Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

El PIX y el comando traceroute

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento discute el permitir y el hacer el debug del comando traceroute con el PIX. El comando traceroute (que se puede conocer como tracert en un PC, la traza o traceroute en el software de Cisco IOS�, o traceroute en UNIX) puede ser utilizado para resolver problemas la Conectividad. El comando traceroute puede actuar basado diferentemente en el sistema operativo del dispositivo de origen (el cuadro que hace la traza). Refiérase usando el comando traceroute en los sistemas operativos para más información sobre los sistemas operativos y cómo el comando traceroute trabaja.

Los ejemplos en este documento muestran cómo permitir estos comandos con el PIX:

  • El comando microsoft traceroute (que confía en el [ICMP] del protocolo Protocolo de control de mensajes de Internet (ICMP))

  • El Cisco IOS o el comando traceroute de UNIX (que confía en una combinación de User Datagram Protocol (UDP) y de ICMP)

Nota: El PIX comenzó a soportar el lanzamiento del comando traceroute de la versión de software 7.2(1) y posterior. Vea el uso el comando traceroute del PIX seccionar para más información.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Diagrama de la red

/image/gif/paws/25708/pixtrace_01.gif

El comando traceroute de salida a través de PIX

Debe haber estático o sentencias globales para permitir la traducción de la dirección. En este ejemplo, la traducción es de 172.18.124.41 a 209.165.202.246. Por lo tanto, el enunciado estático es:

static (inside, outside) 209.165.202.246 172.18.124.41

Además de los parásitos atmosféricos o de las sentencias globales, los conductos o el Listas de control de acceso (ACL) también se agregan.

Microsoft

El ICMP de salida se permite de manera predeterminada. En las versiones de PIX 4.2.2 y posterior, las respuestas de la “respuesta de eco” del ICMP entrante “inalcanzable,” “time excedido,” y se deben permitir explícitamente vía los conductos o los ACL:

conduit permit icmp host 209.165.200.246 any unreachable
conduit permit icmp host 209.165.200.246 any time-exceeded
conduit permit icmp host 209.165.200.246 any echo-reply

En la versión de PIX 5.0.1 o más adelante, los ACL se puede utilizar en vez de los conductos (no conjuntamente con los conductos) para realizar la misma función:

access-group 101 in interface outside
access-list 101 permit icmp any host 209.165.200.246 unreachable
access-list 101 permit icmp any host 209.165.200.246 time-exceeded
access-list 101 permit icmp any host 209.165.200.246 echo-reply

Esto permite solamente estos mensajes de vuelta con el Firewall cuando un usuario interior hace una ruta del ping o de la traza a un host exterior. Los otros tipos de mensajes de estado ICMP pueden ser hostiles y el firewall bloquea el resto de mensajes ICMP.

En PIX 7.x, otra opción es configurar la inspección icmp. Esto permite que una dirección IP confiable atraviese el firewall y permite respuestas a la dirección confiable solamente. Esta manera, todas las interfaces interiores pueden hacer ping en el exterior y el firewall permite que las respuestas vuelvan. Esto también le da la ventaja de supervisar el tráfico ICMP que atraviesa el firewall.

Por ejemplo:

policy-map global_policy
    class inspection_default
    inspect icmp

Refiera a la referencia de comandos para más información sobre el comando icmp de la inspección.

Cisco IOS o UNIX

El ICMP de salida y el UDP se permite por abandono, al igual que respuestas al UDP saliente. En las versiones de PIX 4.2.2 y posterior, el ICMP entrante “tiempo se excedió” y las respuestas “inalcanzables” se deben permitir explícitamente vía los conductos o los ACL:

conduit permit icmp host 209.165.200.246 any unreachable
conduit permit icmp host 209.165.200.246 any time-exceeded

En la versión de PIX 5.0.1 o más adelante, los ACL se puede utilizar en vez de los conductos (no conjuntamente con los conductos) para realizar la misma función:

access-group 101 in interface outside
access-list 101 permit icmp any host 209.165.200.246 unreachable
access-list 101 permit icmp any host 209.165.200.246 time-exceeded

La vista del usuario

Esta salida es un ejemplo de un comando del Traceroute de salida con un PIX. Observe que usted no ve la interfaz interior del PIX pero vea “cerca de las interfaces” de cada router entre el dispositivo del seguimiento y el destino.

goss-c1-2513#trace 209.165.202.130

Type escape sequence to abort.
Tracing the route to 209.165.202.130

  1 172.18.124.40 0 msec 0 msec 4 msec
  2 209.165.200.241 12 msec 8 msec 96 msec
  3 209.165.202.130 104 msec 8 msec * 

En PIX 7.0, si se habilita el NAT, usted no puede ver los IP Addresses de las interfaces PIX y los IP Address reales de los saltos intermedios. Sin embargo, en PIX 7.0, el NAT no es una necesidad y se puede inhabilitar con el comando no nat-control. Si se quita la regla NAT, usted puede ver el IP Address real, a condición de que el IP Address real es routeable.

