Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

ASA/PIX/FWSM: Dirección de los ping de ICMP y de Traceroute

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Los ping del Internet Control Message Protocol (ICMP) y el comando traceroute en PIX Firewall se manejan de forma diferente según la versión de PIX y el código ASA.

El ICMP entrante con el PIX/ASA es denegado de forma predeterminada. El ICMP de salida está permitido, pero la respuesta entrante es denegada de forma predeterminada.

Nota: La información en hace que el Firewall aparece en un Traceroute en ASA/PIX la sección de este documento se aplica a las Versiones de ASA 8.0(3) y posterior. Las versiones antes de 8.0(3) no soportan la configuración explicada en esta sección debido al bug CSCsk76401 (clientes registrados solamente).

prerrequisitos

Requisitos

No hay requisitos previos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Software PIX versiones 4.1(6) y posteriores

  • Dispositivo de seguridad de las 5500 Series de Cisco ASA que funciona con y posterior las versiones 7.x para los ping de ICMP

  • Dispositivo de seguridad de las 5500 Series de Cisco ASA que funciona con 8.0(3) y posterior las versiones para Traceroute en el ASA

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Diagrama de la red

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/15246-31a.gif

Nota: Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son las direcciones RFC1918 que se han utilizado en un entorno de laboratorio.

Envíe un ping a través del PIX

Software PIX/ASA Versiones 7.x

Comandos ping entrantes

Los ping iniciados desde una red externa, u otra interfaz de seguridad baja del PIX, son denegados de forma predeterminada. Los comandos ping están permitidos a través del uso de listas de acceso y estáticas o listas de acceso solamente. En este ejemplo, se puede acceder al servidor que se encuentra dentro del PIX a través de los ping externos. Se crea una traducción estática entre la dirección interna (10.1.1.5) y la dirección externa (192.168.1.5).

pix(config)#static (inside,outside) 192.168.1.5 10.1.1.5 netmask 255.255.255.255
pix(config)#access-list 101 permit icmp any host 192.168.1.5 echo
pix(config)#access-group 101 in interface outside

Pings salientes

Hay dos opciones en PIX 7.x que permiten que los usuarios internos hagan ping a los hosts desde el exterior. La primera opción es establecer una regla específica para cada tipo de mensaje de eco.

Por ejemplo:

access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any source-quench 
access-list 101 permit icmp any any unreachable  
access-list 101 permit icmp any any time-exceeded
access-group 101 in interface outside

Esto permite solamente estos mensajes de retorno con el firewall cuando un usuario interior hace ping a un host exterior. Los otros tipos de mensajes de estado ICMP pueden ser hostiles y el firewall bloquea el resto de mensajes ICMP.

Otra opción es configurar ICMP inspection. Esto permite que una dirección IP confiable atraviese el firewall y permite respuestas a la dirección confiable solamente. De esta manera, los hosts en todas las interfaces internas pueden hacer ping a los hosts desde el exterior y el firewall permite que vuelvan las respuestas. Esto también le da la ventaja de supervisar el tráfico ICMP que atraviesa el firewall. En este ejemplo, la inspección icmp se agrega a la política global de inspección predeterminada.

Por ejemplo:

policy-map global_policy
    class inspection_default
     inspect icmp

Hacer ping a otra interfaz

El comando del Acceso de administración permite que los usuarios conecten con la interfaz de Acceso de administración del exterior SOLAMENTE cuando el usuario está conectado con el PIX/ASA usando un IPSec VPN completo o el cliente VPN SSL (cliente del túnel de AnyConnect 2.x, SVC 1.x) o a través IPSec sitio a sitio de un túnel.

No se puede acceder a la interfaz interna del PIX desde el exterior, y viceversa, a menos que la administración de acceso se configure en el modo de configuración global. Una vez que se habilita el Acceso de administración, el acceso de Telnet, de SSH, o HTTP se debe configurar para los host deseados.

pix(config)#management-access inside
pix(config)#show running-config management-access
management-access inside

Nota:  Para el ASA, los tipos ICMP de 127 y abajo han puesto en hard-code el examen que no se puede apagar. El comando icmp de la inspección no tiene ninguna influencia en este examen cuando es con./desc.

Nota: Un mensaje de destino inalcanzable que es enviado una manera a través del ASA que se refiere a un paquete que no ha atravesado ya el ASA será señalado por medio de una bandera y parado. Esta capacidad protectora no se puede apagar.

