TECNOLÓGICO NACIONAL DE MÉXICO

INSTITUTO TECNOLÓGICO DE QUERÉTARO

UNIDAD PINAL DE AMOLES
Materia:
Seguridad
Tema:
Reporte de práctica sobre configuración de ASA.
Numero de control:
14141420
Alumno
Gallegos Guerrero Daniela
Grupo
P6E
Asesor:
Ing. José Antonio Castañeda Osornio
Tutor:
Lic. Eucebio Martínez Olvera
Fecha de elaboración
22/09/2018
Introducción
El presente trabajo muestra información relevante acerca de la elaboración de una
practica dentro de Packet Tracer, la cual consiste en la configuración del dispositivo
adaptivo de cisco ASA, donde se identifique la interfaz, estructura del dispositivo,
comandos de configuración.

Topología

Tabla de direcciones
Proceso
Realizar las configuraciones de ASA y la seguridad de la interfaz con la CLI

Configurar el nombre de host y el nombre de dominio.

a. Configure el nombre de host ASA como CCNAS-ASA.

b. Configure el nombre de dominio como ccnasecurity.com.

Configurar la contraseña del modo de habilitar.

Use el comando enable password para cambiar la contraseña del modo EXEC
privilegiado a ciscoenpa55.

Configurar las interfaces internas y externas.

Solo configurará las interfaces VLAN 1 (interior) y VLAN 2 (exterior) en este

momento.

a. Configure una interfaz lógica de VLAN 1 para la red interna

(192.168.1.0/24) y configure el nivel de seguridad en la configuración más
alta de 100.

b. Cree una interfaz lógica de VLAN 2 para la red externa

(209.165.200.224/29), establezca el nivel de seguridad en la configuración
más baja de 0 y habilite la interfaz de VLAN 2.
Paso 5: probar la conectividad con el ASA.

a. Debería poder enviar un ping desde la PC-B a la ASA dentro de la dirección

de la interfaz (192.168.1.1). Si los pings fallan, resuelva la configuración
según sea necesario.

b. Desde PC-B, haga ping a la interfaz VLAN 2 (exterior) en la dirección IP

209.165.200.226. No deberías poder hacer ping a esta dirección.

CONFIGURAR LA POLÍTICA DE ENRUTAMIENTO, TRADUCCIÓN DE

DIRECCIONES E INSPECCIÓN UTILIZANDO LA CLI

Configurar una ruta predeterminada estática para el ASA.

Configurar una ruta estática predeterminada en la interfaz externa de ASA para

permitir que ASA llegue a redes externas.

CCNAS-ASA (config) # route outside 0.0.0.0 0.0.0.0 209.165.200.225

Verificar que el ASA pueda hacer ping a la dirección IP R1 S0 / 0/0 10.1.1.1. Si el

ping no tiene éxito, solucione los problemas según sea necesario.

Paso 2: configure la traducción de direcciones usando PAT y objetos de red.

a. Cree un objeto de red dentro de la red y asígnele atributos usando los
comandos subnet y nat.
CCNAS-ASA(config)# object network inside-net
CCNAS-ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0
CCNAS-ASA(config-network-object)# nat (inside,outside) dynamic interface
CCNAS-ASA(config-network-object)# end
Modificar la política de servicio global de inspección de aplicaciones MPF
predeterminada.

a. Crea el mapa de clases, el mapa de políticas y la política de servicio.

Agregue la inspección del tráfico ICMP a la lista de mapas de políticas con
los siguientes comandos:
CCNAS-ASA(config)# class-map inspection_default
CCNAS-ASA(config-cmap)# match default-inspection-traffic
CCNAS-ASA(config-cmap)# exit
CCNAS-ASA(config)# policy-map global_policy
CCNAS-ASA(config-pmap)# class inspection_default
CCNAS-ASA(config-pmap-c)# inspect icmp
CCNAS-ASA(config-pmap-c)# exit
CCNAS-ASA(config)# service-policy global_policy global

Parte 4: configure DHCP, AAA y SSH Paso 1: configure el ASA como un servidor
DHCP.
a. Configure un grupo de direcciones DHCP y habilítelo en la interfaz ASA
CCNAS-ASA (config) # dhcpd address 192.168.1.5-192.168.1.36 inside.
b. (Opcional) Especifique la dirección IP del servidor DNS que se le asignará a
los clientes. Interfaz
CCNAS-ASA (config) # dhcpd dns 209.165.201.2 interface inside

c. Habilite el daemon DHCP dentro del ASA para escuchar las solicitudes del
cliente DHCP en la interfaz habilitada (adentro).
CCNAS-ASA (config) # dhcpd enable inside

d. Cambie PC-B de una dirección IP estática a un cliente DHCP y verifique

que reciba información de direccionamiento IP. Solucionar problemas,
según sea necesario para resolver cualquier problema

Paso 2: configure AAA para usar la base de datos local para la autenticación.
a. Defina un usuario local llamado admin ingresando el comando de nombre
de usuario. Especifique una contraseña de adminpa55.
CCNAS-ASA (config) # username admin password adminpa55

b. Configure AAA para usar la base de datos ASA local para la autenticación
de usuario SSH.
CCNAS-ASA(config)# aaa authentication ssh console LOCAL

Paso 3: configure el acceso remoto al ASA.

 a. Genere un par de claves RSA, que es necesario para admitir conexiones
SSH. Debido a que el dispositivo ASA tiene las claves RSA en su lugar,
ingrese no cuando se le solicite que las reemplace.
CCNAS-ASA(config)# crypto key generate rsa modulus 1024
WARNING: You have a RSA keypair already defined named <Default-RSA-
Key>.

