PIX/ASA 7.x: activación de la comunicación entre interfaces
Anuncio
PIX/ASA 7.x: activación de la comunicación entre interfaces Contenido Introducción Requisitos previos Requerimientos Componentes utilizados Productos relacionados Convenciones Antecedentes NAT Niveles de seguridad ACL Configuración Diagrama de la red Configuración inicial DMZ hacia dentro Internet hacia DMZ Interno/DMZ hacia Internet Comunicación en el mismo nivel de seguridad Resolución de problemas Introducción Este documento proporciona un ejemplo de configuración para varias formas de comunicación entre interfaces en el dispositivo de seguridad ASA/PIX. Requisitos previos Requerimientos Asegúrese de que cumple estos requerimientos antes de intentar esta configuración: Asignación de las direcciones IP y la puerta de enlace predeterminada Conectividad física de red entre dispositivos Número de puerto de comunicación identificado para el servicio implementado Componentes utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware: Dispositivo adaptable de seguridad que ejecute la versión de software 7.x Servidores Windows 2003 Server Estaciones de trabajo Windows XP La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Productos relacionados Esta configuración también se puede utilizar con las siguientes versiones de hardware y software: Firewalls de la serie PIX 500 que ejecuten 7.x Convenciones Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento. Antecedentes Este documento señala los pasos requeridos para permitir que la comunicación fluya entre diferentes interfaces. Se analizan formas de comunicación como las siguientes: 1. Comunicación desde hosts ubicados en el exterior que requieren acceso a recursos ubicados en la DMZ 2. Comunicación desde hosts en la red interna que requieren acceso a recursos ubicados en la DMZ 3. Comunicación desde hosts en el interior y la red DMZ que requieren acceso a recursos externos NAT En el ejemplo, se emplea la traducción de direcciones de red (NAT) y la traducción de direcciones de puerto (PAT) en la configuración. La traducción de direcciones sustituye la dirección real (local) en un paquete con una dirección asignada (global) que es enrutable en la red de destino. NAT consta de dos pasos: el proceso en el que una dirección real se traduce en una dirección asignada y, a continuación, el proceso en el que se deshace la traducción para el tráfico de retorno. En esta guía de configuración se utilizan dos formas de traducción de direcciones: estática y dinámica. Las traducciones dinámicas permiten que cada host utilice una dirección o puerto diferentes para cada traducción posterior. Las traducciones dinámicas se pueden utilizar cuando los hosts locales comparten una o más direcciones globales comunes, o bien se "ocultan" detrás de ellas. En este modo, una dirección local no puede reservar de manera permanente una dirección global para la traducción. En su lugar, la traducción de direcciones se produce de muchos a uno o de muchos a muchos, y las entradas de traducción sólo se crean a media que se necesitan. En cuanto una entrada de traducción deja de utilizarse, se elimina y pasa a estar disponible para otros hosts locales. Este tipo de traducción es más útil para las conexiones salientes, en las que los host internos sólo se asignan a una dirección dinámica o un número de puerto cuando se realizan las conexiones. Existen dos formas de traducción de direcciones dinámica: NAT dinámica: las direcciones locales se traducen a una dirección global disponible en una agrupación. Se proporciona una traducción una a una, por lo que es posible agotar el agrupamiento de direcciones globales en caso de que un gran número de hosts locales requieran una traducción en un momento dado. Sobrecarga de NAT (PAT): las direcciones locales se traducen a una sola dirección global; cada conexión se realiza de forma exclusiva cuando el siguiente número de puerto de orden superior disponible de la dirección global se asigna como origen de la conexión. La traducción se produce de muchos a uno, puesto que muchos hosts locales comparten una dirección global común. La traducción estática crea una traducción fija de las direcciones reales a las direcciones asignadas. La configuración de NAT estática asigna la misma dirección a cada conexión mediante un hosts y se trata de una regla de traducción persistente. Las traducciones de direcciones estáticas se utilizan cuando un host interno o local necesita obtener la misma dirección global para cada conexión. La traducción de direcciones se produce de una a una. Las traducciones estáticas se pueden definir para un único host o para todas las direcciones que una subred IP contenga. La principal diferencia entre el NAT dinámico y un rango de direcciones para NAT estática es que la NAT estática permite a un host remoto iniciar una conexión con un host traducido (siempre que exista una lista