Contenido Introduccin Requisitos previos Requerimientos Componentes utilizados Productos relacionados Convenciones Antecedentes NAT Niveles de seguridad ACL Configuracin Diagrama de la red Configuracin inicial DMZ hacia dentro Internet hacia DMZ Interno/DMZ hacia Internet Comunicacin en el mismo nivel de seguridad Resolucin de problemas Introduccin Este documento proporciona un ejemplo de configuracin para varias formas de comunicacin entre interfaces en el dispositivo de seguridad ASA/PIX. Requisitos previos Requerimientos Asegrese de que cumple estos requerimientos antes de intentar esta configuracin: Asignacin de las direcciones IP y la puerta de enlace predeterminada Conectividad fsica de red entre dispositivos Nmero de puerto de comunicacin identificado para el servicio implementado Componentes utilizados La informacin que contiene este documento se basa en las siguientes versiones de software y hardware: Dispositivo adaptable de seguridad que ejecute la versin de software 7.x Servidores Windows 2003 Server Estaciones de trabajo Windows XP La informacin que contiene este documento se cre a partir de los dispositivos en un entorno de laboratorio especfico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuracin sin definir (predeterminada). Si la red est funcionando, asegrese de haber comprendido el impacto que puede tener cualquier comando. Productos relacionados Esta configuracin tambin se puede utilizar con las siguientes versiones de hardware y software: Firewalls de la serie PIX 500 que ejecuten 7.x Convenciones Consulte Convenciones sobre consejos tcnicos de Cisco para obtener ms informacin sobre las convenciones del documento. Antecedentes Este documento seala los pasos requeridos para permitir que la comunicacin fluya entre diferentes interfaces. Se analizan formas de comunicacin como las siguientes: Comunicacin desde hosts ubicados en el exterior que requieren acceso a recursos ubicados en la DMZ 1. Comunicacin desde hosts en la red interna que requieren acceso a recursos ubicados en la DMZ 2. Comunicacin desde hosts en el interior y la red DMZ que requieren acceso a recursos externos 3. NAT En el ejemplo, se emplea la traduccin de direcciones de red (NAT) y la traduccin de direcciones de puerto (PAT) en la configuracin. La traduccin de direcciones sustituye la direccin real (local) en un paquete con una direccin asignada (global) que es enrutable en la red de destino. NAT consta de dos pasos: el proceso en el que una direccin real se traduce en una direccin asignada y, a continuacin, el proceso en el que se deshace la traduccin para el trfico de retorno. En esta gua de configuracin se utilizan dos formas de traduccin de direcciones: esttica y dinmica. Las traducciones dinmicas permiten que cada host utilice una direccin o puerto diferentes para cada traduccin posterior. Las traducciones dinmicas se pueden utilizar cuando los hosts locales comparten una o ms direcciones globales comunes, o bien se "ocultan" detrs de ellas. En este modo, una direccin local no puede reservar de manera permanente una direccin global para la traduccin. En su lugar, la traduccin de direcciones se produce de muchos a uno o de muchos a muchos, y las entradas de traduccin slo se crean a media que se necesitan. En cuanto una entrada de traduccin deja de utilizarse, se elimina y pasa a estar disponible para otros hosts locales. Este tipo de traduccin es ms til para las conexiones salientes, en las que los host internos slo se asignan a una direccin dinmica o un nmero de puerto cuando se realizan las conexiones. Existen dos formas de traduccin de direcciones dinmica: NAT dinmica: las direcciones locales se traducen a una direccin global disponible en una agrupacin. Se proporciona una traduccin una a una, por lo que es posible agotar el agrupamiento de direcciones globales en caso de que un gran nmero de hosts locales requieran una traduccin en un momento dado. Sobrecarga