Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

PIX/ASA: Establezca y resuelva problemas la Conectividad a través del dispositivo del Cisco Security

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Cuando un firewall PIX se configura inicialmente, tiene una política de seguridad predeterminada donde todo el mundo en el interior puede salir, y nadie del exterior puede entrar. Si su sitio requiere una diversa política de seguridad, usted puede permitir que los usuarios externos conecten con su servidor Web con el PIX.

Una vez que usted establece la conectividad básica con el firewall PIX, usted puede realizar los cambios de configuración al Firewall. Aseegurese cualquier cambio de configuración que usted realice al firewall PIX está de acuerdo con su política de seguridad del sitio.

Refiera a ASA 8.3: Establezca y resuelva problemas la Conectividad a través del dispositivo del Cisco Security para más información sobre la configuración idéntica en el dispositivo de seguridad adaptante de Cisco (ASA) con la versión 8.3 y posterior.

Refiera al monitor y resuelva problemas los problemas de rendimiento PIX 500 para aprender más sobre los diversos comandos show que son útiles para resolver problemas.

Refiera a las conexiones del Troubleshooting con el PIX y el ASA para aprender más sobre el troubleshooting de la Conectividad del dispositivo de seguridad.

prerrequisitos

Requisitos

Este documento asume que algunas configuraciones básicas se han completado ya en el PIX. Refiera a estos documentos por ejemplos de una configuración PIX inicial:

Componentes Utilizados

La información en este documento se basa en las versiones de Software PIX Firewall 5.0.x y posterior.

Nota: Las versiones anteriores del software PIX utilizan el comando conduit en vez del comando access-list. Cualquier comando funciona en una versión del software PIX de Firewall 5.0.x y posterior.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Cómo funciona la conectividad a través de PIX

En esta red, el Host A es el servidor de la Web con una dirección interna de 10.2.1.5 Asignan el servidor Web un direccionamiento (traducido) externo de 192.168.202.5. Los usuarios de Internet deben señalar a 192.168.202.5 para acceder al servidor Web. La entrada DNS para su servidor Web necesita ser ese direccionamiento. No se permiten otras conexiones desde Internet.

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/15245-23-01.gif

Nota: Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son las direcciones RFC1918 que se han utilizado en un entorno de laboratorio.leavingcisco.com

Configurar la conectividad a través del PIX

Complete estos pasos para configurar la Conectividad con el PIX.

  1. Configure un grupo global para los hosts internos a fin de utilizarlo cuando éstos accedan a Internet.

    global (outside) 1 192.168.202.10-192.168.202.50 netmask 255.255.255.0
    
  2. Ordene a las direcciones internas seleccionar del 1 pool global.

    nat (inside) 1 0.0.0.0 0.0.0.0
    
  3. Asigne a una dirección estática traducida para el host interno al cual los usuarios de Internet tienen acceso.

    static (inside,outside) 192.168.202.5 10.2.1.5 0 0
    
  4. Utilice el comando access-list de permitir a los usuarios externos con el firewall PIX. Use siempre la dirección traducida en el comando access-list.

    access-list 101 permit tcp any host 192.168.202.5 eq www
      access-group 101 in interface outside
    

Para más información sobre la sintaxis de los comandos, vea la sección de este documento.

Permita el tráfico de broadcast ARP

El dispositivo de seguridad conecta la misma red en sus interfaces interior y exterior. Porque el Firewall no es un salto ruteado, usted puede introducir fácilmente un Firewall transparente en una red existente. El IP que cambia la dirección no es necesario. El tráfico del IPv4 se permite con el Firewall transparente automáticamente de una interfaz de mayor seguridad a una interfaz de menor seguridad, sin una lista de acceso. Los protocolos Protocolo de resolución de la dirección (ARP) (ARP) se permiten con el Firewall transparente en las ambas direcciones sin una lista de acceso. El tráfico ARP se puede controlar por la inspección ARP. Para el tráfico de la capa 3 que viaja de un punto bajo a una interfaz de la gran seguridad, se requiere una lista de acceso ampliada.

Nota: El dispositivo de seguridad del modo transparente no pasa los paquetes del Cisco Discovery Protocol (CDP) o los paquetes del IPv6, o ninguna paquetes que no tengan un Ethertype mayor o igual un 0x600 válidos. Por ejemplo, usted no puede pasar los paquetes IS-IS. Una excepción se hace para las Unidades (BPDU), se soportan que.

Direcciones MAC permitidas

Estos direccionamientos del MAC de destino se permiten con el Firewall transparente. Cualquier dirección MAC no en esta lista se cae:

  • VERDAD la dirección MAC del destino del broadcast igual al FFFF.FFFF.FFFF

  • Multicast MAC Address del IPv4 de 0100.5E00.0000 a 0100.5EFE.FFFF

  • Direcciones MAC del Multicast IPv6 a partir del 3333.0000.0000 a 3333.FFFF.FFFF

  • Dirección Multicast BPDU igual a 0100.0CCC.CCCD

  • Multicast MAC Address del APPLETALK a partir de la 0900.0700.0000 a 0900.07FF.FFFF

Tráfico no permitido pasar en el modo del router

En el modo del router, algunos tipos de tráfico no pueden pasar a través del dispositivo de seguridad incluso si usted lo permite en una lista de acceso. El Firewall transparente, sin embargo, puede permitir casi cualquier tráfico con usar una lista de acceso ampliada (para el tráfico IP) o una lista de acceso del Ethertype (para el tráfico no IP).

