Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

Ejemplo de configuración de PIX/ASA 7.x con tres redes internas

20 Mayo 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (24 Octubre 2008) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Productos relacionados
     Convenciones
Configuración
     Diagrama de la red
     Configuraciones
Verificación
Resolución de problemas
     Comandos para resolución de problemas
     Procedimiento de resolución de problemas
Discusiones relacionadas de la comunidad de soporte de Cisco
Información relacionada

Introducción

En este documento se proporciona un ejemplo de configuración para el Dispositivo de seguridad de PIX versión 7.x o el Dispositivo de seguridad adaptable (ASA) 5500 con tres redes internas mediante la interfaz de la línea de comando (CLI) o el Administrador de dispositivos de seguridad adaptables (ASDM) 5.x. Se utilizan rutas estáticas por razones de simplicidad.

Nota: Algunas opciones en ASDM versión 5.2 y posteriores pueden parecer diferentes de las opciones en ASDM 5.1. Consulte ASDM documentation (Documentación de ASDM) para obtener más información.

Requisitos previos

Requisitos

Si añade más de una red interna detrás de un firewall de PIX, tenga en cuenta lo siguiente:

  • El PIX no puede enrutar ningún paquete.

  • El PIX no soporta el direccionamiento secundario.

  • Un router debe utilizarse detrás del PIX para lograr el ruteo entre la red existente y la red recientemente agregada.

  • La gateway predeterminada de los hosts debe apuntar hacia el router interno.

  • Debe agregar una ruta predeterminada en el router interno que apunte a PIX.

  • Debe borrar la memoria caché del Protocolo de resolución de direcciones (ARP) en el router interno.

Consulte Allowing HTTPS Access for ASDM (Acceso HTTPS para ASDM) para permitir que el ASDM configure el dispositivo.

Componentes utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware:

  • Dispositivo de seguridad de PIX 515E con la versión 7.1 del software

  • ASDM 5.1

  • Routers con la versión 12.3(7)T del software Cisco IOS®

Nota: Si bien la configuración en este documento se ha probado en el Dispositivo de seguridad de PIX, también es compatible con el ASA 5500.

La información que contiene este documento se ha creado a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en uso, asegúrese de haber comprendido el impacto que pueda tener la ejecución de cualquier comando.

Productos relacionados

Esta configuración también se puede utilizar con la versión 7.x. del Dispositivo de seguridad ASA de Cisco:

Convenciones

Consulte las Convenciones sobre consejos técnicos de Cisco para obtener más información sobre convenciones de los documentos.

Configuración

En esta sección, encontrará información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta de búsqueda de comandos (solamente clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Los esquemas de direccionamiento IP utilizados en esta configuración no son legalmente enrutables en Internet. Son direcciones RFC 1918 que se han utilizado en un entorno de laboratorio.

Diagrama de la red

En este documento se utiliza esta configuración de red:

pix-3-networks-a.gif

La gateway predeterminada de los hosts en la red 10.1.1.0 apunta hacia el router A. Se agrega una ruta predeterminada en el router B que apunta al router A. El router A tiene una ruta predeterminada que apunta a la interfaz interior de PIX.

Configuraciones

Este documento utiliza estas configuraciones:

Configuración del router A

RouterA#show running-config
Building configuration...

Current configuration : 1151 bytes
!
version 12.3
service config
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RouterA
!

interface Ethernet2/0
 ip address 10.2.1.1 255.255.255.0
 half-duplex
!

interface Ethernet2/1
 ip address 10.1.1.2 255.255.255.0
 half-duplex
!
ip classless

ip route 0.0.0.0 0.0.0.0 10.1.1.1
ip route 10.3.1.0 255.255.255.0 10.1.1.3
!
!
line con 0
line aux 0
line vty 0 4
!
end
RouterA# 

Configuración del router B

RouterB#show running-config
Building configuration...
Current configuration : 1132 bytes
!
version 12.3
service config
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname RouterB
!

interface FastEthernet0/0
 ip address 10.1.1.3 255.255.255.0
 speed auto
!

interface Ethernet1/0
 ip address 10.3.1.1 255.255.255.0
 half-duplex
!
ip classless

ip route 0.0.0.0 0.0.0.0 10.1.1.2
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
!
end
RouterB# 

Si desea utilizar el ASDM para la configuración del Dispositivo de seguridad de PIX, pero no ha obtenido la imagen de arranque del dispositivo, siga los pasos siguientes:

  1. Acceda a la consola del PIX.

  2. En una configuración despejada, utilice los mensajes interactivos para permitir que el ASDM administre el PIX desde la estación de trabajo 10.1.1.5.

