Scribd
Cargar
142 vistas8 páginas

Configuración Firewall ASA Básica

Este documento proporciona instrucciones para configurar la seguridad perimetral y el acceso remoto en un firewall ASA utilizando GNS3. Explica cómo configurar NAT dinámico y estático, interfaces de red, reglas de acceso y rutas estáticas. El objetivo es implementar tres zonas de seguridad (inside, DMZ, outside) y permitir el tráfico entre ellas a través de la traducción de direcciones de red.

Cargado por

Estela Herrera
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
142 vistas8 páginas

Configuración Firewall ASA Básica

Este documento proporciona instrucciones para configurar la seguridad perimetral y el acceso remoto en un firewall ASA utilizando GNS3. Explica cómo configurar NAT dinámico y estático, interfaces de red, reglas de acceso y rutas estáticas. El objetivo es implementar tres zonas de seguridad (inside, DMZ, outside) y permitir el tráfico entre ellas a través de la traducción de direcciones de red.

Cargado por

Estela Herrera
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

DSS101.

Guía 8 1

Facultad: Ingeniería
Escuela: Electrónica
Asignatura: Diseño de sistemas de seguridad para redes

Tema: Configuración inicial Firewall ASA


Contenidos

• Configuración inicial del Firewall


• Configuración de NAT dinámico y estático.
• Configuración del acceso remoto por TELNET
• Configuración del acceso remoto por SSH

Objetivos Específicos
• Implementar un sistema de seguridad emulando un firewall ASA con GNS3.
• Que el estudiante realice la configuración inicial de un firewall ASA.
• Aplicar el concepto de Network Address Translation (NAT).
• Acceder remotamente a firewall por medio de TELNET y SSH

Materiales y Equipo
• Programa GNS3.

Introducción Teórica

La seguridad perimetral es una de las piezas clave de la política de seguridad de una empresa. Es uno
de los elementos de seguridad más críticos de una empresa cuando se conecta a Internet y por regla
general es implementada en cortafuegos o “firewall” figura 1, un dispositivo hardware capaz de
analizar todas las conexiones entrantes/salientes simultáneamente. Su configuración debe ser acorde
según la política de seguridad definida. Además, dado que sobre este dispositivo se analizan las reglas
de seguridad, en ocasiones se puede convertir en el cuello de botella, situación que hay que evitar.

Figura 1. Topología de red donde se define dos zonas Internet e Intranet , separadas por un cortafuegos con 3 niveles de seguridad
definidos (Inside, DMZ, Outside) conectando al exterior (Internet) por un router.

El ASA analiza y registra las conexiones entrantes y salientes implementando NAT. Con esta técnica,
al ASA se le permite en todo momento tener control de las conexiones establecidas y rechazar
conexiones no permitidas. El ASA define niveles de seguridad o zonas de seguridad, que en el caso
de la presente práctica son tres: inside, dmz, outside, las cuales quedan asociadas con niveles 100,
50 y 0 respectivamente. La regla que aplica el ASA por defecto es: “no se puede pasar de nivel
de seguridad menor a uno mayor”. En base a esto, vamos a desarrollar toda la práctica.
Procedimiento

En esta práctica realizaremos la configuración inicial de un firewall ASA 5520, emulándolo en nuestra
PC por medio de GNS3. Las áreas de seguridad serán Inside, DMZ y Outside

La topología a implementar se muestra en la figura 2. En la topología de red presentada, se utilizará


tres máquinas virtuales VPCS, las cuales proporciona GNS3. una VPCS (PC1) se utilizará para la
zona DMZ generalmente usada para servidores disponibles a Internet, PC2 para la zona Inside,
considerada como la red interna y finalmente, PC3 ubicada en la zona red outside, que simboliza
una red pública o Internet.

Figura 2. Topología red completa en GNS3.

1. Inicie la aplicación de GNS3 y genere un nuevo proyecto.

2. Coloque el Firewall ASA y las VPCS en el área de trabajo, los


dispositivos los puede encontrar en la sección de Browse all
devices.

3. Conecte los dispositivos tal como se muestra en la figura 2.

4. Inicie la emulación.

Figura 3. Sección de Browser all devices.


DSS101. Guía 8 3
5. Configure los parámetros IP de cada VPCS, para esto abra la terminal de la VPCS y ejecute los
siguientes comandos.

