Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Exemplo de Configuração do PIX/ASA 7.x com Três Redes Internas

22 Maio 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (24 Outubro 2008) | Feedback

Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes Usados
     Produtos Relacionados
     Convenções
Configuração
     Diagrama de Rede
     Configurações
Verificação
Solução de Problemas
     Comandos de Solução de Problemas
     Procedimento de Solução de Problemas
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Este documento apresenta um exemplo de configuração do Appliance versão 7.x ou Adaptive Security Appliance (ASA) 5500 com três redes internas, utilizando a interface de linha de comandos (CLI) ou o Adaptive Security Device Manager (ASDM) 5.x. Rotas estáticas são usadas por questão de simplicidade.

Observação: Algumas opções no ASDM 5.2 e posteriores podem parecer diferentes das opções no ASDM 5.1. Consulte a Documentação do ASDM para obter informações adicionais.

Pré-requisitos

Requisitos

Ao incluir mais de uma rede interna atrás de um PIX Firewall, lembre-se de que:

  • O PIX não pode rotear nenhum pacote.

  • O PIX não suporta endereçamento secundário.

  • Um roteador deve ser usado atrás do PIX para obter roteamento entre a rede existente e a rede recém-incluída.

  • O gateway padrão de todos os hosts precisam apontar para o roteador interno.

  • Adicione uma rota padrão no roteador interno que aponte para o PIX.

  • Limpe o cache do Address Resolution Protocol (ARP) no roteador interno.

Consulte Permitindo Acesso HTTPS para ASDM para permitir que o dispositivo seja configurado pelo ASDM.

Componentes Usados

As informações neste documento são baseadas nestas versões de hardware e software:

  • PIX Security Appliance 515E com software versão 7.1

  • ASDM 5.1

  • Routers Cisco com Cisco IOS® Software Release 12.3(7)T

Observação: Durante o teste da configuração neste documento em um PIX Security Appliance, ela também mostrou-se compatível com o ASA 5500.

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento foram iniciados com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de conhecer o possível impacto de todos os comandos.

Produtos Relacionados

Esta configuração também pode ser utilizada com o Cisco ASA Security Appliance versão 7.x.

Convenções

Para obter mais informações sobre convenções de documentos, consulte Convenções e Dicas Técnicas da Cisco.

Configuração

Nesta seção, você encontra as informações para configurar os recursos descritos neste documento.

Observação: Use a Ferramenta de Consulta de Comando (clientes registrados somente) para obter informações adicionais sobre os comandos utilizados nesta seção.

Os esquemas de endereçamento utilizados nesta configuração não são legalmente roteáveis na Internet. São endereços do RFC 1918 utilizados em um ambiente de laboratório.

Diagrama de Rede

Este documento utiliza esta configuração de rede:

pix-3-networks-a.gif

O gateway padrão dos hosts na rede 10.1.1.0 aponta para o RoteadorA. Foi adicionada uma rota padrão no RoteadorB apontando para o RoteadorA. O RoteadorA tem uma rota padrão que aponta para a interface interna do PIX.

Configurações

Este documento utiliza estas configurações:

Configuração do RoteadorA

RouterA#show running-config
Building configuration...

Current configuration : 1151 bytes
!
version 12.3
service config
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RouterA
!

interface Ethernet2/0
 ip address 10.2.1.1 255.255.255.0
 half-duplex
!

interface Ethernet2/1
 ip address 10.1.1.2 255.255.255.0
 half-duplex
!
ip classless

ip route 0.0.0.0 0.0.0.0 10.1.1.1
ip route 10.3.1.0 255.255.255.0 10.1.1.3
!
!
line con 0
line aux 0
line vty 0 4
!
end
RouterA# 

Configuração do RoteadorB

RouterB#show running-config
Building configuration...
Current configuration : 1132 bytes
!
version 12.3
service config
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname RouterB
!

interface FastEthernet0/0
 ip address 10.1.1.3 255.255.255.0
 speed auto
!

interface Ethernet1/0
 ip address 10.3.1.1 255.255.255.0
 half-duplex
!
ip classless

ip route 0.0.0.0 0.0.0.0 10.1.1.2
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
!
end
RouterB# 

Para utilizar o ASDM para a configuração do PIX Security Appliance, sem haver um bootstrap no dispositivo, execute estas etapas:

  1. Console para o PIX.

  2. Partindo da configuração original, utilize os prompts interativos para ativar o ASDM para o gerenciamento do PIX da estação de trabalho 10.1.1.5.

