PIX/ASA 7.

x: activacin de la comunicacin entre interfaces

Contenido
Introduccin
Requisitos previos
Requerimientos
Componentes utilizados
Productos relacionados
Convenciones
Antecedentes
NAT
Niveles de seguridad
ACL
Configuracin
Diagrama de la red
Configuracin inicial
DMZ hacia dentro
Internet hacia DMZ
Interno/DMZ hacia Internet
Comunicacin en el mismo nivel de seguridad
Resolucin de problemas
Introduccin
Este documento proporciona un ejemplo de configuracin para varias formas de comunicacin entre interfaces en el dispositivo de seguridad
ASA/PIX.
Requisitos previos
Requerimientos
Asegrese de que cumple estos requerimientos antes de intentar esta configuracin:
Asignacin de las direcciones IP y la puerta de enlace predeterminada
Conectividad fsica de red entre dispositivos
Nmero de puerto de comunicacin identificado para el servicio implementado
Componentes utilizados
La informacin que contiene este documento se basa en las siguientes versiones de software y hardware:
Dispositivo adaptable de seguridad que ejecute la versin de software 7.x
Servidores Windows 2003 Server
Estaciones de trabajo Windows XP
La informacin que contiene este documento se cre a partir de los dispositivos en un entorno de laboratorio especfico. Todos los dispositivos
que se utilizan en este documento se iniciaron con una configuracin sin definir (predeterminada). Si la red est funcionando, asegrese de haber
comprendido el impacto que puede tener cualquier comando.
Productos relacionados
Esta configuracin tambin se puede utilizar con las siguientes versiones de hardware y software:
Firewalls de la serie PIX 500 que ejecuten 7.x
Convenciones
Consulte Convenciones sobre consejos tcnicos de Cisco para obtener ms informacin sobre las convenciones del documento.
Antecedentes
Este documento seala los pasos requeridos para permitir que la comunicacin fluya entre diferentes interfaces. Se analizan formas de
comunicacin como las siguientes:
Comunicacin desde hosts ubicados en el exterior que requieren acceso a recursos ubicados en la DMZ 1.
Comunicacin desde hosts en la red interna que requieren acceso a recursos ubicados en la DMZ 2.
Comunicacin desde hosts en el interior y la red DMZ que requieren acceso a recursos externos 3.
NAT
En el ejemplo, se emplea la traduccin de direcciones de red (NAT) y la traduccin de direcciones de puerto (PAT) en la configuracin. La
traduccin de direcciones sustituye la direccin real (local) en un paquete con una direccin asignada (global) que es enrutable en la red de
destino. NAT consta de dos pasos: el proceso en el que una direccin real se traduce en una direccin asignada y, a continuacin, el proceso en el
que se deshace la traduccin para el trfico de retorno. En esta gua de configuracin se utilizan dos formas de traduccin de direcciones: esttica
y dinmica.
Las traducciones dinmicas permiten que cada host utilice una direccin o puerto diferentes para cada traduccin posterior. Las traducciones
dinmicas se pueden utilizar cuando los hosts locales comparten una o ms direcciones globales comunes, o bien se "ocultan" detrs de ellas. En
este modo, una direccin local no puede reservar de manera permanente una direccin global para la traduccin. En su lugar, la traduccin de
direcciones se produce de muchos a uno o de muchos a muchos, y las entradas de traduccin slo se crean a media que se necesitan. En cuanto
una entrada de traduccin deja de utilizarse, se elimina y pasa a estar disponible para otros hosts locales. Este tipo de traduccin es ms til para
las conexiones salientes, en las que los host internos slo se asignan a una direccin dinmica o un nmero de puerto cuando se realizan las
conexiones. Existen dos formas de traduccin de direcciones dinmica:
NAT dinmica: las direcciones locales se traducen a una direccin global disponible en una agrupacin. Se proporciona una traduccin una
a una, por lo que es posible agotar el agrupamiento de direcciones globales en caso de que un gran nmero de hosts locales requieran una
traduccin en un momento dado.
