PIX/ASA 7.x: activación de la comunicación entre interfaces

Anuncio
PIX/ASA 7.x: activación de la comunicación entre interfaces
Contenido
Introducción
Requisitos previos
Requerimientos
Componentes utilizados
Productos relacionados
Convenciones
Antecedentes
NAT
Niveles de seguridad
ACL
Configuración
Diagrama de la red
Configuración inicial
DMZ hacia dentro
Internet hacia DMZ
Interno/DMZ hacia Internet
Comunicación en el mismo nivel de seguridad
Resolución de problemas
Introducción
Este documento proporciona un ejemplo de configuración para varias formas de comunicación entre interfaces en el dispositivo de seguridad
ASA/PIX.
Requisitos previos
Requerimientos
Asegúrese de que cumple estos requerimientos antes de intentar esta configuración:
Asignación de las direcciones IP y la puerta de enlace predeterminada
Conectividad física de red entre dispositivos
Número de puerto de comunicación identificado para el servicio implementado
Componentes utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware:
Dispositivo adaptable de seguridad que ejecute la versión de software 7.x
Servidores Windows 2003 Server
Estaciones de trabajo Windows XP
La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos
que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber
comprendido el impacto que puede tener cualquier comando.
Productos relacionados
Esta configuración también se puede utilizar con las siguientes versiones de hardware y software:
Firewalls de la serie PIX 500 que ejecuten 7.x
Convenciones
Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.
Antecedentes
Este documento señala los pasos requeridos para permitir que la comunicación fluya entre diferentes interfaces. Se analizan formas de
comunicación como las siguientes:
1. Comunicación desde hosts ubicados en el exterior que requieren acceso a recursos ubicados en la DMZ
2. Comunicación desde hosts en la red interna que requieren acceso a recursos ubicados en la DMZ
3. Comunicación desde hosts en el interior y la red DMZ que requieren acceso a recursos externos
NAT
En el ejemplo, se emplea la traducción de direcciones de red (NAT) y la traducción de direcciones de puerto (PAT) en la configuración. La
traducción de direcciones sustituye la dirección real (local) en un paquete con una dirección asignada (global) que es enrutable en la red de
destino. NAT consta de dos pasos: el proceso en el que una dirección real se traduce en una dirección asignada y, a continuación, el proceso en el
que se deshace la traducción para el tráfico de retorno. En esta guía de configuración se utilizan dos formas de traducción de direcciones: estática
y dinámica.
Las traducciones dinámicas permiten que cada host utilice una dirección o puerto diferentes para cada traducción posterior. Las traducciones
dinámicas se pueden utilizar cuando los hosts locales comparten una o más direcciones globales comunes, o bien se "ocultan" detrás de ellas. En
este modo, una dirección local no puede reservar de manera permanente una dirección global para la traducción. En su lugar, la traducción de
direcciones se produce de muchos a uno o de muchos a muchos, y las entradas de traducción sólo se crean a media que se necesitan. En cuanto
una entrada de traducción deja de utilizarse, se elimina y pasa a estar disponible para otros hosts locales. Este tipo de traducción es más útil para
las conexiones salientes, en las que los host internos sólo se asignan a una dirección dinámica o un número de puerto cuando se realizan las
conexiones. Existen dos formas de traducción de direcciones dinámica:
NAT dinámica: las direcciones locales se traducen a una dirección global disponible en una agrupación. Se proporciona una traducción una
a una, por lo que es posible agotar el agrupamiento de direcciones globales en caso de que un gran número de hosts locales requieran una
traducción en un momento dado.
Sobrecarga de NAT (PAT): las direcciones locales se traducen a una sola dirección global; cada conexión se realiza de forma exclusiva
cuando el siguiente número de puerto de orden superior disponible de la dirección global se asigna como origen de la conexión. La
traducción se produce de muchos a uno, puesto que muchos hosts locales comparten una dirección global común.