Configuração do PIX Security Appliance 7.1.

Pre-configure Firewall now through interactive prompts [yes]? yes
Firewall Mode [Routed]:
Enable password [<use current password>]: cisco
Allow password recovery [yes]?
Clock (UTC):
  Year [2005]:
  Month [Mar]:
  Day [15]:
  Time [05:40:35]: 14:45:00
Inside IP address: 10.1.1.1
Inside network mask: 255.255.255.0
Host name: OZ-PIX
Domain name: cisco.com
IP address of host running Device Manager: 10.1.1.5

The following configuration will be used:
         Enable password: cisco
         Allow password recovery: yes
         Clock (UTC): 14:45:00 Mar 15 2005
         Firewall Mode: Routed
         Inside IP address: 10.1.1.1
         Inside network mask: 255.255.255.0
         Host name: OZ-PIX
         Domain name: cisco.com
         IP address of host running Device Manager: 10.1.1.5

Use this configuration and write to flash? yes
         INFO: Security level for "inside" set to 100 by default.
         Cryptochecksum: a0bff9bb aa3d815f c9fd269a 3f67fef5

965 bytes copied in 0.880 secs
         INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
         INFO: converting 'fixup protocol ftp 21' to MPF commands
         INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
         INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
         INFO: converting 'fixup protocol netbios 137-138' to MPF commands
         INFO: converting 'fixup protocol rsh 514' to MPF commands
         INFO: converting 'fixup protocol rtsp 554' to MPF commands
         INFO: converting 'fixup protocol sip 5060' to MPF commands
         INFO: converting 'fixup protocol skinny 2000' to MPF commands
         INFO: converting 'fixup protocol smtp 25' to MPF commands
         INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
         INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
         INFO: converting 'fixup protocol tftp 69' to MPF commands
         INFO: converting 'fixup protocol sip udp 5060' to MPF commands
         INFO: converting 'fixup protocol xdmcp 177' to MPF commands

Type help or '?' for a list of available commands.
         OZ-PIX>

Configuração do Bootstrap e GUI do PIX Security Appliance ASDM 5.1

Conclua essas etapas para configurar via GUI do ASDM:

  1. Na estação de trabalho 10.1.1.5, abra um navegador da Web para utilizar o ADSM (neste exemplo, https://10.1.1.1).

  2. Clique em sim nos prompts dos certificados.

  3. Faça logon com a senha de ativação, conforme configurada anteriormente.

  4. Se essa for a primeira execução do ASDM no PC, você receberá um prompt para utilizar o ASDM Launcher ou o ASDM como um Java App. Neste exemplo, o ASDM Launcher é selecionado e instalado.

  5. Vá para a janela ASDM Home e clique em Configuration (Configuração)

    pix-3-networks-b.gif

  6. Escolha Interface > Edit (Editar) para configurar a interface externa.

    pix-3-networks-c.gif

  7. Digite os detalhes da interface e clique em OK ao concluir.

    pix-3-networks-d.gif

  8. Clique em OK na caixa de diálogo Security Level Change (Alteração de Nível de Segurança).

    pix-3-networks-e.gif

  9. Clique em Apply (Aplicar) para aceitar a configuração da interface. Essa configuração também é aplicada ao PIX.

    pix-3-networks-f.gif

  10. Escolha Security Policy (Política de Segurança), na guia Features (Recursos), para examinar a regra de política de segurança utilizada. Neste exemplo, a regra interna padrão é utilizada.

    pix-3-networks-g.gif

  11. Neste exemplo, o NAT é utilizado. Desmarque Enable traffic through the firewall without address translation (Ativar tráfego através do firewall sem tradução de endereço) e clique em Add (Adicionar) para configurar a regra do NAT.

    pix-3-networks-h.gif

  12. Configure a Rede de Origem. Neste exemplo, 10.0.0.0 é usado para o endereço IP, e 255.0.0.0 para a máscara.

    Clique em Manage Pools (Gerenciar Conjuntos) para definir os endereços dos conjuntos do NAT.

