Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

PIX/ASA 7.x y Posteriores: Ejemplo de Configuración de Bloqueo de tráfico Peer-to-peer (P2P) y de Mensajería Instantánea (Instant Messaging (IM)) con MPF

26 Agosto 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (13 Septiembre 2013) | Inglés (10 Octubre 2008) | Comentarios

Contenido

Introducción
Prerrequisitos
      Requisitos
      Componentes Utilizados
      Productos Relacionados
      Convenciones
Descripción general de Modular Policy Framework (Marco de Políticas Modulares)
Configuración del Bloqueo de Tráfico P2P e IM
      Diagrama de Red
      Configuración de PIX/ASA 7.0 y 7.1
      Configuración de PIX/ASA 7.2 y Posteriores
      PIX/ASA 7.2 y Posteriores: Autorización para Utilizar el Tráfico IM para Dos Hosts
Verificación
Troubleshooting
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En este documento, se describe cómo configurar Cisco Security Appliances PIX/ASA utilizando el Modular Policy Framework (MPF) para bloquear el tráfico de mensajería instantánea (IM), como MSN Messenger y Yahoo Messenger, de la red inside a Internet. Además, en este documento se proporciona información sobre cómo configurar PIX/ASA para permitir que los dos hosts utilicen las aplicaciones de IM mientras los hosts restantes permanecen bloqueados.

Prerrequisitos

Requisitos

En este documento, se asume que Cisco Security Appliance está configurado y funciona correctamente.

Componentes Utilizados

La información de este documento se basa en Cisco 5500 Series Adaptive Security Appliance (ASA) que ejecuta la versión de software 7.0 o posteriores.

La información de este documento se creó a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración vacía (predeterminada). Si su red está en funcionamiento, asegúrese de comprender el posible efecto de los comandos.

Productos Relacionados

Esta configuración también se puede utilizar con Cisco 500 Series PIX Firewall que ejecuta la versión de software 7.0 o posteriores.

Convenciones

Consulte Cisco Technical Tips Conventions para obtener más información sobre las convenciones del documento.

Descripción general de Modular Policy Framework (Marco de Políticas Modulares)

El MPF proporciona una forma consistente y flexible de configurar las funciones de los dispositivos de seguridad. Por ejemplo, puede utilizar MPF para crear una configuración de timeout que sea específica para una aplicación TCP determinada, en lugar de una que se aplique a todas las aplicaciones TCP.

MPF soporta estas funciones:

  • Normalización TCP, timeouts y límites de conexión TCP y UDP, y TCP sequence number randomization

  • CSC

  • Inspección de Aplicaciones

  • IPS

  • QoS Policing de Entrada

  • QoS Policing de Salida

  • Cola de Prioridad QoS

La configuración del MPF incluye cuatro tareas:

  1. Identifique el tráfico de capa 3 y 4 al que desea aplicar las acciones. Consulte Identificación de Tráfico con Class-Map de Capa 3 ó 4 para obtener más información.

  2. (Sólo para la inspección de aplicaciones) Defina las acciones especiales para el tráfico de inspección de aplicaciones. Consulte Configuración de Acciones Especiales para Inspecciones de Aplicaciones para obtener más información.

  3. Aplique las acciones al tráfico de capa 3 y 4. Consulte Definición de Acciones con Policy-Map de Capa 3 ó 4 para obtener más información.

  4. Active las acciones en una interfaz. Consulte Aplicación de una Política de Capa 3 ó 4 a una Interfaz Mediante una Política de Servicio para obtener más información.

Configuración del Bloqueo de Tráfico P2P e IM

En esta sección, encontrará la información para configurar las características descritas en este documento.

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de Red

En este documento, se utiliza la siguiente configuración de red:

pixasa-imblock-config1.gif

Configuración de PIX/ASA 7.0 y 7.1

Configuración del Bloqueo de Tráfico IM y P2P para PIX/ASA 7.0 y 7.1

CiscoASA#show run
: Saved
:
ASA Version 7.1(1)
!
hostname CiscoASA
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!


