Abrindo e fechando portas no ASA 7.x ou 8.(0-2)/PIX 6.x e versões superiores

Bronze

Introdução

Esse documento provê exemplos de configuração de como abrir ou bloquear portas de vários tipos de tráfego, tais como HTTP ou FTP, nos dispositivos ASA e PIX nas versões mencionadas.

Nota: Os termos “abrindo a porta” e “permitindo a porta” tem o mesmo sentido. Similarmente, “bloqueando a porta” e “restringindo a porta” também tem o mesmo significado.

Pré-requisitos

Requisitos

Esse documento assume que o PIX/ASA foi previamente configurado e está funcionando apropriadamente.

Componentes utilizados

As informações deste documento são baseadas nas versões de software e hardware listadas abaixo:

  • Cisco      5500 Series Adaptive Security Appliance (ASA) que roda a versão 8.2(1)
  • Cisco      Adaptive Security Device Manager (ASDM) versão 6.3(5)

As informações contidas neste documento foram criadas tendo como base equipamentos em um ambiente laboratório. Todos os dispositivos utilizados neste documento possuíam uma configuração “padrão” (configuração default). Se seu ambiente de rede está operacional, tenha certeza que você entende o potencial impacto que qualquer comando pode ocasionar.

Configurando

Cada interface deve ter um nível de segurança que varia de 0 (o menor nível) até 100 (o maior nível). Por exemplo, você pode atribuir a sua rede mais segura, tal como sua rede inside (sua rede interna / rede na qual você tem controle do que passa e na qual você pode manter um nível de segurança mais apurado), com o nível 100. Enquanto que redes outside (ou redes externas / redes não seguras em que você não tem controle do trafego que passa por ela, tal como a internet) que estão conectadas a internet, devem ser definidas como nível 0. Outras redes tais como DMZs, podem ser posicionadas entre elas. Você pode atribuir a múltiplas interfaces o mesmo nível de segurança.

Por padrão, todas as portas na interface outside (nível de segurança 0) são bloqueadas, e todas as portas na interface inside (nível de segurança 100) são abertas no equipamento. Com isso, todo tráfego outbound (tráfego que sai de uma interface com nível de segurança alto, tal como a rede inside, para uma rede com o nível de segurança menor, tal como a rede outside) pode passar pelo equipamento sem a necessidade de configurações adicionais. No entanto, tráfegos inbounds (O contrário do trafego outbound, da Outside para Inside) podem ser permitidos através de access-lists e comandos estáticos no equipamento.

Nota: Geralmente todas as portas são bloqueadas da zona de nível de segurança mais baixo para a zona de nível de segurança mais alto, e todas as portas da zona de nível de segurança mais alto são abertas para comunicação com a zona de nível de segurança mais baixa, de modo a prover o stateful inspection habilitado em ambos os sentidos (inbound e outbound).

Diagrama de rede

Esse documento utiliza essa configuração de rede:

Configuração para bloqueio de portas

O ASA/PIX permite qualquer trafego outbound (saindo da rede interna para a externa) a menos que ele esteja explicitamente bloqueado por uma ACL estendida.

Uma access-list é formada uma ou mais ACE (Access Control Entries). Dependendo do tipo de access-list, você pode especificar o endereço IP de origem e o endereço IP de destino, protocolo, portas (para TCP ou UDP), tipo de ICMP (para ICMP) ou EtherType.

Nota: Para protocolos não orientados a conexão, tais como o ICMP, o ASA/PIX estabelece sessões unidirecionais, então você precisa definir access lists para permitir o tráfego ICMP em ambas as direções (aplicando a access list nas interfaces de origem e destino), ou você precisa habilitar a funcionalidade de ICMP inspection. Tal funcionalidade trata sessões ICMP como conexões bidirecionais.

Realize os seguintes passos para bloquear as portas, que geralmente se aplica a um trafego originado na interface inside (maior nível de segurança) para a DMZ (nível de segurança menor) ou da DMZ para a outside:

  • •1.     Crie uma Access-list de forma que filtre o trafego especifico da porta que você deseja bloquear.

access-list <nome> extended deny <protocolo> <rede-origem/IP de origem> <Máscara de rede de origem> <rede de destino/IP de destino> <Mascara de rede do destino> eq <Número da porta>

access-list <nome> extended permit ip any any

  • •2.     Então associe a access-list através do comando access-group para ativa-la:

access-group <access list name> in interface <interface name>

Exemplos:

  • •1.     Bloquear o tráfego da porta HTTP: Para bloquear a rede interna (inside) 10.1.1.0 de acessar o servidor web (HTTP) que possui o IP 172.16.1. 1 que está alocado na rede DMZ, crie uma ACL conforme abaixo:

ciscoasa(config)#access-list 100 extended deny tcp 10.1.1.0 255.255.255.0 host 172.16.1.1  eq 80

ciscoasa(config)#access-list 100 extended permit ip any any

ciscoasa(config)#access-group 100 in interface inside

Nota: Use no seguido dos comandos da access-list para remover o bloqueio da porta.

