Безопасность : Устройства защиты Cisco PIX серии 500

PIX/ASA: Пример конфигурации прозрачного межсетевого экрана

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (11 августа 2008) | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Межсетевой экран традиционно организуется как маршрутизируемый переход, функционирующий как шлюз по умолчанию для хостов, подключенных к одной из защищенных им подсетей. Прозрачный межсетевой экран, с другой стороны, является межсетевым экраном 2-уровня, который действует как невидимый межсетевой экран или как «врезка в линию» и незаметен для подключенных устройств как переход через маршрутизатор. Устройство защиты подключается к одной и той же сети на своих внутренних и внешних портах. Так как межсетевой экран не является маршрутизируемым переходом, можно с легкостью встроить прозрачный межсетевой экран в сеть, не прибегая к изменению IP-адресации.

Его поддержка значительно облегчается, так как не требуется устранять проблемы, связанные со сложными шаблонами маршрутизации или настройкой NAT.

Несмотря на то, что функционирование в режиме прозрачности напоминает работу моста, трафик уровня 3, например, IP-трафик, не может проникнуть сквозь устройство защиты, если не было явно заданного разрешения на выполнение этого действия, сопровожденного расширенным списком доступа. {\f3 Единственный трафик, для которого возможно прохождение через прозрачный межсетевой экран без списка доступа, } — {\f3 это трафик ARP.} Проверка ARP-трафика осуществляется с помощью функции инспектирования ARP.

В маршрутизируемом режиме некоторые виды трафика не могут быть пропущены устройством защиты, даже если они разрешены списком доступа. Кроме того, прозрачный межсетевой экран пропускает любой трафик из расширенного списка доступа (IP-трафик) или списка доступа EtherType (трафик, отличный от IP-трафика).

Например, с помощью прозрачного межсетевого экрана можно установить смежности протокола маршрутизации; также можно разрешить прохождение трафика VPN (IPSec), OSPF, RIP, EIGRP или BGP на основании расширенного списка доступа. Точно так же протоколы, например, HSRP или VRRP, могут быть пропущены через устройство защиты.

Пропускание трафика, отличного от IP (например, AppleTalk, IPX, BPDU и MPLS), можно настроить при помощи списка доступа EtherType.

Если какие-либо функции не поддерживаются прозрачным межсетевым экраном, можно разрешить прохождение трафика через него, чтобы вышестоящие или нижестоящие маршрутизаторы смогли обеспечить необходимую функциональность. Например, можно разрешить прохождение DHCP-трафика в расширенном списке доступа (вместо неподдерживаемой функции переключения DHCP) или трафик групповой адресации, который создается IP/TV.

Если устройство защиты работает в прозрачном режиме, исходящий интерфейс пакета определяется с помощью поиска MAC-адреса, а не с помощью поиска маршрута. Инструкции маршрута можно настроить, однако они применимы только для трафика, созданного устройством защиты. Например, если сервер системного журнала расположен в удаленной сети, необходимо использовать статический маршрут, чтобы устройство защиты могло достичь данной подсети.

Многофункциональное устройство защиты может быть настроено для работы в режиме маршрутизируемого межсетевого экрана по умолчанию или в режиме прозрачного межсетевого экрана. При смене режимов многофункциональное устройство защиты очищает конфигурацию, так как многие команды поддерживаются только в одном из режимов. Если заполненная конфигурация уже имеется, сохраните ее перед тем, как изменить режим; сохраненную конфигурацию можно использовать для справки при создании новой конфигурации.

В многоконтекстном режиме возможно использование только одного межсетевого экрана для всех контекстов. Режим необходимо указать в системном поле выполнения. В многоконтекстном режиме конфигурация системы стирается, при этом все контексты удаляются. При добавлении контекста с уже существующей конфигурацией, заданной для другого режима, конфигурация контекста не будет работать корректно.

Примечание: Обязательно создайте конфигурации контекста для корректного режима, прежде чем вы добавите их снова или добавите новые контексты с новыми путями для новых конфигураций.

Примечание: Если вы загружаете настройку текста к устройству безопасности, которое изменяет режим с командой firewall transparent, несомненно поместят команду наверху конфигурации; устройство адаптивной безопасности изменяет режим, как только команда выполняется и затем продолжает читать конфигурацию, которую вы загрузили. Если команда расположена ниже части текста конфигурации, устройство адаптивной защиты удалит все предыдущие строки конфигурации.

