Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

Usando nacional, global, estático, conducto, y comandos access-list y puerto Redirection(Forwarding) en el PIX

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (23 Junio 2008) | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Para maximizar la Seguridad cuando usted implementa un Cisco Secure PIX Firewall, es importante entender de cómo los paquetes se pasan y a las interfaces de mayor seguridad de las interfaces de menor seguridad usando el nacional, los comandos global, static, y conduit, o los comandos access-list y access-group en las versiones de software PIX 5.0 y posterior. Este documento explica las diferencias entre estos comandos y cómo configurar el redirection(Forwarding) del puerto en la versión de software PIX 6.0 y la característica de la traducción (NAT) de la dirección de red externa agregada en la versión de software PIX 6.2.

Refiera a las declaraciones del PIX/ASA 7.x NAT y de la PALMADITA para aprender más sobre el NAT básico y las configuraciones del Port Address Translation (PAT) en el Dispositivos de seguridad Cisco PIX de la serie 500.

Consulte Uso de Sentencias NAT y PAT en Cisco Secure PIX Firewall para obtener más información sobre los ejemplos de configuraciones básicas NAT y PAT en Cisco Secure PIX Firewall.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en estas versiones de software.

  • Versiones 4.4.5 o posteriores del software del Firewall PIX de Cisco Secure.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Diagrama de la red

/image/gif/paws/12496/28b.gif

Configuración inicial

Los nombres de las interfaces son:

  • ethernet0 del nameif fuera de security0

  • nameif ethernet1 inside security100

Permita el Acceso de Salida

El acceso de salida describe las conexiones de una interfaz de mayor nivel de seguridad a una interfaz de menor nivel de seguridad. Esto incluye las conexiones desde el interior al exterior, interior hacia las zonas desmilitarizadas (DMZ) y DMZ hacia el exterior. Esto puede también incluir las conexiones a partir de un DMZ a otro, con tal que la interfaz de la fuente de conexión tenga un mayor nivel de seguridad que el destino. Esto se puede confirmar por un estudio de la configuración del “nameif” en el PIX.

Se requieren dos políticas para permitir el acceso de salida. La primera es un método de traducción. Esto puede ser una traducción estática usando el comando static, o una traducción dinámica usando una regla nacional/global. El otro requisito para el acceso de salida es si hay un presente del Access Control List (ACL), después debe permitir el acceso de host de origen a la computadora principal de destino usando el protocolo específico y virar hacia el lado de babor. De forma predeterminada, no hay restricciones de acceso a las conexiones salientes a través del PIX. Esto significa que si no hay ACL configurado para la interfaz de origen, después por abandono, se permite la conexión saliente si hay un método de traducción configurado.

Estas secciones proporcionan los ejemplos en la configuración de un método de traducción y la restricción del acceso de salida con el uso de un ACL.

Permita algo del acceso de los host interiores a las redes externas

Esta configuración le da a todos los hosts en el acceso de la subred 10.1.6.0/24 al exterior. Utilizan a los comandos nat and global de lograr esto.

  1. Defina el grupo interno que se incluirá para NAT.

    nat (inside) 1 10.1.6.0 255.255.255.0
    
  2. Especifique un grupo de direcciones en la interfaz exterior a la cual los hosts definidos en la sentencia NAT son traducidos.

    global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0 
    

Ahora, los host internos pueden obtener acceso a redes externas. Cuando algunos hosts internos inician una conexión al exterior, son traducidos a una dirección del conjunto global. Observe que primero-vienen los direccionamientos están asignados de la agrupación global en, base primero-traducida, y comienzo con el direccionamiento más bajo del pool. Por ejemplo, si el host 10.1.6.25 es el primero en iniciar una conexión hacia el exterior, recibe la dirección 175.1.1.3. El próximo host externo recibe 175.1.1.4 y así sucesivamente. Éste no es una traducción estática, y los tiempos de traducción hacia fuera después de un período de inactividad según lo definido por el timeout xlate hh: milímetro: comando ss .