de NAT (PAT): las direcciones locales se traducen a una sola direccin global; cada conexin se realiza de forma exclusiva cuando el siguiente nmero de puerto de orden superior disponible de la direccin global se asigna como origen de la conexin. La traduccin se produce de muchos a uno, puesto que muchos hosts locales comparten una direccin global comn. La traduccin esttica crea una traduccin fija de las direcciones reales a las direcciones asignadas. La configuracin de NAT esttica asigna la misma direccin a cada conexin mediante un hosts y se trata de una regla de traduccin persistente. Las traducciones de direcciones estticas se utilizan cuando un host interno o local necesita obtener la misma direccin global para cada conexin. La traduccin de direcciones se produce de una a una. Las traducciones estticas se pueden definir para un nico host o para todas las direcciones que una subred IP contenga. La principal diferencia entre el NAT dinmico y un rango de direcciones para NAT esttica es que la NAT esttica permite a un host remoto iniciar una conexin con un host traducido (siempre que exista una lista de acceso que lo permita), mientras que el NAT dinmico no lo permite. Tambin necesita un nmero equivalente de direcciones asignadas con NAT esttica. El dispositivo de seguridad traduce una direccin cuando se establece una coincidencia entre una regla NAT y el trfico. Si no hay ninguna regla NAT que coincida, el procesamiento para el paquete contina. La excepcin se da al activar el control NAT. El control NAT requiere que los paquetes que pasan de una interfaz de ms seguridad (interna) a un nivel de seguridad inferior (externo) coincidan con una regla NAT o proceso similar para que el paquete se detenga. Para ver la informacin de configuracin comn, consulte el documento NAT y PAT de PIX/ASA 7.x (en ingls). Para una mayor comprensin del funcionamiento de la NAT, consulte How NAT works Guide (Gua sobre el funcionamiento de NAT) Consejo: Siempre que cambie la configuracin de NAT, se recomienda borrar las traducciones de NAT actuales. Puede borrar la tabla de traducciones con el comando clear xlate. Sin embargo, tenga cuidado al hacerlo, puesto que al borrar la tabla de traducciones se desconectan todas las conexiones actuales que utilizan dichas traducciones. La alternativa al borrado de la tabla de traducciones consiste en esperar a que las traducciones actuales se interrumpan, aunque no es aconsejable, porque puede producirse un comportamiento inesperado puesto que las nuevas conexiones se crean con reglas nuevas. Niveles de seguridad El valor de nivel de seguridad controla cmo interactan los hosts/dispositivos de las diferentes interfaces. De manera predeterminada, los hosts/dispositivos conectados a interfaces con niveles de seguridad superiores pueden acceder a los hosts/dispositivos conectados a interfaces con niveles de seguridad inferiores. Por el contrario, los hosts/dispositivos conectados a interfaces con niveles de seguridad inferiores no pueden acceder a los hosts/dispositivos conectados a interfaces con niveles de seguridad superiores sin el permiso de las listas de acceso. El comando security-level es nuevo en la versin 7.0 y reemplaza la parte del comando nameif que asignaba el nivel de seguridad de la interfaz. Las dos interfaces, la "interna" y la "externa", tienen niveles de seguridad predeterminados, pero que se pueden anular mediante el comando security-level. Si denomina una interfaz como "interna", se le asigna un nivel de seguridad predeterminado de 100, mientras que una interfaz indicada como "externa" tiene asignado un nivel de seguridad de 0. Todas las dems interfaces que se acaban de agregar reciben un nivel de seguridad predeterminado de 0. Para asignar un nuevo nivel de seguridad a una interfaz, utilice el comando security-level en el modo de comando de la interfaz. Los niveles de seguridad varan entre 1 y 100. Nota: Los