    pix-3-networks-i.gif

  13. Selecione a interface externa e clique em Addd (Adicionar).

    pix-3-networks-j.gif

  14. Neste exemplo, uma Faixa e um conjunto de endereços PAT são configurados. Configure o conjunto de endereços NAT da faixa e clique em OK.

    pix-3-networks-k.gif

  15. Selecione a interface externa na etapa 13 para configurar o endereço PAT. Clique em OK

    pix-3-networks-l.gif

    Clique em OK para continuar.

    pix-3-networks-m.gif

  16. Na janela Edit Address Translation Rule (Editar Regra de Tradução de Endereço), selecione o ID do Conjunto a ser utilizado pela rede de origem configurada. Clique em OK.

    pix-3-networks-n.gif

  17. Clique em Apply (Aplicar) para impor a regra NAT configurar ao PIX.

    pix-3-networks-o.gif

  18. Neste exemplo, são utilizadas rotas estáticas. Clique em Routing (Roteamento), escolha Static Route (Rota Estática) e clique em Add (Adicionar).

    pix-3-networks-p.gif

  19. Configure o gateway padrão e clique em OK.

    pix-3-networks-q.gif

  20. Clique em Add (Adicionar) e inclua rotas nas redes internas.

    pix-3-networks-r.gif

    pix-3-networks-s.gif

  21. Confirme se a configuração das rotas está correta e clique em Apply (Aplicar).

    pix-3-networks-t.gif

A configuração via GUI do ASDM já está concluída.

Você pode ver essa configuração por meio da CLI:

CLI do PIX Security Appliance

pixfirewall(config)#write terminal
PIX Version 7.0(0)102
names
!

interface Ethernet0
 nameif outside
 security-level 0

ip address 172.16.1.1 255.255.255.0
!

interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0 
!
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname OZ-PIX
domain-name cisco.com
ftp mode passive
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
monitor-interface inside
monitor-interface outside
asdm image flash:/asdmfile.50073
no asdm history enable
arp timeout 14400

controle nat

global (outside) 1 172.16.1.5-172.16.1.10 netmask 255.255.255.0
global (outside) 1 172.16.1.4 netmask 255.255.255.0
nat (inside) 1 10.0.0.0 255.0.0.0
route inside 10.3.1.0 255.255.255.0 10.1.1.3 1
route inside 10.2.1.0 255.255.255.0 10.1.1.2 1

route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
   h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00
   sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.1.1.5 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp
telnet timeout 5
ssh timeout 5
console timeout 0
!

class-map inspection_default
 match default-inspection-traffic
!
!
policy-map asa_global_fw_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy asa_global_fw_policy global
Cryptochecksum:a0bff9bbaa3d815fc9fd269a3f67fef5
: end

Escolha File (Arquivo) > Show Running Configuration in New Window (Mostrar Configuração em Execução na Nova Janela) para visualizar a configuração da CLI no ASDM.

u.gif

Verificação

No momento, não existe um procedimento de verificação disponível para esta configuração.

Solução de Problemas

Comandos de Solução de Problemas

A Ferramenta Output Interpreter (clientes registrados somente) (OIT) é compatível com alguns comando show. Use a OIT para visualizar uma análise da saída de comando show.

Observação: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • debug icmp trace – Mostra se as solicitações de ICMP dos hosts chegam ao PIX. Para executar a depuração, inclua o comando access-list de modo a permitir o ICMP na sua configuração.

  • logging buffer debugging – Mostra as conexões estabelecidas e recusadas para os hosts que passam pelo PIX. As informações estão armazenadas no buffer de registro do PIX e você pode ver a saída com o comando show log.

Procedimento de Solução de Problemas

O ASDM pode ser utilizado para ativar a geração de registros e também para visualizá-los:

  1. Escolha Configuration (Configuração) > Properties (Propriedades) > Logging (Registro) > Logging Setup (Configuração de Registro), marque Enable Logging (Ativar Registro) e clique em Apply (Aplicar).

    pix-3-networks-u.gif

  2. Escolha Monitoring (Monitoramento) > Logging (Registro) > Log Buffer (Buffer de Registro) > Logging Level (Nível de Registro) e selecione Logging Buffer (Buffer de Registro) na lista suspensa. Clique em View (Exibir).

    pix-3-networks-v.gif

  3. Este é um exemplo do Buffer de Registro:

    pix-3-networks-w.gif

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 63880