Para PC1:

ip 172.17.0.2 255.255.0.0 172.17.0.1


save

Para PC2:

ip 192.168.0.2 255.255.255.0 192.168.0.1


save

Para PC3:

ip 10.0.12.2 255.255.252.0 10.0.12.1


save

Configuración inicial del firewall ASA 5520

6. Abra la consola del Firewall ASA 5520 y ejecute los siguientes comandos.

ciscoasa> enable
Password: <enter>

7. Ejecute comandos de verificación y observe la información que proporciona el firewall.

ciscoasa # show run


ciscoasa # show memory
ciscoasa # show version

8. Configuración de nombre y contraseñas del Firewall.

ciscoasa # configure terminal


Nota: se le preguntara si desea habilitar el reporte de error anónimo, responda que no (N)

ciscoasa (config)# hostname MyFirewall


MyFirewall(config)# enable password serudb
MyFirewall(config)# passwd telnetudb
MyFirewall(config)# write memory

Nota: con el comando write memory se guarda la configuración, es importante que al finalizar la
práctica borre dicha configuración (write erase).
9. Para la red de Outside utilizaremos un pool de direcciones para poderlas asignar al proceso de
NAT, para realizar las conversiones de direcciones internas a externas.

Pool de direcciones: 10.0.13.150 a la 10.0.13.154

10. Configuramos las interfaces asignando: nombre, nivel de seguridad, dirección de red y
velocidad.

MyFirewall(config)# interface gigabitEthernet 2


MyFirewall(config-if)#nameif outside
MyFirewall(config-if)# security-level 0
MyFirewall(config-if)# ip address 10.0.13.150 255.255.252.0
MyFirewall(config-if)# no shutdown
MyFirewall(config-if)# exit

Note que se utilizó la primera IP 10.0.13.150 del grupo de direcciones asignado para la red
outside, quedando 4 direcciones disponibles para el proceso de NAT.

MyFirewall(config)# interface gigabitEthernet 1


MyFirewall(config-if)#nameif inside
MyFirewall(config-if)# security-level 100
MyFirewall(config-if)# ip address 192.168.0.1 255.255.255.0
MyFirewall(config-if)# no shutdown
MyFirewall(config-if)# exit

MyFirewall(config)# interface gigabitEthernet 0


MyFirewall(config-if)#nameif DMZ
MyFirewall(config-if)# security-level 50
MyFirewall(config-if)# ip address 172.17.0.1 255.255.0.0
MyFirewall(config-if)# no shutdown
MyFirewall(config-if)# exit

MyFirewall(config)# write memory

11. Verifique las configuraciones actuales con el comando:

MyFirewall(config)# show run

12. Para que el firewall ASA pueda encaminar, dado que también hace funciones de router,
configuraremos una ruta estática por defecto al Gateway de la red ouside (podría ser por
ejemplo al router de Internet) con coste 1

MyFirewall(config)# route outside 0.0.0.0 0.0.0.0 10.0.12.1 1

13. Realice pruebas de conectividad desde el Firewall hacia PC1 DMZ, PC2 inside y PC3 outside.

MyFirewall(config)# ping 172.17.0.2


MyFirewall(config)# ping 192.168.0.2
MyFirewall(config)# ping 10.0.12.2

Todos deberán ser exitosos


DSS101. Guía 8 5
Configuración de NAT dinámico y estático.

Luego de configurar las interfaces, habilitaremos la comunicación entre las diferentes zonas: inside,
DMZ y outside, según sus niveles de seguridad 100, 50 y 0 respectivamente. La regla que aplica el
ASA es: “no se puede pasar de nivel de seguridad menor a uno mayor”.

Para poder establecer la comunicación entre zonas, el ASA debe poder realizar registros de
conexiones y para ello utiliza NAT. La configuración de NAT conlleva siempre la configuración de
2 comandos, nat que se asocia a la interfaz de entrada indicando qué IP interna entra en el NAT
y global que se asocia a la interfaz de salida donde se especifica la IP (o IPs) externa.

NAT dinámico.

MyFirewall(config)# object network my-range


MyFirewall(config-network-object)# range 10.0.13.151 10.0.13.153
MyFirewall(config-network-object)# exit

Nota: tome en cuenta el grupo de direcciones outside (en negritas), utilizaremos desde la
segunda IP hasta la cuarta IP del rango.

