Configuración de Port to Application Mapping

Transcripción

1 Configuración de Port to Application Mapping Descargue este capítulo Configuración de Port to Application Mapping Feedback Contenidos Configuración de Port to Application Mapping Contenido Información sobre el puerto a la asignación de la aplicación Cómo el PAM trabaja Mapping de Puertos Definido por el Sistema Mapping de Puertos Definido por el Usuario Mapping de Puerto Específico de Host PAM y CBAC Cuándo Usar PAM Cómo configurar el puerto a la asignación de la aplicación Configurar los ACL estándar Configurar el PAM Verificar el PAM Monitoreo y Mantenimiento de PAM Ejemplos de configuración para el puerto a la asignación de la aplicación Ejemplo: Asociar una aplicación a un puerto no estándar Ejemplo: Asociar una aplicación con un rango de puertos Ejemplo: Entrada de la asignación del puerto no válido Ejemplo: Asociar una aplicación a un puerto para un host específico Ejemplo: Asociar una aplicación a un puerto para una subred Ejemplo: Reemplazar una correlación de puertos Sistema-definida Ejemplo: Asociar diversas aplicaciones al mismo puerto Configuración de Port to Application Mapping Este capítulo describe el puerto del Firewall Cisco IOS a la característica de la asignación de la aplicación (PAM). El PAM habilita las aplicaciones soportado por CBAC que se ejecutarán en los puertos no estándar. Usando el PAM, los administradores de la red pueden personalizar el control de acceso para que las aplicaciones y los servicios específicos cubran las necesidades distintas de sus redes. Para una descripción completa de los comandos PAM en este capítulo, refiera al capítulo puerto a los comandos de la asignación de la aplicación de la referencia de comandos de la Seguridad de Cisco IOS. Para encontrar documentación de otros comandos que aparecen en este capítulo, utilice el índice principal de referencia de comandos, o busque en línea. Para identificar la información de la plataforma de hardware o de la imagen de software asociada con una función, utilice el Feature Navigator en Cisco.com para buscar información sobre la función o consulte las notas de versión del software para una versión específica. Para obtener más información, vea la sección "Identificación de Plataformas Soportadas" del capítulo "Uso de Cisco IOS Software". Contenido Información sobre el puerto a la asignación de la aplicación Cómo configurar el puerto a la asignación de la aplicación Ejemplos de configuración para el puerto a la asignación de la aplicación Información sobre el puerto a la asignación de la aplicación El puerto a la asignación de la aplicación (PAM) es una característica del conjunto de funciones del Cisco IOS Firewall. El PAM permite que usted personalice los números del puerto TCP o UDP para los servicios de red o las aplicaciones. El PAM utiliza esta información para soportar los entornos de red que dirigen los servicios usando los puertos que son diferentes del haber registrado o de los puertos conocidos asociados a una aplicación. Usando la información de puerto, el PAM establece una tabla de información de mapeo predeterminada de la puerto-aaplicación en el Firewall. La información en la tabla PAM permite a los servicios admitidos del Control de acceso basado en el contexto (CBAC) para ejecutarse en los puertos no estándar. Previamente, el CBAC fue limitado a examinar el tráfico usando solamente los puertos bien conocidos o registradoes asociados a una aplicación. Ahora, el PAM permite que los administradores de la red personalicen el Control de acceso a la red para las aplicaciones y los servicios específicos. Los soportes PAM también reciben o la correlación de puertos específica de la subred, que permite que usted aplique el PAM a un solo host o la subred usando el Listas de control de acceso (ACL) estándar. La correlación de puertos específica del host o

