Este documento describe cómo configurar la función de desvío del estado TCP. Esta función permite flujos entrantes y salientes a través de dispositivos de seguridad adaptable Cisco ASA serie 5500 independientes.
Los Cisco ASA 5500 Series Adaptive Security Appliances deben tener al menos la licencia básica.
La información de este documento se basa en Cisco Adaptive Security Appliance (ASA) con la versión 8.2(1) y posteriores.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Consulte Convenciones de Consejos Técnicos de Cisco para obtener información sobre las convenciones del documento.
De forma predeterminada, todo el tráfico que pasa a través del dispositivo de seguridad adaptable de Cisco (ASA) se inspecciona mediante el algoritmo de seguridad adaptable y, según la política de seguridad, se permite su paso o su eliminación. Para maximizar el rendimiento del firewall, ASA comprueba el estado de cada paquete (por ejemplo, ¿se trata de una nueva conexión o de una conexión establecida?) y lo asigna a la ruta de gestión de sesiones (un nuevo paquete SYN de conexión), a la ruta rápida (una conexión establecida) o a la ruta del plano de control (inspección avanzada).
Los paquetes TCP que coinciden con las conexiones existentes en la ruta rápida pueden pasar a través del dispositivo de seguridad adaptable sin volver a comprobar todos los aspectos de la política de seguridad. Esta función maximiza el rendimiento. Sin embargo, el método utilizado para establecer la sesión en el trayecto rápido (que utiliza el paquete SYN) y las comprobaciones que ocurren en el trayecto rápido (como el número de secuencia TCP) pueden obstaculizar las soluciones de ruteo asimétrico: tanto el flujo saliente como el entrante de una conexión deben pasar a través del mismo ASA.
Por ejemplo, una nueva conexión va a ASA 1. El paquete SYN pasa a través de la trayectoria de administración de la sesión y se agrega una entrada para la conexión a la tabla de trayectoria rápida. Si los paquetes subsiguientes de esta conexión pasan a través de ASA 1, los paquetes coincidirán con la entrada en el trayecto rápido y se transmitirán. Si los paquetes subsiguientes van a ASA 2, donde no había un paquete SYN que atravesó la trayectoria de administración de sesión, entonces no hay entrada en la trayectoria rápida para la conexión y los paquetes se descartan.
Si tiene un ruteo asimétrico configurado en los routers ascendentes y el tráfico alterna entre dos ASA, puede configurar el desvío del estado TCP para el tráfico específico. La omisión del estado TCP altera la forma en que se establecen las sesiones en la ruta rápida e inhabilita las verificaciones de la ruta rápida. Esta función trata el tráfico TCP de la misma manera que trata una conexión UDP: cuando un paquete no SYN que coincide con las redes especificadas ingresa al ASA, y no hay una entrada de trayecto rápido, el paquete pasa por el trayecto de administración de sesión para establecer la conexión en el trayecto rápido. Una vez en la ruta rápida, el tráfico omite las comprobaciones de la ruta rápida.
Esta imagen proporciona un ejemplo de ruteo asimétrico, donde el tráfico saliente pasa a través de un ASA diferente al tráfico entrante:
Nota: La función de omisión del estado TCP está desactivada de forma predeterminada en los Cisco ASA 5500 Series Adaptive Security Appliances.
Esta sección proporciona la información de soporte para la función de omisión del estado TCP.
Modo de contexto: compatible con los modos de contexto único y múltiple.
Modo firewall: compatible con el modo enrutado y transparente.
Conmutación por fallo: admite conmutación por fallo.
Estas funciones no se soportan cuando utiliza el desvío de estado TCP:
Inspección de aplicación: la inspección de aplicación requiere que el tráfico entrante y saliente pase a través del mismo ASA, por lo que la inspección de aplicación no se admite con el desvío de estado TCP.
Sesiones autenticadas AAA: cuando un usuario autentica con un ASA, el tráfico que regresa a través del otro ASA será denegado porque el usuario no se autenticó con ese ASA.
Intercepción TCP, límite máximo de conexiones embrionarias, aleatorización de números de secuencia TCP: ASA no realiza un seguimiento del estado de la conexión, por lo que estas funciones no se aplican.
Normalización TCP: el normalizador TCP está desactivado.
Funcionalidad SSM y SSC: no puede utilizar la omisión del estado TCP ni ninguna aplicación que se ejecute en un SSM o SSC, como IPS o CSC.
Pautas de NAT: Debido a que la sesión de traducción se establece por separado para cada ASA, asegúrese de configurar la NAT estática en ambos ASA para el tráfico de desvío de estado TCP; si utiliza NAT dinámica, la dirección elegida para la sesión en ASA 1 será diferente de la dirección elegida para la sesión en ASA 2.
Esta sección describe cómo configurar la función de omisión del estado TCP en el Cisco ASA 5500 Series Adaptive Security Appliance (ASA).
Complete estos pasos para configurar la función de omisión del estado TCP en el Cisco ASA 5500 Series Adaptive Security Appliance:
Utilice el comando class-map class_map_name para crear un class map. El mapa de clase se utiliza para identificar el tráfico para el que desea inhabilitar la inspección de firewall con estado. El mapa de clase utilizado en este ejemplo es tcp_bypass.