Software PIX Versiones 5.0.1 a 6.3.3

El ICMP entrante con el PIX es denegado de forma predeterminada; El ICMP de salida está permitido, pero la respuesta entrante es denegada de forma predeterminada.

Nota: La versión 6.3.3 es la versión más reciente del código disponible al momento de la publicación. Para versiones posteriores, consulte release notes para conocer los posibles cambios.

Comandos ping entrantes

El ICMP entrante está permitido con una sentencia de conducto o una declaración de la lista de acceso,según cuál utilice en el PIX. No mezcle conductos y listas de acceso.

Este ejemplo muestra cómo permitir que el ICMP del dispositivo 10.1.1.5 se inicie desde el interior (estática a 192.168.1.5) a través de todos los dispositivos externos:

static (inside,outside) 192.168.1.5 10.1.1.5 netmask 255.255.255.255 0 0

!--- and either


conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo

!--- or


access-list 101 permit icmp any host 192.168.1.5 echo
access-group 101 in interface outside

Pings salientes

Las respuestas al ICMP de salida son permitidas con una sentencia de conducto o una declaración de lista de acceso, según cuál utiliza en el PIX. No mezcle conductos y listas de acceso.

Este ejemplo muestra cómo permitir las respuestas a las solicitudes de ICMP iniciadas desde el interior del dispositivo 10.1.1.5 (estática a 192.168.1.5) desde el exterior de los dispositivos:

static (inside,outside) 192.168.1.5 10.1.1.5 netmask 255.255.255.255 0 0

!--- and either


conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo-reply
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 source-quench
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 unreachable
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 time-exceeded

!--- or 


access-list 101 permit icmp any host 192.168.1.5 echo-reply
access-list 101 permit icmp any host 192.168.1.5 source-quench
access-list 101 permit icmp any host 192.168.1.5 unreachable
access-list 101 permit icmp any host 192.168.1.5 time-exceeded
access-group 101 in interface outside

Software PIX Versiones 4.2(2) a 5.0.1

El ICMP entrante con el PIX es denegado de forma predeterminada. El ICMP de salida está permitido, pero la respuesta entrante es denegada de forma predeterminada.

Comandos ping entrantes

Se puede permitir ICMP entrante con una sentencia de conducto.

Este ejemplo muestra cómo permitir que el ICMP del dispositivo 10.1.1.5 se inicie desde el interior (estática a 192.168.1.5) a través de todos los dispositivos externos:

static (inside,outside) 192.168.1.5 10.1.1.5 netmask 255.255.255.255 0 0
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo

Pings salientes

Se pueden permitir respuestas al ICMP saliente con una sentencia de conducto.

Este ejemplo muestra cómo permitir las respuestas a las solicitudes de ICMP iniciadas desde el interior del dispositivo 10.1.1.5 (estática a 192.168.1.5) desde el exterior de los dispositivos:

static (inside,outside) 192.168.1.5 10.1.1.5 netmask 255.255.255.255 0 0
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo-reply
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 source-quench
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 unreachable
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 time-exceeded

Software PIX Versiones 4.1(6) a 4.2(2)

El ICMP entrante con el PIX es denegado de forma predeterminada. El ICMP de salida se permite de manera predeterminada.

Comandos ping entrantes

Se puede permitir ICMP entrante con una sentencia de conducto.

Este ejemplo muestra cómo permitir que el ICMP del dispositivo 10.1.1.5 se inicie desde el interior (estática a 192.168.1.5) a través de todos los dispositivos externos:

static (inside), outside) 192.168.1.5 10.1.1.5
conduit 192.168.1.5 8 icmp 0.0.0.0 0.0.0.0


!--- The 8 is for echo request; these are from RFC 792.

Consulte la sección Tipos de Mensajes ICMP (RFC 792) de este documento para obtener más información.

Pings salientes

El ICMP de salida y las respuestas se permiten de forma predeterminada.

Envíe los ping a las interfaces PIX

En las versiones de software PIX se permite 4.1(6) a 5.2.1, tráfico ICMP a la interfaz PIX. El PIX no se puede configurar para que no responda. No puede hacer ping a las interfaces en el “lado alejado” del PIX en ninguna versión. Basado en el diagrama de red de este documento:

  • No puede hacer ping al 10.1.1.1 desde el 10.1.1.5.