2 de la subred se hace usando los ACL estándar. Esta sección contiene las secciones siguientes: Cómo el PAM trabaja Mapping de Puertos Definido por el Sistema PAM y CBAC Cuándo Usar PAM Cómo el PAM trabaja El PAM genera una tabla de información que identifique las aplicaciones específicas con la información de puerto específica TCP o UDP. Cuando el router de escudo de protección primero empieza para arriba, la tabla PAM se puebla con la información de mapeo sistema-definida. Pues usted personaliza la información de mapeo, la tabla PAM se modifica con la nueva información. La información en la tabla PAM sirve como la asignación del puerto predeterminado para el tráfico que pasa con el Firewall. El PAM trabaja con el CBAC para identificar las aplicaciones asociadas a los diversos números del puerto, incluyendo los servicios que se ejecutan en los puertos no estándar, pues examina el tráfico que pasa con el Firewall. Previamente, el CBAC fue limitado a examinar el tráfico usando solamente los puertos bien conocidos o registradoes asociados a una aplicación. Las entradas en la tabla PAM proporcionan tres tipos de información de mapeo: Mapping de Puertos Definido por el Sistema Mapping de Puertos Definido por el Usuario Mapping de Puerto Específico de Host Mapping de Puertos Definido por el Sistema El PAM crea una tabla, o la base de datos, de las entradas que asocian sistema-definidas usando la información bien conocida o registradoa de la correlación de puertos configurada durante el lanzamiento de sistema. Las entradas sistema-definidas comprenden todos los servicios soportados por el CBAC, que requiere la información de mapeo sistema-definida funcionar correctamente. La información de mapeo sistema-definida no puede ser borrada o ser cambiada; es decir, usted no puede asociar los servicios HTTP al (FTP) del puerto 21 o los servicios FTP al puerto 80 (HTTP). Notausted puede reemplazar las entradas sistema-definidas para los hosts específicos usando la opción host-específica PAM. Refiera a la sección correlación de puertos Host-específica en este capítulo. El cuadro 42 enumera los servicios y las aplicaciones sistema-definidos valor por defecto en la tabla PAM. Nombre de la aplicación Bien conocido o Número del puerto registrado Descripción del protocolo cuseeme 7648 Protocolo CU-SeeMe exec 512 Ejecución de proceso remota FTP 21 Protocolo FTP (puerto de control) http 80 Protocolo de transporte de hipertexto h Protocolo de H.323 (por ejemplo, NetMeeting MS, teléfono con video de Intel) login 513 Remote login mgcp 2427 Media Gateway Control Protocol msrpc 135 Llamada a procedimiento remoto de Microsoft netshow 1755 Microsoft NetShow real-audio-vídeo 7070 RealAudio y RealVideo rtsp 8559 Protocolo de flujo en tiempo real shell 514 Comando remoto sorbo 5060 Session Initiation Protocol smtp 25 Protocolo Simple Mail Transfer sqlnet 1521 SQL-NET streamworks 1558 Protocolo StreamWorks sunrpc 111 Llamada a procedimiento remoto del SOL

