Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

ASA 7.x/PIX 6.x e acima: Aberto/bloco o exemplo de configuração das portas

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (15 Fevereiro 2011) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Configuração
      Diagrama de Rede
      Configuração de Bloqueio de Portas
      Configuração de Abertura de Portas
Verificação
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento fornece um exemplo de configuração de como abrir ou bloquear as portas para vários tipos de tráfego, como http ou ftp, no Security Appliance.

Nota: Os termos "abrir a porta" e "permitir a porta" têm o mesmo significado. Da mesma forma, "bloquear a porta" e "restringir a porta" são equivalentes.

Pré-requisitos

Requisitos

Este documento pressupõe que o PIX/ASA esteja configurado e funcionando corretamente.

Componentes Utilizados

As informações deste documento baseiam-se no Cisco 5500 Series Adaptive Security Appliance com a versão 7.2(1) do software.

As informações no documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser usada no Cisco 500 Series PIX Firewall Appliance com a versão 6.x ou superior do software.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração

Cada interface deve possuir um nível de segurança de 0 (mais baixo) a 100 (mais alto). Por exemplo, você deve atribuir a sua rede mais segura, como a rede de hosts interna, ao nível 100. Enquanto a rede externa conectada à Internet pode ser do nível 0, outras redes, como DMZs, podem ser atribuídas a posições intermediárias. É possível atribuir várias interfaces ao mesmo nível de segurança.

Por padrão, todas as portas são bloqueadas na interface externa (nível de segurança 0) e todas as portas são abertas na interface interna (nível de segurança 100) do Security Appliance. Dessa forma, todo o tráfego de saída pode passar pelo Security Appliance sem nenhuma configuração, mas o tráfego de entrada pode ser permitido pela configuração da lista de acesso e pelos comandos estáticos no Security Appliance.

Nota: Em geral, todas as portas são bloqueadas da zona de segurança mais baixa para a zona de segurança mais alta,e todas as portas são abertas da zona de segurança mais alta para a zona de segurança mais baixa, desde que a inspeção classificada esteja habilitada para ambos os tráfegos de entrada e saída.

Esta seção consiste nas seguintes sub-seções:

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

PIXASAopenblockports1.gif

Configuração de Bloqueio de Portas

O Security Appliance permite todo o tráfego de saída, a menos que ele seja bloqueado de forma explícita por uma lista de acesso estendida.

Uma lista de acesso é formada por uma ou mais entradas de controle de acesso. Dependendo do tipo de lista de acesso, você pode especificar os endereços de origem e de destino, o protocolo, as portas (TCP ou UDP), o tipo de ICMP (para ICMP) ou o EtherType.

Nota: No caso de protocolos sem conexão, como o ICMP, o Security Appliance estabelece sessões unidirecionais. Assim, você precisará de listas de acesso para permitir o ICMP nas duas direções (através da aplicação de listas de acesso às interfaces de origem e de destino) ou precisará habilitar o mecanismo de inspeção de ICMP. O mecanismo de inspeção de ICMP trata as sessões de ICMP como conexões bidirecionais.

Complete estas etapas para bloquear as portas, o que normalmente se aplica ao tráfego originado internamente (zona de segurança mais alta) para a DMZ (zona de segurança mais baixa) ou da DMZ para o exterior:

  1. Crie uma lista de controle de acesso para bloquear o tráfego da porta especificada.

    access-list <name> deny <protocol> <source-network/source IP> <source-netmask> <destination-network/destination IP>
    <destinamtion-netmask> eq <port number>
    
    access-list <name> permit ip any any
    
  2. Em seguida, vincule a lista de acesso com o comando access-group para ativá-la.

    access-group <access list name> in interface <interface name>
    

Exemplos:

  1. Bloquear o tráfego da porta de HTTP: Para impedir que a rede 10.1.1.0 interna acesse o HTTP (servidor da Web) com IP 172.16.1.1 localizado na rede DMZ, crie uma lista de controle de acesso da seguinte forma:

    ciscoasa(config)#access-list 100 deny tcp 10.1.1.0 255.255.255.0 host 172.16.1.1  eq 80
    ciscoasa(config)#access-list 100 extended permit ip any any
    ciscoasa(config)#access-group 100 in interface inside
    

    Nota: Use no seguido pelos comandos de lista de acesso para remover o bloqueio da porta.