MyFirewall(config)# object network inside-subnet


MyFirewall(config-network-object)# subnet 192.168.0.0 255.255.255.0
MyFirewall(config-network-object)# exit

MyFirewall(config)# object network dmz-range


MyFirewall(config-network-object)# range 172.17.0.2 172.17.0.10
MyFirewall(config-network-object)# exit
MyFirewall(config)# nat (inside,outside) source dynamic inside-subnet my-range
MyFirewall(config)# nat (DMZ,outside) source dynamic dmz-range my-range

MyFirewall(config)# write memory

14. Ejecute comandos de verificación de nat.

MyFirewall(config)# show nat


MyFirewall(config)# show xlate

El comando show nat mostrara las políticas de NAT configuradas con sus coincidencias, no
debería de haber coincidencias ya que no se han realizado traducciones de IP.

El comando show xlate mostrara las direcciones IP asignadas en la traducción de IP, en este
momento no debería de haber direcciones asignadas.

15. Desde PC inside haga ping hacia la PC3 (10.0.12.2) d e la red outside, el ping no tendrá
respuesta por seguridad, pero se habrá hecho la traducción de NAT. Ejecute nuevamente desde
el Firewall los comandos:

MyFirewall(config)# show nat


MyFirewall(config)# show xlate
16. Repita el paso anterior, realizando ping des la PC DMZ hacia PC3 outside y ejecutando los
comandos de verificación de NAT en el Firewall.

NAT estático

En esta parte configuraremos:


• NAT estático para atar una dirección de la red DMZ a una dirección de la red outside, muy
utilizado para definir direcciones públicas a los servidores.
• NAT estático para comunicar la red inside con la red DMZ.

MyFirewall(config)# object network inside-static


MyFirewall(config-network-object)# subnet 192.168.0.0 255.255.255.0
MyFirewall(config-network-object)# nat (inside,DMZ) static 172.17.0.200
MyFirewall(config-network-object)# exit

MyFirewall(config)# object network dmz-static


MyFirewall(config-network-object)# host 172.17.0.12
MyFirewall(config-network-object)# nat (DMZ,outside) static 10.0.13.154
MyFirewall(config-network-object)# exit

Note que se utilizó la última IP d e l r a ng o (10.0.13.154)

MyFirewall(config)# clear xlate


MyFirewall(config)# write memory

17. Realice las las siguientes pruebas para comprobar el funcionamiento del nat estatico.

• Cambie la IP de la PC1 DMZ por la IP 172.17.0.12 y realice un ping desde esta PC


hacia la 10.0.12.2, compruebe la traducción hecha por el firewall ASA.

• Realice un ping desde la PC2 inside hacia la PC1 DMZ (172.17.0.12)

MyFirewall(config)# show xlate


DSS101. Guía 8 7

18. Para las pruebas de funcionamiento de las siguientes partes de la guía, usted debe sustituir PC2
inside por una máquina virtual (Windows con puTTY instalado o Linux) de VirtualBox y asignar
la IP 192.168.0.2

Configuración de acceso TELNET al Firewall

19. Se configurará el acceso telnet para PC2 inside (MV Windows o Linux)

MyFirewall(config)# telnet 192.168.0.2 255.255.255.255 inside

20. Compruebe el acceso TELNET, desde PC2 inside hacia la interface inside del Firewall
(192.168.0.1):

En consola:

telnet 192.168.0.1

Utilizando Putty:

Configuración de acceso SSH al Firewall

MyFirewall(config)# username myFirewall password mypass


MyFirewall(config)# aaa authentication ssh console LOCAL
MyFirewall(config)# ssh 192.168.0.2 255.255.255.255 inside
MyFirewall(config)# domain-name serudb.com.sv
MyFirewall(config)# crypto key generate rsa modulus 1024
MyFirewall(config)# write memory
21. Compruebe el acceso SSH con usuario myFirewall, desde PC2 inside

En consola:
ssh [email protected]

Utilizando Putty:

22. Realice lo necesario para que la computadora que se encuentra en la zona DMZ también pueda
acceder vía Telnet y SSH hacia la interface DMZ del firewall ASA.

También podría gustarte