Preguntas Frecuentes sobre Secure PIX Firewall de Cisco

Anuncio
Preguntas Frecuentes sobre Secure PIX Firewall de Cisco
Introducción
Este documento contiene preguntas frecuentes (FAQ) sobre Cisco Secure PIX Firewall.
Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre convenciones del documento.
Hardware
P.Deseo instalar una tarjeta de interfaz en mi Cisco Secure PIX Firewall. ¿En qué ranura debo instalarla?
R.Cada modelo PIX es diferente. Vaya a Documentación de PIX y seleccione la versión del software. En ese paquete, seleccione
Guía de instalación y, a continuación, seleccione Instalación de una placa de circuito para obtener información detallada sobre los
diagramas y las instrucciones.
P.Estoy tratando de instalar una tarjeta de interfaz nueva en mi Cisco Secure PIX Firewall. más nuevo.
Aparentemente, la tarjeta es demasiado grande para todas las ranuras. ¿Tengo la pieza incorrecta?
R.Es normal que algunos de los dientes de oro de la tarjeta sobresalgan del borde de zócalo.
P.Mi Cisco Secure PIX Firewall traía dos tarjetas de Ethernet. Estoy agregando interfaces adicionales y ahora no
inicia en la solicitud de comando.
R.La cantidad de interfaces compatibles depende del modelo de PIX, de la versión de software y de la licencia. Consulte la
Documentación de PIX para obtener información sobre el máximo de interfaces físicas y el máximo de interfaces VLAN que se
pueden configurar en PIX 6.3 (la última versión a partir de la creación de este documento).
P. Necesito establecer una conexión de consola con Cisco Secure PIX más nuevo. ¿Qué tipo de cable debo usar?
R.Use un cable módem nulo de DB9 a DB9, disponible en la mayoría de los negocios de informática. A veces, el firewall PIX de
Cisco Secure se entrega con dos adaptadores DB9 a RJ-45. Si cuenta con estos adaptadores, conecte uno de ellos a Cisco Secure Pix
Firewall y el otro al puerto en serie de su PC. Para realizar la conexión entre dos adaptadores RJ-45, utilice un cable transpuesto de
consola (no un cable de cruce). Establezca la configuración de su HyperTerminal en N81, sin control de flujo, 9600 baudios. Si aún
tiene problemas, compruebe la configuración del puerto COM de la PC y verifique que esté instalado y que funcione correctamente.
Si está seguro de que todo lo demás está configurado correctamente, pruébelo en un router o en un switch para ver si allí recibe el
mensaje. Consulte la Documentación de PIX para su versión de software PIX para obtener más información. En ese paquete,
seleccione Guía de instalación, y a continuación seleccione Instalación de una placa de circuito para obtener información
detallada sobre los diagramas y las instrucciones.
P.¿Dónde está la unidad de disquete en el modelo PIX 520?
R.Se encuentra detrás de una pequeña placa de metal que se encuentra en la esquina superior izquierda de la parte frontal. Quite los
dos tornillos ajustados a mano para obtener acceso. Consulte Instalación de un modelo PIX 520 o anterior para obtener más
instrucciones.
P.Mi Cisco Secure PIX Firewall está conectado directamente al router, pero las luces de enlace no se encienden y
ningún dispositivo puede enviarle un ping a otro. ¿Qué es lo incorrecto?
R.Asegúrese de utilizar un buen cable cruzado para conectar el PIX directamente al router. Si conecta el PIX a un concentrador o
switch, utilice un cable Ethernet de conexión directa.
P.¿Cómo puede distinguir la diferencia de velocidad del procesador en las tarjetas Gigabit Ethernet en el PIX? Por
ejemplo, ¿cómo puedo distinguir la diferencia entre PIX-1GE-66 y las tarjetas PIX-IGE?
R.Escriba show interface y observe esta línea:
Hardware is i82542 rev03 gigabit ethernet, address is XXXX.XXXX.XXXX
or
Hardware is i82543 rev02 gigabit ethernet, address is XXXX.XXXX.XXXX
El i82542 representa 33 MHz y el i82543 representa 66 MHz.
P.Si compro tarjetas de red de otro proveedor que no sea Cisco y las utilizo en el PIX, son compatibles?
R.No.
P.Al iniciar, el PIX informa acerca de los Pedidos de interrupción (IRQ) de la Tarjeta de interfaz de red (NIC)
algunos de los cuales se usan dos veces (duplicados). ¿Causa esto algún problema?
R.Estos mensajes son normales y pueden ignorarse:
4: ethernet2: address is 00e0.0000.05cb, irq 11
5: ethernet3: address is 00e0.0000.05ca, irq 11
P.Al iniciar, el PIX con tarjetas de interfaz de red Gigabit Ethernet (NIC), informa acerca de los Pedidos de
interrupción de NIC (IRQ) como “irq 255”. ¿Esto causa un problema?
R.Este mensaje es normal y puede ignorarse:
0: gb-ethernet0: address is 0003.0000.1e75, irq 255
P.¿Cuáles son las configuraciones de hardware predeterminadas para PIX?
