Безопасность : Устройства защиты Cisco PIX серии 500

ASA/PIX/FWSM: Обработка запросов "ICMP-эхо" и команд traceroute

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (6 августа 2008) | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Запросы "ICMP-эхо" и команда traceroute ICMP (Протокол управления сообщениями в сети Internet) на межсетевом экране PIX обрабатываются по-разному на основе версии кода PIX и ASA.

Входящий запрос "ICMP-эхо" через PIX/ASA отклоняется по умолчанию. Исходящий запрос "ICMP-эхо" разрешен, но входящий ответ по умолчанию отклоняется.

Примечание: Информация в Заставлении Межсетевого экрана Обнаружиться в traceroute в разделе ASA/PIX этого документа применяется к версиям ASA 8.0 (3) и позже. Версии до 8.0 (3) не поддерживают конфигурацию, объясненную в этом разделе из-за дефекта CSCsk76401 (только зарегистрированные клиенты).

Предварительные условия

Требования

Для данного документа отсутствуют предварительные условия.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • ПО PIX версии 4.1(6) и более поздних версий

  • Устройство безопасности серии 5500 Cisco ASA, которое выполняется 7.x и более поздние версии для Эхо-запросов ICMP

  • Устройство безопасности серии 5500 Cisco ASA, которое выполняется 8.0 (3) и более поздние версии для traceroute в ASA

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Схема сети

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/15246-31a.gif

Примечание: Схемы IP-адресации, которые использованы в данной конфигурации, не поддерживаются официальной маршрутизацией в Интернете. Это адреса RFC 1918 , которые были использованы в лабораторной среде.

Отправить запрос "ICMP-эхо" через PIX

ПО PIX/ASA версии 7.x

Входящие эхо-тесты

Запросы "ICMP-эхо", инициированные вне сети или другим интерфейсом (с низким уровнем защиты) PIX отклоняются по умолчанию. . Запросы "ICMP-эхо" могут разрешаться с помощью списков доступа и статических списков или только с помощью списков доступа. . В данном примере один сервер во внутренней части сети PIX доступен внешним запросам "ICMP-эхо". Статическое преобразование создается между внутренним адресом (10.1.1.5) и внешним адресом (192.168.1.5).

pix(config)#static (inside,outside) 192.168.1.5 10.1.1.5 netmask 255.255.255.255
pix(config)#access-list 101 permit icmp any host 192.168.1.5 echo
pix(config)#access-group 101 in interface outside

Исходящий эхо-тест

В PIX 7.x существует два варианта, позволяющих внутренним пользователям посылать запросы "ICMP-эхо" хостам во внешней сети. Первая заключается в установке специфического правила для каждого типа эхо-сообщения.

Например: :

access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any source-quench 
access-list 101 permit icmp any any unreachable  
access-list 101 permit icmp any any time-exceeded
access-group 101 in interface outside

Поэтому, когда внутренний пользователь посылает сигналы на наружный хост, через межсетевой экран пройдут только эти ответные сообщения. Другие типы сообщений о состоянии ICMP могут быть вредоносными, и межсетевой экран блокирует все другие сообщения ICMP.

Следующий параметр служит для настройки проверки ICMP. . Это позволяет пропускать через межсетевой экран доверенные IP-адреса и получать ответ только на доверенный адрес. Таким образом, хосты всех внутренних интерфейсов могут посылать запросы "ICMP-эхо" внешним хостам, а межсетевой экран разрешает возрват ответов. . {\f3 Еще одно преимущество }–{\f3 возможность мониторинга трафика ICMP, который проходит через межсетевой экран.} В данном примере icmp inspection добавлена к политике глобальных проверок по умолчанию.

Например: :

policy-map global_policy
    class inspection_default
     inspect icmp

Посылка запросов "ICMP-эхо" другим интерфейсам

Когда пользователь связан с PIX/ASA с помощью полного туннельного IPSEC VPN или VPN-клиента SSL (SVC) (AnyConnect 2.x клиент, SVC 1.x) или по туннелю защищенного взаимодействия между сетями Site-to-Site IPsec, команда management-access позволяет пользователям соединяться с интерфейсом управления доступом от внешнего ONLY.

Доступ к внутреннему интерфейсу PIX невозможен из внешней сети (и наоборот) до тех пор, пока не будет настроена функция management-access в режиме глобальной конфигурации. . Как только управление доступом включено, Telnet, SSH, или доступ HTTP должен быть настроен для желаемых узлов.

pix(config)#management-access inside
pix(config)#show running-config management-access
management-access inside

Примечание: Для ASA типы ICMP 127 и ниже трудно кодировали контроль, который не может быть выключен. Команда inspect icmp не имеет никакого влияния на этом контроле, когда это идет или прочь.

