Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

PIX/ASA 7.x: comunicación entre interfaces

23 Marzo 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (14 Octubre 2008) | Comentarios

Contenido

Introducción
Requisitos previos
      Requerimientos
      Componentes utilizados
      Convenciones
Antecedentes
Resolución de problemas
      Comunicación entre interfaces no activada
      Comunicación entre interfaces activada
      Comunicación entre interfaces activada y paso de tráfico a AIP-SSM para inspección
      Comunicación entre interfaces activada y listas de acceso aplicadas a una interfaz
      Listas de acceso proactivas
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento ayuda a resolver problemas comunes que se producen cuando se activa la comunicación entre interfaces en un dispositivo adaptable de seguridad (ASA) o PIX en el que se ejecuta la versión 7.2 de software. La versión 7.2 del software incluye la capacidad de enrutar datos de texto sin cifrar a través de la misma interfaz. Escriba el comando same-security-traffic permit intra-interface para activar esta función. En este documento se asume que el administrador de red tiene activada esta función o la va a activar. En la configuración y la resolución de problemas proporcionados se utiliza la interfaz de línea de comandos (CLI).

Nota: El presente documento se centra en datos (no cifrados) que entran y salen de ASA. No se tratan los datos cifrados.

Requisitos previos

Requerimientos

Cisco recomienda poseer ciertos conocimientos acerca de estos temas:

  • Listas de acceso

  • Enrutamiento

  • Sistema de prevención de intrusiones (IPS) del módulo de servicios de seguridad de Prevención y examen avanzados (AIP-SSM): el conocimiento de este módulo sólo es necesario si el módulo está instalado y en funcionamiento.

  • Software de IPS versión 5.x: el conocimiento del software de IPS no es necesario si no se utiliza AIP-SSM.

Componentes utilizados

  • ASA 5510 7.2.1

  • AIP-SSM-10 que ejecuta el software de IPS 5.1.1

La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.

Antecedentes

En el documento se utiliza la siguiente configuración de red. Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Se trata de direcciones RFC 1918 leavingcisco.com que se han utilizado en un entorno de laboratorio.

intra-interface-communications-1.gif

Esta tabla muestra la configuración de inicio de ASA:

ASA

ciscoasa#show running-config
: Saved
:
ASA Version 7.2(1) 
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!

!--- The IP addressing assigned to interfaces.

interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.1.1.2 255.255.255.0 
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0 
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown     
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

!--- Notice that there are no access-lists.

pager lines 24
logging enable
logging buffered debugging
mtu inside 1500
mtu outside 1500
no asdm history enable
arp timeout 14400

!--- There are no network address translation (NAT) rules.


!--- The static routes are added for test purposes.

route inside 10.2.2.0 255.255.255.0 10.1.1.100 1
route outside 172.16.10.0 255.255.255.0 172.22.1.29 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:

Resolución de problemas

Estas secciones muestran una serie de escenarios de configuración, mensajes de syslog relacionados y resultados del rastreo de paquetes relacionados con la comunicación entre interfaces.

Comunicación entre interfaces no activada

En la configuración de ASA, el host 172.22.1.6 intenta hacer ping al host 172.16.10.1. El host 172.22.1.6 envía un paquete de petición de eco ICMP a la puerta de enlace predeterminada (ASA). Las comunicaciones entre interfaces no se han activado en ASA. ASA descarta el paquete de petición de eco. El ping de prueba falla. ASA se utiliza para resolver el problema.

Este ejemplo muestra el resultado de los mensajes de syslog y un rastreador de paquetes:

  • Éste es el mensaje de syslog registrado en el búfer:

    ciscoasa(config)#show logging
    
    !--- Output is suppressed.
    
    %ASA-3-106014: Deny inbound icmp src outside:172.22.1.6 
    dst outside:172.16.10.1 (type 8, code 0)
  • Éste es el resultado del rastreador de paquetes:

    ciscoasa(config)#packet-tracer input outside icmp 172.22.1.6 8 0 172.16.10.1 detailed
    Phase: 1
    Type: FLOW-LOOKUP
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    Found no matching flow, creating a new flow
    
    Phase: 2
    Type: ROUTE-LOOKUP
    Subtype: input
    Result: ALLOW
    Config:
    Additional Information:
    in   172.16.10.0     255.255.255.0   outside
    
    Phase: 3
    Type: ACCESS-LIST
    Subtype: 
    
    Result: DROP
    
    Config:
    
    Implicit Rule
    
    
    !--- Implicit rule refers to configuration rules not configured
    !--- by the user. By default, intra-interface communication is not permitted.
    !--- In this example, the user has not enabled intra-interface communications 
    !--- and therefore the traffic is implicitly denied.
    
