Curso ASA

Cisco ASA Adaptive Security Appliance
Telfono: (562) 362 9010 - Fax: (562) 362 9011 - Barros Errzuriz #195 !fi"ina 1#01 - $ro%i&en"ia - 'an(ia)o * +,ile
Introduccin a la Linea de equipos ASA Cap N1
Equipos ASA Caractersticas de los equipos Cisco ASA Seguridad, per or!ance y con ia"ilidad en equipos dise#ados para i!ple!entaciones de seguridad Avan$ados algorit!os de state ul inspection Autenticacin "asada en usuarios para tra ico de entrada y salida %aquinas de inspeccin integradas de protocolo y aplicacin que e&a!inan lu'os de paquetes en capa ( y ) Esque!a de polticas de seguridad !odular de pr&i!a generacin, alta!ente le&i"le y e&tensi"le *+N ro"usta para asegurar cone&iones site,to,site y accesos re!otos %-ltiples conte&tos de seguridad . ire/all virtuales0 dentro de un solo equipo Co!pletas capacidades de ailover, para garanti$ar las disponi"ilidad de la red I!ple!entacin transparente so"re a!"ientes de red e&istentes, sin requerir direcciona!iento de la red
Linea de ire/all Cisco ASA ASA 5586,(6
ASA 5586,76 ASA 5556 ASA 55(6
Costo
ASA 5576 ASA 5516 ASA 5565 S121 S%3 Enterprise 4uncionalidad S+
Caractersticas de per or!ance +ara la serie cisco ASA 55&&

Cisco AS A 5500 S e rie s M ode l/Lice nse 5505 a se / 55!0 a se / S e curity P lus S e curity P lus 5520 5540 5550 S ! all 3 us ines s, 3 ranc? E dgeInternet E dge Internet E dge Internet E dge, Ca! pus 1 ic e, E nterprise @ele/orAInternet er 156 % "ps 16666 = 75666 (666 85 166 % "ps 16 = 75 75 7 966 % "ps (56 % "ps 56666 = 196666 786666 >666 1>6 1)6 % "ps 756 756 7 17666 976 775 % "ps )56 )56 7 :56 % "ps (66666 75666 566 975 % "ps 5666 7566 7 1;7 <"ps :56666 9:666 :66 (75 % "ps 5666 5666 7
Ne tw ork loca tion P e rform a nce S um m a ry M a x im um fire w a ll a nd "P S t#rou$#%ut &M '%s( M a x fire w a ll conn M a x im um fire w a ll conn/se c P a cke ts %e r se cond &)4 'yte ( M a x *+,S /A,S - P N t#rou$#%ut M a x im um site .to.site a nd re m ote a cce ss - P N se ssions M a x im um S S L - P N use r se ssions undle d S S L - P N use r se ssion
Caractersticas tBcnicas +ara la serie cisco ASA 55&&

55 !0 a se / C isco AS A 55 00 55 05 ase / S ecu rity S erie s M o d el/L icen se S ecu rity P lu s P lu s 55 20 5 540 55 50 S ! all 3 usiness, 3 ranc? 1 ice, E nterprise Internet E dg e, N etw o rk lo catio n @ele/o rAer Internet E dge Internet E dg e Internet E dge C a! p us / ec# n ical S u m m a ry M em o ry 75: % 3 75: % 3 5 17 % 3 1 <3 ( <3 M in im u m system flas# :( % 3 :( % 3 :( % 3 :( % 3 :( % 3 5,16=166 = (,16=1 66=166 (,16 =166=16 6 7,16=166 =16 6 6, 6, 6, 9,16=166 1,16=1 66 1,16 =166 C( ,16=16 6=1 6 C( ,16=166 =16 C(,1 6=166=1 6 8,16=166=1 66 66 , ( S 4 + 66, ( S 4 + 66, ( S 4 + 6, 8 port 16=166 s/itc? /it? 7 ./it? (<E ./it? (<E ./it? (<E (,S 4 + , "n te$ rated % o rts2 + o /er over E t?erne t ports S S % 0 SS%0 SS%0 1,16=166 M ax im u m 0irtu al 9 .trunAing d isa"led 05 = 56 = in terface s &- L AN s( 76 .trunAing ena"le d0 1 66 15 6 766 756
Capacidades de e&pansin +ara la serie cisco ASA 55&&

Cisco ASA 5500 Series Model/License Network location ,x%ansion Ca%a'ilities SSC/SSM/"C ,x%ansion SSC/SSM/"Cs su%%orted "ntrusion Pre0ention Concurrent t#reat miti$ation t#rou$#%ut &M'%s( &firewall 1 "PS ser0ices( Content Security &anti. 0irus2 anti.s%yware2 file 'lockin$( Maximum num'er of users for anti.0irus2 anti.s%yware2 file 'lockin$ &CSC SSM only( Content Security Plus License features 5505 ase / Security Plus S!all 3usiness, 3ranc? 1 ice, Enterprise @ele/orAer 55!0 ase / Security Plus Internet Edge 5520 Internet Edge 5540 Internet Edge 5550 Internet Edge, Ca!pus
1,SSC 4uture, SSC Not availa"le
Not availa"le Not availa"le
1,SS% 1,SS% 1,SS% Not Availa"le CSC SS%, AI+ CSC SS%, AI+ CSC SS%, AI+ SS%, (<E SS% SS%, (<E SS% SS%, (<E SS% Not Availa"le Des ./it? AI+ Des ./it? AI+ SS%0 Des ./it? AI+ SS%0 SS%0 Not Availa"le 775 ./it? AI+ SS%,160 156 ./it? AI+ 9)5 ./it? AI+ 566 ./t? AI+ SS%,160 SS%,760 SS%,760 966 ./it? AI+ (56 ./it? AI+ :56 ./it? AI+ SS%,760 SS%,(60 SS%,(60 Not availa"le Des ./it? CSC SS%0 Des ./it? CSC SS%0 Des ./it? CSC SS%0 Not availa"le
566 .CSC, 566 .CSC, SS%,160 566 .CSC,SS%,160 SS%,160 1666 .CSC, 1666 .CSC, 1666 .CSC, SS%,760 SS%,760 SS%,760 Anti,spa!, anti, Anti,spa!, anti, Anti,spa!, anti, p?is?ing, EFL p?is?ing, EFL p?is?ing, EFL iltering iltering iltering
Caractersticas +ara la serie cisco ASA 55&&

