Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA 7.x: Exemplo de Configuração de Acesso a Servidor de Email na DMZ

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (1 Outubro 2006) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Configuração
      Diagrama de Rede
      Configuração do PIX
      Configuração da TLS do ESMTP
Verificação
Troubleshooting
      Comandos de Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este exemplo de configuração demonstra como configurar o PIX Firewall para acessar um servidor de email localizado na rede DMZ (zona desmilitarizada).

Nota: Consulte Documentação da Cisco para o Cisco Secure PIX Firewall para obter mais informações de como configurar o Microsoft Exchange. Escolha a sua versão do software e vá para o guia de configuração e leia o capítulo sobre a configuração do Microsoft Exchange.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • PIX Firewall 535

  • PIX Firewall Software Release 7.1(1)

  • Cisco 2600 Router

  • Cisco IOS® Software Release 12.3.14T

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota:  Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento usa a seguinte configuração de rede:

pix7x-mailserver-1.gif

Nota: Os esquemas de endereçamento IP utilizados nesta configuração não são legalmente roteáveis na Internet. Eles são endereços da RFC 1918 leavingcisco.com que foram usados em um ambiente de laboratório.

Configuração do PIX

Este documento usa esta configuração:

Configuração do PIX

PIX Version 7.1(1)
!
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 shutdown
 nameif BB
 security-level 0
 no ip address
!
interface Ethernet1
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet2
 no nameif
 no security-level
 no ip address
!
interface Ethernet3
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet4
 nameif outside
 security-level 0
 ip address  192.168.200.225 255.255.255.224
!
interface Ethernet5
 nameif dmz
 security-level 10
 ip address 172.16.31.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system flash:/pix711.bin
ftp mode passive


!--- Esta lista de acesso permite que os hosts
!--- acessem o endereço IP 192.168.200.227 para a
!--- porta do Simple Mail Transfer Protocol (SMTP).


access-list outside_int extended permit tcp any host  192.168.200.227 eq smtp


!--- Permite conexões SMTP de saída.
!--- Esta lista de acesso permite que o host IP 172.16.31.10
!--- fornecendo a porta SMTP acesse qualquer host.


access-list dmz_int extended permit tcp host 172.16.31.10 any eq smtp

pager lines 24
mtu BB 1500
mtu inside 1500
mtu outside 1500
mtu dmz 1500
no failover
no asdm history enable
arp timeout 14400
global (outside) 1  192.168.200.228-192.168.200.253 netmask 255.255.255.224
global (outside) 1  192.168.200.254
nat (inside) 1 10.1.1.0 255.255.255.0


!--- Este estático de rede não usa a tradução de endereços.
!--- Os hosts internos aparecem na DMZ com seus próprios endereços.


static (inside,dmz) 10.1.1.0 10.1.1.0 netmask 255.255.255.0


!--- Este estático de rede usa a tradução de endereços.
!--- Os hosts que acessam o servidor de email do meio externo
!--- usam o endereço 192.168.200.227.


static (dmz,outside)  192.168.200.227 172.16.31.10 netmask 255.255.255.255
access-group outside_int in interface outside
access-group dmz_int in interface dmz
route outside 0.0.0.0 0.0.0.0  192.168.200.226 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!

!--- O comando inspect esmtp (incluído no mapa) permite que o
!--- SMTP/ESMTP inspecione o aplicativo.


policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!

!--- O comando inspect esmtp (incluído no mapa) permite que o
!--- SMTP/ESMTP inspecione o aplicativo.

service-policy global_policy global
Cryptochecksum:2653ce2c9446fb244b410c2161a63eda
: end
[OK]

Configuração da TLS do ESMTP

Nota: Quando a criptografia TLS (Transport Layer Security) é usada para a comunicação por email, o recurso de inspeção do ESMTP (habilitado por padrão) no PIX descarta os pacotes. Para permitir os emails com o TLS habilitado, desabilite o recurso de inspeção do ESMTP conforme mostrado nesta saída.

pix(config)#policy-map global_policy
pix(config-pmap)#class inspection_default
pix(config-pmap-c)#no inspect esmtp
pix(config-pmap-c)#exit
pix(config-pmap)#exit

Verificação

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Comandos de Troubleshooting

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • debug icmp trace — Mostra se as solicitações de ICMP (Internet Control Message Protocol) dos hosts chegam até o PIX. É necessário adicionar o comando access-list para permitir ICMP em sua configuração para executar esta depuração.

    Nota: Para usar essa depuração, certifique-se de permitir ICMP em access-list outside_int conforme mostrado nesta saída:

    access-list outside_int extended permit tcp any host  192.168.200.227 eq smtp
    access-list outside_int extended permit icmp any any 
  • logging buffer debugging — Mostra as conexões estabelecidas e negadas aos hosts que passam pelo PIX. A informação é armazenada no buffer de log do PIX, e a saída pode ser vista com o comando show log.

Consulte Configuração do Syslog do PIX para obter mais informações sobre como configurar o log.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 69374