Biblioteca de Seguridad

Configuración de
Dispositivos ASA
Versión 1.1

Oscar Antonio Gerometta

Configuración de dispositivos ASA
versión 1.1

Todos los derechos reservados.
Ninguna parte de este libro puede reproducirse o transmitirse bajo
ninguna forma o por ningún medio impreso, electrónico o mecánico,
ni por ningún sistema de almacenamiento y recuperación de
información sin permiso por escrito del autor.
Derechos reservados © 2012.
ISBN: ISBN 978-987-27966-5-5

CCNA, CCNP, CCDA, CCDP, CCIP, CCVP, CCSP, CCIE, CCDE, Cisco, Cisco IOS, Aironet, BPX,
Catalyst, Cisco Press, Cisco Unity, EtherChannel, EtherFast, EtherSwitch, Fat Step, GigaDrive,
GigaStack, HomeLink, IP/TV, LightStream, Linksys, MGX, Networking Academy, Network Registrar,
Packet, PIX, ASA, SMARTnet, StackWise, CallManager, CallManager Express, CCA, CNA, ASDM,
Cisco Systems, el logo de Cisco Systems, son marcas registradas o marcas de Cisco Systems Inc. y/o
sus afiliados en los Estados Unidos y otros países. Toda otra marca mencionada en este documento
es propiedad de sus respectivos dueños.

2 / 128

Configuración de dispositivos ASA
versión 1.1

Contenidos

Introducción

5

1. Implementación de dispositivos ASA

7

1.0. Tecnologías de firewalling

7

1.1. Configuración de conectividad básica

12

1.2. Configuración de funciones de administración

23

1.3. Configuración básica de políticas de control de acceso

41

1.4. Features básicos de inspección stateful

53

1.5. Configuración de políticas de capa de aplicación

62

1.6. Configuración avanzada de políticas de control de acceso

70

1.7. Implementación de un sistema de alta disponibilidad activo/standby

79

2. Guía de Laboratorio

91

2.0. El laboratorio

91

2.1. Configuración de la conectividad básica

94

2.2. Configuración de funciones de administración

99

2.3. Configuración básica de políticas de control de acceso

104

2.4. Ajuste básico de la inspección stateful

107

2.5. Configuración de políticas de capa de aplicación

111

2.6. Configuración avanzada de políticas de control de acceso

114

2.7. Implementación de failover activo/standby

118

Índice

125

3 / 128

Configuración de dispositivos ASA
versión 1.1

Deseo expresar un agradecimiento especial a aquellos que con su aporte han
posibilitado la publicación de esta obra:
Pablo Casalet
Elvis Nina Tinta
Angel Aberbach
Omar Eduardo García Bendezu

Con el aporte de todos, todos nos enriquecemos. Muchas gracias.
Oscar Gerometta

4 / 128

Configuración de dispositivos ASA
versión 1.1

Introducción

Este Manual ha sido desarrollado con el objeto de servir de soporte a talleres prácticos
que brinden una introducción a los procesos de configuración de dispositivos Cisco
ASA.
Recoge de modo sintético y sencillo los conceptos esenciales para la comprensión de
las tareas esenciales a desarrollar para luego proponer una serie de ejercicios que
abarcan los trabajos primarios y más frecuentes de configuración de estos
dispositivos. De ninguna manera pretende ser un desarrollo exhaustivo del tema o
agotar las posibilidades de implementación de estos dispositivos.
Está compuesto de 2 secciones principales.
Una primera que recoge los conceptos teóricos necesarios para la comprensión de
cada feature y los procesos de implementación. Una segunda que es una Guía de
Laboratorio para ejercitar los conceptos desarrollados.
Espero sinceramente que sea una herramienta útil para que adquiera los
conocimientos y el vocabulario básicos de una tecnología que es esencial en nuestras
actuales redes de datos.

Pre-requisitos
La adecuada comprensión de los temas desarrollados en el presente manual supone:

Conocimientos y adecuada comprensión de las tecnologías y operación de las
redes de datos basadas en TCP/IP.

Conocimientos y habilidades de configuración equivalentes a las que verifica la
certificación CCNA Security de Cisco Systems.

Si deseás hacerme llegar tus comentarios o sugerencias, las recibiré con
gusto en el grupo de Facebook:
http://www.facebook.com/groups/57409609201/
Otra vía para participar y acercar comentarios o sugerencias, es la Google
Page que he dedicado a estos temas:
https://plus.google.com/u/0/b/116620144384269503814/
Los contenidos de este libro se amplían y mantienen actualizados a través de
mi blog: http://librosnetworking.blogspot.com

5 / 128

Configuración de dispositivos ASA
versión 1.1

6 / 128

Configuración de dispositivos ASA
versión 1.1

1. Implementación de dispositivos ASA
Los sistemas de defensa basados en la red son uno de los métodos más potentes y
efectivos para proteger la red respecto de potenciales ataques que pueden estar
dirigidos a equipos terminales y dispositivos de infraestructura.
Los sistemas de firewall (cortafuegos en España) son un importante método de
defensa basado en la compartimentalización o segmentación de la red estableciendo
fronteras o puntos de acceso en los que se aplican políticas que procuran reducir los
riesgos que amenazan los servicios disponibles y los procesos de negocios.

