Segurança : Dispositivos de segurança Cisco PIX série 500

Perguntas Mais Frequentes sobre o PIX Security Appliance 7.x

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (2 Outubro 2008) | Feedback

Perguntas

Introdução
Quais dispositivos oferecem suporte ao PIX 7.x?
Tenho um modelo PIX 515/515E com a versão 6.x do software e desejo fazer upgrade para a 7.x. Isso é possível?
Quais são as alterações e os novos recursos do PIX 7.0? Quando eu fizer upgrade da versão 6.x para a 7.x, os recursos antigos serão tratados automaticamente?
Quais são os dois modos de operação de firewall do PIX Security Appliance?
O que significa Contexto de Segurança no PIX?
Como faço uma configuração básica do PIX 7.x?
Como configuro as interfaces no PIX 7.x?
Como crio uma lista de acesso (ACL) no ASA ou no PIX?
Posso usar a interface management0/0 no ASA para transmitir o tráfego como qualquer outra interface?
Fiz upgrade do meu PIX da versão 6.x para a 7.x. Após o upgrade, observei um aumento de 8 a 10% no uso de CPU para o mesmo volume de tráfego? Isso é normal?
Não consigo efetuar ping fora da interface externa enquanto uso o PIX 7.0. Como corrijo esse problema?
Não consigo acessar a interface interna do PIX quando conectado por um túnel VPN. Como posso fazer isso?
Há uma forma de registrar as entradas em log com um nome em vez de um endereço IP?
O comando ip accounting está disponível no PIX/ASA 7.x?
Um PIX com uma licença de failover pode fazer parte de um failover ativo-ativo?
O PIX 7.0 oferece suporte ao recurso AYT (Are You There)?
Como configuro o recurso de bloqueio de grupo de usuários VPN no ASA ou no PIX?
Há suporte para FTP com TLS/SSL no PIX?
O PIX oferece suporte a DDNS?
O PIX oferece suporte a WebVPN/VPN SSL?
O PIX oferece suporte ao Cisco AnyConnect VPN Client?
O PIX oferece suporte a módulos de serviços como AIP-SSM e CSC-SSM?
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

O documento aborda as perguntas mais frequentes relacionadas ao Cisco PIX Software versão 7.x.

O público-alvo deste documento são os administradores de security appliances com conhecimento dos recursos e dos comandos CLI e com experiência na configuração das versões anteriores do PIX Software.

P. Quais dispositivos oferecem suporte ao PIX 7.x?

R. PIX 515, PIX 515E, PIX 525, PIX 535 e todos os Cisco ASA 5500 Series Adaptive Security Appliances (ASA 5510, ASA 5520 e ASA 5540) oferecem suporte à versão 7.x do software.

Não há suporte para os PIX 501, PIX 506E e PIX 520 Security Appliances nessa versão.

P. Tenho um modelo PIX 515/515E com a versão 6.x do software e desejo fazer upgrade para a 7.x. Isso é possível?

R. Sim, isso será possível desde que você tenha os módulos de memória necessários. Consulte Upgrade de Memória do Cisco PIX 515/515E Security Appliance para o PIX Software versão 7.0 para saber quais são exatamente os requisitos de memória antes de fazer upgrade do PIX 515/515E.

P. Quais são as alterações e os novos recursos do PIX 7.0? Quando eu fizer upgrade da versão 6.x para a 7.x, os recursos antigos serão tratados automaticamente?

R. Consulte Alterações no PIX Security Appliance Versão 7.0 para obter detalhes relacionados às alterações e aos novos recursos do PIX 7.0.

A maioria dos recursos e dos comandos alterados e substituídos é convertida automaticamente durante a inicialização do PIX Security Appliance 7.x no sistema. Alguns recursos e comandos exigem intervenção manual antes ou durante o upgrade. Consulte Recursos e Comandos Alterados e Substituídos para obter mais informações.

P. Quais são os dois modos de operação de firewall do PIX Security Appliance?

R. O PIX Security Appliance opera em dois modos diferentes de firewall:

  1. Modo roteado — Neste modo, o PIX possui endereços IP atribuídos às suas interfaces e atua como um salto de roteador para os pacotes que o atravessam. Toda a inspeção do tráfego e as decisões de encaminhamento se baseiam nos parâmetros da Camada 3. É assim que funcionam as versões do PIX Firewall anteriores à 7.0.

  2. Modo transparente — Neste modo, o PIX não possui endereços IP atribuídos às suas interfaces. Em vez disso, ele atua como uma bridge da Camada 2 que mantém uma tabela de endereços MAC e toma decisões de encaminhamento com base nessa tabela. O uso de listas de acesso IP estendidas completas ainda é possível, e o firewall é capaz de inspecionar a atividade IP em qualquer camada. Nesse modo de operação, o PIX é geralmente denominado de "bump in the wire" ou "firewall reservado". Há outras diferenças significativas entre o modo transparente e o modo roteado:

    • Há suporte somente para duas interfaces — interna e externa

    • O NAT não é suportado nem é necessário uma vez que o PIX não é mais um salto.

