Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

PIX/ASA: Ejemplo de Configuración de Firewall Transparente

25 Agosto 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (26 Septiembre 2008) | Comentarios

Contenido

Introducción
Prerrequisitos
      Requisitos
      Componentes Utilizados
      Productos Relacionados
      Convenciones
Firewall Transparente
      Directrices
      Direcciones MAC Permitidas
      Funciones No Soportadas
Configuración
      Diagrama de Red
      Configuraciones
Movimiento de Datos a través del Firewall Transparente en Diferentes Situaciones
      Acceso de un Usuario Interno al Servidor Externo de Email
      Visita de un Usuario Interno a un Servidor Web con NAT
      Visita de un Usuario Interno a un Servidor Web Interno
      Visita de un Usuario Externo a un Servidor Web de la Red Interna
      Intento de un Usuario Externo de Acceder a un Host Interno
Verificación
Troubleshooting
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Por lo general, un firewall es un salto ruteado y funciona como una gateway predeterminada para los hosts que se conectan con una de sus subredes protegidas. Un firewall transparente, por el contrario, es un firewall de capa 2 que funciona como un "salto en el cable" o un "firewall sigiloso" y no es percibido como un salto de router a los dispositivos conectados. El dispositivo de seguridad se conecta con la misma red en sus puertos internos y externos. Debido a que el firewall no es un salto ruteado, se puede introducir fácilmente un firewall transparente en una red actual sin necesidad de redireccionar el IP.

Se facilita el mantenimiento porque no hay que resolver problemas de patrones de ruteo complicados y no hay configuración de NAT.

Aunque el modo transparente actúa como un bridge, el tráfico de capa 3, como por ejemplo el tráfico IP, no puede pasar a través del dispositivo de seguridad a menos que se lo permita explícitamente con una lista de acceso extendida. El único tráfico que permite el firewall transparente sin una lista de acceso es el tráfico ARP. El tráfico ARP se puede controlar con inspección de ARP.

En el modo ruteado, ciertos tipos de tráfico no pueden pasar a través del dispositivo de seguridad aún cuando están permitidos en una lista de acceso. Por otro lado, el firewall transparente puede dejar pasar cualquier tipo de tráfico con una lista de acceso extendida (para tráfico IP) o con una lista de acceso EtherType (para tráfico que no sea IP).

Por ejemplo, se pueden establecer adyacencias de protocolo de ruteo en un firewall transparente; se puede permitir el paso de tráfico VPN (IPSec), OSPF, RIP, EIGRP o BGP sobre la base de una lista de acceso extendida. De la misma manera, los protocolos tales como HSRP o VRRP pueden atravesar el dispositivo de seguridad.

Se puede configurar al tráfico que no es IP (por ejemplo AppleTalk, IPX, BPDUs y MPLS) para que ingrese con una lista de acceso EtherType.

Para las funciones que no son directamente soportadas en el firewall transparente, se puede permitir que pase el tráfico de modo que los routers ascendentes y descendentes permitan utilizar la funcionalidad. Por ejemplo, con una lista de acceso extendida, se puede permitir el tráfico DHCP (en lugar de la función de retransmisión DHCP que no es soportada) o el tráfico multidifusión tal como el creado por IP/TV.

Cuando el dispositivo de seguridad se ejecuta en modo transparente, la interfaz de salida de un paquete está determinada por una búsqueda de dirección MAC en lugar de una búsqueda de ruta. Aún se pueden configurar declaraciones de ruta, pero sólo se aplican al tráfico de seguridad originado en el dispositivo de seguridad. Por ejemplo, si su servidor syslog está ubicado en una red remota, se debe utilizar una ruta estática de manera tal que el dispositivo de seguridad pueda alcanzar esa subred.

Se puede configurar el dispositivo adaptable de seguridad para que se ejecute en el modo predeterminado de firewall ruteado o en el modo de firewall transparente. Al cambiar de modo, el dispositivo adaptable de seguridad borra la configuración porque muchos de los comandos no son soportados en ambos modos. Si ya tiene una configuración completa, asegúrese de realizar una copia de seguridad de ella antes de cambiar de modo. Se puede utilizar esta copia de seguridad de la configuración como referencia al crear una configuración nueva.

Para el modo de contexto múltiple, se puede utilizar un solo modo de firewall para todos los contextos. Debe configurar el modo en el espacio de ejecución del sistema. Para el modo de contexto múltiple, se borra la configuración del sistema, lo cual elimina cualquier contexto. Si nuevamente agrega un contexto cuya configuración actual fue creada para el modo incorrecto, la configuración del contexto no funciona correctamente.

