Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

PIX/ASA : Établir et dépanner les problèmes de connexion dans le dispositif de sécurité Cisco

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Quand un Pare-feu PIX est configuré au commencement, il a une stratégie de sécurité par défaut où chacun sur l'intérieur peut sortir, et personne de l'extérieur ne peut entrer. Si votre site exige une stratégie de sécurité différente, vous pouvez permettre à des utilisateurs externes pour se connecter à votre web server par le PIX.

Une fois que vous établissez la Connectivité de base par le Pare-feu PIX, vous pouvez apporter des modifications de configuration au Pare-feu. Assurez-vous que toutes les modifications de configuration que vous apportez au Pare-feu PIX soyez conformément à votre stratégie de sécurité de site.

Référez-vous à ASA 8.3 : Établissez et dépannez la Connectivité par l'appliance de sécurité Cisco pour plus d'informations sur la configuration identique sur l'appliance de sécurité adaptable Cisco (ASA) avec la version 8.3 et ultérieures.

Référez-vous au moniteur et dépannez les problèmes de performance PIX 500 afin de se renseigner plus sur les diverses commandes show qui sont utiles pour le dépannage.

Référez-vous dépannent des connexions par le PIX et l'ASA afin de se renseigner plus sur le dépannage de Connectivité de dispositifs de sécurité.

Conditions préalables

Conditions requises

Ce document suppose que quelques configurations de base ont été déjà terminées sur le PIX. Référez-vous à ces documents pour des exemples d'une configuration de l'initiale PIX :

Composants utilisés

Les informations dans ce document sont basées sur des versions 5.0.x et ultérieures de logiciel pare-feu PIX.

Remarque: Les versions antérieures du logiciel PIX utilisent la commande de conduit au lieu de la commande access-list. L'un ou l'autre de travaux de commande dans des versions 5.0.x et ultérieures de logiciel pare-feu PIX.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Comment la Connectivité par le PIX fonctionne

Dans ce réseau, hébergez A est le web server avec une adresse interne de 10.2.1.5. Le web server est assigné une adresse (traduite) externe de 192.168.202.5. Les internautes doivent indiquer 192.168.202.5 afin d'accéder au web server. L'entrée DNS pour votre web server doit être cette adresse. On ne permet aucune autre connexion de l'Internet.

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/15245-23-01.gif

Remarque: Les schémas d'adressage d'IP utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisés dans un environnement de laboratoire.leavingcisco.com

Configurez la Connectivité par le PIX

Terminez-vous ces étapes afin de configurer la Connectivité par le PIX.

  1. Installez un pool global pour les hôtes internes pour l'utiliser quand ils accèdent à l'Internet.

    global (outside) 1 192.168.202.10-192.168.202.50 netmask 255.255.255.0
    
  2. Adresses internes directes à choisir parmi le 1 groupe global.

    nat (inside) 1 0.0.0.0 0.0.0.0
    
  3. Assignez une adresse traduite par charge statique pour l'hôte interne auquel les internautes ont accès.

    static (inside,outside) 192.168.202.5 10.2.1.5 0 0
    
  4. Utilisez la commande access-list de permettre des utilisateurs externes par le Pare-feu PIX. Utilisez toujours l'adresse traduite dans la commande access-list.

    access-list 101 permit tcp any host 192.168.202.5 eq www
      access-group 101 in interface outside
    

Pour plus d'informations sur la syntaxe de commande, voyez le conduit et la section de syntaxe de commande access-list de ce document.

Permettez le trafic de diffusion ARP

Les dispositifs de sécurité connectent le même réseau sur ses interfaces internes et externes. Puisque le Pare-feu n'est pas un saut conduit, vous pouvez facilement introduire un Pare-feu transparent dans un réseau existant. L'IP réadressant n'est pas nécessaire. On permet le trafic d'ipv4 par le Pare-feu transparent automatiquement d'une interface à sécurité plus élevée à une interface à niveau de sécurité inférieur, sans liste d'accès. On permet des protocoles ARP (ARPs) par le Pare-feu transparent dans les deux directions sans liste d'accès. Le trafic ARP peut être contrôlé par l'inspection ARP. Pour le trafic de la couche 3 qui voyage d'un bas à une interface de sécurité élevée, une liste d'accès étendue est exigée.

