EXAMEN FINALCONFIGURACIÓN DEL FIREWALL CSICO ASA 5510 PRESENTADO POR: JUAN CARLOS MORENO OMAÑA COD: 1150428 JOSE OMAR MORENO REYES COD: 0152808 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SAN JOSE DE CUCUTA 2015 – I EXAMEN FINAL CONFIGURACIÓN DEL FIREWALL CSICO ASA 5510 PROFESOR: ING. JEAN POLO CEQUEDA OLAGO ASIGNATURA: SEGURIDAD INFORMÁTICA UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SAN JOSE DE CUCUTA 2015 – I . Creamos un usuario y contraseña para poder acceder y tener un control del dispositivo. Entramos a la opción de configuración mediante el comando “ conf t “). Requisitos para realizar la configuración: . Estas ediciones permiten una protección superior al proporcionar los servicios adecuados para cada ubicación. SMTP. CONFIGURACIÓN POR INTERFAZ WEB CISCO ASA 5510 Establecer dos zonas: La LAN y la INTERNET y crear reglas de acceso en el firewall que permitan el paso de tráfico desde INTERNET hacia la LAN solo para 3 protocolos y 5 puertos. por ejemplo: FTP. 2. Ahora restauramos de fábrica el dispositivo mediante el comando “configure factory-default” Donde parametrizara la configuración asi: Nombre-host personalizado: 'ciscoasa' IP: Este puede ser: 192. Quedando en esta ruta “ciscoasa(config)#”. Abrimos la conexión (click en open). El resto de los puertos y servicios deben estar denegados. Cada edición combina un conjunto centrado de servicios Cisco ASA para satisfacer las necesidades de entornos específicos dentro de la red empresarial.1. La serie Cisco ASA 5500 ofrece a las empresas un portafolio completo de servicios que se personalizan mediante ediciones de productos adaptados para firewall. Pasos para la configuración: 1.0 5. 6. la comunicación desde la LAN es transparente así que el enrutador debe permitir la salida de paquetes desde la LAN. Al satisfacer las necesidades de seguridad de cada ubicación. 4.255. Generalmente. mediante el comando “user admin password 12345” Donde admin es el nombre de usuario y 12345 la contraseña establecida para ese usuario. anti-X y VPN. se eleva la posición de seguridad de toda la red. en modo DHCP. Conectar el Pc por el puerto MGMT.255. HTTP.168.Tener instalado el software PuTTy.DEESCRIPCION El dispositivo de seguridad adaptable de la serie Cisco® ASA 5500 es una plataforma que proporciona servicios de seguridad y VPN de próxima generación para entornos que van desde oficinas pequeñas/ hogareñas y empresas medianas hasta grandes empresas. . prevención de intrusiones (IPS). 3.1 Mask: 255. Ejecutamos PuTTy y configuramos el tipo de conexión (serial) por el cual nos conectaremos al Cisco ASA 5510. para acceder así https://192. para luego. 3. Debe añadirse esta IP en excepciones de Java. IP (Puerta de Enlace principal/tradicional de Red): 172.168. (Config. IP: 192. Habilitamos interfaz d. Si no se desea traducción de direcciones (NAT). (Configuración básica).1 Aparece 'Cisco ASDM .0. 17. se puede usar PAT para que dichas direcciones se procesen por un único puerto. Si se desea. Nivel de Seguridad: 0 e. Y habilitamos tráfico entre interfaces con mismo nivel. En Ip de Inicio: 192. tener listo el acceso directo de escritorio. con nombre de la IP administrativa del dispositivo. Principalmente definimos el rango (Pool): a.' (conviene tener activo el protocolo SSL. en la pestaña 'Seguridad' y luego en el botón 'Lista de excepciones de sitio' Java.255. configuramos la Interfaz LAN (ver esquema/topología): a. 20. 