Nota: Asegúrese de crear la configuración de su contexto para el modo correcto antes de agregarla nuevamente o de agregar nuevos contextos con trayectorias nuevas para configuraciones nuevas.

Nota: Si descarga una configuración de texto en el dispositivo de seguridad que cambia de modo con el comando firewall transparent, asegúrese de colocar el comando en la parte superior de la configuración. El dispositivo adaptable de seguridad cambia de modo en cuanto se ejecuta el comando y luego continúa leyendo la configuración descargada. Si el comando aparece más adelante en la configuración, el dispositivo adaptable de seguridad borra todas las líneas anteriores de la configuración.

Para configurar el modo de contexto múltiple en un firewall transparente, consulte Modo Múltiple, Firewall Transparente con Acceso Externo.

Prerrequisitos

Requisitos

No existen requisitos específicos para este documento.

Componentes Utilizados

La información de este documento se basa en las siguientes versiones de software y hardware:

  • ASA con versión 7.x o posteriores

La información de este documento se creó a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración vacía (predeterminada). Si su red está en funcionamiento, asegúrese de comprender el posible efecto de los comandos.

Productos Relacionados

Esta configuración también se puede utilizar con las siguientes versiones de hardware y software:

  • Dispositivo de Seguridad PIX con 7.x o posteriores

Convenciones

Consulte las Cisco Technical Tips Conventions para obtener más información sobre las convenciones del documento.

Firewall Transparente

Directrices

Siga las directrices siguientes al planificar una red de firewall transparente:

  • Se requiere una dirección IP de administración; para el modo de contexto múltiple, se requiere una dirección IP para cada contexto.

    A diferencia del modo ruteado, que requiere una dirección IP para cada interfaz, un firewall transparente tiene asignada una dirección IP para todo el dispositivo. El dispositivo de seguridad utiliza esta dirección IP como dirección de origen para los paquetes que se originan en el dispositivo de seguridad, tales como mensajes del sistema o comunicaciones AAA.

    La dirección IP de administración debe estar en la misma subred que la red conectada. No se puede configurar la subred para una subred host (255.255.255.255).

  • El dispositivo transparente de seguridad sólo utiliza una interfaz interna y una interfaz externa. Si su plataforma incluye una interfaz de administración dedicada, también puede configurar la interfaz o subinterfaz de administración solamente para el tráfico de administración.

    En el modo único, solamente se pueden utilizar dos interfaces de datos (y la interfaz dedicada de administración, si está disponible), aún si su dispositivo de seguridad incluye más de dos interfaces.

  • Cada red conectada directamente debe estar en la misma subred.

  • No especifique la dirección IP de administración del dispositivo de seguridad como gateway predeterminada para los dispositivos conectados. Los dispositivos necesitan especificar el router que se encuentra del otro lado del dispositivo de seguridad como gateway predeterminada.

  • Para el modo de contexto múltiple, cada contexto debe utilizar interfaces diferentes: no se puede compartir una interfaz entre contextos.

  • Por lo general, para el modo de contexto múltiple, cada contexto utiliza una subred diferente. Se pueden utilizar subredes que se superpongan, pero la topología de la red requiere que la configuración NAT y del router lo posibiliten desde el punto de vista del ruteo.

  • Se debe utilizar una lista de acceso extendida para permitir que el tráfico de capa 3, como por ejemplo el tráfico IP, atraviese el dispositivo de seguridad.

    Opcionalmente, se puede utilizar una lista de acceso EtherType para permitir el paso del tráfico que no sea IP.

Direcciones MAC Permitidas

Se permite el paso de las siguientes direcciones MAC de destino a través del firewall transparente. Se suprime cualquier otra dirección MAC que no se encuentre en esta lista.

  • Dirección MAC broadcast de destino REAL igual a FFFF.FFFF.FFFF

  • Direcciones MAC multicast de IPv4 desde 0100.5E00.0000 hasta 0100.5EFE.FFFF

  • Direcciones MAC multicast de IPv6 desde 3333.0000.0000 hasta 3333.FFFF.FFFF

  • Dirección de BPDU multicast igual a 0100.0CCC.CCCD

  • Direcciones MAC multicast de AppleTalk desde 0900.0700.0000 hasta 0900.07FF.FFFF

Funciones No Soportadas

Las siguientes funciones no son soportadas en el modo transparente:

  • NAT/PAT

    NAT se realiza en el router de flujo ascendente.