Configuración del Dispositivo de seguridad de PIX, versión 7.1

Pre-configure Firewall now through interactive prompts [yes]? yes
Firewall Mode [Routed]:
Enable password [<use current password>]: cisco
Allow password recovery [yes]?
Clock (UTC):
  Year [2005]:
  Month [Mar]:
  Day [15]:
  Time [05:40:35]: 14:45:00
Inside IP address: 10.1.1.1
Inside network mask: 255.255.255.0
Host name: OZ-PIX
Domain name: cisco.com
IP address of host running Device Manager: 10.1.1.5

The following configuration will be used:
         Enable password: cisco
         Allow password recovery: yes
         Clock (UTC): 14:45:00 Mar 15 2005
         Firewall Mode: Routed
         Inside IP address: 10.1.1.1
         Inside network mask: 255.255.255.0
         Host name: OZ-PIX
         Domain name: cisco.com
         IP address of host running Device Manager: 10.1.1.5

Use this configuration and write to flash? yes
         INFO: Security level for "inside" set to 100 by default.
         Cryptochecksum: a0bff9bb aa3d815f c9fd269a 3f67fef5

965 bytes copied in 0.880 secs
         INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
         INFO: converting 'fixup protocol ftp 21' to MPF commands
         INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
         INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
         INFO: converting 'fixup protocol netbios 137-138' to MPF commands
         INFO: converting 'fixup protocol rsh 514' to MPF commands
         INFO: converting 'fixup protocol rtsp 554' to MPF commands
         INFO: converting 'fixup protocol sip 5060' to MPF commands
         INFO: converting 'fixup protocol skinny 2000' to MPF commands
         INFO: converting 'fixup protocol smtp 25' to MPF commands
         INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
         INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
         INFO: converting 'fixup protocol tftp 69' to MPF commands
         INFO: converting 'fixup protocol sip udp 5060' to MPF commands
         INFO: converting 'fixup protocol xdmcp 177' to MPF commands

Type help or '?' for a list of available commands.
         OZ-PIX>

Configuración de la GUI y la imagen de arranque de ASDM 5.1 del Dispositivo de seguridad de PIX

Siga los pasos siguientes para configurar la GUI del ASDM:

  1. En la estación de trabajo 10.1.1.5, abra un navegador Web para utilizar el ADSM (en este ejemplo, https://10.1.1.1).

  2. Haga clic en yes (sí) en los mensajes de certificado.

  3. Inicie sesión con la contraseña enable (habilitar), como se ha configurado anteriormente.

  4. Si esta es la primera vez que se ejecuta el ASDM en el PC, se le solicitará que utilice el activador de ASDM o el ASDM como un subprograma Java. En este ejemplo, el activador de ASDM está seleccionado e instalado.

  5. Vaya a la ventana de inicio de ASDM y haga clic en Configuration (Configuración).

    pix-3-networks-b.gif

  6. Elija Interface > Edit (Interfaz > Edición) para configurar la interfaz exterior.

    pix-3-networks-c.gif

  7. Introduzca los detalles de la interfaz y haga clic en OK (Aceptar) cuando termine.

    pix-3-networks-d.gif

  8. Haga clic en OK (Aceptar) en el cuadro de diálogo Security Level Change (Modificación del nivel de seguridad).

    pix-3-networks-e.gif

  9. Haga clic en Apply (Aplicar) para aceptar la configuración de la interfaz. La configuración también puede iniciarse en el PIX.

    pix-3-networks-f.gif

  10. Elija Security Policy (Política de seguridad) en la ficha Features (Funciones) para revisar la regla de política de seguridad utilizada. En este ejemplo, se utiliza la regla interna predeterminada.

    pix-3-networks-g.gif

  11. En este ejemplo, se utiliza NAT. Anule la selección de Enable traffic through the firewall without address translation (Permitir tráfico a través del firewall sin traducción de la dirección) y haga clic en Add (Agregar) para configurar la regla de NAT.

    pix-3-networks-h.gif

  12. Configure la red de origen. En este ejemplo, 10.0.0.0 se utiliza para la dirección IP y 255.0.0.0 se utiliza para la máscara.

