Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

ASA 7.x/PIX 6.x y Versiones Posteriores: Ejemplo de Configuración para Abrir o Bloquear los Puertos

10 Abril 2009 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (15 Febrero 2011) | Comentarios

Contenidos

Introducción
Prerrequisitos
      Requisitos
      Componentes Utilizados
      Productos Relacionados
      Convenciones
Configuración
      Diagrama de Red
      Configuración de Bloqueo de los Puertos
      Configuración de Apertura de los Puertos
Verificación
Solución de Problemas
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento proporciona un ejemplo de configuración sobre cómo abrir o bloquear los puertos para diversos tipos de tráfico, tales como http o ftp, en el dispositivo Security Appliance.

Nota: Los términos "abriendo el puerto" y "autorizando el puerto" significan lo mismo. Del mismo modo, "bloqueando el puerto" y "restringiendo el puerto" también significan lo mismo.

Prerrequisitos

Requisitos

Este documento supone que PIX/ASA está configurado y funciona correctamente.

Componentes Utilizados

La información de este documento se basa en Cisco 5500 Series Adaptive Security Appliance que ejecuta la versión 7.2(1).

La información de este documento se ha creado a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración vacía (predeterminada). Si su red está en funcionamiento, asegúrese de comprender el posible efecto de cualquier comando.

Productos Relacionados

Esta configuración también se puede utilizar con el Cisco 500 Series PIX Firewall Appliance con la versión de software 6.x o posteriores.

Convenciones

Consulte Convenciones sobre Consejos Técnicos de Cisco para obtener más información sobre las convenciones del documento.

Configuración

Cada interfaz debe tener un nivel de seguridad de 0 (más bajo) a 100 (más alto). Por ejemplo, debe asignar el nivel 100 a su red más segura, tal como la red de host interna. Mientras que la red externa conectada a Internet puede tener el nivel 0, las otras redes, como las DMZ, pueden tener un nivel intermedio. Puede asignar múltiples interfaces al mismo nivel de seguridad.

De forma predeterminada, todos los puertos se bloquean en la interfaz externa (nivel de seguridad 0) y todos los puertos se abren en la interfaz interna (nivel de seguridad 100) del dispositivo de seguridad. De este modo, todo el tráfico saliente puede pasar a través del dispositivo de seguridad sin necesidad de una configuración, pero el acceso del tráfico entrante debe autorizarse mediante la configuración de la lista de acceso y los comandos static en el dispositivo de seguridad.

Nota: En general, todos los puertos se bloquean desde la Zona de Seguridad Más Baja a la Zona de Seguridad Más Alta y todos los puertos se abren desde la Zona de Seguridad Más Alta a la Zona de Seguridad Más Baja; tomando en cuenta que esté habilitada la inspección de estado (stateful inspection) tanto para el tráfico entrante como saliente.

Esta sección comprende las siguientes subsecciones:

En esta sección, encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de Red

En este documento, se utiliza la siguiente configuración de red:

PIXASAopenblockports1.gif

Configuración de Bloqueo de los Puertos

El dispositivo de seguridad permite cualquier tráfico saliente, excepto que esté explícitamente bloqueado por una lista de acceso extendido.

Una lista de acceso está conformada por una o más Access Control Entries (ACE). Según el tipo de lista de acceso, usted puede especificar las direcciones de origen y destino, el protocolo, los puertos (para TCP o UDP), el tipo ICMP (para ICMP) o EtherType.

Nota: Para los protocolos sin conexión, como ICMP, el dispositivo de seguridad establece sesiones unidireccionales, de modo que usted necesita listas de acceso para autorizar el ICMP en ambas direcciones (mediante la aplicación de listas de acceso a las interfaces de origen y destino) o bien debe habilitar el motor de inspección del ICMP. El motor de inspección del ICMP trata las sesiones del ICMP como conexiones bidireccionales.

Siga estos pasos para bloquear los puertos, que generalmente se aplican al tráfico que se origina desde la zona interna (zona de seguridad más alta) a la DMZ (zona de seguridad más baja) o desde la DMZ a la zona externa.

  1. Cree una Access Control List (ACL) de forma que bloquee el tráfico del puerto especificado.

    access-list <name> extended deny <protocol> <source-network/source IP> <source-netmask> <destination-network/destination IP>
    <destinamtion-netmask> eq <port number>
    
    access-list <name> extended permit ip any any
    
  2. Luego vincule la lista de acceso con el comando access-group para activarla.

    access-group <access list name> in interface <interface name>
    

Ejemplos:

  1. Bloqueo del tráfico del puerto HTTP: Para bloquear el acceso de la red interna 10.1.1.0 al http (servidor Web) con IP 172.16.1.1 ubicada en la red DMZ, cree una ACL como se indica a continuación:

    ciscoasa(config)#access-list 100 extended deny tcp 10.1.1.0 255.255.255.0 host 172.16.1.1  eq 80
    ciscoasa(config)#access-list 100 extended permit ip any any
    ciscoasa(config)#access-group 100 in interface inside
    

    Nota: Utilice no seguido de los comandos de la lista de acceso para eliminar el bloqueo del puerto.

