Uso de los comandos nat, global, static, conduit y access-list y redirección (reenvío) de puertos en PIX

Transcripción

1 Uso de los comandos nat, global, static, conduit y access-list y redirección (reenvío) de puertos en PIX Contenidos Introducción Requisitos previos Requisitos Componentes utilizados Convenciones Diagrama de la red Configuración inicial Procedimiento para permitir el acceso de salida del PIX Procedimiento para permitir que algunos de los hosts internos tengan acceso a las redes exteriores Procedimiento para permitir que el resto de hosts internos tengan acceso a las redes exteriores Procedimiento para permitir que los hosts internos tengan acceso a zonas DMZ sin traducción Procedimiento para restringir el acceso de los hosts internos a redes exteriores Procedimiento para permitir que los hosts que no son de confianza tengan acceso a los hosts de la red de confianza Uso de conductos en PIX y versiones posteriores Uso de las ACL en las versiones y posteriores de PIX Inhabilitación de NAT Redirección (reenvío) de puertos con estática Diagrama de la red Redirección (reenvío) de puertos Configuración parcial de PIX: redirección (reenvío) de puertos NAT externa Diagrama de la red NAT externa Configuración parcial de PIX: NAT externo Resolución de problemas Información para recopilar si abre un caso del TAC Introducción Para maximizar la seguridad cuando se implementa un Cisco Secure PIX Firewall, es importante entender cómo viajan los paquetes entre las interfaces de mayor seguridad desde las de menor seguridad mediante los comandos nat, global, static y conduit, o los comandos access-list y access-group en las versiones 5.0 y posteriores del software PIX. En este documento se explican las diferencias entre estos comandos y cómo configurar la redirección (reenvío) de puertos en la versión 6.0 del software PIX; también se describe la función Traducción de direcciones de red (NAT) externa agregada a la versión 6.2 del software PIX. Consulte PIX/ASA 7.x NAT and PAT Statements (Sentencias NAT y PAT de PIX/ASA 7.x) si desea más información sobre las configuraciones básicas de NAT y la traducción de direcciones de puerto PAT en dispositivos de seguridad Cisco PIX serie 500. Consulte Uso de las sentencias NAT y PAT en Cisco Secure PIX Firewall para obtener más información sobre los ejemplos de configuraciones básicas de NAT y PAT en Cisco Secure PIX Firewall. Requisitos previos Requisitos No hay requisitos específicos para este documento. Componentes utilizados La información que contiene este documento se basa en estas versiones de software. Versiones o posteriores del software del Firewall PIX de Cisco Secure. La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos

2 que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando. Convenciones Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento. Diagrama de la red Configuración inicial Los nombres de las interfaces son: nameif ethernet0 outside security0 nameif ethernet1 inside security100 Procedimiento para permitir el acceso de salida del PIX El acceso de salida describe conexiones desde una interfaz de mayor nivel de seguridad a otra de menor nivel de seguridad. Esto incluye las conexiones desde el interior al exterior, interior hacia las zonas desmilitarizadas (DMZ) y DMZ hacia el exterior. También puede incluir conexiones de una DMZ a otra, siempre que la interfaz de origen de conexión tenga un mayor nivel de seguridad que la de destino. Esto puede confirmarse consultando la configuración de nameif en PIX. Se requieren dos políticas para permitir el acceso de salida. La primera es un método de traducción. Puede ser una traducción estática mediante el comando static o una traducción dinámica con una regla NAT/global. El otro requisito para el acceso de salida es si existe una lista de control de acceso (ACL) presente; entonces ésta debe permitir al host de origen acceder al host de destino utilizando un protocolo y puerto específico. De forma predeterminada, no hay restricciones de acceso a las conexiones salientes a través del PIX. Esto significa que si no hay una ACL configurada en la interfaz de origen, como opción predeterminada, se permitirá la conexión de salida si hay un método de traducción configurado. Las siguientes secciones proporcionan ejemplos para configurar un método de traducción y restringir el acceso de salida mediante el uso de una ACL. Procedimiento para permitir que algunos de los hosts internos tengan acceso a las redes exteriores Esta configuración permite que todos los hosts de la subred /24 tengan acceso al exterior. Los comandos nat y global se utilizan con este fin. Defina el grupo interno que se incluirá para NAT. nat (inside) Especifique el grupo de direcciones de la interfaz externa al que se traducen los hosts definidos en la sentencia NAT.

