Безопасность : Устройства защиты Cisco PIX серии 500

PIX/ASA: Установление подключения и устранение неполадок подключения через устройство обеспечения безопасности Cisco

29 июля 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (13 сентября 2013) | Английский (27 октября 2011) | Отзыв

Содержание

Введение
Предварительные условия
     Требования
     Используемые компоненты
     Условные обозначения
Описание работы функции подключения через PIX
Настройка подключения через PIX
Разрешение широковещательного трафика ARP
     Разрешенные адреса MAC
     Неразрешенный трафик режима маршрутизатора
Устранение неполадок соединения
Синтаксис команд Access-list
     Программное обеспечение PIX версии 4.2.x и более поздних версий
Связанные обсуждения сообщества поддержки Cisco
Дополнительная информация

Введение

При изначальной настройке межсетевого экрана PIX устанавливается политика безопасности по умолчанию: предполагается, что выход из сети возможен, а вход в нее невозможен. Если для узла требуется другая политика безопасности, можно разрешить внешним пользователям подключаться к веб–серверу через PIX.

После установления основного соединения через межсетевой экран PIX можно изменить конфигурацию этого межсетевого экрана. Убедитесь, что все изменения, внесенные в настройки межсетевого экрана PIX, соответствуют политике безопасности узла.

См. раздел Проблемы производительности мониторинга и устранения неполадок PIX 500 для получения дополнительной информации о различных командах "show", необходимых при устранении неполадок.

См. раздел Устранение неполадок подключения через PIX и ASA для получения дополнительной информации об устранении неполадок устройства обеспечения безопасности.

Предварительные условия

Требования

В данном документе предполагается, что некоторые начальные конфигурации на PIX уже были выполнены. Чтобы просмотреть примеры изначальной настройки PIX, обратитесь к данным документам:

Используемые компоненты

Сведения в этом документе основаны на программном обеспечении межсетевого экрана Cisco Secure PIX версии 5.0.x и более поздних версий.

Примечание. Ранние версии программного обеспечения PIX используют команду conduit вместо команды access-list. Каждая из команд работает с программным обеспечением межсетевого экрана PIX версии 5.0.x и более поздних версий.

Данные для документа были получены в специально созданных лабораторных условиях. Все устройства, используемые в этом документе, были запущены с чистой (заданной по умолчанию) конфигурацией. Если ваша сеть работает в реальных условиях, убедитесь, что вы понимаете потенциальное воздействие каждой команды.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в статье Условные обозначения, используемые в технической документации Cisco.

Описание работы функции подключения через PIX

В этой сети хост А – веб-сервер с внутренним адресом 10.2.1.5. Веб-серверу назначен внешний (транслированный) адрес – 192.168.202.5. Чтобы получить доступ к веб-серверу, пользователи Интернет должны указать этот адрес – 192.168.202.5. Данный адрес должен являться записью DNS для веб-сервера. Другие подключения из Интернета запрещены.

23.gif

Примечание. Использованные в этой конфигурации схемы IP-адресов даны для примера и не годятся для использования в Интернете. Это адреса RFC 1918 leavingcisco.com, которые использовались в лабораторной среде.

Настройка подключения через PIX

Выполните следующие шаги, чтобы настроить подключение через PIX.

  1. Настройте глобальный пул для внутренних хостов, которые используются при доступе в Интернет.

    global (outside) 1 192.168.202.10-192.168.202.50 netmask 255.255.255.0
    
  2. Направьте внутренние адреса так, чтобы они делали выбор из глобального 1 пула.

    nat (inside) 1 0.0.0.0 0.0.0.0
    
  3. Назначьте статические транслированные адреса внутренним хостам, к которым пользователи Интернет имеют доступ.

    static (inside,outside) 192.168.202.5 10.2.1.5 0 0
    
  4. Воспользуйтесь командой access-list, чтобы разрешить доступ внешним пользователям через межсетевой экран PIX. Всегда используйте преобразованный адрес в команде access-list.

    access-list 101 permit tcp any host 192.168.202.5 eq www
      access-group 101 in interface outside
    

Более подробная информация о синтаксисе команд conduit и access-list приводится в разделе Синтаксис команд данного документа.

Разрешение широковещательного трафика ARP

Устройство обеспечения безопасности подключается к той же сети на внешних и внутренних интерфейсах. Так как межсетевой экран не является маршрутиризированным узлом, можно с легкостью установить прозрачный межсетевой экран в существующую сеть. Переназначение IP-адреса необязательно. Трафик IPv4 разрешается через прозрачный межсетевой экран автоматически (с более безопасного интерфейса на менее безопасный без использования списка доступа). Протоколы разрешения адресов (ARP) разрешены в обоих направлениях через прозрачный межсетевой экран без использования списка доступа. Трафик ARP можно контролировать проверкой ARP. Для трафика третьего уровня, который передается от менее безопасного к более безопасному интерфейсу, требуется расширенный список доступа.