Cisco ASA 5500 Series Model/License Network location 3eatures Cisco Ada%ti0e Security A%%liance Software -ersion &latest( A%%lication.layer firewall ser0ices Layer 2 trans%arent firewallin$ Security contexts &included/maximum(* 4/P/4P5S ins%ection* 6i$# a0aila'ility su%%ort4 SSL and "Psec -PN ser0ices -PN clusterin$ and load 'alancin$ Ad0anced end%oint assessment* 5505 ase / Security Plus S!all 3usiness, 3ranc? 1 ice, Enterprise @ele/orAer 55!0 ase / Security Plus Internet Edge 5520 Internet Edge 5540 Internet Edge 5550 Internet Edge, Ca!pus
61=68=66 Des Des 6=6 Not availa"le Not supported Stateless A=S Des Not availa"le Des
61=68=66 Des Des 6=6 = 7=5 Not availa"le Not supported A=A and A=S Des Not availa"le = Des Des
61=68=66 Des Des 61=67=76 Des A=A and A=S Des Des Des
Soluciones Cisco ASA para e!presa Si "ien pode!os encontrar una gran variedad de equipos que reali$an la uncin de ire/all, cisco ta!"iBn los o rece co!o parte una serie de soluciones e!presariales, co!o las siguientesG Cisco ASA 4ire/all Edition Incluye licencias de ailover Festriccin de inter aces Festriccin de usuarios Cisco ASA *+N Edition Incluye licencias por cantidad de instancias ipsec=ssl Cisco ASA I+S Edition Incluye licencias por cantidad de usuarios Cisco ASA Content Security Edition Incluye licencias por cantidad de usuarios
Cisco SS%s Los equipos de la serie cisco ASA 55&& proveen servicios de ire/all y *+N tanto I+Sec co!o SSL; Servicios de seguridad adicionales son i!ple!entados a travBs de ?ard/are opcional, lla!ado SS% .security service !odule0; Los !dulos disponi"les son los siguientesG Cisco ASA AI+ SS% Cisco ASA CSC SS% E&iste una tercera o erta utili$ada con ines de e&pansin de puertas; 4our,+ort <iga"it et?ernet SS%
Cisco ASA CSC SS% +rovee servicios de antivirus, antispy/are, "loqueo de arc?ivos, antispa! antip?is?ing, "loqueo y iltrado de EFL y servicios de iltro de contenidos E&isten 7 versiones para este !odulo CSC SS%,16 Soportado en todos los !odelos de ASA C+E 7 <?$ FA% 1<" CSC SS%,76 Soportado solo en ASA 5576 y 55(6 C+E 7,( <?$ FA% 7 <"
Cisco ASA AI+ SS% +uede certera!ente identi icar, clasi icar y detener el tra ico !alicioso, incluyendo gusanos, spy/are, ad/are y virus de red, antes de que a ecten la red E&iste 9 versiones para este !oduloG AI+ SS%,16 156 %"ps so"re un 5516 775 %"ps so"re un 5576 AI+ SS%,76 9)5 %"ps so"re un 5576 566 %"ps so"re un 55(6 AI+ SS%,(6 (56 %"ps so"re un 5576 :56 %"ps so"re un 55(6 +er or!ance so"re "loqueo de a!ena$as concurrentes
Cisco ASA (<E SS% +rovee inter aces adicionales y per!ite una !e'or seg!entacin de las $onas de seguridad; Se puede utili$ar cualquier co!"inacin de puertos, ya sean de co"re o i"ra, solo utili$ando ( de estos a la ve$; +or co"re soporta velocidades de 16, 166 y 1666 %"ps +or i"ra, soporta los siguientes !dulos S4+ long /avelengt? or long ?aul 16663ASE,LH or 16663ASE,L2 S?ort /avelengt? 16663ASE,SH
Con iguracin "Isica del equipo de seguridad Cap N7
Introduccion al cli de ASA La linea de co!andos posee ( !odos de accesoG sin privilegiosG ciscoasaJ solo acceso a co!andos restringidos privilegiadoG ciacoasaK acceso ull a los co!andos soportados con iguracionG ciscoasa.con ig0K acceso a los co!andos de con iguracion !onitor !onitorJ entorno de rescate, con uncionalidad li!itada acceso al !odo privilegiado ciscoasaJ ena"le pass/ordG LLLLLLLL ciscoasaK acceso al !odo de con iguracion ciscoasaK con igure ter!inal ciscoasa.con ig0K
Con iguracin 3Isica +artir de una con iguracin en "lanco CiscoasaK /rite erase Erase con iguration in las? !e!oryM Ncon ir!O N1PO CiscoasaK reload +roceed /it? reloadM Ncon ir!O Qe inir el 2ostna!e ciscoasa.con ig0K ?ostna!e /61 /61.con ig0K Con igurar la ?ora de siste!a ciscoasaK clocA ti!e$one CL@ ,( ciscoasaK clocA su!!er,ti!e CLS@ recurring 7 Sun 1ct 6G66 7 Sun %ar 6G66 ciscoasaK ntp server 766;5(;1(>;1> source outside
Con iguracin de una inter a$
Con iguraciones !ni!as para la inter a$ No!"re ciscoasa.con ig,int0K na!ei inside Qireccin ciscoasa.con ig,int0K ip address 1>7;1:8;1;1 755;755;755;6 Nivel de seguridad ciscoasa.con ig,int0K security,level 166 *elocidad ciscoasa.con ig,int0K speed auto ciscoasa.con ig,int0K duple& auto Estado ciscoasa.con ig,int0K no s?utdo/n
NA@ .net/orA address translation0 Cap N9
NA@ .net/orA address translation0
NA@ ue creado para so"repasar diversos pro"le!as de direcciona!iento, de"ido a la e&pansin de internet, entre ellosG , !itigar el agota!iento de direcciones , utili$ar direcciones F4C 1>18 de or!a interna , conservar el esque!a interno de direcciona!iento NA@ ta!"iBn au!enta la seguridad escondiendo la topologa interna; El concepto de NA@ se presenta en diversas con iguraciones, ya sea de or!a dinI!ica, estItica, sin nat ,uno a uno ya sea en I+ o puerto;
Fangos de direcciones F4C 1>18
Con la inalidad de co!unicar equipos que no serIn visi"les en internet se de ini el siguiente esque!a de direcciona!iento, !ediante la F4C 1>18;
Nom're "loque de 8 "its "loque de 17 "its "loque de 1: "its "loque de 1: "its
ran$o 16;6;6;6,16;755;755;755 1)7;1:;6;6,1)7;91;755;755 1>7;1:8;6;6,1>7;1:8;755;755 1:>;75(;6;6,1:>;75(;755;755
n7 de i% 1:)))71: 1;6(8;5): :559: :559:
descri%ci8n clase A si!ple 1: clases 3 continua 75: clase C continua clase 3 si!ple
'lo9ue C"+5 16;6;6;6=8 1)7;1:;6;6=17 1>7;1:8;6;6=1: 1:>;75(;6;6=1:
Niveles de Seguridad
Los niveles de seguridad indican el nivel de con ian$a so"re una inter a$ del ire/all, siendo el de !ayor con ian$a 166 y el de !enor con ian$a 6, el tra ico se per!ite por de ecto de un nivel superior a un nivel in erior, esto quiere decir que no es requerido una ACL que per!ita el trI ico e&plcita!ente; +ara ?a"ilitar o per!itir trI ico desde un nivel in erior a un nivel superior, por e'e!plo de outside a inside o d!$, necesita!os de inir una ACL que lo per!ita e&plcita!ente;
NA@ 6 Qe ine direcciones so"re las cuales no se reali$ara NA@ Se aplica de la siguiente or!aG ciscoasa.con ig0K nat .d!$0 6 16;6;6;16 755;755;755;755 %is!o e'e!plo pero con una lista de acceso; ciscoasa.con ig0K access,list ACLRnat6 per!it ip ?ost 16;6;6;16 any ciscoasa.con ig0K nat .d!$0 6 access,list ACLRnat6
NA@ QinI!ico @raduce direcciones de ?ost desde una inter a$ segura a un pool de direcciones en una inter a$ !enos segura; Esto per!ite a los ?ost internos co!partir direcciones pu"licas; Se aplica de la siguiente or!aG ciscoasa.con ig0K nat .inside0 1 16;6;6;6 755;755;755;6 ciscoasa.con ig0K glo"al .outside0 1 766;)5;91;17>,766;)5;91;19( net!asA 755;755;755;7(8
En este caso la traduccin, se reali$a 1 a 1;;; por lo tanto tras la utili$acin del pool de : ip, la pr&i!a cone&in de"erI esperar una ip li"re
+A@ .+ort Address @ranslation0
+A@ es una !e'ora de NA@, pues utili$a la co!"inacin de puertos e I+, para reali$ar la traduccin, lo que i!plica que ya no es necesario un pool de I+, sino que se puede so"recargar una sola I+ de la siguiente !anera; ciscoasa.con ig0K nat .inside0 1 16;6;6;6 755;755;755;6 ciscoasa.con ig0K glo"al .outside0 1 766;)5;91;17> net!asA 755;755;755;755 @a!"iBn se puede utili$ar la inter a$ correspondiente para reali$ar el nat glo"al; ciscoasa.con ig0K glo"al .outside0 1 inter ace
NA@ EstItico
NA@ estItico, reali$a la traduccin constante de un par de o"'etos, es decir esta correlacin per!anece en el tie!po; En el e'e!plo tene!os la ip pu"lica en la outside, pasando por nat ?acia la d!$ ciscoasa.con ig0K static .d!$,outside0 766;)5;91;17> 1)7;1:;1;> net!asA 755;755;755;755
+A@ EstItico
+A@ estItico, reali$a la traduccin constante de un par de o"'etos, constituidos por la pare'a puerto,ip, es decir esta correlacin per!anece en el tie!po; En el e'e!plo tene!os la ip en outside pasando por nat, ?acia la d!$ ciscoasa.con ig0K static .d!$,outside0 tcp 766;)5;91;17> /// 1)7;1:;1;> /// net!asA 755;755;755;755 ciscoasa.con ig0K static .d!$,outside0 tcp 766;)5;91;17> tp 1)7;1:;1;16 tp net!asA 755;755;755;755
Nat so"re 9 inter aces
asa.con ig0K nat .inside0 1 1)7;1:;6;6 755;755;6;6 asa.con ig0K nat .d!$0 1 1>7;1:8;1;6 755;755;755;6 asa.con ig0K glo"al .outside0 1 766;)5;91;17> inter ace asa.con ig0K glo"al .d!$0 1 1>7;1:8;1;7 S 1>7;1:8;1;16 net!asA 755;755;755;6 ;;; Las co!unicaciones desde inside pueden ser traducidas ?acia outside y ?acia d!$ El co!ando nat.d!$0 traduce las direcciones desde la d!$ a outside El co!ando glo"al.d!$0 traduce las direcciones desde inside ?acia la d!$
Con iguracin de ACL Cap N(
Con iguracin de ACL
La iloso a en la con iguracin de los equipos de seguridad cisco es "asada en las inter aces; La ACL en la inter a$ per!ite o deniega el paquete inicial ya sea de llegada o de salida en esa inter a$; Ena ACL de"e descri"ir solo el paquete inicial de la aplicacin, el tra ico de retorno, no necesita ser se#alado; Si no ?ay ninguna ACL asociada a la inter a$; El paquete saliente es per!itido por de ecto; El paquete entrante es negado por de ecto; La lista de acceso por de ecto niega todo el tra ico;
