Scribd
Cargar
94 vistas7 páginas

Lab ASA

Este documento proporciona una guía de 14 pasos para configurar un firewall Cisco ASA, incluyendo la configuración de VLAN, interfaces, direccionamiento IP, autenticación, enrutamiento, NAT, ACL y más, con el objetivo de segmentar una red en tres zonas (outside, inside, DMZ) y aplicar reglas de seguridad entre ellas.

Cargado por

Natalia ;v
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
94 vistas7 páginas

Lab ASA

Este documento proporciona una guía de 14 pasos para configurar un firewall Cisco ASA, incluyendo la configuración de VLAN, interfaces, direccionamiento IP, autenticación, enrutamiento, NAT, ACL y más, con el objetivo de segmentar una red en tres zonas (outside, inside, DMZ) y aplicar reglas de seguridad entre ellas.

Cargado por

Natalia ;v
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Carrera: Ingeniería en Telecomunicaciones Materia: SCO310 “Seguridad de redes en telecomunicaciones”

Docente: Marco Antonio Arenas Porcel

GUIA DE LABORATORIO
CONFIGURACION ASA (Cisco Adaptive Security Appliance)
El firewall Cisco ASA, es un FW de próxima generación, tiene muchas funcionalidades
y versatilidad, es uno de los FW más implementados en el mundo.
Una de las series más difundidas es la 5500-x, y las más accesible es la 5505, en la
cual nos concentraremos en el presente LAB.

1. ESCENARIO A CONFIGURAR

En el escenario se tiene 3 zonas de red segmentadas. En esta caso el FW trabajara en


modo routing. Por eso las zonas (rojo=outside, verde=inside, naranja=DMZ), para los
cuales se deben definir con cuidado los niveles de seguridad.
2. CASO DE ESTUDIO
En el presenta caso de estudio se tiene por lo menos 3 zonas, cada una requiere de una
VLAN y se debe habilitar la tercera VLAN para la DMZ.
Carrera: Ingeniería en Telecomunicaciones Materia: SCO310 “Seguridad de redes en telecomunicaciones”
Docente: Marco Antonio Arenas Porcel

3. CONFIGURANDO EL ENTORNO
Vale resaltar que el cisco ASA viene con un nombre por defecto “ciscoasa”, y una
contraseña luego del enable, solo se presiona enter.

ciscoasa(config)#hostname CCNAS-ASA
CCNAS-ASA(config)#domain-name ccnasecurity.com
CCNAS-ASA(config)#enable password class
CCNAS-ASA(config)#clock set 9:33:00 june 6 2016
4. CONFIGURANDO LAS VLAN
Para configurar ip’s se debe considerer que primero se deben realizer en las VLAN.
CCNA-ASA(config)#interface vlan 1
CCNA-ASA(config-if)#nameif inside
CCNA-ASA(config-if)#ip address 192.168.1.1 255.255.255.0
CCNA-ASA(config-if)#no shutdown
CCNA-ASA(config-if)#interface vlan 2
CCNA-ASA(config-if)#nameif outside
CCNA-ASA(config-if)#ip address 209.165.200.226 255.255.255.248
CCNA-ASA(config-if)#no shutdown
Ahora asociamos las VLans a las interfaces fisicas con los siguientes commandos
Carrera: Ingeniería en Telecomunicaciones Materia: SCO310 “Seguridad de redes en telecomunicaciones”
Docente: Marco Antonio Arenas Porcel

CCNAS-ASA(config)#interface ethernet 0/0


CCNAS-ASA(config-if)#switchport access vlan 2
CCNAS-ASA(config-if)#exit
CCNA-ASA(config-if)#interface ethernet 0/1
CCNA-ASA(config-if)#switchport access vlan 1
5. CONFIGURANDO TELNET
Para la configuracion de TELNET solo se configure lo siguiente:
CCNAS-ASA(config)#telnet 192.168.1.0 255.255.255.0 inside
CCNAS-ASA(config)#telnet timeout 10
6. CONFIGURANDO EL ENTORNO GRAFICO
Para configurar ASDM-WEB
CCNAS-ASA(config)#http enable
% This version of Packet Tracer does not support this option.
CCNAS-ASA(config)#http 192.168.1.0 255.255.255.0 inside
% This version of Packet Tracer does not support this option.

Nota.- estos comandos no están soportados en Packet Tracer.

7. CONFIGURANDO LA AUTENTICACION Y SEGURIDAD

Para la autenticación AAA


CCNAS-ASA(config)#username admin password cisco123
CCNAS-ASA(config)#aaa authentication ssh console LOCAL
CCNAS-ASA(config)#aaa authentication telnet console LOCAL

Para la configuración de SSH

CCNAS-ASA(config)#crypto key generate rsa modulus 1024


WARNING: You have a RSA keypair already defined named <Default-RSA-Key>.

