Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

PIX/ASA 7.x: Ejemplo de configuración para habilitar servicios VoIP (SIP, MGCP, H323, SCCP)

23 Junio 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (13 Septiembre 2013) | Inglés (10 Octubre 2008) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Productos relacionados
     Convenciones
Antecedentes
     SIP
     MGCP
     H.323
     SCCP
Configuración
     Diagrama de la red para SIP
     Configuraciones para SIP
     Diagrama de la red para MGCP, H.323 y SCCP
     Configuraciones para MGCP
     Configuraciones para H.323
     Configuraciones para SCCP
Verificación
Resolución de problemas
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En este documento se describe cómo permitir el tráfico de los protocolos de voz por IP (VoIP) en la interfaz externa y habilitar la inspección de estos protocolos en los dispositivos de seguridad Cisco PIX/ASA.

Los protocolos son los siguientes:

  • Protocolo de inicio de sesión (SIP): SIP es un protocolo (señalización) de control de capa de aplicación que crea, modifica y termina las sesiones con uno o varios participantes. Entre estas sesiones se incluyen llamadas telefónicas por Internet y distribución y conferencias multimedia.

    SIP, tal y como lo define el grupo de trabajo de ingeniería en Internet (IETF), permite las llamadas VoIP. SIP funciona con el Protocolo de descripción de la sesión (SDP) para la señalización de llamadas. SDP especifica los detalles de la secuencia de medios. Cuando se utiliza SIP, el dispositivo de seguridad puede admitir cualquier gateway SIP (VoIP) y servidor proxy VoIP. SIP y SDP se definen en las siguientes RFC:

    • SIP: Protocolo de inicio de sesión, RFC 2543 leavingcisco.com

    • SDP: Protocolo de descripción de la sesión, RFC 2327 leavingcisco.com

    Para admitir llamadas SIP a través del dispositivo de seguridad, se deben inspeccionar los mensajes de señalización para las direcciones de conexión de medios, los puertos de medios y las conexiones embrionarias de los medios. Esto se debe a que mientras que la señalización se envía a través de un puerto de destino conocido (UDP/TCP 5060), las secuencias de medios se asignan dinámicamente. Asimismo, SIP incluye direcciones IP en la parte de datos del usuario del paquete IP. La inspección SIP aplica la traducción de direcciones de red (NAT) para estas direcciones IP incluidas.

    Nota: si un punto extremo remoto intenta registrarse con un proxy SIP en una red protegida por el dispositivo de seguridad, el registro fallará en condiciones muy concretas. Estas condiciones se producen si la traducción de direcciones de puerto (PAT) se configura para el punto extremo remoto, el servidor de registro SIP se encuentra en la red externa y si falta el puerto en el campo de contacto en el mensaje REGISTER enviado por el punto extremo al servidor proxy.

  • Protocolo de control de gateway de medios (MGCP): MGCP es un protocolo de control de llamadas cliente-servidor integrado en una arquitectura de control centralizada. Toda la información de plan de marcado reside en un agente de llamadas independiente. Este agente, que controla los puertos de la gateway, lleva a cabo el control de llamadas. La gateway realiza la traducción de medios entre la red telefónica pública conmutada (PSTN) y las redes VoIP para llamadas externas. En una red basada en Cisco, los CallManager funcionan como agentes de llamadas.

    MGCP es un estándar IETF que se define en varias RFC, entre ellas 2705 leavingcisco.com y 3435 leavingcisco.com. Sus capacidades se pueden ampliar mediante el uso de paquetes que incluyen, por ejemplo, la administración de tonos de multifrecuencia de tono dual (DTMF), RTP seguro, llamada en espera y transferencia de llamadas.

    Una gateway MGCP es relativamente fácil de configurar. Debido a que el agente de llamadas cuenta con la inteligencia de enrutamiento de llamadas, no es necesario configurar la gateway con todos los pares de marcado que sería necesario. Un inconveniente es que un agente de llamadas siempre debe estar disponible. Las gateway MGCP de Cisco pueden utilizar la telefonía de sitio remoto superviviente (SRST) y el repliegue de MGCP para permitir que el protocolo H.323 asuma el control y proporcione el enrutamiento de llamadas en ausencia de CallManager. En este caso, se deben configurar pares de marcado en la gateway para que H.323 los utilice.