12.0 d. Definimos Firewall usando NAT/PAT/No_usar para el tráfico entre las interfaces Interna y Externa (Esto se hace en la interfaz Ethernet0/0). 14. IP Fin: 192. Nombre Interfaz: LAN c.2. sin usar el explorador web) instalando 'ASDM Launcher'.168.168.168. IP: 192. El servidor DHCP sirve para definir IPs para más HOSTs (naturalmente en red Interna). Descargamos e instalamos 'dm-launcher.168.1.1. Ethernet0/1 así: a. para reconfigurar la interfaz administrativa.0. . para ejecutar Cisco ASDM como una aplicación local permanente.1 Mask: 255. Habilitamos 'Servidor DHCP en interfaz administrativa'. podemos usar la IP interfaz predefinida del Dispositivo (ASA).255.16. Habilitamos acceso desde HTTP con: ciscoasa(config)# aaa authentication http console LOCAL. Ponemos el nombre del dispositivo personalizado 'ciscoasa'-> 'next' Topologia 15. se pueden definir rutas estáticas en ´Static Routes'. Aquí.255. vamos a 'Configuración'-> 'Ajuste Dispositivo'-> y 'Asistente Inicial'. Habilitamos interfaz c. Instalamos ASDM Installer e ingresamos los datos de acceso configurados.1.168. -'next' 16. con Nivel_Seguridad 0. esto.7. Interfaz Externa).. Editamos la interfaz para/hacia Internet (red Interna-Externa [IPv4] asegurada). Iniciamos sesión con nuestra IP y demás. 19.1. ejecutamos: ciscoasa(config)# username admin password admin privilege 15 9.msi' 11.1 con y sin s.254. En esta interfaz. 8.2. En la interfaz.2. 10. mask: 255. b. Interfaz: Ethernet0/0 b. 13.1) y Management0/0 (MGMT [management]) con Nivel_Seguridad 100.1 (naturalmente) y mismas máscaras. u otra.0. Nivel de Seguridad: 0 -> Configuración IP (Puerta de Enlace para/hacia el Pc): 192. quedan habilitadas las interfaces Ethernet0/0 (LAN). al administrador del dispositivo ASA . -> 'next'.1. Para acceder con todos los privilegios. Para esto. 18. Nombre Interfaz: WAN b. 2: ciscoasa# ping 192.255. donde solo se permitirá el barrido desde la LAN a la WAN (Internet). 23.0 e. haciendo que solo se puedan enviar 'pings' desde LAN a WAN. Realizamos barridos a los hosts LAN e Internet: a.21.2: ciscoasa# ping 192. Habilitamos el servidor HTTP para dicho acceso. CONFIGURACION POR COMANDO CLI CISCO ASA 5510 Interface Name if Security-level ip address Switch port access Object network Nat Route Se pueden manejar/identificar 2 interfaces: 1) Interfaz de hardware: Línea de Comandos de configuración para asignar interfaces físicas a los puertosSwitch y activarlos/habilitarlos.1. ° Vamos a 'Configuración-> Firewall-> Access Rules' para agregar las reglas al Firewall. Click en '+Add' Estas reglas se agregarán a las ACLs necesarias. por medio de: a.0. o 2) Y " Virtual de Switch: Asignar nombres y niveles de seguridad a interfaces VLAN. 22. Mask: 255. Si se necesita.16. Configuramos la Interfaz administrativa del ASA.2.2 b. En este caso particular: a. Denegamos toda 'ip's. IP: 192.0 d. * NAMEIF: Con nameif se hace 2). Finalizamos y aplicamos. en la cual los hosts/redes tendrán acceso al ASA. Type: HTTPS/ASDM b. Interfaz: management c. Estadísticas a Cisco (si prefiere).2 26. 25.2. remotamente. Permitimos 'icmp' y 'echo-reply' b. se puede habilitar Actualizar y administrar la configuración e imagen del ASA o del ASDM. * Nivel de Seguridad: . Nombres comunes: (Externo/Internet e Interno/LAN) o DMZ. 192.168. c.168.168. Para otro servicio se tendrá que utilizar otros protocolos y no será permitido.255. 24. 