Permita el acceso restante de los host interiores a las redes externas

El problema es que hay más hosts internos que direcciones externas. Utilice el Port Address Translation (PAT) para no prohibir a todos los hosts el acceso al exterior. Si se especifica una dirección en el enunciado global, a esa dirección se le traduce el puerto. El PIX permite una traducción de puerto por interfaz y esa traducción admite hasta 65,535 objetos de traducción activos para una única traducción global. Complete estos pasos:

  1. Defina al grupo interno que se incluirá para el patente (usando 0 0 seleccionamos todos los host interiores.)

    nat (inside) 1 10.1.6.0 255.255.255.0
    
  2. Especifique a la dirección global que se utilizará para el patente.

    global (outside) 1 175.1.1.65
    

Hay algunas cosas que debe considerar cuando utiliza el patente.

  • Las direcciones IP que especifica para PAT no pueden estar en otro pool de dirección global.

  • PAT no funciona con las aplicaciones H.323, servidores de nombre caché, y Point-to-Point Tunneling Protocol (PPTP). PAT funciona con Sistema de nombres de dominio (DNS), FTP y FTP pasivo, HTTP, correo, llamada de procedimiento remoto (RPC), rshell, Telnet, filtrado de URL y el traceroute de salida.

  • No utilice la PALMADITA cuando las aplicaciones multimedia necesitan ser ejecutadas con el Firewall. Las aplicaciones de multimedia pueden entrar en conflicto con los mapeos del puerto provistos por PAT.

  • En el PIX software release 4.2(2), la función PAT no funciona con los paquetes de datos IP que llegan en orden inverso. Este problema se corrige en la versión 4.2(3).

  • Las direcciones IP en el conjunto de direcciones globales especificadas con el comando global requieren entradas de DNS inverso para asegurar que todas las direcciones externas de red sean accesibles a través del PIX. Para crear las mappings de DNS inverso, use un Puntero DNS (PTR) en el archivo de mapping dirección-nombre para cada dirección global. Sin las entradas PTR, los sitios pueden sufrir una conectividad a Internet lenta o intermitente y los pedidos FTP pueden fallar constantemente.

    Por ejemplo, si una dirección IP global es 175.1.1.3 y el nombre de dominio para el firewall PIX es pix.caguana.com, el registro PTR sería:

    3.1.1.175.in-addr.arpa. IN PTR 
    pix3.caguana.com 
    4.1.1.175.in-addr.arpa. IN PTR 
    pix4.caguana.com & so on.

Permita el acceso de los host interiores a un DMZ sin la traducción

Mientras que las configuraciones anterior en este uso del documento los comandos nat and global de permitir que los hosts en la red interna accedan los hosts en un DMZ interconectan traduciendo a las direcciones de origen de los host interiores, tal traducción no se desea a veces. Pero cuando un host en una interfaz del firewall PIX inicia una conexión a un host en otra interfaz, el PIX debe tener una manera de traducir la dirección IP de ese host a través de sí mismo. Incluso si no es necesario que la dirección IP sea traducida, una traducción debe todavía ocurrir. Por lo tanto, para permitir los hosts en el acceso del interior a los hosts en el DMZ, una traducción que no traduce realmente debe ser configurada.

Asuma que los hosts en la red interna de 10.1.6.0/24 necesitan el acceso a los hosts en la red DMZ de 172.22.1.0/24:

  1. Cree una traducción estática entre la red interna entera y el DMZ que no traduce realmente a las direcciones internas.

    static (inside,dmz) 10.1.6.0 10.1.6.0 netmask 255.255.255.0
    
  2. Cree una traducción estática para permitir un acceso de host interior al DMZ sin realmente traducir el direccionamiento del host.

    static (inside,dmz) 10.1.6.100 10.1.6.100
    

    Nota: El PIX agrega automáticamente un netmask de 255.255.255.255.