!--- Salida omitida



http-map inbound_http
 content-length min 100 max 2000 action reset log
 content-type-verification match-req-rsp action reset log
 max-header-length request 100 action reset log
 max-uri-length 100 action reset log
 port-misuse p2p action drop
 port-misuse im action drop
 port-misuse default action allow


!--- El mapa http "inbound_http" inspecciona el tráfico http 
!--- según diversos parámetros tales como extensión del contenido, extensión del encabezado,
!--- extensión de la dirección url, y coincide con el tráfico IM y los descarta.


!


!--- Salida omitida


!
class-map inspection_default
 match default-inspection-traffic
class-map http-port
 match port tcp eq www


!--- El class-map "http-port" coincide con
!--- el tráfico http que utiliza el puerto 80.


!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
policy-map inbound_policy
 class http-port
  inspect http inbound_http


!--- El policy-map "inbound_policy" coincide con
!--- el tráfico http que utiliza el class-map "http-port"
!--- y descarta el tráfico IM según la inspección del mapa http 
!--- "inbound_http".


!
service-policy global_policy global
service-policy inbound_policy interface outside


!--- Aplicación del policy-map "inbound_policy"
!--- a la interfaz externa.


Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
CiscoASA#

Consulte la sección Configuración de un Mapa HTTP para Control de Inspección Adicional de la Guía de Configuración de Líneas de Comandos de Cisco Security Appliance para obtener más información sobre el comando http map y los diversos parámetros asociados con él.

Configuración de PIX/ASA 7.2 y Posteriores

Nota: El comando http-map se ha descontinuado para la versión de software 7.2 y posteriores. Por lo tanto, debe utilizar el comando policy-map type inspect im para bloquear el tráfico IM.

Configuración del Bloqueo de Tráfico IM y P2P para PIX/ASA 7.2 y Posteriores

CiscoASA#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names



!--- Salida omitida


class-map inspection_default
 match default-inspection-traffic
class-map imblock
 match any


!--- El class-map "imblock" coincide con
!--- todos los tipos de tráfico.



!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map type inspect im impolicy
 parameters
 match protocol msn-im yahoo-im
  drop-connection


!--- El policy-map "impolicy" descarta el tráfico IM
!--- como msn-im y yahoo-im.



policy-map imdrop
 class imblock
  inspect im impolicy


!--- El policy-map "imdrop" descarta el 
!--- tráfico IM que posee coincidencias con el class-map "imblock".


policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
service-policy imdrop interface outside


!--- Aplicación del policy-map "imdrop"
!--- a la interfaz externa.


prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
CiscoASA#

PIX/ASA 7.2 y Posteriores: Autorización para Utilizar el Tráfico IM para Dos Hosts

Esta sección utiliza esta configuración de red:

pixasa-imblock-config2.gif

Nota: Los esquemas de direccionamiento IP utilizados en esta configuración no son legalmente ruteables en Internet. Son direcciones RFC 1918 que se han utilizado en un entorno de laboratorio.

Si desea permitir el tráfico IM desde el número específico de los hosts, debe completar esta configuración como se muestra a continuación. En este ejemplo, se permite utilizar las aplicaciones IM, como MSN Messenger y Yahoo Messenger, a los dos hosts 10.1.1.5 y 10.1.1.10 de la red inside. Sin embargo, el tráfico IM de otros hosts no está permitido.

Configuración del Tráfico IM para PIX/ASA 7.2 y Posteriores para Permitir Dos Hosts

CiscoASA#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet1
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0
!


!--- Salida omitida



passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

access-list 101 extended deny ip host 10.1.1.5 any
access-list 101 extended deny ip host 10.1.1.10 any
access-list 101 extended permit ip any any


!--- La sentencia ACL 101 se utiliza para denegar el tráfico IP 
!--- de los hosts 10.1.1.5 y 10.1.1.10 
!--- mientras que permite el resto de los hosts.


pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map type inspect im match-all im-traffic
 match protocol msn-im yahoo-im


!--- El class-map "im-traffic" coincide con todo el tráfico IM
!--- como msn-im y yahoo-im.



class-map im_inspection
 match access-list 101


!--- El class-map "im_inspection" coincide con la lista de acceso 
!--- número 101.


class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
policy-map type inspect im im-policy
 parameters
 class im-traffic
  drop-connection log


!--- El policy-map "im-policy" descarta y registra 
!--- el tráfico IM como msn-im y yahoo-im.



policy-map impol
 class im_inspection
  inspect im im-policy


!--- El policy-map "impol" inspecciona el tráfico IM
!--- según el tráfico que coincide con el class-map "im_inspection".
!--- Por lo tanto, permite el tráfico IM del host 10.1.1.5 
!--- y 10.1.1.10 mientras que bloquea al resto.


