Guía de configuración de la Seguridad de Cisco IOS: Sujeción del avión de los datos, versión 12.2SR
Configuración de Port to Application Mapping
6 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 186 KB | Inglés (19 Febrero 2008) | Comentarios

Contenidos

Configuración de Port to Application Mapping

Contenido

Información sobre el puerto a la asignación de la aplicación

Cómo el PAM trabaja

Mapping de Puertos Definido por el Sistema

Mapping de Puertos Definido por el Usuario

Mapping de Puerto Específico de Host

PAM y CBAC

Cuándo Usar PAM

Cómo configurar el puerto a la asignación de la aplicación

Configurar los ACL estándar

Configurar el PAM

Verificar el PAM

Monitoreo y Mantenimiento de PAM

Ejemplos de configuración para el puerto a la asignación de la aplicación

Ejemplo: Asociar una aplicación a un puerto no estándar

Ejemplo: Asociar una aplicación con un rango de puertos

Ejemplo: Entrada de la asignación del puerto no válido

Ejemplo: Asociar una aplicación a un puerto para un host específico

Ejemplo: Asociar una aplicación a un puerto para una subred

Ejemplo: Reemplazar una correlación de puertos Sistema-definida

Ejemplo: Asociar diversas aplicaciones al mismo puerto


Configuración de Port to Application Mapping


Este capítulo describe el puerto del Firewall Cisco IOS a la característica de la asignación de la aplicación (PAM). El PAM habilita las aplicaciones soportado por CBAC que se ejecutarán en los puertos no estándar. Usando el PAM, los administradores de la red pueden personalizar el control de acceso para que las aplicaciones y los servicios específicos cubran las necesidades distintas de sus redes.

Para una descripción completa de los comandos PAM en este capítulo, refiera al capítulo “puerto a los comandos de la asignación de la aplicación” de la referencia de comandos de la Seguridad de Cisco IOS. Para encontrar documentación de otros comandos que aparecen en este capítulo, utilice el índice principal de referencia de comandos, o busque en línea.

Para identificar la información de la plataforma de hardware o de la imagen de software asociada con una función, utilice el Feature Navigator en Cisco.com para buscar información sobre la función o consulte las notas de versión del software para una versión específica. Para obtener más información, vea la sección "Identificación de Plataformas Soportadas" del capítulo "Uso de Cisco IOS Software".

Contenido

Información sobre el puerto a la asignación de la aplicación

Cómo configurar el puerto a la asignación de la aplicación

Ejemplos de configuración para el puerto a la asignación de la aplicación

Información sobre el puerto a la asignación de la aplicación

El puerto a la asignación de la aplicación (PAM) es una característica del conjunto de funciones del Cisco IOS Firewall. El PAM permite que usted personalice los números del puerto TCP o UDP para los servicios de red o las aplicaciones. El PAM utiliza esta información para soportar los entornos de red que dirigen los servicios usando los puertos que son diferentes del haber registrado o de los puertos conocidos asociados a una aplicación.

Usando la información de puerto, el PAM establece una tabla de información de mapeo predeterminada de la puerto-a-aplicación en el Firewall. La información en la tabla PAM permite a los servicios admitidos del Control de acceso basado en el contexto (CBAC) para ejecutarse en los puertos no estándar. Previamente, el CBAC fue limitado a examinar el tráfico usando solamente los puertos bien conocidos o registradoes asociados a una aplicación. Ahora, el PAM permite que los administradores de la red personalicen el Control de acceso a la red para las aplicaciones y los servicios específicos.

Los soportes PAM también reciben o la correlación de puertos específica de la subred, que permite que usted aplique el PAM a un solo host o la subred usando el Listas de control de acceso (ACL) estándar. La correlación de puertos específica del host o de la subred se hace usando los ACL estándar.

Esta sección contiene las secciones siguientes:

Cómo el PAM trabaja

Mapping de Puertos Definido por el Sistema

PAM y CBAC

Cuándo Usar PAM

Cómo el PAM trabaja

El PAM genera una tabla de información que identifique las aplicaciones específicas con la información de puerto específica TCP o UDP. Cuando el router de escudo de protección primero empieza para arriba, la tabla PAM se puebla con la información de mapeo sistema-definida. Pues usted personaliza la información de mapeo, la tabla PAM se modifica con la nueva información. La información en la tabla PAM sirve como la asignación del puerto predeterminado para el tráfico que pasa con el Firewall.