Plataforma 501
506
515
(R/UR)
515E
(R/UR)
520
525
(R/UR)
535
(R/UR)
CPU
AMD
133
PI
200
PI 200
PII 433
PII
350
PIII 600
PIII 1GH
RAM
(MB)
8
32
32/64
32/64
128
128/256
512/1024
P.¿Puedo actualizar PIX bios?
R.No.
Software - Instalación y actualizaciones
P. Cuando intento ejecutar TFTP pixNNN.exe en mi PIX, recibo errores que indican “bad magic number”
(Número mágico defectuoso). ¿Qué estoy haciendo mal?
R.Necesita cargar el archivo .bin, no el archivo .exe. El.exe es un archivo autoextraíble que contiene, entre otros, el archivo .bin.
Nota: El archivo .bin se ejecuta únicamente para las versión 5.0 y versiones anteriores del software PIX. Copie el archivo .exe a un
directorio temporal en el disco duro de su PC y ejecute el programa para extraer los archivos. A continuación, copie el archivo pix
NNN.bin sobre el servidor TFTP.
P.Cuando intento actualizar mi software desde un disquete, Cisco Secure PIX Firewall continúa realizando un
bucle cada vez que intenta leer el disquete. ¿Qué es lo incorrecto?
R.Asegúrese de que el disquete esté debidamente formateado (utilice el comando de DOS format A:), a continuación, utilice
rawrite para colocar la imagen en el disquete. Si el proceso falla, intente realizar la operación en otra PC.
Nota: La actualización desde un disquete es válida sólo para las versiones 5.0.x y anteriores del software PIX.
P.Estoy instalando un nuevo Cisco Secure PIX Firewall que parece estar configurado correctamente. Mi LAN solía
estar conectada directamente a mi router de Internet. Ahora con el PIX instalado, los usuarios de LAN no pueden
salir. ¿Qué es lo incorrecto?
R.Existen algunas pocas posibilidades diferentes.
En la mayoría de los casos, esto lo provocan las tablas de protocolo de resolución de direcciones (ARP) que se encuentran en
el interior o en los routers cercanos. Recuerde que los routers enrutan hacia las direcciones físicas de MAC, no a las
direcciones IP, y que generalmente, almacenan estas direcciones de Capa 2 durante varias horas en la memoria caché. Ejecute
el comando clear arp-cache o reinicie el dispositivo para borrar las tablas ARP del equipo Cisco.
También puede estar utilizando las mismas direcciones IP de red alrededor de su red, las interfaces PIX y el router externo. Si
bien esto es aceptable, si nunca necesita tener acceso directo a su router externo (es decir, no necesita hacer Telnet al mismo
desde adentro), no resulta práctico. Si no puede utilizar la Traducción de dirección de red (NAT) y renumerar la red
inmediatamente, utilice un esquema de red RFC 1918 del segmento EXTERIOR y configure el enrutamiento entre los dos
dispositivos de forma acorde.
Es posible que inadvertidamente haya configurado PIX con una dirección IP ya en uso en la red. Realice la comprobación,
desconectando el PIX y enviando un ping a la dirección que utilizó. No debe obtener una respuesta debido a que PIX se
encuentra fuera de la red. Compruebe también la configuración.
Asegúrese de que Cisco Secure Pix Firewall cuente con una ruta dentro de la sentencia que direccione todo el tráfico
desconocido al puerto Ethernet de conexión directa del router exterior.
Asegúrese también, de que todas las estaciones internas tengan la gateway correcta (generalmente la interfaz interna de Cisco
Secure Pix Firewall, a menos que haya un router interno).
Si la red está enrutada en el interior, asegúrese de tener una ruta de gateway estática que apunte al PIX. Finalmente, asegúrese
de que el PIX no tenga un route set predeterminado. Las rutas múltiples predeterminadas ya no son compatibles y causan
resultados inconsistentes e indeseables.
P. Recientemente, he agregado un router interno para conectar una segunda red interna a Cisco Secure PIX
Firewall. Los usuarios que se encuentran entre Cisco Secure PIX Firewall y el router interno puede ingresar
correctamente a Internet, pero no pueden comunicarse con esta red interna nueva. Los usuarios de la nueva red no
pueden penetrar al router interno. ¿Cuál es el problema?
R.Debe introducir una ruta específica dentro de la sentencia en el PIX para esta red nueva a través del nuevo router. También puede
introducir una sentencia específica route inside para la red principal a través de este router, que le permite un crecimiento futuro.
