Configuración Cisco ASA 5510 (Final)

EXAMEN FINAL
CONFIGURACIN DEL FIREWALL CSICO ASA 5510
PRESENTADO POR:
JUAN CARLOS MORENO OMAA
COD: 1150428
JOSE OMAR MORENO REYES
COD: 0152808
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

INGENIERIA DE SISTEMAS
SAN JOSE DE CUCUTA
2015 I
EXAMEN FINAL
CONFIGURACIN DEL FIREWALL CSICO ASA 5510
PROFESOR:
ING. JEAN POLO CEQUEDA OLAGO
ASIGNATURA:
SEGURIDAD INFORMTICA
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

INGENIERIA DE SISTEMAS
SAN JOSE DE CUCUTA
2015 I
DEESCRIPCION
El dispositivo de seguridad adaptable de la serie Cisco ASA 5500 es una plataforma que proporciona
servicios de seguridad y VPN de prxima generacin para entornos que van desde oficinas pequeas/
hogareas y empresas medianas hasta grandes empresas. La serie Cisco ASA 5500 ofrece a las
empresas un portafolio completo de servicios que se personalizan mediante ediciones de productos
adaptados para firewall, prevencin de intrusiones (IPS), anti-X y VPN.
Estas ediciones permiten una proteccin superior al proporcionar los servicios adecuados para cada
ubicacin. Cada edicin combina un conjunto centrado de servicios Cisco ASA para satisfacer las
necesidades de entornos especficos dentro de la red empresarial. Al satisfacer las necesidades de
seguridad de cada ubicacin, se eleva la posicin de seguridad de toda la red.
CONFIGURACIN POR INTERFAZ WEB CISCO ASA 5510
Establecer dos zonas: La LAN y la INTERNET y crear reglas de acceso en el firewall que permitan el
paso de trfico desde INTERNET hacia la LAN solo para 3 protocolos y 5 puertos, por ejemplo: FTP,
HTTP, SMTP. El resto de los puertos y servicios deben estar denegados.
Generalmente, la comunicacin desde la LAN es transparente as que el enrutador debe permitir la
salida de paquetes desde la LAN.
Requisitos para realizar la configuracin:
- Tener instalado el software PuTTy.
Pasos para la configuracin:
1. Ejecutamos PuTTy y configuramos el tipo de conexin (serial) por el cual nos conectaremos al
Cisco ASA 5510.
2. Abrimos la conexin (click en open).
3. Entramos a la opcin de configuracin mediante el comando conf t ). Quedando en esta ruta
ciscoasa(config)#.
4. Ahora restauramos de fbrica el dispositivo mediante el comando configure factory-default
Donde parametrizara la configuracin asi:
Nombre-host personalizado: 'ciscoasa'
IP: Este puede ser: 192.168.1.1
Mask: 255.255.255.0
5. Creamos un usuario y contrasea para poder acceder y tener un control del dispositivo, mediante
el comando user admin password 12345
Donde admin es el nombre de usuario y 12345 la contrasea establecida para ese usuario.
6. Conectar el Pc por el puerto MGMT, en modo DHCP.
7. Debe aadirse esta IP en excepciones de Java, para acceder as https://192.168.1.1 con y sin s, al
administrador del dispositivo ASA , en la pestaa 'Seguridad' y luego en el botn 'Lista de
excepciones de sitio' Java.
3.1 Aparece 'Cisco ASDM ..' (conviene tener activo el protocolo SSL, para ejecutar Cisco
ASDM como una aplicacin local permanente, sin usar el explorador web) instalando 'ASDM
Launcher'.
8. Para acceder con todos los privilegios, ejecutamos: ciscoasa(config)# username admin
password admin privilege 15
9. Instalamos ASDM Installer e ingresamos los datos de acceso configurados.
10. Descargamos e instalamos 'dm-launcher.msi'
11. Iniciamos sesin con nuestra IP y dems.
12. Habilitamos acceso desde HTTP con: ciscoasa(config)# aaa authentication http console
LOCAL, para luego, tener listo el acceso directo de escritorio, con nombre de la IP administrativa
del dispositivo.
13. En la interfaz, vamos a 'Configuracin'-> 'Ajuste Dispositivo'-> y 'Asistente Inicial'; esto, para
reconfigurar la interfaz administrativa, -> 'next'.
14. (Configuracin bsica). Ponemos el nombre del dispositivo personalizado 'ciscoasa'-> 'next'
Topologia
15. (Config. Interfaz Externa). Aqu, configuramos la Interfaz LAN (ver esquema/topologa):
a. Interfaz: Ethernet0/0
b. Nombre Interfaz: LAN
c. Habilitamos interfaz
d. Nivel de Seguridad: 0
-> Configuracin IP (Puerta de Enlace para/hacia el Pc): 192.168.2.1
Mask: 255.255.255.0, -'next'
16. En esta interfaz, quedan habilitadas las interfaces Ethernet0/0 (LAN), con Nivel_Seguridad 0, IP:
192.168.2.1)
y Management0/0 (MGMT [management]) con Nivel_Seguridad 100, IP:
192.168.1.1 (naturalmente) y mismas mscaras.
17. Editamos la interfaz para/hacia Internet (red Interna-Externa [IPv4] asegurada), Ethernet0/1 as:
a. Nombre Interfaz: WAN
b. Habilitamos interfaz
c. IP (Puerta de Enlace principal/tradicional de Red): 172.16.0.1, mask: 255.255.0.0
d. Nivel de Seguridad: 0
e. Y habilitamos trfico entre interfaces con mismo nivel.
18. Si se desea, se pueden definir rutas estticas en Static Routes'.
19. El servidor DHCP sirve para definir IPs para ms HOSTs (naturalmente en red Interna).
Principalmente definimos el rango (Pool):
a. Habilitamos 'Servidor DHCP en interfaz administrativa'.
b. En Ip de Inicio: 192.168.1.2, IP Fin: 192.168.1.254.
20. Definimos Firewall usando NAT/PAT/No_usar para el trfico entre las interfaces Interna y Externa
(Esto se hace en la interfaz Ethernet0/0).
Si no se desea traduccin de direcciones (NAT), se puede usar PAT para que dichas direcciones
se procesen por un nico puerto.
Para esto, podemos usar la IP interfaz predefinida del Dispositivo (ASA), u otra.
21. Configuramos la Interfaz administrativa del ASA, en la cual los hosts/redes tendrn acceso al ASA,
por medio de:
a. Type: HTTPS/ASDM
b. Interfaz: management
c. IP: 192.168.1.0
d. Mask: 255.255.255.0
e. Habilitamos el servidor HTTP para dicho acceso.
22. Si se necesita, se puede habilitar Actualizar y administrar la configuracin e imagen del ASA o del
ASDM, remotamente.
23. Estadsticas a Cisco (si prefiere).
24. Finalizamos y aplicamos.
25. Realizamos barridos a los hosts LAN e Internet:
a. 192.168.2.2: ciscoasa# ping 192.168.2.2
b. 172.16.0.2: ciscoasa# ping 192.168.0.2
26. Vamos a 'Configuracin-> Firewall-> Access Rules' para agregar las reglas al Firewall, donde
solo se permitir el barrido desde la LAN a la WAN (Internet).
En este caso particular:
a. Permitimos 'icmp' y 'echo-reply'
b. Denegamos toda 'ip's.
c. Click en '+Add'
Estas reglas se agregarn a las ACLs necesarias, haciendo que solo se puedan enviar 'pings' desde
LAN a WAN; Para otro servicio se tendr que utilizar otros protocolos y no ser permitido.
CONFIGURACION POR COMANDO CLI CISCO ASA 5510

