Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA: Exemplo de Configuração de Firewall Transparente

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (26 Setembro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Firewall Transparente
      Diretrizes
      Endereços MAC Permitidos
      Recursos sem Suporte
Configuração
      Diagrama de Rede
      Configurações
Transferência de Dados pelo Firewall Transparente em Cenários Diferentes
      Um Usuário Interno Acessa o Servidor de Email Externo
      Um Usuário Interno Visita um Servidor Web com NAT
      Um Usuário Interno Visita um Servidor Web Interno
      Um Usuário Externo Visita um Servidor Web na Rede Interna
      Um Usuário Externo Tenta Acessar um Host Interno
Verificação
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Tradicionalmente, um firewall é um salto roteado que age como gateway padrão para os hosts conectados a uma de suas sub-redes. Um firewall transparente, por outro lado, é um firewall da Camada 2 que age como um "quebra-molas no cabo" ou um "firewall invisível" e não é visto como um salto de roteador pelos dispositivos conectados. O Security Appliance conecta a mesma rede em suas portas internas e externas. Como o firewall não é um salto roteado, é muito fácil introduzir um firewall transparente em uma rede existente, e não é necessário reatribuir os IPs.

A manutenção é facilitada porque não há padrões complexos de roteamento que necessitem de troubleshooting ou configuração de NAT.

Ainda que o modo transparente atue como uma bridge, o tráfego da Camada 3, como o tráfego IP, não poderá atravessar o Security Appliance a menos que você o permita com uma lista de acesso estendida. O único tipo de tráfego permitido através do firewall transparente sem uma lista de acesso é o tráfego ARP. O tráfego ARP pode ser controlado pela inspeção de ARP.

No modo roteado, alguns tipos de tráfego não poderão atravessar o Security Appliance mesmo que você o permita em uma lista de acesso. Alternativamente, o firewall transparente pode permitir a passagem de qualquer tráfego, seja com uma lista de acesso estendida (para o tráfego IP) ou com uma lista de acesso EtherType (para o tráfego não-IP).

Por exemplo, você pode estabelecer adjacências de protocolo de roteamento por meio de um firewall transparente e também permitir a passagem de tráfego de VPN (IPSec), OSPF, RIP, EIGRP ou BGP com base em uma lista de acesso estendida. Da mesma forma, os protocolos como HSRP ou VRRP podem passar pelo Security Appliance.

A transmissão do tráfego não-IP (por exemplo, AppleTalk, IPX, BPDUs e MPLS) pode ser configurada por meio de uma lista de acesso EtherType.

No caso de recursos aos quais não há suporte direto pelo firewall transparente, você pode permitir que o tráfego atravesse para que os roteadores upstream e downstream possam oferecer suporte à funcionalidade. Por exemplo, ao usar uma lista de acesso estendida, você poderá permitir o tráfego de DHCP (em vez do recurso de DHCP relay) ou multicast, como aquela criado por IP/TV.

Quando o Security Appliance é executado no modo transparente, a interface de saída de um pacote é determinada por uma consulta de endereço MAC, e não por uma consulta de rota. As declarações de rota ainda podem ser configuradas, mas elas se aplicam somente ao tráfego originado pelo Security Appliance. Por exemplo, se o seu servidor de syslog estiver em uma rede remota, você deverá usar uma rota estática para que o Security Appliance possa chegar até a sub-rede necessária.

Você pode definir o Adaptive Security Appliance para executar no modo de firewall roteado padrão ou no modo de firewall transparente. Quando os modos são alterados, o Adaptive Security Appliance limpa a configuração porque muitos dos comandos não são aceitos nos dois modos. Se já houver uma configuração, certifique-se de fazer seu backup antes de alterar o modo. Essa configuração de backup poderá ser usada como referência para a criação de uma nova configuração.

No modo de contexto múltiplo, é possível usar somente um modo de firewall para todos os contextos. O modo deve ser definido no espaço de execução do sistema. No modo de contexto múltiplo, a configuração do sistema é apagada, o que remove qualquer contexto. Se você adicionar novamente um contexto que possua uma configuração criada para o modo incorreto, a configuração do contexto não funcionará corretamente.

Nota: Certifique-se de criar suas configurações de contexto para o modo correto antes de adicioná-las novamente ou de adicionar novos contextos com novos caminhos para novas configurações.