Remarque: Les dispositifs de sécurité de mode transparent ne passent des paquets de Protocole CDP (Cisco Discovery Protocol) ou des paquets d'IPv6, ou aucun paquet qui n'ont pas un EtherType supérieur ou égal à un 0x600 valides. Par exemple, vous ne pouvez pas passer des paquets IS-IS. Une exception est faite pour les Bridges Protocol Data Unit (BPDU), qui sont pris en charge.

Adresses MAC autorisées

Ces adresses MAC de destination ont la permission de passer à travers le pare-feu transparent. N'importe quelle adresse MAC pas sur cette liste est abandonnée :

  • L'adresse MAC de destination de VÉRITABLE diffusion équivaut à FFFF.FFFF.FFFF

  • Addresses MAC multicast Ipv4 de 0100.5E00.0000 à 0100.5EFE.FFFF

  • Addresses MAC multicast Ipv6 de 3333.0000.0000 à 3333.FFFF.FFFF

  • L'adresse multicast BPDU est égale à 0100.0CCC.CCCD

  • Adresses de MAC multicast d'AppleTalk de 0900.0700.0000 à 0900.07FF.FFFF

Le trafic non permis pour passer dans le mode routeur

Dans le mode routeur, quelques types de trafic ne peuvent pas traverser les dispositifs de sécurité même si vous les permettez dans une liste d'accès. Le Pare-feu transparent, cependant, peut permettre presque n'importe quel trafic en utilisant une liste d'accès étendue (pour le trafic IP) ou une liste d'accès d'EtherType (pour le trafic non-IP).

Par exemple, vous pouvez établir des contiguïtés de protocole de routage par un Pare-feu transparent. Vous pouvez permettre le trafic de Protocole OSPF (Open Shortest Path First), de Protocole RIP (Routing Information Protocol), de Protocole EIGPR (Enhanced Interior Gateway Routing Protocol), ou de Protocole BGP (Border Gateway Protocol) basé sur une liste d'accès étendue. De même, les protocoles comme le Protocole HSRP (Hot Standby Router Protocol) ou le Protocole VRRP (Virtual Router Redundancy Protocol) peuvent traverser les dispositifs de sécurité.

Non-IP le trafic (par exemple AppleTalk, IPX, BPDU, et MPLS) peut être configuré pour passer en utilisant une liste d'accès d'EtherType.

Pour les caractéristiques qui ne sont pas directement prises en charge sur le pare-feu transparent, vous pouvez laisser le trafic passer de façon à ce que les routeurs en amont et en aval puissent prendre en charge la fonctionnalité. Par exemple, à l'aide d'une liste d'accès étendue, vous pouvez permettre le trafic DHCP (au lieu de la caractéristique non vérifiée de relais de protocole DHCP [DHCP]) ou le trafic de multidiffusion comme cela créé par IP/TV.

Dépannez les problèmes de Connectivité

Si les internautes ne peuvent pas accéder à votre site Web, terminez-vous ces étapes :

  1. Veillez-vous pour avoir introduit des adresses de configuration correctement :

    • Adresse externe valide

    • Adresse interne correcte

    • Les DN externes a traduit l'adresse

  2. Vérifiez l'interface extérieure pour des erreurs. L'appliance de sécurité Cisco est préconfigurée automatique-pour détecter les configurations de la vitesse et le duplex sur une interface. Cependant, plusieurs situations existent qui peuvent faire échouer le processus de négociation automatique. Ceci a comme conséquence la vitesse ou les conflits du mode bidirectionnel (et les problèmes de performance). Pour une infrastructure réseau à fonction critique, Cisco va manuellement coder en dur la vitesse et le duplex sur chaque interface afin d'éviter tout risque d'erreur. Ces périphériques sont en général assez fixes, donc si vous les configurez correctement, vous ne devriez pas avoir à les changer.