  • No puede hacer ping al 192.168.1.1 desde el exterior.

  • No puede hacer ping al 192.168.1.1 desde el 10.1.1.5.

  • No puede hacer ping al 10.1.1.1 desde el exterior.

En el Software PIX versiones 5.2.1, el ICMP aún está permitido de forma predeterminada, pero las respuestas al ping PIX desde las interfaces se pueden inhabilitar con el comando ICMP (es decir, una “PIX sigiloso”).

icmp permit|deny [host] src_addr [src_mask] [type] int_name

En este ejemplo, el PIX no puede enviar las respuestas de eco en respuesta a las solicitudes de eco:

icmp deny any echo outside

Como sucede con las listas de acceso, a falta de sentencias de permiso, también existe una negación implícita de todo el tráfico ICMP.

Este comando permite pings desde la red inmediatamente fuera del PIX:

icmp permit 192.168.1.0 255.255.255.0 echo outside

Como sucede con las listas de acceso, a falta de sentencias de permiso, también existe una negación implícita de todo el tráfico ICMP.

El comando traceroute entrante a través de PIX

Problema: El PIX Firewall oculta todas las redes internas en la salida de los traceroutes de entrada.

Resolución:

El PIX no soporta el comando traceroute. Cuando un traceroute se emite desde el exterior, el PIX no visualiza su propia interfaz de la dirección IP ni visualiza las direcciones IP de las redes internas. La dirección de destino se visualiza varias veces para cada salto interno.

Los traceroutes funcionan solamente con las Traducciones de dirección de red estáticas (NAT) y no con las Direcciones IP de la Traducción de Dirección de Puerto (PAT). Por ejemplo, un cliente de Internet con la dirección 209.165.202.130 realiza un traceroute a un servidor web en el interior del PIX con una dirección pública de 209.165.201.25 y una dirección privada de 10.1.3.25. Hay dos routers entre el PIX y el servidor Web interno. La salida del traceroute en el equipo del cliente aparece de esta manera:

Target IP address: 209.165.201.25 Source address: 209.165.202.130

 Tracing the route to 209.165.201.25 
  1 209.165.202.128 4 msec 3 msec 4 msec 
  2 209.165.201.25 3 msec 5 msec 0 msec 
  3 209.165.201.25 4 msec 6 msec 3 msec 
  4 209.165.201.25 3 msec 2 msec 2 msec 

En la versión de PIX 6.3 y posterior, este comportamiento puede deshacerse si se emite el comando fixup protocol icmp error. Cuando se habilita esta función, el PIX crea los xlates para los saltos intermedios que envían mensajes de error del Internet Control Message Protocol (ICMP), sobre la base de la configuración de la NAT estática. El PIX sobrescribe el paquete con las direcciones IP traducidas.

Cuando se habilita la NAT en PIX 7.0, las direcciones IP de las interfaces PIX y las direcciones IP reales de los saltos intermedios no pueden verse. Sin embargo, en PIX 7.0, la NAT no es fundamental y se puede inhabilitar con el comando no nat-control. Si se quita la regla NAT, la dirección IP puede verse si es enrutable.

Configure el PIX/ASA para mostrar su red interna de la red externa:

ciscoasa#config t 
ciscoasa(config)#access-list internal-out permit icmp any any echo-reply 
ciscoasa(config)#access-list internal-out permit icmp any any time-exceeded 
ciscoasa(config)#access-list internal-out permit icmp any any unreachable 
ciscoasa(config)#policy-map global_policy 
ciscoasa(config-pmap)#class inspection_default 
ciscoasa(config-pmap-c)#
inspect icmp
 
ciscoasa(config-pmap-c)#
inspect icmp error
 
ciscoasa(config-pmap-c)#end 
ciscoasa(config)#service-policy global_policy global
ciscoasa(config)#access-group internal-out in interface outside

Para obtener más información, consulte el comando traceroute de entrada a través de la sección PIX de PIX y el comando traceroute.

Haga que el Firewall se muestre en Traceroute en ASA/PIX

ciscoasa(config)#class-map class-default
ciscoasa(config)#match any


!--- This class-map exists by default.


ciscoasa(config)#policy-map global_policy


!--- This Policy-map exists by default.


ciscoasa(config-pmap)#class class-default


!--- Add another class-map to this policy.


ciscoasa(config-pmap-c)#set connection decrement-ttl


!--- Decrement the IP TTL field for packets traversing the firewall.
!--- By default, the TTL is not decrement hiding (somewhat) the firewall.


ciscoasa(config-pmap-c)#exit
ciscoasa(config-pmap)#exit
ciscoasa(config)#service-policy global_policy global


!--- This service-policy exists by default.