La traducción estática crea una traducción fija de las direcciones reales a las direcciones asignadas. La configuración de NAT estática asigna la
misma dirección a cada conexión mediante un hosts y se trata de una regla de traducción persistente. Las traducciones de direcciones estáticas se
utilizan cuando un host interno o local necesita obtener la misma dirección global para cada conexión. La traducción de direcciones se produce de
una a una. Las traducciones estáticas se pueden definir para un único host o para todas las direcciones que una subred IP contenga.
La principal diferencia entre el NAT dinámico y un rango de direcciones para NAT estática es que la NAT estática permite a un host remoto
iniciar una conexión con un host traducido (siempre que exista una lista de acceso que lo permita), mientras que el NAT dinámico no lo permite.
También necesita un número equivalente de direcciones asignadas con NAT estática.
El dispositivo de seguridad traduce una dirección cuando se establece una coincidencia entre una regla NAT y el tráfico. Si no hay ninguna regla
NAT que coincida, el procesamiento para el paquete continúa. La excepción se da al activar el control NAT. El control NAT requiere que los
paquetes que pasan de una interfaz de más seguridad (interna) a un nivel de seguridad inferior (externo) coincidan con una regla NAT o proceso
similar para que el paquete se detenga. Para ver la información de configuración común, consulte el documento NAT y PAT de PIX/ASA 7.x (en
inglés). Para una mayor comprensión del funcionamiento de la NAT, consulte How NAT works Guide (Guía sobre el funcionamiento de NAT)
Consejo: Siempre que cambie la configuración de NAT, se recomienda borrar las traducciones de NAT actuales. Puede borrar la tabla de
traducciones con el comando clear xlate. Sin embargo, tenga cuidado al hacerlo, puesto que al borrar la tabla de traducciones se desconectan
todas las conexiones actuales que utilizan dichas traducciones. La alternativa al borrado de la tabla de traducciones consiste en esperar a que las
traducciones actuales se interrumpan, aunque no es aconsejable, porque puede producirse un comportamiento inesperado puesto que las nuevas
conexiones se crean con reglas nuevas.
Niveles de seguridad
El valor de nivel de seguridad controla cómo interactúan los hosts/dispositivos de las diferentes interfaces. De manera predeterminada, los
hosts/dispositivos conectados a interfaces con niveles de seguridad superiores pueden acceder a los hosts/dispositivos conectados a interfaces con
niveles de seguridad inferiores. Por el contrario, los hosts/dispositivos conectados a interfaces con niveles de seguridad inferiores no pueden
acceder a los hosts/dispositivos conectados a interfaces con niveles de seguridad superiores sin el permiso de las listas de acceso.
El comando security-level es nuevo en la versión 7.0 y reemplaza la parte del comando nameif que asignaba el nivel de seguridad de la interfaz.
Las dos interfaces, la "interna" y la "externa", tienen niveles de seguridad predeterminados, pero que se pueden anular mediante el comando
security-level. Si denomina una interfaz como "interna", se le asigna un nivel de seguridad predeterminado de 100, mientras que una interfaz
indicada como "externa" tiene asignado un nivel de seguridad de 0. Todas las demás interfaces que se acaban de agregar reciben un nivel de
seguridad predeterminado de 0. Para asignar un nuevo nivel de seguridad a una interfaz, utilice el comando security-level en el modo de
comando de la interfaz. Los niveles de seguridad varían entre 1 y 100.
Nota: Los niveles de seguridad sólo se utilizan para determinar cómo el firewall inspecciona y administra el tráfico. Por ejemplo, el tráfico que
pasa desde una interfaz de más seguridad a otra de menos se reenvía con políticas predeterminadas menos rigurosas que el que se dirige de una
interfaz de menos seguridad a otra de más. Para obtener más información acerca de los niveles de seguridad, consulte ASA/PIX 7.x command
reference guide (Guía de referencia de comandos de ASA/PIX 7.x).