1.0. Tecnologías de firewalling
En las redes corporativas es frecuente aplicar una lógica de segmentación o
separación de diferentes sectores de la red, minimizando la interacción entre los
diferentes segmentos. La definición de cada segmento se realiza tomando como
referencia la sensibilidad de los datos que se deben administrar y la confiabilidad de
los equipos terminales.
El firewall es el dispositivo que controla las interacciones que puedan tener lugar ente
segmentos o dominios adyacentes.
La separación entre dominios puede ser:

Separación física.
Se trata de redes físicamente diferentes que por lo tanto se conectan al firewall
a través de diferentes interfaces físicas.
Desde la perspectiva de seguridad es el mejor método de separación de
dominios, aunque el más costoso.

Separación lógica.
Separa diferentes grupos de usuarios sobre la misma infraestructura física.
Entre las implementaciones que permiten este tipo de separación se cuentan
las VLANs, VSANs, VPN-MPLS, etc.
Estas metodologías introducen riesgos adicionales que están referidos al
mantenimiento de esta separación lógica

En este contexto, el firewall es un sistema que fuerza la implementación de políticas
de control de acceso entre 2 o más dominios:

El firewall mismo debe ser resistente a posibles ataques.

Todo el tráfico entre dominios debe pasar a través del firewall.

El sistema firewall puede consistir en un único dispositivo o un conjunto de
dispositivos cada uno con roles específicos.

7 / 128

Configuración de dispositivos ASA
versión 1.1

1.0.1. Tipos de firewall
Hay diversas tecnologías de filtrado de tráfico que se utilizan en los modernos
sistemas de firewall:

Filtrado de paquetes stateless
Es la forma más básica de filtrado de tráfico.
Usualmente se aplica en dispositivos de capa 3.
Implementa conjuntos de reglas estáticas que examinan los encabezados de
cada paquete para permitir o denegar el tráfico, sin ninguna relación con los
flujos de tráfico precedentes.
o Generalmente trabajan bien cuando se trata de filtrar aplicaciones
basadas en TCP que no utilizan negociación dinámica de puertos.
o Está habitualmente presente en el software de dispositivos de nivel
corporativo.
o Generalmente es eficiente y de alta performance.
También presenta varias limitaciones:
o No es una solución óptima para la operación de aplicaciones con
negociación dinámica de sesiones.
o La calidad de los filtros depende de la habilidad del diseñador.
o No son eficientes para evitar ataques de reconocimiento.

Filtrado de paquetes stateful
Es un método de filtrado de paquetes que trabaja a nivel de flujo o conexión,
con ocasionales intervenciones a nivel de la aplicación.
Se mantiene una tabla de estado que hace seguimiento de las sesiones que
atraviesan el firewall y en función de ella hace inspección de cada paquete que
atraviesa el dispositivo.
o El mecanismo asume que si se permite el inicio de la conexión,
cualquier conexión adicional que requiera esa aplicación será permitida.
o Da un mecanismo confiable para filtrar tráfico de red entre dominios de
seguridad.
o Es simple de configurar.
o Es transparente para las terminales y de alta performance.
Sin embargo, también tiene limitaciones:
o No provee filtrado de capa de aplicación confiable.
o Tampoco proporciona mecanismos de verificación de operación de
protocolos.
o No puede controlar aplicaciones dinámicas si el tráfico de la aplicación
se encuentra encriptado.

Filtrado de paquetes stateful con inspección y control de aplicaciones
Se trata de firewalls stateful que incorporan motores de análisis de tráfico que
suman servicios adicionales que reciben la denominación de Application
Inspection and Control (AIC) o Deep Packet Inspection (DPI):

8 / 128

Configuración de dispositivos ASA
versión 1.1

o

Reensamble en memoria de las sesiones de capa de transporte para
realizar inspección de protocolos de capa de aplicación.

o

Decodificación de los protocolos de capa de aplicación para permitir
filtrado de protocolos y contenidos.

o

Verificación de los protocolos de capa de aplicación para eliminar
paquetes que no se conformen con el funcionamiento estándar del
protocolo.

Dependiendo de las inspecciones que se requieran, estos sistemas impactan
en la performance.