    Additional Information:
     Forward Flow based lookup yields rule:
     in  id=0x3bd8480, priority=111, domain=permit, deny=true
            hits=0, user_data=0x0, cs_id=0x0, flags=0x4000, protocol=0
            src ip=0.0.0.0, mask=0.0.0.0, port=0
            dst ip=0.0.0.0, mask=0.0.0.0, port=0
                  
    Result:
    input-interface: outside
    input-status: up
    input-line-status: up
    output-interface: outside
    output-status: up
    output-line-status: up
    Action: drop
    Drop-reason: (acl-drop) Flow is denied by configured rule

El resultado del rastreador de paquetes drop...implicit rule sugiere que un parámetros de la configuración predeterminada está bloqueando el tráfico. El administrador necesita comprobar la configuración en ejecución para asegurarse de que la comunicación entre interfaces está activada. En este caso, es necesario que la comunicación entre interfaces esté activada en la configuración de ASA (same-security-traffic permit intra-interface).

ciscoasa#show running-config

!--- Output is suppressed.

interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

same-security-traffic permit intra-interface


!--- When intra-interface communications are enabled, the line
!--- highlighted in bold font appears in the configuration. The configuration line 
!--- appears after the interface configuration and before 
!--- any access-list configurations.

access-list...
access-list...

Comunicación entre interfaces activada

La comunicación entre interfaces está ahora activada. El comando same-security-traffic permit intra-interface se agrega a la configuración anterior. El host 172.22.1.6 intenta hacer ping al host 172.16.10.1. El host 172.22.1.6 envía un paquete de petición de eco ICMP a la puerta de enlace predeterminada (ASA). El host 172.22.1.6 registra las respuestas correctas de 172.16.10.1. ASA pasa tráfico ICMP correctamente.

Estos ejemplos muestran los resultados del mensaje de syslog de ASA y del rastreador de paquetes:

  • Mensajes de syslog registrados en el búfer:

    ciscoasa#show logging
    
    !--- Output is suppressed.
    
    %PIX-7-609001: Built local-host outside:172.22.1.6
    %PIX-7-609001: Built local-host outside:172.16.10.1
    %PIX-6-302020: Built ICMP connection for faddr 172.22.1.6/64560 
    gaddr 172.16.10.1/0 laddr 172.16.10.1/0
    %PIX-6-302021: Teardown ICMP connection for faddr 172.22.1.6/64560 
    gaddr 172.16.10.1/0 laddr 172.16.10.1/0
    %PIX-7-609002: Teardown local-host outside:172.22.1.6 duration 0:00:04
    %PIX-7-609002: Teardown local-host outside:172.16.10.1 duration 0:00:04
  • Éste es el resultado del rastreador de paquetes:

    ciscoasa(config)#packet-tracer input outside icmp 172.22.1.6 8 0 172.16.10.1
    
    Phase: 1
    Type: FLOW-LOOKUP
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    Found no matching flow, creating a new flow
    
    Phase: 2
    Type: ROUTE-LOOKUP
    Subtype: input
    Result: ALLOW
    Config:
    Additional Information:
    in   172.16.10.0     255.255.255.0   outside
    
    Phase: 3
    Type: ACCESS-LIST
    Subtype: 
    Result: ALLOW
    Config:
    Implicit Rule
    Additional Information:
    
    Phase: 4      (
    Type: IP-OPTIONS
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    
    Phase: 5
    Type: INSPECT
    Subtype: np-inspect
    Result: ALLOW
    Config:
    Additional Information:
    
    Phase: 6
    Type: FLOW-CREATION
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    New flow created with id 23, packet dispatched to next module
    
    Phase: 7
    Type: ROUTE-LOOKUP
    Subtype: output and adjacency
    Result: ALLOW
    Config:
    Additional Information:
    found next-hop 172.22.1.29 using egress ifc outside
    adjacency Active
    next-hop mac address 0030.a377.f854 hits 0
    
    Result:
    input-interface: outside
    input-status: up
    input-line-status: up
    output-interface: outside
    output-status: up
    output-line-status: up
    
    Action: allow
    
    

    Nota: No se aplica una lista de acceso a la interfaz externa. En la configuración de ejemplo, la interfaz externa tiene asignado un nivel de seguridad 0. De forma predeterminada, el firewall no permite tráfico de una interfaz de baja seguridad a una interfaz de alta seguridad. Esto puede hacer que los administradores crean que el tráfico entre interfaces no está permitido en la interfaz externa (baja seguridad), sin el permiso de una lista de acceso. Sin embargo, este mismo tráfico de interfaz pasa libremente cuando no se aplica una lista de acceso a la interfaz.