El PAM trabaja con el CBAC para identificar las aplicaciones asociadas a los diversos números del puerto, incluyendo los servicios que se ejecutan en los puertos no estándar, pues examina el tráfico que pasa con el Firewall. Previamente, el CBAC fue limitado a examinar el tráfico usando solamente los puertos bien conocidos o registradoes asociados a una aplicación.

Las entradas en la tabla PAM proporcionan tres tipos de información de mapeo:

Mapping de Puertos Definido por el Sistema

Mapping de Puertos Definido por el Usuario

Mapping de Puerto Específico de Host

Mapping de Puertos Definido por el Sistema

El PAM crea una tabla, o la base de datos, de las entradas que asocian sistema-definidas usando la información bien conocida o registradoa de la correlación de puertos configurada durante el lanzamiento de sistema. Las entradas sistema-definidas comprenden todos los servicios soportados por el CBAC, que requiere la información de mapeo sistema-definida funcionar correctamente. La información de mapeo sistema-definida no puede ser borrada o ser cambiada; es decir, usted no puede asociar los servicios HTTP al (FTP) del puerto 21 o los servicios FTP al puerto 80 (HTTP).


Notausted puede reemplazar las entradas sistema-definidas para los hosts específicos usando la opción host-específica PAM. Refiera a la sección “correlación de puertos Host-específica” en este capítulo.


El cuadro 42 enumera los servicios y las aplicaciones sistema-definidos valor por defecto en la tabla PAM.

Correlación de puertos Sistema-definida del cuadro 42 

Nombre de la aplicación
Bien conocido o
Número del puerto registrado
Descripción del protocolo

cuseeme

7648

Protocolo CU-SeeMe

exec

512

Ejecución de proceso remota

FTP

21

Protocolo FTP (puerto de control)

http

80

Protocolo de transporte de hipertexto

h323

1720

Protocolo de H.323 (por ejemplo, NetMeeting MS, teléfono con video de Intel)

login

513

Remote login

mgcp

2427

Media Gateway Control Protocol

msrpc

135

Llamada a procedimiento remoto de Microsoft

netshow

1755

Microsoft NetShow

real-audio-vídeo

7070

RealAudio y RealVideo

rtsp

8559

Protocolo de flujo en tiempo real

shell

514

Comando remoto

sorbo

5060

Session Initiation Protocol

smtp

25

Protocolo Simple Mail Transfer

sqlnet

1521

SQL-NET

streamworks

1558

Protocolo StreamWorks

sunrpc

111

Llamada a procedimiento remoto del SOL

telnet

23

Telnet

tftp

69

Trivial File Transfer Protocol

vdolive

7000

Protocolo VDOLive


Esta sección contiene las siguientes secciones:

Mapping de Puertos Definido por el Usuario

Mapping de Puerto Específico de Host

Mapping de Puertos Definido por el Usuario

Los servicios de red o las aplicaciones que utilizan los puertos no estándar requieren las entradas definidas por el usario en la tabla PAM. Por ejemplo, su red pudo dirigir los servicios HTTP en el puerto no estándar 8000 en vez en del puerto predeterminado sistema-definido (puerto 80). En este caso, usted puede utilizar el PAM para asociar el puerto 8000 con los servicios HTTP. Si los servicios HTTP se ejecutan en otros puertos, utilice el PAM para crear las entradas adicionales de la correlación de puertos. Después de que usted defina una correlación de puertos, usted puede sobregrabar esa entrada en otro momento simplemente asociando que específico vire hacia el lado de babor con una diversa aplicación.


Observesi usted intentan asociar una aplicación a un puerto sistema-definido, aparece un mensaje que le advierte de un conflicto de la asignación.


La información definida por el usario de la correlación de puertos puede también especificar un rango de puertos para una aplicación estableciendo una entrada separada en la tabla PAM para cada número del puerto en el rango.

