Documente Academic
Documente Profesional
Documente Cultură
PRESENTADO POR:
JUAN CARLOS MORENO OMAA
COD: 1150428
JOSE OMAR MORENO REYES
COD: 0152808
EXAMEN FINAL
CONFIGURACIN DEL FIREWALL CSICO ASA 5510
PROFESOR:
ING. JEAN POLO CEQUEDA OLAGO
ASIGNATURA:
SEGURIDAD INFORMTICA
DEESCRIPCION
El dispositivo de seguridad adaptable de la serie Cisco ASA 5500 es una plataforma que proporciona
servicios de seguridad y VPN de prxima generacin para entornos que van desde oficinas pequeas/
hogareas y empresas medianas hasta grandes empresas. La serie Cisco ASA 5500 ofrece a las
empresas un portafolio completo de servicios que se personalizan mediante ediciones de productos
adaptados para firewall, prevencin de intrusiones (IPS), anti-X y VPN.
Estas ediciones permiten una proteccin superior al proporcionar los servicios adecuados para cada
ubicacin. Cada edicin combina un conjunto centrado de servicios Cisco ASA para satisfacer las
necesidades de entornos especficos dentro de la red empresarial. Al satisfacer las necesidades de
seguridad de cada ubicacin, se eleva la posicin de seguridad de toda la red.
Establecer dos zonas: La LAN y la INTERNET y crear reglas de acceso en el firewall que permitan el
paso de trfico desde INTERNET hacia la LAN solo para 3 protocolos y 5 puertos, por ejemplo: FTP,
HTTP, SMTP. El resto de los puertos y servicios deben estar denegados.
Generalmente, la comunicacin desde la LAN es transparente as que el enrutador debe permitir la
salida de paquetes desde la LAN.
Requisitos para realizar la configuracin:
- Tener instalado el software PuTTy.
Pasos para la configuracin:
1. Ejecutamos PuTTy y configuramos el tipo de conexin (serial) por el cual nos conectaremos al
Cisco ASA 5510.
2. Abrimos la conexin (click en open).
3. Entramos a la opcin de configuracin mediante el comando conf t ). Quedando en esta ruta
ciscoasa(config)#.
4. Ahora restauramos de fbrica el dispositivo mediante el comando configure factory-default
Donde parametrizara la configuracin asi:
Nombre-host personalizado: 'ciscoasa'
IP: Este puede ser: 192.168.1.1
Mask: 255.255.255.0
5. Creamos un usuario y contrasea para poder acceder y tener un control del dispositivo, mediante
el comando user admin password 12345
Donde admin es el nombre de usuario y 12345 la contrasea establecida para ese usuario.
6. Conectar el Pc por el puerto MGMT, en modo DHCP.
7. Debe aadirse esta IP en excepciones de Java, para acceder as https://192.168.1.1 con y sin s, al
administrador del dispositivo ASA , en la pestaa 'Seguridad' y luego en el botn 'Lista de
excepciones de sitio' Java.
3.1 Aparece 'Cisco ASDM ..' (conviene tener activo el protocolo SSL, para ejecutar Cisco
ASDM como una aplicacin local permanente, sin usar el explorador web) instalando 'ASDM
Launcher'.
8. Para acceder con todos los privilegios, ejecutamos: ciscoasa(config)# username admin
password admin privilege 15
9. Instalamos ASDM Installer e ingresamos los datos de acceso configurados.
10. Descargamos e instalamos 'dm-launcher.msi'
11. Iniciamos sesin con nuestra IP y dems.
12. Habilitamos acceso desde HTTP con: ciscoasa(config)# aaa authentication http console
LOCAL, para luego, tener listo el acceso directo de escritorio, con nombre de la IP administrativa
del dispositivo.
13. En la interfaz, vamos a 'Configuracin'-> 'Ajuste Dispositivo'-> y 'Asistente Inicial'; esto, para
reconfigurar la interfaz administrativa, -> 'next'.
14. (Configuracin bsica). Ponemos el nombre del dispositivo personalizado 'ciscoasa'-> 'next'
Topologia
15. (Config. Interfaz Externa). Aqu, configuramos la Interfaz LAN (ver esquema/topologa):
a. Interfaz: Ethernet0/0
b. Nombre Interfaz: LAN
c. Habilitamos interfaz
d. Nivel de Seguridad: 0
-> Configuracin IP (Puerta de Enlace para/hacia el Pc): 192.168.2.1
Mask: 255.255.255.0, -'next'
16. En esta interfaz, quedan habilitadas las interfaces Ethernet0/0 (LAN), con Nivel_Seguridad 0, IP:
192.168.2.1)
y Management0/0 (MGMT [management]) con Nivel_Seguridad 100, IP:
192.168.1.1 (naturalmente) y mismas mscaras.