Por ejemplo, usted puede establecer las adyacencias del Routing Protocol con un Firewall transparente. Usted puede permitir el tráfico del Open Shortest Path First (OSPF), del Routing Information Protocol (RIP), del Enhanced Interior Gateway Routing Protocol (EIGRP), o del Border Gateway Protocol (BGP) basado a través en una lista de acceso ampliada. Asimismo, los protocolos como el Hot Standby Router Protocol (HSRP) o el Virtual Router Redundancy Protocol (VRRP) pueden pasar a través del dispositivo de seguridad.

El tráfico no IP (por ejemplo APPLETALK, IPX, BPDU, y MPLS) se puede configurar para pasar con usar una lista de acceso del Ethertype.

Para las características que no se soportan directamente en el Firewall transparente, usted puede permitir que el tráfico pase a través de modo que el Routers en sentido ascendente y descendente pueda soportar las funciones. Por ejemplo, usando una lista de acceso ampliada, usted puede permitir el tráfico del DHCP (en vez de la función de relay sin apoyo del [DHCP] del protocolo DHCP) o el tráfico Multicast tal como eso creada por el IP/TV.

Resolución de problemas de conectividad

Si los usuarios de Internet no pueden acceder su sitio web, complete estos pasos:

  1. Aseegurese le haber ingresado a las direcciones de configuración correctamente:

    • Dirección externa válida

    • Dirección interna correcta

    • El DNS externo tradujo la dirección

  2. Marque la interfaz exterior para los errores. El dispositivo del Cisco Security se preconfigura auto-para detectar las configuraciones de la velocidad y dúplex en una interfaz. Sin embargo, varias situaciones existen que pueden hacer el proceso de negociación automática fallar. Esto da lugar a la velocidad o las discordancias dúplex (y los problemas de rendimiento). Para la infraestructura de red de misión crítica, Cisco codifica manualmente la velocidad y el dúplex en cada interfaz para que no haya posibilidad de error. Estos dispositivos por lo general no se mueven, de manera que si los configura correctamente, no es necesario cambiarlos.

    Ejemplo:

    asa(config)#interface ethernet 0/0
    asa(config-if)#duplex full
    asa(config-if)#speed 100
    asa(config-if)#exit
    

    En algunas situaciones, poner en hard-code las configuraciones de la velocidad y dúplex llevan a la generación de errores. Así pues, usted necesita configurar la interfaz a la configuración predeterminada de autodetect el modo mientras que este ejemplo muestra:

    Ejemplo:

    asa(config)#interface ethernet 0/0
    asa(config-if)#duplex auto
    asa(config-if)#speed auto
    asa(config-if)#exit
    

    Refiera a la sección de las configuraciones de la velocidad y dúplex del monitor y resuelva problemas los problemas de rendimiento PIX 500 para más información.

  3. Si el tráfico no envía ni recibe a través de la interfaz del PIX o del router de cabecera, intente borrar las estadísticas ARP.

    asa#clear arp
    
  4. Utilice el comando show static para aseegurarse que la traducción estática está habilitada.

  5. Utilice la palabra clave de la interfaz en vez de la dirección IP de la interfaz en las declaraciones NAT estáticas si la correlación estática no trabaja después de la actualización a la versión 7.2(1).

    Ejemplo:

    static (inside,outside) tcp 192.168.202.2 80 10.2.1.5 1025 netmask 255.255.255.255 
    

    En este escenario, el IP Address externo se utiliza como la dirección IP asociada para el servidor Web. Así pues, esta correlación estática no pudo trabajar para la versión 7.2(1) del PIX/ASA. Para solucionar este problema, usted puede utilizar este sintaxis.

    static (inside,outside) tcp interface 80 10.2.1.5 1025 netmask 255.255.255.255 
    
  6. Marque para ver que la ruta predeterminado en el servidor Web señala a la interfaz interior del PIX.

  7. Marque la tabla de traducción usando el comando show xlate para ver si la traducción fue creada.

  8. Utilice el comando debug de memoria intermedia de registro para marcar los archivos del registro para ver si niega ocurren. (Busque a la dirección traducida y vea si usted ve ningunos niega.)

  9. Utilice el comando capture si usted utiliza la versión 6.2.2 o posterior con este comando:

    access-list webtraffic permit tcp any host 192.168.202.5
    
    capture capture1 access-list webtraffic interface outside
    

    Si usted utiliza una versión anterior de 6.2.2 y si la red no está ocupada, usted puede capturar el tráfico con el comando packet del debug. Este comando captura los paquetes que vienen de cualquier host externo hacia el servidor Web.

    debug packet outside dst 192.168.202.5 proto tcp dport 80 bot
    

    Nota: Este comando genera una cantidad significativa de resultados. Puede hacer a un router colgar o recargar bajo cargas de tráfico intenso.