ASA/PIX 7.x también ofrece la posibilidad de configurar varias interfaces con el mismo nivel de seguridad. Por ejemplo, se puede asignar un
nivel de seguridad de 50 a varias interfaces conectadas a socios u otras DMZ. De manera predeterminada, estás interfaces con una misma
seguridad no se pueden comunicar entre sí. Para trabajar en este sentido se introdujo el comando same-security-traffic permit inter-interface.
Este comando permite la comunicación entre interfaces del mismo nivel de seguridad. Para obtener más información sobre una misma seguridad
entre interfaces, consulte Configuring Interface Parameters (Configuración de parámetros de interfaz) en la guía de referencia de comandos y
analice este ejemplo.
ACL
Las listas de control de acceso suelen están formadas por varias entradas de control de acceso (ACE) organizadas internamente mediante el
dispositivo de seguridad en una lista enlazada. Las ACE describen un conjunto de tráfico, como el procedente de u host o red, e indican una
acción que se aplicará a dicho tráfico, por lo general permitir o denegar. Cuando un paquete se somete a un control de lista de acceso, el
dispositivo de seguridad de Cisco busca esta lista de ACE enlazada para encontrar una que coincida con el paquete. La primera ACE que
coincide con el dispositivo de seguridad es la que se aplica al paquete. Una vez que se ha encontrado la coincidencia, se aplica al paquete la
acción de dicha ACE (permitir o denegar).
Sólo se permite una lista de acceso por interfaz y dirección. Esto significa que sólo se puede tener una lista de acceso que se aplique al tráfico
entrante de una interfaz y otra que se aplique al tráfico saliente de una interfaz. Las listas de acceso que no se aplican a interfaces, por ejemplo las
ACL de NAT, son ilimitadas.
Nota: De forma predeterminada, todas las listas de acceso tienen una ACE implícita al final que deniega todo el tráfico, de manera que todo el
tráfico que no coincide con ninguna ACE introducida por el usuario en la lista de acceso, sí coincide con la denegación implícita final y se
interrumpe. Para que el tráfico fluya, debe tener al menos una declaración de permiso en una lista de acceso de la interfaz. Sin una declaración de
permiso, se deniega todo el tráfico.
Nota: Las listas de acceso se implementan con los comandos access-list y access-group. Estos comandos sustituyen a los comandos conduit y
outbound, que se utilizaban en versiones anteriores del software PIX firewall. Para obtener más información acerca de las ACL, consulte
Configuración de listas de acceso IP.
Configuración
En esta sección encontrará la información para configurar las funciones descritas en este documento.
Nota: Utilice la herramienta Command Lookup Tool (sólo para clientes registrados) para obtener más información acerca de los comandos utilizados
en esta sección.
Diagrama de la red
Este documento utiliza esta configuración de red:
Configuración inicial
En este documento se utilizan las configuraciones siguientes:
Con esta configuración de firewall básica, actualmente no existen declaraciones NAT/STATIC.
No existen ACL aplicadas, por lo que la ACE implícita deny any any está actualmente en uso.
Nombre del dispositivo 1
ASA-AIP-CLI(config)#show running-config
ASA Version 7.2(2)
!
hostname ASA-AIP-CLI
domain-name corp.com
enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
nameif Outside
security-level 0
ip address 172.22.1.163 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 172.20.1.1 255.255.255.0
!
interface Ethernet0/2
nameif DMZ
security-level 50
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/3
nameif DMZ-2-testing
security-level 50
ip address 192.168.10.1 255.255.255.0
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name corp.com
pager lines 24
mtu inside 1500
mtu Outside 1500
mtu DMZ 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat-control
route Outside 0.0.0.0 0.0.0.0 172.22.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:4b2f54134e685d11b274ee159e5ed009
: end
ASA-AIP-CLI(config)#
DMZ hacia dentro
Para permitir la comunicación desde la DMZ hacia los hosts de red interna, utilice estos comandos. En este ejemplo, un servidor Web en la DMZ
necesita acceder a un servidor AD y DNS interno.