de acceso que lo permita), mientras que el NAT dinámico no lo permite. También necesita un número equivalente de direcciones asignadas con NAT estática. El dispositivo de seguridad traduce una dirección cuando se establece una coincidencia entre una regla NAT y el tráfico. Si no hay ninguna regla NAT que coincida, el procesamiento para el paquete continúa. La excepción se da al activar el control NAT. El control NAT requiere que los paquetes que pasan de una interfaz de más seguridad (interna) a un nivel de seguridad inferior (externo) coincidan con una regla NAT o proceso similar para que el paquete se detenga. Para ver la información de configuración común, consulte el documento NAT y PAT de PIX/ASA 7.x (en inglés). Para una mayor comprensión del funcionamiento de la NAT, consulte How NAT works Guide (Guía sobre el funcionamiento de NAT) Consejo: Siempre que cambie la configuración de NAT, se recomienda borrar las traducciones de NAT actuales. Puede borrar la tabla de traducciones con el comando clear xlate. Sin embargo, tenga cuidado al hacerlo, puesto que al borrar la tabla de traducciones se desconectan todas las conexiones actuales que utilizan dichas traducciones. La alternativa al borrado de la tabla de traducciones consiste en esperar a que las traducciones actuales se interrumpan, aunque no es aconsejable, porque puede producirse un comportamiento inesperado puesto que las nuevas conexiones se crean con reglas nuevas. Niveles de seguridad El valor de nivel de seguridad controla cómo interactúan los hosts/dispositivos de las diferentes interfaces. De manera predeterminada, los hosts/dispositivos conectados a interfaces con niveles de seguridad superiores pueden acceder a los hosts/dispositivos conectados a interfaces con niveles de seguridad inferiores. Por el contrario, los hosts/dispositivos conectados a interfaces con niveles de seguridad inferiores no pueden acceder a los hosts/dispositivos conectados a interfaces con niveles de seguridad superiores sin el permiso de las listas de acceso. El comando security-level es nuevo en la versión 7.0 y reemplaza la parte del comando nameif que asignaba el nivel de seguridad de la interfaz. Las dos interfaces, la "interna" y la "externa", tienen niveles de seguridad predeterminados, pero que se pueden anular mediante el comando security-level. Si denomina una interfaz como "interna", se le asigna un nivel de seguridad predeterminado de 100, mientras que una interfaz indicada como "externa" tiene asignado un nivel de seguridad de 0. Todas las demás interfaces que se acaban de agregar reciben un nivel de seguridad predeterminado de 0. Para asignar un nuevo nivel de seguridad a una interfaz, utilice el comando security-level en el modo de comando de la interfaz. Los niveles de seguridad varían entre 1 y 100. Nota: Los niveles de seguridad sólo se utilizan para determinar cómo el firewall inspecciona y administra el tráfico. Por ejemplo, el tráfico que pasa desde una interfaz de más seguridad a otra de menos se reenvía con políticas predeterminadas menos rigurosas que el que se dirige de una interfaz de menos seguridad a otra de más. Para obtener más información acerca de los niveles de seguridad, consulte ASA/PIX 7.x command reference guide (Guía de referencia de comandos de ASA/PIX 7.x). ASA/PIX 7.x también ofrece la posibilidad de configurar varias interfaces con el mismo nivel de seguridad. Por ejemplo, se puede asignar un nivel de seguridad de 50 a varias interfaces conectadas a socios u otras DMZ. De manera predeterminada, estás interfaces con una misma seguridad no se pueden comunicar entre sí. Para trabajar en este sentido se introdujo el comando same-security-traffic permit inter-interface. Este comando permite la comunicación entre interfaces del mismo nivel de seguridad. Para obtener más información sobre una misma seguridad entre interfaces, consulte Configuring Interface Parameters (Configuración de parámetros de interfaz) en la guía de referencia de comandos y analice este ejemplo. ACL Las listas de control de acceso suelen están formadas por varias entradas de control de acceso (ACE) organizadas internamente mediante el dispositivo de seguridad en una lista enlazada. Las ACE describen un conjunto de tráfico, como el procedente de u host o red, e indican una acción que se aplicará a dicho tráfico, por lo general permitir o denegar. Cuando un paquete se somete a un control de lista de acceso, el dispositivo de seguridad de Cisco busca esta lista de ACE enlazada para encontrar una que coincida con el paquete. La primera ACE que coincide con el dispositivo de seguridad es la que se aplica al paquete. Una vez que se ha encontrado la coincidencia, se aplica al paquete la acción de dicha ACE (permitir o denegar). Sólo se permite una lista de acceso por interfaz y dirección. Esto significa que sólo se puede tener una lista de acceso que se aplique al