Nota: Como os modos transparente e roteado usam abordagens diferentes para a segurança, a configuração atual é limpa quando o PIX é alternado para o modo transparente. Certifique-se de salvar a configuração atual do modo roteado no Flash ou em um servidor externo.

P. O que significa Contexto de Segurança no PIX?

R. Você pode particionar um único hardware PIX em vários dispositivos virtuais, conhecidos como Contextos de Segurança. Cada contexto torna-se um dispositivo independente, com seus próprios administradores, interfaces e políticas de segurança. Os contextos múltiplos são semelhantes a vários dispositivos autônomos. Vários recursos, como tabelas de roteamento, recursos de firewall, IPS e gerenciamento, possuem suporte no modo de contextos múltiplos. Não há suporte para alguns recursos, incluindo VPN e protocolos de roteamento dinâmico.

P. Como faço uma configuração básica do PIX 7.x?

R. Consulte a seção Configuração de Definições Básicas do Guia de Configuração da Linha de Comando do Cisco Security Appliance, Versão 7.1.

P. Como configuro as interfaces no PIX 7.x?

R. O PIX 7.0 é configurado da forma mais semelhante possível ao roteador e ao switch Cisco IOS®. No PIX 7.0, a configuração é a seguinte:

interface Ethernet0
         description Outside Interface
         speed 100
         duplex full
         nameif outside
         security-level 0
         ip address 10.10.80.4 255.255.255.0 standby 10.10.80.6

Consulte Configuração dos Parâmetros de Interface no PIX 7.0. para obter mais informações.

P. Como crio uma lista de acesso (ACL) no ASA ou no PIX?

R. Uma lista de acesso consiste em uma ou mais ACEs (Access Control Entries) com o mesmo ID de lista de acesso. Para adicionar uma ACE, use o comandoaccess-list <ID> extended no modo de configuração global. Para remover uma ACE, use a forma no desse comando. Para remover a lista de acesso inteira, use o comando clear configure access-list.

Esse comando access-list permite que todos os hosts (na interface à qual a lista de acesso é aplicada) passem pelo security appliance:

hostname(config)#access-list ACL_IN extended permit ip any any

Se uma lista de acesso for configurada para controlar o tráfego através do security appliance, ela deverá ser aplicada a uma interface com o comando access-group para que tenha efeito. Somente uma lista de acesso pode ser aplicada a cada interface em cada direção.

Insira este comando para aplicar uma lista de acesso estendida à direção de entrada ou de saída de uma interface:

hostname(config)#access-group access_list_name {in | out} interface interface_name
[per-user-override]

Este exemplo mostra uma lista de acesso de entrada aplicada à interface interna a qual permite que a rede 10.0.0.0 /24 passe pelo security appliance:

hostname(config)#access-list INSIDE extended permit ip 10.0.0.0 255.255.255.0 any
hostname(config)#access-group INSIDE in interface inside

Este exemplo mostra uma lista de acesso de entrada aplicada à interface externa a qual permite que todos os hosts que estejam fora do security appliance tenham acesso via Web ao servidor localizado em 172.20.1.10 por meio desse appliance:

hostname(config)#access-list OUTSIDE extended permit tcp any host 172.20.1.10 eq www
hostname(config)#access-group OUTSIDE in interface outside

Nota: As listas de acesso contêm uma "negação" implícita no seu final. Isso significa que, após uma ACL ser aplicada, todo o tráfego não permitido explicitamente por uma ACE na ACL será negado.

P. Posso usar a interface management0/0 no ASA para transmitir o tráfego como qualquer outra interface?

R. Sim. Consulte o comando management-only para obter mais informações.

P. Fiz upgrade do meu PIX da versão 6.x para a 7.x. Após o upgrade, observei um aumento de 8 a 10% no uso de CPU para o mesmo volume de tráfego? Isso é normal?

R. O PIX 7.0 possui três vezes mais syslogs e novos recursos que as versões 6.x. O aumento do uso de CPU em relação às versões 6.x é normal.

P. Não consigo efetuar ping fora da interface externa enquanto uso o PIX 7.0. Como corrijo esse problema?

R. Há duas opções no PIX 7.x que permitem aos usuários internos efetuar ping externamente. A primeira é configurar uma regra específica para cada tipo de mensagem de eco. Por exemplo:

access-list 101 permit icmp any any echo-reply
        access-list 101 permit icmp any any source-quench
        access-list 101 permit icmp any any unreachable
        access-list 101 permit icmp any any time-exceeded
        access-group 101 in interface outside

Isso permitirá que somente essas mensagens de retorno passem pelo firewall quando um usuário interno efetuar ping em um host externo. Os outros tipos de mensagens de status ICMP poderão ser hostis, e o firewall bloqueará todas as outras mensagens ICMP.

Outra opção é configurar icmp inspection. Isso permitirá que um endereço IP confiável passe pelo firewall e que as respostas sejam enviadas somente ao endereço confiável. Dessa maneira, todas as interfaces internas poderão efetuar ping externamente, e o firewall permitirá que as respostas retornem. Outra vantagem é que você pode monitorar o tráfego ICMP que passa pelo firewall.