Sobrecarga de NAT (PAT): las direcciones locales se traducen a una sola direccin global; cada conexin se realiza de forma exclusiva
cuando el siguiente nmero de puerto de orden superior disponible de la direccin global se asigna como origen de la conexin. La
traduccin se produce de muchos a uno, puesto que muchos hosts locales comparten una direccin global comn.
La traduccin esttica crea una traduccin fija de las direcciones reales a las direcciones asignadas. La configuracin de NAT esttica asigna la
misma direccin a cada conexin mediante un hosts y se trata de una regla de traduccin persistente. Las traducciones de direcciones estticas se
utilizan cuando un host interno o local necesita obtener la misma direccin global para cada conexin. La traduccin de direcciones se produce de
una a una. Las traducciones estticas se pueden definir para un nico host o para todas las direcciones que una subred IP contenga.
La principal diferencia entre el NAT dinmico y un rango de direcciones para NAT esttica es que la NAT esttica permite a un host remoto
iniciar una conexin con un host traducido (siempre que exista una lista de acceso que lo permita), mientras que el NAT dinmico no lo permite.
Tambin necesita un nmero equivalente de direcciones asignadas con NAT esttica.
El dispositivo de seguridad traduce una direccin cuando se establece una coincidencia entre una regla NAT y el trfico. Si no hay ninguna regla
NAT que coincida, el procesamiento para el paquete contina. La excepcin se da al activar el control NAT. El control NAT requiere que los
paquetes que pasan de una interfaz de ms seguridad (interna) a un nivel de seguridad inferior (externo) coincidan con una regla NAT o proceso
similar para que el paquete se detenga. Para ver la informacin de configuracin comn, consulte el documento NAT y PAT de PIX/ASA 7.x (en
ingls). Para una mayor comprensin del funcionamiento de la NAT, consulte How NAT works Guide (Gua sobre el funcionamiento de NAT)
Consejo: Siempre que cambie la configuracin de NAT, se recomienda borrar las traducciones de NAT actuales. Puede borrar la tabla de
traducciones con el comando clear xlate. Sin embargo, tenga cuidado al hacerlo, puesto que al borrar la tabla de traducciones se desconectan
todas las conexiones actuales que utilizan dichas traducciones. La alternativa al borrado de la tabla de traducciones consiste en esperar a que las
traducciones actuales se interrumpan, aunque no es aconsejable, porque puede producirse un comportamiento inesperado puesto que las nuevas
conexiones se crean con reglas nuevas.
Niveles de seguridad
El valor de nivel de seguridad controla cmo interactan los hosts/dispositivos de las diferentes interfaces. De manera predeterminada, los
hosts/dispositivos conectados a interfaces con niveles de seguridad superiores pueden acceder a los hosts/dispositivos conectados a interfaces con
niveles de seguridad inferiores. Por el contrario, los hosts/dispositivos conectados a interfaces con niveles de seguridad inferiores no pueden
acceder a los hosts/dispositivos conectados a interfaces con niveles de seguridad superiores sin el permiso de las listas de acceso.
El comando security-level es nuevo en la versin 7.0 y reemplaza la parte del comando nameif que asignaba el nivel de seguridad de la interfaz.
Las dos interfaces, la "interna" y la "externa", tienen niveles de seguridad predeterminados, pero que se pueden anular mediante el comando
security-level. Si denomina una interfaz como "interna", se le asigna un nivel de seguridad predeterminado de 100, mientras que una interfaz
indicada como "externa" tiene asignado un nivel de seguridad de 0. Todas las dems interfaces que se acaban de agregar reciben un nivel de
seguridad predeterminado de 0. Para asignar un nuevo nivel de seguridad a una interfaz, utilice el comando security-level en el modo de
comando de la interfaz. Los niveles de seguridad varan entre 1 y 100.