  • Protocolos de ruteo dinámico (tales como RIP, EIGRP, OSPF)

    Se pueden agregar rutas estáticas para el tráfico que se origina en el dispositivo de seguridad. Además, se puede permitir que los protocolos de ruteo dinámico atraviesen el dispositivo de seguridad con una lista de acceso extendida.

  • IPv6

  • Retransmisión DHCP

    El firewall transparente puede funcionar como servidor DHCP, pero no permite utilizar los comandos DHCP de retransmisión. No se requiere retransmisión DHCP porque se puede permitir el paso del tráfico con una lista de acceso extendida.

  • Calidad de Servicio (QoS)

  • Multicast

    Se puede permitir el paso de tráfico multicast a través del dispositivo de seguridad si se lo permite en una lista de acceso extendida.

  • Terminación VPN para tráfico de paso

    El firewall transparente permite utilizar túneles VPN de sitio a sitio solamente para conexiones de administración. No brinda terminación de conexiones VPN para el tráfico que atraviesa el dispositivo de seguridad. También se puede hacer que el tráfico VPN atraviese el dispositivo de seguridad con una lista de acceso extendida, pero no se brinda terminación para las conexiones que no sean de administración.

Nota: El dispositivo de seguridad de modo transparente no transmite paquetes CDP o cualquier paquete que no posea un EtherType válido y superior o igual a 0x600. Por ejemplo, no se pueden pasar paquetes IS-IS. Se hace una excepción para los BPDU ya que están soportados.

Configuración

En esta sección, encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de Red

El diagrama de red muestra una red de firewall transparente típica en la que los dispositivos externos no están en la misma subred que los dispositivos internos. El router y los hosts internos se encuentran conectados directamente al router externo.

Transparent-firewall-1.gif

Configuraciones

ASA 8.x

ciscoasa#show running-config 
: Saved
:
ASA Version 8.0(2)
!

!--- Para establecer el modo del firewall en modo transparente

firewall transparent
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
!
interface Ethernet0/1
 nameif inside
 security-level 100
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
pager lines 24
mtu outside 1500
mtu inside 1500


!--- IP Address para la administración. 
!---  Evite utilizar esta IP Address como gateway predeterminada.
!---  El dispositivo de seguridad utiliza esta dirección como dirección de origen
!---  para el tráfico que se origina en el dispositivo de seguridad, como mensajes 
!---  del sistema o comunicaciones con los servidores AAA. Además, se puede utilizar esta 
!---  dirección para el acceso remoto de administración. 


ip address 192.168.1.1 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1



!--- Salida omitida



service-policy global_policy global
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
ciscoasa(config)#

Movimiento de Datos a través del Firewall Transparente en Diferentes Situaciones

Acceso de un Usuario Interno al Servidor Externo de Email

El usuario de la red interna accede al servidor de email que está ubicado en Internet (en el exterior). El dispositivo de seguridad recibe el paquete y agrega la dirección MAC de origen a la tabla de direcciones MAC si es necesario. Debido a que es una sesión nueva, verifica que el paquete esté permitido según los términos de la política de seguridad (listas de acceso, filtros o AAA).

Nota: Para el modo de contexto múltiple, el dispositivo de seguridad primero clasifica el paquete según una interfaz única.

El dispositivo de seguridad registra que se establece una sesión. Si la dirección MAC de destino aparece en su tabla, el dispositivo de seguridad reenvía el paquete fuera de la interfaz externa. La dirección MAC de destino es la del router ascendente, 192.168.1.2. Si la dirección MAC de destino no aparece en la tabla del dispositivo de seguridad, éste intenta descubrir la dirección MAC al enviar una solicitud ARP y un ping. El primer paquete se pierde.

El servidor de email responde a la petición. Debido a que la sesión ya está establecida, el paquete omite todas las búsquedas asociadas con una conexión nueva. El dispositivo de seguridad reenvía el paquete al usuario interno.

Visita de un Usuario Interno a un Servidor Web con NAT

Si se activa NAT en el router de Internet, el flujo de paquetes a través del router de Internet se modifica levemente.

El usuario de la red interna accede al servidor de email que está ubicado en Internet (en el exterior). El dispositivo de seguridad recibe el paquete y agrega la dirección MAC de origen a la tabla de direcciones MAC si es necesario. Debido a que es una sesión nueva, verifica que el paquete esté permitido según los términos de la política de seguridad (listas de acceso, filtros o AAA).

Nota: Para el modo de contexto múltiple, el dispositivo de seguridad primero clasifica el paquete según una interfaz única.

El router de Internet traduce la dirección real del Host A (192.168.1.5) a la dirección mapeada del router de Internet (172.16.1.1). Debido a que la dirección mapeada no se encuentra en la misma red que la interfaz externa, asegúrese de que el router de flujo ascendente posea una una ruta estática a la red mapeada que apunta al dispositivo de seguridad.