Limita el acceso de los Hosts Interiores a las Redes Externas

Si hay un método de traducción válido definido para el host de origen, y ningún ACL definido para la interfaz PIX de origen, la conexión saliente se permite de forma predeterminada. Sin embargo, puede ser que sea en algunos casos necesario restringir el acceso de salida basado en la fuente, el destino, el protocolo, y/o el puerto. Esto puede ser realizado cuando usted configura un ACL con el comando access-list y lo aplica a la interfaz PIX de la fuente de conexión con el comando access-group. Las ACL del PIX se aplican sólo hacia adentro. Las ACL están disponibles en el código 5.0.1 o posterior de la versión de PIX. El código anterior utiliza “saliente” y “aplique” las declaraciones que se describen en la referencia de comandos de PIX.

Éste es un ejemplo que permite el acceso saliente HTTP para una subred, pero niega a los el resto de los hosts el acceso HTTP al exterior, y permite el resto del tráfico IP para todo el mundo.

  1. Definir la ACL.

    access-list acl_outbound permit tcp 10.1.6.0 255.255.255.0 any eq www
    access-list acl_outbound deny tcp any any eq www
    access-list acl_outbound permit ip any any
    

    Nota: El PIX ACL diferencia de los ACL en el Routers del Cisco IOS en que el PIX no utiliza una máscara comodín como el Cisco IOS. Usa una máscara de subred regular en la definición ACL. Al igual que en los routers Cisco IOS, la ACL de PIX posee un “denegar todo” implícito al final de la ACL.

  2. Aplique el ACL a la interfaz interna.

    access-group acl_outbound in interface inside
    

Permita el Acceso de los Hosts no Confiables a los Hosts de su Red de Confianza

La mayoría de las organizaciones necesitan permitir los host no confiables sobre los recursos en su red de confianza, con un ejemplo común siendo servidor Web interno. De forma predeterminada, el PIX niega las conexiones de los host exteriores a los host interiores. Utilice los comandos static and conduit de permitir esta conexión. En las versiones de software PIX 5.0.1 y posterior, los comandos access-list y access-group están disponibles además de los comandos conduit.

Tanto los conductos como las ACL tienen sentido para un PIX de dos interfaces. Dirección-se basan los conductos. Tienen un concepto de interior y de exterior. Con un PIX dos interfaces, el conducto permite el tráfico del exterior al interior. A diferencia de los conductos, las ACL se aplican a interfaces con un comando access-group. Este comando asocia el ACL a la interfaz para examinar el tráfico que fluye en una dirección particular.

A diferencia de los comandos nat y global que permiten la salida de host internos, el comando static crea una traducción bidireccional que permite la salida de host internos y la entrada de host externos si se crean los conductos adecuados o se agregan ACL/grupos (versión de software de PIX 5.0.1 o posterior).

En los ejemplos de configuración de la PALMADITA anterior en este documento, si un host exterior intentado para conectar con la dirección global, él se podría utilizar por los millares de hosts internos. El comando static crea un mapeo uno a uno. El comando conduit o access-list define se permite a un host interior y se requiere siempre a qué tipo de conexión cuando un host de menor seguridad conecta con un host de mayor seguridad. Basan al comando conduit o access-list en ambos puerto y protocolo. Puede ser muy permisivo o muy restrictivo, dependiendo de lo que quiere el administrador de sistema alcanzar.

El diagrama de la red en este documento ilustra el uso de estos comandos de configurar el PIX para permitir que cualquier host no confiable conecte con el servidor Web interior, y permite este host no confiable, 199.199.199.24, acceso a un servicio FTP en la misma máquina.

Utilice los conductos en las versiones de PIX 4.4.5 y posterior

Complete estos pasos para las versiones de software PIX 4.4.5 y posterior usando los conductos.