  • H.323: la inspección H.323 proporciona compatibilidad para las aplicaciones que admiten H.323, por ejemplo, Cisco CallManager y VocalTec Gatekeeper. H.323 es un conjunto de protocolos definido por la Unión Internacional de Telecomunicaciones para las conferencias multimedia a través de redes LAN. El dispositivo de seguridad admite H.323 con la versión 4, que incluye la función de H.323 v3 de varias llamadas en un canal de señalización.

    Con la inspección H.323 habilitada, el dispositivo de seguridad admite varias llamadas en el mismo canal de señalización de llamada, una función incluida en la versión 3 de H.323. Gracias a ella, se reduce el tiempo de configuración de la llamada y el uso de puertos en el dispositivo de seguridad.

    Las siguientes son las dos funciones principales de la inspección H.323:

    • Traducción NAT de las direcciones IPv4 incluidas y necesarias en los mensajes H.225 y H.245. Debido a que los mensajes H.323 se codifican con formato de codificación PER, el dispositivo de seguridad utiliza un descodificador ASN.1 para descodificar los mensajes H.323.

    • Asignación dinámica de las conexiones H.245 y RTP/RTCP negociadas.

  • Protocolo de control de cliente Skinny (o simple) (SCCP): SCCP es un protocolo simplificado utilizado en redes VoIP. Los teléfonos IP de Cisco que usan SCCP pueden coexistir en un entorno H.323. Cuando se utiliza con Cisco CallManager, el cliente SCCP puede interactuar con terminales compatibles con H.323. Las funciones de capa de aplicación del dispositivo de seguridad reconocen la versión 3.3 de SCCP. La funcionalidad del software de capa de aplicación garantiza que todos los paquetes de medios y señalización SCCP puedan atravesar el dispositivo de seguridad mediante la traducción NAT de los paquetes de señalización SCCP.

    Existen cinco versiones del protocolo SCCP: 2.4, 3.0.4, 3.1.1, 3.2 y 3.3.2. El dispositivo de seguridad las admite todas hasta la versión 3.3.2 y ofrece compatibilidad con PAT y NAT para SCCP. PAT resulta necesario si cuenta con números limitados de direcciones IP globales para usar con teléfonos IP.

    En el tráfico normal entre teléfonos IP de Cisco y Cisco CallManager se emplea SCCP y se administra mediante la inspección SCCP sin ninguna configuración especial. El dispositivo de seguridad también admite las opciones DHCP 150 y 66, que permiten que el dispositivo envíe la ubicación de un servidor TFTP a los teléfonos IP de Cisco y otros clientes DHCP. Para obtener más información, consulte Configuring DHCP, DDNS, and WCCP Services (Configuración de servicios DHCP, DDNS y WCC).

Requisitos previos

Requisitos

En este documento se asume que la configuración de VPN necesaria se ha realizado en todos los dispositivos y que funciona correctamente.

Para obtener más información sobre la configuración de VPN, consulte PIX/ASA 7.x Security Appliance to an IOS Router LAN-to-LAN IPsec Tunnel Configuration Example (Ejemplo de configuración de un túnel IPSec LAN a LAN de un dispositivo de seguridad PIX/ASA 7.x a un router de IOS).

Consulte PIX/ASA 7.x: Enable Communication Between Interfaces (PIX/ASA 7.x: Habilitación de comunicación entre interfaces) para obtener más información sobre cómo habilitar la comunicación entre interfaces.

Componentes utilizados

La información de este documento se basa en el dispositivo de seguridad adaptable Cisco (ASA) serie 5500 que ejecuta la versión 7.x del software.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando.

Productos relacionados

Esta configuración también se puede utilizar con Cisco PIX Firewall serie 500 que ejecuta la versión 7.x del software.

Convenciones

Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento.

