Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

PIX/ASA: Configure y resolver problemas el firewall PIX con una sola red interna

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Interactivo: Este documento ofrece un análisis personalizado de su dispositivo Cisco.


Contenido


Introducción

Esta configuración de ejemplo explica cómo configurar un dispositivo de seguridad para separar una red corporativa de Internet.

prerrequisitos

Requisitos

La red interna tiene un servidor Web, un mail server, y un servidor FTP que los usuarios en Internet puedan acceder. El resto del acceso a los hosts en la red interna se niega de los usuarios externos.

  • Dirección real del servidor Web - 192.168.1.4; Dirección de Internet 10.1.1.3

  • Dirección real del mail server - 192.168.1.15; Dirección de Internet 10.1.1.4

  • Dirección real del servidor FTP - 192.168.1.10; Dirección de Internet 10.1.1.5

No prohiben todos los usuarios en la red interna el acceso sin restricciones a Internet. Se permite a los usuarios internos hacer ping los dispositivos en Internet, pero no se permite a los usuarios en Internet hacer ping los dispositivos en el interior.

La compañía usada en esta configuración ha comprado una red de la clase A de su ISP (10.1.1.x). El .1 y .2 direccionamiento es reservado para el router externo y la interfaz exterior del PIX respectivamente. Los direccionamientos .3 - .5 se utilizan para los servidores internos que los usuarios en Internet pueden acceder. El direcciones 6 -14 se reserva para uso futuro para los servidores que los usuarios externos pueden acceder.

El firewall PIX en el ejemplo tiene cuatro Network Interface Cards, pero solamente dos de ellos son funcionando. El PIX se configura para enviar los Syslog a un servidor de Syslog en el interior con una dirección IP de 192.168.1.220 (no mostrado en el diagrama de la red).

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco PIX Firewall 535

  • Versión de Software Cisco PIX Firewall 6.x y posterior

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos Relacionados

Esta configuración se puede también utilizar con el dispositivo de seguridad adaptante de las Cisco 5500 Series, que funciona con la versión 7.x y posterior.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/13825/single-net-1.gif

Nota: Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son los direccionamientos del RFC 1918 <http://www.ietf.org/rfc/rfc1918.txt?number=1918> que se han utilizado en un ambiente de laboratorio.

Configuración PIX 6.x

Nota: Los comandos del nondefault se muestran en intrépido.

PIX
Building configuration... 
: Saved 
: 
PIX Version 6.3(3) 
nameif gb-ethernet0 outside security0 
nameif gb-ethernet1 inside security100 
nameif ethernet0 intf2 security10 
nameif ethernet1 intf3 security15 
enable password 8Ry2YjIyt7RRXU24 encrypted 
passwd 2KFQnbNIdI.2KYOU encrypted 
hostname pixfirewall 


!--- Output Suppressed




!--- Create an access list to allow pings out 
!--- and return packets back in. 

access-list 100 permit icmp any any echo-reply  
access-list 100 permit icmp any any time-exceeded  
access-list 100 permit icmp any any unreachable  


!--- Allows anyone on the Internet to connect to 
!--- the web, mail, and FTP servers. 

access-list 100 permit tcp any host 10.1.1.3 eq www  
access-list 100 permit tcp any host 10.1.1.4 eq smtp  
access-list 100 permit tcp any host 10.1.1.5 eq ftp 
pager lines 24 


!--- Enable logging. 

logging on 
no logging timestamp 
no logging standby 
no logging console 
no logging monitor 


!--- Enable error and more severe syslog messages 
!--- to be saved to the local buffer. 

logging buffered errors 


!--- Send notification and more severe syslog messages
!--- to the syslog server. 

logging trap notifications 
no logging history 
logging facility 20 
logging queue 512 


!--- Send syslog messages to a syslog server 
!--- on the inside interface. 

logging host inside 192.168.1.220 


!--- All interfaces are shutdown by default. 

interface gb-ethernet0 1000auto 
interface gb-ethernet1 1000auto 
interface ethernet0 auto shutdown 
interface ethernet1 auto shutdown 
mtu outside 1500 
mtu inside 1500 
mtu intf2 1500 
mtu intf3 1500 
ip address outside 10.1.1.2 255.255.255.0 
ip address inside 192.168.1.1 255.255.255.0 
ip address intf2 127.0.0.1 255.255.255.255 
ip address intf3 127.0.0.1 255.255.255.255 
ip audit info action alarm 
ip audit attack action alarm 
no failover 
failover timeout 0:00:00 
failover poll 15 
failover ip address outside 0.0.0.0 
failover ip address inside 0.0.0.0 
failover ip address intf2 0.0.0.0 
failover ip address intf3 0.0.0.0 
arp timeout 14400 


!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.

global (outside) 1 10.1.1.15-10.1.1.253 


!--- Define a Port Address Translation (PAT) address that 
!--- is used once the NAT pool is exhausted.

