Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

Usando y configurando a los grupos de objetos PIX/ASA/FWSM

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento describe a los grupos de objetos, una característica introducida en la versión 6.2 del código PIX. El agrupamiento de objetos permite la recolección en grupos de objetos como hosts o redes IP, protocolos, puertos y los tipos de Protocolo de mensaje de control de Internet (ICMP). Una vez configurado, un grupo de objetos puede ser utilizado con los comandos PIX standard conduit o access-list para referirse a todos los objetos dentro de ese grupo. Esto reduce el tamaño de la configuración.

Nota: No puede cambiar el nombre de los grupos de objetos. Necesita borrarlos y aplicarlos otra vez con los cambios.

Nota: Una vez que la lista de acceso se crea con los grupos de objetos, debe aplicarse a la interfaz con el comando access-group.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco PIX Software Release 6.2(2) y posterior

  • Cisco 515 PIX Firewall (cualquier modelo PIX funciona con estas configuraciones)

  • Cisco ASA with Software release 7.0 y posterior

  • Cisco Firewall Service Module (FWSM) que ejecuta la versión de software 1.1 y posterior

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos Relacionados

La información en este documento también se aplica al Cisco 5500 Series Adaptive Security Appliance (ASA) que ejecuta la versión de software 7.0 y posterior.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte las Convenciones de Consejos Técnicos de Cisco.

Uso de los Grupos de Objetos

Cuando utiliza un grupo de objetos dentro de un comando, debe utilizar la palabra clave object-group antes del nombre del grupo, como se muestra en de este ejemplo.

access-list 100 permit object-group protocols object-group
   remotes object-group locals object-group services

En este ejemplo, las palabras los protocolos, remotos, locales y servicios son nombres de grupos de objetos definidos anteriormente. Los grupos de objetos también pueden ser anidados, donde puede incluir a un grupo de objetos como subconjunto de otro grupo de objetos.

En este resultado se muestra el comando set.

object-group grp_id

object-group description description_text

group-object object_grp_name


object-group icmp-type grp_id

icmp-object icmp_type


object-group network grp_id

network-object host host_addr

network-object net_addr netmask

object-group protocol grp_id

protocol-object protocol


object-group service grp_id {tcp|udp|tcp-udp}

port-object eq service

port-object range begin_service end_service

Configuración de Grupos de Objetos

Configuración de tipo ICMP

El grupo de objetos de tipo ICMP se utiliza para especificar los tipos específicos de ICMP para utilizar solamente con las listas de control de acceso ICMP (ACLs) y los conductos. Puede encontrar una lista completa de tipos ICMP en referencia de comandos de PIX para el comando object-group.

(config)#object-group icmp-type icmp-allowed
(config-icmp-type)#icmp-object echo 
(config-icmp-type)#icmp-object time-exceeded
(config-icmp-type)#exit

(config)#access-list 100 permit icmp any any object-group icmp-allowed

Configuración de red

Utilice el grupo de objetos de red para especificar las direcciones IP o los rangos de subred del host que desee definir en una ACL o un conducto. Las direcciones IP del host tienen como prefijo la palabra clave host y pueden ser una dirección IP o un nombre de host ya definido con el comando name. Puede utilizar este grupo de objetos como el origen o destino en la ACL o el conducto asociados.

(config)#names
(config)#name 10.1.1.10 myFTPserver

(config)#object-group network ftp_servers

(config-network)#network-object host 10.1.1.14
(config-network)#network-object host myFTPserver

(config-network)#network-object 10.1.1.32 255.255.255.224
(config-network)#exit

(config)#access-list 101 permit ip any object-group ftp_servers

Si esta lista consiste solamente en servidores FTP, este ejemplo específico se aplica.

(config)#access-list 101 permit tcp any object-group ftp_servers eq ftp

Configuración de protocolos

Utilice al grupo de objetos del protocolo para especificar un protocolo que dese definir en una ACL o un conducto. Puede utilizar este grupo de objetos como el tipo de protocolo solamente en la ACL o el conducto asociados. Observe que los protocolos permitidos para este grupo de objetos son solamente los nombres de protocolo estándar PIX permitidos en una lista de acceso o un comando conduit, tal como Protocolo de control de transmisión (TCP), User Datagram Protocol (UDP), (GRE) Generic Routing Encapsulation, (EIGRP) Enhanced Interior Gateway Routing Protocol, el Encapsulating Security Payload (ESP), Authentication Header (AH), etc. Los protocolos que están por encima del TCP o del UDP no se pueden especificar con un grupo de objetos del protocolo. En cambio, estos protocolos utilizan un grupo de objetos, como se muestra en este ejemplo.