Примечание. Прозрачный режим устройства обеспечения безопасности не передает пакеты протокола CDP (Протокол обнаружения Cisco) или пакеты IPv6 либо пакеты, не имеющие действительного значения EtherType, превышающего или равного 0x600. Например, невозможно передавать пакеты IS-IS. Исключением является поддерживаемые блоки BPDU (Блок данных протокола моста).

Разрешенные адреса MAC

Данные MAC-адреса получателей разрешены в прозрачном межсетевом экране. Любые MAC-адреса, не указанные в данном списке отбрасываются:

  • Широковещательные MAC-адреса назначения TRUE равны FFFF.FFFF.FFFF

  • Многоадресные MAC-адреса IPv4 с 0100.5E00.0000 до 0100.5EFE.FFFF

  • Многоадресные MAC-адреса IPv6 с 3333.0000.0000 до 3333.FFFF.FFFF

  • Многоадресные адреса BPDU равны 0100.0CCC.CCCD

  • Многоадресные MAC-адреса Appletalk с 0900.0700.0000 до 0900.07FF.FFFF

Неразрешенный трафик режима маршрутизатора

В режиме маршрутизатора некоторым типам трафика не удается пройти через устройства обеспечения безопасности, даже если он разрешен в списке доступа. Однако прозрачный межсетевой экран, разрешает прохождение почти любому трафику с помощью расширенного списка доступа (для IP-трафика) или списка доступа EtherType (для не IP-трафика).

Например, можно установить протокол маршрутизации смежности через прозрачный межсетевой экран. Можно разрешить прохождение трафика, основанного на расширенном списке доступа таких протоколов, как протокол предпочтения кратчайшего пути (OSPF), протокол маршрутной информации (RIP), усовершенствованный внутренний протокол маршрутизации сетевых интерфейсов (EIGRP) или протокол пограничных шлюзов (BGP). Аналогично этому, протокол маршрутизатора горячего резервирования (HSRP) или протокол резервного виртуального маршрутизатора (VRRP) может проходить через устройство обеспечения безопасности.

Не IP-трафик (например, AppleTalk, IPX, BPDUs, и MPLS) может быть настроен на прохождение с помощью списка доступа EtherType.

Функциям, которые напрямую не поддерживаются в прозрачном межсетевом экране, можно разрешить прохождение трафика таким образом, чтобы восходящие и нисходящие маршрутизаторы могли поддерживать функциональность. Например, благодаря использованию расширенного списка доступа, можно разрешить трафик DHCP (вместо неподдерживаемой функции протокола динамичной настройки узла [DHCP]) или многоадресный трафик, например, который создается IP/TV.

Устранение неполадок соединения

Если пользователям Интернет не удалось получить доступ к веб-узлу, необходимо выполнить следующие действия:

  1. Убедитесь, что введенная настройка адресов верна:

    • Допустимый внешний адрес

    • Правильный внутренний адрес

    • Внешняя DNS имеет транслированный адрес

  2. Проверьте внешний интерфейс на наличие ошибок. Устройство обеспечения безопасности Cisco предварительно настроено для автоматического определения скорости и дуплексных режимов интерфейса. Однако существуют некоторые ситуации, которые могут вызвать сбой процесса автоматического согласования. Это результат несоответствия значений скорости или дуплексного режима (а также падение производительности). Для критически важной сетевой инфраструктуры, Cisco аппаратно программирует скорость и дуплексный режим на каждом интерфейсе, так что вероятность возникновения ошибок минимальна. Обычно эти устройства не перемещаются, поэтому если настроить их правильно изначально, в дальнейшем не будет необходимости их менять.

    Пример:

    asa(config)#interface ethernet 0/0
    asa(config-if)#duplex full
    asa(config-if)#speed 100
    asa(config-if)#exit
    

    В некоторых ситуациях, аппаратное программирование скорости и дуплексного режима приводит к формированию ошибок. Необходимо настроить интерфейс по умолчанию в режиме автоматического обнаружения, как показано в данном примере:

    Пример:

    asa(config)#interface ethernet 0/0
    asa(config-if)#duplex auto
    asa(config-if)#speed auto
    asa(config-if)#exit
    

    Для получения дополнительных сведений, см. раздел Настройка скорости и дуплексного режима в документе Проблемы производительности мониторинга и устранения неполадок PIX.

  3. Если трафик не отсылается или не принимается через интерфейс PIX или маршрутизатор головного узла, очистите статистику ARP.

    asa#clear arp
    
  4. Используйте команду show static, чтобы убедиться, что включено статическое преобразование.

  5. Используйте ключевое слово interface вместо IP-адреса интерфейса в статической инструкции NAT, если статическое отображение не работает после обновления до версии 7.2(1).

    Пример:

    static (inside,outside) tcp 192.168.202.2 80 10.2.1.5 1025 netmask 255.255.255.255 
    

    В этом сценарии, внешний IP-адрес используется для отображения IP-адреса для веб-сервера. Возможно, данное статическое отображение не работает для PIX/ASA версии 7.2(1). Чтобы решить данную проблему, воспользуйтесь нижеприведенным синтаксисом.

    static (inside,outside) tcp interface 80 10.2.1.5 1025 netmask 255.255.255.255 
    
  6. Проверьте, что маршрут по умолчанию на веб-сервере указывает на внутренний интерфейс PIX.