Do you really want to replace them? [yes/no]: no

ERROR: Failed to create new RSA keys named <Default-RSA-Key>
b. Configurar el ASA para permitir conexiones SSH desde cualquier host en la
red interna (192.168.1.0/24) y desde el host de administración remota en la
sucursal (172.16.3.3) en la red externa. Establezca el tiempo de espera de
SSH en 10 minutos (el valor predeterminado es de 5 minutos).
CCNAS-ASA(config)# ssh 192.168.1.0 255.255.255.0 inside
CCNAS-ASA(config)# ssh 172.16.3.3 255.255.255.255 outside
CCNAS-ASA(config)# ssh timeout 10
c. Establezca una sesión de SSH de PC-C a ASA (209.165.200.226). Solucione
problemas si no es exitoso.
PC> ssh -l admin 209.165.200.226
d. Establezca una sesión de SSH desde la PC-B hasta la ASA (192.168.1.1).
Solucione problemas si no es exitoso.
PC> ssh -l admin 192.168.1.1

Parte 5: configure una DMZ, NAT estática y ACL

Paso 1: Configurar la interfaz DMZ VLAN 3 en el ASA.
a. Configure DMZ VLAN 3, que es donde residirá el servidor web de acceso
público. Asigne la dirección IP 192.168.2.1/24, asígnele el nombre dmz y
asígnele un nivel de seguridad de 70. Como el servidor no necesita iniciar la
comunicación con los usuarios internos, deshabilite el reenvío a la interfaz
VLAN 1.
CCNAS-ASA(config)# interface vlan 3
CCNAS-ASA(config-if)# ip address 192.168.2.1 255.255.255.0
CCNAS-ASA(config-if)# no forward interface vlan 1
CCNAS-ASA(config-if)# nameif dmz
INFO: Security level for "dmz" set to 0 by default.
CCNAS-ASA(config-if)# security-level 70

b. Asigne la interfaz física ASA E0 / 2 a DMZ VLAN 3 y habilite la interfaz.

CCNAS-ASA(config-if)# interface Ethernet0/2
CCNAS-ASA(config-if)# switchport access vlan 3
CONFIGURE NAT ESTÁTICA EN EL SERVIDOR DMZ UTILIZANDO UN
OBJETO DE RED.
Configurar un objeto de red denominado dmz-server y asígnele la dirección IP
estática del servidor DMZ (192.168.2.3). Mientras está en el modo de definición de
objeto, use el comando nat para especificar que este objeto se usa para traducir
una dirección DMZ a una dirección externa usando NAT estática, y especifique
una dirección pública traducida de 209.165.200.227.
CCNAS-ASA(config)# object network dmz-server
CCNAS-ASA(config-network-object)# host 192.168.2.3
CCNAS-ASA(config-network-object)#nat (dmz,outside) static 209.165.200.227
CCNAS-ASA(config-network-object)# exit
Configurar una ACL para permitir el acceso al servidor DMZ desde Internet.
Configure una lista de acceso con nombre OUTSIDE-DMZ que permita el
protocolo TCP en el puerto 80 desde cualquier host externo a la dirección IP
interna del servidor DMZ. Aplique la lista de acceso a la interfaz externa de ASA
en la dirección "IN".
CCNAS-ASA(config)#access-list OUTSIDE-DMZ permit icmp any host
192.168.2.3
CCNAS-ASA(config)#access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3
eq 80
CCNAS-ASA(config)# access-group OUTSIDE-DMZ in interface outside
Nota: A diferencia de las ACL de IOS, la declaración de permiso de ACL de ASA
debe permitir el acceso a la dirección DMZ privada interna. Los hosts externos
acceden al servidor utilizando su dirección NAT estática pública, ASA lo traduce a
la dirección IP del host interno y luego aplica la ACL.
Conclusión
El realizar esta práctica me ayudo para comprender un poco más a lo que se refiere
el tema de ASA, ya que este ayuda a tener más seguro nuestra red, en especifico
nuestros dispositivos. La verdad es que no es suficiente con solo investigar sino que
es importante realizarlo para poder comprenderlo más, además de que sería
importante realizarlo de forma física, sin embargo el realizarlo en Packet Tracer es
una forma de poner en práctica nuestros conocimietos.
Bibliografía

Jose. (2013). Cisco ASA. 22/09/2018, de blog Sitio web:

https://www.facebook.com/PcSystemSupportMx/photos/los-dispositivos-
deseguridad-adaptativa-de-cisco-asa-serie-5500-ofrecen-
unaamp/608439809213434/
Alvaro. (2010). Dispositivos adaptables de seguridad de la serie Cisco ASA 5500.
22/09/2018, de blog Sitio web:
https://www.cisco.com/c/dam/global/es_es/assets/publicaciones/07-08-
ciscodispositivos-serie-ASA5500.pdf
Victor. (2015). Configure el ASA para las redes internas duales. 22/09/2018, de
blog Sitio web:
https://www.cisco.com/c/es_mx/support/docs/ip/networkaddress-translation-
nat/119195-configure-asa-00.html#anc8
https://www.certsi.es/alerta-temprana/avisos-seguridad/vulnerabilidad-
ciscoadaptative-security-appliance-asa