El dispositivo de seguridad registra que se estableció una sesión y reenvía el paquete desde la interfaz externa. Si la dirección MAC de destino aparece en su tabla, el dispositivo de seguridad reenvía el paquete fuera de la interfaz externa. La dirección MAC de destino es la del router ascendente, 172.16.1.1. Si la dirección MAC de destino no aparece en la tabla del dispositivo de seguridad, éste intenta descubrir la dirección MAC al enviar una solicitud ARP y un ping. El primer paquete se pierde.

El servidor de email responde a la petición. Debido a que la sesión ya está establecida, el paquete omite todas las búsquedas asociadas con una conexión nueva. El dispositivo de seguridad realiza NAT cuando traduce la dirección mapeada a la dirección real, 192.168.1.5.

Visita de un Usuario Interno a un Servidor Web Interno

Si un Host A intenta acceder al servidor Web interno (10.1.1.1), el Host A (192.168.1.5) envía el paquete de petición al router de Internet (debido a que es una gateway predeterminada) a través del ASA desde el interior al exterior. Luego, se vuelve a direccionar el paquete al servidor Web (10.1.1.1) a través del ASA (desde el exterior al interior) y del router interno.

Transparent-firewall-1.gif

Nota: El paquete de petición regresa al servidor Web solamente si el ASA posee una lista de acceso para permitir el tráfico desde el exterior al interior.

Para resolver esto, cambie la gateway predeterminada para que Host A (10.1.1.1) sea el router interno (192.168.1.3) en lugar de ser el router de Internet (192.168.1.2). Esto evita que se envíe tráfico innecesario a la gateway externa y vuelve a direccionar los eventos en el router externo (router de Internet). Además funciona de manera inversa, es decir, cuando el servidor Web o cualquier host (10.1.1.0/24) que está presente en el router interno intenta acceder al Host A (192.168.1.5).

Visita de un Usuario Externo a un Servidor Web de la Red Interna

Los siguientes pasos describen cómo los datos atraviesan el dispositivo de seguridad:

Un usuario que está en la red externa solicita una página Web desde el servidor Web interno. El dispositivo de seguridad recibe el paquete y agrega la dirección MAC de origen a la tabla de direcciones MAC si es necesario. Debido a que es una sesión nueva, verifica que el paquete esté permitido según los términos de la política de seguridad (listas de acceso, filtros o AAA).

Nota: Para el modo de contexto múltiple, el dispositivo de seguridad primero clasifica el paquete según una interfaz única.

El dispositivo de seguridad registra que se estableció una sesión sólo si el usuario externo posee el acceso válido al servidor Web interno. Se debe configurar la lista de acceso para que permita al usuario externo acceder al servidor Web.

Si la dirección MAC de destino aparece en su tabla, el dispositivo de seguridad reenvía el paquete fuera de la interfaz interna. La dirección MAC de destino es la del router descendente, 192.168.1.3.

Si la dirección MAC de destino no aparece en la tabla del dispositivo de seguridad, éste intenta descubrir la dirección MAC al enviar una solicitud ARP y un ping. El primer paquete se pierde.

El servidor Web responde a la solicitud. Debido a que la sesión ya está establecida, el paquete desvía todas las búsquedas asociadas con una conexión nueva. El dispositivo de seguridad reenvía el paquete al usuario externo.

Intento de un Usuario Externo de Acceder a un Host Interno

Un usuario de la red externa intenta alcanzar un host interno. El dispositivo de seguridad recibe el paquete y agrega la dirección MAC de origen a la tabla de direcciones MAC si es necesario. Debido a que es una sesión nueva, verifica si el paquete está permitido según los términos de la política de seguridad (listas de acceso, filtros o AAA).

Nota: Para el modo de contexto múltiple, el dispositivo de seguridad primero clasifica el paquete según una interfaz única.

El paquete es denegado y el dispositivo de seguridad descarta el paquete porque el usuario externo no posee acceso al host interno. Si el usuario externo intenta atacar la red interna, el dispositivo de seguridad emplea diversas tecnologías para determinar si un paquete es válido para una sesión ya establecida.

Verificación

Utilice esta sección para confirmar que la configuración funciona correctamente.

La herramienta Output Interpreter (sólo para clientes registrados) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis de los resultados de los comandos show.

ciscoasa(config)# sh firewall
Firewall mode: Transparent

Troubleshooting

Actualmente, no hay información específica disponible sobre troubleshooting para esta configuración.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 97853