!
service-policy global_policy global
service-policy impol interface outside


!--- Aplicación del policy-map "impol" a la interfaz
!--- externa.


prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Verificación

Utilice esta sección para confirmar que la configuración funciona correctamente.

La herramienta Output Interpreter (sólo para clientes registrados) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis de los resultados de los comandos show.

  • show running-config http-map: Muestra los mapas HTTP que se han configurado.

    CiscoASA#show running-config http-map http-policy
    !
    http-map http-policy
    content-length min 100 max 2000 action reset log
    content-type-verification match-req-rsp reset log
    max-header-length request bytes 100 action log reset
    max-uri-length 100 action reset log
    !
    
  • show running-config policy-map: Muestra todas las configuraciones de mapas de políticas y la configuración del policy-map predeterminado.

    CiscoASA#show running-config policy-map
    !
    policy-map type inspect dns preset_dns_map
     parameters
      message-length maximum 512
    policy-map type inspect im impolicy
     parameters
     match protocol msn-im yahoo-im
      drop-connection
    policy-map imdrop
     class imblock
      inspect im impolicy
    policy-map global_policy
     class inspection_default
      inspect dns preset_dns_map
      inspect ftp
      inspect h323 h225
      inspect h323 ras
      inspect netbios
      inspect rsh
      inspect rtsp
      inspect skinny
      inspect esmtp
      inspect sqlnet
      inspect sunrpc
      inspect tftp
      inspect sip
      inspect xdmcp
    

    También puede utilizar las opciones de este comando como se muestra a continuación:

    show running-config [all] policy-map [policy_map_name | 
    type inspect [protocol]]
    
    CiscoASA#show running-config policy-map type inspect im
    !
    policy-map type inspect im impolicy
     parameters
     match protocol msn-im yahoo-im
      drop-connection
    !
    
  • show running-config class-map: Muestra la información sobre la configuración del class-map.

    CiscoASA#show running-config class-map
    !
    class-map inspection_default
     match default-inspection-traffic
    class-map imblock
     match any
    
  • show running-config service-policy: Muestra todas las configuraciones de service-policy que se ejecutan actualmente.

    CiscoASA#show running-config service-policy
    service-policy global_policy global
    service-policy imdrop interface outside
    
  • show running-config access-list: Muestra la configuración de la lista de acceso que se ejecuta en el dispositivo de seguridad.

    CiscoASA#show running-config access-list
    access-list 101 extended deny ip host 10.1.1.5 any
    access-list 101 extended deny ip host 10.1.1.10 any
    access-list 101 extended permit ip any any
    

Troubleshooting

En esta sección, encontrará información que puede utilizar para resolver problemas de configuración.

Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.

  • debug im: Muestra los mensajes de depuración para el tráfico IM.

  • show service-policy: Muestra las service-policy configuradas.

    CiscoASA#show service-policy interface outside
    
    Interface outside:
      Service-policy: imdrop
        Class-map: imblock
          Inspect: im impolicy, packet 0, drop 0, reset-drop 0
    
  • show access-list: Muestra los contadores de una lista de acceso.

    CiscoASA#show access-list
    access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
                alert-interval 300
    access-list 101; 3 elements
    access-list 101 line 1 extended deny ip host 10.1.1.5 any (hitcnt=0) 0x7ef4dfbc
    access-list 101 line 2 extended deny ip host 10.1.1.10 any (hitcnt=0) 0x32a50197
    access-list 101 line 3 extended permit ip any any (hitcnt=0) 0x28676dfa
    

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 98684