  1. Defina una traducción de dirección estática para el servidor Web interno a una dirección global/externa.

    static (inside,outside) 175.1.1.254 10.200.1.254
    
  2. Defina qué hosts pueden conectar en qué puertos a su Web/servidor FTP.

    conduit permit tcp host 175.1.1.254 eq www any
    conduit permit tcp host 175.1.1.254 eq ftp host 199.199.199.24
    

En el software PIX 5.0.1 y posterior, pueden usarse ACL con grupos de acceso en lugar de conductos. Los conductos todavía están disponibles, pero se debe elegir entre el uso de conductos o las ACL. No se recomienda combinar las ACL y los conductos en la misma configuración. Si se configuran ambos, los ACL toman la preferencia sobre los conductos.

Utilice los ACL en las versiones de PIX 5.0.1 y posterior

Complete estos pasos para las versiones de software PIX 5.0.1 y posterior usando los ACL.

  1. Defina una traducción de dirección estática para el servidor Web interno a una dirección global/externa.

    static (inside, outside) 175.1.1.254 10.200.1.254
    
  2. Defina qué hosts pueden conectar en qué puertos a su Web/servidor FTP.

    access-list 101 permit tcp any host 175.1.1.254 eq www
    access-list 101 permit tcp host 199.199.199.24 host 175.1.1.254 eq ftp
    
  3. Aplique el ACL a la interfaz exterior.

    access-group 101 in interface outside
    

Nota: Tenga cuidado cuando implementa estos comandos. Si cualquier implementan al comando conduit permit ip any any o access-list 101 permit ip any any, cualquier host en la red no confiable puede acceder cualquier host en la red de confianza usando el IP mientras haya una traducción activa.

Neutralización NAT

Desactive NAT si tiene una dirección pública dentro de la red y desea que los hosts interiores salgan sin traducción. Usted también necesita cambiar el comando static.

Usando el ejemplo en este documento, el comando nat cambia mientras que esta salida muestra:

nat (inside) 0 175.1.1.0 255.255.255.0 

Utilice estos comandos si usted utiliza los ACL en las versiones de software PIX 5.0.1 y posterior:

access-list 103 permit ip 175.1.1.0 255.255.255.0 any
nat (inside) 0 access-list 103

Este comando desactiva la NAT para la red 175.1.1.0. El comando static para el servidor Web cambia mientras que esta salida muestra:

static (inside, outside) 175.1.1.254 175.1.1.254

Este comando define el conducto para el servidor Web.

conduit permit tcp host 175.1.1.254 eq www any

Utilice estos comandos si usted utiliza los ACL en las versiones de software PIX 5.0.1 y posterior:

access-list 102 permit tcp any host 175.1.1.254 eq www
access-group 102 in interface outside

Tenga en cuenta que la diferencia entre usar nat 0 con especificación de la red/máscara en contraposición con usar ACL que emplea una red/máscara es que permite la iniciación de las conexiones únicamente desde el interior. El uso de los ACL permite la iniciación de la conexión por entrante o el tráfico saliente. Las interfaces PIX deberían estar en subredes diferentes para evitar problemas de alcance.

Redirección (Reenvío) de Puerto con Estático

En PIX 6.0, la característica de Redirection(Forwarding) del puerto fue agregada para permitir los usuarios externos conecten con un puerto/IP Address particular y hagan que el PIX reoriente el tráfico al servidor interior apropiado; modificaron al comando static. La dirección compartida puede ser una dirección única, una dirección PAT de salida compartida, o compartida con la interfaz externa.

Nota: Estos comandos están en dos líneas debido a las limitaciones de espacio.

static [(internal_if_name, external_if_name)] 
{global_ip|interface}
local_ip [netmask mask] [max_conns [emb_limit 
[norandomseq]]]
static [(internal_if_name, external_if_name)] {tcp|udp} 
{global_ip|interface} 
global_port local_ip local_port [netmask mask] [max_conns 
[emb_limit [norandomseq]]]

Éstas son las redirecciones de puerto para la red de muestra:

  • Los usuarios externos dirigen las solicitudes de Telnet a la dirección IP única 172.18.124.99, que el PIX redirige a 10.1.1.6.

