Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

Configuración del NAT básica ASA: Web server en el DMZ en la Versión de ASA 8.3 y posterior

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (23 Abril 2015) | Comentarios

Introducción

Este documento proporciona un ejemplo simple y directo de cómo configurar el NAT y el Listas de control de acceso (ACL) en un Firewall ASA para permitir la Conectividad saliente así como entrante. Este documento fue escrito usando un Firewall ASA 5510 que funcionaba con la versión del código ASA 9.1(1) pero éste puede aplicarse fácilmente a cualquier otra plataforma del Firewall ASA. Si usa una plataforma tal como un ASA 5505, que utiliza los VLA N en vez de la interfaz física, usted necesita cambiar los tipos de interfaz como apropiados.

Contribuido por Magnus Mortensen, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en el Firewall ASA 5510 que funciona con la versión del código ASA 9.1(1).

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Información general

Metas

En este ejemplo de configuración, usted puede considerar qué configuración NAT y de la lista de control de acceso será necesaria configurar para permitir el acceso entrante a un web server en el DMZ de un Firewall ASA, y permite la Conectividad saliente de los hosts internos y DMZ. Esto se puede resumir como dos metas:

  1. Permita los hosts en el interior y la Conectividad saliente DMZ a Internet.
  2. Permita que los hosts en Internet accedan un web server en el DMZ con una dirección IP de 192.168.1.100.

Antes de conseguir a qué pasos se deben hacer para lograr estas dos metas, pase abreviadamente las Listas de acceso de la manera y el trabajo NAT sobre las versiones más recientes del código ASA (versión 8.3 y posterior).

Descripción de la lista de control de acceso

Las listas de control de acceso (las listas de acceso o los ACL para corto) son el método por el cual el Firewall ASA determina si se permite o se niega el tráfico. Por abandono, el tráfico que pasa de un más bajo al mayor nivel de seguridad se niega. Esto se puede reemplazar por un ACL aplicado a esa interfaz de menor seguridad. También el ASA, por abandono, permitirá el tráfico de más arriba a las interfaces de menor seguridad. Este comportamiento se puede también reemplazar con un ACL.

En las versiones anteriores del código ASA (8.2 y anterior), el ASA comparó una conexión entrante o un paquete contra el ACL en una interfaz sin O.N.U-traducir el paquete primero. Es decir el ACL tuvo que permitir el paquete como si usted debiera capturar ese paquete en la interfaz. En y posterior el código 8.3, el ASA O.N.U-traduce ese paquete antes de marcar la interfaz ACL. Esto significa eso para y posterior el código 8.3, y se permite este documento, tráfico al IP real del host y no el IP traducido del host.

Vea la sección de las reglas de acceso que configura del libro 2: Guía de configuración CLI del Firewall de la serie de Cisco ASA, 9.1 para más información sobre las listas de control de acceso.

Descripción general de NAT

El NAT en el ASA en la versión 8.3 y posterior está roto en dos tipos sabe como NAT auto (objeto NAT) y NAT manual (dos veces NAT). El primer de los dos, el objeto NAT, se configura dentro de la definición de un objeto de red. Un ejemplo de esto se proporciona más adelante en este documento. Una ventaja primaria de este método NAT es que el ASA pide automáticamente las reglas para procesar en cuanto a evita los conflictos. Ésta es la forma más fácil de NAT, pero con esa facilidad viene una limitación en el granularity de la configuración. Por ejemplo, usted no puede tomar la decisión de la traducción basada en el destino en el paquete pues usted podría con el segundo tipo de nacional nacional, manual. El NAT manual es más robusto en su granularity, pero requiere que las líneas estén configuradas en la orden correcta para alcanzar la conducta correcta. Esto complica este tipo NAT y como consecuencia, no será utilizada en este ejemplo de configuración.

Vea la información sobre la sección NAT del libro 2: Guía de configuración CLI del Firewall de la serie de Cisco ASA, 9.1 para más información sobre el NAT.

