminhamento e não há limite para o número máximo de conexões que podem ser permitidas. AH não é permitida. O timeout de inatividade padrão para fluxos de dados ESP é 10 minutos. Essa inspeção pode ser aplicada em todos os locais em que outras inspeções podem ser aplicadas que incluem modos de comandos de classes e correspondências. A inspeção do aplicativo de passagem IPSec oferece tráfego (protocolo IP 50) de passagem conveniente ESP associado a uma conexão de porta 500 UDP IKE. Ela evita configuração de listas de acesso longas para permitir tráfego ESP e também fornecer segurança com timeout e máximo de conexões. Use os comandos class-map, policy-map e service-policy para definir uma classe de tráfego, para aplicar o comando de inspeção à classe e aplicar a política a uma ou mais interfaces. Quando ativado, o comando inspect IPSec-pass-thru permite tráfego ESP ilimitado com um timeout de 10 minutos, o que não é configurável. Tráfegos NAT e não NAT são permitidos.

hostname(config)#access-list test-udp-acl extended permit udp any any eq 500
hostname(config)#class-map test-udp-class
hostname(config-cmap)#match access-list test-udp-acl
hostname(config)#policy-map test-udp-policy
hostname(config-pmap)#class test-udp-class
hostname(config-pmap-c)#inspect ipsec-pass-thru
hostname(config)#service-policy test-udp-policy interface outside

Verificação

Esta seção fornece informações que você pode usar para confirmar se a configuração está funcionando corretamente.

Alguns comandos show são aceitos pela Output Interpreter Tool (somente clientes registrados), o que permite exibir uma análise da saída do comando show.

  • show crypto ipsec sa — Mostra associações de segurança da fase 2.

  • show crypto isakmp sa — Mostra associações de segurança da fase 1.

  • show crypto engine connections active — Mostra os pacotes criptografados e descriptografados.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Comandos de Troubleshooting para IPsec do Roteador

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes executar comandos debug.

  • debug crypto engine — Exibe o tráfego que está criptografado.

  • debug crypto ipsec — Exibe as negociações de IPSec da fase 2.

  • debug crypto isakmp — Exibe as negociações do Internet Security Association and Key Management Protocol (ISAKMP) da fase 1.

Limpeza de Associações de Segurança

  • clear crypto isakmp — Limpa as associações de segurança do IKE.

  • clear crypto ipsec sa — Limpa as associações de segurança do IPSec.

Comandos de Troubleshooting para PIX

Alguns comandos show são aceitos pela Output Interpreter Tool (somente clientes registrados), o que permite exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de executar comandos debug.

  • logging buffer debugging — Mostra as conexões estabelecidas e negadas aos hosts que passam pelo PIX. As informações são armazenadas no buffer de log do PIX, e a saída pode ser vista com o comando show log.

  • O ASDM pode ser utilizado para ativar a geração de logs e também para visualizá-los como mostrado nestes passos.

  1. Escolha Configuration > Properties > Logging > Logging Setup > Enable Logging e clique em Apply.

    ipsec-pix70-nat-25.gif

  2. Escolha Monitoring > Logging > Log Buffer > On Logging Level > Logging Buffer e clique em View.

    ipsec-pix70-nat-26.gif

    Este é um exemplo do Buffer de Log.

    ipsec-pix70-nat-27.gif


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 63881