Las entradas definidas por el usario se guardan con la información del mapeo predeterminado cuando usted salva la configuración del router.

Mapping de Puerto Específico de Host

Las entradas definidas por el usario en la tabla de correspondencia pueden incluir la información de mapeo host-específica, que establece la información de la correlación de puertos para los hosts o las subredes específicos. En algunos entornos, puede ser que sea necesario reemplazar la información de mapeo del puerto predeterminado para un host o una subred específico.

Con la correlación de puertos host-específica, usted puede utilizar el número del mismo puerto para diversos servicios en diversos hosts. Esto significa que usted puede asociar el puerto 8000 con los servicios HTTP para un host, mientras que asocia el puerto 8000 con los servicios de Telnet para otro host.

la correlación de puertos Host-específica también permite que usted aplique el PAM a una subred específica cuando esa subred funciona con un servicio que utilice un número del puerto que sea diferente del número del puerto definido en la información del mapeo predeterminado. Por ejemplo, los hosts en la subred 192.168.21.0 pudieron dirigir los servicios HTTP en el puerto no estándar 8000, mientras que el otro tráfico con el Firewall utiliza el puerto predeterminado para los servicios HTTP, que es el puerto 80.

la correlación de puertos Host-específica permite que usted reemplace una entrada sistema-definida en la tabla PAM. Por ejemplo, si el CBAC encuentra una entrada en la tabla PAM que el puerto 25 de las correspondencias (el puerto sistema-definido para el S TP) con el HTTP para un host específico, el CBAC identifica el puerto 25 como tráfico del protocolo HTTP en ese host.


Observesi la información host-específica de la correlación de puertos es lo mismo que las entradas predeterminadas de sistema-definidas o definidas por el usario de una existencia, los cambios host-específicos del puerto no tienen ningún efecto.


PAM y CBAC

El CBAC utiliza la información en la tabla PAM para identificar un servicio o una aplicación del tráfico que atraviesa el Firewall. Con el PAM, el CBAC puede asociar los números del puerto no estándar a los protocolos específicos. Por ejemplo, si usted utiliza el PAM para asociar el puerto 8000 con los servicios HTTP, el CBAC puede determinar que el tráfico usando el puerto 8000 es una aplicación HTTP.

Cuándo Usar PAM

Aquí están algunos ejemplos de cuando usted puede ser que quiera utilizar el PAM:

Utilice el PAM para aplicar los números del puerto no estándar para un servicio o una aplicación.

Utilice el PAM cuando un host o una subred específico utiliza un número del puerto para una aplicación que sea diferente que el número del puerto predeterminado establecido en la tabla PAM.

Utilice el PAM cuando diversos hosts utilizan el número del mismo puerto para diversas aplicaciones.

Cómo configurar el puerto a la asignación de la aplicación

Configurando los ACL estándar (opcionales)

Configurando el PAM (requerido)

Verificando el PAM (opcional)

Monitoreando y mantener el PAM (opcional)

Configurar los ACL estándar

Si usted requiere el PAM para un host o una subred específico, utilice access-list el comando (del estándar) en el modo de configuración global de definir un ACL:

Comando
Propósito

Router(config)# access-list access-list-number permit source [source-wildcard]

(Opcional) crea un ACL estándar que defina el host o la subred específico para el PAM host-específico.


Configurar el PAM

Para configurar el PAM, utilice ip port-map el comando en el modo de configuración global:

Comando
Propósito

Router(config)# ip port-map appl-name port port-num [list acl-num]

Establece una entrada de la correlación de puertos usando el número del puerto TCP o UDP y el nombre de la aplicación.

(Opcional) utilice la opción de la lista para asociar esta correlación de puertos a los hosts específicos en el ACL. (el PAM utiliza las listas de acceso estándar solamente.) Si una lista de acceso es incluida, los hosts definidos en ese ACL tienen la aplicación appl-name que se ejecuta en el puerto port-num.


Verificar el PAM

Para verificar la información de la correlación de puertos, ingrese show ip port-map el comando en el modo EXEC privilegiado y revise las entradas:

Router# show ip port-map

Este comando visualiza todas las entradas en la tabla PAM, incluyendo las entradas sistema-definidas.