Antecedentes

SIP

Con la inspección SIP se lleva a cabo la traducción NAT de los mensajes SIP basados en texto y se vuelve a calcular la longitud del contenido de la parte SDP del mensaje, así como la suma de comprobación y la longitud del paquete. Se abren dinámicamente las conexiones de medios para los puertos especificados en la parte SDP de los mensajes SIP como dirección/puertos en los que el punto final debe escuchar.

La inspección SIP cuenta con una base de datos con índices CALL_ID/FROM/TO de la carga útil SIP que identifica la llamada, así como el origen y el destino. Esta base de datos contiene las direcciones y los puertos de medios que se incluían en los campos de información de medios de SDP y el tipo de medios. Puede haber varios puertos y direcciones de medios para una sesión. Las conexiones RTP/RTCP se abren entre los dos puntos extremos utilizando estos puertos/direcciones de medios.

El puerto conocido 5060 se debe usar en el mensaje de configuración de llamada inicial (INVITE). Sin embargo, los siguientes mensajes no deben tener este número de puerto. El motor de inspección SIP abre orificios de conexión de señalización y marca estas conexiones como conexiones SIP. Esto se lleva a cabo para que los mensajes alcancen la aplicación SIP y se les aplique la traducción NAT.

Cuando se configura una llamada, la sesión SIP se considera en un estado transitorio. Este estado se mantiene hasta que se recibe un mensaje de respuesta que indica la dirección de medios RTP y el puerto en el que el punto extremo de destino realiza la detección. Si se produce un error al recibir los mensajes de respuesta en un minuto, la conexión de señalización se romperá.

Una vez realizada la comunicación final, el estado de la llamada pasará a ser activo y la conexión de señalización se mantendrá hasta que se reciba un mensaje BYE.

Si un punto extremo interno inicia una llamada a uno externo, se abre un orificio de medios en la interfaz externa para permitir el flujo de paquetes UDP RTP/RTCP al puerto de medios y la dirección de medios del punto extremo interno especificados en el mensaje INVITE desde el punto extremo interno. Los paquetes UDP RTP/RTCP no solicitados de una interfaz interna no atravesarán el dispositivo de seguridad, a menos que su configuración lo permita explícitamente.

Las conexiones de medios se romperán en dos minutos cuando la conexión se vuelva inactiva. El tiempo de espera se puede configurar y establecer en un período superior o más breve.

MGCP

Para poder utilizar MGCP, suele ser necesario configurar dos comandos de inspección como mínimo: uno para el puerto en el que la gateway recibe comandos y otro para el puerto en el que los recibe el agente de llamadas. Normalmente, un agente de llamadas envía comandos al puerto MGCP predeterminado para las gateway, 2427, y una gateway envía comandos al puerto MGCP predeterminado para los agentes de llamadas, 2727.

Los mensajes MGCP se transmiten a través de UDP. Se devuelve una respuesta a la dirección de origen (dirección IP y número de puerto UDP) del comando, pero es posible que la respuesta no se reciba desde la misma dirección a la que se envió el comando. Esto puede suceder cuando se emplean varios agentes de llamadas en una configuración de conmutación por error y el agente que recibió el comando ha transmitido el control a un agente de llamadas de respaldo que, posteriormente, envía la respuesta.

H.323

El conjunto de protocolos H.323 puede utilizar conjuntamente hasta dos conexiones TCP y de cuatro a seis conexiones UDP. FastConnect sólo hace uso de una conexión TCP, y RAS (fiabilidad, disponibilidad y facilidad) utiliza una sola conexión UDP para registro, admisiones y estado.

Un cliente H.323 puede establecer inicialmente una conexión TCP con un servidor H.323 utilizando el puerto TCP 1720 para solicitar la configuración de llamada Q.931. Como parte del proceso de configuración de llamada, el terminal H.323 proporciona un número de puerto al cliente para su uso con una conexión TCP H.245. En entornos donde se emplea el controlador de acceso H.323, el paquete inicial se transmite mediante UDP.

La inspección H.323 supervisa la conexión TCP Q.931 para determinar el número de puerto H.245. Si los terminales H.323 no usan FastConnect, el dispositivo de seguridad asigna dinámicamente la conexión H.245 en función de la inspección de los mensajes H.225.