Sistemas de prevención de intrusos en la red
Network Intrusion Prevention Systems (NIPS).
Mecanismo que analiza el tráfico de la red con el propósito de bloquear tráfico
malicioso conocido. Se asienta en una base de datos de ataques que debe ser
actualizada periódicamente.
Sus características más destacables son:
o

Una importante base de datos de patrones de ataque que cubre las
amenazas conocidas.

o

Son de operación transparente con poco impacto en la performance.

Sus limitaciones más importantes son:

o

Son mecanismos permisivos y usualmente no pueden detectar
amenazas nuevas a menos que hayan sido incluidas en las
actualizaciones.

o

Requieren ajustes tanto iniciales como periódicos y un administrador
con experiencia.

Gateways de aplicaciones (proxies)
Es un sistema de software diseñado para actuar como intermediario y reenviar
requerimientos de capa de aplicación y respuestas entre los clientes y los
servidores.
En términos de control de acceso, permite un filtrado y seguimiento muy
granular tanto de las solicitudes como de las respuestas.
o

Brindan opciones de control de acceso confiables para los protocolos
soportados.

o

Provee normalización automática de los protocolos.

o

Puede proveer análisis de contenido en profundidad.

o

Se pueden implementar políticas tanto restrictivas como permisivas.

Las limitaciones de los proxies son:
o

No hay proxies disponibles para todas las aplicaciones corporativas.
9 / 128

Configuración de dispositivos ASA
versión 1.1

o

Pueden afectar el throughput y la latencia y no aplican a aplicaciones
de tiempo real.

o

En algunos casos se requiere clientes instalados en las terminales.

1.0.2. Sintetizando
Tecnología

Performance

Complejidad

Cuándo implementar

Filtrado stateless

Alta

Alta

Para control de acceso en
capas 3 y 4 con aplicaciones
que utilizan puertos TCP
estáticos.

Filtrado stateful

Alta

Baja

Opción por defecto
recomendada para control de
acceso en capas 3 y 4.

Filtrado stateful
con control e
inspección

Media

Media

Opción por defecto
recomendada para control de
acceso en capas 3 a 7.

Network IPS

Media

Media

Para implementar políticas
permisivas e identificar
ataques.

Proxies

Baja

Media

Cuando no se dispone de la
posibilidad de filtrado stateful y
no hay aplicaciones de tiempo
real, o para análisis de
contenidos en profundidad.

1.0.3. Cisco Adaptative Security Appliance (ASA)
El Cisco Adaptative Security Appliance es un firewall que realiza filtrado stateful de
paquetes con control e inspección de aplicaciones y un conjunto de funcionalidades
adicionales integradas.

10 / 128

Motor de filtrado de paquetes stateful.

Control e inspección de aplicaciones.

Control de acceso basado en el usuario.

Auditoría de sesiones.

Módulos de seguridad.

Filtrado de tráfico de botnets basado en reputación.

Filtrado de URL basado en categorías.

Configuración de dispositivos ASA
versión 1.1

Proxy criptográfico para Cisco Unified Communications.

Prevención de DoS.

Correlación de tráfico.

VPNs de acceso remoto.

VPNs site-to-site.

Failover de alta disponibilidad.

Interfaces redundantes.

Virtualización.

Enrutamiento IP.

NAT.

Transparent bridging.

DHCP, DDNS y PPoE integrados.

Soporte IPv6.

Soporte de multicast.

Multiplicidad de protocolos de management y control.

11 / 128

Configuración de dispositivos ASA
versión 1.1

1.1. Configuración de conectividad básica
1.1.1 Overview del proceso de booteo
Como en otros dispositivos Cisco, el proceso de inicialización de un appliance Cisco
ASA puede ser observado desde una terminal conectada al puerto consola del firewall.
Algunas de sus características son:

Al inicio indica la plataforma de hardware que se está operando.

A continuación espera por unos segundo para dar oportunidad de cortar
manualmente el proceso utilizando la tecla Break o Esc, e ingresar al modo
monitor de ROM rommon #0>

Si el tiempo pasa o se oprime la barra espaciadora, el dispositivo lee la primer
imagen de firmware válida que encuentra en su memoria flash.

Iniciado el proceso, se pueden visualizar las licencias activadas en esa
plataforma.

Terminado el booteo del equipo hay 2 opciones:

Si el equipo conserva su configuración de fábrica, presentará el prompt
ciscoasa>

Si se ha borrado la configuración, se iniciará el diálogo de setup.

1.1.2. Booteo manual desde el modo monitor de ROM
Cuando por cualquier razón el ASA no puede leer la imagen de su firmware de la
memoria flash, el dispositivo arranca en modo monitor de ROM. En ese caso se puede
cargar manualmente una imagen de firmware almacenada en un servidor TFTP.
El procedimiento a seguir es el siguiente:

Ingrese a la configuración de la interfaz que conecta al servidor TFTP.