Por ejemplo, si su red existente es 192.168.1.0/24 y su red nueva es 192.168.2.0/24, el puerto Ethernet de su router interno es
192.168.1.2. La configuración de la ruta del PIX tiene la siguiente apariencia:
route inside 192.168.2.0 255.255.255.0 192.168.1.2 1
o (la red principal):
route inside 192.168.0.0 255.255.0.0 192.168.1.2 1
Las estaciones de trabajo que se encuentran entre Cisco Secure Pix Firewall y el router deben tener la gateway apuntado hacia el
router, no hacia el PIX. Si bien están conectadas de forma directa, tienen problemas para acceder a una red interna nueva si la
gateway no apunta hacia el router. El router debe tener una gateway predeterminada que direccione la totalidad del tráfico
desconocido hacia la interfaz interior de Cisco Secure PIX Firewall. La instalación de una ruta para red nueva en el PIX tampoco
funciona. El PIX no enruta o redirige fuera de la interfaz que recibió el paquete. A diferencia del router, el PIX no puede volver a
enrutar paquetes a través de la misma interfaz donde se recibió el paquete inicialmente. Además, asegúrese de que la sentencia nat
incluya la red nueva o la red principal que está agregando.
P.¿Cómo determino cuánta memoria Flash tiene mi PIX?
R.Si ejecuta un comando show version en el PIX, y el tamaño de Flash no aparece en MB, entonces, utilice esta tabla para ver
cuánta Flash tiene el PIX.
i28F020
512 KB
AT29C040A
2 MB
atmel
2 MB
i28F640J5
8 MB - PIX 506 16 MB – todos los demás PIX
strata
16 MB
Por ejemplo, si la salida de comando show version tiene la siguiente apariencia:
Cisco Secure PIX Firewall Version 5.1(1)
Compiled on Fri 01-Oct-99 13:56 by pixbuild
pix515 up 4 days 22 hours 10 mins 42 secs
Hardware: PIX-515, 64 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300
BIOS Flash AT29C257 @ 0xfffd8000
0:
1:
2:
3:
ethernet0:
ethernet1:
ethernet2:
ethernet3:
address
address
address
address
is
is
is
is
00aa.0000.0037,
00aa.0000.0038,
00a0.c92a.f029,
00a0.c948.45f9,
irq
irq
irq
irq
11
10
9
7
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES: Disabled
Maximum Interfaces: 6
Serial Number: 123 (0x7b)
Activation Key: 0xc5233151 0xb429f6d0 0xda93739a 0xe15cdf51
La cantidad de memoria Flash es 16 MB.
P.¿Cuándo es necesario utilizar una nueva clave de activación para el PIX?
R.Necesita un nuevo código de activación cuando actualiza un PIX desde un agrupamiento de software restringido a uno que soporta
funciones adicionales, como conexiones, Failover, IPsec u otras interfaces. Además, suele ser necesaria una clave de activación
después de haber actualizado Flash en un PIX.
Para solicitar una clave de activación que no contenga 56 bits, envíe un correo electrónico a licensing@cisco.com y proporcione la
siguiente información:
El número de serie de PIX (o, si está haciendo una actualización Flash, el número de serie de la tarjeta Flash)
El resultado de un comando show version ejecutado en el PIX
Su versión actual del software PIX
El tipo de licencia requerida (DES, 3DES, Restringida, o No restringida)
Puede tratarse del número de Ethernet, número de orden de compra, número de venta, o número de PAK
El nombre completo y la dirección de su empresa
Vaya a la página Clave de actualización de licencia PIX de 56 bits (solamente clientes registrados) para solicitar una clave de activación
de 56-bits.
Vaya a la página Clave de actualización de licencia PIX de 56 bits (solamente clientes registrados) para solicitar una clave de activación
de 56-bits.
Nota: El cifrado mediante IPsec requiere una clave de activación de 56 bits.
P.¿Puede el PIX pasar el tráfico de IPX o de Apple Talk?
R.No, el PIX es un firewall de un solo IP.
P.¿Es PIX compatible con direcciones secundarias en las interfaces?
R.A diferencia de Cisco IOS®, PIX no es compatible con direcciones secundarias de las interfaces.
P.¿Es PIX compatible con 802.1Q en las interfaces?
R.Sí, en PIX 6.3 se agrega una función nueva donde PIX puede crear interfaces lógicas. Cada una de ellas corresponde a una VLAN
en el switch. Consulte Uso de VLAN con el Firewall para obtener más información.
P.¿Es PIX compatible con SSH?
R.Sí, consulte SSH - Dentro o Fuera que le proporciona un procedimiento paso a paso para configurar SSH. PIX utiliza SSH versión
1.
Software - Fallo
P.Tengo dos Cisco Secure PIX Firewalls configurados en una topología de Failover. Cisco Secure PIX Firewall
sigue fallando a lo largo de todo el día. ¿Por qué ocurre esto?
R.Para que Failover funcione correctamente, debe estar configurado como corresponde. Antes de la versión 5.1, todas las interfaces
debían estar configuradas con una dirección IP que fuese única en cada subred respectiva y todas las interfaces debían estar
físicamente conectadas. Entre ellas, las interfaces que no utiliza comúnmente. Con la versión 5.1 y versiones posteriores, se puede
cerrar una interfaz que está en desuso. Sin embargo, necesita cerrar el mismo número de interfaz en ambos PIX. Antes de la versión
5.1, Failover enviaba un paquete Hello a cada interfaz, incluso si estaban cerradas. Espera recibir una respuesta. Si no recibe
respuesta luego de varios intentos, se activa Failover. Compruebe también que el PX principal pueda enviar ping a las interfaces
Failover, si no lo hace, compruebe que las interfaces estén activadas. Además, si están conectadas vía switch, revise las interfaces del
mismo.