Para los ejemplos de configuración PAM usando los comandos en este capítulo, refiera los “ejemplos de configuración para el puerto a la sección a la asignación de la aplicación” en el final de este capítulo.

Monitoreo y Mantenimiento de PAM

Los siguientes comandos se pueden utilizar para monitorear y para mantener el PAM:

Comando
Propósito

Router# show ip port-map [appl-name | port port-num]

Visualiza la información de la correlación de puertos, incluyendo las entradas sistema-definidas. Incluya el nombre de la aplicación para visualizar una lista de entradas por la aplicación. Incluya el número del puerto para visualizar las entradas por el puerto.

Router(config)# no ip port-map appl-name port port-num [list acl-num]

Borra la información definida por el usario de la correlación de puertos. Este comando no tiene ningún efecto sobre la información sistema-definida de la correlación de puertos.


Ejemplos de configuración para el puerto a la asignación de la aplicación

Ejemplo: Asociar una aplicación a un puerto no estándar

Ejemplo: Asociar una aplicación con un rango de puertos

Ejemplo: Entrada de la asignación del puerto no válido

Ejemplo: Asociar una aplicación a un puerto para un host específico

Ejemplo: Asociar una aplicación a un puerto para una subred

Ejemplo: Reemplazar una correlación de puertos Sistema-definida

Ejemplo: Asociar diversas aplicaciones al mismo puerto

Ejemplo: Asociar una aplicación a un puerto no estándar

En este ejemplo, se establece el puerto no estándar 8000 mientras que la asignación definida por el usario del puerto predeterminado para el HTTP mantiene:

ip port-map http port 8000

Ejemplo: Asociar una aplicación con un rango de puertos

Las entradas siguientes PAM establecen un rango de los puertos no estándar para los servicios HTTP:

ip port-map http 8001
ip port-map http 8002
ip port-map http 8003
ip port-map http 8004

Ejemplo: Entrada de la asignación del puerto no válido

Este ejemplo es inválido porque intenta establecer el puerto 21, que es el puerto predeterminado sistema-definido para el FTP, pues el puerto definido por el usario para el HTTP mantiene:

ip port-map http port 21

Ejemplo: Asociar una aplicación a un puerto para un host específico

En este ejemplo, un host específico utiliza el puerto 8000 para los servicios FTP. El ACL 10 identifica a la dirección del servidor (192.168.32.43), mientras que el puerto 8000 se asocia con los servicios FTP.

access-list 10 permit 192.168.32.43
ip port-map ftp port 8000 list 10

Ejemplo: Asociar una aplicación a un puerto para una subred

En este ejemplo, una subred específica dirige los servicios HTTP en el puerto 8080. El ACL 50 identifica la subred, mientras que el puerto 8080 se asocia con los servicios HTTP.

access-list 50 permit 192.168.92.0 0.0.0.255
ip port-map http 8080 list 50

Ejemplo: Reemplazar una correlación de puertos Sistema-definida

En este ejemplo, un host específico dirige los servicios HTTP en el puerto 25, que es el número del puerto sistema-definido para los servicios SMTP. Esto requiere una entrada host-específica PAM que reemplace la asignación sistema-definida del puerto predeterminado para el HTTP, que es el puerto 80. El ACL 15 identifica a la dirección de host (192.168.33.33), mientras que el puerto 25 se asocia con los servicios HTTP.

access-list 15 permit 192.168.33.33
ip port-map http port 25 list 15

Ejemplo: Asociar diversas aplicaciones al mismo puerto

En este ejemplo, el número del mismo puerto es requerido por diversos servicios que se ejecutan en diversos hosts. El puerto 8000 se requiere para los servicios HTTP para el host 192.168.3.4, mientras que el puerto 8000 también se requiere para los servicios FTP para el host 192.168.5.6. El ACL 10 y el ACL 20 identifican los hosts específicos, mientras que las entradas PAM asocian los puertos con los servicios para cada ACL.

access-list 10 permit 192.168.3.4
access-list 20 permit 192.168.5.6
ip port-map http port 8000 list 10
ip port-map http ftp 8000 list 20