Por exemplo:

policy-map global_policy
    class inspection_default
     inspect icmp

P. Não consigo acessar a interface interna do PIX quando conectado por um túnel VPN. Como posso fazer isso?

R. Não será possível acessar a interface interna do PIX externamente e vice-versa, a menos que management-access esteja configurado no modo de configuração global. Uma vez ativado management-access, o acesso Telnet, SSH ou HTTP ainda deverá ser configurado para os hosts desejados.

pix(config)#management-access inside
pix(config)#show running-config management-access
management-access inside

P. Há uma forma de registrar as entradas em log com um nome em vez de um endereço IP?

R. Use o comando names para ativar a associação de um nome a um endereço IP. Você poderá associar somente um nome a um endereço IP. Você deverá usar o comando names antes do comando name. Use o comando name imediatamente após o comando names e antes de usar o comando write memory.

O comando name permite que você identifique um host por um nome de texto e mapeie strings de texto para endereços IP. Use o comando clear configure name para limpar a lista de nomes na configuração. Use o comando no names para desativar os valores de nomes do log. Tanto o comando name com o names são salvos na configuração.

P. O comando ip accounting está disponível no PIX/ASA 7.x?

R. Não.

P. Um PIX com uma licença de failover pode fazer parte de um failover ativo-ativo?

R. As unidades de failover do PIX podem ser usadas em um par de failover ativo/ativo depois que tiverem um novo upgrade da licença de failover ativo/ativo instalado (o failover ativo/ativo requer um modelo UR e um modelo "FO ativo/ativo"). Consulte Licenças e Especificações de Recursos para obter mais informações sobre licenciamento.

P. O PIX 7.0 oferece suporte ao recurso AYT (Are You There)?

R. Sim. Em um cenário AYT, um usuário remoto possui um firewall pessoal instalado no PC. O VPN Client aplica a política de firewall definida no firewall local e monitora esse firewall para garantir sua execução. Se o firewall for interrompido, o VPN Client encerrará a conexão com o PIX ou o ASA. Esse mecanismo de imposição do firewall é denominado AYT (Are You There), porque o VPN Client monitora o firewall enviando-o periodicamente mensagens "você está aí?". Se não receber resposta, o VPN Client saberá que o firewall está desativado e encerrará sua conexão com o PIX Security Appliance. O administrador da rede deverá configurar esses firewalls de PC inicialmente, mas, com essa abordagem, os usuários podem personalizar suas próprias configurações.

P. Como configuro o recurso de bloqueio de grupo de usuários VPN no ASA ou no PIX?

R. Para configurar o bloqueio de grupo, envie o nome da política de grupo no atributo de classe 25 do servidor RADIUS (Remote Authentication Dial-In User Service) e escolha o grupo a fim de bloquear o usuário na política.

Por exemplo, para bloquear o usuário Cisco 123 no grupo RemoteGroup, defina a classe de atributo 25 OU=RemotePolicy da IETF (Internet Engineering Task Force) para esse usuário no servidor RADIUS.

Consulte este exemplo de configuração para configurar o bloqueio de grupo em um ASA (Adaptive Security Appliance)/PIX:

group-policy RemotePolicy internal
group-policy RemotePolicy attributes
dns-server value x.x.x.x
group-lock value RemoteGroup

tunnel-group RemoteGroup type ipsec-ra
tunnel-group RemoteGroup general-attributes
address-pool cisco
authentication-server-group RADIUS-Group
default-group-policy RemotePolicy

Nota:  OU define a política de grupo, a qual bloqueia o usuário no grupo de túneis preferencial.

Para configurar o Cisco Secure ACS for Windows, o servidor RADIUS bloqueia um usuário em determinado grupo configurado no ASA.

P. Há suporte para FTP com TLS/SSL no PIX?

R. Não. Em uma conexão FTP comum, o cliente ou o servidor deve informar um ao outro qual porta usar para a transferência de dados. O PIX é capaz de inspecionar essa conversação e abrir essa porta. Entretanto, em uma conexão FTP com TLS/SSL, essa conversação é criptografada e o PIX não é capaz de determinar quais portas abrir. Portanto, a conexão do FTP com TLS/SSL falhará.

Uma possível solução para essa situação é usar um cliente FTP que ofereça suporte ao uso de um "canal de comando não criptografado" e, ao mesmo tempo, utilizar o TLS/SSL para criptografar o canal de dados. Com essa opção ativada, o PIX deverá ser capaz de determinar qual porta precisa ser aberta.

P. O PIX oferece suporte a DDNS?

R. Não.

P. O PIX oferece suporte a WebVPN/VPN SSL?

R. Não, mas esse suporte está disponível no Cisco 5500 Series Adaptive Security Appliance (ASA).

P. O PIX oferece suporte ao Cisco AnyConnect VPN Client?

R. Não, esse suporte está disponível somente no Cisco 5500 Series Adaptive Security Appliance (ASA).

P. O PIX oferece suporte a módulos de serviços como AIP-SSM e CSC-SSM?

R. Não.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 68330