Дополнительные сведения о настройке многоконтекстного режима прозрачного межсетевого экрана, см. в разделе Многоконтекстный режим, прозрачный межсетевой экран с внешним доступом

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Адаптивная система безопасности (ASA) версии 7.x и более поздняя

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Эта конфигурация может также использоваться со следующими версиями программного/аппаратного обеспечения:

  • Устройство защиты PIX Security Appliance версии 7.x и выше

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Прозрачный межсетевой экран

Рекомендации

Следуйте данным рекомендациям при планировании сети с прозрачным межсетевым экраном:

  • Необходимо наличие управляющего IP-адреса; для многоконтекстного режима IP-адрес обязателен для каждого контекста.

    В отличие от маршрутизируемого режима, в котором требуется IP-адрес для каждого интерфейса, в прозрачном межсетевом экране имеется IP-адрес, назначенный для всего устройства. Устройство защиты использует этот IP-адрес в качестве исходного адреса для пакетов, созданных устройством защиты, таких как системные сообщения или сообщения авторизации, аутентификации и учета (AAA).

    Управляющий IP-адрес должен принадлежать той же подсети, что подключенная сеть. Не допускается устанавливать подсеть равной подсети хоста (255.255.255.255).

  • Прозрачное устройство защиты использует только внутренний и внешний интерфейс. Если у платформы имеется выделенный интерфейс управления, можно выполнить настройку интерфейса управления или подчиненного интерфейса только для пропускания трафика управления.

    В одиночном режиме можно использовать два интерфейса данных (а также выделенный интерфейс управления, если он доступен) даже в том случае, если устройство защиты включает в себя более двух интерфейсов.

  • Каждая напрямую подключенная сеть должна быть расположена в той же подсети.

  • Не допускается указывать управляющий IP-адрес устройства защиты в качестве шлюза по умолчанию для подключенных устройств. В качестве шлюза по умолчанию для устройств должен быть определен маршрутизатор на другой стороне устройства защиты.

  • В многоконтекстном режиме каждый контекст должен использовать различные интерфейсы, несколько контекстов не могут использовать один интерфейс.

  • В многоконтекстном режиме для каждого контекста обычно используются разные подсети. Можно использовать перекрывающиеся подсети, однако для сетевой топологии обязательно наличие маршрутизатора и конфигурации NAT, чтобы это было осуществимо с точки зрения маршрутизации.

  • Необходимо использовать расширенный список доступа для разрешения прохождения через устройство защиты трафика уровня 3, например, IP-трафика.

    Также можно использовать список доступа EtherType для разрешения пропуска трафика, отличного от IP.

Разрешенные MAC-адреса

Эти MAC-адреса получателей разрешены для прохождения трафика через прозрачный межсетевой экран. Любые MAC-адреса, не указанные в данном списке отбрасываются.

  • Реальный широковещательный MAC-адрес получателя, равный FFFF.FFFF.FFFF

  • MAC-адреса групповой адресации IPv4 с 0100.5E00.0000 по 0100.5EFE.FFFF

  • MAC-адреса групповой адресации IPv6 с 3333.0000.0000 по 3333.FFFF.FFFF

  • Адрес групповой адресации BPDU, равный 0100.0CCC.CCCD

  • Многоадресные MAC-адреса AppleTalk с 0900.0700.0000 по 0900.07FF.FFFF

Неподдерживаемые функции

Следующие функции не поддерживаются в прозрачном режиме:

  • NAT/PAT

    NAT выполняется в вышестоящем маршрутизаторе.

    Примечание: Начиная с ASA/PIX 8.0 (2), NAT/PAT поддерживается в прозрачном межсетевом экране. Обратитесь к NAT в Прозрачном режиме для получения дополнительной информации.

  • Протоколы динамической маршрутизации (RIP, EIGRP, OSPF)

    Допускается добавление статических маршрутов для трафика, созданного устройством защиты. Также можно разрешить прохождение трафика протоколов динамической маршрутизации через устройство защиты, с помощью расширенных списков доступа.

    Примечание: IS-IS является Протокол "IP" 124 (isis по ipv4). Переходные пакеты IS-IS могут быть позволены через прозрачный режим формой ACL, который разрешает протокол 124. Прозрачный режим поддерживает все 255 Протоколов "IP".

  • IPv6

  • Ретрансляция DHCP

    Прозрачный межсетевой экран может выступать в качестве DHCP-сервера, но при этом он не поддерживает выполнение команд ретрансляции DHCP. Ретрансляция DHCP не требуется, поскольку для пропуска DHCP-трафика можно использовать расширенный список доступа.

