Segurança : Cisco IOS Firewall

DHCP Client ou server com configuração de roteador ZBF

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como configurar um roteador que esteja atuando como um server do protocolo de controle dinâmico de host (DHCP) ou um DHCP Client com a característica zona-baseada do Firewall (ZBF). Porque é razoavelmente comum ter o DHCP e o ZBF permitidos simultaneamente, estas pontas da configuração ajudam a assegurar corretamente estas características interativas.

Contribuído por Puneet Seth e por Phillip Strelau, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Cisco recomenda que você tem o conhecimento do Firewall zona-baseado software do ® do Cisco IOS. Refira o guia Zona-baseado do projeto e do aplicativo do Firewall da política para detalhes.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Caracterize a informação

Quando ZBF é permitido em um IOS Router, todo o tráfego à zona do auto (isto é, tráfego destinado ao plano de gerenciamento do roteador) está permitido à revelia no trem IO 15.x do código.

Se você criou uma política para qualquer zona (tal como o “interior” ou “fora ") à zona do auto (política do para fora-à-auto) ou ao reverso (auto--para fora à política), você deve explicitamente definir o tráfego permissível nas políticas anexado a estas zonas. Use a inspeção ou passe a ação a fim definir o tráfego permissível.

Análise de dados

Os usos DHCP transmitiram pacotes do User Datagram Protocol (UDP) a fim terminar o processo DHCP. as configurações de firewall Zona-baseadas que especificam a ação da inspeção para estes pacotes de UDP da transmissão puderam ser deixadas cair pelo roteador, e pelo processo DHCP puderam falhar. Você pôde igualmente ver este mensagem de registro:

%FW-6-DROP_PKT: Dropping udp session 0.0.0.0:68 255.255.255.255:67 on zone-pair
self-out class dhcp with ip ident 0

Refira a edição descrita na identificação de bug Cisco CSCso53376, “ZBF inspecionam não trabalha para o tráfego de broadcast.”

A fim evitar este problema, altere a configuração de firewall zona-baseada de modo que a ação da passagem em vez da ação da inspeção seja aplicada ao tráfego DHCP.

Nota: Isto é exigido somente quando uma política é aplicada à zona do auto no roteador.

Firewall Zona-baseado como o DHCP Client com ação da passagem para o tráfego UDP

Configurar

Este exemplo de configuração utiliza o grupo da ação da passagem em vez da ação da inspeção no mapa de política para todo o tráfego UDP a ou do roteador.

zone security outside
zone security inside

interface Ethernet0/1
zone-member security outside
interface Ethernet0/2
zone-member security inside

class-map type inspect match-all dhcp
match protocol udp

policy-map type inspect out-to-self
class type inspect dhcp
pass
class class-default
drop
policy-map type inspect self-to-out
class type inspect dhcp
pass
class class-default
drop

zone-pair security out-to-self source outside destination self
service-policy type inspect out-to-self
zone-pair security self-to-out source self destination outside
service-policy type inspect self-to-out

Verificar

Reveja os Syslog a fim verificar que o roteador obteve com sucesso um endereço de DHCP.

Quando o para fora-à-auto e auto--para fora às políticas é configurado para passar o tráfego UDP, o roteador pode obter um endereço IP de Um ou Mais Servidores Cisco ICM NT do DHCP segundo as indicações deste Syslog:

%DHCP-6-ADDRESS_ASSIGN: Interface Ethernet1/0 assigned DHCP address 192.168.1.5,
mask 255.255.255.0

Quando somente a política da zona do para fora-à-auto é configurada para passar o tráfego UDP, o roteador pode igualmente obter um endereço IP de Um ou Mais Servidores Cisco ICM NT do DHCP, e este Syslog é criado:

%DHCP-6-ADDRESS_ASSIGN: Interface Ethernet1/0 assigned DHCP address 192.168.1.6,
mask 255.255.255.0

Quando auto--para fora à política da zona é configurado somente para passar o tráfego UDP, o roteador pode obter um endereço IP de Um ou Mais Servidores Cisco ICM NT do DHCP, e este Syslog é criado:

%DHCP-6-ADDRESS_ASSIGN: Interface Ethernet1/0 assigned DHCP address 192.168.1.7,
mask 255.255.25

Firewall Zona-baseado com ação da passagem para o tráfego DHCP

Configurar

Este exemplo de configuração mostra como impedir todo o tráfego UDP de uma zona na zona do auto do seu roteador à exceção dos pacotes DHCP. Use uma lista de acesso com portas específicas a fim permitir apenas o tráfego DHCP; neste exemplo, a porta 67 UDP e a porta 68 UDP são especificadas para ser combinadas. Um mapa de classe que provê a lista de acesso tem a ação da passagem aplicada.

