Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

PIX/ASA 7.x: Межинтерфейсная и внутриинтерфейсная связь

29 июля 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (14 октября 2008) | Отзыв

Содержание

Введение
Предварительные условия
     Требования
     Используемые компоненты
     Условные обозначения
Основные сведения
Устранение неполадок
     Функция межинтерфейсной и внутриинтерфейсной связи отключена
     Функция межинтерфейсной и внутриинтерфейсной связи включена
     Межинтерфейсная связь включена, трафик передан на проверку модулю AIP-SSM
     Межинтерфейсная и внутриинтерфейсная связь включена, списки доступа применены к интерфейсу
     Последующее добавление списка доступа
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В данном документе описываются способы устранения распространенных проблем, которые могут возникнуть при включении функции межинтерфейсной и внутриинтерфейсной связи на адаптивном устройстве безопасности (ASA) или PIX, на котором установлен выпуск ПО 7.2. Выпуск ПО 7.2 включает в себя функцию маршрутизации открытых текстовых данных в/из одного и того же интерфейса. Чтобы включить данную функцию, введите команду same-security-traffic permit intra-interface. В данном документе предполагается, что администратор сети включил данную функцию или планирует сделать это. Конфигурация и устранение неполадок приведены с использованием интерфейса командной строки (CLI).

Примечание. В данном документе рассматриваются открытые (нешифрованные) данные, которые поступают в/из адаптивного устройства безопасности (ASA). Передача шифрованных данных не рассматривается.

Предварительные условия

Требования

Cisco рекомендует ознакомиться с содержанием следующих разделов.

  • Списки доступа.

  • Маршрутизация

  • Модуль расширенной проверки и профилактических служб безопасности (AIP-SSM), модуль системы предотвращения незаконного вмешательства. Знание данного модуля необходимо, только если модуль установлен и находится в работе.

  • Выпуск ПО IPS 5. Знание данного ПО IPS не требуется, если модуль AIP-SSM не используется.

Используемые компоненты

  • Адаптивное устройство безопасности ASA 5510 7.2.1

  • Модуль AIP-SSM-10, на котором установлено ПО IPS 5.1.1

Данные для этого документа были получены при тестировании указанных устройств в специально созданных лабораторных условиях. Все устройства, описанные в данном документе, обладают ненастроенной (заданной по умолчанию) конфигурацией. При работе в действующей сети необходимо изучить все возможные последствия каждой команды.

Условные обозначения

Более подробные сведения о применяемых в документе обозначениях см. в документе Условные обозначения, используемые в технической документации Cisco.

Общие сведения

В данном документе использованы параметры данной сети. Использованные в этой конфигурации схемы IP-адресов даны для примера и не годятся для использования в Интернете. Это адреса RFC 1918 leavingcisco.com, которые использовались в лабораторной среде.

intra-interface-communications-1.gif

В данной таблице представлена начальная конфигурация ASA.

ASA

ciscoasa#show running-config
: Saved
:
ASA Version 7.2(1) 
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
!--- IP-адресация назначена интерфейсам.

interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.1.1.2 255.255.255.0 
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0 
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown     
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
!--- Обратите внимание на то, что списки доступа отсутствуют.

pager lines 24
logging enable
logging buffered debugging
mtu inside 1500
mtu outside 1500
no asdm history enable
arp timeout 14400
!--- Правила преобразования сетевых адресов (NAT) отсутствуют.

!--- Статические маршруты добавлены для тестирования.

route inside 10.2.2.0 255.255.255.0 10.1.1.100 1
route outside 172.16.10.0 255.255.255.0 172.22.1.29 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:

Устранение неполадок

В данных разделах описываются несколько сценариев конфигурации, соответствующие сообщения системных журналов и выходные данные команды packet-tracer по отношению к межинтерфейсной и к внутриинтерфейсной связи.

Функция межинтерфейсной и внутриинтерфейсной связи отключена

В конфигурации ASA хост 172.22.1.6 предпринимает попытку отправить запрос "ICMP-эхо" на хост 172.16.10.1. Хост 172.22.1.6 отправляет пакет ICMP-эхо на шлюз по умолчанию (ASA). Функция внутриинтерфейсной и межинтерфейсной связи не включена на ASA. ASA отбрасывает пакет эхо-запроса. Тестовый запрос "ICMP-эхо" не выполнен. Для устранения данной проблемы используется ASA.