P.¿Qué extensión tiene el cable Failover de PIX? ¿Puedo utilizar un cable más largo?
R.El cable serial que entrega Cisco es de seis pies de largo. La clavija está en la Documentación de Cisco PIX Firewall de la versión
de su software PIX. No se han probado cables más largos. No se soporta la utilización de un cable más largo. En PIX 6.2 hay una
función nueva llamada "Error de LAN" que permite el uso de una interfaz dedicada en el PIX como el cable Failover. Consulte la
Documentación de PIX Firewall Versión 6.2 para obtener más información.
P.¿Se puede utilizar una interfaz VLAN en Failover?
R.Tanto la VLAN física como lógica son compatibles con Failover. La restricción es que los comandos failover lan interface y
failover link no pueden utilizar una interfaz VLAN lógica.
P.¿La función del servidor DHCP es compatible con Failover?
R.No, el servidor DHCP no es compatible con Failover, tampoco está configurado PIX para obtener una dirección IP a través de
DHCP (ya que necesita que el comando failover interface-name ip address esté configurado para Failover).
P.Tengo dos Cisco Secure PIX Firewall configurados en una topología de Failover. Uno tiene una licencia sin
restricciones y el otro tiene una licencia Failover. ¿Qué sucede si ambos PIX Firewall pierden potencia y sólo se
inicia de nuevo la unidad Failover?
R.PIX Firewall con licencia Failover se utiliza únicamente para errores y no en modo independiente. Cuando los firewall de PIX
pierden potencia y sólo se inicia nuevamente la unidad Failover, es como si dicha unidad se utilizara en modo independiente. Si una
unidad Failover se utiliza en modo independiente, la unidad se vuelve a iniciar al menos una vez cada 24 horas hasta que la unidad
retome su función de error cuando sienta la presencia del PIX Firewall principal.
Preguntas adicionales sobre el software
P.¿PIX reenvía tráfico IGMP?
R.La versión 6.2 del software PIX Firewall le permite configurar estáticamente rutas de multidifusión o utilizar una dirección de
asistente de Protocolo de administración de grupos de Internet (IGMP) para reenviar los informes IGMP y dejar anuncios.
Esta lista resume el soporte multidifusión de esta versión.
Se pueden aplicar filtros de las listas de acceso al tráfico de multidifusión para que soporte o rechace protocolos y puertos
específicos.
La traducción de dirección de red (NAT) y la traducción de direcciones de puerto (PAT) sólo se pueden ejecutar en direcciones
de origen de paquetes multidifusión.
No se reenvían los paquetes de datos de multidifusión con direcciones de destino en el rango de direcciones 224.0.0.0/24. No
obstante, sí se reenvía todo lo demás que se encuentre en el rango de direcciones 224.0.0.0/8.
No se reenvían los paquetes IGMP para los grupos de direcciones que se encuentren en el rango de 224.0.0.0 a 224.0.0.255, ya
que estas direcciones están reservadas para el uso de protocolos.
No se ejecuta NAT en los paquetes IGMP. Cuando se configura el reenvío de IGMP, el PIX reenvía los paquetes IGMP
(envíos y anuncios) con la dirección IP de la interfaz del asistente como dirección IP de origen.
P.¿Cuenta PIX con una función de resolución de problemas que pueda obtener los rastros del paquete para ver el
contenido del mismo en detalle?
R.La versión 6.2 del software PIX Firewall es compatible con la captura de paquetes para rastrear o “ver” el tráfico que PIX acepta o
bloquea. Una vez que se captura la información del paquete, se puede visualizar esa información en la consola, transferirla a un
archivo a través de la red por medio de un servidor TFTP, o acceder a ella por medio de un navegador Web con Secure HTTP. Tenga
en cuenta que PIX no captura tráfico que no esté relacionado con él en el mismo segmento de la red. Además, esta función de captura
de paquete no incluye sistema de archivos, resolución de nombre DNS o soporte de modo promiscuo.
P.¿Es PIX compatible con OSPF?
R.La implementación de PIX Firewall en el código de la versión 6.3 es compatible con las rutas externas y de área interna y externa.
Esta versión también es compatible con la distribución de rutas estáticas para los procesos Open Shortest Path First (OSPF) y la
redistribución de rutas entre los procesos OSPF.
P.¿Es PIX compatible con PPoE?
R.La versión 6.2 del software PIX Firewall es compatible con el Protocolo punto-a-punto sobre Ethernet (PPPoE). (PPPoE
proporciona un método estándar para la utilización de autenticación de PPP sobre una red de Ethernet y muchos proveedores de
servicios de Internet (ISPs) lo ejecutan para darle acceso a las redes a las máquinas de sus clientes, por lo general, a través de DSL)
PPPoE es compatible en las interfaces exteriores de los Dispositivos de seguridad de Cisco PIX serie 500.