Interface
Name if
Security-level
ip address
Switch port access
Object network
Nat
Route
Se pueden manejar/identificar 2 interfaces:

1) Interfaz de hardware: Lnea de Comandos de configuracin para asignar interfaces fsicas a los puertosSwitch
y activarlos/habilitarlos, o
2) Y " Virtual de Switch: Asignar nombres y niveles de seguridad a interfaces VLAN.
* NAMEIF:
Con nameif se hace 2). Nombres comunes: (Externo/Internet e Interno/LAN) o DMZ.
* Nivel de Seguridad:
Son valores numricos, rankeados entre 0 y 100, para el control de flujo de trfico. Este flujo se permite entre
interfaces con niveles de seguridad ms altos a los ms bajos, pero no en sentido contrario.
En cambio, las listas de Acceso se deben usar para permitir trfico desde los ms bajos a los ms altos.
Luego, por defecto, el nivel de Seg. para una interfaz externa, es 0. Para una interna, es 100. Para DMZ es 50.
El orden de asignacin de nombres para las interfaces interna, externa y DMZ, es relevante y se debe respetar.
* Ej. para VLANs:
ciscoasa(config)# interface vlan1
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# interface vlan2
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
* IP:
Este comando asigna una IP a (en este caso), una interfaz VLAN ya sea esttica o dinmica (DHCP cliente).
-> Nota: Si se usan mscaras no-estandarizadas, debe configurarse, de lo contrario, estas mscaras de subred se
auto-configuran por defecto.
Luego, para VLAN interna (en este caso, VLAN 1):
ciscoasa(config-if)# interface vlan 1
ciscoasa(config-if)# ip address 192.168.1.1