ASA(config)#class-map tcp_bypass
Utilice el comando match parameter para especificar el tráfico interesante en el mapa de clase. Cuando utilice el Marco de políticas modular, utilice el comando match access-list en el modo de configuración de mapa de clase para utilizar una lista de acceso para identificar el tráfico al que desea aplicar acciones. A continuación se muestra un ejemplo de esta configuración:
ASA(config)#class-map tcp_bypass ASA(config-cmap)#match access-list tcp_bypass
tcp_bypass es el nombre de la lista de acceso utilizada en este ejemplo. Consulte Identificación del Tráfico (Mapa de Clase de Capa 3/4) para obtener más información sobre la especificación del tráfico interesante.
Utilice el comando policy-map name para agregar un policy map o editar un policy map (que ya está presente) que establece las acciones a realizar con el tráfico del class map especificado. Cuando utilice el Marco de políticas modular, utilice el comando policy-map (sin la palabra clave type) en el modo de configuración global para asignar acciones al tráfico que identificó con un mapa de clase de Capa 3/4 (el comando class-map o class-map type management). En este ejemplo, el policy map es tcp_bypass_policy:
ASA(config-cmap)#policy-map tcp_bypass_policy
Utilice el comando class en el modo de configuración de policy-map para asignar el class map (tcp_bypass) ya creado al policy map (tcp_bypass_policy) donde puede asignar acciones al tráfico del class map . En este ejemplo, el mapa de clase es tcp_bypass:
ASA(config-cmap)#policy-map tcp_bypass_policy ASA(config-pmap)#class tcp_bypass
Utilice el comando set connection advanced-options tcp-state-bypass en el modo de configuración de clase para habilitar la función de omisión de estado TCP. Este comando se introdujo en la versión 8.2(1). Se puede acceder al modo de configuración de clase desde el modo de configuración de policy-map como se muestra en este ejemplo:
ASA(config-cmap)#policy-map tcp_bypass_policy ASA(config-pmap)#class tcp_bypass ASA(config-pmap-c)#set connection advanced-options tcp-state-bypass
Utilice el comando service-policy_map_name [ global | interface intf ] en el modo de configuración global para activar un policy map globalmente en todas las interfaces o en una interfaz de destino. Para inhabilitar la política de servicio, utilice la forma no de este comando. Utilice el comando service-policy para habilitar un conjunto de políticas en una interfaz.global aplica el policy map a todas las interfaces, y interface aplica la política a una interfaz. Solo se permite una política global. Puede anular la política global en una interfaz aplicando una política de servicio a esa interfaz. Sólo puede aplicar un policy map a cada interfaz.
ASA(config-pmap-c)#service-policy tcp_bypass_policy outside
A continuación se muestra un ejemplo de configuración para el desvío del estado TCP:
!--- Configure the access list to specify the TCP traffic !--- that needs to by-pass inspection to improve the performance.
ASA(config)#access-list tcp_bypass extended permit tcp 10.1.1.0 255.255.255.224 any
!--- Configure the class map and specify the match parameter for the !--- class map to match the interesting traffic.
ASA(config)#class-map tcp_bypass
ASA(config-cmap)#description "TCP traffic that bypasses stateful firewall"
ASA(config-cmap)#match access-list tcp_bypass
!--- Configure the policy map and specify the class map !--- inside this policy map for the class map.
ASA(config-cmap)#policy-map tcp_bypass_policy
ASA(config-pmap)#class tcp_bypass
!--- Use the set connection advanced-options tcp-state-bypass !--- command in order to enable TCP state bypass feature.
ASA(config-pmap-c)#set connection advanced-options tcp-state-bypass
!--- Use the service-policy policymap_name [ global | interface intf ] !--- command in global configuration mode in order to activate a policy map !--- globally on all interfaces or on a targeted interface.
ASA(config-pmap-c)#service-policy tcp_bypass_policy outside
ASA(config-pmap-c)#static (inside,outside) 192.168.1.224 10.1.1.0 netmask
255.255.255.224
El comando show conn muestra el número de conexiones TCP y UDP activas y proporciona información sobre conexiones de varios tipos. Para mostrar el estado de conexión para el tipo de conexión designado, utilice el comando show conn en el modo EXEC privilegiado. Este comando soporta las direcciones IPv4 y IPv6. La visualización de salida para las conexiones que utilizan omisión de estado TCP incluye el indicador b.
ASA muestra este mensaje de error incluso después de habilitar la función de omisión del estado TCP.
%PIX|ASA-4-313004:Denied ICMP type=icmp_type, from source_address oninterface interface_name to dest_address:no matching session
El dispositivo de seguridad descartó los paquetes ICMP debido a las comprobaciones de seguridad agregadas por la función de ICMP con estado que normalmente son respuestas de eco ICMP sin una solicitud de eco válida que ya se ha transmitido a través del dispositivo de seguridad o mensajes de error ICMP no relacionados con ninguna sesión TCP, UDP o ICMP ya establecida en el dispositivo de seguridad.
ASA muestra este registro aunque la omisión del estado TCP esté habilitada porque no es posible deshabilitar esta funcionalidad (es decir, comprobar las entradas de retorno ICMP para el tipo 3 en la tabla de conexión). Pero la función de omisión del estado TCP funciona correctamente.
Utilice este comando para evitar que aparezcan estos mensajes:
hostname(config)#no logging message 313004
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
10-May-2010
|
Versión inicial |