Nota: Se você fizer o download de uma configuração de texto para o Security Appliance que altere o modo com o comando firewall transparent, certifique-se de incluir o comando no início da configuração. O Adaptive Security Appliance altera o modo assim que o comando é executado e continua com a leitura da configuração obtida por download. Se o comando for inserido posteriormente na configuração, o Adaptive Security Appliance limpará todas as linhas anteriores da configuração.

Para configurar o modo de contexto múltiplo no firewall transparente, consulte Firewall Transparente no Modo Múltiplo com Acesso Externo

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento baseiam-se nestas versões de software e hardware:

  • ASA com versão 7.x ou posterior

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser utilizada com estas versões de hardware e software:

  • PIX Security Appliance com versão 7.x ou posterior

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Firewall Transparente

Diretrizes

Siga estas diretrizes ao planejar sua rede com firewall transparente:

  • É necessário um endereço IP de gerenciamento. No modo de contexto múltiplo, um endereço IP é necessário para cada contexto.

    Ao contrário do modo roteado, o qual necessita de um endereço IP para cada interface, um firewall transparente possui um endereço IP atribuído ao dispositivo inteiro. O Security Appliance usa este endereço IP como o endereço de origem para os pacotes originados no Security Appliance, como mensagens do sistema ou comunicações de autenticação, autorização e contabilidade (AAA).

    O endereço IP de gerenciamento deve pertencer à mesma sub-rede da rede conectada. A sub-rede não pode ser definida como uma sub-rede de host (255.255.255.255).

  • O Security Appliance transparente usa somente uma interface interna e uma interface externa. Se a sua plataforma incluir uma interface de gerenciamento dedicada, você também poderá configurar a interface ou a sub-interface de gerenciamento somente para o tráfego de gerenciamento.

    No modo simples, é possível usar somente duas interfaces de dados (e a interface de gerenciamento dedicada, se houver), mesmo que o seu Security Appliance inclua mais de duas interfaces.

  • Cada rede conectada diretamente deve pertencer à mesma sub-rede.

  • Não especifique o endereço IP de gerenciamento do Security Appliance como o gateway padrão para os dispositivos conectados. Os dispositivos precisam especificar o roteador no outro lado do Security Appliance como o gateway padrão.

  • No modo de contexto múltiplo, cada contexto deverá usar interfaces diferentes. Não é possível compartilhar uma interface entre contextos diferentes.

  • No modo de contexto múltiplo, cada contexto usa normalmente uma sub-rede diferente. É possível usar sub-redes que se sobreponham, mas a sua topologia de rede necessita da configuração de um roteador e do NAT para tornar isso possível do ponto de vista do roteamento.

  • Você deverá usar uma lista de acesso estendida para permitir a passagem do tráfego da Camada 3, como o tráfego IP, pelo Security Appliance.

    Opcionalmente, você também poderá usar uma lista de acesso EtherType para permitir a passagem de tráfego não-IP.

Endereços MAC Permitidos

Os endereços MAC de destino a seguir são permitidos pelo firewall transparente. Qualquer endereço MAC que não pertença a esta lista é descartado.

  • Endereços MAC VERDADEIROS com destino igual a FFFF.FFFF.FFFF

  • Endereços MAC de multicast de IPv4 de 0100.5E00.0000 a 0100.5EFE.FFFF

  • Endereços MAC de multicast IPv6 de 3333.0000.0000 a 3333.FFFF.FFFF

  • Endereço de multicast BPDU igual a 0100.0CCC.CCCD

  • Endereços MAC de multicast AppleTalk de 0900.0700.0000 a 0900.07FF.FFFF

Recursos sem Suporte

Não há suporte aos seguintes recursos no modo transparente:

  • NAT/PAT

    A NAT é executada no roteador upstream.

  • Protocolos de roteamento dinâmico (como RIP, EIGRP, OSPF)

    Você pode adicionar rotas estáticas para o tráfego originado no Security Appliance. Também é possível permitir o uso de protocolos de roteamento dinâmico através do Security Appliance com uma lista de acesso estendida.

  • IPv6

  • DHCP relay

    O firewall transparente pode agir como um servidor DHCP, mas ele não oferece suporte aos comandos de DHCP relay. O DHCP relay não é necessário porque você pode permitir a passagem do tráfego DHCP usando uma lista de acesso estendida.