Asigne a la interfaz una dirección IP.
Si es necesario puede definir un default Gateway.

Indique la dirección IP del servidor TFTP.

Ingrese el nombre del archivo de la imagen de firmware.

Inicie la descarga de la imagen.

En un ejemplo:
rommon
rommon
rommon
rommon
rommon
rommon

#0>interface GigabitEthernet0/2
#1>address 172.16.0.10
#2>gateway 172.16.0.1
#3>server 192.168.100.1
#4>file asa802-k8.bin
#5>tftpdnld

Una vez concluida la descarga el dispositivo cargará el sistema operativo.
Tenga presente que la imagen descargada en este procedimiento no ha sido copiada
a la memoria flash del dispositivo por lo que deberá luego proceder a copiar una

12 / 128

Configuración de dispositivos ASA
versión 1.1

imagen válida en la memoria flash para evitar repetir el procedimiento la próxima vez
que se reinicie el appliance.

1.1.3. La interfaz CLI del Cisco ASA
La interfaz de línea de comando de Cisco ASA proporciona 5 modos de operación:

Modo monitor de ROM.

Modo EXEC usuario.

Modo EXEC privilegiado.

Modo de configuración global.

Modos de configuración específicos.
ciscoasa>_
ciscoasa>enable

Modo EXEC usuario.

ciscoasa#_

Modo EXEC privilegiado.

ciscoasa#configure terminal
ciscoasa(config)#_

Modo de configuración global.

ciscoasa(config)#interface
Gi0/1
ciscoasa(config-if)#_

Modo de configuración de interfaz

La interfaz CLI de Cisco ASA es semejante a la de Cisco IOS, esta semejanza se
manifiesta también en las facilidades de ayuda disponibles:

Autocompleta los comandos.
Los comandos se pueden ingresar en modo abreviado o completar
automáticamente utilizando la tecla Tab

Mantiene un historial de comandos de los últimos 20 comandos ingresados.

Ayuda sensitiva al contexto que se invoca utilizando el comando ?

De estas 3 formas de ayuda, sólo la ayuda sensitiva al contexto está disponible en el
modo monitor de ROM.

1.1.4. Sistema de archivos del ASA
En el sistema de archivos de la memoria flash del ASA pueden almacenarse diferentes
archivos:

Imágenes de software.

Archivo de configuración.

Imagen de Cisco ASDM.

Imagen de software de respaldo.

Archivos de configuración de respaldo.

Archivos de configuración de firewall virtuales.

Datos adicionales.
13 / 128

Configuración de dispositivos ASA
versión 1.1

Para visualizar el contenido de la memoria flash, utilice los siguientes comandos:
ciscoasa#show flash:
ciscoasa#show disk0:
Muestra el contenido de la memoria flash interna del dispositivo.
ciscoasa#show disk1:
Muestra el contenido de una memoria flash externa
(CompactFlash).
Como ocurre en dispositivos Cisco IOS (routers y switches) el appliance utiliza 2
archivos de configuración:

El archivo de configuración activa.
Los cambios de configuración que se realizan en el dispositivo se realizan
sobre este archivo de configuración y no modifican automáticamente el archivo
de configuración de respaldo.
Este archivo se mantiene en la memoria RAM.

El archivo de configuración de respaldo.
Este archivo se almacena en la memoria flash, y solamente es modificado por
orden explícita del operador.

Para eliminar el archivo de configuración:
ciscoasa#clear configure all
Elimina la configuración activa y reinicia el equipo con una
configuración “vacía”.
ciscoasa#write erase
Borra el archivo de configuración de respaldo.
ciscoasa(config)#configure factory-default
Restaura el dispositivo con los valores de configuración de
fábrica.

1.1.5.Administración del ASA utilizando ASDM
ASDM es una herramienta de configuración diseñada para colaborar en la
configuración y monitoreo de dispositivos ASA sin necesidad de tener conocimientos
amplios de la CLI.

14 / 128

Puede trabajar sobre una variedad de plataformas. Está implementado en
Java.

Opera con SSL para asegurar la comunicación.

Una única instancia de ASDM puede administrar múltiples ASA
simultáneamente y permite acceder al mismo ASDM desde múltiples
terminales diferentes (hasta 5 por contexto y 32 por appliance).

Soporta la mayoría de los comando de la CLI. Los comandos no soportados
por ASDM se conservan en la configuración activa. Estos comandos no
soportados y presentes en la configuración se pueden revisar utilizando la
opción “Show Commands Ignored” en el menú de herramientas.

Si la configuración activa incluye comandos alias, ASDM opera en mono
monitor-only.