3 telnet 23 Telnet tftp 69 Trivial File Transfer Protocol vdolive 7000 Protocolo VDOLive Esta sección contiene las siguientes secciones: Mapping de Puertos Definido por el Usuario Mapping de Puerto Específico de Host Mapping de Puertos Definido por el Usuario Los servicios de red o las aplicaciones que utilizan los puertos no estándar requieren las entradas definidas por el usario en la tabla PAM. Por ejemplo, su red pudo dirigir los servicios HTTP en el puerto no estándar 8000 en vez en del puerto predeterminado sistema-definido (puerto 80). En este caso, usted puede utilizar el PAM para asociar el puerto 8000 con los servicios HTTP. Si los servicios HTTP se ejecutan en otros puertos, utilice el PAM para crear las entradas adicionales de la correlación de puertos. Después de que usted defina una correlación de puertos, usted puede sobregrabar esa entrada en otro momento simplemente asociando que específico vire hacia el lado de babor con una diversa aplicación. Observesi usted intentan asociar una aplicación a un puerto sistema-definido, aparece un mensaje que le advierte de un conflicto de la asignación. La información definida por el usario de la correlación de puertos puede también especificar un rango de puertos para una aplicación estableciendo una entrada separada en la tabla PAM para cada número del puerto en el rango. Las entradas definidas por el usario se guardan con la información del mapeo predeterminado cuando usted salva la configuración del router. Mapping de Puerto Específico de Host Las entradas definidas por el usario en la tabla de correspondencia pueden incluir la información de mapeo host-específica, que establece la información de la correlación de puertos para los hosts o las subredes específicos. En algunos entornos, puede ser que sea necesario reemplazar la información de mapeo del puerto predeterminado para un host o una subred específico. Con la correlación de puertos host-específica, usted puede utilizar el número del mismo puerto para diversos servicios en diversos hosts. Esto significa que usted puede asociar el puerto 8000 con los servicios HTTP para un host, mientras que asocia el puerto 8000 con los servicios de Telnet para otro host. la correlación de puertos Host-específica también permite que usted aplique el PAM a una subred específica cuando esa subred funciona con un servicio que utilice un número del puerto que sea diferente del número del puerto definido en la información del mapeo predeterminado. Por ejemplo, los hosts en la subred pudieron dirigir los servicios HTTP en el puerto no estándar 8000, mientras que el otro tráfico con el Firewall utiliza el puerto predeterminado para los servicios HTTP, que es el puerto 80. la correlación de puertos Host-específica permite que usted reemplace una entrada sistema-definida en la tabla PAM. Por ejemplo, si el CBAC encuentra una entrada en la tabla PAM que el puerto 25 de las correspondencias (el puerto sistemadefinido para el S TP) con el HTTP para un host específico, el CBAC identifica el puerto 25 como tráfico del protocolo HTTP en ese host. Observesi la información host-específica de la correlación de puertos es lo mismo que las entradas predeterminadas de sistema-definidas o definidas por el usario de una existencia, los cambios host-específicos del puerto no tienen ningún efecto. PAM y CBAC El CBAC utiliza la información en la tabla PAM para identificar un servicio o una aplicación del tráfico que atraviesa el Firewall. Con el PAM, el CBAC puede asociar los números del puerto no estándar a los protocolos específicos. Por ejemplo, si usted utiliza el PAM para asociar el puerto 8000 con los servicios HTTP, el CBAC puede determinar que el tráfico usando el puerto 8000 es una aplicación HTTP. Cuándo Usar PAM Aquí están algunos ejemplos de cuando usted puede ser que quiera utilizar el PAM: Utilice el PAM para aplicar los números del puerto no estándar para un servicio o una aplicación. Utilice el PAM cuando un host o una subred específico utiliza un número del puerto para una aplicación que sea diferente que el número del puerto predeterminado establecido en la tabla PAM. Utilice el PAM cuando diversos hosts utilizan el número del mismo puerto para diversas aplicaciones. Cómo configurar el puerto a la asignación de la aplicación Configurando los ACL estándar (opcionales)

4 Configurando el PAM (requerido) Verificando el PAM (opcional) Monitoreando y mantener el PAM (opcional) Configurar los ACL estándar Si usted requiere el PAM para un host o una subred específico, utilice access-list el comando (del estándar) en el modo de configuración global de definir un ACL: Comando Router(config)# access-list access-listnumber permit source [source-wildcard] Propósito (Opcional) crea un ACL estándar que defina el host o la subred específico para el PAM hostespecífico. Configurar el PAM Para configurar el PAM, utilice ip port-map el comando en el modo de configuración global: Comando Router(config)# ip portmap appl-name port portnum [list acl-num] Propósito Establece una entrada de la correlación de puertos usando el número del puerto TCP o UDP y el nombre de la aplicación. (Opcional) utilice la opción de la lista para asociar esta correlación de puertos a los hosts específicos en el ACL. (el PAM utiliza las listas de acceso estándar solamente.) Si una lista de acceso es incluida, los hosts definidos en ese ACL tienen la aplicación applname que se ejecuta en el puerto port-num. Verificar el PAM Para verificar la información de la correlación de puertos, ingrese show ip port-map el comando en el modo EXEC privilegiado y revise las entradas: Router# show ip port-map Este comando visualiza todas las entradas en la tabla PAM, incluyendo las entradas sistema-definidas. Para los ejemplos de configuración PAM usando los comandos en este capítulo, refiera los ejemplos de configuración para el puerto a la sección a la asignación de la aplicación en el final de este capítulo. Monitoreo y Mantenimiento de PAM Los siguientes comandos se pueden utilizar para monitorear y para mantener el PAM: Comando Router# show ip port-map [ appl-name port port-num] Router(config)# no ip portmap appl-name port port-num [list acl-num] Propósito Visualiza la información de la correlación de puertos, incluyendo las entradas sistema-definidas. Incluya el nombre de la aplicación para visualizar una lista de entradas por la aplicación. Incluya el número del puerto para visualizar las entradas por el puerto. Borra la información definida por el usario de la correlación de puertos. Este comando no tiene ningún efecto sobre la información sistema-definida de la correlación de puertos. Ejemplos de configuración para el puerto a la asignación de la aplicación Ejemplo: Asociar una aplicación a un puerto no estándar Ejemplo: Asociar una aplicación con un rango de puertos Ejemplo: Entrada de la asignación del puerto no válido Ejemplo: Asociar una aplicación a un puerto para un host específico Ejemplo: Asociar una aplicación a un puerto para una subred Ejemplo: Reemplazar una correlación de puertos Sistema-definida Ejemplo: Asociar diversas aplicaciones al mismo puerto Ejemplo: Asociar una aplicación a un puerto no estándar