Nota: Los niveles de seguridad slo se utilizan para determinar cmo el firewall inspecciona y administra el trfico. Por ejemplo, el trfico que
pasa desde una interfaz de ms seguridad a otra de menos se reenva con polticas predeterminadas menos rigurosas que el que se dirige de una
interfaz de menos seguridad a otra de ms. Para obtener ms informacin acerca de los niveles de seguridad, consulte ASA/PIX 7.x command
reference guide (Gua de referencia de comandos de ASA/PIX 7.x).
ASA/PIX 7.x tambin ofrece la posibilidad de configurar varias interfaces con el mismo nivel de seguridad. Por ejemplo, se puede asignar un
nivel de seguridad de 50 a varias interfaces conectadas a socios u otras DMZ. De manera predeterminada, ests interfaces con una misma
seguridad no se pueden comunicar entre s. Para trabajar en este sentido se introdujo el comando same-security-traffic permit inter-interface.
Este comando permite la comunicacin entre interfaces del mismo nivel de seguridad. Para obtener ms informacin sobre una misma seguridad
entre interfaces, consulte Configuring Interface Parameters (Configuracin de parmetros de interfaz) en la gua de referencia de comandos y
analice este ejemplo.
ACL
Las listas de control de acceso suelen estn formadas por varias entradas de control de acceso (ACE) organizadas internamente mediante el
dispositivo de seguridad en una lista enlazada. Las ACE describen un conjunto de trfico, como el procedente de u host o red, e indican una
accin que se aplicar a dicho trfico, por lo general permitir o denegar. Cuando un paquete se somete a un control de lista de acceso, el
dispositivo de seguridad de Cisco busca esta lista de ACE enlazada para encontrar una que coincida con el paquete. La primera ACE que
coincide con el dispositivo de seguridad es la que se aplica al paquete. Una vez que se ha encontrado la coincidencia, se aplica al paquete la
accin de dicha ACE (permitir o denegar).
Slo se permite una lista de acceso por interfaz y direccin. Esto significa que slo se puede tener una lista de acceso que se aplique al trfico
entrante de una interfaz y otra que se aplique al trfico saliente de una interfaz. Las listas de acceso que no se aplican a interfaces, por ejemplo las
ACL de NAT, son ilimitadas.
Nota: De forma predeterminada, todas las listas de acceso tienen una ACE implcita al final que deniega todo el trfico, de manera que todo el
trfico que no coincide con ninguna ACE introducida por el usuario en la lista de acceso, s coincide con la denegacin implcita final y se
interrumpe. Para que el trfico fluya, debe tener al menos una declaracin de permiso en una lista de acceso de la interfaz. Sin una declaracin de
permiso, se deniega todo el trfico.
Nota: Las listas de acceso se implementan con los comandos access-list y access-group. Estos comandos sustituyen a los comandos conduit y
outbound, que se utilizaban en versiones anteriores del software PIX firewall. Para obtener ms informacin acerca de las ACL, consulte
Configuracin de listas de acceso IP.
Configuracin
En esta seccin encontrar la informacin para configurar las funciones descritas en este documento.
Nota: Utilice la herramienta Command Lookup Tool (slo para clientes registrados) para obtener ms informacin acerca de los comandos utilizados
en esta seccin.
Diagrama de la red
Este documento utiliza esta configuracin de red:
Configuracin inicial
En este documento se utilizan las configuraciones siguientes:
Con esta configuracin de firewall bsica, actualmente no existen declaraciones NAT/STATIC.
No existen ACL aplicadas, por lo que la ACE implcita deny any any est actualmente en uso.
Nombre del dispositivo 1
ASA-AIP-CLI(config)#show running-config
ASA Version 7.2(2)
!
hostname ASA-AIP-CLI
domain-name corp.com
enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
nameif Outside
security-level 0
ip address 172.22.1.163 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 172.20.1.1 255.255.255.0
!
interface Ethernet0/2
nameif DMZ
security-level 50
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/3
nameif DMZ-2-testing
security-level 50
ip address 192.168.10.1 255.255.255.0
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name corp.com
pager lines 24
mtu inside 1500
mtu Outside 1500
mtu DMZ 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat-control
route Outside 0.0.0.0 0.0.0.0 172.22.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:4b2f54134e685d11b274ee159e5ed009
: end
ASA-AIP-CLI(config)#
DMZ hacia dentro
Para permitir la comunicacin desde la DMZ hacia los hosts de red interna, utilice estos comandos. En este ejemplo, un servidor Web en la DMZ
necesita acceder a un servidor AD y DNS interno.