Configuración de dispositivos ASA
versión 1.1

Compatibilidad de versiones de ASDM con ASA OS

Versión de ASDM

Versión de Software

5.0

7.0

5.2

7.2

6.0

8.0

6.1

8.0

6.1

8.1

6.2

8.0

6.2

8.1

6.2

8.2

6.3

8.2

6.3

8.3

6.4

8.2

6.4

8.4

6.5

8.5

6.6

8.6

Sistemas operativos soportados por ASDM:

Microsoft Windows.

Apple MAC OS X

Linux.

Navegadores de Internet soportados:

Internet Explorer.

Firefox.

Safari.

15 / 128

Configuración de dispositivos ASA
versión 1.1

Sistemas operativos y navegadores soportados:

Sistema Operativo

Internet Explorer

Firefox

Versión de
Java SE

Microsoft Windows
Win7 / Win Vista / Win
2008 Server / Win XP

Versión 6.0 o
posterior

Versión 1.5 o
posterior

6.0

Macintosh OS X
10.7 / 10.6 / 10.5 / 10.4

----

Versión 1.5 o
posterior

6.0

Linux Red Hat
Enterprise 5

----

Versión 1.5 o
posterior

6.0

Preparación del ASA para utilizar ASDM
Los appliances son despachados de fábrica con una configuración que tiene por
objetivo facilitar una rápida implementación. Esta configuración incluye una interfaz de
management con la cual es posible conectarse al dispositivo utilizando ASDM.

Tiene habilitado el servicio HTTPS (aunque nominalmente se muestra como
HTTP, los appliances ASA sólo soportan HTTPS).

Se debe conectar la terminal a la interfaz Management 0/0.

La dirección IP por defecto es 192.168.1.1

De no contar con la configuración de fábrica, se debe ingresar por CLI para configurar
algunos parámetros mínimos:

Configurar fecha y hora.

Definir nombre del dispositivo y nombre de dominio.

Definir una clave de acceso al modo privilegiado.

Definir como inside la interfaz a la que se conectará la terminal de
management y asignarle una dirección IP y máscara de subred.

Habilitar el servicio HTTPS.
Si bien el comando especifica el servicio HTTP, los appliances ASA no
soportan HTTP sino solamente HTTPS.

Especificar la dirección IP de la terminal desde la que se ejecutará ASDM.

Opcionalmente especificar la imagen de ASDM que desea utilizar.

En un ejemplo:
ciscoasa#clock set 13:45:00 april 19 2012
ciscoasa#configure terminal
ciscoasa(config)#hostname ASA
ASA(config)#domain-name cisco.com
ASA(config)#enable password cisco
16 / 128

Configuración de dispositivos ASA
versión 1.1

ASA(config)#interface GigabitEthernet 0/1
ASA(config-if)#nameif inside
ASA(config-if)#ip address 172.16.1.1 255.255.255.0
ASA(config-if)#no shutdown
ASA(config-if)#exit
ASA(config)#http server enable
ASA(config)#http 172.16.1.11 255.255.255.255 inside
ASA(config)#setup
Si hay más de una imagen de ASDM guardada en la memoria flash, será necesario
indicar cuál de esas imágenes se desea utilizar:
ciscoasa#configure terminal
ciscoasa(config)#asdm image disk0:/asdm-625.bin
Acceso a ASDM
Una vez realizada la configuración inicial, se puede iniciar una sesión de ASDM de 2
maneras:

Utilizando el launcher de ASDM que puede ser instalado en el escritorio de la
terminal de trabajo.
Este launcher puede utilizarse para acceder a diferentes appliances vía SSL.
Sólo está disponibles para plataformas Microsoft.

Desde un navegador de Internet, direccionándolo a la dirección habilitada para
management del ASA.
Desde el navegador se iniciará un applet de Java.

Una vez iniciado ASDM e ingresadas las credenciales de autenticación
correspondientes se accede a la home page que permite manejar múltiples paneles de
control que reflejan diferentes aspectos de la operación del dispositivo.

Funciones de navegación básica
La interfaz de ASDM incluye los siguientes componentes:

Barra de Menú.
Da acceso rápido a archivos, herramientas, wizards, etc.

Barra de herramientas.
Permite navegar la interfaz e incluye algunos botones:
o

Save.
Guarda la configuración activa en la configuración de respaldo.

o

Refresh.
Vuelve a cargar el archivo de configuración activa.

o

Back.
Nos regresa al panel de ASDM que se visitó antes.

o

Forward.
Nos regresa al panel de ASDM que visitamos después.

17 / 128

Configuración de dispositivos ASA
versión 1.1

Lista de dispositivos.
Muestra la lista de dispositivos que han sido agregados y se pueden acceder
desde la instancia de ASDM.
Este panel puede convertirse en flotante.

Navegación.
(No está visible en la captura de pantalla de arriba)
Permite navegar entre los paneles de monitoreo y configuración del dispositivo
que se ha seleccionado en la lista de dispositivos. Este panel también puede
convertirse en flotante.