global (outside) 1 10.1.1.254 


!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.

nat (inside) 1 0.0.0.0 0.0.0.0 0 0 


!--- Define a static translation for the internal 
!--- web server to be accessible from the Internet.

static (inside,outside) 10.1.1.3 192.168.1.4 
   netmask 255.255.255.255 0 0 


!--- Define a static translation for the internal 
!--- mail server to be accessible from the Internet.

static (inside,outside) 10.1.1.4 192.168.1.15 
   netmask 255.255.255.255 0 0 


!--- Define a static translation for the internal 
!--- FTP server to be accessible from the Internet.

static (inside,outside) 10.1.1.5 192.168.1.10 
   netmask 255.255.255.255 0 0 


!--- Apply access list 100 to the outside interface.

access-group 100 in interface outside 


!--- Define a default route to the ISP router.

route outside 0.0.0.0 0.0.0.0 10.1.1.1 1 


!--- Output Suppressed




!--- Allow the host 192.168.1.254 to be able to 
!--- Telnet to the inside of the PIX. 

telnet 192.168.1.254 255.255.255.255 inside 
: end 
[OK] 


!--- Output Suppressed

Configurando el PIX/ASA 7.x y posterior

Nota: Los comandos del nondefault se muestran en intrépido.

PIX/ASA
pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.1.1.2 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!


!--- Output Suppressed



!--- Create an access list to allow pings out 
!--- and return packets back in.


access-list 100 extended permit icmp any any echo-reply
access-list 100 extended permit icmp any any time-exceeded
access-list 100 extended permit icmp any any unreachable



!--- Allows anyone on the Internet to connect to 
!--- the web, mail, and FTP servers. 


access-list 100 extended permit tcp any host 10.1.1.3 eq www
access-list 100 extended permit tcp any host 10.1.1.4 eq smtp
access-list 100 extended permit tcp any host 10.1.1.5 eq ftp
pager lines 24


!--- Enable logging.


logging enable



!--- Enable error and more severe syslog messages 
!--- to be saved to the local buffer. 


logging buffered errors



!--- Send notification and more severe syslog messages
!--- to the syslog server. 


logging trap notifications



!--- Send syslog messages to a syslog server 
!--- on the inside interface. 



logging host inside 192.168.1.220

mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400



!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.


global (outside) 1 10.1.1.15-10.1.1.253



!--- Define a Port Address Translation (PAT) address that 
!--- is used once the NAT pool is exhausted.


global (outside) 1 10.1.1.254



!--- !--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.


nat (inside) 1 0.0.0.0 0.0.0.0



!--- Define a static translation for the internal 
!--- web server to be accessible from the Internet.


static (inside,outside) 10.1.1.3 192.168.1.4 netmask 255.255.255.255



!--- Define a static translation for the internal 
!--- mail server to be accessible from the Internet.


static (inside,outside) 10.1.1.4 192.168.1.15 netmask 255.255.255.255



!--- Define a static translation for the internal 
!--- FTP server to be accessible from the Internet.


static (inside,outside) 10.1.1.5 192.168.1.10 netmask 255.255.255.255



!--- Apply access list 100 to the outside interface.


access-group 100 in interface outside



!--- !--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.1.1.1 1


!--- Output Suppressed



!--- Allow the host 192.168.1.254 to be able to 
!--- Telnet to the inside of the PIX. 


telnet 192.168.1.254 255.255.255.255 inside
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
: end


!--- Output Suppressed

NOTA: Para más información sobre la configuración del NAT y la PALMADITA en el PIX/ASA, refiera a las declaraciones del PIX/ASA 7.x NAT y de la PALMADITA.

Para más información sobre la configuración de las Listas de acceso en el PIX/ASA, refiera al PIX/ASA 7.x: Redirección de puerto (expedición) con nacional, global, los parásitos atmosféricos y los comandos access-list.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

  • interfaz de la demostración — Muestra la interfaz de las estadísticas.

  • tráfico de la demostración — Muestra cuánto pasos del tráfico con el PIX.

  • xlate de la demostración — Muestra las traducciones actuales construidas con el PIX.

  • show conn — Muestra las conexiones actuales con el PIX.

    NOTA: Para más información sobre cómo resolver problemas el PIX/ASA, refiera a las conexiones del Troubleshooting con el PIX y el ASA.

Comandos para resolución de problemas

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

  • haga el debug de la traza ICMP — Muestra todos los pedidos de eco y contestaciones del Internet Control Message Protocol (ICMP) o con al PIX.

Solución de problemas comunes

Si usted tiene la salida del comando write terminal de su dispositivo de Cisco, usted puede utilizar la herramienta del Output Interpreter (clientes registrados solamente) para visualizar los problemas potenciales y los arreglos.