Sinta&is de ACL Sinta&isG access,list id .line lineRnu!"er0 Nextended o standardO Tdeny U %ermit V T%rotocolV T#ost sip U sip s!asA U interface i cRna!eV T#ost dip U dip d!asA U interface i cRna!eV No%erator:%ort portO IdG no!"re de la acl lineG posicin en la estructura de la acl denyG "loquea el tra ico indicado per!itG per!ite el tra ico indicado protocolG especi ica el nu!ero del protocolo I+ sipG ip de origen dipG ip de destino operatorRportG co!para el puerto de destino, para ?acer !atc?; ltG !enor que, gtG !ayor que, eqG igual, neqG distinto a, rangeG rango inclusivo; 2ostG especi ica si la direccin corresponde a un ?ost s!asA d!asAG de ine la !ascara de red
Con iguracin de ACL
asa.con ig0K access,list ACLRinside per!it tcp any any eq 86 Esto per!ite el tra ico saliente a travBs del puerto 86, y esta aplicado a la inter a$ inside, por lo tanto per!itirI al seg!ento interno ver paginas /e" +ara asignar la lista de acceso a la inter a$ correspondiente, utili$a!os el siguiente co!andoG asa.con ig0K access.$rou% ACLRinside in interface inside E'; asa.con ig0K access,list ACLRoutside per!it ic!p any any asa.con ig0K access,group ACLRoutside in inter ace outside Acl per!itiendo la respuesta de ping en nuestra inter a$ outside
Edicin de una ACL asa.con ig0K access,list ACLRinside per!it tcp any any eq 86 asa.con ig0K access,list ACLRinside per!it tcp any any eq 71 ;;; asa.con ig0K s? access,list ACLRinside access,list ACLRinsideW 7 ele!ents access,list ACLRinside line 1 e&tended per!it tcp any any eq /// .?itcntX60 access,list ACLRinside line 7 e&tended per!it tcp any any eq tp .?itcntX60 ;;; asa.con ig0K access,list ACLRinside line 1 deny tcp any any eq /// ;;; asa.con ig0K s? access,list ACLRinside access,list ACLRinsideW 9 ele!ents access,list ACLRinside line 1 deny tcp any any eq /// .?itcntX60 access,list ACLRinside line 7 e&tended per!it tcp any any eq /// .?itcntX60 access,list ACLRinside line 9 e&tended per!it tcp any any eq tp .?itcntX60 Qe esta or!a, especi icando el nu!ero de linea, pode!os editar y !odi icar el orden de las sentencias;
1"'ect,groupG agrupando o"'etos Cap N5
1"'ect,groupG agrupando o"'etos <eneral!ente, con igura!os ACL para equipos con iguales privilegios, o si!ilares privilegios so"re una variedad de equipos y ter!inas con !uc?as ACE .access control entries0, con o"'ect,group pode!os agrupar contenidos de si!ilares caractersticas en un grupo y despuBs asociarlo a distintas ACL; @ipos de gruposG +rotocol @C+ EQ+ Net/orAs y ?osts Su"net 16;6;6;6=7( 16;6;1;11 Services 2@@+ 4@+ IC%+ Ec?o Ec?o,reply
Con igurando y usando 1"'ect,group
Con igurando Net/orA 1"'ect <roup asa.con ig0K o"'ect,group net/orA insideReng asa.con ig,net/orA0K net/orA,o"'ect ?ost 16;6;6;16 asa.con ig,net/orA0K net/orA,o"'ect ?ost 16;6;6;11 asa.con ig,net/orA0K net/orA,o"'ect ?ost 16;6;6;17 asaK s? run o"'ect,group net/orA o"'ect,group net/orA insideRing net/orA,o"'ect ?ost 16;6;6;16 net/orA,o"'ect ?ost 16;6;6;11 net/orA,o"'ect ?ost 16;6;6;17
Con igurando Service 1"'ect <roup asa.con ig0K o"'ect,group service ?ostRsrv tcp asa.con ig,service0K port,o"'ect eq ?ttp asa.con ig,service0K port,o"'ect eq ?ttps asa.con ig,service0K port,o"'ect eq tp asaK s? run o"'ect,group service o"'ect,group service ?ostRsrv tcp port,o"'ect eq ?ttp port,o"'ect eq ?ttps port,o"'ect eq tp
Con igurando +rotocol 1"'ect <roup asa.con ig0K o"'ect,group protocol insideRproto asa.con ig,protocol0K protocol,o"'ect tcp asa.con ig,protocol0K protocol,o"'ect udp asaK s? run o"'ect,group protocol o"'ect,group protocol insideRproto protocol,o"'ect tcp protocol,o"'ect udp
Con igurando IC%+ 1"'ect <roup asa.con ig0K o"'ect,group ic!p,type ping asa.con ig,ic!p0K ic!p,o"'ect ec?o asa.con ig,ic!p0K ic!p,o"'ect ec?o,reply asaK s? run o"'ect,group ic!p,type o"'ect,group ic!p,type ping ic!p,o"'ect ec?o ic!p,o"'ect ec?o,reply
1"'ect group anidados Qe ini!os el grupo de !ensa'era .i!0 asa.con ig0K o"'ect,group service i! tcp asa.con ig,service0K port,o"'ect eq 18:9 asa.con ig,service0K port,o"'ect eq 5656 asa.con ig,service0K port,o"'ect eq 5777 ;;; Qe ini!os el grupo de navegacin ./e"0 asa.con ig0K o"'ect,group service /e" tcp asa.con ig,service0K port,o"'ect eq 86 asa.con ig,service0K port,o"'ect eq ((9 ;;; Luego de ini!os el grupo, que llevara los anteriores de or!a anidada asa.con ig0K o"'ect,group service inside,srv tcp asa.con ig,service0K group,o"'ect i! asa.con ig,service0K group,o"'ect /e"
Con igurando ACL con 1"'ect <roup asa.con ig0K access.list INSIQE %ermit tc% o';ect.$rou% insideReng any o';ect.$rou% ?ostRsrv ACL equivalente asa.con ig0K asa.con ig0K asa.con ig0K asa.con ig0K asa.con ig0K asa.con ig0K asa.con ig0K asa.con ig0K asa.con ig0K asa.con ig0Kaccess,list INSIQE per!it tcp ?ost 16;6;6;16 any eq /// access,list INSIQE per!it tcp ?ost 16;6;6;16 any eq ?ttps access,list INSIQE per!it tcp ?ost 16;6;6;16 any eq tp access,list INSIQE per!it tcp ?ost 16;6;6;11 any eq /// access,list INSIQE per!it tcp ?ost 16;6;6;11 any eq ?ttps access,list INSIQE per!it tcp ?ost 16;6;6;11 any eq tp access,list INSIQE per!it tcp ?ost 16;6;6;17 any eq /// access,list INSIQE per!it tcp ?ost 16;6;6;17 any eq ?ttps access,list INSIQE per!it tcp ?ost 16;6;6;17 any eq tp
AAA, Aut?entication, Aut?ori$ation and Acounting Cap N:
AAA, Aut?entication, Aut?ori$ation and Acounting
Aut?entication .Autenticacin0 Yuien eres M Aut?ori$ation .Autori$acin0 Yue puedes ?acer M Accounting .Auditora0 Yue ?iciste M
I!ple!entaciones de AAA
Aut?entication .Autenticacin0 Loggin al equipo de seguridad Acceso a travBs del equipo .+ro&y0 Acceso a @unnel .validacin de *+N0 Aut?ori$ation .Autori$acin0 Nivel de acceso a consola .privilegios0 +er!isos so"re el pro&y .privilegios0 +er!isos so"re el acceso *+N .privilegios0 Accounting .Auditora0 Fegistros de acceso a consola Fegistro de cone&iones al pro&y Fegistro de cone&iones a *+N
Asegurando el login al equipo con AAA asa.con ig0K aaa.ser0er server,tag %rotocol server,protocol LQe ine un grupo del servidor AAA asa.con ig0K aaa.ser0er server,tag &interface:name( #ost serverRip Aey ti!eout LQe ine un servidor de autenticacin asa.con ig0K aaa aut#entication Tserial U ena"le U telnet U ss? U ?ttpV console Tserver,tag L<CALU L<CALV L2a"ilita la autenticacin !ediante AAA <estin de Esuarios
asa.con ig0K username userna!e Tno%assword U %assword pass/ord V N msc#a% U encry%ted U nt.encry%ted O %ri0ile$e level asa.con ig0K username ad!in %asword secreto1 %ri0ile$e 15
E'e!plo de AAA local
asa.con ig0K userna!e ad!in pass cisco asa.con ig0K aaa aut?entication serial console L1CAL asa.con ig0K aaa aut?entication ss? console L1CAL asa.con ig0K aaa aut?entication ?ttp console L1CAL
Autori$ando la navegacin
Si "ien, la autori$acin centrali$ada puede gestionar los per iles de ad!inistracin, al interior del equipo de seguridad, ta!"iBn puede controlar el acceso a la navegacin !ediante la autori$acin de usuarios validos, esto se reali$a de la siguiente or!aG asa.con ig0K aaa aut#entication matc# acl,na!e int,na!e TserverRtag U L<CAL V En el caso de iltrar la navegacin !ediante un lista de usuarios locales, tene!os el siguiente e'e!ploG asa.con ig0K access,list pro&y per!it tcp 1>7;1:8;1;6 755;755;755;6 any eq /// asa.con ig0K aaa aut#entication matc# pro&y insideL<CAL Con lo anterior esta!os "loqueando la navegacin, a !enos que el usuario se identi ique y posea una cuenta valida en el equipo de seguridad
Auditando con AAA
Auditando tra ico asa.con ig0K aaa accountin$ matc# acl,na!e int,na!e serverRtag Auditando la ad!inistracin asa.con ig0K aaa accountin$ =serial > telnet > ss# > ena'le ? console serverRtag Auditando co!andos asa.con ig0K aaa accountin$ co!!and N%ri0ile$e levelO severRtag @odas estas sentencias, generaran registros de ocurrencias, en el servidor e'ecutando el so t/are cisco ACS, con igurado co!o servidor AAA;
S/itc?ing y Fouting en equipos de Seguridad Cisco Cap N)
S/itc?ing y Fouting en equipos de Seguridad Cisco
A partir de la versin :;9 del so t/are para cisco +i& y la versin ) para cisco ASA, el ad!inistrador puede asignar vlans a inter aces sicas o !-ltiples inter aces lgicas a una sola inter a$ sica Los equipos de seguridad cisco solo soportan *LANS 867;1q; +ara asociar una su",inter a$ a una vlan, con igura!os lo siguienteG asa.con ig,su"i 0K vlan vlanRid a !odo de e'e!plo tene!os queG asa.con ig0K inter ace giga"itet?ernet 6=9;1 asa.con ig,su"i 0K vlan 16 Qe esta or!a pode!os seg!entar la seguridad sin requerir !as inter aces sicas
E'e!plo de con iguraciones de vlan so"re una inter a$ sica .@FENP0

