Безопасность : Устройства защиты Cisco PIX серии 500

PIX/ASA: Установка и устранение неполадок подключения через устройство защиты Cisco

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (29 июля 2008) | Английский (22 августа 2015) | Отзыв


Содержание


Введение

При изначальной настройке межсетевого экрана PIX устанавливается политика безопасности по умолчанию: предполагается, что выход из сети возможен, а вход в нее невозможен. Если для узла требуется другая политика безопасности, можно разрешить внешним пользователям подключаться к веб–серверу через PIX.

После установления основного соединения через межсетевой экран PIX можно изменить конфигурацию этого межсетевого экрана. Убедитесь, что все изменения, внесенные в настройки межсетевого экрана PIX, соответствуют политике безопасности узла.

Обратитесь к ASA 8.3: Установите и Подключение Устранения неполадок Через Cisco Security Appliance для получения дополнительной информации об одинаковой конфигурации на устройстве адаптивной защиты Cisco (ASA) с версией 8.3 и позже.

См. раздел Проблемы производительности мониторинга и устранения неполадок PIX 500 для получения дополнительной информации о различных командах "show", необходимых при устранении неполадок.

См. раздел Устранение неполадок подключения через PIX и ASA для получения дополнительной информации об устранении неполадок устройства обеспечения безопасности.

Предварительные условия

Требования

В данном документе предполагается, что некоторые начальные конфигурации на PIX уже были выполнены. Чтобы просмотреть примеры изначальной настройки PIX, обратитесь к данным документам:

Используемые компоненты

Сведения в этом документе основаны на программном обеспечении межсетевого экрана Cisco Secure PIX версии 5.0.x и более поздних версий.

Примечание: Ранние версии программного обеспечения PIX используют команду conduit вместо команды access-list. Каждая из команд работает с программным обеспечением межсетевого экрана PIX версии 5.0.x и более поздних версий.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Как работает возможность подключения через PIX

В этой сети хост А – веб-сервер с внутренним адресом 10.2.1.5. Веб-серверу назначен внешний (транслированный) адрес – 192.168.202.5. Чтобы получить доступ к веб-серверу, пользователи Интернет должны указать этот адрес – 192.168.202.5. Данный адрес должен являться записью DNS для веб-сервера. Другие подключения из Интернета запрещены.

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/15245-23-01.gif

Примечание: Схемы IP-адресации, которые использованы в данной конфигурации, не поддерживаются официальной маршрутизацией в Интернете. Это адреса RFC 1918 , которые были использованы в лабораторной среде. leavingcisco.com

Настройка подключения через PIX

Выполните следующие шаги, чтобы настроить подключение через PIX.

  1. Настройка глобального пула для использования внутренними главными компьютерами при доступе в Интернет.

    global (outside) 1 192.168.202.10-192.168.202.50 netmask 255.255.255.0
    
  2. Направьте внутренние адреса так, чтобы они делали выбор из глобального 1 пула.

    nat (inside) 1 0.0.0.0 0.0.0.0
    
  3. Назначьте статические транслированные адреса внутренним хостам, к которым пользователи Интернет имеют доступ.

    static (inside,outside) 192.168.202.5 10.2.1.5 0 0
    
  4. Воспользуйтесь командой access-list, чтобы разрешить доступ внешним пользователям через межсетевой экран PIX. Всегда используйте преобразованный адрес в команде access-list.

    access-list 101 permit tcp any host 192.168.202.5 eq www
      access-group 101 in interface outside
    

Более подробную информацию о синтаксисе команд, см. в разделе Синтаксис команд conduit и access-list этого документа.

Разрешение широковещательного трафика ARP

Устройство защиты подключается к той же сети на внешних и внутренних интерфейсах. Поскольку межсетевой экран не является переходом через маршрутизатор, можно легко ввести прозрачный межсетевой экран в существующую сеть. Переназначение IP-адреса необязательно. Трафик IPv4 разрешается через прозрачный межсетевой экран автоматически (с более безопасного интерфейса на менее безопасный без использования списка доступа). Протоколы разрешения адресов (ARP) разрешены в обоих направлениях через прозрачный межсетевой экран без использования списка доступа. Проверка ARP-трафика осуществляется с помощью функции инспектирования ARP. Для трафика третьего уровня, который передается от менее безопасного к более безопасному интерфейсу, требуется расширенный список доступа.

Примечание: Прозрачный режим устройства защиты не передает CDP-пакеты или пакеты IPv6 либо пакеты, не имеющие допустимого значения EtherType, превышающего или равного 0x600. Например, невозможно прохождение пакетов IS-IS. Исключением является поддерживаемые блоки BPDU (Блок данных протокола моста).