niveles de seguridad slo se utilizan para determinar cmo el firewall inspecciona y administra el trfico. Por ejemplo, el trfico que pasa desde una interfaz de ms seguridad a otra de menos se reenva con polticas predeterminadas menos rigurosas que el que se dirige de una interfaz de menos seguridad a otra de ms. Para obtener ms informacin acerca de los niveles de seguridad, consulte ASA/PIX 7.x command reference guide (Gua de referencia de comandos de ASA/PIX 7.x). ASA/PIX 7.x tambin ofrece la posibilidad de configurar varias interfaces con el mismo nivel de seguridad. Por ejemplo, se puede asignar un nivel de seguridad de 50 a varias interfaces conectadas a socios u otras DMZ. De manera predeterminada, ests interfaces con una misma seguridad no se pueden comunicar entre s. Para trabajar en este sentido se introdujo el comando same-security-traffic permit inter-interface. Este comando permite la comunicacin entre interfaces del mismo nivel de seguridad. Para obtener ms informacin sobre una misma seguridad entre interfaces, consulte Configuring Interface Parameters (Configuracin de parmetros de interfaz) en la gua de referencia de comandos y analice este ejemplo. ACL Las listas de control de acceso suelen estn formadas por varias entradas de control de acceso (ACE) organizadas internamente mediante el dispositivo de seguridad en una lista enlazada. Las ACE describen un conjunto de trfico, como el procedente de u host o red, e indican una accin que se aplicar a dicho trfico, por lo general permitir o denegar. Cuando un paquete se somete a un control de lista de acceso, el dispositivo de seguridad de Cisco busca esta lista de ACE enlazada para encontrar una que coincida con el paquete. La primera ACE que coincide con el dispositivo de seguridad es la que se aplica al paquete. Una vez que se ha encontrado la coincidencia, se aplica al paquete la accin de dicha ACE (permitir o denegar). Slo se permite una lista de acceso por interfaz y direccin. Esto significa que slo se puede tener una lista de acceso que se aplique al trfico entrante de una interfaz y otra que se aplique al trfico saliente de una interfaz. Las listas de acceso que no se aplican a interfaces, por ejemplo las ACL de NAT, son ilimitadas. Nota: De forma predeterminada, todas las listas de acceso tienen una ACE implcita al final que deniega todo el trfico, de manera que todo el trfico que no coincide con ninguna ACE introducida por el usuario en la lista de acceso, s coincide con la denegacin implcita final y se interrumpe. Para que el trfico fluya, debe tener al menos una declaracin de permiso en una lista de acceso de la interfaz. Sin una declaracin de permiso, se deniega todo el trfico. Nota: Las listas de acceso se implementan con los comandos access-list y access-group. Estos comandos sustituyen a los comandos conduit y outbound, que se utilizaban en versiones anteriores del software PIX firewall. Para obtener ms informacin acerca de las ACL, consulte Configuracin de listas de acceso IP. Configuracin En esta seccin encontrar la informacin para configurar las funciones descritas en este documento. Nota: Utilice la herramienta Command Lookup Tool (slo para clientes registrados) para obtener ms informacin acerca de los comandos utilizados en esta seccin. Diagrama de la red Este documento utiliza esta configuracin de red: Configuracin inicial En este documento se utilizan las configuraciones siguientes: Con esta configuracin de firewall bsica, actualmente no existen declaraciones NAT/STATIC. No existen ACL aplicadas, por lo que la ACE implcita deny any any est actualmente en uso. Nombre del dispositivo 1 ASA-AIP-CLI(config)#show running-config ASA Version 7.2(2) ! hostname ASA-AIP-CLI domain-name corp.com enable password WwXYvtKrnjXqGbu1 encrypted names ! interface Ethernet0/0 nameif Outside security-level 0 ip address 172.22.1.163 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 172.20.1.1 255.255.255.0 ! interface Ethernet0/2 nameif DMZ security-level 50 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet0/3 nameif DMZ-2-testing security-level 50 ip address 192.168.10.1 255.255.255.0 ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name corp.com pager lines 24 mtu inside 1500 mtu Outside 1500 mtu DMZ 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 nat-control route Outside 0.0.0.0 0.0.0.0 172.22.1.