172.0.168. ciscoasa(config-if)# interface vlan2 ciscoasa(config-if)# nameif outside INFO: Security level for "outside" set to 0 by default.Son valores numéricos. por defecto. Luego. estas máscaras de subred se auto-configuran por defecto. Para una interna. es 100. para VLANs: ciscoasa(config)# interface vlan1 ciscoasa(config-if)# nameif inside INFO: Security level for "inside" set to 100 by default. VLAN 1): ciscoasa(config-if)# interface vlan 1 . debe configurarse. de lo contrario. para VLAN interna (en este caso. las listas de Acceso se deben usar para permitir tráfico desde los más bajos a los más altos. pero no en sentido contrario. Este flujo se permite entre interfaces con niveles de seguridad más altos a los más bajos. El orden de asignación de nombres para las interfaces interna. para una interfaz externa. Para DMZ es 50. ciscoasa(config-if)# interface vlan3 ciscoasa(config-if)# nameif dmz ciscoasa(config-if)# security-level 50 * IP: Este comando asigna una IP a (en este caso). En cambio. * Ej. externa y DMZ. el nivel de Seg. rankeados entre 0 y 100. es 0. para el control de flujo de tráfico. Luego. es relevante y se debe respetar. -> Nota: Si se usan máscaras no-estandarizadas. una interfaz VLAN ya sea estática o dinámica (DHCP cliente). Entonces. sin embargo. En el Ej.4. para usar cualquier dirección dinámicamente (DHCP) configurada en la interfaz externa. (No para la serie 55X0) Este comando asigna una interfaz física a una interfaz (en este caso.1. ciscoasa(config-if)# interface ethernet 0/0 ciscoasa(config-if)# switchport access vlan 2 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# interface ethernet 0/1 ciscoasa(config-if)# switchport access vlan 1 ciscoasa(config-if)# no shutdown * NAT: Este estamento le dice al firewall que permita todo el tráfico desde la interfaz interna a la externa. El estamento externo identifica la interfaz a través del cual el tráfico fluirá siguiendo dicha ruta por defecto. Luego.0 y Mask: 0. la interfaz externa se configure como un cliente DHCP.3.0.ciscoasa(config-if)# ip address 192. asigna una ruta por defecto. ** Otros comandos: . Así: ciscoasa(config) #nat (inside.3. VLAN) lógica. al tráfico típicamente a un router del ISP. activándola(s).6. También puede usarse en conjunto con Listas de Acceso para enviar tipos de tráfico específico a hosts específicos en subredes específicas.0.0. al router del ISP.4.outside) dynamic interface * Route: Este comando. El estamento ‘setroute’ le dice al dispositivo obtenga la ruta por defecto del servidor DHCP. ciscoasa(config-if)# interface vlan 2 ciscoasa(config-if)# ip address dhcp setroute * Acceso de PuertoSwitch. identificándola(s) y asignándola(s) a un puertoswitch(s) del dispositivo.6 Donde los 2 ceros antes de la dirección del router son representación para una IP: 0. este comando se usa para configurar la ruta por defecto 12.1 Y para VLAN 2.168.hostname: Para identificar el Firewall.DHCPDs: Permiten al firewall asignar IPs a hosts internos y rutas estáticas. este comando crea un firewall básico. en su forma más básica.telnet o SSH: Para administración remota.0. .0. Entonces. . . usar un aparato sofisticado como Cisco PIX o dispositivo de Seguridad ASA para desempeñar tales funciones firewall básicas es excesivo. * Ej: Ciscoasa (config-if)# route outside 0 0 12. access-list: Permiten a hosts internos como Servidores Web DMZ o Servidores de correo DMZ ser accesibles a hosts de internet.1. ciscoasa(config-if)# interface vlan2 ciscoasa(config-if)# nameif outside INFO: Security level for "outside" set to 0 by default.168.1 ciscoasa(config-if)# route