tráfico entrante de una interfaz y otra que se aplique al tráfico saliente de una interfaz. Las listas de acceso que no se aplican a interfaces, por ejemplo las ACL de NAT, son ilimitadas. Nota: De forma predeterminada, todas las listas de acceso tienen una ACE implícita al final que deniega todo el tráfico, de manera que todo el tráfico que no coincide con ninguna ACE introducida por el usuario en la lista de acceso, sí coincide con la denegación implícita final y se interrumpe. Para que el tráfico fluya, debe tener al menos una declaración de permiso en una lista de acceso de la interfaz. Sin una declaración de permiso, se deniega todo el tráfico. Nota: Las listas de acceso se implementan con los comandos access-list y access-group. Estos comandos sustituyen a los comandos conduit y outbound, que se utilizaban en versiones anteriores del software PIX firewall. Para obtener más información acerca de las ACL, consulte Configuración de listas de acceso IP. Configuración En esta sección encontrará la información para configurar las funciones descritas en este documento. Nota: Utilice la herramienta Command Lookup Tool (sólo para clientes registrados) para obtener más información acerca de los comandos utilizados en esta sección. Diagrama de la red Este documento utiliza esta configuración de red: Configuración inicial En este documento se utilizan las configuraciones siguientes: Con esta configuración de firewall básica, actualmente no existen declaraciones NAT/STATIC. No existen ACL aplicadas, por lo que la ACE implícita deny any any está actualmente en uso. Nombre del dispositivo 1 ASA-AIP-CLI(config)#show running-config ASA Version 7.2(2) ! hostname ASA-AIP-CLI domain-name corp.com enable password WwXYvtKrnjXqGbu1 encrypted names ! interface Ethernet0/0 nameif Outside security-level 0 ip address 172.22.1.163 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 172.20.1.1 255.255.255.0 ! interface Ethernet0/2 nameif DMZ security-level 50 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet0/3 nameif DMZ-2-testing security-level 50 ip address 192.168.10.1 255.255.255.0 ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name corp.com pager lines 24 mtu inside 1500 mtu Outside 1500 mtu DMZ 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 nat-control route Outside 0.0.0.0 0.0.0.0 172.22.1.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context Cryptochecksum:4b2f54134e685d11b274ee159e5ed009 : end ASA-AIP-CLI(config)# DMZ hacia dentro Para permitir la comunicación desde la DMZ hacia los hosts de red interna, utilice estos comandos. En este ejemplo, un servidor Web en la DMZ necesita acceder a un servidor AD y DNS interno. 1. Cree una entrada de NAT estática para el servidor AD/DNS en la DMZ. La NAT estática crea una traducción fija de una dirección real a una dirección asignada. Dicha dirección asignada es una dirección que los hosts de DMZ pueden utilizar para acceder al servidor interno sin necesidad de conocer la dirección real del servidor. Este comando asigna la dirección de DMZ 192.168.2.20 a la dirección real interna 172.20.1.5. ASA-AIP-CLI(config)# static (inside,DMZ) 192.168.2.20 172.20.1.5 netmask 255.255.255.255 2. Las ACL son necesarias para permitir que una interfaz con un nivel de seguridad inferior tenga acceso a un nivel de seguridad superior. En este ejemplo se permite que el servidor Web ubicado en la DMZ (seguridad 50) tenga acceso al servidor AD/DNS interno (seguridad 100) mediante los siguientes puertos de servicio específicos: DNS, Kerberos y LDAP. ASA-AIP-CLI(config)# access-list DMZtoInside extended permit udp host 192.168.1.10 host 192.168.2.20 eq domain ASA-AIP-CLI(config)# access-list DMZtoInside extended permit tcp host 192.168.1.10 host 192.168.2.20 eq 88 ASA-AIP-CLI(config)# access-list DMZtoInside extended permit udp host 192.168.1.10 host 192.168.2.20 eq 389 Nota: Las ACL permiten tener acceso a la dirección asignada del servidor AD/DNS que se creó en este ejemplo y no a la dirección real interna. 3. En este paso, se aplica la ACL a la interfaz DMZ en la dirección entrante mediante el siguiente comando: ASA-AIP-CLI(config)# access-group DMZtoInside in interface DMZ Consejo: Siempre que cambie la configuración de NAT, se recomienda borrar las traducciones de NAT actuales. Puede borrar la tabla de traducciones mediante el comando clear xlate. Tenga cuidado al hacerlo, puesto que al borrar la tabla de traducciones se desconectan todas las conexiones actuales que utilizan dichas traducciones. La alternativa al borrado de la tabla de traducciones consiste en esperar a que las traducciones actuales se interrumpan, aunque no es aconsejable, porque puede producirse un comportamiento inesperado puesto que las nuevas conexiones se crean con reglas nuevas. Entre otras configuraciones comunes se incluyen las siguientes: Servidores de correo en la DMZ Acceso SSH interno y externo