En cada mensaje H.245, los puntos extremos H.323 intercambian números de puerto que se utilizan para secuencias de datos UDP posteriores. Con la inspección H.323 se supervisan los mensajes H.245 para identificar estos puertos y se crean conexiones de forma dinámica para el intercambio de medios. RTP utiliza el número de puerto negociado, mientras que RTCP emplea el siguiente número superior.

El canal de control H.323 administra los protocolos RAS H.225, H.245 y H.323. En la inspección H.323 se emplean los siguientes puertos:

  • 1718: puerto UDP de detección de control de acceso

  • 1719: puerto UDP RAS

  • 1720: puerto de control TCP

El tráfico se debe permitir en el puerto conocido H.323 1720 para la señalización de llamadas H.225. Sin embargo, los puertos de señalización H.245 se negocian entre los puntos extremos en la señalización H.225. Si se usa un controlador de acceso H.323, el dispositivo de seguridad abre una conexión H.225 basada en la inspección del mensaje de confirmación de admisión (ACF).

Una vez inspeccionados los mensajes H.225, el dispositivo de seguridad abre el canal H.245 e inspecciona el tráfico enviado a través del canal H.245. Todos los mensajes H.245 que se transmiten a través el dispositivo de seguridad, se someten a la inspección de aplicaciones H.245, que traduce las direcciones IP incluidas y abre los canales de medios negociados en los mensajes H.245.

El estándar ITU H.323 requiere que un encabezado de paquete de unidad de datos de protocolo de transporte (TPKT), que define la longitud del mensaje, preceda a H.225 y H.245, antes de transmitirse a la conexión fiable. El encabezado TPKT no se debe enviar necesariamente en el mismo paquete TCP como mensajes H.225 y H.245, por lo que el dispositivo de seguridad debe recordar la longitud de TPKT para procesar y descodificar los mensajes correctamente. En todas las conexiones, el dispositivo de seguridad conserva un registro que incluye la longitud de TPKT para el siguiente mensaje esperado.

Si el dispositivo de seguridad debe realizar la traducción NAT en las direcciones IP de los mensajes, cambia la suma de comprobación, la longitud de UUIE y TPKT, si se incluye en el paquete TCP con el mensaje H.225. Si TPKT se envía en un paquete TCP independiente, el proxy del dispositivo de seguridad reconoce (ACK) dicho TPKT y agrega un nuevo TPKT al mensaje H.245 con la nueva longitud.

SCCP

En topologías donde Cisco CallManager se ubica en la interfaz de seguridad más elevada respecto a los teléfonos IP de Cisco, si la traducción NAT es necesaria para la dirección IP de Cisco CallManager, la asignación debe ser estática, ya que los teléfonos IP de Cisco requieren que la dirección IP de Cisco CallManager se especifique explícitamente en su configuración. Una entrada estática de identidad permite a Cisco CallManager, ubicado en la interfaz de seguridad más elevada, aceptar registros de teléfonos IP de Cisco.

Los teléfonos IP de Cisco requieren acceso a un servidor TFTP para poder descargar la información de configuración que necesitan para realizar la conexión con el servidor de Cisco CallManager.

Si los teléfonos se encuentran en una interfaz de seguridad más baja en comparación con el servidor TFTP, se debe usar una lista de acceso para poder conectarse al servidor TFTP protegido en el puerto UDP 69. Aunque se necesita una entrada estática para el servidor TFTP, no tiene que ser una entrada estática de identidad. Cuando se aplica NAT, una entrada estática de identidad se asigna a la misma dirección IP. Cuando se aplica la traducción PAT, se asigna al mismo puerto y dirección IP.

Si los teléfonos IP de Cisco se encuentran en una interfaz de seguridad superior en comparación con el servidor TFTP y Cisco CallManager, no se requiere la lista de acceso ni la entrada estática para que los teléfonos puedan iniciar la conexión.

Configuración

En esta sección se presenta la información para configurar las funciones descritas en este documento.