Comunicación entre interfaces activada y paso de tráfico a AIP-SSM para inspección

El tráfico entre interfaces puede pasar por AIP-SSM para inspección. En esta sección se asume que el administrador tiene configurado el ASA para reenviar tráfico a AIP-SSM y que conoce cómo configurar el software 5.x de IPS.

En este momento, la configuración de ASA incluye la configuración de ejemplo anterior, las comunicaciones entre interfaces están activadas y todo el tráfico (cualquiera que sea) se reenvía al AIP-SSM. La firma de IPS 2004 está modificada para interrumpir el tráfico de petición de eco. El host 172.22.1.6 intenta hacer ping al host 172.16.10.1. El host 172.22.1.6 envía un paquete de petición de eco ICMP a la puerta de enlace predeterminada (ASA). ASA reenvía el paquete de petición de eco a AIP-SSM para inspección. AIP-SSM interrumpe el paquete de datos por la configuración de IPS.

Estos ejemplos muestran el resultado del mensaje de syslog de ASA y del rastreador de paquetes:

  • Éste es el mensaje de syslog registrado en el búfer:

    ciscoasa(config)#show logging
    
    !--- Output is suppressed.
    
    %ASA-4-420002: IPS requested to drop ICMP packet from 
    outside:172.22.1.6/2048 to outside:172.16.10.1/0
    
    !--- ASA syslog message records the IPS request 
    !--- to drop the ICMP traffic.
    
    
  • Éste es el resultado del rastreador de paquetes:

    ciscoasa#packet-tracer input outside icmp 172.22.1.6 8 0 172.16.10.1
    
    Phase: 1
    Type: FLOW-LOOKUP
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    Found no matching flow, creating a new flow
    
    Phase: 2
    Type: ROUTE-LOOKUP
    Subtype: input
    Result: ALLOW
    Config:
    Additional Information:
    in   172.16.10.0     255.255.255.0   outside
    
    Phase: 3
    Type: ACCESS-LIST
    Subtype: 
    Result: ALLOW
    Config:
    Implicit Rule
    Additional Information:
    
    Phase: 4      
    Type: IP-OPTIONS
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    
    Phase: 5
    Type: INSPECT
    Subtype: np-inspect
    Result: ALLOW
    Config:
    Additional Information:
    
    Phase: 6
    Type: IDS
    Subtype: 
    
    Result: ALLOW
    
    Config:
    
    class-map traffic_for_ips
     match any
    policy-map global_policy
     class traffic_for_ips
      ips inline fail-open
    service-policy global_policy global
    
    
    !--- The packet-tracer recognizes that traffic is to be sent to the AIP-SSM.
    !--- The packet-tracer does not have knowledge of how the 
    !--- IPS software handles the traffic.
    
    Additional Information:
    
    Phase: 7
    Type: FLOW-CREATION
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    New flow created with id 15, packet dispatched to next module
    
    Result:
    input-interface: outside
    input-status: up
    input-line-status: up
    output-interface: outside
    output-status: up
    output-line-status: up
    
    Action: allow
    
    
    !--- From the packet-tracer perspective the traffic is permitted.
    !--- The packet-tracer does not interact with the IPS configuration.
    !--- The packet-tracer indicates traffic is allowed even though the IPS
    !--- might prevent inspected traffic from passing.
    
    

Es importante tener en cuenta que los administradores deben utilizar todas las herramientas de resolución de problemas posibles cuando investigan sobre un problema. Este ejemplo muestra cómo dos herramientas de resolución de problemas pueden mostrar aspectos distintos. Sin embargo, las dos herramientas juntas narran una historia completa. La política de configuración de ASA permite el tráfico, pero la configuración de IPS no.

Comunicación entre interfaces activada y listas de acceso aplicadas a una interfaz

En esta sección se utiliza la configuración de ejemplo original de este documento, las comunicaciones entre interfaces están activadas y se ha aplicado una lista de acceso a la interfaz de prueba. Se agregan las siguientes líneas a la configuración. La lista de acceso está diseñada para ser una simple representación de lo que se puede configurar en un firewall de producción.

ciscoasa(config)#access-list outside_acl permit tcp any host 172.22.1.147 eq 80
ciscoasa(config)#access-group outside_acl in interface outside

!--- Production firewalls also have NAT rules configured.
!--- This lab tests intra-interface communications. 
!--- NAT rules are not required.

El host 172.22.1.6 intenta hacer ping al host 172.16.10.1. El host 172.22.1.6 envía un paquete de petición de eco ICMP a la puerta de enlace predeterminada (ASA). ASA interrumpe el paquete de petición de eco por las reglas de la lista de acceso. El ping de prueba del host 172.22.1.6 falla.