Inter ace giga"itet?ernet9 speed auto duple& auto no na!ei no security,level no ip address Inter ace giga"itet?ernet9;1 vlan 16 na!ei d!$1 security,level 16 ip address 1)7;1:;16;1 Inter ace giga"itet?ernet9;7 vlan 76 na!ei d!$7 security,level 76 ip address 1)7;1:;76;1 Inter ace giga"itet?ernet9;9 vlan 96 na!ei d!$9 security,level 96 ip address 1)7;1:;96;1
Futas estIticas y dinI!icas Si "ien el equipo de seguridad no es un router, si posee capacidades para !ane'ar rutas estIticas y dinI!icas !ediante ciertos protocolos; Con igurando una ruta estItica asa.con ig0K route outside 6 6 1>7;1:8;1;1 asa.con ig0K route outside 1)7;1:;96;6 755;755;755;6 1>7;1:8;76;5 El enruta!iento dinI!ico, se puede con igurar para FI+ v1, FI+ v7 y 1S+4, !ediante el co!ando router; asa.con ig0K router osp 1 asa.con ig,router0K net/orA 1>7;1:8;76;7 6;6;6;6 area 6 asa.con ig,router0K net/orA 1)7;1:;76;1 6;6;6;6 area 6 13SG El equipo ta!"iBn es capa$ de reali$ar tracAing de rutas;
Futas estIticas y dinI!icas asaK s? route CodesG C , connected, S , static, I , I<F+, F , FI+, % , !o"ile, 3 , 3<+ Q , EI<F+, EH , EI<F+ e&ternal, 1 , 1S+4, IA , 1S+4 inter area N1 , 1S+4 NSSA e&ternal type 1, N7 , 1S+4 NSSA e&ternal type 7 E1 , 1S+4 e&ternal type 1, E7 , 1S+4 e&ternal type 7, E , E<+ i , IS,IS, L1 , IS,IS level,1, L7 , IS,IS level,7, ia , IS,IS inter area L , candidate de ault, E , per,user static route, o , 1QF + , periodic do/nloaded static route <ate/ay o last resort is 1>7;1:8;76;1 to net/orA 6;6;6;6 1 1 S C C C SL 1>7;1:8;17;6 755;755;755;6 N116=11O via 1>7;1:8;76;1, 6G67G15, outside 1>7;1:8;16;6 755;755;755;6 N116=11O via 1>7;1:8;76;1, 6G67G15, outside 1)7;1:;96;6 755;755;755;6 N1=6O via 1>7;1:8;76;5, outside 1)7;1:;76;6 755;755;755;6 is directly connected, inside 17);6;6;6 755;755;755;6 is directly connected, RinternalRloop"acA 1>7;1:8;76;6 755;755;755;6 is directly connected, outside 6;6;6;6 6;6;6;6 N1=6O via 1>7;1:8;76;1, outside
@racAing de rutas
asa.con ig0K sla !onitor 16 asa.con ig,sla,!onitor0K type ec?o protocol ipIc!pEc?o 1>7;1:8;1;1 inter ace outside asa.con ig,sla,!onitor0K nu!,pacAets 9 asa.con ig,sla,!onitor0K recuency 16 asa.con ig0K sla !onitor sc?edule 16 li e orever start,ti!e no/ asa.con ig0K tracA 1 rtr 16 reac?a"ility asa.con ig0K route outside 6 6 1>7;1:8;1;1 tracA 1 asa.con ig0K route "acAup 6 6 1>7;1:8;7;1 16
Inspeccin Avan$ada de protocolos Cap N8
Inspeccin Avan$ada Algunos protocolos y aplicaciones populares, se co!portan de la siguiente !aneraG Negocian cone&iones a direcciones ip y puertos de origen y destino asignados de or!a dinI!ica Insertan in or!acin de puertos y direcciones ip so"re la capa de red En "uen equipo de seguridad de"e inspeccionar paquetes so"re la capa de red y ?acer lo siguiente, co!o es requerido por protocolos y aplicacionesG A"rir y cerrar de or!a segura puertos y direcciones ip negociadas, para legiti!as cone&iones cliente,servidor a travBs del equipo de seguridad Esar instancias de NA@ relevantes a direcciones ip dentro de un paquete Esar instancias de +A@ relevantes a puertos dentro de un paquete Inspeccionar paquetes en "usca del !al uso de aplicaciones !aliciosas
Inspeccin de aplicaciones
El algorit!o de inspeccin se encarga de garanti$ar la cone&in, de lo contrario las reglas de seguridad "loquearan las nuevas cone&iones que levante la sesin
+oltica de inspeccin por de ecto Class,!ap