    Exemple :

    asa(config)#interface ethernet 0/0
    asa(config-if)#duplex full
    asa(config-if)#speed 100
    asa(config-if)#exit
    

    Dans certaines situations, coder en dur les configurations de la vitesse et le duplex mène à la génération des erreurs. Ainsi, vous devez configurer l'interface à la valeur par défaut de autodetect le comme indiqué dans cet exemple de mode :

    Exemple :

    asa(config)#interface ethernet 0/0
    asa(config-if)#duplex auto
    asa(config-if)#speed auto
    asa(config-if)#exit
    

    Référez-vous à la section de configurations de la vitesse et le duplex du moniteur et dépannez le pour en savoir plus de problèmes de performance PIX 500.

  3. Si le trafic n'envoie pas ou reçoit par l'interface du PIX ou du routeur de headend, essai pour effacer les statistiques d'ARP.

    asa#clear arp
    
  4. Employez la commande statique d'exposition afin de s'assurer que la traduction statique est activée.

  5. Utilisez le mot clé d'interface au lieu de l'IP address d'interface dans les déclarations NAT statiques si la cartographie de charge statique ne fonctionne pas après la mise à jour à la version 7.2(1).

    Exemple :

    static (inside,outside) tcp 192.168.202.2 80 10.2.1.5 1025 netmask 255.255.255.255 
    

    Dans ce scénario, l'adresse IP extérieure est utilisée comme adresse IP tracée pour le web server. Ainsi, cette cartographie de charge statique ne pourrait pas fonctionner pour la version 7.2(1) PIX/ASA. Afin de résoudre ce problème, vous pouvez utiliser cette syntaxe.

    static (inside,outside) tcp interface 80 10.2.1.5 1025 netmask 255.255.255.255 
    
  6. Vérifiez pour voir que le default route sur le web server indique l'interface interne du PIX.

  7. Vérifiez la table de traduction utilisant la commande de show xlate afin de voir si la traduction était créée.

  8. Employez la commande de débogage de tampon de journalisation afin de vérifier les fichiers journal pour voir si refuse se produisent. (En recherchez l'adresse traduite et voyez si vous voyez refuse.)

  9. Utilisez la commande de saisie si vous utilisez la version 6.2.2 ou ultérieures avec cette commande :

    access-list webtraffic permit tcp any host 192.168.202.5
    
    capture capture1 access-list webtraffic interface outside
    

    Si vous utilisez une version plus tôt que 6.2.2 et si le réseau n'est pas occupé, vous pouvez capturer le trafic avec la commande de debug packet. Cette commande capture le ce de paquets provenu n'importe quel hôte externe vers le web server.

    debug packet outside dst 192.168.202.5 proto tcp dport 80 bot
    

    Remarque: Cette commande génère une importante quantité de sortie. Il peut faire arrêter ou recharger un routeur sous des charges de trafic intense.

  10. Si les paquets le font au PIX, assurez-vous que votre artère au web server du PIX est correcte. (Vérifiez les commandes d'artère dans votre configuration PIX.)

  11. Vérifiez pour voir si le proxy ARP est désactivé. Émettez le sysopt de commande show running-config dans PIX/ASA 7.x ou affichez le sysopt dans PIX 6.x.

    Ici le proxy ARP est désactivé par l'extérieur de noproxyarp de sysopt de commande :

    ciscoasa#show running-config sysopt
    no sysopt connection timewait
    sysopt connection tcpmss 1380
    sysopt connection tcpmss minimum 0
    no sysopt nodnsalias inbound
    no sysopt nodnsalias outbound
    no sysopt radius ignore-secret
    sysopt noproxyarp outside
    sysopt connection permit-vpn

    Afin de réactiver le proxy ARP, sélectionnez cette commande en mode de configuration globale :

    ciscoasa(config)#no sysopt noproxyarp outside
    

    Quand un hôte envoie le trafic IP à un autre périphérique sur le même réseau Ethernet, les besoins d'hôte de connaître l'adresse MAC du périphérique. L'ARP est un protocole de la couche 2 qui résout une adresse IP à une adresse MAC. Un hôte envoie une demande d'ARP et demande « qui est cette adresse IP ? ». Le périphérique qui possède l'adresse IP répond, « je possèdent cette adresse IP ; voici mon adresse MAC. »