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context Cryptochecksum:4b2f54134e685d11b274ee159e5ed009 : end ASA-AIP-CLI(config)# DMZ hacia dentro Para permitir la comunicacin desde la DMZ hacia los hosts de red interna, utilice estos comandos. En este ejemplo, un servidor Web en la DMZ necesita acceder a un servidor AD y DNS interno. Cree una entrada de NAT esttica para el servidor AD/DNS en la DMZ. La NAT esttica crea una traduccin fija de una direccin real a una direccin asignada. Dicha direccin asignada es una direccin que los hosts de DMZ pueden utilizar para acceder al servidor interno sin necesidad de conocer la direccin real del servidor. Este comando asigna la direccin de DMZ 192.168.2.20 a la direccin real interna 172.20.1.5. 1. ASA-AIP-CLI(config)# static (inside,DMZ) 192.168.2.20 172.20.1.5 netmask 255.255.255.255 Las ACL son necesarias para permitir que una interfaz con un nivel de seguridad inferior tenga acceso a un nivel de seguridad superior. En este ejemplo se permite que el servidor Web ubicado en la DMZ (seguridad 50) tenga acceso al servidor AD/DNS interno (seguridad 100) mediante los siguientes puertos de servicio especficos: DNS, Kerberos y LDAP. 2. ASA-AIP-CLI(config)# access-list DMZtoInside extended permit udp host 192.168.1.10 host 192.168.2.20 eq domain ASA-AIP-CLI(config)# access-list DMZtoInside extended permit tcp host 192.168.1.10 host 192.168.2.20 eq 88 ASA-AIP-CLI(config)# access-list DMZtoInside extended permit udp host 192.168.1.10 host 192.168.2.20 eq 389 Nota: Las ACL permiten tener acceso a la direccin asignada del servidor AD/DNS que se cre en este ejemplo y no a la direccin real interna. En este paso, se aplica la ACL a la interfaz DMZ en la direccin entrante mediante el siguiente comando: 3. ASA-AIP-CLI(config)# access-group DMZtoInside in interface DMZ Consejo: Siempre que cambie la configuracin de NAT, se recomienda borrar las traducciones de NAT actuales. Puede borrar la tabla de traducciones mediante el comando clear xlate. Tenga cuidado al hacerlo, puesto que al borrar la tabla de traducciones se desconectan todas las conexiones actuales que utilizan dichas traducciones. La alternativa al borrado de la tabla de traducciones consiste en esperar a que las traducciones actuales se interrumpan, aunque no es aconsejable, porque puede producirse un comportamiento inesperado puesto que las nuevas conexiones se crean con reglas nuevas. Entre otras configuraciones comunes se incluyen las siguientes: Servidores de correo en la DMZ Acceso SSH interno y externo Sesiones permitidas de Remote Desktop a travs de dispositivos PIX/ASA Otras soluciones DNS cuando se utiliza en la DMZ Internet hacia DMZ Para permitir la comunicacin desde usuarios en Internet o en una interfaz externa (seguridad 0) hasta un servidor Web ubicado en la DMZ (seguridad 50), utilice los siguientes comandos: Cree una traduccin esttica para el servidor Web en la DMZ hacia afuera. La NAT esttica crea una traduccin fija de una direccin real a una direccin asignada. Dicha direccin asignada es una direccin que los hosts en Internet pueden utilizar para acceder al servidor Web de la DMZ sin necesidad de conocer la direccin real del servidor. Este comando asigna la direccin externa 172.22.1.25 a la direccin DMZ real 192.168.1.10. 