class,!ap inspectionRde ault !atc? de ault,inspection,tra ic Z policy,!ap type inspect dns presetRdnsR!ap para!eters !essage,lengt? !a&i!u! 517 policy,!ap glo"alRpolicy class inspectionRde ault inspect dns presetRdnsR!ap inspect tp inspect ?979 ?775 inspect ?979 ras inspect net"ios inspect rs? inspect rtsp inspect sAinny inspect es!tp inspect sqlnet inspect sunrpc inspect t tp inspect sip inspect &d!cp Z service,policy glo"alRpolicy glo"al
+olicy %ap
Service +olicy
Inspeccin Avan$ada de protocolos

El protocolo avan$ado de inspeccin entrega opciones co!o las siguientes para de ender en contra de ataques en la capa de aplicacin 3loquear ad'untos L;e&e +ro?i"ir el uso de Aa$aa o cualquier otro p7p Qe inir li!ites para el largo de las EFL +ro?i"ir trans erencias de arc?ivos co!o parte de las sesiones de !i +roteger servicios /e", garanti$ando esque!as validos de H%L Fesetear una sesin tcp si contiene un string !alicioso conocido 3otar cone&iones con paquetes que estan uera de orden Con igurando protocolo avan$ado de inspeccin Qe inir un class,!ap type inspect, usado para !arcar el tra ico o agrupar *arios criterios de !arcado; Qe inir un policy,!ap inspect, usado para indicar acciones so"re el tra ico Qe inir un class,!ap .usado para identi icar tra ico L9 o L(0 Qe inir un policy,!ap .usado para de inir acciones so"re tra ico L9 o L(0 Crear un service,policy .usado para activar la policy,!ap L9 o L( en una inter a$0
2a"ilitando y activando una inspection policy !ap asa7.con ig0K class,!ap type inspect ?ttp +1S@R%E@21Q asa7.con ig,c!ap0K !atc? request !et?od post asa7.con ig,c!ap0K e&it asa7.con ig0K policy,!ap type inspect ?ttp %DR2@@+R%A+ asa7.con ig,p!ap0K class +1S@R%E@21Q asa7.con ig,p!ap,c0K drop,connection log asa7.con ig,p!ap,c0K e&it asa7.con ig,p!ap0K e&it asa7.con ig0K policy,!ap [E3R+1LICD asa7.con ig,p!ap0K class inspectionRde ault asa7.con ig,p!ap,c0K inspect ?ttp %DR2@@+R%A+ asa7.con ig,p!ap,c0K e&it asa7.con ig,p!ap0K e&it asa7.con ig0K service,policy [E3R+1LICD inter ace inside Los co!andos anteriores crean una poltica de inspeccin que detiene y genera un log cuando la cone&in ?ttp trata de usar el !Btodo de solicitud +1S@
Con igurando la inspeccin en un puerto no estIndar
asa7.con ig0K class,!ap 8686Rinspect asa7.con ig,c!ap0K !atc? port tcp eq 8686 asa7.con ig,c!ap0K e&it asa7.con ig0K policy,!ap glo"alRpolicy asa7.con ig,p!ap0K class 8686Rinspect asa7.con ig,p!ap,c0K inspect ?ttp asa7.con ig,p!ap,c0K e&it asa7.con ig,p!ap0K e&it
E&presiones Fegulares
Creando una e&presin regular asa.con ig0K rege& secret \NSsOEeNCcONFrONEeON@tO] asa.con ig0K rege& con idencial \NCcON1oONNnON4 ONIiONQdONEeONNnONCcONIiONAaONLlO] Agrupando e&presiones regulares asa.con ig0K class,!ap type rege& !atc?,any top,secret asa.con ig,c!ap0K !atc? rege& secret asa.con ig,c!ap0K !atc? rege& con idencial Esando class,!ap de e&presiones regulares asa.con ig0K class,!ap type inspect ?ttp !atc?,all clasi ied asa.con ig,c!ap0K !atc? request ?eader user,agent rege& class top,secret asa.con ig,c!ap0K !atc? request !et?od post
E&presiones Fegulares
asa.con ig0K policy,!ap type inspect ?ttp secret,policy asa.con ig,p!ap0K para!eters asa.con ig,p!ap,p0K class clasi ied asa.con ig,p!ap,c0K drop,connection log ;;;;; asa.con ig0K policy,!ap doc,clasi ied asa.con ig,p!ap0K class inspectionRde ault asa.con ig,p!ap,c0K inspect ?ttp secret,policy ;;;; asa.con ig0K service,policy doc,clasi ied inter ace inside
En el e'e!plo, el equipo reali$ara la accin especi icada, cuando a!"as reglas se cu!plan en un -nico !ensa'e;
Inspeccin de 4@+
4@+ usa dos canales Con eccionan de co!andos .@C+0 Con eccionan de datos .@C+0 4@+ inspeccin @raslacin de direcciones en el !ensa'e Creacin dinI!ica de apertura para las cone&iones 4@+ de datos Segui!iento co!pleto de !ensa'es de solicitud y respuesta 4@+ strict, el cual evita que los /e" "ro/sers de enviar co!andos incluidos en la solicitud 4@+ Inspeccin avan$ada de 4@+ Es a#adida a la uncin de inspeccin stricta 2a"ilita el iltro de co!andos 2a"ilita el "loqueo de cone&iones 4@+, !ediante tipo de arc?ivo, no!"re de servidor y otros 2a"ilita el "loqueo de usuarios espec icos usando 4@+ a travBs del equipo 2a"ilita el c?equeo de con or!idad con el protocolo
Co!ando inspect tp, opcin strict +reviene en envo de co!andos insertos en las solicitudes 4@+ 1"liga al siguiente co!porta!iento del tra ico Fequiere que un co!ando tp sea validado antes de per!itir un nuevo co!ando 3ota cone&iones que envan co!andos insertos C?equea que la respuesta 77) y los co!andos de puerto, para asegurar que no apare$can en un !ensa'e de error Sigue cada co!ando tp y secuencia de respuesta en caso de actividad an!ala
asa.con ig0K policy ,!ap %DR%A+ asa.con ig,p!ap0K class %DRCLASS asa.con ig,p!ap,c0K inspect tp strict %DR%A+
13SG el uso de la opcin strict podra des?a"ilitar clientes 4@+ que no cu!plan con el standar F4C
4iltrando co!andos con la inspeccin avan$ada de 4@+ asa.con ig0K access,list 161 per!it @C+ ?ost any ?ost 1>7;1:8;1;11 eq tp asa.con ig0K policy,!ap type inspect tp %DR4@+R%A+ asa.con ig,p!ap0K !atc? request,co!and dele rn r rnto appe put r!d asa.con ig,p!ap,c0K reset ;;; asa.con ig0K class,!ap IN31ENQR4@+R@FA44IC asa.con ig,c!ap0K !atc? access,list 161 ;;; asa.con ig0K policy,!ap IN31ENQ asa.con ig,c!ap0K class IN31ENQR4@+R@FA44IC asa.con ig,c!ap,c0K inspect tp strict %DR4@+R%A+ ;;; asa.con ig0K service,policy IN31ENQ outside
Inspeccin de 2@@+
Las reglas de inspeccin 2@@+ incluyen lo siguiente 4iltrado de EFL a travBs de [e"sense o Secure Co!puting S!art4ilterL 4iltrado de ^ava y ActiveHL Inspeccin avan$ada de 2@@+ La inspeccin avan$ada iltra y controla el tra ico y los !ensa'es 2@@+ LEl iltrado de EFL, ^ava y Active H es con igurado en con'unto con el co!ando \ ilter]
Inspeccin avan$ada de 2@@+