Nota: emplee la herramienta de búsqueda de comandos ( sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red para SIP

Esta sección utiliza esta configuración de red:

enable-voip-config1.gif

Configuraciones para SIP

Esta sección usa estas configuraciones:

El dispositivo de seguridad admite la inspección de aplicaciones mediante la función del algoritmo de seguridad adaptable. Con la inspección de estado utilizada por dicho algoritmo, el dispositivo de seguridad realiza un seguimiento de todas las conexiones que atraviesan el firewall, garantizando su validez. El firewall, mediante la inspección de estado, también supervisa el estado de la conexión para compilar información y situarla en una tabla de estado. Con el uso de esta tabla y las reglas definidas por el administrador, las decisiones de filtrado se basan en el contexto que se establece mediante paquetes transmitidos previamente a través del firewall. La implementación de las inspecciones de aplicaciones consta de tres operaciones:

  • Identificar el tráfico.

  • Aplicar inspecciones al tráfico.

  • Activar inspecciones en una interfaz.

Configuración de la inspección de aplicaciones SIP básica

De forma predeterminada, la configuración incluye una política que relaciona todo el tráfico de inspección de aplicaciones predeterminado y aplica la inspección al tráfico en todas las interfaces (política global). En el tráfico de inspección de aplicaciones predeterminado se incluye el tráfico de los puertos predeterminados para cada protocolo. Sólo se puede aplicar una política global. Por lo tanto, si desea modificar la política global, por ejemplo, para aplicar la inspección a puertos no estándar o agregar inspecciones que no estén habilitadas de forma predeterminada, debe cambiar la política predeterminada, o bien deshabilitarla y aplicar una nueva. Para obtener una lista de todos los puertos predeterminados, consulte Default Inspection Policy (Política de inspección predeterminada).

  1. Ejecute el comando policy-map global_policy.

    ASA5510(config)#policy-map global_policy
                   
  2. Ejecute el comando class inspection_default.

    ASA5510(config-pmap)#class inspection_default
                   
  3. Ejecute el comando inspect sip.

    ASA5510(config-pmap-c)#inspect sip
                   

Configuración de ASA para SIP

ASA Version 7.2(1)24
!
ASA5510 ASA5510
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.16.1.2 255.255.255.0
!

                     !--- Resultado suprimido.
                  
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

                     !--- Comando para permitir el tráfico SIP entrante.
                  

                  access-list 100 extended permit tcp 10.2.2.0 255.255.255.0
host 172.16.1.5 eq sip
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400

                     !--- Comando para redirigir el tráfico SIP recibido en la interfaz externa a la
!--- interfaz interna para la dirección IP especificada.
                  

                  static (inside,outside) 172.16.1.5 10.1.1.10 netmask 255.255.255.255

                  access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp

                     !--- Comando para habilitar la inspección SIP.
                  

                  inspect sip
  inspect xdmcp
  inspect ftp
!

                     !--- Este comando indica al dispositivo que
!--- use la correspondencia de políticas "global_policy" en todas las interfaces.

                  

                  service-policy global_policy global
prompt ASA5510 context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
ASA5510#

Diagrama de la red para MGCP, H.323 y SCCP

Esta sección utiliza esta configuración de red:

enable-voip-config2.gif

Configuraciones para MGCP

Esta sección usa estas configuraciones:

El dispositivo de seguridad admite la inspección de aplicaciones mediante la función del algoritmo de seguridad adaptable. Con la inspección de estado utilizada por dicho algoritmo, el dispositivo de seguridad realiza un seguimiento de todas las conexiones que atraviesan el firewall, garantizando su validez. El firewall, mediante la inspección de estado, también supervisa el estado de la conexión para compilar información y situarla en una tabla de estado. Con el uso de esta tabla y las reglas definidas por el administrador, las decisiones de filtrado se basan en el contexto que se establece mediante paquetes transmitidos previamente a través del firewall. La implementación de las inspecciones de aplicaciones consta de tres operaciones:

  • Identificar el tráfico.

  • Aplicar inspecciones al tráfico.

  • Activar inspecciones en una interfaz.