outside 0 0 12.5 255.4.0 0.255.6 ciscoasa(config-if)#object network net-192. * Configuración Base Simple: ciscoasa(config)# interface vlan1 ciscoasa(config-if)# nameif inside INFO: Security level for "inside" set to 100 by default.0.106.outside) dynamic interface ciscoasa(config)#exit .168.1 ciscoasa(config-if)# route outside 0 0 12.6 ciscoasa(config-if)# object network obj_any ciscoasa(config-network-object)# subnet 0.255.106 ciscoasa(config-network-object)#subnet 192.106.0 ciscoasa(config)# nat (inside.3.0 ciscoasa(config)#nat (inside.0 255.3.168.255.168.outside) dynamic interface ciscoasa(config)# exit * Sample Base Configuration #1 (Static IP Address on Outside Interface): ciscoasa(config)# interface vlan1 ciscoasa(config-if)# nameif inside INFO: Security level for "inside" set to 100 by default. ciscoasa(config-if)# interface ethernet 0/0 ciscoasa(config-if)# switchport access vlan 2 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# interface ethernet 0/1 ciscoasa(config-if)# switchport access vlan 1 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# interface vlan 2 ciscoasa(config-if)# ip address 12. ciscoasa(config-if)# interface vlan2 ciscoasa(config-if)# nameif outside INFO: Security level for "outside" set to 0 by default..0.5 ciscoasa(config-if)# interface vlan 1 ciscoasa(config-if)# ip address 192.0. ciscoasa(config-if)# interface ethernet 0/0 ciscoasa(config-if)# switchport access vlan 2 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# interface ethernet 0/1 ciscoasa(config-if)# switchport access vlan 1 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# interface vlan 2 ciscoasa(config-if)# ip address 12.0.4.4.0 ciscoasa(config-if)# interface vlan 1 ciscoasa(config-if)# ip address 192.255.3.3.4. 3.106.168. como el ISP.En esta configuración. podría configurarse la interfaz VLAN 2 como cliente DHCP con el comando ‘ip address dhcp setroute’.1 ciscoasa(config-if)#object network net-192. ciscoasa(config-if)# interface ethernet 0/0 ciscoasa(config-if)# switchport access vlan 2 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# interface ethernet 0/1 ciscoasa(config-if)# switchport access vlan 1 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# interface vlan 2 ciscoasa(config-if)# ip address dhcp setroute ciscoasa(config-if)# interface vlan 1 ciscoasa(config-if)# ip address 192. la dirección de interfaz externa y ruta por defecto se configuraron manualmente.255. Usar el estamento ‘setroute’ elimina la necesidad de configurar la ruta por defecto manual (ruta externa 0 0 12.255.168. ciscoasa(config-if)# interface vlan2 ciscoasa(config-if)# nameif outside INFO: Security level for "outside" set to 0 by default. Si su interfaz externa se conecta a una red con un servidor DHCP.106.168.6) * Y Sample Base Configuration #2 (DHCP-assigned IP Address on Outside Interface): ciscoasa(config)# interface vlan1 ciscoasa(config-if)# nameif inside INFO: Security level for "inside" set to 100 by default.0 ciscoasa(config)#nat (inside.4.106 ciscoasa(config-network-object)#subnet 192.0 255.outside) dynamic interface ciscoasa(config)#exit . Video de configuración por ASDM https://www. Especificaciones del dispositivo cisco ASA https://www.pdf 2. Video de configuraciones básicas por CLI https://www.BIBLIOGRAFIA 1.youtube.com/web/ES/publicaciones/07-08-cisco-dispositivos-serieASA5500.com/watch?v=gZxJxu7DElw .com/watch?v=VQ0YvL2F7yU 3.youtube.youtube.cisco.com/watch?v=jIjOmwbScLs https://www.