В данном примере показаны выходные данные сообщений системного журнала и команды packet-tracer.

  • Ниже приводится сообщение системного журнала, размещенное в буфере.

    ciscoasa(config)#show logging
    !--- Выходные данные команды подавляются.
    
    %ASA-3-106014: Deny inbound icmp src outside:172.22.1.6 
    dst outside:172.16.10.1 (type 8, code 0)
  • Ниже приведены выходные данные команды packet-tracer.

    ciscoasa(config)#packet-tracer input outside icmp 172.22.1.6 8 0 172.16.10.1 detailed
    Phase: 1
    Type: FLOW-LOOKUP
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    Found no matching flow, creating a new flow
    
    Phase: 2
    Type: ROUTE-LOOKUP
    Subtype: input
    Result: ALLOW
    Config:
    Additional Information:
    in   172.16.10.0     255.255.255.0   outside
    
    Phase: 3
    Type: ACCESS-LIST
    Subtype: 
    
    Result: DROP
    
    Config:
    
    Implicit Rule
    
    !--- Неявное правило означает правило конфигурации, не настроенное
    !--- пользователем. По умолчанию межинтерфейсная и внутриинтерфейсная связь не разрешается.
    !--- В этом примере пользователь не включил функцию межинтерфейсной и внутриинтерфейсной связи; 
    !--- поэтому трафик неявно отклонен.
    
    Additional Information:
     Forward Flow based lookup yields rule:
     in  id=0x3bd8480, priority=111, domain=permit, deny=true
            hits=0, user_data=0x0, cs_id=0x0, flags=0x4000, protocol=0
            src ip=0.0.0.0, mask=0.0.0.0, port=0
            dst ip=0.0.0.0, mask=0.0.0.0, port=0
                  
    Result:
    input-interface: outside
    input-status: up
    input-line-status: up
    output-interface: outside
    output-status: up
    output-line-status: up
    Action: drop
    Drop-reason: (acl-drop) Flow is denied by configured rule

Выходные данные команды packet-tracer drop...implicit rule подразумевают, что конфигурация по умолчанию блокирует трафик. Администратору необходимо проверить запущенную конфигурацию, чтобы убедиться во включении функции межинтерфейсной и внутриинтерфейсной связи. В данном случае для конфигурации ASA необходимо включить функцию межинтерфейсной и внутриинтерфейсной связи (same-security-traffic permit intra-interface).

ciscoasa#show running-config
!--- Выходные данные команды подавляются.

interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

same-security-traffic permit intra-interface

!--- При включенной функции межинтерфейсной и внутриинтерфейсной связи в конфигурации отображается строка,
!--- выделенная жирным шрифтом. Строка конфигурации 
!--- отображается после конфигурации интерфейса и перед 
!--- конфигурациями списков доступа.

access-list...
access-list...

Функция межинтерфейсной и внутриинтерфейсной связи включена

Теперь функция межинтерфейсной и внутриинтерфейсной связи включена. К предыдущей конфигурации добавляется команда same-security-traffic permit intra-interface. Хост 172.22.1.6 предпринимает попытку отправить запрос "ICMP-эхо" на хост 172.16.10.1. Хост 172.22.1.6 отправляет пакет "ICMP-эхо" на шлюз по умолчанию (ASA). Хост 172.22.1.6 записывает успешные ответы от 172.16.10.1. ASA успешно передает ICMP-трафик.

В данных примерах показаны выходные данные системного журнала ASA и команды packet-tracer.

  • Ниже приведены сообщения системных журналов, размещенные в буфере.

    ciscoasa#show logging
    !--- Выходные данные команды подавляются.
    