3 global (outside) netmask Ahora, los hosts internos pueden obtener acceso a redes externas. Cuando algunos hosts internos inician una conexión al exterior, son traducidos a una dirección del conjunto global. Observe que la asignación de las direcciones se realiza desde un grupo global y la conversión se realiza por orden de llegada, comenzando con la dirección inferior del grupo. Por ejemplo, si el host es el primero en iniciar una conexión hacia el exterior, recibe la dirección El siguiente host que sale recibe la dirección 175.4, etc. Esta traducción no es estática y vence después de transcurrido un período de inactividad definido por el comando timeout xlate hh:mm:ss. Procedimiento para permitir que el resto de hosts internos tengan acceso a las redes exteriores El problema es que hay más hosts internos que direcciones externas. Para permitir que todos los hosts accedan al exterior, utilice la traducción de direcciones de puerto (PAT). Si se especifica una dirección en la sentencia global, los puertos de esa dirección se traducen. El PIX permite una traducción de puerto por interfaz y esa traducción admite hasta 65,535 objetos de traducción activos para una única traducción global. Complete estos pasos: Defina el grupo interno para incluir en PAT. (Con 0 0 se seleccionan todos los hosts internos.) nat (inside) Especifique la dirección global que se usará para PAT. global (outside) Al utilizar PAT, hay que tener en cuenta diferentes factores. Las direcciones IP que se especifican para PAT no pueden formar parte de otro grupo de direcciones global. PAT no funciona con aplicaciones H.323, servidores de nombres con almacenamiento en memoria caché ni el protocolo de tunelización punto a punto (PPTP). PAT funciona con Sistema de nombres de dominio (DNS), FTP y FTP pasivo, HTTP, correo, llamada de procedimiento remoto (RPC), rshell, Telnet, filtrado de URL y el traceroute de salida. No utilice PAT cuando deban ejecutarse aplicaciones multimedia a través del firewall. Las aplicaciones de multimedia pueden entrar en conflicto con los mapeos del puerto provistos por PAT. En la versión del software PIX 4.2(2), la función PAT no funciona con paquetes de datos IP que llegan en orden inverso. Este problema se resuelve en la versión 4.2(3). Las direcciones IP en el grupo de direcciones globales especificadas con el comando global requieren entradas DNS en orden inverso (reverse DNS) para asegurar que todas las direcciones externas de red sean accesibles a través de PIX. Para crear correspondencias DNS inversas, utilice un registro de puntero DNS (PTR) en el archivo de correspondencia dirección-a-nombre para cada dirección global. Sin las entradas PTR, los sitios pueden sufrir una conectividad a Internet lenta o intermitente y los pedidos FTP pueden fallar constantemente. Por ejemplo, si una dirección IP global es y el nombre de dominio del PIX Firewall es pix.caguana.com, el registro PTR sería: in-addr.arpa. IN PTR pix3.caguana.com in-addr.arpa. IN PTR pix4.caguana.com & so on. Procedimiento para permitir que los hosts internos tengan acceso a zonas DMZ sin traducción Aunque las configuraciones anteriores de este documento utilizan los comandos nat y global para permitir que los hosts de la red interior tengan acceso a los hosts de una interfaz DMZ traduciendo las direcciones de origen de los hosts internos, a veces este tipo de traducción no es recomendable. Pero cuando un host en una interfaz de un PIX Firewall inicia una conexión con un host de otra interfaz, el PIX debe tener una manera de traducir la dirección IP del host a través de él mismo. Aunque no sea necesario traducir la dirección IP, debe producirse una traducción. Por lo tanto, para permitir que los hosts internos tengan acceso a los hosts de la DMZ, debe configurarse una traducción que en realidad no traduce. Suponga que los hosts de la red interior /24 deben tener acceso a los hosts de la red 1720/24 de la DMZ:

4 Cree una traducción estática entre toda la red interior y la DMZ que en realidad no traduzca direcciones internas. static (inside,dmz) netmask Cree una traducción estática para permitir que un host interno tenga acceso a la DMZ sin traducir en realidad la dirección del host. static (inside,dmz) Nota: el PIX agrega automáticamente una máscara de subred de Procedimiento para restringir el acceso de los hosts internos a redes exteriores Si hay un método de traducción válido definido para el host de origen y ninguna ACL definida para la interfaz PIX de origen, se permitirá la conexión saliente de forma predeterminada. Sin embargo, en algunos casos, puede ser necesario limitar el acceso de salida según el origen, el destino, el protocolo y/o el puerto. Esto puede realizarse configurando una ACL con el comando access-list y aplicándola a la interfaz PIX de origen de la conexión con el comando access-group. las ACL del PIX se aplican sólo hacia adentro. Las ACL están disponibles en el código o posterior de la versión de PIX. Las versiones anteriores utilizan las sentencias "outbound" y "apply", descritas en el material de consulta de los comandos de PIX. El siguiente es un ejemplo que permite acceso de salida HTTP a una subred, pero niega al resto de hosts acceso HTTP al exterior, mientras que permite el resto del tráfico IP a todos los hosts. Defina la ACL. access-list acl_outbound permit tcp any eq www access-list acl_outbound deny tcp any any eq www access-list acl_outbound permit ip any any Nota: las ACL de PIX se distinguen de las ACL de los routers de Cisco IOS porque el PIX no utiliza una máscara comodín como Cisco IOS. Usa una máscara de subred regular en la definición ACL. Al igual que en los routers Cisco IOS, la ACL de PIX posee un denegar todo implícito al final de la ACL. Aplique el ACL a la interfaz interna. access-group acl_outbound in interface inside Procedimiento para permitir que los hosts que no son de confianza tengan acceso a los hosts de la red de confianza La mayoría de organizaciones deben permitir que los hosts que no son de confianza tengan acceso a los recursos de su red de confianza, siendo un ejemplo típico un servidor web interno. De forma predeterminada, PIX impide las conexiones de los hosts externos a los internos. Utilice los comandos static y conduit para permitir esta conexión. En las versiones y posteriores del software PIX, los comandos access-list y accessgroup están disponibles, además de los comandos conduit. Tanto los conductos como las ACL tienen sentido para un PIX de dos interfaces. Los conductos se basan en la dirección. Tienen un concepto de interior y exterior. Con un PIX de dos interfaces, el conducto permite el tráfico del exterior al interior. A diferencia de los conductos, las ACL se aplican a las interfaces con un comando access-group. Este comando asocia la ACL con la interfaz para examinar el tráfico que circula en una dirección en particular. A diferencia de los comandos nat y global que permiten la salida de hosts internos, el comando static crea una traducción bidireccional que permite la salida de hosts internos y la entrada de hosts externos si se crean los conductos adecuados o se agregan ACL/grupos (versión o posterior del software PIX). En la configuración PAT de los ejemplos anteriores de este documento, si un host externo intentaba conectarse a la dirección global, podría ser usado por miles de hosts internos. El comando static crea una asignación de uno a uno. El comando conduit o access-list define qué tipo de conexión se le permite a un host interno y siempre es necesario cuando un host con seguridad baja se conecta a un host con seguridad más alta. El conduit o access-list se basa tanto en el puerto como en el protocolo. Puede ser muy permisivo o muy restrictivo, dependiendo de lo que quiera conseguir el administrador del sistema.

5 El diagrama de red de este documento ejemplifica el uso de estos comandos para configurar el PIX de manera que autorice que los hosts que no son de confianza se conecten al servidor web interno, permitiendo que este host que no es de confianza, , acceda al servicio FTP en el mismo equipo. Uso de conductos en PIX y versiones posteriores Siga estos pasos para las versiones y posteriores del software PIX con conductos. Defina una traducción de dirección estática para el servidor Web interno a una dirección global/externa. static (inside,outside) Defina qué hosts pueden conectarse a qué puertos del servidor web/ftp. conduit permit tcp host eq www any conduit permit tcp host eq ftp host En el software PIX y posterior, pueden usarse ACL con grupos de acceso en lugar de conductos. Los conductos todavía están disponibles, pero se debe elegir entre el uso de conductos o las ACL. No se recomienda combinar las ACL y los conductos en la misma configuración. Si ambos están configurados, las ACL tienen preferencia ante los conductos. Uso de las ACL en las versiones y posteriores de PIX Siga estos pasos para las versiones y posteriores del software PIX con ACL. Defina una traducción de dirección estática para el servidor Web interno a una dirección global/externa. static (inside, outside) Defina qué hosts pueden conectarse a qué puertos del servidor web/ftp. access-list 101 permit tcp any host eq www access-list 101 permit tcp host host eq ftp 3. Aplique la ACL a la interfaz externa. access-group 101 in interface outside Nota: estos comandos deben utilizarse con prudencia. Si se ejecuta el comando conduit permit ip any any o access-list 101 permit ip any any, cualquier host de la red que no es de confianza puede tener acceso a cualquier host de la red de confianza utilizando IP siempre que haya una traducción activa. Inhabilitación de NAT Si tiene una dirección pública dentro de la red y desea que los hosts internos salgan al exterior sin traducción, puede inhabilitar NAT. También hay que cambiar el comando static. Según el ejemplo de este documento, el comando nat cambia como se muestra en este resultado: nat (inside) Si utiliza ACL en el software PIX versión y posteriores, utilice los siguientes comandos:

6 access-list 103 permit ip any nat (inside) 0 access-list 103 Este comando desactiva la NAT para la red El comando static del servidor web cambia como se muestra en este resultado: static (inside, outside) Este comando define el conducto del servidor web. conduit permit tcp host eq www any Si utiliza ACL en el software PIX versión y posteriores, utilice los siguientes comandos: access-list 102 permit tcp any host eq www access-group 102 in interface outside Tenga en cuenta que la diferencia entre usar nat 0 con especificación de la red/máscara en contraposición con usar una ACL que emplea una red/máscara es que permite la iniciación de conexiones únicamente desde el interior. El uso de ACL permite iniciar conexiones mediante tráfico entrante o saliente. Las interfaces PIX deberían estar en subredes diferentes para evitar problemas de alcance. Redirección (reenvío) de puertos con estática En PIX 6.0, se ha agregado la función de redirección (reenvío) de puertos para permitir que los usuarios externos se conecten a una dirección o un puerto IP determinados y hacer que PIX redireccione el tráfico al servidor interno adecuado; se ha modificado el comando static. La dirección compartida puede ser una dirección exclusiva, una dirección PAT saliente compartida o compartida con la interfaz externa. Nota: estos comandos se muestran en dos líneas debido a limitaciones de espacio. static [(internal_if_name, external_if_name)] {global_ip interface} local_ip [netmask mask] [max_conns [emb_limit [norandomseq]]] static [(internal_if_name, external_if_name)] {tcp udp} {global_ip interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]] Estas son las redirecciones de puerto correspondientes a la red de ejemplo: Los usuarios externos dirigen las peticiones Telnet a la dirección IP única y el PIX las redirige a Los usuarios externos dirigen las peticiones FTP a la dirección IP exclusiva , que PIX redirige a Los usuarios externos dirigen las peticiones Telnet a la dirección PAT y el PIX las redirige a Los usuarios externos dirigen las peticiones Telnet a la dirección IP externa , que el PIX redirige a Los usuarios externos dirigen las peticiones HTTP a la dirección IP externa del PIX y éste las redirige a Los usuarios externos direccionan las peticiones del puerto 8080 http a la dirección PAT y el PIX las redirecciona a la 10.7.del puerto 80. En este ejemplo también se bloquea el acceso de algunos usuarios desde el interior al exterior con la ACL 100. Este paso es opcional. Sin la ACL, se permite todo el tráfico de salida. Diagrama de la red Redirección (reenvío) de puertos