Cree una entrada de NAT esttica para el servidor AD/DNS en la DMZ. La NAT esttica crea una traduccin fija de una direccin real a
una direccin asignada. Dicha direccin asignada es una direccin que los hosts de DMZ pueden utilizar para acceder al servidor interno
sin necesidad de conocer la direccin real del servidor. Este comando asigna la direccin de DMZ 192.168.2.20 a la direccin real interna
172.20.1.5.
1.
ASA-AIP-CLI(config)# static (inside,DMZ) 192.168.2.20 172.20.1.5 netmask 255.255.255.255
Las ACL son necesarias para permitir que una interfaz con un nivel de seguridad inferior tenga acceso a un nivel de seguridad superior. En
este ejemplo se permite que el servidor Web ubicado en la DMZ (seguridad 50) tenga acceso al servidor AD/DNS interno (seguridad 100)
mediante los siguientes puertos de servicio especficos: DNS, Kerberos y LDAP.
2.
ASA-AIP-CLI(config)# access-list DMZtoInside extended permit udp host 192.168.1.10 host
192.168.2.20 eq domain
ASA-AIP-CLI(config)# access-list DMZtoInside extended permit tcp host 192.168.1.10 host
192.168.2.20 eq 88
ASA-AIP-CLI(config)# access-list DMZtoInside extended permit udp host 192.168.1.10 host
192.168.2.20 eq 389
Nota: Las ACL permiten tener acceso a la direccin asignada del servidor AD/DNS que se cre en este ejemplo y no a la direccin real
interna.
En este paso, se aplica la ACL a la interfaz DMZ en la direccin entrante mediante el siguiente comando: 3.
ASA-AIP-CLI(config)# access-group DMZtoInside in interface DMZ
Consejo: Siempre que cambie la configuracin de NAT, se recomienda borrar las traducciones de NAT actuales. Puede borrar la tabla de
traducciones mediante el comando clear xlate. Tenga cuidado al hacerlo, puesto que al borrar la tabla de traducciones se desconectan
todas las conexiones actuales que utilizan dichas traducciones. La alternativa al borrado de la tabla de traducciones consiste en esperar a
que las traducciones actuales se interrumpan, aunque no es aconsejable, porque puede producirse un comportamiento inesperado puesto
que las nuevas conexiones se crean con reglas nuevas.
Entre otras configuraciones comunes se incluyen las siguientes:
Servidores de correo en la DMZ
Acceso SSH interno y externo
Sesiones permitidas de Remote Desktop a travs de dispositivos PIX/ASA
Otras soluciones DNS cuando se utiliza en la DMZ
Internet hacia DMZ
Para permitir la comunicacin desde usuarios en Internet o en una interfaz externa (seguridad 0) hasta un servidor Web ubicado en la DMZ
(seguridad 50), utilice los siguientes comandos:
Cree una traduccin esttica para el servidor Web en la DMZ hacia afuera. La NAT esttica crea una traduccin fija de una direccin real a
una direccin asignada. Dicha direccin asignada es una direccin que los hosts en Internet pueden utilizar para acceder al servidor Web de
la DMZ sin necesidad de conocer la direccin real del servidor. Este comando asigna la direccin externa 172.22.1.25 a la direccin DMZ
real 192.168.1.10.
1.
ASA-AIP-CLI(config)# static (DMZ,Outside) 172.22.1.25 192.168.1.10 netmask 255.255.255.255
Cree una ACL que permita a los usuarios externos acceder al servidor Web a travs de una direccin asignada. Tenga en cuenta que el
servidor Web tambin aloja el FTP.
2.