Y para VLAN 2, la interfaz externa se configure como un cliente DHCP. El estamento setroute le dice al
dispositivo obtenga la ruta por defecto del servidor DHCP.
Luego,
ciscoasa(config-if)# ip address dhcp setroute
* Acceso de PuertoSwitch. (No para la serie 55X0)
Este comando asigna una interfaz fsica a una interfaz (en este caso, VLAN) lgica, identificndola(s) y
asignndola(s) a un puertoswitch(s) del dispositivo, activndola(s).
Entonces;
ciscoasa(config-if)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 2
ciscoasa(config-if)# no shutdown
* NAT:
Este estamento le dice al firewall que permita todo el trfico desde la interfaz interna a la externa, para usar
cualquier direccin dinmicamente (DHCP) configurada en la interfaz externa.
As: ciscoasa(config) #nat (inside,outside) dynamic interface
* Route:
Este comando, en su forma ms bsica, asigna una ruta por defecto, al trfico tpicamente a un router del ISP.
Tambin puede usarse en conjunto con Listas de Acceso para enviar tipos de trfico especfico a hosts
especficos en subredes especficas.
En el Ej. este comando se usa para configurar la ruta por defecto 12.3.4.6, al router del ISP.
* Ej:
Ciscoasa (config-if)# route outside 0 0 12.3.4.6
Donde los 2 ceros antes de la direccin del router son representacin para una IP: 0.0.0.0 y Mask: 0.0.0.0.
El estamento externo identifica la interfaz a travs del cual el trfico fluir siguiendo dicha ruta por defecto.
Entonces, este comando crea un firewall bsico, sin embargo, usar un aparato sofisticado como Cisco PIX o
dispositivo de Seguridad ASA para desempear tales funciones firewall bsicas es excesivo.
** Otros comandos:
- hostname: Para identificar el Firewall.
- telnet o SSH: Para administracin remota.
- DHCPDs: Permiten al firewall asignar IPs a hosts internos y rutas estticas.
- access-list: Permiten a hosts internos como Servidores Web DMZ o Servidores de correo DMZ ser accesibles a
hosts de internet.
* Configuracin Base Simple:

ciscoasa(config-if)# route outside 0 0 12.3.4.6
ciscoasa(config-if)# object network obj_any
ciscoasa(config-network-object)# subnet 0.0.0.0 0.0.0.0
ciscoasa(config)# nat (inside,outside) dynamic interface
ciscoasa(config)# exit
* Sample Base Configuration #1 (Static IP Address on Outside Interface):
ciscoasa(config-if)# ip address 12.3.4.5 255.255.255.0
ciscoasa(config-if)# route outside 0 0 12.3.4.6
ciscoasa(config-if)#object network net-192.168.106
ciscoasa(config-network-object)#subnet 192.168.106.0 255.255.255.0
ciscoasa(config)#nat (inside,outside) dynamic interface
ciscoasa(config)#exit
En esta configuracin, la direccin de interfaz externa y ruta por defecto se configuraron manualmente. Si su
interfaz externa se conecta a una red con un servidor DHCP, como el ISP, podra configurarse la interfaz VLAN 2
como cliente DHCP con el comando ip address dhcp setroute.
Usar el estamento setroute elimina la necesidad de configurar la ruta por defecto manual (ruta externa 0 0
12.3.4.6)
* Y Sample Base Configuration #2 (DHCP-assigned IP Address on Outside Interface):
ciscoasa(config-if)# ip address dhcp setroute
ciscoasa(config-if)#object network net-192.168.106
ciscoasa(config-network-object)#subnet 192.168.106.0 255.255.255.0
ciscoasa(config)#nat (inside,outside) dynamic interface
ciscoasa(config)#exit
BIBLIOGRAFIA
1. Especificaciones del dispositivo cisco ASA

https://www.cisco.com/web/ES/publicaciones/07-08-cisco-dispositivos-serieASA5500.pdf
2. Video de configuraciones bsicas por CLI
https://www.youtube.com/watch?v=VQ0YvL2F7yU
3. Video de configuracin por ASDM
https://www.youtube.com/watch?v=jIjOmwbScLs
https://www.youtube.com/watch?v=gZxJxu7DElw

Configuración Cisco ASA 5510 (Final)

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Configuración Cisco ASA 5510 (Final)

Uploaded by

Copyright:

Available Formats

EXAMEN FINAL

CONFIGURACIN DEL FIREWALL CSICO ASA 5510

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

CONFIGURACIN POR INTERFAZ WEB CISCO ASA 5510

CONFIGURACION POR COMANDO CLI CISCO ASA 5510

Se pueden manejar/identificar 2 interfaces:

ciscoasa(config-if)# interface vlan 1

ciscoasa(config-if)# ip address 192.168.1.1

* Configuracin Base Simple:

1. Especificaciones del dispositivo cisco ASA

You might also like