Разрешенные MAC-адреса

Эти MAC-адреса получателей разрешены для прохождения трафика через прозрачный межсетевой экран. Любые MAC-адреса, не указанные в данном списке отбрасываются:

  • Реальный широковещательный MAC-адрес получателя, равный FFFF.FFFF.FFFF

  • MAC-адреса групповой адресации IPv4 с 0100.5E00.0000 по 0100.5EFE.FFFF

  • MAC-адреса групповой адресации IPv6 с 3333.0000.0000 по 3333.FFFF.FFFF

  • Адрес групповой адресации BPDU, равный 0100.0CCC.CCCD

  • Многоадресные MAC-адреса AppleTalk с 0900.0700.0000 по 0900.07FF.FFFF

Неразрешенный трафик режима маршрутизатора

В режиме маршрутизатора некоторым типам трафика не удается пройти через устройства защиты, даже если он разрешен в списке доступа. Однако прозрачный межсетевой экран, разрешает прохождение почти любому трафику с помощью расширенного списка доступа (для IP-трафика) или списка доступа EtherType (для не IP-трафика).

Например, с помощью прозрачного межсетевого экрана можно установить смежности протокола маршрутизации. Можно разрешить прохождение трафика, основанного на расширенном списке доступа таких протоколов, как протокол предпочтения кратчайшего пути (OSPF), протокол маршрутной информации (RIP), усовершенствованный внутренний протокол маршрутизации сетевых интерфейсов (EIGRP) или протокол пограничных шлюзов (BGP). Аналогично этому, протокол маршрутизатора горячего резервирования (HSRP) или протокол резервного виртуального маршрутизатора (VRRP) может проходить через устройство обеспечения безопасности.

Не IP-трафик (например, AppleTalk, IPX, BPDUs, и MPLS) может быть настроен на прохождение с помощью списка доступа EtherType.

Если какие-либо функции не поддерживаются прозрачным межсетевым экраном, можно разрешить прохождение трафика через него, чтобы вышестоящие или нижестоящие маршрутизаторы смогли обеспечить необходимую функциональность. Например, благодаря использованию расширенного списка доступа, можно разрешить трафик DHCP (вместо неподдерживаемой функции протокола динамичной настройки узла [DHCP]) или многоадресный трафик, например, который создается IP/TV.

Устранение неполадок соединения

Если пользователям Интернет не удалось получить доступ к веб-узлу, необходимо выполнить следующие действия:

  1. Убедитесь, что введенная настройка адресов верна:

    • Допустимый внешний адрес

    • Правильный внутренний адрес

    • Внешняя DNS имеет транслированный адрес

  2. Проверьте внешний интерфейс на наличие ошибок. Устройство обеспечения безопасности Cisco предварительно настроено для автоматического определения скорости и дуплексных режимов интерфейса. Однако существуют некоторые ситуации, которые могут вызвать сбой процесса автоматического согласования. Это результат несоответствия значений скорости или дуплексного режима (а также падение производительности). Для критически важной сетевой инфраструктуры, Cisco аппаратно программирует скорость и дуплексный режим на каждом интерфейсе, так что вероятность возникновения ошибок минимальна. Обычно эти устройства не перемещаются, поэтому если настроить их правильно изначально, в дальнейшем не будет необходимости их менять.

    Пример:

    asa(config)#interface ethernet 0/0
    asa(config-if)#duplex full
    asa(config-if)#speed 100
    asa(config-if)#exit
    

    В некоторых ситуациях, аппаратное программирование скорости и дуплексного режима приводит к формированию ошибок. Необходимо настроить интерфейс по умолчанию в режиме автоматического обнаружения, как показано в данном примере:

    Пример:

    asa(config)#interface ethernet 0/0
    asa(config-if)#duplex auto
    asa(config-if)#speed auto
    asa(config-if)#exit
    

    Для получения дополнительных сведений, см. раздел Настройка скорости и дуплексного режима в документе Проблемы производительности мониторинга и устранения неполадок PIX.

  3. Если трафик не отсылается или не принимается через интерфейс PIX или маршрутизатор головного узла, очистите статистику ARP.

    asa#clear arp
    
  4. Используйте команду show static, чтобы убедиться, что включено статическое преобразование.

  5. Используйте ключевое слово interface вместо IP-адреса интерфейса в статической инструкции NAT, если статическое отображение не работает после обновления до версии 7.2(1).

    Пример:

    static (inside,outside) tcp 192.168.202.2 80 10.2.1.5 1025 netmask 255.255.255.255 
    

    В этом сценарии, внешний IP-адрес используется для отображения IP-адреса для веб-сервера. Возможно, данное статическое отображение не работает для PIX/ASA версии 7.2(1). Чтобы решить данную проблему, воспользуйтесь нижеприведенным синтаксисом.

    static (inside,outside) tcp interface 80 10.2.1.5 1025 netmask 255.255.255.255 
    
  6. Проверьте, что маршрут по умолчанию на веб-сервере указывает на внутренний интерфейс PIX.

  7. Проверьте таблицу преобразования, используя команду show xlate, чтобы увидеть, было ли создано преобразование.

  8. С помощью команды logging buffer debug можно просмотреть файлы журнала и проверить, возникали ли отказы. (Проверьте наличие преобразованных адресов и посмотрите есть ли какие-либо отказы.).)