Примечание: Сообщение о недоступности назначения, передаваемое один путь по ASA, ссылающемуся на пакет, который уже не пересек ASA, будет отмечено и остановлено. Эта защитная возможность не может быть выключена.

ПО PIX версий 5.0.1 – 6.3.3

По умолчанию входящий запрос "ICMP-эхо" через PIX отклоняется; исходящий запрос "ICMP-эхо" разрешается, но по умолчанию входящий ответ отклоняется.

Примечание: Версия 6.3.3 является новой версией кода, доступной во время публикации. Сведения о возможных изменениях в более поздних версиях см. в документе комментарии к выпуску.

Входящие эхо-тесты

Входящие запросы ICMP-эхо могут быть разрешены с помощью команды conduit или команды access-list в зависимости от того, что используется на PIX. . Не следует смешивать средства передачи со списками доступа.

Данный пример показывает, как разрешить посылку запроса "ICMP-эхо" внутреннего устройства 10.1.1.5 (статического для 192.168.1.5) всем внешним устройствам:

static (inside,outside) 192.168.1.5 10.1.1.5 netmask 255.255.255.255 0 0

!--- and either


conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo

!--- or


access-list 101 permit icmp any host 192.168.1.5 echo
access-group 101 in interface outside

Исходящий эхо-тест

Ответы на входящие запросы "ICMP-эхо" могут быть разрешены с помощью команды conduit или команды access-list в зависимости от того, что используется на PIX. . Не следует смешивать средства передачи со списками доступа.

Данный пример показывает как разрешить ответы на запросы "ICMP-эхо", инициируемые внутренним устройством 10.1.1.5 (статическим для 192.168.1.5) от всех устройств из внешней сети:

static (inside,outside) 192.168.1.5 10.1.1.5 netmask 255.255.255.255 0 0

!--- and either


conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo-reply
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 source-quench
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 unreachable
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 time-exceeded

!--- or 


access-list 101 permit icmp any host 192.168.1.5 echo-reply
access-list 101 permit icmp any host 192.168.1.5 source-quench
access-list 101 permit icmp any host 192.168.1.5 unreachable
access-list 101 permit icmp any host 192.168.1.5 time-exceeded
access-group 101 in interface outside

ПО PIX версий 4.2(2) - 5.0.1

По умолчанию входящий запрос "ICMP-эхо" через PIX отклоняется; исходящий запрос "ICMP-эхо" разрешается, но по умолчанию входящий ответ отклоняется.

Входящие эхо-тесты

Входящие ICMP можно разрешить с помощью инструкции канала передачи данных.

Данный пример показывает, как разрешить посылку запроса "ICMP-эхо" внутреннего устройства 10.1.1.5 (статического для 192.168.1.5) всем внешним устройствам:

static (inside,outside) 192.168.1.5 10.1.1.5 netmask 255.255.255.255 0 0
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo

Исходящий эхо-тест

Ответы на исходящие ICMP можно разрешить с помощью инструкции conduit.

Данный пример показывает как разрешить ответы на запросы "ICMP-эхо", инициируемые внутренним устройством 10.1.1.5 (статическим для 192.168.1.5) от всех устройств из внешней сети:

static (inside,outside) 192.168.1.5 10.1.1.5 netmask 255.255.255.255 0 0
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo-reply
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 source-quench
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 unreachable
conduit permit icmp 192.168.1.5 255.255.255.255 0.0.0.0 0.0.0.0 time-exceeded

ПО PIX версий от 4.1(6) до 4.2(2)

Входящий запрос "ICMP-эхо" через PIX отклоняется по умолчанию. Исходящий протокол ICMP разрешен по умолчанию.

Входящие эхо-тесты

Входящие ICMP можно разрешить с помощью инструкции канала передачи данных.

Данный пример показывает, как разрешить посылку запроса "ICMP-эхо" внутреннего устройства 10.1.1.5 (статического для 192.168.1.5) всем внешним устройствам:

static (inside), outside) 192.168.1.5 10.1.1.5
conduit 192.168.1.5 8 icmp 0.0.0.0 0.0.0.0


!--- The 8 is for echo request; these are from RFC 792.

Дополнительные сведения см. в разделе Типы сообщений протокола ICMP (RFC 792).

Исходящий эхо-тест

Исходящие запросы "ICMP-эхо" и ответы разрешены по умолчанию.