El comando traceroute entrante a través de PIX

Para utilizar el comando traceroute de conseguir a un dispositivo dentro del PIX, debe haber una correlación estática al dispositivo interno. En este ejemplo, la correlación estática es:

static (inside, outside) 209.165.202.246 172.18.124.41

Además de los parásitos atmosféricos o de las sentencias globales, los conductos o los ACL también se agregan.

Microsoft

En las versiones de PIX 4.2.2 y posterior, un ICMP entrante “generación de eco” debe ser permitido explícitamente:

conduit permit icmp host 209.165.200.246 any echo

En las versiones de PIX 5.0.1 o más adelante, los ACL se pueden utilizar en vez de los conductos (no conjuntamente con los conductos) para realizar la misma función:

access-group 101 in interface outside
access-list 101 permit icmp any host 209.165.200.246 echo

Cisco IOS o UNIX

El UDP entrante debe ser permitido. Porque los puertos de origen y de destino son al azar, todo el UDP se permite al dispositivo:

conduit permit udp host 209.165.200.246 any

En las versiones de PIX 5.0.1 o más adelante, los ACL se pueden utilizar en vez de los conductos (no conjuntamente con los conductos) para realizar la misma función:

access-group 101 in interface outside
access-list 101 permit udp host 209.165.200.246 any

La vista del usuario

Esta salida es un ejemplo de un comando traceroute entrante con un PIX. Las dos entradas para la dirección global son porque hay dos saltos más allá del PIX al dispositivo interno. Sin embargo, el PIX no divulga la dirección IP real del dispositivo interno (la correlación estática), ni usted ve la dirección IP del PIX en el anuncio.

goss-e4-2513a#trace 209.165.200.246

Type escape sequence to abort.
Tracing the route to 209.165.200.246

  1 209.165.202.129 4 msec 4 msec 8 msec
  2 209.165.200.246 4 msec 0 msec 4 msec
  3 209.165.200.246 8 msec 4 msec *

Utilice el comando traceroute de conseguir a las interfaces PIX

El PIX no se ve en la lista de rutas en los comandos traceroute salientes o entrantes. ¿Pero puede usted publicar un comando traceroute de conseguir a las interfaces PIX?

/image/gif/paws/25708/pixtrace_02.gif

Con este diagrama como un ejemplo, usted puede ver que el tráfico UDP y ICMP necesario para que el traceroute trabaje de A al C no es posible porque usted no puede enviar el tráfico UDP o ICMP del exterior a la dirección privada de la interfaz interior PIX, y configurar los parásitos atmosféricos para la interfaz interior es inválido. Un traceroute de D a B no es posible tampoco porque la interfaz exterior PIX no responde al UDP o al ICMP del interior. Por lo tanto, la publicación de un comando traceroute de A al C o a D a B no trabaja.

Estas tentativas al PIX sí mismo del traceroute de Microsoft trabajan.

  • Usted puede publicar un comando traceroute de D al C.

  • Usted puede publicar un comando traceroute de A al B.

Este Cisco IOS o tentativas al PIX sí mismo del traceroute de UNIX no trabaja.

  • Usted no puede publicar un comando traceroute de D al C.

  • Usted no puede publicar un comando traceroute de A al B.

En la versión de PIX 5.2, presentaron al comando icmp. Este comando permite que usted modifique el comportamiento del PIX al tráfico ICMP destinado a la interfaz local del PIX. Usted puede ahora habilitar/las peticiones de la neutralización ICMP recibidas por el PIX.

Configure estos comandos para parar el PIX de la respuesta a una tentativa del ping del host A:

icmp deny host A echo outside 
icmp permit any outside 

El comando second (permiso ICMP cualquier exterior) es necesario, como el valor por defecto es negar a cualquier tipo ICMP una vez el comando icmp es funcionando.