<ranular!ente controla I%, +7+ y aplicaciones de t-nel al detectar te&to encontrado en la ca"ecera del !ensa'e de solicitud 2@@+ Qe iende contra ataques QoS al con igurar ta!a#os y li!ites de contadores Qe iende contra virus y gusanos al "loquear tipos %I%E Qe iende contra gusanos al "loquear selectiva!ente caracteres no,ASCII en las ca"eceras de Solicitudes y respuestas 2@@+ 3loquea intentos de evadir restricciones y previene de que atacantes e&ploten /e"server que ignoran parI!etros tras reci"ir un carIcter NELL al "loquear codi icaciones NELL 2@@+; +reviene de que atacantes e&ploten vulnera"ilidades en sus servidores /e" al controlar !Btodos y e&tensiones 2@@+ 3loquea una lista con igura"le de EFL +reviene a los atacantes de reali$ar \?ttp ingerprint] en el servidor al con igurar 2@@+ server ?eader spoo ing +er!ite o niega y genera logs de cualquier paquete "asado en e&presiones reg; Co!"ina c?equeos de seguridad personali$ados para incre!entar el control granular
E'e!plo, de "loqueo por error de tipo %I%E asa.con ig0K policy,!ap type inspect ?ttp %DR2@@+R%A+ asa.con ig,p!ap0K !atc? req,resp M %p ,policy,!ap !ode co!!ands=optionsG content,type !atc? content,type in responce to accept,types in request
asa.con ig0K policy,!ap type inspect ?ttp %DR2@@+R%A+ asa.con ig,p!ap0K !atc? req,resp content,type !is!atc? asa.con ig,p!ap,c0K drop,connection log ;;; asa.con ig0K policy,!ap glo"alRpolicy asa.con ig,p!ap0K class inspectionRde ault asa.con ig,p!ap,c0K inspect ?ttp %DR2@@+R%A+
Controlando protocolos de tunnel, p7p e !i con class,!ap integradas
asa.con ig0K policy,!ap type inspect ?ttp %DR2@@+R%A+ asa.con ig,p!ap0K class,!ap Rde aultRgator asa.con ig,p!ap,c0K drop,connection log ;;; asa.con ig0K policy,!ap glo"alRpolicy asa.con ig,p!ap0K class inspectionRde ault asa.con ig,p!ap,c0K inspect ?ttp %DR2@@+R%A+
3loqueando EFL de inidas por el usuario
asa.con ig0K rege& EFLRA3C \;Ca"c_;co!] asa.con ig0K rege& EFLRHD` \;C&y$_;co!] asa.con ig0K class,!ap type rege& !atc?,any urlR"loqueadas asa.con ig,c!ap0K !atc? rege& EFLRA3C asa.con ig,c!ap0K !atc? rege& EFLRHD` ;;; asa.con ig0K class,!ap type inspect ?ttp !atc?,all ?ttpR"loqueado asa.con ig,c!ap0K !atc? request uri rege& class urlR"loqueadas ;;; asa.con ig0K policy,!ap type inspect ?ttp !yR?ttpR!ap asa.con ig,p!ap0K class ?ttpR"loqueado asa.con ig,p!ap,c0K reset log
Inspeccin de !ensa'era instantInea .I%0
Au!enta la productividad de los e!pleados, previene la uga de in or!acin con idencial y !ini!i$a el riesgo de virus Aplica control granular so"re aplicaciones de !ensa'era co!o !sn !essenger y ya?oo !essenger Controla las aplicaciones de !ensa'era en sus puertos nativos
Inspeccin ES%@+
La inspeccin ES%@+ G +er!ite solo ) co!andos "Isicos S%@+G data, ?elo, !ail, noop,quit, rcpt y rset .seg-n F4C 8710 Agrega soporte para 8 co!andos de S%@+ e&tendido .ES%@+0G aut?, e?lo, etrn, ?elp, sa!l, send, so!l, y vr y Qe ine en que puertos activar la inspeccin S%@+ .d ltX750 Si se des?a"ilita, todos los co!andos s!tp serIn per!itidos a travBs del 4ire/all y las potenciales vulnera"ilidades del servidor, serIn e&puestas;
Inspeccin avan$ada de ES%@+ +reviene ataques QoS al li!itar el ratio de co!andos ES%@+ +reviene ataques por des"orda!iento de "u er al ?acer lo siguienteG 3loquea !ensa'es "asados en largo de cuerpo y largo de linea 3loquea !ensa'es "asados en largo de ca"ecera Li!ita el nu!ero de caracteres en el no!"re de arc?ivo %I%E Li!ita el largo de un co!ando en la cli Li!ita el largo de la direccin de envo 3loquea el spa! al ?acer lo siguiente Li!ita el nu!ero de co!andos \FC+@ @1] Li!ita el nu!ero de ca!pos \@1] en la ca"ecera del !ensa'e 3loquea tipos de codi icacin %I%E especi icas 3loquea el relay de !ail 3loquea ad'untos in ectados denegando !ensa'es con, no!"res de ad'untos y tipos de arc?ivo; 3loquea !ensa'es de origen o do!inios espec icos +reviene ataques de cosec?a de directorios .directory ?arvest attacAs0 al con igurar un li!ite de recipientes invIlidos Esconde in or!acin del servidor s!tp al "loquear o en!ascarar ciertos parI!etros de respuesta E2L1
Inspeccin de QNS
%onitores todas las transacciones en el puerto EQ+ 59 Fastrea el IQ de solicitud QNS y a"re un slot de cone&in Cierra el slot in!ediata!ente despuBs de reci"ir la respuesta @raduce el registro QNS A Antes de la versin :;7G con el co!ando alias +ara la versin :;7 y otrasG traduce el registro QNS Feensa!"la el paquete dns para veri icar su e&tensin .d X517 "ytes0
@raduccin del registro QNS
@raduccin del registro QNS
Con iguracin, para la traduccin de QNS asa.con ig0K nat .inside0 1 16;6;6;6 755;755;755;6 dns asa.con ig0K glo"al .outside0 1 1>7;1:8;6;76,1>7;1:8;6;75( net!asA 755;755;755;6 asa.con ig0K static .inside,outside0 1>7;1:8;6;1) 16;6;6;16 dns asa.con ig0K access,list ALL per!it tcp any ?ost 1>7;1:8;6;1) eq /// asa.con ig0K access,group ALL in inter ace outside
@-neles *+N Cap N>
@-neles *+N
Ena *+N es un !ecanis!o que provee transporte seguro y con ia"le so"re redes desprotegidas co!o internet
Yue es I+Sec MM
I+Sec es un estIndar de la IE@4 que per!ite co!unicaciones encriptadas entre e&tre!os; Las F4C 7(61 y F4C (961 de inen en detalle la arquitectura de seguridad so"re el protocolo ip; Consiste en estIndares a"iertos para asegurar co!unicaciones privadas <aranti$a con idencialidad, integridad y autenticacin de datos a travBs de la encriptacion a nivel de capa de red Es capa$ de escalar de redes peque#as a !uy grandes;
Ele!entos utili$ados por I+Sec MM Encapsulating Security +ayload .ES+0G Esp es un protocolo I+ .tipo 560 que provee integridad de datos, autenticacin y servicios de con idencialidad; Aut?entication 2eader .A20G A2 es un protocolo I+ .tipo 510 que provee integridad de datos, autenticacin y servicios de deteccin de reenvo Internet Pey E&c?ange .IPE0G IPE es un protocolo ?"rido que provee las siguientes utilidades para ipsecG autenticacin de los peers ipsec, negociacin de las SAas iAe e ipsec, y esta"leci!iento de las llaves para el algorit!o de encriptacion usados por ipsec; IPE es sinni!o de ISAP%+ .Internet Security Association and Pey %anage!ent0 en la con iguracin del equipo de seguridad Qata Encription Standard .QES0G QES es usado para encriptar y desencriptar paquetes de datos, utili$a llaves de 5: "its, asegurando alta per o!ance de encriptacion;
Ele!entos utili$ados por I+Sec MM, continuacin @riple Qata Encription Standard .9QES0G 9QES es una variante de QES, que itera 9 veces con 9 llaves distintas, e ectiva!ente do"lando la e ectividad del encriptado, utili$a una llave de 1:8 "its; Advanced Encription Standard .AES0G El instituto nacional de estIndares y tecnologa .NIS@0 adopto reciente!ente a AES co!o ree!pla$o de QES; AES, provee !ayor seguridad que QES y es co!putacional!ente !as e iciente que 9QES; AES, o rece 9 niveles de llaves, 178, 1>7 y 75: "its; Qi ie,2ell!an .Q20G Q2 es un protocolo de criptogra a pu"lico, per!ite que 7 ele!entos esta"le$can un secreto co!partido so"re un canal inseguro de datos; Q2 es utili$ado 'unto a iAe para esta"lecer las llaves de sesin %essage Qigest 5 .%Q50G %Q5 es un algorit!o de ?as?, usado para autenticar paquetes de datos; En ?as? es un algorit!o de encriptacin en una sola va, que to!a un !ensa'e de largo ar"itrario y produce un !ensa'e de salida, con largo i'o; IPE y ES+ pueden utili$ar %Q5 para la autenticacin;
Ele!entos utili$ados por I+Sec MM, continuacin Secure 2as? Algorit?! 1 .S2A10G S2A1 es un algorit!o de ?as?; El equipo de seguridad usa la variante 2%AC,S2A,1 que provee un nivel adicional de ?as?ing; IPE y ES+ pueden utili$ar S2A,1 para autenticacin Fivest, S?a!ir and Adle!an .FSA0G FSA es un siste!a criptogrI ico pu"lico utili$ado para la autenti icaron IPE en el equipo de seguridad usa el interca!"io Q2 para deter!inar las llaves en cada e&tre!o utili$adas por los algorit!os de encriptacin El interca!"io Q2 puede ser autenti icado con FSA o con +SP .claves pre co!partidas, pre s?ared Aeys0;
5 pasos de ipsec
Qe inir tra ico interesante 4ase 1 IPE G el dispositivo vpn negocia una poltica de seguridad IPE y esta"lece un canal seguro 4ase 7 IPE G el dispositivo vpn negocia una poltica de seguridad I+Sec para proteger los datos ipsec @ra ico de datos G los dispositivos vpn aplican los servicios de seguridad al tra ico, luego trans!iten los datos 4inali$acin del t-nel G el t-nel en ter!inado
1er paso, tra ico interesante
El tra ico es identi icado por una lista de acceso, el tra ico que coincide es encriptado y enviado a travBs de la vpn al destino, el resto se enva sin codi icar
7do paso, 4ase 1 de IPE
9do paso, 4ase 7 de IPE
(do paso, Sesin I+Sec
5to paso, @er!ino de la Sesin I+Sec
+asos para con igurar un vpn L7L
1;, deter!inar la poltica IPE a aplicar 7;, deter!inar la poltica ipsec a utili$ar 9;, asegurarse de que la red unciona sin encriptacion (;, per!itir que los paquetes ipsec pasen a travBs de las ACL de inidas
Qeter!inando la poltica IPE
+arI!etro dB"il uerte ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, algorit!o de encriptacion QES 9QES o AES algorit!o de ?as? %Q5 S2A,1 !Btodo de autenticacin psA ir!a FSA interca!"io de llaves Q2 group 1 Q2 group 5 tie!po de vida para SA IPE 8(:66 seg b8(:66 seg
Con igurando los parI!etros IPE
asaRA.con ig0K crypto isaA!p ena"le outside asaRA.con ig0K crypto isaA!p policy 16 asaRA.con ig,isaA!p,policy0K aut?entication pre,s?are asaRA.con ig,isaA!p,policy0K encryption aes,75: asaRA.con ig,isaA!p,policy0K ?as? s?a asaRA.con ig,isaA!p,policy0K group 7 asaRA.con ig,isaA!p,policy0K li eti!e 8:(66 asaRA.con ig0K tunnel,group 766;)5;91;196 type ipsec,l7l asaRA.con ig0K tunnel,group 766;)5;91;196 ipsec,attri"utes asaRA.con ig,tunnel,ipsec0K pre,s?ared,Aey cisco179 ;
Con igurando los parI!etros ipsec
asaRA.con ig0K access,list nat6 per!it ip 16;6;1;6 755;755;755;6 16;6;7;6 755;755;755;6 asaRA.con ig0K nat .inside0 6 access,list nat6 asaRA.con ig0K crypto ipsec trans or!,set vpn1 esp,aes,75: esp,s?a,?!ac asaRA.con ig0K crypto !ap vpn1 16 !atc? address nat6 asaRA.con ig0K crypto !ap vpn1 16 set peer 766;)5;91;196 asaRA.con ig0K crypto !ap vpn1 16 set trans or!,set vpn1 asaRA.con ig0K crypto !ap vpn1 16 set security,association li eti!e seconds 78866 asaRA.con ig0K crypto !ap vpn1 inter ace outside
+ro"ando y veri icando la con iguracin
*eri icar ACL y tra ico interesante S?o/ run access,list *eri icar con iguracin correcta de IPE S?o/ run isaA!p S?o/ run tunnel,group *eri icar con iguracin correcta de ipsec S?o/ run ipsec *eri icar SAs en ipsec y en isaA!p S?o/ crypto ipsec sa S?o/ crypto isaA!p sa *eri icar con iguracin correcta del crypto !ap S?o/ run crypto !ap
+ro"ando y veri icando la con iguracin
Li!piar ipsec SA Clear crypto ipsec sa Li!piar IPE SA Clear crypto isaA!p sa Qe"ug el tra ico IPE e Ipsec a travBs del equipo de seg Qe"ug crypto ipsec Qe"ug crypto isaA!p %uestra la con iguracion de isaA!p, ipsec y crypto !ap S?o/ run crypto
E'e!plo de vpn l7l
asaR1.con ig0K crypto isaA!p ena"le outside asaR1.con ig0K crypto isaA!p policy 16 asaR1.con ig,isaA!p,policy0K aut?entication pre,s?are asaR1.con ig,isaA!p,policy0K encryption aes asaR1.con ig,isaA!p,policy0K ?as? s?a asaR1.con ig,isaA!p,policy0K group 7 asaR1.con ig,isaA!p,policy0K li eti!e 8:(66 asaR1.con ig0K tunnel,group 1>7;1:8;76;7 type ipsec,l7l asaR1.con ig0K tunnel,group 1>7;1:8;76;7 ipsec,attri"utes asaR1.con ig,tunnel,ipsec0K pre,s?ared,Aey te!poral
E'e!plo de vpn l7l
asaR1.con ig0K access,list nat6 per!it ip 1)7;1:;16;6 755;755;755;6 1)7;1:;76;6 755;755;755;6 asaR1.con ig0K nat .inside0 6 access,list nat6 asaR1.con ig0K crypto ipsec trans or!,set aes,s?a esp,aes esp,s?a,?!ac asaR1.con ig0K crypto !ap l7lRla" 16 !atc? address nat6 asaR1.con ig0K crypto !ap l7lRla" 16 set peer 1>7;1:8;76;7 asaR1.con ig0K crypto !ap l7lRla" 16 set trans or!,set aes,s?a asaR1.con ig0K crypto !ap l7lRla" inter ace outside
Con igurando una vpn de acceso re!oto @areas necesarias para ?a"ilitar un *+N de acceso re!oto, so"re un servidor Cisco easy *+N N1 G crear la poltica isaA!p para el cliente de acceso re!oto N7 G crear un pool de ip N9 G de inir una poltica de grupo para la distri"ucin de con ; el cliente N( G crear un set de trans or!aciones para I+SEC N5 G crear un crypto !ap dinI!ico N: G asignar el crypto !ap dinI!ico al estItico N) G aplicar el crypto !ap a la inter a$ N8 G con igurar la autenticacin N> G con igurar NA@ y NA@ 6 N16 G ?a"ilitar el IPE Q+Q .deteccin de pares !uertos0
Creando la poltica ISAP%+
asa.con ig0K isaA!p ena"le outside asa.con ig0K isaA!p policy 76 asa.con ig,isaA!p,policy0K aut?entication pre,s?are asa.con ig,isaA!p,policy0K encryption des asa.con ig,isaA!p,policy0K ?as? s?a asa.con ig,isaA!p,policy0K group 7
Creando un pool de direcciones
asa.con ig0K i% local %ool poolname 1era_direccin-ultima_direccin mask mascara asa(config)# i% local %ool pool_vpn 172.16.200.10-172.200.30 mask 2 .2 .2 .0
Qe iniendo la poltica de grupo, para distri"uir las con iguraciones
+asos, para de inir la poltica 1;, de inir el tipo de tunnel 7;, con igurar la clave co!partida iAe 9;, especi icar el pool de direcciones (;, con igurar el tipo de poltica de grupo 5;, entrar al su"!odo de atri"utos, para la poltica de grupo :;, especi icar los servidores dns );, especi icar los servidores /ins 8;, especi icar el do!inio dns >;, especi icar el idle ti!eout
Qe iniendo la poltica de grupo, para distri"uir las con iguraciones asa.con ig0K tunnel,group vpn1 type re!ote,access asa.con ig0K tunnel,group vpn1 ipsec,attri"utes asa.con ig,tunnel,ipsec0K pre,s?ared,Aey vpn;la";local asa.con ig0K tunnel,group vpn1 general,attri"utes asa.con ig,tunnel,general0K address,pool poolRvpn asa.con ig0K group,policy vpn1 internal asa.con ig0K group,policy vpn1attri"utes asa.con ig,group,policy0K dns,server value 16;6;6;15 asa.con ig,group,policy0K /ins,server value 16;6;6;15 asa.con ig,group,policy0K de ault,do!ain value la";local asa.con ig,group,policy0K vpn,idle,ti!eout :66
Creando el set de trans or!aciones para I+SEC
asa.con ig0K crypto ipsec trans or!,set des,s?a esp,des esp,s?a,?!ac
+asos 5,: y ) en la creacin de la *+N
Creando el crypto !ap dinI!ico asa.con ig0K crypto dyna!ic,!ap vpn1,d 76 set trans or!,set des,s?a Asignando el cripto!ap dinI!ico al estItico asa.con ig0K crypto !ap vpn1 76 ipsec,isaA!p dyna!ic vpn1,d Aplicando el cripto !ap a la inter a$ asa.con ig0K crypto !ap vpn1 inter ace outside
Con iguracin de AAA para la autenticacin Autenticacin local, "ase de usuarios en el equipo de seguridad asa.con ig0K tunnel,group vpn1 general,attri"utes asa.con ig,tunnel,general0K aut?entication,server,group L1CAL L este co!ando viene ?a"ilitado por de ecto y no aparece en \s? run] Autenticacin e&terna asa.con ig0K aaa,server active,dir protocol nt asa.con ig0K aaa,server active,dir .inside0 ?ost 16;6;6;15 cisco179 ti!eout 5 asa.con ig,tunnel,general0K aut?entication,server,group active,dir
Con igurando NA@ 6
asa.con ig0K access,list noRnat per!it ip 16;6;6;6 755;755;755;6 1)7;1:;766;6 755;755;755;6 asa.con ig0K nat .inside0 6 access,list noRnat asa.con ig0K nat .inside0 1 16;6;6;6 755;6;6;6 asa.con ig0K glo"al .outside0 1 inter ace
2a"ilitando Q+Q, deteccin de pares !uertos Qead peer detection
asa.con ig0K tunnel,group vpn1 ipsec,attri"utes asa.con ig,tunnel,ipsec0K isaA!p Aeepalive t?res?old 96 retry 16
Con iguracin del cliente *+N No!"re de la cone&in
2ost, ip pu"lica del equipo
Autenticacin de grupo el no!"re corresponde al group,policy asociado El pass/ord corresponde al pre,s?ared,Aey utili$ado
Con iguracin del cliente *+N
La opcin de t-nel transparente per!ite la trans!isin segura entre el cliente vpn y el gate/ay vpn, a travBs de ire/alls y equipos reali$ando NA@; Ipsec over EQ+, encapsula el tra ico ipsec so"re EQ+ ipsec over @C+, encapsula el tra ico so"re @C+, por de ecto utili$a el puerto 16666
En caso de que el ad!inistrador lo indique pueden agregarse !as ?ost de "acAup; +ara equipos cisco *+N 9666 se puede con igurar el envo de estos datos al cliente;
En este ta", pode!os con igurar el uso de opciones de !arcado, para acceder a una red de acceso con!utado disponi"le en el 1S %icroso t [indo/s antes de levantar el t-nel *+N cisco
Entrada de cone&in con igurada