P.¿Es SFTP compatible con PIX?
R.No. En una conexión FTP típica, el cliente o el servidor deben comunicarse qué puerto utilizarán para la transferencia de datos. El
PIX puede inspeccionar esta conversación y abrir ese puerto. Sin embargo, con SFTP se cifra esta conversación y el PIX no puede
determinar qué puertos abrir, por lo tanto se produce un error en la conexión SFTP.
Una posible solución alternativa para esta situación es utilizar un cliente SFTP que sea compatible con el uso de un “canal de datos
despejado”. Con esta opción habilitada, el PIX debería poder determinar qué puerto necesita abrir.
P.¿Hay alguna manera de filtrar paquetes de correo electrónico en Cisco Secure PIX Firewall? Por ejemplo,
¿puedo hacer que Cisco Secure PIX Firewall filtre el virus “I luv you”?
R.Cisco Secure PIX Firewall no realiza filtrado de contenido en la capa de la aplicación. En otras palabras, no inspecciona la porción
de datos del paquete TCP. Por lo tanto, no puede filtrar contenido de correo electrónico. La mayoría de los servidores de correo
electrónico modernos pueden filtrar en la capa de la aplicación.
P.Cuando intento utilizar la Traducción de dirección de red (NAT) en Cisco Secure PIX Firewall mediante
sentencias NAT/GLOBAL, tengo problemas con los usuarios externos que no pueden acceder a los hosts internos
sistemáticamente. ¿Cuál es el problema?
R.La NAT dinámica que utiliza los comandos nat y global crea un estado de conexión/traducción temporal que SIEMPRE se genera
desde una interfaz de nivel de seguridad superior a una interfaz de nivel de seguridad inferior (de adentro hacia afuera). Los
conductos de estas traducciones generadas dinámicamente sólo se aplican cuando se genera el estado de conexión. Todo host interno
en el cual un host externo necesite iniciar una conexión, sin que el host interno establezca primero una conexión hacia afuera, debe
estar traducido mediante el comando static. Al traducir estáticamente el host, este estado de conexión está permanentemente
asignado y todos los conductos que se aplican a esta traducción estática permanecen abiertos en todo momento. Con esto en su lugar,
las conexiones IP pueden iniciarse desde Internet sin errores. Con el software PIX versión 5.0.x y versiones posteriores, puede usar
las listas de acceso en lugar de los conductos.
P.Tengo un servidor Web en el interior traducido estáticamente al exterior. Los usuarios exteriores no pueden
ingresar. ¿Cuál es la causa?
R.La asignación estática hace posible la traducción/conexión. De forma predeterminada, Cisco Secure PIX Firewall rechaza TODOS
los intentos de conexión entrante, a menos que se permita explícitamente. Este “permiso” se otorga cuando aplica un conducto a la
traducción estática. Las sentencias de conductos le indican a Cisco Secure PIX Firewall a quien de Internet desea admitir, dónde y en
qué protocolo y puerto. Con el software PIX versión 5.0.x y versiones posteriores, puede usar las listas de acceso en lugar de los
conductos.
P.Tengo un servidor Web en la interfaz interna de Cisco Secure PIX. Está asignado a una dirección pública
exterior. Quiero que mis usuarios internos puedan acceder a este servidor a través de su nombre DNS o dirección
externa. ¿Cómo puedo hacerlo?
R.Las reglas del TCP no le permiten hacer esto, pero hay buenas soluciones alternativas. Por ejemplo, imagine que la dirección IP
real de su servidor Web es 10.10.10.10 y que la dirección pública es 99.99.99.99. DNS resuelve 99.99.99.99 en www.mydomain.com
Si el host interno (por ejemplo 10.10.10.25) intenta ir a www.mydomain.com, el navegador lo resuelve en 99.99.99.99. A
continuación, el navegador envía ese paquete fuera de PIX, que a su vez, lo envía hacia afuera al router de Internet. El router de
Internet ya cuenta con una subred de conexión directa de 99.99.99.x. Por lo tanto, supone que el paquete no estaba destinado a ésta,
sino a un host directamente conectado, y descarta el paquete. Para solucionar este problema, su host interno debe resolver
www.midominio.com a su dirección 10.10.10.10 real o debe quitar el segmento externo de la red 99.99.99.x, de modo que pueda
configurarse el router para que enrute este paquete al PIX.
Si su DNS reside fuera de PIX (o a lo largo de uno de sus DMZ), puede utilizar el comando alias en Cisco Secure PIX Firewall para
reparar el paquete DNS y que éste resuelva en al dirección 10.10.10.10. Asegúrese de reiniciar la PC para descargar la caché DNS
después de realizar este cambio. (Haga la prueba al hacer ping en www.mydomain.com antes y después de aplicar el comando alias
para asegurarse de que la resolución cambie de la dirección 99.99.99.99 a la 10.10.10.10).