    %PIX-7-609001: Built local-host outside:172.22.1.6
    %PIX-7-609001: Built local-host outside:172.16.10.1
    %PIX-6-302020: Built ICMP connection for faddr 172.22.1.6/64560 
    gaddr 172.16.10.1/0 laddr 172.16.10.1/0
    %PIX-6-302021: Teardown ICMP connection for faddr 172.22.1.6/64560 
    gaddr 172.16.10.1/0 laddr 172.16.10.1/0
    %PIX-7-609002: Teardown local-host outside:172.22.1.6 duration 0:00:04
    %PIX-7-609002: Teardown local-host outside:172.16.10.1 duration 0:00:04
  • Ниже приведены выходные данные команды packet-tracer.

    ciscoasa(config)#packet-tracer input outside icmp 172.22.1.6 8 0 172.16.10.1
    
    Phase: 1
    Type: FLOW-LOOKUP
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    Found no matching flow, creating a new flow
    
    Phase: 2
    Type: ROUTE-LOOKUP
    Subtype: input
    Result: ALLOW
    Config:
    Additional Information:
    in   172.16.10.0     255.255.255.0   outside
    
    Phase: 3
    Type: ACCESS-LIST
    Subtype: 
    Result: ALLOW
    Config:
    Implicit Rule
    Additional Information:
    
    Phase: 4      (
    Type: IP-OPTIONS
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    
    Phase: 5
    Type: INSPECT
    Subtype: np-inspect
    Result: ALLOW
    Config:
    Additional Information:
    
    Phase: 6
    Type: FLOW-CREATION
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    New flow created with id 23, packet dispatched to next module
    
    Phase: 7
    Type: ROUTE-LOOKUP
    Subtype: output and adjacency
    Result: ALLOW
    Config:
    Additional Information:
    found next-hop 172.22.1.29 using egress ifc outside
    adjacency Active
    next-hop mac address 0030.a377.f854 hits 0
    
    Result:
    input-interface: outside
    input-status: up
    input-line-status: up
    output-interface: outside
    output-status: up
    output-line-status: up
    
    Action: allow
    
    

    Примечание. К внешнему интерфейсу списки доступа не применяются. В примере конфигурации внешнему интерфейсу назначается уровень безопасности 0. По умолчанию межсетевой экран не разрешает трафик от интерфейса с низким уровнем безопасности на интерфейс с высоким уровнем безопасности. По этой причине администраторы могут подумать, что внутриинтерфейсный трафик не разрешен на внешнем интерфейсе (с низким уровнем безопасности) без разрешения, определяемого списком доступа. Тем не менее, тот же трафик интерфейса свободно передается, когда к интерфейсу не применяется список доступа.

Функция межинтерфейсной и внутриинтерфейсной связи включена, и трафик передается для проверки модулю AIP-SSM

Трафик может быть передан для проверки модулю AIP-SSM. В данном разделе подразумевается, что администратор настроил ASA на передачу трафика модулю AIP-SSM и владеет способами настройки ПО IPS 5.x.

Конфигурация ASA содержит предыдущий пример конфигурации, функция межинтерфейсной и внутриинтерфейсной связи включена, и трафик направляется модулю AIP-SSM. Подпись IPS 2004 изменена для сброса трафика эхо-запроса. Хост 172.22.1.6 предпринимает попытку отправить запрос "ICMP-эхо" на хост 172.16.10.1. Хост 172.22.1.6 отправляет пакет ICMP-эхо на шлюз по умолчанию (ASA). ASA передает пакет эхо-запроса модулю AIP-SSM для проверки. AIP-SSM сбрасывает один пакет данных для каждой конфигурации IPS.

В данных примерах показаны выходные данные системного журнала ASA и команды packet-tracer.

  • Ниже приводится сообщение системного журнала, размещенное в буфере.

    ciscoasa(config)#show logging
    !--- Выходные данные команды подавляются.
    
    %ASA-4-420002: IPS requested to drop ICMP packet from 
    outside:172.22.1.6/2048 to outside:172.16.10.1/0
    !--- Сообщение системного журнала ASA записывает запрос IPS 
    !--- на сброс ICMP-трафика.
    