  2. Bloquear o tráfego da porta de FTP: Para impedir que a rede 10.1.1.0 interna acesse o FTP (servidor de arquivos) com IP 172.16.1.2 localizado na rede DMZ, crie uma lista de controle de acesso da seguinte forma:

    ciscoasa(config)#access-list 100 deny tcp 10.1.1.0 255.255.255.0 host 172.16.1.2  eq 21
    ciscoasa(config)#access-list 100 extended permit ip any any
    ciscoasa(config)#access-group 100 in interface inside
    

Nota: Consulte Portas IANA para obter mais informações sobre as atribuições de portas.

Configuração de Abertura de Portas

O Security Appliance não permite todo o tráfego de entrada, a menos que ele seja permitido de forma explícita por uma lista de acesso estendida.

Para permitir que um host externo acesse um host interno, você poderá aplicar uma lista de acesso de entrada à interface externa. É necessário especificar o endereço convertido do host interno na lista de acesso porque esse é o endereço que pode ser usado na rede externa. Conclua as etapas a seguir para abrir as portas da zona de segurança mais baixa para a zona de segurança mais alta. Por exemplo, permitir o tráfego externo (zona de segurança mais baixa) para a interface interna (zona de segurança mais alta) ou da DMZ para a interface interna.

  1. O NAT estático cria uma conversão fixa de um endereço real para um endereço mapeado. O endereço mapeado é um endereço válido na Internet e pode ser usado para acessar o servidor de aplicativos na DMZ sem que seja necessário conhecer o endereço real do servidor.

    static (real_ifc,mapped_ifc) mapped_ip {real_ip [netmask mask] | access-list access_list_name | interface}
    

    Consulte a seção NAT Estático da Referência de Comandos do PIX/ASA para obter mais informações.

  2. Crie uma lista de controle de acesso para permitir o tráfego da porta específica.

    access-list <name> permit <protocol> <source-network/source IP> <source-netmask> <destination-network/destination IP>
    <destinamtion-netmask> eq <port number>
    
  3. Vincule a lista de acesso com o comando access-group para ativá-la.

    access-group <access-list name> in interface <interface name>
    

Exemplos:

  1. Abrir o tráfego da porta de SMTP: Abra a porta tcp 25 para permitir que os hosts externos (Internet) acessem o servidor de email situado na rede DMZ.

    O comando Static mapeia o endereço externo 192.168.5.3 no endereço real 172.16.1.3 da DMZ.

    ciscoasa(config)#static (DMZ,Outside) 192.168.5.3 172.16.1.3
     netmask 255.255.255.255
    ciscoasa(config)#access-list 100 permit tcp any host 192.168.5.3  eq 25
    ciscoasa(config)#access-group 100 in interface outside
    
  2. Abrir o tráfego da porta de HTTPS: Abra a porta tcp 443 para permitir que os hosts externos (Internet) acessem o servidor da Web (seguro) situado na rede DMZ.

    ciscoasa(config)#static (DMZ,Outside) 192.168.5.5 172.16.1.5
     netmask 255.255.255.255
    ciscoasa(config)#access-list 100 permit tcp any host 192.168.5.5  eq 443
    ciscoasa(config)#access-group 100 in interface outside
    
  3. Permitir o tráfego de DNS: Abra a porta udp 53 para permitir que os hosts externos (Internet) acessem o servidor de DNS (seguro) situado na rede DMZ.

    ciscoasa(config)#static (DMZ,Outside) 192.168.5.4 172.16.1.4
     netmask 255.255.255.255
    ciscoasa(config)#access-list 100 permit udp any host 192.168.5.4  eq 53
    ciscoasa(config)#access-group 100 in interface outside
    

Nota: Consulte Portas IANA para obter mais informações sobre as atribuições de portas.

Verificação

A verificação pode ser feita com determinados comandos show, conforme mostrado a seguir:

  • show xlate — Exibe as informações de conversão atuais.

  • show access-list — Exibe os hit counters de access policies.

  • show logging — Exibe os logs no buffer.

A Output Interpreter Tool (somente para clientes registrados ) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise do comando show.

Troubleshooting

No momento não há informações de troubleshooting disponíveis para esta configuração.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 91970