Utilice el comando traceroute del PIX

El PIX no soporta el lanzamiento del comando traceroute para arriba a través de la versión de software 7.1 pero comenzado a soportar este comando en la versión 7.2(1) y posterior.

Utilizan al comando traceroute de descubrir las rutas que los paquetes toman realmente cuando viajan a su destino. El dispositivo (por ejemplo, PIX o un router o un PC) envía los datagramas de una secuencia del protocolo de datagrama de usuario (UDP) a una dirección de puerto inválida en el host remoto.

Tres datagramas se envían, cada uno con un valor de campo definido del Tiempo para vivir (TTL) a 1. El valor de TTL de 1 causa el datagrama al descanso tan pronto como golpee al primer router en la trayectoria. Este router entonces responde con un Time Exceeded Message ICMP (TEM) que indica que ha expirado el datagrama.

Ahora se envían otros tres mensajes de UDP, cada uno de los cuales tiene el valor TTL configurado en 2. Esto hace que el segundo router devuelva TEM de ICMP. Este proceso continúa hasta que los paquetes alcancen realmente el otro destino. Puesto que estos datagramas intentan acceder un puerto no válido en la computadora principal de destino, se devuelven los mensajes inalcanzables del puerto ICMP, e indicar un puerto inalcanzable. Este señales de evento el programa Traceoute que está acabado.

Este ejemplo muestra el traceroute hecho salir que los resultados cuando se especifica un IP Address de destino:

 

PIX#traceroute 192.168.200.225

Tracing the route to 192.168.200.225

 1  10.83.194.1 0 msec 10 msec 0 msec

 2  10.83.193.65 0 msec 0 msec 0 msec

 3  10.88.193.101 0 msec 10 msec 0 msec

 4  10.88.193.97 0 msec 0 msec 10 msec

 5  10.88.239.9 0 msec 10 msec 0 msec

 6  10.88.238.65 10 msec 10 msec 0 msec

 7 172.16.7.221 70 msec 70 msec 80 msec  

 8 192.168.200.225 70 msec 70 msec 70 msec

Refiera a la referencia de comandos de la versión de software PIX 7.2 para aprender más sobre el comando traceroute.

Troubleshooting

  • ¿Puede usted publicar un comando traceroute a los dispositivos a cada lado del PIX?

  • ¿Puede usted hacer ping del PIX al dispositivo externo y del PIX al dispositivo interno?

  • ¿Puede usted hacer ping del dispositivo externo al PIX y del dispositivo interno al PIX?

  • ¿El traceroute falla de un PC y Cisco IOS o caja UNIX?

  • ¿Dónde el traceroute falla?

  • ¿Los dispositivos medios tienen ACL que pudieron bloquear el tráfico?

  • ¿Todo el fall del tráfico o apenas el traceroute trafica?

  • ¿Hay asignaciones del dispositivo estático configuradas para el traceroute entrante?

  • ¿El dispositivo interno tiene una ruta al PIX?

Tenga mucho cuidado cuando usted agrega los comandos debug a un PIX pesadamente cargado. Sin embargo, sobre la base de la cantidad de tráfico con el PIX, el hacer el debug de se puede girar:

debug icmp trace

Usted puede también girar el debug del paquete para una o más interfaces:

debug packet inside src 172.18.124.41 dst 209.165.202.130 proto udp both
debug packet outside src 209.165.202.130 dst any proto udp both

Esta salida muestra un debug parcial en un traceroute entrante:

172.18.124.41   ==>     209.165.202.130
       ttl = 0x1       proto=0x11      chksum = 0xf23d
      -- UDP --
Inbound  ICMP time exceeded (code 0) 209.165.200.241 > 209.165.200.243 > 
   172.18.124.41
172.18.124.41   ==>     209.165.202.130
       ttl = 0x2       proto=0x11      chksum = 0xf138
    -- UDP --
Inbound  ICMP unreachable (code 3) 209.165.202.130 > 209.165.200.243 > 
   172.18.124.41

Esta salida muestra un debug parcial en un Traceroute de salida:

209.165.202.130 ==>     209.165.200.246
        ttl = 0x2       proto=0x11      chksum = 0x7f29
        -- UDP --
153: Outbound ICMP unreachable (code 3) 172.18.124.41 > 209.165.200.246 > 
   209.165.202.130

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 25708