ASA-AIP-CLI(config)# access-list OutsidetoDMZ extended permit tcp any host 172.22.1.25 eq www
ASA-AIP-CLI(config)# access-list OutsidetoDMZ extended permit tcp any host 172.22.1.25 eq ftp
El ltimo paso de esta configuracin consiste en aplicar la ACL a la interfaz externa para el trfico entrante. 3.
ASA-AIP-CLI(config)# access-group OutsidetoDMZ in interface Outside
Nota: Recuerde que slo puede aplicar una lista de acceso por interfaz y direccin. Si ya ha aplicado una ACL entrante en la interfaz
externa, no puede aplicarle este ejemplo de ACL. Como alternativa, agregue las ACE de este ejemplo a la ACL actual que se aplica a la
interfaz.
Consejo: Siempre que cambie la configuracin de NAT, se recomienda borrar las traducciones de NAT actuales. Puede borrar la tabla de
traducciones mediante el comando clear xlate. Tenga cuidado al hacerlo, puesto que al borrar la tabla de traducciones se desconectan
todas las conexiones actuales que utilizan dichas traducciones. La alternativa al borrado de la tabla de traducciones consiste en esperar a
que las traducciones actuales se interrumpan, aunque no es aconsejable, porque puede producirse un comportamiento inesperado puesto
que las nuevas conexiones se crean con reglas nuevas.
Interno/DMZ hacia Internet
En este escenario, los hosts ubicados en la interfaz interna (seguridad 100) del dispositivo de seguridad tienen acceso a Internet en la interfaz
externa (seguridad 0). Esto se consigue gracias al proceso de PAT, o sobrecarga de NAT, una forma de NAT dinmica. A diferencia de los otros
escenarios, en este caso no se necesita una ACL, puesto que los hosts de una interfaz de alta seguridad acceden a hosts de una interfaz de baja
seguridad.
Especifique los orgenes del trfico que se deben traducir. Aqu se define la regla NAT nmero 1 y se permite todo el trfico de hosts
internos y de DMZ.
1.
ASA-AIP-CLI(config)# nat (inside) 1 172.20.1.0 255.255.255.0
ASA-AIP-CLI(config)# nat (inside) 1 192.168.1.0 255.255.255.0
Especifique qu direccin, agrupacin de direcciones o interfaz debe utilizar el trfico de NAT cuando acceda a la interfaz externa. En este
caso, la PAT se realiza con la direccin de interfaz externa. Esto es especialmente til cuando no se conoce de antemano la direccin de
interfaz externa, como en una configuracin DHCP. Aqu, el comando global se ejecuta con la misma ID de NAT 1, que lo relaciona con
las reglas de NAT de la misma ID.
2.
ASA-AIP-CLI(config)# global (Outside) 1 interface
Consejo: Siempre que cambie la configuracin de NAT, se recomienda borrar las traducciones de NAT actuales. Puede borrar la tabla de
traducciones con el comando clear xlate. Tenga cuidado al hacerlo, puesto que al borrar la tabla de traducciones se desconectan todas las
conexiones actuales que utilizan dichas traducciones. La alternativa al borrado de la tabla de traducciones consiste en esperar a que las
traducciones actuales se interrumpan, aunque no es aconsejable, porque puede producirse un comportamiento inesperado puesto que las nuevas
conexiones se crean con reglas nuevas.
Comunicacin en el mismo nivel de seguridad
La configuracin inicial muestra que las interfaces "DMZ" y "DMZ-2-testing" se han configurado con un nivel de seguridad (50); de forma
predeterminada, estas dos interfaces no se pueden comunicar. Sin embargo, se puede permitir la comunicacin entre estas interfaces con el
comando siguiente:
ASA-AIP-CLI(config)# same-security-traffic permit inter-interface
Resolucin de problemas
Esta seccin proporciona informacin que puede utilizar para resolver problemas de configuracin.
Resolucin de problemas de conexin a travs de PIX y ASA
Configuraciones de NAT Verificacin de NAT y resolucin de problemas (en ingls)
1992-2014 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generacin del PDF: 17 Abril 2008
http://www.cisco.com/cisco/web/support/LA/9/98/98014_generic_ports.html