Barra de estado.

Los wizards de ASDM
Permiten simplificar algunas tareas de configuración del appliance:

18 / 128

Setup wizard.
Facilita la configuración inicial de un appliance.

IPsec VPN wizard.
Permite configurar VPNs IPsec site-to-site o de acceso remoto.

SSL VPN wizard.
Para configurar conexiones de acceso remoto utilizando SSL.

High Availability and Scalability wizard.
Facilita la configuración de failover activo/standby o activo/activo, y de un
clúster VPN con balanceo de tráfico.

Packet Capture wizard.
Para configurar y correr una captura de paquetes.

Configuración de dispositivos ASA
versión 1.1

1.1.6. Notas sobre la configuración de interfaces y rutas estáticas
Lineamientos generales:
 Utilice interfaces físicas siempre que estas sean suficientes para el propósito.

Utilice asignación dinámica de direcciones IP (DHCP) solamente sobre las
interfaces outside, cuando el ISP utiliza ese método de asignación de
direcciones.

Utilice asignación de direcciones estáticas para todas las demás interfaces.

Utilice enrutamiento estático a menos que el ASA se conecte a una red muy
grande en la que en las rutas estáticas signifiquen una limitación.

Niveles de seguridad de las interfaces
Para poder habilitar una interfaz en el ASA es necesario asignarle un nombre y un
nivel de seguridad.

El nivel de seguridad indica si una interfaz es más o menos confiable (más o
menos protegida) respecto de otra.

Se considera más confiable la interfaz con nivel de seguridad más alto.

El nivel de seguridad es un valor entre 0 y 100.

Las interfaces outside regularmente tienen un nivel de seguridad igual a 0.

Las interfaces inside regularmente tienen un nivel de seguridad igual a 100.

Estos niveles de seguridad aplican a las políticas de seguridad por defecto que
aplica el ASA:

NOTA: Se considera tráfico saliente el que proviene de una interfaz de mayor
seguridad y se envía a una interfaz de menor seguridad (p.e. de inside 100 a
outside 0).

Regla1: Todo el tráfico saliente está permitido.
Adicionalmente todo tráfico saliente es inspeccionado y se permite
automáticamente su retorno.

Regla 2: Todo el tráfico originado en una interfaz con bajo nivel de seguridad y
que tiene como destino una interfaz con mayor nivel de seguridad, está
bloqueado a menos que una lista de acceso lo permita.

Regla 3: Si 2 interfaces tienen asignado el mismo nivel de seguridad, el tráfico
ente ellas no está permitido por defecto.
Para permitir tráfico entre interfaces de igual nivel de seguridad es preciso
habilitar la comunicación entre interfaces de igual nivel (inter-interface).

Regla 4: No está permitido por defecto que un determinado tráfico ingrese y
vuelva a salir por la misma interfaz.
Para permitir que el tráfico entre y salga por la misma interfaz es necesario
habilitar la comunicación dentro de una misma interfaz (intra-interface).

Regla 5: Cuando se desea acceder al ASA con propósitos de administración,
se debe ingresar a la interfaz más cercana.

19 / 128

Configuración de dispositivos ASA
versión 1.1

Un ejemplo de configuración:
ASA#configure terminal
ASA(config)#interface GigabitEthernet 0/1
ASA(config-if)#nameif DMZ1
ASA(config-if)#security-level 50
ASA(config-if)#ip address 10.0.1.1 255.255.255.0
ASA(config-if)#interface GigabitEthernet 0/2
ASA(config-if)#nameif DMZ2
ASA(config-if)#security-level 50
ASA(config-if)#ip address 10.0.2.1 255.255.255.0
ASA(config-if)#exit
ASA(config)#same-security-traffic permit intra-interface
ASA(config)#same-security-traffic permit inter-interface

Configuración de interfaces VLAN
Cuando es necesario contar con mayor cantidad de interfaces que los puertos físicos
con los que se cuenta en el appliance se pueden utilizar interfaces VLAN.
Para utilizar interfaces VLAN se requiere:

Conectar el puerto del appliance a un switch con soporte de 802.1Q.

Configurar VLANs en el switch y definir un puerto troncal que transporte esas
VLANs hasta el appliance.

Configurar interfaces lógicas (subinterfaces) en el appliance y asociar cada
interfaz lógica a una VLAN.
Sólo se puede asignar una VLAN a cada subinterfaz.

Cuando un puerto tiene asociadas una o más subinterfaces, automáticamente
se configura como troncal 802.1Q.