  • Los usuarios externos dirigen las peticiones FTP a la dirección IP exclusiva 172.18.124.99, que PIX redirige a 10.1.1.3.

  • Los usuarios externos dirigen las peticiones Telnet a la dirección PAT 172.18.124.208 y el PIX las redirige a 10.1.1.4.

  • Los usuarios externos dirigen las peticiones Telnet a la dirección IP externa 172.18.124.216, que el PIX redirige a 10.1.1.5.

  • Los usuarios externos dirigen la solicitud de HTTP a la dirección IP externa 172.18.124.216 PIX, que el PIX redirige a 10.1.1.5.

  • Los usuarios externos direccionan las peticiones del puerto 8080 http a la dirección PAT 172.18.124.208 y el PIX las redirecciona a la 10.1.1.7.del puerto 80.

Este ejemplo también bloquea el acceso de algunos usuarios desde adentro al exterior con el ACL 100. Este paso es opcional. Sin el ACL implementado se permite todo el tráfico de salida.

Diagrama de la Red - Redirección de Puertos (Reenvío)

/image/gif/paws/12496/28-02.gif

Configuración parcial de PIX - Puerto Redirection(Forwarding)

Esta configuración parcial ilustra el uso del cambio de dirección del puerto estático.

Configuración parcial de PIX - Puerto Redirection(Forwarding)
fixup protocol ftp 21

!--- Use of an outbound ACL is optional.

access-list 100 permit tcp 10.1.1.0 255.255.255.128 any eq www
access-list 100 deny tcp any any eq www
access-list 100 permit tcp 10.0.0.0 255.0.0.0 any
access-list 100 permit udp 10.0.0.0 255.0.0.0 host 172.18.124.100 eq domain 

access-list 101 permit tcp any host 172.18.124.99 eq telnet 
access-list 101 permit tcp any host 172.18.124.99 eq ftp 
access-list 101 permit tcp any host 172.18.124.208 eq telnet 
access-list 101 permit tcp any host 172.18.124.216 eq telnet 
access-list 101 permit tcp any host 172.18.124.216 eq www 
access-list 101 permit tcp any host 172.18.124.208 eq 8080

ip address outside 172.18.124.216 255.255.255.0
ip address inside 10.1.1.2 255.255.255.0

global (outside) 1 172.18.124.208
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6 
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3 
   ftp netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4 
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface telnet 10.1.1.5 
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface www 10.1.1.5 
   www netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7 
   www netmask 255.255.255.255 0 0

!--- Use of an outbound ACL is optional.

access-group 100 in interface inside
access-group 101 in interface outside

NAT externa

En PIX 6.2 y posterior, el NAT y la PALMADITA se pueden aplicar para traficar de un exterior, o para asegurar menos, interconectar a una interfaz del interior (más seguro). Esto se refiere a veces como “NAT bidireccional.”

El NAT/PAT exterior es similar al NAT/PAT interior, pero la traducción de la dirección se aplica a las direcciones del host que residen en las interfaces (menos seguras) externas del PIX. Para configurar el NAT exterior dinámico, especificar los direccionamientos que se traducirán en la menos interfaz segura y especificar la dirección global o los direccionamientos en el interior (más seguro) interconecta. Utilice el comando static de especificar el mapeo uno a uno para configurar el NAT exterior estático.

Después de que se configura la NAT externa, cuando un paquete llega a la interfaz exterior (menos segura) del PIX, el PIX intenta ubicar una xlate (entrada de traducción de dirección) existente en la base de datos de las conexiones. Si no existe xlate, busca la política NAT en la configuración en funcionamiento. Si se localiza una política NAT, un xlate se crea y se inserta en la base de datos. El PIX luego vuelve a escribir la dirección de fuente para la dirección correlacionada con la memoria o la global y transmite el paquete en la interfaz interior. Una vez que se establece xlate, las direcciones de cualquier paquete subsiguiente pueden traducirse rápidamente consultando las entradas en la base de datos de conexiones.