Configuración de la inspección de aplicaciones MGCP básica

De forma predeterminada, la configuración incluye una política que relaciona todo el tráfico de inspección de aplicaciones predeterminado y aplica la inspección al tráfico en todas las interfaces (política global). En el tráfico de inspección de aplicaciones predeterminado se incluye el tráfico de los puertos predeterminados para cada protocolo. Sólo se puede aplicar una política global. Por lo tanto, si desea modificar la política global, por ejemplo, para aplicar la inspección a puertos no estándar o agregar inspecciones que no estén habilitadas de forma predeterminada, debe cambiar la política predeterminada, o bien deshabilitarla y aplicar una nueva. Para obtener una lista de todos los puertos predeterminados, consulte Default Inspection Policy (Política de inspección predeterminada).

  1. Ejecute el comando policy-map global_policy.

    ASA5510(config)#policy-map global_policy
                   
  2. Ejecute el comando class inspection_default.

    ASA5510(config-pmap)#class inspection_default
                   
  3. Ejecute el comando inspect mgcp.

    ASA5510(config-pmap-c)#inspect mgcp
                   

Configuración de una correspondencia de políticas de inspección MGCP para un control de inspección adicional

Si la red dispone de varios agentes de llamadas y gateways para los que el dispositivo de seguridad tiene que abrir orificios, cree una correspondencia MGCP. Posteriormente se podrá aplicar la correspondencia MGCP cuando se habilite la inspección MGCP. Para obtener más información, consulte Configuring Application Inspection (Configuración de la inspección de aplicaciones).

            
               !--- Permite el tráfico entrante del puerto 2427.
            
ASA5510(config)#access-list 100 extended permit udp 10.2.2.0 255.255.255.0
host 172.16.1.5 eq 2427 

            
               !--- Permite el tráfico entrante del puerto 2727.
            
ASA5510(config)#access-list 100 extended permit udp 10.2.2.0 255.255.255.0
host 172.16.1.5 eq 2727
ASA5510(config)#class-map mgcp_port
ASA5510(config-cmap)#match access-list 100
ASA5510(config-cmap)#exit

               !--- Comando para crear una correspondencia de políticas de inspección MGCP.
            
ASA5510(config)#policy-map type inspect mgcp mgcpmap

            
               !--- Comando para configurar parámetros que afectan al
!--- motor de inspección y entrar en modo de configuración de parámetros.
            
ASA5510(config-pmap)#parameters

            
               !--- Comando para configurar los agentes de llamadas.
            
ASA5510(config-pmap-p)#call-agent 10.1.1.10 101

            
               !--- Comando para configurar las gateway.
            
ASA5510(config-pmap-p)#gateway 10.2.2.5 101

            
               !--- Comando para modificar el número máximo de comandos
!--- permitidos en la cola de comandos MGCP.
            
ASA5510(config-pmap-p)#command-queue 150
ASA5510(config-pmap-p)# exit
ASA5510(config)#policy-map inbound_policy
ASA5510(config-pmap)# class mgcp_port
ASA5510(config-pmap-c)#inspect mgcp mgcpmap
ASA5510(config-pmap-c)# exit
ASA5510(config)#service-policy inbound_policy interface outside
         

Configuración de ASA para MGCP

ASA Version 7.2(1)24
!
hostname ASA5510
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.16.1.2 255.255.255.0
!

                     !--- Permite el tráfico entrante del puerto 2727 y 2427.
                  

                  access-list 100 extended permit udp 10.2.2.0 255.255.255.0 host 172.16.1.5 eq 2427
access-list 100 extended permit udp 10.2.2.0 255.255.255.0 host 172.16.1.5 eq 2727
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
no asdm history enable
arp timeout 14400

                     !--- Comando para redirigir el tráfico MGCP recibido en la interfaz externa a la
!--- interfaz interna para la dirección IP especificada.