access-list extended 111
10 permit udp any any eq 67

access-list extended 112
10 permit udp any any eq 68

class-map type inspect match-any self-to-out
match access-group 111
class-map type inspect match-any out-to-self
match access-group 112

zone security outside
zone security inside

interface Ethernet0/1
zone-member security outside
interface Ethernet0/2
zone-member security inside

policy-map type inspect out-to-self
class type inspect out-to-self
pass
class class-default
drop
policy-map type inspect self-to-out
class type inspect self-to-out
pass
class class-default
drop

zone-pair security out-to-self source outside destination self
service-policy type inspect out-to-self
zone-pair security self-to-out source self destination outside
service-policy type inspect self-to-out

Verificar

A saída da revisão do tipo do mapa de política da mostra inspeciona o comando sessions dos zona-pares a fim confirmar que o roteador está permitindo o tráfego DHCP com o Firewall da zona. Nestas saídas de exemplo, os contadores destacados indicam que os pacotes estão sendo passados com o Firewall da zona. Se estes contadores são zero, há um problema com a configuração, ou os pacotes não estão chegando ao roteador para processar.

router#show policy-map type inspect zone-pair sessions

policy exists on zp out-to-self
Zone-pair: out-to-self
Service-policy inspect : out-to-self
Class-map: out-to-self (match-any)
Match: access-group 112
3 packets, 924 bytes
30 second rate 0 bps
Pass
6 packets, 1848 bytes

Class-map: class-default (match-any)
Match: any
Drop
0 packets, 0 bytes

policy exists on zp self-to-out
Zone-pair: self-to-out
Service-policy inspect : self-to-out
Class-map: self-to-out (match-any)
Match: access-group 111
6 packets, 3504 bytes
30 second rate 0 bps
Pass
6 packets, 3504 bytes

Class-map: class-default (match-any)
Match: any
Drop
0 packets, 0 bytes

Encenação para configurações incorreta

Este exemplo de cenário mostra o que acontece quando o roteador é configurado incorretamente para especificar a ação da inspeção para o tráfego DHCP. Nesta encenação, o roteador é configurado como um DHCP Client. O roteador manda um mensagem DISCOVER DHCP para tentar e obter um endereço IP de Um ou Mais Servidores Cisco ICM NT. O Firewall zona-baseado é configurado para inspecionar este tráfego DHCP. Este é um exemplo da configuração ZBF:

zone security outside
zone security inside

interface Ethernet0/1
zone-member security outside

interface Ethernet0/2
zone-member security inside

class-map type inspect match-all dhcp
match protocol udp

policy-map type inspect out-to-self
class type inspect dhcp
inspect
class class-default
drop
policy-map type inspect self-to-out
class type inspect dhcp
inspect
class class-default
drop

zone-pair securiy out-to-self source outside destination self
service-policy type inspect out-to-self
zone-pair security self-to-out source self destination outside
service-policy type inspect self-to-out

Quando auto--para fora à política é configurado com a ação da inspeção para o tráfego UDP, o pacote de descoberta DHCP está deixado cair, e este Syslog é criado:

%FW-6-DROP_PKT: Dropping udp session 0.0.0.0:68 255.255.255.255:67 on zone-pair
self-out class dhcp with ip ident 0

Quando a política ambos auto-a-para fora e do para fora-à-auto é configurada com a ação da inspeção para o tráfego UDP, o pacote de descoberta DHCP está deixado cair, e este Syslog é criado:

%FW-6-DROP_PKT: Dropping udp session 0.0.0.0:68 255.255.255.255:67 on zone-pair
self-out class dhcp with ip ident 0

Quando a política do para fora-à-auto tem a ação da inspeção permitida, e auto--para fora à política tem a ação da passagem permitida para o tráfego UDP, o pacote da oferta de DHCP está deixado cair depois que o pacote de descoberta DHCP é enviado, e este Syslog está criado:

%FW-6-DROP_PKT: Dropping udp session 192.168.1.1:67 255.255.255.255:68 on zone-pair
out-self class dhcp with ip ident 0

Roteador como o servidor DHCP

Se a interface interna do Roteadores está atuando como um servidor DHCP e se os clientes que conectam à interface interna são os clientes DHCP, este tráfego DHCP está permitido à revelia se não há nenhum dentro-à-auto ou auto-à-dentro da política da zona.

Contudo, se qualquer uma daquelas políticas existe, você precisa de configurar uma ação da passagem para o tráfego do interesse (porta 67 UDP ou porta 68 UDP) na política de serviços dos pares da zona.

Troubleshooting

Não há atualmente nenhuma informação de Troubleshooting específica disponível para estas configurações.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116117