1. ASA-AIP-CLI(config)# static (DMZ,Outside) 172.22.1.25 192.168.1.10 netmask 255.255.255.255 Cree una ACL que permita a los usuarios externos acceder al servidor Web a travs de una direccin asignada. Tenga en cuenta que el servidor Web tambin aloja el FTP. 2. ASA-AIP-CLI(config)# access-list OutsidetoDMZ extended permit tcp any host 172.22.1.25 eq www ASA-AIP-CLI(config)# access-list OutsidetoDMZ extended permit tcp any host 172.22.1.25 eq ftp El ltimo paso de esta configuracin consiste en aplicar la ACL a la interfaz externa para el trfico entrante. 3. ASA-AIP-CLI(config)# access-group OutsidetoDMZ in interface Outside Nota: Recuerde que slo puede aplicar una lista de acceso por interfaz y direccin. Si ya ha aplicado una ACL entrante en la interfaz externa, no puede aplicarle este ejemplo de ACL. Como alternativa, agregue las ACE de este ejemplo a la ACL actual que se aplica a la interfaz. Consejo: Siempre que cambie la configuracin de NAT, se recomienda borrar las traducciones de NAT actuales. Puede borrar la tabla de traducciones mediante el comando clear xlate. Tenga cuidado al hacerlo, puesto que al borrar la tabla de traducciones se desconectan todas las conexiones actuales que utilizan dichas traducciones. La alternativa al borrado de la tabla de traducciones consiste en esperar a que las traducciones actuales se interrumpan, aunque no es aconsejable, porque puede producirse un comportamiento inesperado puesto que las nuevas conexiones se crean con reglas nuevas. Interno/DMZ hacia Internet En este escenario, los hosts ubicados en la interfaz interna (seguridad 100) del dispositivo de seguridad tienen acceso a Internet en la interfaz externa (seguridad 0). Esto se consigue gracias al proceso de PAT, o sobrecarga de NAT, una forma de NAT dinmica. A diferencia de los otros escenarios, en este caso no se necesita una ACL, puesto que los hosts de una interfaz de alta seguridad acceden a hosts de una interfaz de baja seguridad. Especifique los orgenes del trfico que se deben traducir. Aqu se define la regla NAT nmero 1 y se permite todo el trfico de hosts internos y de DMZ. 1. ASA-AIP-CLI(config)# nat (inside) 1 172.20.1.0 255.255.255.0 ASA-AIP-CLI(config)# nat (inside) 1 192.168.1.0 255.255.255.0 Especifique qu direccin, agrupacin de direcciones o interfaz debe utilizar el trfico de NAT cuando acceda a la interfaz externa. En este caso, la PAT se realiza con la direccin de interfaz externa. Esto es especialmente til cuando no se conoce de antemano la direccin de interfaz externa, como en una configuracin DHCP. Aqu, el comando global se ejecuta con la misma ID de NAT 1, que lo relaciona con las reglas de NAT de la misma ID. 2. ASA-AIP-CLI(config)# global (Outside) 1 interface Consejo: Siempre que cambie la configuracin de NAT, se recomienda borrar las traducciones de NAT actuales. Puede borrar la tabla de traducciones con el comando clear xlate. Tenga cuidado al hacerlo, puesto que al borrar la tabla de traducciones se desconectan todas las conexiones actuales que utilizan dichas traducciones. La alternativa al borrado de la tabla de traducciones consiste en esperar a que las traducciones actuales se interrumpan, aunque no es aconsejable, porque puede producirse un comportamiento inesperado puesto que las nuevas conexiones se crean con reglas nuevas. Comunicacin en el mismo nivel de seguridad La configuracin inicial muestra que las interfaces "DMZ" y "DMZ-2-testing" se han configurado con un nivel de seguridad (50); de forma predeterminada, estas dos interfaces no se pueden comunicar. Sin embargo, se puede permitir la comunicacin entre estas interfaces con el comando siguiente: ASA-AIP-CLI(config)# same-security-traffic permit inter-interface Resolucin de problemas Esta seccin proporciona informacin que puede utilizar para resolver problemas de configuracin. Resolucin de problemas de conexin a travs de PIX y ASA Configuraciones de NAT Verificacin de NAT y resolucin de problemas (en ingls) 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generacin del PDF: 17 Abril 2008 http://www.cisco.com/cisco/web/support/LA/9/98/98014_generic_ports.html