4ailover Cap N16
4ailover
4ailover por ?ard/are .stateless ailover0 Se pierden las conecciones activas Las aplicaciones de"en reconectarse +rovee redundancia de ?ard/are +rovee enlace de ailover por ca"le serial o por lan 4ailover state ul Las conecciones @C+ per!anecen activas Las aplicaciones no de"en reconectarse +rovee redundancia y cone&iones state ul +rovisto !ediante linA state ul
4ailover por ?ard/areG Activo=stand"y
4ailover por ?ard/areG Activo=Activo
4ailover "asado en lan +ara con igurar el ailover, se de"en reali$ar las siguientes tareas 1;, instalar una cone&in de ailover "asada en lan, entre el ire/all pri!ario y el secundario 7;, con igurar el equipo de seguridad pri!ario 9;, con igurar el equipo de seguridad pri!ario para ailover state ul (;, guardar la con iguracin del equipo pri!ario en las? 5;, encender el equipo secundario :;, con igurar el equipo secundario, con el set !ni!o de co!andos para ailover va lan );, guardar la con iguracin del equipo secundario en las? 8;, conectar las inter aces del equipo secundario a la red; >;, reiniciar el equipo secundario
Qiagra!a de ca"leado para ailover "asado en LAN
Con igurando el ailover asa1.con ig0K inter ace giga"itet?ernet 6=7 asa1.con ig,i 0K no s?utdo/n asa1.con ig0K ailover lan inter ace LAN4AIL 1)7;1);1;1 755;755;755;6 stand"y 1)7;1);1;) asa1.con ig0K ailover lan unit pri!ary asa1.con ig0K ailover Aey 179(5:)8 asa1.con ig0K ailover asa1.con ig0K ailover linA LAN4AIL asa7.con ig0K inter ace giga"itet?ernet 6=7 asa7.con ig,i 0K no s?utdo/n asa7.con ig0K ailover lan inter ace LAN4AIL giga"itet?ernet 6=7 asa7.con ig0K ailover inter ace ip LAN4AIL 1)7;1);1;1 755;755;755;6 stand"y 1)7;1);1;1) asa7.con ig0K ailover lan unit secondary asa7.con ig0K ailover Aey 179(5:)8 asa7.con ig0K ailover asa7.con ig0K ailover linA LAN4AIL
Ad!inistracin re!ota Cap N11
Ad!inistracin re!ota La ad!inistracin re!ota puede llevarse a ca"o !ediante CLI, a travBs de acceso SS2 o a de or!a grI ica a travBs de ASQ%; SS2 se reco!ienda en ree!pla$o de telnet de"ido a su !ayor nivel de seguridad en la co!unicacin, a partir de la versin ) del so t/are de seguridad, pode!os esta"lecer sesiones so"re ss? v7; +ara con igurar SS2 de"e!os reali$ar lo siguienteG asa.con ig0K crypto Aey $eroi$e rsa de ault asa.con ig0K crypto Aey generate rsa asa.con ig0K do!ain,na!e la";local asa.con ig0K ss? 1>7;1:8;1;16 755;755;755;755 inside asa.con ig0K ss? ti!eout 96 Con lo anterior con igurare!os una nueva llave FSA, para identi icarnos en ss? y se agregara el ?ost 1>7;1:8;1;16 a la lista de ?ost que tienen per!itido conectarse por ss? al equipo, posterior!ente se de ine el tie!po que esperara la cone&in sin actividad ?asta cerrarse; La autenti icaron de usuarios de"e estar con igurada y de"e e&istir un usuario valido, para reali$ar la cone&in
Ad!inistracin re!ota +ara con igurar el acceso por telnet asa.con ig0K telnet 1>7;1:8;1;16 755;755;755;755 inside asa.con ig0K telnet ti!eout 96 Con igurando la autenticacin para cada servicio asa.con ig0K aaa aut?entication telnet console L1CAL asa.con ig0K aaa aut?entication ss? console L1CAL asa.con ig0K aaa aut?entication ?ttp console L1CAL Con igurando un usuario de ad!inistracin asa.con ig0K userna!e ad!in pass/ord te!poral
ASQ%, Advanced Security Qevice %anage!ent Cap N17
ASQ%, Advanced Security Qevice %anage!ent El ASQ%, es la ?erra!ienta de ad!inistracin, con iguracin y !onitoreo en or!a grI ica del equipo; El acceso a ASQ% esta "asado en /e" y se de"en cu!plir los siguientes requisitos para su utili$acinG El tie!po, de"e estar con igurado La ip interna de"e estar con igurada El ?ostna!e de"e estar asignado asa.con ig0K ?ostna!e /61 /61.con ig0 El do!inio de"e estar con igurado /61.con ig0K do!ain,na!e la";local El servicio ?ttp de"e estar activo /61.con ig0K 2ttp server ena"le La ip del ?ost re!oto de"e estar en la lista de ?ost per!itidos, para conectarse al ASQ%; /61.con ig0K 2ttp 1>7;1:8;1;16 755;755;755;755 inside
+antalla de "ienvenida en ASQ%
Asistente de con iguracin inicial
Asistente de con iguracin para *+N ipsec
Asistente para con iguracin de alta disponi"ilidad
%en- de con iguracin
Con iguracin de reglas de seguridad
Con iguracin de ad!inistracin del equipo
%onitoreo de inter aces
%onitoreo de *+N
%onitoreo de Fouting
%onitoreo de propiedades
Ad!inistrando licencias y con iguraciones Cap N19
Ad!inistrando licencias y con iguraciones El siste!a operativo de los equipos de seguridad, aparte de reali$ar todas las unciones de red que provee, de"e iniciali$ar y ad!inistrar los recursos del equipo, entre las unciones de ad!inistracin se encuentra el !ane'o de arc?ivos, este se sustenta en un reducido set de de instrucciones y en la sgte; Estructura de arc?ivosG disA6G !e!oria las? interna disA1G !e!oria las? e&terna las?G no!"re de la particin por de ecto, general!ente disA6 Los co!andos para la ad!inistracin de arc?ivos soportados por el so t/are del equipo de seguridad son los siguientesG dirG cdG !AdirG r!dirG !oreG copyG !uestra el contenido del siste!a de arc?ivos ca!"ia de la u"icacin actual al directorio indicado crea un directorio en la u"icacin actual eli!ina un directorio !uestra el contenido de un arc?ivo copia arc?ivos
El co!ando \copy] Eno de los co!andos !as utili$ados es el \copy], pues nos per!ite respaldos de con iguracin y de so t/are, a continuacin algunos e'e!plosG asaK copy running,con ig t tpG reali$a, la copia del arc?ivo de con iguracin en e'ecucin a un servidor t tp asaK copy t tpG==1)7;1:;76;76=asa86(,A8;"in las?G reali$a la copia del siste!a operativo para asa versin 86(,A8 a la las? asaK copy las?G=asa86(,A8;"in t tpG reali$a el respaldo del siste!a operativo en el equipo de seguridad, ?acia un servidor t tp; AsaK copy running,con ig tpG==ciscoGcisco179c1>7;1:8;1;1 reali$a el respaldo de la con iguracin, ?acia un servidor tp autenticIndose co!o el usuarioG cisco, con la contrase#aG cisco179
Ad!inistracin de licencias A travBs del co!ando \s?o/ activation,Aey] pode!os deter!inar la licencia que posee nuestro equipo de seguridadG
/,nsp,67K s? activation,Aey Serial Nu!"erG ^%H17(8(6Y% Funning Activation PeyG 6&:66aec:1 6&(81cde8( 6&9()195(6 6&a)8678(6 6&667 >(8> Licensed eatures or t?is plat or!G %a&i!u! +?ysical Inter aces G 8 *LANs Inside 2osts 4ailover *+N,QES *+N,9QES,AES *+N +eers [e"*+N +eer Qual IS+s *LAN @runA +orts AnyConnect or %o"ile AnyConnect or LinAsys p?one Advanced Endpoint Assess!ent EC +ro&y Sessions @?is plat or! ?as a 3ase license; @?e las? activation Aey is t?e SA%E as t?e running Aey;
G 9, Q%` Festricted G 16 G Qisa"led G Ena"led G Ena"led G 16 G7 G Qisa"led G6 G Qisa"led G Qisa"led G Qisa"led G7
Ad!inistracin de licencias
+ara poder validar la licencia de nuestro equipo, ya sea porque es un equipo nuevo o porque ?e!os actuali$ado el siste!a operativo, de"e!os indicar el cdigo de activacin para nuestra licencia; Este cdigo lo o"tene!os de ?ttpG==///;cisco;co!=go=license y consiste en cuatro grupos de n-!eros en ?e&adeci!al asociados al nu!ero de serie de nuestro equipo; La activacin se reali$a con el siguiente co!andoG asa.con ig0K activation,Aey 6&:66aec:1 6&(81cde8( 6&9()195(6 6&a)8678(6 6&667 >(8>