Do you really want to replace them? [yes/no]: y


Carrera: Ingeniería en Telecomunicaciones Materia: SCO310 “Seguridad de redes en telecomunicaciones”
Docente: Marco Antonio Arenas Porcel

Keypair generation process begin. Please wait...


CCNA-ASA(config)#ssh 192.168.1.0 255.255.255.0 inside
CCNA-ASA(config)#ssh 200.87.100.2 255.255.255.255 outside
CCNA-ASA(config)#ssh timeout 10

Para enrutamiento, que en nuestro caso no se aplica debido a que nuestro firewall solo
se conecta a un switch.
CCNAS-ASA(config)#route outside 0.0.0.0 0.0.0.0 200.87.100.2

Este es un ejemplo si se tuviera a 200.87.100.2 como next hop de nuestra red.


Para ver si se creo la ruta se usa lo sgte
CCNAS-ASA#show route
Carrera: Ingeniería en Telecomunicaciones Materia: SCO310 “Seguridad de redes en telecomunicaciones”
Docente: Marco Antonio Arenas Porcel

8. CREANDO OBJETOS DE AGRUPACIÓN DE PERMISOS Y RESTRICCIONES

CCNAS-ASA(config)#object network inside-net


CCNAS-ASA(config)#subnet 192.168.1.0 255.255.255.0
CCNAS-ASA(config)#nat (inside,outside) dynamic interface
CCNAS-ASA(config)#end

Para verificar lo anterior se usa:

CCNAS-ASA $show run object


CCNAS-ASA $show run nat
CCNAS-ASA $show xlate
NOTA.- cabe resaltar que los comandos anteriores no están disponibles en packet tracer.

Para configurar el MPF


CCNAS-ASA(config)#class-map inspection_default
CCNAS-ASA(config-cmap)#match default-inspection-traffic
CCNAS-ASA(config-cmap)#exit

CCNAS-ASA(config)#policy-map global_policy
CCNAS-ASA(config-pmap)#class inspection_default
CCNAS-ASA(config-pmap-c)#inspect icmp
CCNAS-ASA(config-pmap-c)#exit

CCNAS-ASA(config)#service-policy global_policy global


Carrera: Ingeniería en Telecomunicaciones Materia: SCO310 “Seguridad de redes en telecomunicaciones”
Docente: Marco Antonio Arenas Porcel

9. CONFIGURANDO EL DHCP

CCNAS-ASA(config)#dhcpd address 192.168.1.5-192.168.1.36 inside


CCNAS-ASA(config)#dhcpd dns 209.165.201.2 interface inside
CCNAS-ASA(config)#dhcpd enable inside

Para dar el dchp a la interfaz


CCNAS-ASA(config)#interface ethernet 0/2
CCNAS-ASA(config-if)#ip address dhcp

10. CREANDO LA DMZ

CCNAS-ASA(config)#interface vlan 3
CCNAS-ASA(config-if)#nameif dmz
ERROR: This license does not allow configuring more than 2 interfaces with nameif and
without a "no forward" command on this interface or on 1 interface(s) with nameif already
configured.
NOTA.- cabe resaltar que el Packet no soporta mas de dos vlan como es lo requerido.
11. CONFIGURANDO LA DMZ
CCNAS-ASA(config-if)#interface vlan 3
CCNAS-ASA(config-if)#no forward interface vlan 1
CCNAS-ASA(config)#interface ethernet 0/2
CCNAS-ASA(config-if)#switchport access vlan 3
12. PONIENDO IP A LA VLAN
CCNAS-ASA(config)#interface Vlan3
CCNAS-ASA(config-if)#security-level 50
CCNAS-ASA(config-if)#ip address 192.168.2.1 255.255.255.0
CCNAS-ASA(config-if)#no shutdown
Carrera: Ingeniería en Telecomunicaciones Materia: SCO310 “Seguridad de redes en telecomunicaciones”
Docente: Marco Antonio Arenas Porcel

13. VERIFIQUE EL ESTADO DE SUS INTERFACES


CCNAS-ASA# show ip address
14. ONFIGURANDO NAT PARA NUESTRA RED
CCNAS-ASA(config)#object network dmz-server
CCNAS-ASA(config-network-object)#host 192.168.2.3
CCNAS-ASA(config-network-object)#nat (dmz,outside) static 209.165.200.227

CONFIGURANDO ACL’S
Esto para garantizar y cuidar el tráfico hacia la DMZ
CCNAS-ASA(config)#access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3 eq 80
CCNAS-ASA(config)# access-group OUTSIDE-DMZ in interface outside

También podría gustarte