1. Cree una entrada de NAT estática para el servidor AD/DNS en la DMZ. La NAT estática crea una traducción fija de una dirección real a
una dirección asignada. Dicha dirección asignada es una dirección que los hosts de DMZ pueden utilizar para acceder al servidor interno
sin necesidad de conocer la dirección real del servidor. Este comando asigna la dirección de DMZ 192.168.2.20 a la dirección real interna
172.20.1.5.
ASA-AIP-CLI(config)# static (inside,DMZ) 192.168.2.20 172.20.1.5 netmask 255.255.255.255
2. Las ACL son necesarias para permitir que una interfaz con un nivel de seguridad inferior tenga acceso a un nivel de seguridad superior. En
este ejemplo se permite que el servidor Web ubicado en la DMZ (seguridad 50) tenga acceso al servidor AD/DNS interno (seguridad 100)
mediante los siguientes puertos de servicio específicos: DNS, Kerberos y LDAP.
ASA-AIP-CLI(config)# access-list DMZtoInside extended permit udp host 192.168.1.10 host
192.168.2.20 eq domain
ASA-AIP-CLI(config)# access-list DMZtoInside extended permit tcp host 192.168.1.10 host
192.168.2.20 eq 88
ASA-AIP-CLI(config)# access-list DMZtoInside extended permit udp host 192.168.1.10 host
192.168.2.20 eq 389
Nota: Las ACL permiten tener acceso a la dirección asignada del servidor AD/DNS que se creó en este ejemplo y no a la dirección real
interna.
3. En este paso, se aplica la ACL a la interfaz DMZ en la dirección entrante mediante el siguiente comando:
ASA-AIP-CLI(config)# access-group DMZtoInside in interface DMZ
Consejo: Siempre que cambie la configuración de NAT, se recomienda borrar las traducciones de NAT actuales. Puede borrar la tabla de
traducciones mediante el comando clear xlate. Tenga cuidado al hacerlo, puesto que al borrar la tabla de traducciones se desconectan
todas las conexiones actuales que utilizan dichas traducciones. La alternativa al borrado de la tabla de traducciones consiste en esperar a
que las traducciones actuales se interrumpan, aunque no es aconsejable, porque puede producirse un comportamiento inesperado puesto
que las nuevas conexiones se crean con reglas nuevas.
Entre otras configuraciones comunes se incluyen las siguientes:
Servidores de correo en la DMZ
Acceso SSH interno y externo
Sesiones permitidas de Remote Desktop a través de dispositivos PIX/ASA
Otras soluciones DNS cuando se utiliza en la DMZ
Internet hacia DMZ
Para permitir la comunicación desde usuarios en Internet o en una interfaz externa (seguridad 0) hasta un servidor Web ubicado en la DMZ
(seguridad 50), utilice los siguientes comandos:
1. Cree una traducción estática para el servidor Web en la DMZ hacia afuera. La NAT estática crea una traducción fija de una dirección real a
una dirección asignada. Dicha dirección asignada es una dirección que los hosts en Internet pueden utilizar para acceder al servidor Web de
la DMZ sin necesidad de conocer la dirección real del servidor. Este comando asigna la dirección externa 172.22.1.25 a la dirección DMZ
real 192.168.1.10.
ASA-AIP-CLI(config)# static (DMZ,Outside) 172.22.1.25 192.168.1.10 netmask 255.255.255.255
2. Cree una ACL que permita a los usuarios externos acceder al servidor Web a través de una dirección asignada. Tenga en cuenta que el
servidor Web también aloja el FTP.