                  

                  static (inside,outside) 172.16.1.5 10.1.1.10 netmask 255.255.255.255

                  access-group 100 in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map mgcp_port
 match access-list 100
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
  inspect mgcp
policy-map type inspect mgcp mgcpmap
 parameters
  call-agent 10.1.1.10 101
  gateway 10.2.2.5 101
  command-queue 150

                  policy-map inbound_policy
 class mgcp_port
  inspect mgcp mgcpmap
!
service-policy global_policy global
service-policy inbound_policy interface outside
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Configuraciones para H.323

Esta sección usa estas configuraciones:

El dispositivo de seguridad admite la inspección de aplicaciones mediante la función del algoritmo de seguridad adaptable. Con la inspección de estado utilizada por dicho algoritmo, el dispositivo de seguridad realiza un seguimiento de todas las conexiones que atraviesan el firewall, garantizando su validez. El firewall, mediante la inspección de estado, también supervisa el estado de la conexión para compilar información y situarla en una tabla de estado. Con el uso de esta tabla y las reglas definidas por el administrador, las decisiones de filtrado se basan en el contexto que se establece mediante paquetes transmitidos previamente a través del firewall. La implementación de las inspecciones de aplicaciones consta de tres operaciones:

  • Identificar el tráfico.

  • Aplicar inspecciones al tráfico.

  • Activar inspecciones en una interfaz.

Configuración de la inspección de H.323 básica

De forma predeterminada, la configuración incluye una política que relaciona todo el tráfico de inspección de aplicaciones predeterminado y aplica la inspección al tráfico en todas las interfaces (política global). En el tráfico de inspección de aplicaciones predeterminado se incluye el tráfico de los puertos predeterminados para cada protocolo. Sólo se puede aplicar una política global. Por lo tanto, si desea modificar la política global, por ejemplo, para aplicar la inspección a puertos no estándar o agregar inspecciones que no estén habilitadas de forma predeterminada, debe cambiar la política predeterminada, o bien deshabilitarla y aplicar una nueva. Para obtener una lista de todos los puertos predeterminados, consulte Default Inspection Policy (Política de inspección predeterminada).

  1. Ejecute el comando policy-map global_policy.

    ASA5510(config)#policy-map global_policy
                   
  2. Ejecute el comando class inspection_default.

    ASA5510(config-pmap)#class inspection_default
                   
  3. Ejecute el comando inspect h323.

    ASA5510(config-pmap-c)#inspect h323 h225
    ASA5510(config-pmap-c)#inspect h323 ras 
                   

Configuración de ASA para H.323

ASA Version 7.2(1)24
!
ASA5510 ASA5510
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.16.1.2 255.255.255.0
!

                     !--- Resultado suprimido.
                  
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

                     !--- Comando para permitir el tráfico entrante del puerto UDP de detección de control de acceso.
                  


                  access-list 100 extended permit udp 10.2.2.0 255.255.255.0 host 172.16.1.5 eq 1718

                  
                     !--- Comando para permitir el tráfico del puerto UDP RAS.
                  

                  access-list 100 extended permit udp 10.2.2.0 255.255.255.0 host 172.16.1.5 eq 1719

                  
                     !--- Comando para permitir el tráfico entrante del protocolo h323.
                  

                  access-list 100 extended permit tcp 10.2.2.0 255.255.255.0 host 172.16.1.5 eq h323
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400

                     !--- Comando para redirigir el tráfico del protocolo h323 recibido en la interfaz externa a la
!--- interfaz interna para la dirección IP especificada.
                  

                  static (inside,outside) 172.16.1.5 10.1.1.10 netmask 255.255.255.255

                  access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map

                     !--- Comando para habilitar la inspección H.323.
                  

                  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
  inspect ftp
!

                     !--- Este comando indica al dispositivo que
!--- use la correspondencia de políticas "global_policy" en todas las interfaces.

                  

                  service-policy global_policy global
prompt ASA5510 context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
ASA5510#

Configuraciones para SCCP

Esta sección usa estas configuraciones:

El dispositivo de seguridad admite la inspección de aplicaciones mediante la función del algoritmo de seguridad adaptable. Con la inspección de estado utilizada por dicho algoritmo, el dispositivo de seguridad realiza un seguimiento de todas las conexiones que atraviesan el firewall, garantizando su validez. El firewall, mediante la inspección de estado, también supervisa el estado de la conexión para compilar información y situarla en una tabla de estado. Con el uso de esta tabla y las reglas definidas por el administrador, las decisiones de filtrado se basan en el contexto que se establece mediante paquetes transmitidos previamente a través del firewall. La implementación de las inspecciones de aplicaciones consta de tres operaciones:

  • Identificar el tráfico.