(config)#object-group protocol proto_grp_1
 
(config-protocol)#protocol-object udp
(config-protocol)#protocol-object tcp
(config-protocol)#protocol-object esp
(config-protocol)#exit

(config)#access-list 102 permit object-group proto_grp_1 any any

Configuración de servicio

Utilice el grupo de objetos de servicio para especificar puertos TCP o UDP específicos o generales que desea definir en una ACL o un conducto. Puede utilizar a este grupo de objetos como el puerto de origen o puerto de destino en la ACL o el conducto asociados, como se muestra en este ejemplo.

(config)#object-group service allowed_prots tcp
(config-service)#port-object eq ftp
(config-service)#port-object range 2020 2021
(config-service)#exit

(config)#object-group service high_ports tcp-udp
(config-service)#port-object range 1024 65535
(config-service)#exit 

(config)#access-list 103 permit tcp any object-group 
          high_ports any object-group allowed_prots

Nota: Se introdujeron objeto-grupo de servicio mejorados con la publicación de la versión de software 8.0. Los grupos de objetos del servicio mejorado habilitan ASA/PIX para combinar los protocolos de IP en el mismo grupo de servicios, que elimina la necesidad de grupos de objetos específicos del protocolo y de tipo icmp. El tipo de protocolo no debe ser especificado para configurar un objeto-grupo de servicio mejorado.

(config)#object-group service RTPUsers
(config-service)#service-object icmp echo-reply
(config-service)#service-object icmp echo
(config-service)#service-object tcp http
(config-service)#service-object tcp https
(config-service)#service-object tcp http
(config-service)#service-object tcp pptp
(config-service)#service-object udp domain
(config-service)#service-object udp isakmp
(config-service)#service-object esp
(config-service)#service-object gre
(config-service)#exit 
(config)#access-list acl_inside permit object-group RTPUsers 192.168.50.0 
255.255.255.0 any
(config)#show access-list acl_inside
access-list acl_inside line 1 extended permit object-group RTPUsers 
192.168.50.0 255.255.255.0 any 
access-list acl_inside line 1 extended permit icmp 
192.168.50.0 255.255.255.0 any echo-reply (hitcnt=0) 
access-list acl_inside line 1 extended permit icmp 
192.168.50.0 255.255.255.0 any echo (hitcnt=0) 
access-list acl_inside line 1 extended permit tcp 
192.168.50.0 255.255.255.0 any eq www (hitcnt=0) 
access-list acl_inside line 1 extended permit tcp 
192.168.50.0 255.255.255.0 any eq https (hitcnt=0) 
access-list acl_inside line 1 extended permit udp 
192.168.50.0 255.255.255.0 any eq domain (hitcnt=0) 
access-list acl_inside line 1 extended permit esp 
192.168.50.0 255.255.255.0 any (hitcnt=0) 
access-list acl_inside line 1 extended permit gre 
192.168.50.0 255.255.255.0 any (hitcnt=0) 
access-list acl_inside line 1 extended permit udp 
192.168.50.0 255.255.255.0 any eq isakmp (hitcnt=0) 
access-list acl_inside line 1 extended permit tcp 
192.168.50.0 255.255.255.0 any eq pptp (hitcnt=0) 

Configuración de anidamiento de objeto-grupo

Sólo los grupos de objetos del mismo tipo se pueden anidar en otro grupo. Por ejemplo, no puede anidar un grupo de objetos tipo protocolo en un grupo de objetos tipo red.

Para anidar a un grupo dentro de un grupo, ejecute el submandato group-object . En este ejemplo, puede utilizar el grupo all_hosts en una ACL o un conducto para especificar los cuatro hosts. O, puede utiliza host_grp_1 o host_grp_2 para especificar solamente los dos hosts dentro de cada grupo.

(config)#object-group network host_grp_1

(config-network)#network-object host 10.1.1.10
(config-network)#network-object host 10.1.1.14 
(config-network)#exit
       
(config)#object-group network host_grp_2

(config-network)#network-object host 172.16.10.1
(config-network)#network-object host 172.16.10.2
(config-network)#exit
       

(config)#object-group network all_hosts

(config-network)#group-object host_grp_1

(config-network)#group-object host_grp_2

(config-network)#exit

Verificación

Esta sección proporciona información que puede utilizar para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter (sólo para clientes registrados) permite utilizar algunos comandos “show” y ver un análisis del resultado de estos comandos.

  • show running-config object-group: muestra las ACLs definidas actualmente.

  • show access-list <acl>: muestra la ACL y el contador de aciertos asociado para cada una. Este comando muestra las entradas ACL ampliadas para cada grupo de objetos definido.

  • clear object-group [grp_type]: cuando se ingresa sin un parámetro, el ccomando clear object-group command quita todos los grupos de objetos definidos que no se usan en el comando. El uso del parámetro grp_type quita a todos los grupos de objetos definidos que no se utilicen en un comando para ese tipo de grupo solamente.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 25700