Configurar

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Consiga comenzado

La configuración básica de la configuración ASA es tres interfaces conectadas con tres segmentos de red. El segmento de la red ISP está conectado con la interfaz del Ethernet0/0 y etiquetado afuera con un nivel de seguridad de 0. La red interna ha estado conectada con Ethernet0/1 y etiquetada como dentro con un nivel de seguridad de 100. El segmento DMZ, donde reside el web server está conectado con Ethernet0/2 y etiquetado como dmz con un nivel de seguridad de 50.

La configuración de la interfaz y los IP Addresses por el ejemplo se considera aquí:

interface Ethernet0/0
nameif outside
security-level 0
ip address 198.51.100.100 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
interface Ethernet0/2
nameif dmz
security-level 50
ip address 192.168.1.1 255.255.255.0
!
route outside 0.0.0.0 0.0.0.0 198.51.100.1

Aquí usted puede ver que la interfaz interior ASA está fijada con la dirección IP de 192.168.0.1, y es el default gateway para los host internos. La interfaz exterior ASA se configura con una dirección IP obtenida del ISP. Hay una ruta predeterminado en el lugar, fijando el Next-Hop para ser el gateway ISP. Si usted utiliza el DHCP esto se proporciona automáticamente. La interfaz del dmz se configura con la dirección IP de 192.168.1.1, y es el default gateway para los hosts en nuestro segmento de la red DMZ.

Topología

Aquí está una mirada visual en cómo se telegrafía y se configura esto:

asa-config-dmz-01.gif

Paso 1 - Configuración NAT para permitir que los hosts salgan a Internet

Para este objeto NAT del ejemplo, también conocido como AutoNAT, se utiliza. La primera cosa a configurar es las reglas NAT que permiten los hosts en el interior y segmentos del dmz a conectar con Internet. Porque estos hosts están utilizando los IP Address privados, usted necesita traducirlos algo que es routable en Internet. En este caso traduzca el direccionamiento de modo que parezcan la dirección IP de la interfaz exterior ASA. Si su IP externa cambia con frecuencia (quizás debido al DHCP) ésta es la manera más directa de configurar esto.

Para configurar este NAT, usted necesita crear un objeto de red que represente la subred interior así como uno que represente la subred del dmz. En cada uno de estos objetos, configure una regla nacional dinámica que ACARICIE a estos clientes como el paso de sus interfaces respectivas a la interfaz exterior.

Esta configuración parece similar a esto:

object network inside-subnet
subnet 192.168.0.0 255.255.255.0
nat (inside,outside) dynamic interface
!
object network dmz-subnet
subnet 192.168.1.0 255.255.255.0
nat (dmz,outside) dynamic interface

Si usted mira la configuración corriente en este momento (con la salida de la demostración funcionada con), usted verá que la definición del objeto está partida en dos partes de la salida. La primera parte indica solamente cuál está en el objeto (host/subred, dirección IP, etc), mientras que la segunda sección muestra que regla NAT atada a ese objeto. Si usted toma la primera entrada en la salida arriba:

Cuando los hosts que corresponden con la travesía de 192.168.0.0/24 subredes de la interfaz interior a la interfaz exterior, nosotros quieren traducirlos dinámicamente a la interfaz exterior

Paso 2 - Configuración NAT para acceder el web server de Internet

Ahora que los hosts en las interfaces interiores y del dmz pueden salir a Internet, usted necesita modificar la configuración de modo que los usuarios en Internet puedan acceder nuestro web server en el puerto TCP 80. En este ejemplo, la configuración es de modo que la gente en Internet pueda conectar con otra dirección IP que el ISP proporcionó, una dirección IP adicional poseemos. Por este ejemplo, utilice 198.51.100.101. Con esta configuración, los usuarios en Internet podrán alcanzar el web server del dmz accediendo 198.51.100.101 en el puerto TCP 80. Utilice el objeto NAT para esta tarea, y el ASA traducirá el puerto TCP 80 en el web server (192.168.1.100) para parecer 198.51.100.101 en el puerto TCP 80 en el exterior. Semejantemente a qué fue hecha arriba, define un objeto y define las Reglas de traducción para ese objeto. También, defina un segundo objeto para representar el IP que usted está traduciendo este host a.