Curso ASA

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Curso ASA

Cargado por

Copyright:

Formatos disponibles

Cisco ASA Adaptive Security Appliance

Introduccin a la Linea de equipos ASA Cap N1

Linea de ire/all Cisco ASA ASA 5586,(6

ASA 5586,76 ASA 5556 ASA 55(6

Caractersticas de per or!ance +ara la serie cisco ASA 55&&

Caractersticas tBcnicas +ara la serie cisco ASA 55&&

Capacidades de e&pansin +ara la serie cisco ASA 55&&

1,SSC 4uture, SSC Not availa"le

Not availa"le Not availa"le

Not availa"le Not availa"le

Not availa"le Not availa"le

Caractersticas +ara la serie cisco ASA 55&&

Con iguracin "Isica del equipo de seguridad Cap N7

Con iguracin de una inter a$

NA@ .net/orA address translation0 Cap N9

NA@ .net/orA address translation0

Fangos de direcciones F4C 1>18

Nom're "loque de 8 "its "loque de 17 "its "loque de 1: "its "loque de 1: "its

ran$o 16;6;6;6,16;755;755;755 1)7;1:;6;6,1)7;91;755;755 1>7;1:8;6;6,1>7;1:8;755;755 1:>;75(;6;6,1:>;75(;755;755

n7 de i% 1:)))71: 1;6(8;5): :559: :559:

'lo9ue C"+5 16;6;6;6=8 1)7;1:;6;6=17 1>7;1:8;6;6=1: 1:>;75(;6;6=1:

+A@ .+ort Address @ranslation0

Nat so"re 9 inter aces

Con iguracin de ACL Cap N(

Con iguracin de ACL

Con iguracin de ACL

1"'ect,groupG agrupando o"'etos Cap N5

Con igurando y usando 1"'ect,group

Con igurando y usando 1"'ect,group

Con igurando y usando 1"'ect,group

Con igurando y usando 1"'ect,group

AAA, Aut?entication, Aut?ori$ation and Acounting Cap N:

AAA, Aut?entication, Aut?ori$ation and Acounting

E'e!plo de AAA local

Auditando con AAA

S/itc?ing y Fouting en equipos de Seguridad Cisco Cap N)

S/itc?ing y Fouting en equipos de Seguridad Cisco

E'e!plo de con iguraciones de vlan so"re una inter a$ sica .@FENP0

Inspeccin Avan$ada de protocolos Cap N8

+oltica de inspeccin por de ecto Class,!ap

Inspeccin Avan$ada de protocolos

Con igurando la inspeccin en un puerto no estIndar

Inspeccin avan$ada de 2@@+

Controlando protocolos de tunnel, p7p e !i con class,!ap integradas

3loqueando EFL de inidas por el usuario

Inspeccin de !ensa'era instantInea .I%0

@raduccin del registro QNS

@raduccin del registro QNS

@-neles *+N Cap N>

1er paso, tra ico interesante

7do paso, 4ase 1 de IPE

9do paso, 4ase 7 de IPE

(do paso, Sesin I+Sec

5to paso, @er!ino de la Sesin I+Sec

+asos para con igurar un vpn L7L

Qeter!inando la poltica IPE

Con igurando los parI!etros IPE

Con igurando los parI!etros ipsec

+ro"ando y veri icando la con iguracin

+ro"ando y veri icando la con iguracin

E'e!plo de vpn l7l

E'e!plo de vpn l7l

Creando la poltica ISAP%+