5 En este ejemplo, se establece el puerto no estándar 8000 mientras que la asignación definida por el usario del puerto predeterminado para el HTTP mantiene: ip port-map http port 8000 Ejemplo: Asociar una aplicación con un rango de puertos Las entradas siguientes PAM establecen un rango de los puertos no estándar para los servicios HTTP: ip port-map http 8001 ip port-map http 8002 ip port-map http 8003 ip port-map http 8004 Ejemplo: Entrada de la asignación del puerto no válido Este ejemplo es inválido porque intenta establecer el puerto 21, que es el puerto predeterminado sistema-definido para el FTP, pues el puerto definido por el usario para el HTTP mantiene: ip port-map http port 21 Ejemplo: Asociar una aplicación a un puerto para un host específico En este ejemplo, un host específico utiliza el puerto 8000 para los servicios FTP. El ACL 10 identifica a la dirección del servidor ( ), mientras que el puerto 8000 se asocia con los servicios FTP. access-list 10 permit ip port-map ftp port 8000 list 10 Ejemplo: Asociar una aplicación a un puerto para una subred En este ejemplo, una subred específica dirige los servicios HTTP en el puerto El ACL 50 identifica la subred, mientras que el puerto 8080 se asocia con los servicios HTTP. access-list 50 permit ip port-map http 8080 list 50 Ejemplo: Reemplazar una correlación de puertos Sistema-definida En este ejemplo, un host específico dirige los servicios HTTP en el puerto 25, que es el número del puerto sistema-definido para los servicios SMTP. Esto requiere una entrada host-específica PAM que reemplace la asignación sistema-definida del puerto predeterminado para el HTTP, que es el puerto 80. El ACL 15 identifica a la dirección de host ( ), mientras que el puerto 25 se asocia con los servicios HTTP. access-list 15 permit ip port-map http port 25 list 15 Ejemplo: Asociar diversas aplicaciones al mismo puerto En este ejemplo, el número del mismo puerto es requerido por diversos servicios que se ejecutan en diversos hosts. El puerto 8000 se requiere para los servicios HTTP para el host , mientras que el puerto 8000 también se requiere para los servicios FTP para el host El ACL 10 y el ACL 20 identifican los hosts específicos, mientras que las entradas PAM asocian los puertos con los servicios para cada ACL. access-list 10 permit access-list 20 permit ip port-map http port 8000 list 10 ip port-map http ftp 8000 list 20 Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R) Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any examples, command display output, network topology diagrams, and other figures included in the document are shown for illustrative purposes only.

6 Any use of actual IP addresses or phone numbers in illustrative content is unintentional and coincidental Cisco Systems, Inc. All rights reserved Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 6 Agosto