  • El agrupamiento NAT (y el PAT Address - a excepción de la PALMADITA de la interfaz) deben utilizar los IP Addresses que no es utilizado por ningún otro dispositivo en la red. Esto incluye las direcciones estáticas (para las traducciones) o los direccionamientos usados en las interfaces.

    Si usted tiene las versiones de software PIX 5.2 o más adelante, la dirección de interfaz externa del PIX puede ser utilizada para el patente. Esto es útil si usted tiene solamente una dirección externa disponible, o necesita conservar su espacio de IP Address.

    Para habilitar la PALMADITA en la dirección de interfaz externa, quite el agrupamiento NAT y el PAT Address globales de la configuración, y utilice la dirección IP de la interfaz exterior como el PAT Address.

    ip address outside 10.1.1.2
    nat (inside) 1 0 0 global (outside) 1 interface

    Nota: Algunas aplicaciones multimedia pueden estar en conflicto con las correlaciones de puertos proporcionadas por PAT. PAT no trabajan con el comando establecido. La PALMADITA trabaja con el Domain Name System (DNS), FTP y FTP pasivo, HTTP, correo electrónico, llamada a procedimiento remoto (RPC), rshell, Telnet, Filtrado de URL, y Traceroute de salida. Varias versiones de PIX soportan H.323 con la PALMADITA en varias versiones. El H.323v2 con el soporte de la PALMADITA fue agregado en la versión 6.2.2, mientras que H.323v3 y v4 con el soporte de la PALMADITA fueron agregados en la versión 6.3.

  • Usted debe tener una lista de acceso (o conducto) para permitir el acceso en sus servidores. El acceso entrante no se permite por abandono.

    Nota: Al comando access-list ha reemplazado al comando conduit. Cisco recomienda que usted emigra su configuración lejos del comando conduit de mantener la compatibilidad futura.

  • Después de cualquier lista de acceso, hay comando deny ip any any implícito.

  • Si el servidor DNS está en el exterior del PIX, y los usuarios internos quieren acceder los servidores internos con su nombre DNS, después el comando alias debe ser utilizado para cuidar la respuesta de DNS del servidor DNS.

  • Si usted todavía tiene problemas después de que usted revise estos problemas comunes, complete estos pasos:

    1. Verifique que usted tenga conectividad del IP entre los dos dispositivos. Para hacer esto, consuela en el PIX, o Telnet en el PIX. Publique el monitor y los comandos debug icmp trace terminales.

    2. Si los usuarios internos tienen dificultad que accede los servidores en Internet, haga ping el servidor que usted está intentando acceder y ver si usted consigue una respuesta. Si usted no recibe una respuesta, mira las declaraciones del debug y le aseegura ver el pedido de eco ICMP salir con el PIX. Si usted no ve los pedidos de eco, después marque el default gateway de la máquina de origen. Típicamente, es el PIX.

      También, el nslookup del uso en el cliente, y lo aseegura puede resolver la dirección IP del servidor que usted está intentando alcanzar.

    3. Cuando usted tiene conectividad del IP, apague la traza ICMP del debug y gire el debug de la consola de registro (si está conectado con la consola) o el debug del monitor del registro (si está conectado con el PIX vía Telnet). Esto hace los mensajes de Syslog ser visualizada a su pantalla. Intente conectar con el servidor, y mire los Syslog para ver si se niega algún tráfico. Si es así los Syslog deben darle una buena idea de porqué está sucediendo éste. Usted puede también mirar la descripción de los mensajes de Syslog.

    4. Si los usuarios externos no pueden acceder sus servidores internos:

      1. Verifique el sintaxis de su comando static.

      2. Compruebe con minuciosidad que usted tiene acceso permitido con sus declaraciones de comando access-list.

      3. Compruebe con minuciosidad que usted ha aplicado la lista de acceso con el comando access-group.

    5. Si usted es usuario registrado y le abren una sesión, usted puede resolver problemas sus problemas PIX con la colección de casos del TAC (clientes registrados solamente).

Información para recopilar si abre un pedido de servicio del TAC

Si usted todavía necesita la ayuda después de que usted siga los pasos de Troubleshooting en este documento y quiera abrir una solicitud de servicio con el TAC de Cisco, esté seguro de incluir esta información para localizar averías su firewall PIX.
  • Descripción del problema y detalles relevantes de la topología
  • Resolución de problemas realizada antes de abrir el servicio solicitado
  • Resultado del comando show tech-support
  • Resultado del comando show log después de la ejecución con el comando logging buffered debugging o capturas de consola que muestran el problema (si están disponibles)
Adjunte los datos recolectados a su pedido de servicio en formato de texto sin comprimir (.txt). Usted puede adjuntar información a su solicitud de servicio al cargarla usando la herramienta Service Request Query Tool(clientes registrados solamente). Si no puede acceder a la herramienta Service Request Query Tool, puede enviar la información en un archivo adjunto del correo electrónico a attach@cisco.com con su número de solicitud de servicio en el asunto de su mensaje.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 13825