  • •2.      Bloqueando o tráfego da porta FTP: Para bloquear a rede interna (inside) 10.1.1.0 de acessar o servidor FTP (File Server) que possui o IP 172.16.1. 2 que está alocado na rede DMZ, crie uma ACL conforme abaixo:

ciscoasa(config)#access-list 100 extended deny tcp 10.1.1.0 255.255.255.0 host 172.16.1.2 eq 21

ciscoasa(config)#access-list 100 extended permit ip any any

ciscoasa(config)#access-group 100 in interface inside

Configuração para abrir portas

O Appliance de segurança não permite qualquer tipo de trafego a menos que seja explicitamente permitido através de access-list extendida.

Se você que permitir que um host externo acesse um host interno, você deve configurar e aplicar uma access-list a interface outside. Você deve especificar o endereço traduzido do host interno na access-list porque o endereço traduzido é o endereço que pode ser utilizado pela rede outside. Complete estes passos para abrir portas da zona de nível de segurança mais baixo para a zona de nível de segurança mais alto. Por exemplo, permitir o trafego da rede outside para a rede inside ou da DMZ para a rede inside.

  • •1.     O Nat estático cria uma tradução fixa de um endereço real para um endereço “mapeado”. Esse endereço mapeado é um endereço público que pode ser usado para acessar o servidor de aplicação na DMZ sem ter a necessidade de saber o verdadeiro endereço do host.

static (ifc_real,ifc_mapeado) mapped_ip {ip_real [mascara de rede] |  access-list nome_da_access_list| interface}

Consulte a sessão Static NAT do Command reference for PIX/ASA para aprender mais.

  • •2.      Crie uma ACL permitindo o trafego da porta especifica.
  • •3.     Associe a access-list com o comando access-group para ativa-la.

access-list <nome> extended permit <protocolo> <rede de origem/IP de origem> <Mascara de rede origem> <rede de destino/IP de destino> <Mascara da rede de destino> eq <Número da porta>

access-group <nome da access-list> in interface <nome da interface>

Exemplos:

  • •1.     Abrindo a porta de trafego SMTP: Abra a porta tcp 25 de forma a permitir que hosts de redes externas (tal como a Internet) possam acessar o servidor de e-mail localizado na rede DMZ.

O comando Static está mapeando um endereço externo 192.168.5.3 para um endereço real utilizado na DMZ 172.16.1.3.

ciscoasa(config)#static (DMZ,Outside) 192.168.5.3 172.16.1.3
 netmask 255.255.255.255
ciscoasa(config)#access-list 100 extended permit tcp 
 any host 192.168.5.3 eq 25
ciscoasa(config)#access-group 100 in interface outside

  • •2.     Abrindo a porta de trafego HTTPS: Abra a porta tcp 443 de forma a permitir que hosts de redes externas (tal como Internet) possam acessar o servidor web (de forma segura) localizado na rede DMZ.
  • •3.     Abrindo a porta de trafego DNS: Abra a porta UDP 53 de forma a permitir que hosts de redes externas (tal como Internet) possam acessar o servidor DNS localizado na rede DMZ.

ciscoasa(config)#static (DMZ,Outside) 192.168.5.5 172.16.1.5  netmask 255.255.255.255
ciscoasa(config)#access-list 100 extended permit tcp any host 192.168.5.5 eq 443
ciscoasa(config)#access-group 100 in interface outside
 

ciscoasa(config)#static (DMZ,Outside) 192.168.5.4 172.16.1.4 netmask 255.255.255.255
ciscoasa(config)#access-list 100 extended permit udp any host 192.168.5.4  eq 53
ciscoasa(config)#access-group 100 in interface outside

Verificação

Você pode verificar o funcionamento através de certos comandos show, conforme abaixo:

  • show xlate - exibe informações sobre traduções em funcionamento
  • show access-list - exibe uma contagem de batimento (mais conhecido como hit counts em inglês) para as entradas de uma access-lists.
  • show logging - exibe as mensagens de log do buffer do equipamento.

O Output Interpreter (Output Interpreter Tool), apenas disponível para clientes cadastrados, suporta certos comandos show. Use o mesmo para obter uma analise da saída do comando show de seu equipamento.

Troubleshoot

Não existe neste momento nenhuma informação de troubleshooting especifico para esta configuração.

Fonte: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080862017.shtml

1886
Apresentações
0
Kudo
0
Comentários