  • Качество обслуживания (QoS)

  • Групповая адресация

    Многоадресный трафик может быть разрешен для прохождения через устройство защиты с помощью расширенного списка доступа. В прозрачном межсетевом экране access-lists требуется, чтобы передавать многоадресный трафик от выше для понижения, а также от ниже до зон более высокой безопасности. В обычных межсетевых экранах, выше для понижения зон безопасности не требуются. Для получения дополнительной информации обратитесь к разделу Сквозного трафика Прохода в Модуле Сервиса межсетевого экрана Прозрачный Пример Конфигурации межсетевого экрана.

  • Оконечная обработка VPN-сеансов для сквозного трафика

    Прозрачный межсетевой экран поддерживает VPN-туннели типа «узел-узел» только для соединений управления. Он не выполняет прерывание соединений VPN для трафика, проходящего через устройство защиты. Можно разрешить прохождение трафика VPN через устройство защиты с помощью расширенного списка доступа, однако прерывания соединений, не относящихся к управлению, выполняться не будет.

Примечание: Устройство безопасности прозрачного режима не передает пакеты CDP или любые пакеты, которые не имеют допустимого Ethertype больше, чем или равняются 0x600.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

На схеме сети представлена типичная сеть с прозрачным межсетевым экраном, в которой внешние устройства расположены в той же подсети, что и внутренние. Внутренний маршрутизатор и хосты подключены напрямую к внешнему маршрутизатору.

/image/gif/paws/97853/Transparent-firewall-1.gif

Конфигурации

ASA 8.x
ciscoasa#show running-config 
: Saved
:
ASA Version 8.0(2)
!

!--- In order to set the firewall mode to transparent mode

firewall transparent
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
!
interface Ethernet0/1
 nameif inside
 security-level 100
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
pager lines 24
mtu outside 1500
mtu inside 1500


!--- IP Address for the Management. 
!---  Avoid using this IP Address as a default gateway.
!---  The security appliance uses this address as the source address
!---  for traffic originating on the security appliance, such as system 
!---  messages or communications with AAA servers. You can also use this 
!---  address for remote management access. 


ip address 192.168.1.1 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1



!--- Output Suppressed



service-policy global_policy global
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
ciscoasa(config)#

Различные сценарии перемещения данных в прозрачном межсетевом экране

Получение доступа к внешнему серверу электронной почты внутренним пользователем

Пользователь внутренней сети получает доступ к серверу электронной почты в Интернете (снаружи сети). Устройство защиты получает пакет и, если необходимо, добавляет MAC-адрес источника в таблицу MAC-адресов. {\f3 Поскольку данный сеанс }—{\f3 новый, модуль проверяет, разрешен ли пакет в соответствии с условиями политики безопасности (списками доступа, фильтрами или AAA-аутентификацией).}

Примечание: Для многоконтекстного режима устройство безопасности сначала классифицирует пакет в соответствии с уникальным интерфейсом.

Устройство защиты заносит в журнал запись о созданном сеансе. Если MAC-адрес назначения присутствует в таблице, устройство защиты передает пакет за пределы внешнего интерфейса. В качестве MAC-адреса назначения используется адрес вышестоящего маршрутизатора, 192.168.1.2. Если MAC-адрес назначения отсутствует в таблице устройства защиты, то устройство защиты пытается его обнаружить при отправке запроса ARP и эхо-запроса. Первый пакет отбрасывается.

Сервер электронной почты отвечает на запрос. Поскольку сеанс уже выполняется, пакет не обходит множество поисков, связанных с новым соединением. Устройство защиты отправляет пакет внутреннему пользователю.

Посещение внутренним пользователем web-сервера с NAT

При включении NAT на маршрутизаторе, подключенном к Интернету, поток направляемых через него пакетов незначительно изменяется.

Пользователь внутренней сети получает доступ к серверу электронной почты в Интернете (снаружи сети). Устройство защиты получает пакет и, если необходимо, добавляет MAC-адрес источника в таблицу MAC-адресов. {\f3 Поскольку данный сеанс }—{\f3 новый, модуль проверяет, разрешен ли пакет в соответствии с условиями политики безопасности (списками доступа, фильтрами или AAA-аутентификацией).}

Примечание: Для многоконтекстного режима устройство безопасности сначала классифицирует пакет в соответствии с уникальным интерфейсом.

Маршрутизатор Интернета преобразует фактический адрес хоста А (192.168.1.5) в сопоставленный адрес маршрутизатора Интернета (172.16.1.1). Поскольку сопоставленный адрес не принадлежит к той же сети, что и внешний интерфейс, необходимо убедиться в том, что у маршрутизатора восходящего потока есть статический маршрут к сопоставленной сети, который ведет к устройству защиты.