Esta configuración parece similar a esto:

object network webserver-external-ip
host 198.51.100.101
!
object network webserver
host 192.168.1.100
nat (dmz,outside) static webserver-external-ip service tcp www www

Apenas para resumir lo que significa esa regla NAT en este ejemplo:

Cuando un host que corresponde con a la dirección IP 192.168.1.100 en los segmentos del dmz establece una conexión originada del puerto TCP 80 (WWW) y esa conexión sale la interfaz exterior, queremos traducir eso para ser el puerto TCP 80 (WWW) en la interfaz exterior y para traducir ese IP Address para ser 198.51.100.101

Ése parece un poco impar… “originado del puerto TCP 80 (WWW)”, solamente del tráfico de la Web se destina al puerto 80. Es importante entender que estas reglas NAT son bidireccionales en la naturaleza. Como consecuencia usted puede reformular esta frase moviendo de un tirón la fraseología alrededor. El resultado tiene mucho más sentido:

Cuando los hosts en el exterior establecen una conexión a 198.51.100.101 en el puerto 80 (WWW) del TCP de destino, traduciremos el IP Address de destino para ser 192.168.1.100 y el puerto destino será el puerto TCP 80 (WWW) y le mandará el dmz

Esto tiene más sentido cuando está expresada esta manera. Después, usted necesita configurar los ACL.

Paso 3 - Configuración ACL

Se configura el NAT y el final de esta configuración está cerca. Recuerde, los ACL en el ASA permiten que usted reemplace la conducta de seguridad predeterminada que es como sigue:

  • El tráfico que va de una interfaz de menor seguridad se niega al ir a una interfaz de mayor seguridad
  • El tráfico que va de una interfaz de mayor seguridad se permite al ir a una interfaz de menor seguridad

Tan sin agregar ningunos ACL en absoluto a la configuración, el tráfico siguiente en este ejemplo trabaja:

  • Los hosts en el interior (nivel de seguridad 100) pueden conectar con los hosts en el dmz (nivel de seguridad 50)
  • Los hosts en el interior (nivel de seguridad 100) pueden conectar con los hosts en el exterior (nivel de seguridad 0)
  • Los hosts en el dmz (nivel de seguridad 50) pueden conectar con los hosts en el exterior (nivel de seguridad 0)

Sin embargo, se niega el tráfico siguiente:

  • Los hosts en el exterior (nivel de seguridad 0) no pueden conectar con los hosts en el interior (nivel de seguridad 100)
  • Los hosts en el exterior (nivel de seguridad 0) no pueden conectar con los hosts en el dmz (nivel de seguridad 50)
  • Los hosts en el dmz (nivel de seguridad 50) no pueden conectar con los hosts en el interior (nivel de seguridad 100)

Porque el tráfico del exterior a la red del dmz es negado por el ASA con su configuración actual, los usuarios en Internet no pueden alcanzar el web server a pesar de la configuración del NAT en el paso 2. Usted necesita permitir explícitamente este tráfico. En y posterior el código 8.3 usted debe utilizar el IP real del host en el ACL y no el IP traducido. Esto significa que la configuración necesita permitir el tráfico destinado a 192.168.1.100 y no traficar destinado a 198.51.100.101 en el puerto 80. Para el motivo de la simplicidad, los objetos definidos en el paso 2 serán utilizados para este ACL también. Una vez que se crea el ACL, usted necesita aplicarlo entrante en la interfaz exterior.

Aquí es lo que parecen esos comandos configuration:

access-list outside_acl extended permit tcp any object webserver eq www
!
access-group outside_acl in interface outside

La línea estados de la lista de acceso:

Tráfico del permiso del any(where) al host representado por el web server del objeto (192.168.1.100) en el puerto 80

Es importante la configuración utiliza la cualquier palabra clave aquí. Porque la dirección IP de origen de los clientes no se sabe que alcanza su sitio web especifique cualquier el significado “cualquier dirección IP.