Передайте эхо-запросы к интерфейсам PIX

В Версиях ПО PIX 4.1 (6) к 5.2.1, разрешен трафик ICMP к интерфейсу PIX. PIX не может быть настроен без ответа. . Посылка запросов "ICMP-эхо" для интерфейса не может быть выполнена на "дальней стороне" PIX любой версии. . На основе схемы сети, представленной в данном документе:

  • Невозможно выполнить проверку запроса "ICMP-эхо" по адресу 10.1.1.1 из 10.1.1.5.

  • Невозможно выполнить проверку запроса "ICMP-эхо" по адресу 192.168.1.1 из внешней сети.

  • Невозможно выполнить проверку запроса "ICMP-эхо" 192.168.1.1 от 10.1.1.5.

  • Невозможно выполнить проверку запроса "ICMP-эхо" по адресу 10.1.1.1 из внешней сети.

В ПО PIX версии 5.2.1 запрос "ICMP-эхо" все же разрешен по умолчанию, но ответы на запросы "ICMP-эхо" PIX с собственных интерфейсов могут быть отключены с помощью команды icmp (PIX-"невидимка").

icmp permit|deny [host] src_addr [src_mask] [type] int_name

В данном примере PIX не может отсылать эхо-ответы в ответ на эхо-запросы:

icmp deny any echo outside

Как и в списках доступа, отсутствие операторов permit также подразумевает неявный запрет всего остального ICMP-трафика.

Эта команда позволяет немедленно перебрасывать пакеты из сети вне PIX:

icmp permit 192.168.1.0 255.255.255.0 echo outside

Как и в списках доступа, отсутствие операторов permit также подразумевает неявный запрет всего остального ICMP-трафика.

Команда traceroute на вход через PIX

Проблема: Межсетевой экран PIX скрывает все внутренние сети в выходных данных входящих команд traceroute.

Разрешение:

PIX не поддерживает команду traceroute. . Если команда traceroute включена извне, PIX не отображает IP-адрес собственного интерфейса, также он не отображает IP-адреса внутренних сетей. . Адрес назначения отображается многократно для каждого внутреннего перехода (скачка).

Команды Traceroute взаимодействуют только с NAT (преобразование сетевых адресов), а не IP-адресами PAT (преобразование адресов портов). . Например, клиент Интернета с адресом 209.165.202.130 выполняет команду traceroute для веб-сервера внутри PIX с общедоступным адресом 209.165.201.25 и частным адресом 10.1.3.25. Существует два маршрутизатора между PIX и внутренним веб-сервером. . Выходные данные команды traceroute на компьютере клиента отображаются следующим образом:

Target IP address: 209.165.201.25 Source address: 209.165.202.130

 Tracing the route to 209.165.201.25 
  1 209.165.202.128 4 msec 3 msec 4 msec 
  2 209.165.201.25 3 msec 5 msec 0 msec 
  3 209.165.201.25 4 msec 6 msec 3 msec 
  4 209.165.201.25 3 msec 2 msec 2 msec 

В PIX версии 6.3 и более поздних версий этот режим может быть отменен, если выдать команду ошибок icmp fixup protocol. . Если данная функция включена, PIX создает трансляции xlate для промежуточных переходов, которые отправляют сообщения об ошибках протокола ICMP на основе статической конфигурации NAT. . PIX перезаписывает в пакете преобразованные IP-адреса.

Если NAT включен в PIX 7.0, IP-адреса интерфейсов PIX и действительные IP-адреса промежуточных переходов не "видны". . Однако в PIX 7.0 NAT не столь важен и может быть выключен с помощью команды no nat-control. . При удалении правила NAT действительный IP-адрес может быть виден при условии, что он является маршрутизируемым.

Настройте PIX/ASA для показа его внутренней сети от внешней сети:

ciscoasa#config t 
ciscoasa(config)#access-list internal-out permit icmp any any echo-reply 
ciscoasa(config)#access-list internal-out permit icmp any any time-exceeded 
ciscoasa(config)#access-list internal-out permit icmp any any unreachable 
ciscoasa(config)#policy-map global_policy 
ciscoasa(config-pmap)#class inspection_default 
ciscoasa(config-pmap-c)#
inspect icmp
 
ciscoasa(config-pmap-c)#
inspect icmp error
 
ciscoasa(config-pmap-c)#end 
ciscoasa(config)#service-policy global_policy global
ciscoasa(config)#access-group internal-out in interface outside

Дополнительные сведения см. в статье Traceroute-команда, входящая через PIX раздела PIX и traceroute-команда.