Diagrama de la red – NAT externa

/image/gif/paws/12496/28-01.gif

En el ejemplo:

  • Dispositivo 10.100.1.2 al NAT a 209.165.202.135 cuando sale

  • Dispositivo 209.165.202.129 al NAT a 10.100.1.3 cuando viene adentro

  • Otros dispositivos en la red 10.100.1.x al NAT a los direccionamientos en los 209.165.202.140-209.165.202.141 pool cuando sale

  • Conectividad del dispositivo 209.165.202.129 al dispositivo 10.100.1.2 con el dispositivo 209.165.202.129 que ve el dispositivo interno como 209.165.202.135 y el dispositivo 10.100.1.2 que ve el tráfico de 209.165.202.129 como viniendo de 10.100.1.3 (debido al NAT exterior)

El acceso a todos los dispositivos 209.165.202.x usando los ACL o los conductos se permite.

Configuración parcial de PIX: NAT externo

Configuración parcial de PIX: NAT externo
ip address outside 209.165.202.130 255.255.255.224
ip address inside 10.100.1.1 255.255.255.0
global (outside) 5 209.165.202.140-209.165.202.141 netmask 255.255.255.224
nat (inside) 5 10.100.1.0 255.255.255.0 0 0
static (inside,outside) 209.165.202.135 10.100.1.2 netmask 255.255.255.255 0 0
static (outside,inside) 10.100.1.3 209.165.202.129 netmask 255.255.255.255 0 0
conduit permit ip 209.165.202.0 255.255.255.0 209.165.202.0 255.255.255.0

!--- Or in lieu of conduits, we leave the static statements but have the following.
 
access-list 101 permit ip 209.165.202.0 255.255.255.0 209.165.202.0 255.255.255.0
access-group 101 in interface outside

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

  • Si usted utiliza los ping de ICMP para probar una traducción configurada, los ping son probables no poder y hacer que parece como si la traducción no está trabajando. Por abandono, el PIX bloquea los mensajes ICMP de las interfaces de menor seguridad a las interfaces de mayor seguridad. Esto ocurre incluso si la respuesta de eco está en respuesta a un ping iniciado del interior. Como consecuencia, esté seguro de utilizar otro método, como Telnet, para verificar su configuración.

  • Después de que usted realice cualquier cambio a las Reglas de traducción en el PIX se anima fuertemente que publiquen el comando clear xlate. Esto se asegura de que ninguna vieja traducciones no interfieran con nuevamente configuradas y las hagan actuar incorrectamente.

  • Después de que usted configure o cambie las traducciones estáticas entre los servidores en el interior o DMZ y el exterior, puede ser que sea necesario borrar la memoria caché ARP del router de gateway o del otro dispositivo de Next Hop.

Información para recopilar si abre un caso del TAC

Si usted todavía necesita la ayuda después de seguir los pasos de Troubleshooting arriba y quiere abrir un caso con el TAC de Cisco, esté seguro de incluir la siguiente información para localizar averías su firewall PIX.
  • Descripción del problema y detalles relevantes de la topología
  • Troubleshooting antes de que usted abra el caso
  • Resultado del comando show tech-support
  • Resultado del comando show log después de la ejecución con el comando logging buffered debugging o capturas de consola que muestran el problema (si están disponibles)
Adjunte los datos recopilados para su caso en un texto sin formato (.txt), sin compactar. Puede vincular información a su caso transfiriéndola mediante la herramienta Case Query (sólo para clientes registrados) . Si usted no puede acceder la herramienta del Case Query, usted puede enviar la información en un elemento adjunto de correo electrónico a attach@cisco.com con su número de caso en los asuntos de su mensaje.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 12496