PIX/ASA: Ejemplo de configuración sobre cómo permitir una
Anuncio
PIX/ASA: Ejemplo de configuración sobre cómo permitir una conexión del Protocolo de escritorio remoto a través del dispositivo de seguridad Contenidos Introducción Requisitos previos Requisitos Componentes utilizados Productos relacionados Convenciones Configuración Diagrama de la red Configuraciones Verificación Resolución de problemas Introducción En este documento se describe la forma de permitir conexiones del Protocolo de escritorio remoto (RDP) a través de un dispositivo de seguridad de Cisco. RDP es un protocolo multicanal que permite que un usuario se conecte con un equipo que utilice Servicios de Terminal Server de Microsoft. Existen clientes para la mayoría de las versiones de Windows, así como otros sistemas operativos como Linux, FreeBSD y Mac OS X. De forma predeterminada, el servidor escucha en el puerto TCP 3389. En este ejemplo, el dispositivo de seguridad se configura para permitir que un cliente RDP en Internet se conecte con un equipo servidor RDP en la interfaz interna. El dispositivo de seguridad realiza la traducción de direcciones y el cliente se conecta con el host por medio de una dirección IP externa asignada estáticamente. Requisitos previos Requisitos En este documento se asume que Cisco PIX Firewall está configurado y funciona correctamente. Asimismo, que ya están todas las configuraciones iniciales y que los hosts disponen de conectividad de extremo a extremo. Componentes utilizados La información del documento se basa en un dispositivo de seguridad Cisco PIX serie 500 con la versión 7.x. del software. La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando. Productos relacionados Dispositivo de seguridad adaptable Cisco ASA serie 5500 con la versión 7.x del software Convenciones Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento. Configuración En esta sección se presenta la información para configurar el dispositivo de seguridad de modo que permita el tráfico del Protocolo de escritorio remoto (RDP). Nota: emplee la herramienta de búsqueda de comandos ( sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección. Diagrama de la red Este documento utiliza esta configuración de red: Nota: los esquemas de direccionamiento IP utilizados en esta configuración no son legalmente enrutables en Internet. Son direcciones RFC 1918 que se han utilizado en un entorno de laboratorio. Configuraciones Esta sección muestra la configuración del dispositivo de seguridad. Se permite el tráfico RDP desde el host 172.16.1.2 en Internet hasta el host 10.1.1.5 en la red interna, que escucha en el puerto 3389 a través de la dirección IP asignada estáticamente 192.168.1.5. Siga estos pasos: Configure la NAT estática a fin de redirigir el tráfico RDP recibido en la interfaz externa al host interno. Cree una lista de control de acceso (ACL) que permita RDP y aplíquela a la interfaz externa. Nota: puesto que el dispositivo de seguridad ejecuta NAT, la ACL debe permitir el acceso a la dirección IP asignada del servidor RDP, no a la dirección IP real. Nota: la dirección IP (192.168.1.5) utilizada para la asignación estática debe estar en la misma subred que la dirección IP de la interfaz externa. Consulte la sección Static NAT (NAT estática) de PIX/ASA 7.x NAT and PAT Statements (Sentencias NAT y PAT de PIX/ASA 7.x) si desea más información sobre la asignación estática de NAT. PIX pix#show running-config : Saved : PIX Version 7.2(1) ! hostname pixfirewall enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 ! interface Ethernet1 nameif outside security-level 0 ip address 192.168.1.2 255.255.255.0 access-group 110 in interface outside ! !--- Esta lista de acceso permite el tráfico RDP con origen en 172.16.1.2 !--- y destino en 192.168.1.5, con el puerto TCP 3389. access-list 110 extended permit tcp host 172.16.1.2 host 192.168.1.5 eq 3389 !--- Esta sentencia NAT estática redirige el tráfico destinado a la !--- dirección IP 192.168.1.5 a la dirección IP del host 10.1.1.5. static (inside,outside) 192.168.1.5 10.1.1.5 netmask 255.255.255.255 route outside 0.0.0.0 0.0.0.0 192.168.1.1 1 !--- Resultado suprimido. Nota: en la configuración de esta ACL, "host 172.16.1.2" se puede sustituir por "any" para permitir el acceso general al servidor RDP desde Internet. No obstante, no es recomendable hacerlo, puesto que puede dejar el servidor RDP expuesto a ataques. Como norma general, intente que las entradas de ACL sean lo más específicas posible. Verificación Actualmente, no hay un procedimiento de verificación disponible para esta configuración. Resolución de problemas Si un determinado cliente o rango de clientes no se puede conectar con el servidor RDP, asegúrese de que éste tenga acceso en la ACL de la interfaz externa. Si ningún cliente se puede conectar con el servidor RDP, asegúrese de que no haya ninguna ACL bloqueando el tráfico hacia o desde el puerto 3389, ya sea en la interfaz externa o en la interna. © 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 20 Junio 2008 http://www.cisco.com/cisco/web/support/LA/9/98/98001_pix-remote-desktop-conn.html