WARNING: Policy map global_policy is already configured as a service policy

ciscoasa(config)#icmp unreachable rate-limit 10 burst-size 5


!--- Adjust ICMP unreachable replies:
!--- The default is rate-limit 1 burst-size 1.
!--- The default will result in timeouts for the ASA hop:


ciscoasa(config)#access-list outside-in-acl remark Allow ICMP Type 11 for Windows tracert
ciscoasa(config)#access-list outside-in-acl extended permit icmp any any time-exceeded


!--- The access-list is for the far end of the ICMP traffic (in this case
!---the outside interface) needs to be modified in order to allow ICMP type 11 replies
!--- time-exceeded):

ciscoasa(config)#access-group outside-in-acl in interface outside


!--- Apply access-list to the outside interface.

ciscoasa(config)#

Ejemplo:

Topología

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/15246-31b.gif

Nota: Los esquemas de dirección IP usados en esta configuración no son legalmente enrutables en Internet. Son las direcciones RFC1918 que fueron utilizadas en un entorno de laboratorio.

Antes de aplicar el cambio de política:

C:\>tracert -d www.yahoo.com.

Tracing route to www.yahoo-ht3.akadns.net [192.168.93.52]
over a maximum of 30 hops:

  1     1 ms    <1 ms    <1 ms  172.16.2.1

!--- First shown hop is Router 1
     
  2     6 ms     6 ms     5 ms  192.168.100.101
(etc...)

Después de aplicar el cambio de política:

C:\>tracert -d www.yahoo.com.

Tracing route to www.yahoo-ht3.akadns.net [192.168.93.52]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  172.16.2.254
  
!--- First shown hop is ASA

  2    <1 ms    <1 ms    <1 ms  172.16.2.1

!---  Router 1 is now second hop

  3     6 ms     6 ms     6 ms  192.168.100.101
 (etc...)

Mensaje de Error - 313005

Mensaje de error

%PIX|ASA-4-313005: No matching connection for ICMP error message: 
icmp_msg_info on interface_name interface. Original IP payload: 
embedded_frame_info icmp_msg_info = icmp src src_interface_name:src_address dst 
dest_interface_name:dest_address (type icmp_type, code icmp_code) 
embedded_frame_info = prot src source_address/source_port dst 
dest_address/dest_port

Explicación

El security appliance descarta los paquetes de error de ICMP porque los mensajes de error ICMP no se relacionan con ninguna sesión establecida en el security appliance.

Acción Recomendada

Si la causa es un ataque, puede denegar el host con las ACL.

Tipos de Mensajes ICMP (RFC 792)

Número de mensaje Mensaje
0 Respuesta de eco
3 destino inalcanzable
4 Apagado de fuente
5 Redireccionar
8 Eco
11 Tiempo excedido
12 Problema de parámetro
13 Grupo fecha/hora
14 Respuesta de indicación de fecha y hora
15 Solicitud de información
16 Respuesta de información

Información que Debe Recopilarse si se Abre una Solicitud de Servicio

Si aún necesita ayuda después de seguir los pasos de troubleshooting anteriores y desea abrir una solicitud de servicio con el TAC de Cisco, asegúrese de incluir la siguiente información para hacer troubleshooting de su PIX Firewall.
  • Descripción del problema y detalles relevantes de la topología
  • Resolución de problemas realizada antes de abrir el servicio solicitado
  • Resultado del comando show tech-support
  • Resultado del comando show log después de la ejecución con el comando logging buffered debugging o capturas de consola que muestran el problema (si están disponibles)
Adjunte los datos recolectados a su pedido de servicio en formato de texto sin comprimir (.txt). Usted puede adjuntar información a su solicitud de servicio al cargarla usando la herramienta Service Request Query Tool(clientes registrados solamente). Si no puede acceder a la herramienta Service Request Query Tool, puede enviar la información en un archivo adjunto del correo electrónico a attach@cisco.com con su número de solicitud de servicio en el asunto de su mensaje.


Información Relacionada


Document ID: 15246