    Le proxy ARP permet aux dispositifs de sécurité pour répondre à une demande d'ARP au nom des hôtes derrière lui. Il fait ceci en répondant aux demandes d'ARP des adresses tracées par charge statique de ces hôtes. Les dispositifs de sécurité répondent à la demande avec sa propre adresse MAC et puis en avant les paquets IP en fonction à l'hôte interne approprié.

    Par exemple, dans le diagramme dans ce document, quand une demande d'ARP est faite pour l'adresse IP globale du web server, 192.168.202.5, les dispositifs de sécurité répond avec sa propre adresse MAC. Si le proxy ARP n'est pas activé dans cette situation, les hôtes sur le réseau extérieur des dispositifs de sécurité ne peuvent pas atteindre le web server en émettant une demande d'ARP de l'adresse 192.168.202.5. Référez-vous à la référence de commandes pour plus d'informations sur la commande de sysopt.

  12. Si tout semble être correct, et les utilisateurs ne peuvent pas encore accéder au web server, ouvrez une valise avec le support technique de Cisco.

Error Message - %PIX|ASA-4-407001:

Peu d'hôtes ne peuvent pas se connecter à l'Internet et au message d'erreur - %PIX|ASA-4-407001 : Deny traffic for local-host interface_name: des inside_address, limite de permis de message d'erreur dépassé par nombre est vus dans le Syslog. Comment cette erreur peut-elle être résolue ?

Ce message d'erreur est vu quand le nombre d'utilisateurs dépasse la limite d'utilisateur du permis utilisé. Améliorez le permis à un nombre supérieur d'utilisateurs, qui peuvent être 50, 100 ou permis illimité d'utilisateur au besoin, afin de résoudre cette erreur.

Syntaxe de commande access-list

Version du logiciel PIX 5.0.x et plus tard

La commande access-list a été introduite dans la version du logiciel PIX 5.0. Cet exemple affiche la syntaxe pour la commande access-list :

acl_name de liste d'accès [refusez | destination_netmask de destination de source_netmask de source de protocole d'autorisation]

Exemple : le TCP d'autorisation de la liste d'accès 101 en hébergent l'eq WWW de 192.168.202.5

Afin d'appliquer la liste d'accès, vous devez inclure cette syntaxe dans votre configuration :

acl_name d'access-group dans l'interface_name d'interface

L'ordre d'access-group lie une liste d'accès à une interface. La liste d'accès est appliquée pour trafiquer d'arrivée à une interface. Si vous entrez l'option d'autorisation dans une déclaration de commande access-list, le Pare-feu PIX continue à traiter le paquet. Si vous entrez l'option de refuser dans une déclaration de commande access-list, le Pare-feu PIX jette le paquet.

Remarque: Chaque entrée de contrôle d'accès (ACE) que vous entrez dans pour un nom donné de liste d'accès est ajouté à la fin de la liste d'accès à moins que vous spécifiiez le numéro de ligne à ACE.

Remarque: La commande des as est importante. Quand les dispositifs de sécurité décident si expédier ou relâcher un paquet, les dispositifs de sécurité testent le paquet contre chaque ACE dans la commande dans laquelle les entrées sont répertoriées. Après qu'une correspondance soit trouvée, plus d'as ne sont vérifiés. Par exemple, si vous créez ACE au début d'une liste d'accès qui permet explicitement tout le trafic, aucune autre déclaration n'est vérifiée.

Remarque: Les Listes d'accès font refuser un implicite à la fin de la liste. Ainsi à moins que vous le permettiez explicitement, le trafic ne peut pas passer. Par exemple, si vous voulez permettre à tous les utilisateurs pour accéder à un réseau par les dispositifs de sécurité excepté des adresses particulières, puis vous le besoin de refuser les adresses de détail et puis de laisser tous les autres.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 15245