    Haga clic en Manage Pools (Administrar agrupamientos) para definir las direcciones del agrupamiento NAT.

    pix-3-networks-i.gif

  13. Seleccione la interfaz exterior y haga clic en Add (Agregar).

    pix-3-networks-j.gif

  14. En este ejemplo, se configura un agrupamiento de direcciones y un rango PAT. Configure las direcciones del agrupamiento NAT del rango y haga clic en OK (Aceptar).

    pix-3-networks-k.gif

  15. Seleccione la interfaz exterior en el paso 13 para configurar la dirección PAT. Haga clic en OK (Aceptar).

    pix-3-networks-l.gif

    Haga clic en OK (Aceptar) para continuar.

    pix-3-networks-m.gif

  16. En la ventana Edit Address Translation Rule (Editar la regla de traducción de direcciones), seleccione el ID de agrupación que será utilizado por la red de origen configurada. Haga clic en OK (Aceptar).

    pix-3-networks-n.gif

  17. Haga clic en Apply (Aplicar) para aplicar la regla de NAT configurada en el PIX.

    pix-3-networks-o.gif

  18. En este ejemplo, se utilizan rutas estáticas. Haga clic en Routing (ruteo), elija Static Route (Ruta estática) y haga clic en Add (Agregar).

    pix-3-networks-p.gif

  19. Configure la gateway predeterminada y haga clic en OK (Aceptar).

    pix-3-networks-q.gif

  20. Haga clic Add (Agregar) para agregar rutas a las redes internas.

    pix-3-networks-r.gif

    pix-3-networks-s.gif

  21. Confirme que las rutas correctas están configuradas y haga clic en Apply (Aplicar).

    pix-3-networks-t.gif

La configuración a través de la GUI de ASDM ahora está completa.

Puede ver esta configuración a través de la CLI:

CLI del dispositivo de seguridad de PIX

pixfirewall(config)#write terminal
PIX Version 7.0(0)102
names
!

interface Ethernet0
 nameif outside
 security-level 0

ip address 172.16.1.1 255.255.255.0
!

interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0 
!
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname OZ-PIX
domain-name cisco.com
ftp mode passive
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
monitor-interface inside
monitor-interface outside
asdm image flash:/asdmfile.50073
no asdm history enable
arp timeout 14400

nat-control

global (outside) 1 172.16.1.5-172.16.1.10 netmask 255.255.255.0
global (outside) 1 172.16.1.4 netmask 255.255.255.0
nat (inside) 1 10.0.0.0 255.0.0.0
route inside 10.3.1.0 255.255.255.0 10.1.1.3 1
route inside 10.2.1.0 255.255.255.0 10.1.1.2 1

route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
   h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00
   sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 10.1.1.5 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp
telnet timeout 5
ssh timeout 5
console timeout 0
!

class-map inspection_default
 match default-inspection-traffic
!
!
policy-map asa_global_fw_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy asa_global_fw_policy global
Cryptochecksum:a0bff9bbaa3d815fc9fd269a3f67fef5
: end

Elija File > Show Running Configuration in New Window (Archivo > Mostrar configuración de la ejecución en una ventana nueva) para ver la configuración de la CLI en ASDM.

u.gif

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Resolución de problemas

Comandos para resolución de problemas

La herramienta intérprete de resultados (solamente clientes registrados) OIT) soporta ciertos comandos show. Utilice la OIT para consultar un análisis del resultado del comando show.

Nota: Consulte Información importante sobre los Comandos de depuración antes de ejecutar los comandos debug.

  • debug icmp trace: muestra si las solicitudes ICMP de los hosts alcanzan el PIX. Para ejecutar esta depuración, deberá agregar el comando access-list a fin de permitir ICMP en su configuración.

  • logging buffer debugging: muestra las conexiones que se establecen y las que se deniegan a los hosts que atraviesan el PIX. La información se almacena en el búfer del registro de PIX y puede ver el resultado mediante el comando show log.

Procedimiento de resolución de problemas

ASDM puede utilizarse para permitir el proceso de registro y también ver los registros.

  1. Elija Configuration > Properties > Logging > Logging Setup (Configuración > Propiedades > Registro > Configuración del registro), seleccione Enable Logging (Habilitar registro) y haga clic en Apply (Aplicar).

    pix-3-networks-u.gif

  2. Elija Monitoring > Logging > Log Buffer > Logging Level (Monitoreo > Registro > Búfer de registro > Nivel de registro) y seleccione Logging Buffer (Búfer de registro) de la lista desplegable. Haga clic en View (Ver).

    pix-3-networks-v.gif

  3. A continuación se proporciona un ejemplo del búfer de registro:

    pix-3-networks-w.gif


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 63880