¿Qué sobre el tráfico del segmento del dmz destinó a los hosts en el segmento de la red interna? ¿Por ejemplo, un servidor en la red interna a la cual los hosts en la necesidad del dmz de conectar? ¿Cómo puede el ASA permitir solamente que específico trafique destinado al servidor interior y bloquee todo lo demás destinada al segmento interior del dmz?

En este ejemplo se asume que hay servidor DNS en la red interna en la dirección IP 192.168.0.53 que los hosts en la necesidad del dmz de acceder para la resolución de DNS. Usted crea el ACL necesario y lo aplica a la interfaz del dmz así que el ASA puede reemplazar esa conducta de seguridad predeterminada, mencionada anterior, para el tráfico que ingresa esa interfaz.

Aquí es lo que parecen esos comandos configuration:

object network dns-server
host 192.168.0.53
!
access-list dmz_acl extended permit udp any object dns-server eq domain
access-list dmz_acl extended deny ip any object inside-subnet
access-list dmz_acl extended permit ip any any
!
access-group dmz_acl in interface dmz

El ACL es más complejo que simplemente permitiendo ese tráfico al servidor DNS en el puerto 53 UDP. Si todo lo que lo hicimos es que primero línea del “permiso”, después todo el tráfico sería bloqueado del dmz a los hosts en Internet. La lista de acceso tiene un “deny ip any any implícito” en el final del ACL. Como consecuencia, sus hosts del dmz no podrían salir a Internet. Aunque el tráfico del dmz al exterior es permitido por abandono, aplicando un ACL a la interfaz del dmz, ésos omiten las conductas de seguridad para la interfaz del dmz están no más en efecto y debemos permitir explícitamente el tráfico en la interfaz ACL.

Paso 4 - Pruebe la configuración con la característica del trazalíneas del paquete

Ahora que se completa la configuración, usted necesita probarla para aseegurarla trabaja. El método más fácil es utilizar los hosts reales (si ésta es su red). Sin embargo, en interés de probar esto de la línea de comando y más futuro explorando algunas de las herramientas ASA, utilice el trazalíneas del paquete para probar y potencialmente para hacer el debug de cualquier problema encontrado.

El trazalíneas del paquete trabaja simulando un paquete basado en una serie de parámetros y la inyección de ese paquete al trayecto de datos de la interfaz, similar a un paquete de la vida real si fue cogida del alambre. Este paquete se sigue con la miríada de los controles y de los procesos que se hacen encendido mientras que pasan con el Firewall y trazalíneas del paquete observa el resultado. Simule el host interno que sale a un host en Internet. El comando abajo da instrucciones el Firewall a:

Simule un paquete TCP que viene en la interfaz interior de la dirección IP 192.168.0.125 en el puerto de origen 12345 destinado a un IP Address de 203.0.113.1 en el puerto 80

ciscoasa# packet-tracer input inside tcp 192.168.0.125 12345 203.0.113.1 80

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:Additional Information:
in 0.0.0.0 0.0.0.0 outsidePhase: 3
Type: NAT
Subtype:
Result: ALLOW
Config:
object network inside-subnet
nat (inside,outside) dynamic interface
Additional Information:
Dynamic translate 192.168.0.125/12345 to 198.51.100.100/12345

Phase: 4
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 6
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 7
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 8
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 1, packet dispatched to next module

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

El resultado final es que el tráfico está permitido que significa que pasara todos los incorporares NAT y ACL la configuración y fuera enviado la interfaz de egreso, afuera. Observe que el paquete fue traducido en la fase 3 y los detalles de esa fase muestran lo que se golpea la regla. El host 192.168.0.125 se traduce dinámicamente a 198.51.100.100 según la configuración.