  10. Si los paquetes lo hacen al PIX, aseegurese su ruta al servidor Web del PIX está correcto. (Marque los comandos route en su configuración PIX.)

  11. Marque para ver si se inhabilita el proxy ARP. Publique el comando show running-config sysopt en el PIX/ASA 7.x o muestre el sysopt en PIX 6.x.

    Aquí el proxy ARP es inhabilitado por el exterior del noproxyarp del comando sysopt:

    ciscoasa#show running-config sysopt
    no sysopt connection timewait
    sysopt connection tcpmss 1380
    sysopt connection tcpmss minimum 0
    no sysopt nodnsalias inbound
    no sysopt nodnsalias outbound
    no sysopt radius ignore-secret
    sysopt noproxyarp outside
    sysopt connection permit-vpn

    Para volver a permitir el proxy ARP, ingrese este comando en el modo de configuración global:

    ciscoasa(config)#no sysopt noproxyarp outside
    

    Cuando un host envía el tráfico IP a otro dispositivo en la misma red Ethernet, las necesidades del host de conocer la dirección MAC del dispositivo. El ARP es un protocolo de la capa 2 que resuelve una dirección IP a una dirección MAC. Un host envía un pedido ARP y pide “quién es esta dirección IP?”. El dispositivo que posee la dirección IP contesta, “poseo esa dirección IP; aquí está mi dirección MAC.”

    El proxy ARP permite que el dispositivo de seguridad conteste a un pedido ARP en nombre de los host detrás de él. Hace esto contestando a los pedidos ARP para los direccionamientos asociados los parásitos atmosféricos de esos host. El dispositivo de seguridad responde a la petición con su propia dirección MAC y entonces adelante los paquetes del IP encendido al host interior apropiado.

    Por ejemplo, en el diagrama en este documento, cuando un pedido ARP se hace para el IP Address global del servidor Web, 192.168.202.5, el dispositivo de seguridad responde con su propia dirección MAC. Si el proxy ARP no se habilita en esta situación, los host en la red externa del dispositivo de seguridad no pueden alcanzar al servidor Web publicando un pedido ARP para el direccionamiento 192.168.202.5. Refiera a la referencia de comandos para más información sobre el comando sysopt.

  12. Si todo aparece estar correcto, y los usuarios todavía no pueden acceder al servidor Web, abra un caso con el Soporte técnico de Cisco.

Mensaje de Error - %PIX|ASA-4-407001:

Pocos host no pueden conectar con Internet y el mensaje de error - %PIX|ASA-4-407001: Negar el tráfico para el interface_name del host local: los inside_address, límite de la licencia de mensaje de error excedido número se consideran en el Syslog. ¿Cómo puede este error ser resuelto?

Se considera este mensaje de error cuando el número de usuarios excede el límite del usuario de la licencia usada. Actualice la licencia a un número más elevado de los usuarios, que pueden ser 50, 100 o licencia del usuario ilimitado como sea necesario, para resolver este error.

Sintaxis del comando access-list

Software PIX 5.0.x y posterior

Presentaron al comando access-list en el software PIX versión 5.0. Este ejemplo muestra el sintaxis para el comando access-list:

acl_name de la lista de acceso [niegue | destination_netmask del destino del source_netmask de la fuente del protocolo del permiso]

Ejemplo: el permiso tcp ninguno del access-list 101 recibe el eq WWW de 192.168.202.5

Para aplicar la lista de acceso, usted debe incluir este sintaxis en su configuración:

acl_name del acceso-grupo en el interface_name de la interfaz

El comando access-group ata una lista de acceso a una interfaz. La lista de acceso se aplica para traficar entrante a una interfaz. Si usted ingresa la opción del permiso en una declaración de comando access-list, el firewall PIX continúa procesando el paquete. Si usted ingresa la opción de la negación en una declaración de comando access-list, el firewall PIX desecha el paquete.

Nota: Cada Entrada de control de acceso (ACE) que usted ingresa para un nombre dado de la lista de acceso se añade al final del fichero al final de la lista de acceso a menos que usted especifique el número de línea en el ACE.

Nota: La orden de los ACE es importante. Cuando el dispositivo de seguridad decide a si remitir o caer un paquete, el dispositivo de seguridad prueba el paquete contra cada ACE en la orden en la cual las entradas son mencionadas. Después de que se encuentre una coincidencia, marcan a no más de aces. Por ejemplo, si usted crea ACE al principio de una lista de acceso que permita explícitamente todo el tráfico, no se marca ningunas otras declaraciones.

Nota: Las Listas de acceso hacen que un implícito niegue en el extremo de la lista. Tan a menos que usted la permita explícitamente, el tráfico no puede pasar. Por ejemplo, si usted quiere permitir que todos los usuarios accedan una red a través del dispositivo de seguridad a excepción de las direcciones particulares, después usted necesidad de negar a las direcciones particulares y después de permitir todos los demás.


Información Relacionada


Document ID: 15245