17. Editamos la interfaz para/hacia Internet (red Interna-Externa [IPv4] asegurada), Ethernet0/1 as:
a. Nombre Interfaz: WAN
b. Habilitamos interfaz
c. IP (Puerta de Enlace principal/tradicional de Red): 172.16.0.1, mask: 255.255.0.0
d. Nivel de Seguridad: 0
e. Y habilitamos trfico entre interfaces con mismo nivel.
18. Si se desea, se pueden definir rutas estticas en Static Routes'.
19. El servidor DHCP sirve para definir IPs para ms HOSTs (naturalmente en red Interna).
Principalmente definimos el rango (Pool):
a. Habilitamos 'Servidor DHCP en interfaz administrativa'.
b. En Ip de Inicio: 192.168.1.2, IP Fin: 192.168.1.254.
20. Definimos Firewall usando NAT/PAT/No_usar para el trfico entre las interfaces Interna y Externa
(Esto se hace en la interfaz Ethernet0/0).
Si no se desea traduccin de direcciones (NAT), se puede usar PAT para que dichas direcciones
se procesen por un nico puerto.
Para esto, podemos usar la IP interfaz predefinida del Dispositivo (ASA), u otra.
21. Configuramos la Interfaz administrativa del ASA, en la cual los hosts/redes tendrn acceso al ASA,
por medio de:
a. Type: HTTPS/ASDM
b. Interfaz: management
c. IP: 192.168.1.0
d. Mask: 255.255.255.0
e. Habilitamos el servidor HTTP para dicho acceso.
22. Si se necesita, se puede habilitar Actualizar y administrar la configuracin e imagen del ASA o del
ASDM, remotamente.
23. Estadsticas a Cisco (si prefiere).
24. Finalizamos y aplicamos.
25. Realizamos barridos a los hosts LAN e Internet:
a. 192.168.2.2: ciscoasa# ping 192.168.2.2
b. 172.16.0.2: ciscoasa# ping 192.168.0.2
26. Vamos a 'Configuracin-> Firewall-> Access Rules' para agregar las reglas al Firewall, donde
solo se permitir el barrido desde la LAN a la WAN (Internet).
En este caso particular:
a. Permitimos 'icmp' y 'echo-reply'
b. Denegamos toda 'ip's.
c. Click en '+Add'
Estas reglas se agregarn a las ACLs necesarias, haciendo que solo se puedan enviar 'pings' desde
LAN a WAN; Para otro servicio se tendr que utilizar otros protocolos y no ser permitido.
ip address
Switch port access
Object network
Nat
Route
Son valores numricos, rankeados entre 0 y 100, para el control de flujo de trfico. Este flujo se permite entre
interfaces con niveles de seguridad ms altos a los ms bajos, pero no en sentido contrario.
En cambio, las listas de Acceso se deben usar para permitir trfico desde los ms bajos a los ms altos.
Luego, por defecto, el nivel de Seg. para una interfaz externa, es 0. Para una interna, es 100. Para DMZ es 50.
El orden de asignacin de nombres para las interfaces interna, externa y DMZ, es relevante y se debe respetar.
* Ej. para VLANs:
ciscoasa(config)# interface vlan1
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# interface vlan2
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# interface vlan3
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
* IP:
Este comando asigna una IP a (en este caso), una interfaz VLAN ya sea esttica o dinmica (DHCP cliente).
-> Nota: Si se usan mscaras no-estandarizadas, debe configurarse, de lo contrario, estas mscaras de subred se
auto-configuran por defecto.
Luego, para VLAN interna (en este caso, VLAN 1):
- access-list: Permiten a hosts internos como Servidores Web DMZ o Servidores de correo DMZ ser accesibles a
hosts de internet.
En esta configuracin, la direccin de interfaz externa y ruta por defecto se configuraron manualmente. Si su
interfaz externa se conecta a una red con un servidor DHCP, como el ISP, podra configurarse la interfaz VLAN 2
como cliente DHCP con el comando ip address dhcp setroute.
Usar el estamento setroute elimina la necesidad de configurar la ruta por defecto manual (ruta externa 0 0
12.3.4.6)
* Y Sample Base Configuration #2 (DHCP-assigned IP Address on Outside Interface):
ciscoasa(config)# interface vlan1
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# interface vlan2
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# switchport access vlan 1
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 2
ciscoasa(config-if)# ip address dhcp setroute
ciscoasa(config-if)# interface vlan 1
ciscoasa(config-if)# ip address 192.168.106.1
ciscoasa(config-if)#object network net-192.168.106
ciscoasa(config-network-object)#subnet 192.168.106.0 255.255.255.0
ciscoasa(config)#nat (inside,outside) dynamic interface
ciscoasa(config)#exit
BIBLIOGRAFIA