  7. Проверьте таблицу преобразования, используя команду show xlate, чтобы увидеть, было ли создано преобразование.

  8. С помощью команды logging buffer debug можно просмотреть файлы журнала и проверить, возникали ли отказы. (Проверьте наличие преобразованных адресов и посмотрите есть ли какие-либо отказы.)

  9. Для версии 6.2.2 или позже используйте команду capture:

    access-list webtraffic permit tcp any host 192.168.202.5
    
    capture capture1 access-list webtraffic interface outside
    

    Если используется более ранняя версия, чем версия 6.2.2 и если сеть не занята, можно захватить трафик, применив команду debug packet. Данная команда захватывает пакеты, поступающие от внешнего хоста к веб-серверу.

    debug packet outside dst 192.168.202.5 proto tcp dport 80 bot
    

    Примечание. Данная команда создает большой объем выходных данных. Это может привести к зависанию или перезагрузке маршрутизатора при большом объеме трафика.

  10. Если пакеты все же дойдут до PIX, убедитесь, что маршрут из PIX к веб-серверу указан правильно. (Проверьте команды route в конфигурации PIX.)

  11. Проверьте, отключен ли прокси-ARP. Задайте команду show running-config sysopt в PIX/ASA 7.x или show sysopt в PIX 6.x.

    Теперь прокси-ARP отключен командой sysopt noproxyarp outside:

    ciscoasa#show running-config sysopt
    no sysopt connection timewait
    sysopt connection tcpmss 1380
    sysopt connection tcpmss minimum 0
    no sysopt nodnsalias inbound
    no sysopt nodnsalias outbound
    no sysopt radius ignore-secret
    sysopt noproxyarp outside
    sysopt connection permit-vpn

    Чтобы включить заново прокси-ARP, введите данную команду в режиме глобального конфигурирования:

    ciscoasa(config)#no sysopt noproxyarp outside
    

    Когда хост посылает IP-трафик другому устройству в той же сети Ethernet, этому хосту необходимо знать MAC-адрес устройства. ARP – протокол 2 уровня, который определяет IP-адрес для MAC-адреса. Хост посылает ARP-запрос "Кто владеет данным IP-адресом?". Устройство, которое обладает данным IP-адресом, отвечает "Мой IP-адрес; вот мой MAC-адрес."

    Прокси-ARP позволяет устройствам обеспечения безопасности отвечать на запрос ARP от имени узлов, находящихся за ним. Это происходит путем посылки ответов на запросы ARP для статически назначенных адресов этих узлов. Устройство обеспечения безопасности выдает в ответ на запрос собственный MAC-адрес, затем переадресовывает пакеты IP к соответствующему внутреннему узлу.

    Например, на схеме в данном документе показано, что когда запрос ARP делается для глобального IP-адреса веб-сервера, 192.168.202.5, устройство обеспечения безопасности выдает в ответ собственный MAC-адрес. Если в данной ситуации прокси-ARP не включен, узлам, на внешней сети устройства обеспечения безопасности, не удается достичь веб-сервера путем посылки запроса ARP для адреса 192.168.202.5. Дополнительную информацию о команде sysopt см. в справочнике по командам.

  12. В случае, когда все настроено правильно, а пользователю все равно не удается получить доступ к веб-серверу, обратитесь в Техническую поддержку Cisco.

Синтаксис команд Access-list

ПО PIX версии 5.0.x и более поздних версий

Команда access-list была впервые реализована в ПО PIX версии 5.0. Данный пример показывает синтаксис команд access-list:

access-list acl_name [deny | permit] protocol source source_netmask destination destination_netmask

Пример: access-list 101 permit tcp any host 192.168.202.5 eq www

Чтобы применить список доступа, необходимо включить в конфигурацию следующий синтаксис:

access-group acl_name in interface interface_name

Команда access-group направляет список доступа на интерфейс. Список доступа применяется к трафику, входящему на интерфейс. Если ввести параметр permit в командный оператор access-list, межсетевой экран PIX продолжает обрабатывать пакеты. Если ввести параметр deny в командный оператор access-list, межсетевой экран PIX сбрасывает пакет.

Примечание. Каждая введенная запись управления доступом (ACE) для данного имени списка доступа, добавляется к концу списка, если не указан номер строки ACE.

Примечание. Важен порядок записей ACE. Когда устройство обеспечения безопасности принимает решение относительно необходимости переадресации или сброса пакета, оно проверяет пакеты на соответствие условиям каждой ACE в том порядке, в котором указаны записи. После обнаружения соответствий записи ACE больше не проверяется. Например, если создать ACE в начале списка доступа, который явно разрешает весь трафик, дальнейшие операторы не проверяются.

Примечание. В конце списков доступа находится неявный запрет. Поэтому без явного разрешения трафик не может пропускаться. Например, если необходимо разрешить все пользователям доступ к сети через устройство обеспечения безопасности за исключением отдельных адресов, необходимо установить запрет на эти адреса, а затем разрешить все остальные.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 15245