    
  • Ниже приведены выходные данные команды packet-tracer.

    ciscoasa#packet-tracer input outside icmp 172.22.1.6 8 0 172.16.10.1
    
    Phase: 1
    Type: FLOW-LOOKUP
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    Found no matching flow, creating a new flow
    
    Phase: 2
    Type: ROUTE-LOOKUP
    Subtype: input
    Result: ALLOW
    Config:
    Additional Information:
    in   172.16.10.0     255.255.255.0   outside
    
    Phase: 3
    Type: ACCESS-LIST
    Subtype: 
    Result: ALLOW
    Config:
    Implicit Rule
    Additional Information:
    
    Phase: 4      
    Type: IP-OPTIONS
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    
    Phase: 5
    Type: INSPECT
    Subtype: np-inspect
    Result: ALLOW
    Config:
    Additional Information:
    
    Phase: 6
    Type: IDS
    Subtype: 
    
    Result: ALLOW
    
    Config:
    
    class-map traffic_for_ips
     match any
    policy-map global_policy
     class traffic_for_ips
      ips inline fail-open
    service-policy global_policy global
    
    !--- Команда packet-tracer распознает, что трафик должен быть отправлен на модуль AIP-SSM.
    !--- Команда packet-tracer не располагает сведениями 
    !--- о способах передачи трафика программным обеспечением IPS.
    
    Additional Information:
    
    Phase: 7
    Type: FLOW-CREATION
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    New flow created with id 15, packet dispatched to next module
    
    Result:
    input-interface: outside
    input-status: up
    input-line-status: up
    output-interface: outside
    output-status: up
    output-line-status: up
    
    Action: allow
    
    !--- С точки зрения команды packet-tracer трафик разрешен.
    !--- Команда packet-tracer не взаимодействует с конфигурацией IPS.
    !--- Команда packet-tracer указывает, что трафик разрешен, несмотря на то, что IPS
    !--- может препятствовать прохождению проверенного трафика.
    
    

Важно учитывать, что администраторам необходимо использовать как можно больше инструментов устранения неполадок при обнаружении проблемы. На данном примере показано, как два различных инструмента устранения неполадок могут создавать различные ситуации. Оба инструмента вместе сообщают полные сведения. Политика конфигурации ASA разрешает трафик, но конфигурация IPS не разрешает его.

Функция межинтерфейсной и внутриинтерфейсной связи включена, и к интерфейсу применяются списки доступа

В данном разделе используется исходный пример конфигурации, приведенный в настоящем документе, функция межинтерфейсной и внутриинтерфейсной связи включена, к протестированному интерфейсу применяется список доступа. Данные строки добавляются к конфигурации. Список доступа является простой демонстрацией возможностей настройки на рабочем межсетевом экране.

ciscoasa(config)#access-list outside_acl permit tcp any host 172.22.1.147 eq 80
ciscoasa(config)#access-group outside_acl in interface outside
!--- На рабочих межсетевых экранах также настроены правила NAT.
!--- В данных лабораторных условиях проводится тестирование межинтерфейсной и внутриинтерфейсной связи. 
!--- Правила NAT не требуются.

Хост 172.22.1.6 предпринимает попытку отправить запрос "ICMP-эхо" на хост 172.16.10.1. Хост 172.22.1.6 отправляет пакет ICMP-эхо на шлюз по умолчанию (ASA). ASA сбрасывает пакет эхо-запроса на каждый список правил доступа. Хосту 172.22.1.6 не удалось выполнить тестовый запрос "ICMP-эхо".

В данных примерах показаны выходные данные системного журнала ASA и команды packet-tracer.

  • Ниже приводится сообщение системного журнала, размещенное в буфере.

    ciscoasa(config)#show logging
    !--- Выходные данные команды подавляются.
    
    %ASA-4-106023: Deny icmp src outside:172.22.1.6 dst 
    outside:172.16.10.1 (type 8, code 0) by access-group 
    "outside_acl" [0xc36b9c78, 0x0]
  • Ниже приведены выходные данные команды packet-tracer.

    ciscoasa(config)#packet-tracer input outside icmp 172.22.1.6 8 0 172.16.10.1 detailed
    
    Phase: 1
    Type: FLOW-LOOKUP
    Subtype: 
    Result: ALLOW
    Config:
    Additional Information:
    Found no matching flow, creating a new flow
    
    Phase: 2
    Type: ROUTE-LOOKUP
    Subtype: input
    Result: ALLOW
    Config:
    Additional Information:
    in   172.16.10.0     255.255.255.0   outside
    
    Phase: 3
    Type: ACCESS-LIST
    Subtype: 
    
    Result: DROP
    
    Config:
    
    Implicit Rule
    
    !--- Неявное отклонение всех данных в конце списка доступа
    !--- препятствует передаче межинтерфейсного и внутриинтерфейсного трафика.
    