Estos ejemplos muestran el resultado del mensaje de syslog de ASA y del rastreador de paquetes:

  • Éste es el mensaje de syslog registrado en el búfer:

    ciscoasa(config)#show logging
    
    !--- Output is suppressed.
    
    %ASA-4-106023: Deny icmp src outside:172.22.1.6 dst 
    outside:172.16.10.1 (type 8, code 0) by access-group 
    "outside_acl" [0xc36b9c78, 0x0]
  • Éste es el resultado del rastreador de paquetes:

    ciscoasa(config)#packet-tracer input outside icmp 172.22.1.6 8 0 172.16.10.1 detailed
    
    Phase: 1
    Type: FLOW-LOOKUP
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    Found no matching flow, creating a new flow
    
    Phase: 2
    Type: ROUTE-LOOKUP
    Subtype: input
    Result: ALLOW
    Config:
    Additional Information:
    in   172.16.10.0     255.255.255.0   outside
    
    Phase: 3
    Type: ACCESS-LIST
    Subtype: 
    
    Result: DROP
    
    Config:
    
    Implicit Rule
    
    
    !--- The implicit deny all at the end of an access-list prevents
    !--- intra-interface traffic from passing.
    
    Additional Information:
     Forward Flow based lookup yields rule:
     in  id=0x264f010, priority=11, domain=permit, deny=true
            hits=0, user_data=0x5, cs_id=0x0, flags=0x0, protocol=0
            src ip=0.0.0.0, mask=0.0.0.0, port=0
            dst ip=0.0.0.0, mask=0.0.0.0, port=0
    
    Result:
    input-interface: outside
    input-status: up
    input-line-status: up
    output-interface: outside
    output-status: up
    output-line-status: up
    Action: drop
    Drop-reason: (acl-drop) Flow is denied by configured rule

Nota: En el caso de que la lista de acceso aplicada a la interfaz incluya una declaración de denegación, el resultado del rastreador de paquetes cambia. Por ejemplo:

ciscoasa(config)#access-list outside_acl permit tcp any host 172.22.1.147 eq 80
ciscoasa(config)#access-list outside_acl deny ip any any
ciscoasa(config)#access-group outside_acl in interface outside
ciscoasa#packet-tracer input outside icmp 172.22.1.6 8 0 172.16.10.1 detailed

!--- Output is suppressed.

Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: DROP
Config:

access-group outside_acl in interface outside
access-list outside_acl extended deny ip any any 

Additional Information:
 Forward Flow based lookup yields rule:

Si se desea obtener comunicación entre interfaces en una interfaz determinada y se aplican listas de acceso a dicha interfaz, las reglas de las listas de acceso deben permitir el tráfico entre interfaces. Para usar los ejemplos de esta sección, la lista de acceso debe estar escrita de la siguiente manera:

ciscoasa(config)#access-list outside_acl permit tcp any host 172.22.1.147 eq 80
ciscoasa(config)#access-list outside_acl permit ip 172.22.1.0 255.255.255.0 172.16.10.0 255.255.255.0

!--- 172.22.1.0 255.255.255.0 represents a locally 
!--- connected network on the ASA.
!--- 172.16.1.0 255.255.255.0 represents any network that 
!--- 172.22.1.0/24 needs to access.

ciscoasa(config)# access-list outside_acl deny ip any any
ciscoasa(config)# access-group outside_acl in interface outside

Listas de acceso proactivas

No todas las políticas de acceso de firewall son iguales. Algunas políticas de acceso son más específicas que otras. En caso de que las comunicaciones entre interfaces estén activadas y el firewall no tenga una lista de acceso aplicada a todas las interfaces, puede resultar útil agregar una lista de acceso cuando se activen las comunicaciones entre interfaces. La lista de acceso que se aplique tiene que permitir las comunicaciones entre interfaces, así como mantener otros requerimientos de la política de acceso.

Esto se ilustra en el ejemplo siguiente. El ASA conecta una red privada (interfaz interna) a Internet (interfaz externa). La interfaz interna de ASA no tiene una lista de acceso aplicada. De forma predeterminada, se permite todo el tráfico IP desde el interior al exterior. La sugerencia es agregar una lista de acceso parecida a la siguiente:

access-list inside_acl permit ip <locally connected network> <all other internal networks>
access-list inside_acl permit ip any any
access-group inside_acl in interface inside

Este conjunto de listas de acceso siguen permitiendo todo el tráfico IP. Las líneas de la lista de acceso específicas para las comunicaciones entre interfaces recuerdan a los administradores que las comunicaciones entre interfaces deben estar permitidas mediante una lista de acceso aplicada.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 71342