7 Configuración parcial de PIX: redirección (reenvío) de puertos En esta configuración parcial se muestra el uso de la redirección estática de puertos. Configuración parcial de PIX: redirección (reenvío) de puertos fixup protocol ftp 21!--- El uso de una ACL de salida es opcional. access-list 100 permit tcp any eq www access-list 100 deny tcp any any eq www access-list 100 permit tcp any access-list 100 permit udp host eq domain access-list 101 permit tcp any host eq telnet access-list 101 permit tcp any host eq ftp access-list 101 permit tcp any host eq telnet access-list 101 permit tcp any host eq telnet access-list 101 permit tcp any host eq www access-list 101 permit tcp any host eq 8080 ip address outside ip address inside global (outside) nat (inside) static (inside,outside) tcp telnet 10.6 telnet netmask static (inside,outside) tcp ftp 10.3 ftp netmask static (inside,outside) tcp telnet 10.4 telnet netmask static (inside,outside) tcp interface telnet 10.5 telnet netmask static (inside,outside) tcp interface www 10.5 www netmask static (inside,outside) tcp www netmask access-group 100 in interface inside access-group 101 in interface outside!--- El uso de una ACL de salida es opcional. NAT externa A partir de la versión PIX 6.2, NAT y PAT pueden aplicarse al tráfico de una interfaz externa, o menos segura, a una interfaz interna (más segura). En algunas ocasiones, esto se denomina NAT bidireccional. NAT/PAT exterior es similar a NAT/PAT interior, pero la traducción de direcciones se aplica a las direcciones de hosts que residen en las interfaces exteriores (menos seguras) del PIX. Para configurar un NAT externo dinámico, especifique las direcciones que deben traducirse en la interfaz menos segura y también la dirección o direcciones globales en la interfaz interna (más segura). Para configurar el NAT externo estático, utilice el comando static a fin de especificar la correspondencia uno a uno. Después de que se configura la NAT externa, cuando un paquete llega a la interfaz exterior (menos segura) del PIX, el PIX intenta ubicar una xlate (entrada de traducción de dirección) existente en la base de datos de las conexiones. Si no existe xlate, busca la política NAT en la configuración en funcionamiento. Si se encuentra una política NAT, se crea una xlate y se introduce en la base de datos. El PIX luego vuelve a escribir la dirección de fuente para la dirección correlacionada con la memoria o la global y transmite el paquete en la interfaz interior. Una vez

8 que se establece xlate, las direcciones de cualquier paquete subsiguiente pueden traducirse rápidamente consultando las entradas en la base de datos de conexiones. Diagrama de la red NAT externa En el ejemplo: Dispositivo a NAT a cuando sale Dispositivo a NAT a cuando entra Otros dispositivos de la red x a NAT a direcciones del grupo cuando sale Conectividad del dispositivo al dispositivo viendo el dispositivo el dispositivo interno como y viendo el dispositivo el tráfico de como procedente de (debido al NAT externo) Se permite el acceso a todos los dispositivos x mediante ACL o conductos. Configuración parcial de PIX: NAT externo Configuración parcial de PIX: NAT externo ip address outside ip address inside global (outside) netmask nat (inside) static (inside,outside) netmask static (outside,inside) netmask conduit permit ip !--- Alternativamente, en vez de conductos, dejamos las sentencias estáticas pero tenemos lo siguien access-list 101 permit ip access-group 101 in interface outside Resolución de problemas En esta sección encontrará información que puede utilizar para solucionar problemas sobre la configuración. Si se utilizan pings ICMP para probar una traducción configurada, es probable que fallen y que parezca que la traducción no funciona. De forma predeterminada, el PIX bloquea los mensajes ICMP de las interfaces de menor seguridad a las interfaces de mayor seguridad. Esto sucede incluso se detecta un echo-reply como respuesta a un ping iniciado en el interior. Por lo tanto, asegúrese de utilizar otro método, como Telnet, para verificar la configuración. Después de realizar cambios en las reglas de traducción del PIX, es muy recomendable ejecutar el comando clear xlate. De esta manera se garantiza que las traducciones antiguas no interfieran con las recién configuradas y provoquen un funcionamiento incorrecto. Después de configurar o cambiar las traducciones estáticas entre servidores internos o de la zona DMZ y servidores externos, podría ser necesario borrar la caché ARP del router gateway o del resto de dispositivos a un salto de distancia. Información para recopilar si abre un caso del TAC Si aún necesita ayuda después de seguir los pasos anteriores para la resolución de problemas y desea abrir una incidencia en el Centro de Asistencia Técnica de Cisco, no olvide incluir la siguiente información para la resolución del problema de su firewall PIX.

9 Descripción del problema y detalles relevantes de la topología Pasos para la solución del problema antes de abrir la incidencia Resultado del comando show tech-support Resultado del comando show log después de la ejecución del comando logging buffered debugging o capturas de consola que muestran el problema (si están disponibles) Adjunte los datos recopilados para su caso en un texto sin formato (.txt), sin compactar. Puede adjuntar información a su incidencia transfiriéndola mediante la herramienta Case Query ( sólo para clientes registrados). Si no puede acceder a la herramienta Case Query y desea adjuntar información pertinente a su incidencia, puede enviarla como documento adjunto de un correo electrónico a attach@cisco.com, con el número de incidencia en el asunto del mensaje Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 23 Junio