    Additional Information:
     Forward Flow based lookup yields rule:
     in  id=0x264f010, priority=11, domain=permit, deny=true
            hits=0, user_data=0x5, cs_id=0x0, flags=0x0, protocol=0
            src ip=0.0.0.0, mask=0.0.0.0, port=0
            dst ip=0.0.0.0, mask=0.0.0.0, port=0
    
    Result:
    input-interface: outside
    input-status: up
    input-line-status: up
    output-interface: outside
    output-status: up
    output-line-status: up
    Action: drop
    Drop-reason: (acl-drop) Flow is denied by configured rule

Примечание. Если список доступа, примененный к интерфейсу, включает в себя оператор отклонения (deny), выходные данные команды packet-tracer меняются. Пример.

ciscoasa(config)#access-list outside_acl permit tcp any host 172.22.1.147 eq 80
ciscoasa(config)#access-list outside_acl deny ip any any
ciscoasa(config)#access-group outside_acl in interface outside
ciscoasa#packet-tracer input outside icmp 172.22.1.6 8 0 172.16.10.1 detailed
!--- Выходные данные команды подавляются.

Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: DROP
Config:

access-group outside_acl in interface outside
access-list outside_acl extended deny ip any any 

Additional Information:
 Forward Flow based lookup yields rule:

Если необходимо включить функцию межинтерфейсной и внутриинтерфейсной связи на определенном интерфейсе, а списки доступа применяются к одному и тому же интерфейсу, правила списка доступа должны разрешать межинтерфейсный и внутриинтерфейсный трафик. Для примеров данного раздела список доступа нужно записать следующим образом.

ciscoasa(config)#access-list outside_acl permit tcp any host 172.22.1.147 eq 80
ciscoasa(config)#access-list outside_acl permit ip 172.22.1.0 255.255.255.0 172.16.10.0 255.255.255.0
!--- 172.22.1.0 255.255.255.0 представляет локально 
!--- подключенную сеть на ASA.
!--- 172.16.1.0 255.255.255.0 представляет любую сеть, к которой требуется доступ для 
!--- 172.22.1.0/24.

ciscoasa(config)# access-list outside_acl deny ip any any
ciscoasa(config)# access-group outside_acl in interface outside

Последующее добавление списка доступа

Не все политики доступа к межсетевым экранам одинаковы. Некоторые политики доступа обладают особенностями по сравнению с другими политиками. Если функция межинтерфейсной и внутриинтерфейсной связи включена, и межсетевой экран не имеет списка доступа, примененного ко всем интерфейсам, имеет смысл добавить список доступа при включении функции межинтерфейсной и внутриинтерфейсной связи. В примененном списке доступа должна разрешаться функция межинтерфейсной и внутриинтерфейсной связи, а также соблюдаться другие требования политики доступа.

Эта ситуация представлена в следующем примере. ASA подключает частную сеть (внутренний интерфейс) к Интернету (внешний интерфейс). К внутреннему интерфейсу ASA список доступа не применен. По умолчанию весь IP-трафик разрешен для передачи от внутреннего интерфейса на внешний интерфейс. Предлагается добавить список доступа, который выглядит, как нижеприведенные выходные данные.

access-list inside_acl permit ip <locally connected network> <all other internal networks>
access-list inside_acl permit ip any any
access-group inside_acl in interface inside

Данный набор списков доступа по-прежнему разрешает весь IP-трафик. Строки определенного списка доступа для межинтерфейсной и внутриинтерфейсной связи напоминают администраторам, что межинтерфейсная и внутриинтерфейсная связь должна быть разрешена примененным списком доступа.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 71342