ASA-AIP-CLI(config)# access-list OutsidetoDMZ extended permit tcp any host 172.22.1.25 eq www
ASA-AIP-CLI(config)# access-list OutsidetoDMZ extended permit tcp any host 172.22.1.25 eq ftp
3. El último paso de esta configuración consiste en aplicar la ACL a la interfaz externa para el tráfico entrante.
ASA-AIP-CLI(config)# access-group OutsidetoDMZ in interface Outside
Nota: Recuerde que sólo puede aplicar una lista de acceso por interfaz y dirección. Si ya ha aplicado una ACL entrante en la interfaz
externa, no puede aplicarle este ejemplo de ACL. Como alternativa, agregue las ACE de este ejemplo a la ACL actual que se aplica a la
interfaz.
Consejo: Siempre que cambie la configuración de NAT, se recomienda borrar las traducciones de NAT actuales. Puede borrar la tabla de
traducciones mediante el comando clear xlate. Tenga cuidado al hacerlo, puesto que al borrar la tabla de traducciones se desconectan
todas las conexiones actuales que utilizan dichas traducciones. La alternativa al borrado de la tabla de traducciones consiste en esperar a
que las traducciones actuales se interrumpan, aunque no es aconsejable, porque puede producirse un comportamiento inesperado puesto
que las nuevas conexiones se crean con reglas nuevas.
Interno/DMZ hacia Internet
En este escenario, los hosts ubicados en la interfaz interna (seguridad 100) del dispositivo de seguridad tienen acceso a Internet en la interfaz
externa (seguridad 0). Esto se consigue gracias al proceso de PAT, o sobrecarga de NAT, una forma de NAT dinámica. A diferencia de los otros
escenarios, en este caso no se necesita una ACL, puesto que los hosts de una interfaz de alta seguridad acceden a hosts de una interfaz de baja
seguridad.
1. Especifique los orígenes del tráfico que se deben traducir. Aquí se define la regla NAT número 1 y se permite todo el tráfico de hosts
internos y de DMZ.
ASA-AIP-CLI(config)# nat (inside) 1 172.20.1.0 255.255.255.0
ASA-AIP-CLI(config)# nat (inside) 1 192.168.1.0 255.255.255.0
2. Especifique qué dirección, agrupación de direcciones o interfaz debe utilizar el tráfico de NAT cuando acceda a la interfaz externa. En este
caso, la PAT se realiza con la dirección de interfaz externa. Esto es especialmente útil cuando no se conoce de antemano la dirección de
interfaz externa, como en una configuración DHCP. Aquí, el comando global se ejecuta con la misma ID de NAT 1, que lo relaciona con
las reglas de NAT de la misma ID.
ASA-AIP-CLI(config)# global (Outside) 1 interface
Consejo: Siempre que cambie la configuración de NAT, se recomienda borrar las traducciones de NAT actuales. Puede borrar la tabla de
traducciones con el comando clear xlate. Tenga cuidado al hacerlo, puesto que al borrar la tabla de traducciones se desconectan todas las
conexiones actuales que utilizan dichas traducciones. La alternativa al borrado de la tabla de traducciones consiste en esperar a que las
traducciones actuales se interrumpan, aunque no es aconsejable, porque puede producirse un comportamiento inesperado puesto que las nuevas
conexiones se crean con reglas nuevas.
Comunicación en el mismo nivel de seguridad
La configuración inicial muestra que las interfaces "DMZ" y "DMZ-2-testing" se han configurado con un nivel de seguridad (50); de forma
predeterminada, estas dos interfaces no se pueden comunicar. Sin embargo, se puede permitir la comunicación entre estas interfaces con el
comando siguiente:
ASA-AIP-CLI(config)# same-security-traffic permit inter-interface
Resolución de problemas
Esta sección proporciona información que puede utilizar para resolver problemas de configuración.
Resolución de problemas de conexión a través de PIX y ASA
Configuraciones de NAT Verificación de NAT y resolución de problemas (en inglés)
© 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 17 Abril 2008
http://www.cisco.com/cisco/web/support/LA/9/98/98014_generic_ports.html
Descargar