  • Quality of Service (QoS)

  • Multicast

    Você pode permitir a passagem de tráfego multicast pelo Security Appliance com uma lista de acesso estendida.

  • Terminação de VPN para passagem de tráfego.

    O firewall transparente oferece suporte a túneis de VPN site a site somente para conexões de gerenciamento. Ele não finaliza as conexões de VPN que passam pelo Security Appliance. É possível transmitir o tráfego de VPN pelo Security Appliance com uma lista de acesso estendida, mas as conexões que não são de gerenciamento não são finalizadas.

Nota: O Security Appliance do modo transparente não transmite pacotes CDP nem qualquer outro pacote que não possua um EtherType válido igual ou maior a 0x600. Por exemplo, não é possível transmitir pacotes IS-IS. Uma exceção é feita para os BPDUs, os quais são aceitos.

Configuração

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

O diagrama de rede mostra uma rede com firewall transparente típica, onde os dispositivos externos estão na mesma sub-rede que os internos. O roteador e os hosts internos parecem estar conectados diretamente ao roteador externo.

Transparent-firewall-1.gif

Configurações

ASA 8.x

ciscoasa#show running-config
: Saved
:
ASA Version 8.0(2)
!

!--- Para definir o modo do firewall como transparente.

firewall transparent
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
!
interface Ethernet0/1
 nameif inside
 security-level 100
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
pager lines 24
mtu outside 1500
mtu inside 1500


!--- Endereço IP de gerenciamento.
!--- Evite usar esse endereço IP como um gateway padrão.
!--- O security appliance usa este endereço como o endereço de origem
!--- para o tráfego proveniente do security appliance, como mensagens
!--- do sistema ou comunicações com os servidores AAA. Você também pode usar esse
!--- endereço para o acesso de gerenciamento remoto.


ip address 192.168.1.1 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1



!--- Saída suprimida.



service-policy global_policy global
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
ciscoasa(config)#

Transferência de Dados pelo Firewall Transparente em Cenários Diferentes

Um Usuário Interno Acessa o Servidor de Email Externo

O usuário da rede interna acessa o servidor de email localizado na Internet (meio externo). O Security Appliance recebe o pacote e adiciona o endereço MAC de origem à tabela de endereços MAC, se necessário. Como esta é uma nova sessão, ele verifica se o pacote é permitido de acordo com os termos da política de segurança (listas de acesso, filtros ou AAA).

Nota: No modo de contexto múltiplo, o Security Appliance primeiro classifica o pacote de acordo com uma interface exclusiva.

O Security Appliance registra que uma sessão foi estabelecida. Se o endereço MAC de destino estiver na tabela, o Security Appliance encaminhará o pacote pela interface externa. O endereço MAC de destino é o do roteador upstream, 192.168.1.2. Se o endereço MAC de destino não estiver na tabela do Security Appliance, o Security Appliance tentará descobrir o endereço MAC por meio de uma solicitação de ARP e um ping. O primeiro pacote é descartado.

O servidor de email responde à solicitação. Como a sessão já foi estabelecida, o pacote não passa pelas várias consultas associadas a uma nova conexão. O Security Appliance encaminha o pacote para o usuário interno.

Um Usuário Interno Visita um Servidor Web com NAT

Quando a NAT é ativada no roteador da Internet, o fluxo de pacotes por esse roteador é ligeiramente modificado.

O usuário da rede interna acessa o servidor de email localizado na Internet (meio externo). O Security Appliance recebe o pacote e adiciona o endereço MAC de origem à tabela de endereços MAC, se necessário. Como esta é uma nova sessão, ele verifica se o pacote é permitido de acordo com os termos da política de segurança (listas de acesso, filtros ou AAA).

Nota: No modo de contexto múltiplo, o Security Appliance primeiro classifica o pacote de acordo com uma interface exclusiva.

O roteador da Internet converte o endereço real do Host A (192.168.1.5) no endereço mapeado do roteador da Internet (172.16.1.1). Como o endereço mapeado não pertence à mesma rede que a interface externa, certifique-se de que o roteador upstream possua uma rota estática para a rede mapeada que aponta para o Security Appliance.