  • Aplicar inspecciones al tráfico.

  • Activar inspecciones en una interfaz.

Configuración de la inspección de aplicaciones SCCP básica

De forma predeterminada, la configuración incluye una política que relaciona todo el tráfico de inspección de aplicaciones predeterminado y aplica la inspección al tráfico en todas las interfaces (política global). En el tráfico de inspección de aplicaciones predeterminado se incluye el tráfico de los puertos predeterminados para cada protocolo. Sólo se puede aplicar una política global. Por lo tanto, si desea modificar la política global, por ejemplo, para aplicar la inspección a puertos no estándar o agregar inspecciones que no estén habilitadas de forma predeterminada, debe cambiar la política predeterminada, o bien deshabilitarla y aplicar una nueva. Para obtener una lista de todos los puertos predeterminados, consulte Default Inspection Policy (Política de inspección predeterminada).

  1. Ejecute el comando policy-map global_policy.

    ASA5510(config)#policy-map global_policy
                   
  2. Ejecute el comando class inspection_default.

    ASA5510(config-pmap)#class inspection_default
                   
  3. Ejecute el comando inspect skinny.

    ASA5510(config-pmap-c)#inspect skinny
                   

Configuración de ASA para SCCP

ASA Version 7.2(1)24
!
ASA5510 ASA5510
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.16.1.2 255.255.255.0
!

                     !--- Resultado suprimido.
                  
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

                     !--- Comando para permitir el tráfico SCCP entrante.
                  

                  access-list 100 extended permit tcp 10.2.2.0 255.255.255.0
host 172.16.1.5 eq 2000
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400

                     !--- Comando para redirigir el tráfico SIP recibido en la interfaz externa a la
!--- interfaz interna para la dirección IP especificada.
                  

                  static (inside,outside) 172.16.1.5 10.1.1.10 netmask 255.255.255.255

                  access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp

                     !--- Comando para habilitar la inspección SCCP.
                  

                  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp

  inspect sip
  inspect xdmcp
  inspect ftp
!

                     !--- Este comando indica al dispositivo que
!--- use la correspondencia de políticas "global_policy" en todas las interfaces.

                  

                  service-policy global_policy global
prompt ASA5510 context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
ASA5510#

Verificación

Utilice esta sección para confirmar que la configuración funciona de manera adecuada.

La herramienta intérprete de resultados ( sólo para clientes registrados) (OIT) admite algunos comandos show. Utilice OIT para ver un análisis de los resultados del comando show.

SIP:

Para garantizar que la configuración se haya aplicado correctamente, use el comando show service-policy y limite el resultado sólo a la inspección SIP con el comando show service-policy inspect sip.

ASA5510#show service-policy inspect sip

Global policy:
  Service-policy: global_policy
    Class-map: inspection_default
      Inspect: sip, packet 0, drop 0, reset-drop 0
ASA5510#

MGCP:

ASA5510#show service-policy inspect mgcp

Global policy:
  Service-policy: global_policy
    Class-map: inspection_default
      Inspect: skinny, packet 0, drop 0, reset-drop 0

H.323:

ASA5510(config)#show service-policy inspect  h323 h225

Global policy:
  Service-policy: global_policy
    Class-map: inspection_default
      Inspect: h323 h225 _default_h323_map, packet 0, drop 0, reset-drop 0
        h245-tunnel-block drops 0 connection
ASA5510(config)#show service-policy inspect  h323 ras

Global policy:
  Service-policy: global_policy
    Class-map: inspection_default
      Inspect: h323 ras _default_h323_map, packet 0, drop 0, reset-drop 0
        h245-tunnel-block drops 0 connection

SCCP:

ASA5510(config)#show service-policy inspect skinny

Global policy:
  Service-policy: global_policy
    Class-map: inspection_default
      Inspect: skinny, packet 0, drop 0, reset-drop 0

Resolución de problemas

Actualmente, no hay información específica disponible sobre solución de problemas para esta configuración.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 82446