  9. Для версии 6.2.2 или позже используйте команду capture:

    access-list webtraffic permit tcp any host 192.168.202.5
    
    capture capture1 access-list webtraffic interface outside
    

    Если используется более ранняя версия, чем версия 6.2.2 и если сеть не занята, можно захватить трафик, применив команду debug packet. Данная команда захватывает пакеты, поступающие от внешнего хоста к веб-серверу.

    debug packet outside dst 192.168.202.5 proto tcp dport 80 bot
    

    Примечание: Данная команда создает большой объем выходных данных. Это может привести к зависанию или перезагрузке маршрутизатора при большом объеме трафика.

  10. Если пакеты все же дойдут до PIX, убедитесь, что маршрут из PIX к веб-серверу указан правильно. (Проверьте команды route в конфигурации PIX.).)

  11. Проверьте, отключен ли прокси-ARP. Задайте команду show running-config sysopt в PIX/ASA 7.x или show sysopt в PIX 6.x.

    Теперь прокси-ARP отключен командой sysopt noproxyarp outside:

    ciscoasa#show running-config sysopt
    no sysopt connection timewait
    sysopt connection tcpmss 1380
    sysopt connection tcpmss minimum 0
    no sysopt nodnsalias inbound
    no sysopt nodnsalias outbound
    no sysopt radius ignore-secret
    sysopt noproxyarp outside
    sysopt connection permit-vpn

    Чтобы включить заново прокси-ARP, введите данную команду в режиме глобального конфигурирования:

    ciscoasa(config)#no sysopt noproxyarp outside
    

    Когда хост посылает IP-трафик другому устройству в той же сети Ethernet, этому хосту необходимо знать MAC-адрес устройства. ARP — протокол 2 уровня, который определяет IP-адрес для MAC-адреса. Хост посылает ARP-запрос "Кто владеет данным IP-адресом?"?". Устройство, которое обладает данным IP-адресом, отвечает "Мой IP-адрес; вот мой MAC-адрес."."

    Прокси-ARP позволяет устройствам защиты отвечать на запрос ARP от имени хостов, находящихся за ним. Это происходит путем посылки ответов на запросы ARP для статически назначенных адресов этих узлов. Устройство обеспечения безопасности выдает в ответ на запрос собственный MAC-адрес, затем переадресовывает пакеты IP к соответствующему внутреннему узлу.

    Например, на схеме в данном документе показано, что когда запрос ARP делается для глобального IP-адреса веб-сервера, 192.168.202.5, устройство защиты выдает в ответ собственный MAC-адрес. Если в данной ситуации прокси-ARP не включен, узлам, на внешней сети устройства обеспечения безопасности, не удается достичь веб-сервера путем посылки запроса ARP для адреса 192.168.202.5. Дополнительную информацию о команде sysopt см. в справочнике по командам.

  12. В случае, когда все настроено правильно, а пользователю все равно не удается получить доступ к веб-серверу, обратитесь в Техническую поддержку Cisco.

Сообщение об ошибках - %PIX|ASA-4-407001:

Немного хостов неспособны соединиться с Интернетом, и сообщение об ошибках Error Message - %PIX|ASA-4-407001: Deny traffic for local-host interface_name:inside_address, license limit of number exceeded замечено в системном журнале. Как может быть решена эта ошибка?

Когда количество пользователей превышает пользовательский предел используемой лицензии, это сообщение об ошибках замечено. Обновите лицензию на более высокое количество пользователей, которые могут быть 50, 100 или лицензия неограниченного пользователя как требуется, для решения этой ошибки.

Синтаксис команд Access-list

ПО PIX версии 5.0.x и более поздних версий

Команда access-list была впервые реализована в ПО PIX версии 5.0. Данный пример показывает синтаксис команд access-list:

access-list acl_name [deny | permit] protocol source source_netmask destination destination_netmask

Пример: access-list 101 permit tcp any host 192.168.202.5 eq www

Чтобы применить список доступа, необходимо включить в конфигурацию следующий синтаксис:

access-group acl_name in interface interface_name

Команда access-group направляет список доступа на интерфейс. Список доступа применяется к трафику, входящему на интерфейс. Если ввести параметр permit в командный оператор access-list, межсетевой экран PIX продолжает обрабатывать пакеты. Если ввести параметр deny в командный оператор access-list, межсетевой экран PIX сбрасывает пакет.

Примечание: Каждая введенная запись управления доступом (ACE) для данного имени списка доступа, добавляется к концу списка, если не указан номер строки ACE.

Примечание: Важен порядок записей ACE. Когда устройство обеспечения безопасности принимает решение относительно необходимости переадресации или сброса пакета, оно проверяет пакеты на соответствие условиям каждой ACE в том порядке, в котором указаны записи. После обнаружения соответствий записи ACE больше не проверяется. Например, если создать ACE в начале списка доступа, который явно разрешает весь трафик, дальнейшие операторы не проверяются.

Примечание: В конце списков доступа находится неявный запрет. Поэтому без явного разрешения трафик не может пропускаться. Например, если необходимо разрешить все пользователям доступ к сети через устройство обеспечения безопасности за исключением отдельных адресов, необходимо установить запрет на эти адреса, а затем разрешить все остальные.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 15245