Si tiene su propio servidor DNS dentro de la red, esto no funciona ya que la búsqueda DNS nunca atraviesa el PIX, por lo tanto no
hay nada que solucionar. En este caso, configure el DNS local en consecuencia o utilice archivos "hosts" locales en la PC para
resolver este nombre, La otra opción es mejor porque es más confiable. Saque la subred 99.99.99.x del PIX y del router. Elija un
esquema de numeración RFC 1918 que no se utilice internamente (o en ninguna interfaz PIX del perímetro). Luego, coloque una
sentencia de ruta de regreso al PIX para esta red y recuerde cambiar su ruta PIX predeterminada hacia afuera por la nueva dirección
IP del router. El router externo recibe este paquete y lo vuelve a enlutar a PIX basándose en la tabla de enrutamiento. El router ya no
ignorará este paquete ya que no hay interfaces configuradas en esa red.
PIX 6.2 introduce una nueva función denominada NAT bidireccional, que ofrece la funcionalidad del comando alias y más.
Consulte Comprensión del comando alias para Cisco Secure PIX Firewall para obtener más información sobre el comando alias.
Consulte Utilización de NAT externa en la referencia de comandos de PIX para obtener más información sobre la función NAT
bidireccional.
Nota: Si ejecuta la versión 7.x del software PIX/ASA, se recomienda no utilizar el comando alias. En su lugar, se recomienda la
NAT externa con switch DNS. Consulte la Sección Inspección de DNS de Cómo aplicar inspección protocolo de capa de aplicación.
P.¿Cisco Secure PIX Firewall es compatible con la asignación de puertos?
R.El PIX es compatible con la redirección de entrada con la versión 6.0 de PIX Software. Las versiones anteriores de dicho software
no son compatibles con la asignación de puertos.
P.¿Puedo asignar una sola dirección interna a más de una dirección externa?
R.El Secure PIX Firewall de Cisco sólo permite una traducción individual para un host local (interno). Si tiene más de dos interfaces
en Cisco PIX Firewall, puede traducir una dirección local a distintas direcciones en cada interfaz respectiva pero sólo se permite una
traducción por interfaz para cada dirección. Asimismo, no puede realizar una asignación estática de una sola dirección externa para
direcciones locales múltiples.
P.¿Puedo conectar dos ISP diferentes a mi Cisco Secure PIX Firewall (para Balance de carga)?
R.No, no puede usar balance de carga en PIX. El Secure PIX Firewall de Cisco está diseñado para administrar una sola ruta
predeterminada. Cuando conecta dos ISP a un solo PIX, significa que el firewall necesita tomar decisiones de enrutamiento a un
nivel de mayor inteligencia. En su lugar, utilice un router de gateway fuera de PIX para que éste continúe enviando todo el tráfico a
un router. Ese router puede realizar un equilibrio de ruta/carga entre los dos ISP. Una alternativa es contar con dos routers dentro del
PIX utilizando protocolo de router de reserva directa (HSRP) y establecer que la gateway predeterminada del PIX sea la dirección
HSRP virtual. De forma alternativa, si es posible, puede utilizar Open Shortest Path First (OSPF) que soporta balance de carga entre
un máximo de tres pares en una sola interfaz.
P.¿Cuántas direcciones PAT puedo tener en Cisco Secure PIX Firewal?
R.En la versión 5.2 de PIX Software y versiones posteriores, puede tener direcciones PAT múltiples por interfaz. Las versiones
anteriores de PIX Software no soportan direcciones PAT múltiples por interfaz.
P.¿Hay alguna manera de indicarle a Cisco Secure PIX Firewall que otorgue más ancho de banda a ciertos
usuarios?
R.No.
P.Necesito que mis usuarios tengan acceso a carpetas compartidas en el dominio NT desde ubicaciones remotas.
¿Cómo lo hago?
R.El protocolo NetBios de Microsoft permite el uso compartido de archivos e impresoras. La habilitación de NetBios en la Internet
no cumple con los requisitos de seguridad de la mayoría de las redes. Además, NetBios es difícil de configurar con NAT. Si bien
Microsoft lo hace más seguro a través del uso de tecnología de cifrado que funciona perfectamente con el PIX, es posible abrir los
puertos necesarios.
En breve, necesitará establecer traducciones estáticas para todos los hosts que requieran acceso y conductos (o listas de acceso en
PIX Sotware 5.0x y versiones posteriores) para los puertos TCP 135 y 139 y para los puertos UDP 137 y 138. Debe utilizar un
servidor WINS para resolver las direcciones traducidas a NetBios o un archivo LMHOSTS local correctamente configurado en todas
las máquinas del cliente remoto. Si utiliza WINS, cada uno de los hosts debe contar con una entrada WINS estática para las
direcciones locales y las direcciones traducidas de los hosts a los que se accede. El uso de LMHOSTS también debe contar con
ambos a menos que los usuarios remotos nunca estén conectados a la red interna (por ejemplo, equipos portátiles). Se debe poder
acceder al servidor WINS desde Internet con los comandos static y conduit y los hosts remotos deben estar configurados para que
apunten a este servidor WINS. Finalmente, los arrendamientos del Protocolo de configuración de host dinámico (DHCP) deben estar
configurados de forma tal que nunca caduquen. También puede configurar la dirección IP estáticamente en los hosts a los que
necesite acceder desde Internet.