Ahora, ejecútelo para una conexión de Internet al web server. Recuerde, los hosts en Internet accederá el web server conectando con 192.51.100.101 en la interfaz exterior. Una vez más este comando siguiente traduce a:

Simule un paquete TCP que viene en la interfaz exterior de la dirección IP 192.0.2.123 en el puerto de origen 12345 destinado a un IP Address de 198.51.100.101 en el puerto 80

ciscoasa# packet-tracer input outside tcp 192.0.2.123 12345 98.51.100.101 80

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
object network webserver
nat (dmz,outside) static webserver-external-ip service tcp www www
Additional Information:
NAT divert to egress interface dmz
Untranslate 98.51.100.101/80 to 192.168.1.100/80

Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group outside_acl in interface outside
access-list outside_acl extended permit tcp any object webserver eq www
Additional Information:

Phase: 3
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 5
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
object network webserver
nat (dmz,outside) static webserver-external-ip service tcp www www
Additional Information:

Phase: 6
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 7
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 8
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 3, packet dispatched to next module

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: dmz
output-status: up
output-line-status: up
Action: allow

El resultado es otra vez que el paquete está permitido. Los ACL marcan hacia fuera, las miradas de la configuración muy bien, y los usuarios en Internet (afuera) deben poder acceder ese web server usando IP externa.

Verificación

Los procedimientos de verificación se incluyen en el paso 4 - Configuración de prueba con la característica del trazalíneas del paquete.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Conclusión

La configuración de un ASA para hacer el NAT básico no es ésa el desanimar de una tarea. El ejemplo en este documento se puede adaptar a su escenario específico cambiando los IP Addresses y los puertos usados en los ejemplos de configuración antedichos. La configuración final ASA para esto, cuando está combinado, parece similar a esto para un ASA 5510:

ASA Version 9.1(1)
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 198.51.100.100 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
interface Ethernet0/2
nameif dmz
security-level 50
ip address 192.168.1.1 255.255.255.0
!
object network inside-subnet
subnet 192.168.0.0 255.255.255.0
object network dmz-subnet
subnet 192.168.1.0 255.255.255.0
object network webserver
host 192.168.1.100
object network webserver-external-ip
host 198.51.100.101
object network dns-server
host 192.168.0.53

!
access-list outside_acl extended permit tcp any object webserver eq www
access-list dmz_acl extended permit udp any object dns-server eq domain
access-list dmz_acl extended deny ip any object inside-subnet
access-list dmz_acl extended permit ip any any
!
object network inside-subnet
nat (inside,outside) dynamic interface
object network dmz-subnet
nat (dmz,outside) dynamic interface
object network webserver
nat (dmz,outside) static webserver-external-ip service tcp www www
access-group outside_acl in interface outside
access-group dmz_acl in interface dmz
!
route outside 0.0.0.0 0.0.0.0 198.51.100.1 1

En un ASA 5505, por ejemplo, y las interfaces están conectados como se muestra arriba (exterior conectado con el Ethernet0/0, dentro de conectado con Ethernet0/1 y el dmz conectado con Ethernet0/2):

ASA Version 9.1(1)
!
interface Ethernet0/0
description Connected to Outside Segment
switchport access vlan 2
!
interface Ethernet0/1
description Connected to Inside Segment
switchport access vlan 1
!
interface Ethernet0/2
description Connected to DMZ Segment
switchport access vlan 3
!
interface Vlan2
nameif outside
security-level 0
ip address 198.51.100.100 255.255.255.0
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!
interface Vlan3
nameif dmz
security-level 50
ip address 192.168.1.1 255.255.255.0
!
object network inside-subnet
subnet 192.168.0.0 255.255.255.0
object network dmz-subnet
subnet 192.168.1.0 255.255.255.0
object network webserver
host 192.168.1.100
object network webserver-external-ip
host 198.51.100.101
object network dns-server
host 192.168.0.53



!
access-list outside_acl extended permit tcp any object webserver eq www
access-list dmz_acl extended permit udp any object dns-server eq domain
access-list dmz_acl extended deny ip any object inside-subnet
access-list dmz_acl extended permit ip any any
!
object network inside-subnet
nat (inside,outside) dynamic interface
object network dmz-subnet
nat (dmz,outside) dynamic interface
object network webserver
nat (dmz,outside) static webserver-external-ip service tcp www www
access-group outside_acl in interface outside
access-group dmz_acl in interface dmz
!
route outside 0.0.0.0 0.0.0.0 198.51.100.1 1

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 115904