O Security Appliance registra que uma sessão foi estabelecida e encaminha o pacote a partir da interface externa. Se o endereço MAC de destino estiver na tabela, o Security Appliance encaminhará o pacote pela interface externa. O endereço MAC de destino é o do roteador upstream, 172.16.1.1. Se o endereço MAC de destino não estiver na tabela do Security Appliance, o Security Appliance tentará descobrir o endereço MAC por meio de uma solicitação de ARP e um ping. O primeiro pacote é descartado.

O servidor de email responde à solicitação. Como a sessão já foi estabelecida, o pacote não passa pelas várias consultas associadas a uma nova conexão. O Security Appliance executa a NAT ao converter o endereço mapeado no endereço real, 192.168.1.5.

Um Usuário Interno Visita um Servidor Web Interno

Se o Host A tentar acessar o servidor Web interno (10.1.1.1), o Host A (192.168.1.5) enviará o pacote de solicitação para o roteador da Internet (já que ele é o gateway padrão) através do Security Appliance do meio interno para o externo. Em seguida, o pacote é redirecionado para o servidor Web (10.1.1.1) através do Adaptive Security Appliance (exterior para o interior) e do roteador interno.

Transparent-firewall-1.gif

Nota: O pacote de solicitação retornará ao servidor Web somente se o Adaptive Security Appliance possuir uma lista de acesso que permita a entrada de tráfego externo na rede interna.

Para resolver isso, altere o gateway padrão para do Host A (10.1.1.1) para apontar para o roteador interno (192.168.1.3) em vez do roteador da Internet (192.168.1.2). Isso evita que tráfego desnecessário seja enviado para o gateway externo e redireciona as ocorrências no roteador externo (roteador da Internet). O caminho reverso também é resolvido, ou seja, quando o servidor Web ou qualquer host (10.1.1.0/24) existente por trás do roteador interno tenta acessar o Host A (192.165.1.5).

Um Usuário Externo Visita um Servidor Web na Rede Interna

Estes passos descrevem como os dados são transmitidos através do Security Appliance:

Um usuário na rede externa solicita uma página da Web do servidor Web interno. O Security Appliance recebe o pacote e adiciona o endereço MAC de origem à tabela de endereços MAC, se necessário. Como esta é uma nova sessão, ele verifica se o pacote é permitido de acordo com os termos da política de segurança (listas de acesso, filtros ou AAA).

Nota: No modo de contexto múltiplo, o Security Appliance primeiro classifica o pacote de acordo com uma interface exclusiva.

O Security Appliance registrará que uma sessão foi estabelecida somente se o usuário externo possuir acesso válido ao servidor Web interno. A lista de acesso deverá ser configurada para permitir que o usuário externo obtenha acesso ao servidor Web.

Se o endereço MAC de destino estiver na tabela, o Security Appliance encaminhará o pacote pela interface interna. O endereço MAC de destino é o do roteador downstream, 192.168.1.3.

Se o endereço MAC de destino não estiver na tabela do Security Appliance, o Security Appliance tentará descobrir o endereço MAC por meio de uma solicitação de ARP e um ping. O primeiro pacote é descartado.

O servidor Web email responde à solicitação. Como a sessão já foi estabelecida, o pacote não passa pelas várias consultas associadas a uma nova conexão. O Security Appliance encaminha o pacote para o usuário externo.

Um Usuário Externo Tenta Acessar um Host Interno

Um usuário na rede externa tenta se comunicar com um host interno. O Security Appliance recebe o pacote e adiciona o endereço MAC de origem à tabela de endereços MAC, se necessário. Como esta é uma nova sessão, ele verifica se o pacote é permitido de acordo com os termos da política de segurança (listas de acesso, filtros ou AAA).

Nota: No modo de contexto múltiplo, o Security Appliance primeiro classifica o pacote de acordo com uma interface exclusiva.

O pacote é negado e descartado pelo Security Appliance porque o usuário externo não possui acesso ao host interno. Se o usuário externo tentar atacar a rede interna, o Security Appliance empregará várias tecnologias para determinar se um pacote é válido para uma sessão já estabelecida.

Verificação

Utilize esta seção para confirmar se a sua configuração está funcionando corretamente.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

ciscoasa(config)# sh firewall
Firewall mode: Transparent

Troubleshooting

No momento não há informações de troubleshooting disponíveis para esta configuração.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 97853