Sesiones permitidas de Remote Desktop a través de dispositivos PIX/ASA Otras soluciones DNS cuando se utiliza en la DMZ Internet hacia DMZ Para permitir la comunicación desde usuarios en Internet o en una interfaz externa (seguridad 0) hasta un servidor Web ubicado en la DMZ (seguridad 50), utilice los siguientes comandos: 1. Cree una traducción estática para el servidor Web en la DMZ hacia afuera. La NAT estática crea una traducción fija de una dirección real a una dirección asignada. Dicha dirección asignada es una dirección que los hosts en Internet pueden utilizar para acceder al servidor Web de la DMZ sin necesidad de conocer la dirección real del servidor. Este comando asigna la dirección externa 172.22.1.25 a la dirección DMZ real 192.168.1.10. ASA-AIP-CLI(config)# static (DMZ,Outside) 172.22.1.25 192.168.1.10 netmask 255.255.255.255 2. Cree una ACL que permita a los usuarios externos acceder al servidor Web a través de una dirección asignada. Tenga en cuenta que el servidor Web también aloja el FTP. ASA-AIP-CLI(config)# access-list OutsidetoDMZ extended permit tcp any host 172.22.1.25 eq www ASA-AIP-CLI(config)# access-list OutsidetoDMZ extended permit tcp any host 172.22.1.25 eq ftp 3. El último paso de esta configuración consiste en aplicar la ACL a la interfaz externa para el tráfico entrante. ASA-AIP-CLI(config)# access-group OutsidetoDMZ in interface Outside Nota: Recuerde que sólo puede aplicar una lista de acceso por interfaz y dirección. Si ya ha aplicado una ACL entrante en la interfaz externa, no puede aplicarle este ejemplo de ACL. Como alternativa, agregue las ACE de este ejemplo a la ACL actual que se aplica a la interfaz. Consejo: Siempre que cambie la configuración de NAT, se recomienda borrar las traducciones de NAT actuales. Puede borrar la tabla de traducciones mediante el comando clear xlate. Tenga cuidado al hacerlo, puesto que al borrar la tabla de traducciones se desconectan todas las conexiones actuales que utilizan dichas traducciones. La alternativa al borrado de la tabla de traducciones consiste en esperar a que las traducciones actuales se interrumpan, aunque no es aconsejable, porque puede producirse un comportamiento inesperado puesto que las nuevas conexiones se crean con reglas nuevas. Interno/DMZ hacia Internet En este escenario, los hosts ubicados en la interfaz interna (seguridad 100) del dispositivo de seguridad tienen acceso a Internet en la interfaz externa (seguridad 0). Esto se consigue gracias al proceso de PAT, o sobrecarga de NAT, una forma de NAT dinámica. A diferencia de los otros escenarios, en este caso no se necesita una ACL, puesto que los hosts de una interfaz de alta seguridad acceden a hosts de una interfaz de baja seguridad. 1. Especifique los orígenes del tráfico que se deben traducir. Aquí se define la regla NAT número 1 y se permite todo el tráfico de hosts internos y de DMZ. ASA-AIP-CLI(config)# nat (inside) 1 172.20.1.0 255.255.255.0 ASA-AIP-CLI(config)# nat (inside) 1 192.168.1.0 255.255.255.0 2. Especifique qué dirección, agrupación de direcciones o interfaz debe utilizar el tráfico de NAT cuando acceda a la interfaz externa. En este caso, la PAT se realiza con la dirección de interfaz externa. Esto es especialmente útil cuando no se conoce de antemano la dirección de interfaz externa, como en una configuración DHCP. Aquí, el comando global se ejecuta con la misma ID de NAT 1, que lo relaciona con las reglas de NAT de la misma ID. ASA-AIP-CLI(config)# global (Outside) 1 interface Consejo: Siempre que cambie la configuración de NAT, se recomienda borrar las traducciones de NAT actuales. Puede borrar la tabla de traducciones con el comando clear xlate. Tenga cuidado al hacerlo, puesto que al borrar la tabla de traducciones se desconectan todas las conexiones actuales que utilizan dichas traducciones. La alternativa al borrado de la tabla de traducciones consiste en esperar a que las traducciones actuales se interrumpan, aunque no es aconsejable, porque puede producirse un comportamiento inesperado puesto que las nuevas conexiones se crean con reglas nuevas. Comunicación en el mismo nivel de seguridad La configuración inicial muestra que las interfaces "DMZ" y "DMZ-2-testing" se han configurado con un nivel de seguridad (50); de forma predeterminada, estas dos interfaces no se pueden comunicar. Sin embargo, se puede permitir la comunicación entre estas interfaces con el comando siguiente: ASA-AIP-CLI(config)# same-security-traffic permit inter-interface Resolución de problemas Esta sección proporciona información que puede utilizar para resolver problemas de configuración. Resolución de problemas de conexión a través de PIX y ASA Configuraciones de NAT Verificación de NAT y resolución de problemas (en inglés) © 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 17 Abril 2008 http://www.cisco.com/cisco/web/support/LA/9/98/98014_generic_ports.html