Ejemplo de configuración:
ASA#configure terminal
ASA(config)#interface GigabitEthernet 0/1
ASA(config-if)#no shutdown
ASA(config-if)#no nameif
ASA(config-if)#interface GigabitEthernet0/1.10
ASA(config-if)#vlan 10
ASA(config-if)#nameif DMZ1
ASA(config-if)#security-level 51
ASA(config-if)#ip address 10.0.1.1 255.255.255.0
ASA(config-if)#interface GigabitEthernet0/1.20
ASA(config-if)#vlan 20
ASA(config-if)#nameif DMZ2
ASA(config-if)#security-level 52
ASA(config-if)#ip address 10.0.2.1 255.255.255.0

20 / 128

Configuración de dispositivos ASA
versión 1.1

Configuración de enrutamiento estático
El Cisco ASA no es un router pero tiene capacidades de enrutamiento.

Las redes directamente conectadas son agregadas automáticamente en la
tabla de enrutamiento.

Para que el appliance pueda acceder a redes remotas se debe utilizar
enrutamiento estático o un protocolo de enrutamiento.

Para configurar una ruta estática se debe especificar la interfaz de salida, la
red de destino y la dirección IP del próximo salto.

Ejemplo de configuración:
ASA(config)#route inside 10.0.3.0 255.255.255.0 10.0.0.2
ASA(config)#route outside 0.0.0.0 0.0.0.0 192.168.1.10

1.1.7. Notas para la configuración del servicio DHCP
Un ASA puede actuar como servidor DHCP para dispositivos terminales:

Se puede configurar un servicio DHCP para cada interfaz del appliance.

Cada interfaz del appliance puede tener su propio pool de direcciones.

El appliance también puede actuar como DHCP relay. Sin embargo, una interfaz que
tiene definido un servicio DHCP no puede ser configurada como cliente DHCP o
DHCP relay al mismo tiempo.
Para configurar el servicio DHCP utilizando ASDM:

Seleccione “Configuration” en la barra de herramientas.

Seleccione “Device Management” del panel de navegación.

Extienda el menú DHCP y en él seleccione “DHCP Server”.

En el panel seleccione la interfaz en la que desea habilitar el servicio.

Seleccione el botón “Edit” y se abrirá la venta de opciones del DHCP Server.
En esta ventana seleccione el checkbox “Enable DHCP server”.

A continuación y en la misma ventana, defina el pool de direcciones que debe
utilizar el servicio.

Opcionalmente puede configurar parámetros adicionales: servidor DNS,
servidor WINS, nombre de dominio, etc.

Terminado el procedimiento seleccione el botón OK y luego Apply para que la
configuración se haga efectiva en el dispositivo.

Ejemplo de configuración utilizando CLI:
ASA(config)#dhcpd
ASA(config)#dhcpd
ASA(config)#dhcpd
ASA(config)#dhcpd
ASA(config)#dhcpd

enable inside
address 192.168.0.16 – 192.168.0.31 inside
dns 192.168.0.2
lease 7200
domain edubooks.com.ar
21 / 128

Configuración de dispositivos ASA
versión 1.1

1.1.8. Packet Tracer
Packet Tracer es una herramienta que permite hacer el seguimiento de un paquete a
través del appliance. Brinda información detallada respecto de cómo el paquete es
procesado lo que simplifica la resolución de problemas independientemente de la
complejidad del diseño.
De esta manera es posible contar con información detallada respecto de la causa del
descarte de paquetes de manera rápida y sencilla. Es particularmente útil cuando en la
implementación se incluyen ACLs o NAT.

La herramienta puede utilizarse tanto por CLI como en ASDM.
Para utilizar Packet Tracer desde ASDM:

En la barra de menú seleccione “Tools”.

En el menú de herramientas seleccione “Packet Tracer”. Se abrirá la venta de
operación de la herramienta.

Seleccione la interfaz origen del paquete y especifique el protocolo (TCP, UDP,
ICMP, IP), IP origen y destino del paquete, puerto de origen y destino.

Si a continuación selecciona el checkbox “Show Animation” obtendrá una
representación gráfica del seguimiento.

A continuación selección “Start”.

La herramienta mostrará la información referida al seguimiento del paquete y lo
representará gráficamente.

22 / 128

Configuración de dispositivos ASA
versión 1.1

1.2. Configuración de funciones de administración
1.2.1. Configuración básica del appliance
Se puede utilizar ASDM para configurar o modificar los parámetros básicos del
appliance:

Una vez en la interfaz de ASDM, seleccione en la barra de herramientas la
opción “Configuration”.

En el panel de navegación seleccione “Device Setup”.

A continuación, en el panel de navegación seleccione “Device
Name/Password”.

Puede utilizar la ventana de diálogo que se abre para ingresar un nombre para
el appliance. El nombre puede tener hasta 64 caracteres de longitud.

Opcionalmente puede incorporarse un nombre de dominio en la misma
ventana de diálogo.

Marque el checkbox “Change the Privileged Mode Password”.