Una forma más segura de hacerlo es configurar el Protocolo de Tunelización punto a Punto (PPTP) o el cifrado IPsec. Consulte con
los especialistas en diseño y seguridad de red para obtener más detalles sobre las ramificaciones de seguridad.
P.Estoy en la consola/Telnet de PIX y veo un error como “ 201008: The PIX is disallowing new connections".
(201008: PIX no está habilitando conexiones nuevas). Mi PIX no pasa ningún tráfico entrante o el tráfico saliente.
¿Cuál es el problema?
R.Este error significa que está ejecutando un “TCP syslog fiable” en el software de un servidor Syslog de PIX Firewall (PFSS) en un
sistma Windows NT y que el sistema no responde a los mensajes syslog de PIX. Para corregir este problema, intente alguna de las
siguientes opciones:
Vaya al servidor NT que ejecuta PFSS y corrija el problema que evita que el servidor acepte datos de syslog de PIX. El
problema es generalmente se debe a un disco duro lleno o a un problema con la ejecución del servicio syslog.
Inhabilite la función TCP syslog y vuelva a la utilidad estándar de syslog UDP. Esto puede realizarse en la línea del comando
de PIX con el comando logging host [in_if_name] ip_address [protocol/port]. Escriba logging host ip_address, luego
escriba el comando sin la porción protocolo/puerto. Queda predeterminado el protocolo/puerto estándar de UDP/514.
Nota: La función “TCP syslog fiable” de PIX y PFSS tiene como objetivo crear una política de seguridad que establezca que “si PIX
no puede registrarlo, entonces no lo haga”. Si éste no era su propósito, entonces no debe ejecutar “TCP syslog fiable”. En su lugar,
utilice las capacidades estándar de syslog que no boquean el tráfico entrante y saliente si el servidor syslog no se encuentra
disponible.
P.Cuando ejecuto ciertos comandos en el PIX con los cuales accedo a la configuración en Flash (comando show
config), obtengo el siguiente error "The Flash device is in use by another task (El dispositivo Flash está siendo
utilizado por otra tarea)" ¿Qué significa?
R.Esta salida muestra un ejemplo de este error:
pixfirewall#write memory
Building configuration...
Cryptochecksum: 386bb809 e4d28698 91990edb 8483760c
The flash device is in use by another task.
[FAILED]
Type help or '?' for a list of available commands.
pixfirewall#
Esto significa que hay otra sesión en PIX donde alguien ha utilizado write terminal o un comando similar con el cual se accede a
Flash y que está esperando un mensaje "--more--" (más).
Para verificarlo, ejecute el comando who mientras esté conectado a la consola del PIX.
PIX#who
0: 14.36.1.66
PIX#
En este ejemplo, ve que un usuario de 14.36.1.66 está conectado a PIX a través de Telnet. Puede utilizar el comando kill para obligar
a ese usuario a desconectarse.
PIX#kill ?
usage: kill <telnet_id>
PIX#kill 0
PIX#who
PIX#
El usuario se ha desconectado y ahora puede realizar la operación Flash. En la remota posibilidad de que esto no funcione, puede
solucionar el problema reiniciando el PIX.
P.¿Puedo operar el PIX en una configuración “uno armado”?
R.No, el PIX no puede operar en una configuración “uno armado” debido al algoritmo de seguridad adaptable bajo el cual opera el
PIX. Consulte Introducción a PIX Firewall para obtener más información.
Por ejemplo, si tiene un PIX con dos interfaces (interna y externa) y en la interfaz interna hay una red 10.1.1.0/24. Fuera de esta red
hay un router con una red 10.1.2.0/24 conectada a él. A continuación, supongamos que hay un servidor en la interfaz interna que es
10.1.1.5. Este host tiene una gateway predeterminada de la interfaz interna del PIX (10.1.1.1). En esta situación, supongamos que el
PIX cuenta con la información de enrutamiento correcta, por ejemplo, una ruta interna 10.1.2.0 255.255.255.0 10.1.1.254 donde
10.1.1.254 es la dirección IP del router. Usted podría creer que el host 10.1.1.5 puede mandar un paquete a 10.1.2.20 y que este
paquete se dirige al PIX, luego se lo vuelve a dirigir al router en 10.1.1.254 y continúa hacia el host de destino. Sin embargo, este no
siempre es el caso. El PIX no envía redirecciones ICMP como un router. Además, el PIX no permite que el paquete deje la interfaz
de la cual proviene. Por lo tanto, Si suponemos que el host 10.1.1.5 envió un paquete con una dirección de destino de 10.1.2.20 a la
interfaz interna del PIX, el PIX descartará el paquete porque estaba destinado a salir de la misma interfaz (interfaz interna) de la que
provino. Esto sucede en todas las interfaces PIX, no sólo en la interfaz interior. En esta situación, la solución es que el host 10.1.1.5
establezca que la interfaz del router (10.1.1.254) sea su gateway predeterminada y que luego tenga una gateway predeterminada en el
punto del router para el PIX (10.1.1.1).