Устройство защиты записывает сеанс как выполненный и пересылает пакет из внешнего интерфейса. Если MAC-адрес назначения присутствует в таблице, устройство защиты передает пакет за пределы внешнего интерфейса. В качестве MAC-адреса получателя используется адрес вышестоящего маршрутизатора, 172.16.1.1. Если MAC-адрес назначения отсутствует в таблице устройства защиты, то устройство защиты пытается его обнаружить при отправке запроса ARP и эхо-запроса. Первый пакет отбрасывается.

Сервер электронной почты отвечает на запрос. Поскольку сеанс уже выполняется, пакет не обходит множество поисков, связанных с новым соединением. Устройство защиты использует NAT для преобразования сопоставленного адреса в фактический адрес, 192.168.1.5.

Посещение внутреннего web-сервера внутренним пользователем

Если хост А пытается получить доступ к внутреннему web-серверу (10.1.1.1), то он (192.168.1.5) отправляет пакет запроса маршрутизатору Интернета (так как он используется в качестве шлюза по умолчанию) через ASA из внутренней среды во внешнюю. Пакет перенаправляется на web-сервер (10.1.1.1) через ASA (из внешней среды во внутреннюю) и внутренний маршрутизатор.

/image/gif/paws/97853/Transparent-firewall-1.gif

Примечание: Пакет запроса возвращается к Web-серверу, только если ASA имеет список доступа для разрешения трафика от внешней стороны до внутренней части.

Чтобы устранить эту проблему, необходимо назначить в качестве шлюза по умолчанию для узла А (10.1.1.1) внутренний маршрутизатор (192.168.1.3) вместо маршрутизатора Интернета (192.168.1.2). {\f3 Это предотвращает передачу любого ненужного трафика на внешний шлюз, а если такой трафик появляется }—{\f3 перенаправляет его на внешний маршрутизатор (маршрутизатор Интернета).} Он также производит обратное разрешение адресов, когда web-сервер или любой другой хост (10.1.1.0/24), представленный во внутренней среде внутреннего маршрутизатора, выполняет попытку доступа к хосту А (192.168.1.5).

Посещение внешним пользователем web-сервера внутренней сети

Ниже приводится описание перемещения данных через устройство защиты:

Пользователь внешней сети выполняет запрос web-страницы с внутреннего web-сервера. Устройство защиты получает пакет и, если необходимо, добавляет MAC-адрес источника в таблицу MAC-адресов. {\f3 Поскольку данный сеанс }—{\f3 новый, модуль проверяет, разрешен ли пакет в соответствии с условиями политики безопасности (списками доступа, фильтрами или AAA-аутентификацией).}

Примечание: Для многоконтекстного режима устройство безопасности сначала классифицирует пакет в соответствии с уникальным интерфейсом.

Устройство защиты вносит в журнал запись о созданном сеансе, только если внешнему пользователю разрешен доступ на внутренний веб-сервер. Доступ на web-сервер должен быть разрешен для внешнего пользователя с помощью списка доступа.

Если MAC-адрес назначения присутствует в таблице, устройство защиты передает пакет за пределы внутреннего интерфейса. В качестве MAC-адреса получателя используется адрес нижестоящего маршрутизатора, 192.168.1.3.

Если MAC-адрес назначения отсутствует в таблице устройства защиты, то устройство защиты пытается его обнаружить при отправке запроса ARP и эхо-запроса. Первый пакет отбрасывается.

Веб-сервер отвечает на запрос. Поскольку сеанс уже выполняется, пакет обходит множество поисков, связанных с новым соединением. Устройство защиты отправляет пакет внешнему пользователю.

Получение доступа для внешнего пользователя к внутреннему хосту

Пользователь внешней сети выполняет попытку доступа к внутреннему хосту. Устройство защиты получает пакет и, если необходимо, добавляет MAC-адрес источника в таблицу MAC-адресов. {\f3 Поскольку данный сеанс }—{\f3 новый, система проверяет, разрешен ли пакет в соответствии с условиями политики безопасности (списками доступа, фильтрами или AAA-аутентификацией).}

Примечание: Для многоконтекстного режима устройство безопасности сначала классифицирует пакет в соответствии с уникальным интерфейсом.

Пакет отклоняется и устройство защиты отбрасывает его, поскольку у внешнего пользователя отсутствуют права доступа к внутреннему узлу. Если внешний пользователь предпринимает атаку на внутреннюю сеть, устройство защиты выполняет развертывание средств для определения, является ли пакет допустимым в уже выполняющемся сеансе.

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

ciscoasa(config)# sh firewall
Firewall mode: Transparent

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 97853