  2. Bloqueo del tráfico del puerto FTP: Para bloquear el acceso de la red interna 10.1.1.0 al FTP (servidor de archivos) con IP 172.16.1.2 ubicada en la red DMZ, cree una ACL como se indica a continuación:

    ciscoasa(config)#access-list 100 extended deny tcp 10.1.1.0 255.255.255.0 host 172.16.1.2  eq 21
    ciscoasa(config)#access-list 100 extended permit ip any any
    ciscoasa(config)#access-group 100 in interface inside
    

Nota: Consulte Puertos IANA para obtener más información sobre las asignaciones de puerto.

Configuración de Apertura de los Puertos

El dispositivo de seguridad no permite ningún tráfico entrante, excepto que esté explícitamente autorizado por una lista de acceso extendido.

Si desea permitir el acceso de un host externo a un host interno, puede aplicar una lista de acceso entrante en la interfaz externa. Debe especificar la dirección traducida del host interno en la lista de acceso porque esta dirección es la que puede utilizarse en la red externa. Siga estos pasos para abrir los puertos desde la zona de seguridad más baja a la zona de seguridad más alta. Por ejemplo, permita el tráfico desde la interfaz externa (zona de seguridad más baja) a la interna (zona de seguridad más alta) o desde la DMZ a la interfaz interna.

  1. El NAT estático crea una traducción fija de una dirección real a una dirección mapeada. Esta dirección mapeada es una dirección que los hosts en Internet pueden utilizar para acceder al servidor de la aplicación en la DMZ sin necesidad de conocer la dirección real del servidor.

    static (real_ifc,mapped_ifc) mapped_ip {real_ip [netmask mask] | access-list access_list_name | interface}
    

    Consulte la sección NAT Estático de Referencia de comandos para PIX/ASA para obtener más información.

  2. Cree una ACL para permitir el tráfico del puerto específico.

    access-list <name> extended permit <protocol> <source-network/source IP> <source-netmask> <destination-network/destination IP>
    <destinamtion-netmask> eq <port number>
    
  3. Vincule la lista de acceso con el comando access-group para activarla.

    access-group <access-list name> in interface <interface name>
    

Ejemplos:

  1. Apertura del tráfico del puerto SMTP: Abra el puerto tcp 25 para permitir que los hosts externos (Internet) accedan al servidor de correo ubicado en la red DMZ.

    El comando Static asigna la dirección externa 192.168.5.3 a la dirección DMZ real 172.16.1.3.

    ciscoasa(config)#static (DMZ,Outside) 192.168.5.3 172.16.1.3
     netmask 255.255.255.255
    ciscoasa(config)#access-list 100 extended permit tcp any host 192.168.5.3  eq 25
    ciscoasa(config)#access-group 100 in interface outside
    
  2. Apertura del tráfico del puerto HTTPS: Abra el puerto tcp 443 para permitir que los hosts externos (Internet) accedan al servidor Web (seguro) ubicado en la red DMZ.

    ciscoasa(config)#static (DMZ,Outside) 192.168.5.5 172.16.1.5
     netmask 255.255.255.255
    ciscoasa(config)#access-list 100 extended permit tcp any host 192.168.5.5  eq 443
    ciscoasa(config)#access-group 100 in interface outside
    
  3. Autorización del tráfico de DNS: Abra el puerto udp 53 para permitir a los hosts externos (Internet) acceder al servidor DNS (seguro) ubicado en la red DMZ.

    ciscoasa(config)#static (DMZ,Outside) 192.168.5.4 172.16.1.4
     netmask 255.255.255.255
    ciscoasa(config)#access-list 100 extended permit udp any host 192.168.5.4  eq 53
    ciscoasa(config)#access-group 100 in interface outside
    

Nota: Consulte Puertos IANA para obtener más información sobre las asignaciones de puerto.

Verificación

Puede verificar con determinados comandos show, como se indica a continuación:

  • show xlate: muestra la información de la traducción actual

  • show access-list: muestra los contadores de aciertos para las políticas de acceso

  • show logging: muestra los registros en el buffer

La herramienta Output Interpreter (sólo para clientes registrados) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis de los resultados de los comandos show.

Solución de Problemas

Actualmente, no hay información específica disponible sobre solución de problemas para esta configuración.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 91970