P.¿PIX opera correctamente si está conectado a un puerto troncal del switch?
R.Sí, sin embargo el PIX se debe configurar para el encapsulado 802.1Q. Este tema se aborda en ¿Es PIX compatible con 802.1Q en
las interfaces?
P.¿Puedo configurar un tiempo de espera en el puerto de la consola del PIX?
R.Si, esta es una nueva característica de la versión 6.3. Consulte el comando console timeout.
P.Sé que PIX puede ejecutar NAT en base a la dirección de origen, pero, ¿puede hacerlo en base a la dirección de
destino?
R.Únicamente en la versión 6.2 y posteriores de PIX se puede implementar NAT basado en el destino. Consulte la Documentación
de PIX Firewall Versión 6.2 para obtener más información.
P.No logro que Network File System (NFS) funcione en PIX. ¿Qué estoy haciendo mal?
R.El PIX no soporta portmapper (puerto 111) sobre TCP. Debe configurar su NFS para reemplazarlo por UDP.
P.¿Crea PIX listas de control de acceso basadas en el tiempo (ACLs)?
R.A diferencia de Cisco IOS, PIX no genera ACL basadas en tiempo. Si autentica los usuarios que acceden al PIX y el servidor de
autenticación soporta la limitación de usuarios a determinados momentos del día, entonces PIX acata el rechazo de esos usuarios.
P.¿Puedo personalizar el texto de los mensajes syslog que envía PIX?
R.Los mensajes de syslog que genera PIX están codificados en el sistema operativo y no es posible personalizarlos.
P.¿Puede PIX realizar resolución de nombres?
R.Si bien un PIX correctamente configurado permite el tráfico de Sistema de nombres de dominio (DNS) para que los dispositivos
internos y externos realicen DNS, el PIX no resuelve nombres.
P.Veo mensajes “connection denied” (conexión denegada) en el PIX syslog además de rechazos de Telnets en las
interfaces de PIX. Pero no veo rechazos para otro tráfico en las interfaces de PIX. ¿Esto es normal?
R.Antes de la versión 6.2.2, los mensajes de denegación para el tráfico en las interfaces de PIX se limitan a Telnets o puertos
TCP/23 denegados. En 6.2.3 y 6.3.1, se agregan nuevos mensajes syslog de los cuales syslog ID 710003 maneja el tráfico denegado
en las mismas interfaces de PIX.
P.No puedo enviar ping desde la red que se encuentra en el interior de PIX a la interfaz exterior de PIX, Tampoco
desde la red que se encuentra en el exterior de PIX a la interfaz interna del mismo. ¿Esto es normal?
R.Sí, a diferencia de Cisco IOS, el PIX no responde a las solicitudes ICMP efectuadas a las interfaces del "lado lejano" del
dispositivo que ejecuta comandos ping en el PIX.
P.¿Pude el PIX actuar como servidor NTP?
R.No.
P. ¿Es posible cambiar los puertos predeterminados que se utilizan para IPsec en el PIX?
R.No.
P.¿Es PIX compatible con los Servicios de nombres de dominio dinámicos (DDNS)?
R.No.
P.Se configura un Cisco PIX Firewall para que se comunique con un servidor de actualización automática de
CiscoWorks y se ha detenido todo el tráfico que pasaba por allí. ¿Por qué sucede esto y cómo lo soluciono?
R.El Firewall PIX de Cisco detiene todas las conexiones nuevas si está configurado para comunicarse con el servidor de
actualización automática y no ha sido contactado por un lapso de tiempo. Un administrador puede cambiar el valor del período de
tiempo de espera utilizando el comando auto-update timeout period.
La especificación de Actualización automática suministra la infraestructura necesaria para que las aplicaciones de administración
remotas descarguen las configuraciones del PIX Firewall, las imágenes de software y para que realicen un control básico desde una
ubicación centralizada. La imposibilidad de comunicarse con el servidor hace que PIX deje de pasar todo el tráfico.
P.No puedo acceder a la interfaz interior del PIX cuando estoy conectado a través de un túnel VPN. ¿Cómo puedo
hacer esto?
R.No se puede acceder a la interfaz interna del PIX desde el exterior y viceversa, a menos que el comando management-access se
configure en el modo de configuración global. Una vez que se habilita management-access, se debe configurar el acceso a Telnet,
SSH, o HTTP para los hosts deseados.
pix(config)#management-access inside
pix(config)#show running-config management-access
management-access inside
© 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 21 Enero 2009
http://www.cisco.com/cisco/web/support/LA/10/106/106346_pixfaq.html
Descargar