Заставьте межсетевой экран обнаружиться в traceroute в ASA/PIX

ciscoasa(config)#class-map class-default
ciscoasa(config)#match any


!--- This class-map exists by default.


ciscoasa(config)#policy-map global_policy


!--- This Policy-map exists by default.


ciscoasa(config-pmap)#class class-default


!--- Add another class-map to this policy.


ciscoasa(config-pmap-c)#set connection decrement-ttl


!--- Decrement the IP TTL field for packets traversing the firewall.
!--- By default, the TTL is not decrement hiding (somewhat) the firewall.


ciscoasa(config-pmap-c)#exit
ciscoasa(config-pmap)#exit
ciscoasa(config)#service-policy global_policy global


!--- This service-policy exists by default.

WARNING: Policy map global_policy is already configured as a service policy

ciscoasa(config)#icmp unreachable rate-limit 10 burst-size 5


!--- Adjust ICMP unreachable replies:
!--- The default is rate-limit 1 burst-size 1.
!--- The default will result in timeouts for the ASA hop:


ciscoasa(config)#access-list outside-in-acl remark Allow ICMP Type 11 for Windows tracert
ciscoasa(config)#access-list outside-in-acl extended permit icmp any any time-exceeded


!--- The access-list is for the far end of the ICMP traffic (in this case
!---the outside interface) needs to be modified in order to allow ICMP type 11 replies
!--- time-exceeded):

ciscoasa(config)#access-group outside-in-acl in interface outside


!--- Apply access-list to the outside interface.

ciscoasa(config)#

Пример

Топология

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/15246-31b.gif

Примечание: Схемы IP-адреса, используемые в этой конфигурации, не юридически маршрутизируемы в Интернете. Это адреса RFC 1918, которые использовались в лабораторной среде.

Перед применением изменения политики:

C:\>tracert -d www.yahoo.com.

Tracing route to www.yahoo-ht3.akadns.net [192.168.93.52]
over a maximum of 30 hops:

  1     1 ms    <1 ms    <1 ms  172.16.2.1

!--- First shown hop is Router 1
     
  2     6 ms     6 ms     5 ms  192.168.100.101
(etc...)

После применения изменения политики:

C:\>tracert -d www.yahoo.com.

Tracing route to www.yahoo-ht3.akadns.net [192.168.93.52]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  172.16.2.254
  
!--- First shown hop is ASA

  2    <1 ms    <1 ms    <1 ms  172.16.2.1

!---  Router 1 is now second hop

  3     6 ms     6 ms     6 ms  192.168.100.101
 (etc...)

Сообщение об ошибках - 313005

Сообщение об ошибке

%PIX|ASA-4-313005: No matching connection for ICMP error message: 
icmp_msg_info on interface_name interface. Original IP payload: 
embedded_frame_info icmp_msg_info = icmp src src_interface_name:src_address dst 
dest_interface_name:dest_address (type icmp_type, code icmp_code) 
embedded_frame_info = prot src source_address/source_port dst 
dest_address/dest_port

Пояснение

Пакеты ошибки ICMP отброшены устройством безопасности, потому что сообщения об ошибках ICMP не отнесены ни к какому сеансу, уже установленному в устройстве безопасности.

Рекомендуемое действие

Если причина является атакой, можно запретить хост с ACL.

Типы сообщений протокола ICMP (RFC 792)

Номер сообщения Сообщение
0 Эхо-ответ
3 Назначение недоступно
4 Source Quench
5 Перенаправление
8 Эхо
11 Превышено время
12 Проблема с параметром
13 Timestamp
14 Отклик со штампом времени
15 Запрос информации
16 Информационный ответ

Информация, обязательная для сбора в случае обращения в Центр технической поддержки

Если после выполнения шагов по поиску и устранению неполадок из этого документа все еще требуется помощь, и вы хотите открыть запрос на обслуживание для Cisco TAC, убедитесь, что в него включена следующая информация для устранения неполадок в межсетевом экране PIX.
  • Описание проблемы и соответствующие сведения о топологии
  • Перед открытием запроса на обслуживание проведены поиск и устранение неисправностей
  • Выходные данные команды show tech-support
  • Выходные данные команды show log после выполнения команды logging buffered debugging или снимки консоли, демонстрирующие проблему (при их наличии)
Приложите собранные данные к запросу на обслуживание в простом текстовом формате (.txt), не архивируя вложенный файл. Чтобы приложить информацию к запросу, можно загрузить ее Service Request Query Tool (только для зарегистрированных пользователей). При отсутствии доступа к средству Service Request Query Tool можно отправить данные электронной почтой по адресу attach@cisco.com с номером сервисного запроса в строке "Тема" отправляемого сообщения.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 15246