A continuación se habilitan las casillas para el ingreso de la clave de acceso a
modo enable. Para realizar un cambio deberá ingresar la clave actual, la nueva
clave y confirmarla.

Concluidos los cambios seleccione el botón “Apply”.

Como en otros dispositivos Cisco, es posible configurar en el appliance un mapa de
nombres a direcciones IP. Para esto:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Expanda el menú “Objects”.

Seleccione en el menú “Objects” la opción “Network Objects/Groups”.
Aparecerá el panel de configuración de objetos y grupos.

En el panel, seleccione el botón “Add” y luego “Network Object”.

En la ventana que se abre ingrese el nombre del dispositivo, la dirección IP, y
como máscara de subred 255.255.255.255. Es posible agregar también una
descripción.

Finalmente selecciones “OK” y luego “Apply”.

También es posible configurar un cliente DNS en el appliance para que utilice los
servicios de servidores DNS externos específicos. Para esto:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Extienda el menú “DNS”.

Seleccione la opción “DNS client”. A continuación se abrirá el panel de
configuración del cliente DNS.

23 / 128

Configuración de dispositivos ASA
versión 1.1

En la sección “DNS Lookup” se debe identificar la o las interfaces a través de
las cuales se puede alcanzar el servidor DNS.

Una vez seleccionadas las interfaces, habilite la opción “Configure one DNS
server group” e ingrese la dirección IP de los servidores DNS y el nombre de
dominio.
Se pueden ingresar hasta 6 servidores DNS.

Finalmente seleccione “Apply”.

1.2.2. Configuración de fecha y hora
Es sumamente importante ajustar día y hora para contar con un registro horario
preciso luego en los registros de eventos.
Esta tarea se puede hacer de 2 formas:

Configurando manualmente el reloj interno del appliance.
Este reloj mantiene su configuración cuando se reinicia o apaga el appliance.

Habilitando la sincronización con uno o más servidores NTP.

Para configurar el reloj interno:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Device Setup”.

Expanda el menú “System Time” y seleccione “Clock”. Se abre el panel del
reloj.

En el panel del reloj puede seleccionar o modificar la zona horaria (el reloj se
ajustará automáticamente cuando corresponda al horario de verano); la fecha y
la hora (en formato de 24 hs.).

Terminada la tarea seleccione ”Apply”.

Cuando se utiliza un servicio NTP, la información derivada del servidor NTP
sobrescribe la configuración manual que acabamos de detallar. El sistema permite
utilizar múltiples servidores, y se utiliza el de menor estrato.
Para configurar la sincronización utilizando NTP:

24 / 128

Seleccione en la barra de herramientas la opción “Configuración”.

En el panel de navegación seleccione “Device Setup”.

Expanda el menú “System Time” y seleccione “NTP”. Se abre el panel
correspondiente.

Si desea asegurar la sincronización de NTP con autenticación, marque el
checkbox “Enable NTP Authentication”. De este modo utilizará autenticación
con MD5 para todos los servidores.

Seleccione el botón “Add” para acceder a la ventana de configuración de
servidores NTP.

En la ventana de configuración del servidor ingrese:
o

Dirección IP del servidor NTP.

o

Opcionalmente puede configurar la interfaz a través de la cual desea
enviar la solicitud de sincronización.

Configuración de dispositivos ASA
versión 1.1

Si no se define una interfaz el appliance la enviará utilizando la
información de la tabla de enrutamiento.
o

Si se activó la autenticación, se debe ingresar el ID de la llave de
autenticación y la llave que puede tener hasta 32 caracteres.

Concluida la tarea seleccione “Apply”.

Toda respuesta NTP que no corresponda a una solicitud realizada por el appliance
será descartada.

1.2.3. Administración del registro de eventos y sesiones
Los mensajes de actividad del sistema del appliance pueden ser enviados a diferentes
destinos según sea requerido:

A la consola del appliance.
Se visualizan en la sesión de CLI abierta.

A la interfaz gráfica de ASDM.
ASDM incluye un visualizador de eventos que puede ser útil para tareas de
resolución de problemas o monitoreo de actividad en tiempo real.

A sesiones Telnet o SSH.
De esta forma se puede recibir también información de debugging en tiempo
real.

A un buffer de memoria interno.
Por defecto no se almacena, por lo que no persiste luego de un reinicio del
appliance. Sin embargo, puede guardarse en un FTP externo o en la memoria
flash del equipo.

A un servidor de Syslog.
Se pueden definir hasta 16 servidores, utilizando tanto TCP como UDP.

25 / 128

Configuración de dispositivos ASA
versión 1.1

A una consola SNMP para recibir traps.

Utilizando un sistema de correo electrónico.
Es posible enviar los mensajes de eventos utilizando SNMP a cuentas de
correo.

A un colector remoto de Netflow.

Estructura de los mensajes de logging
Los mensajes de logging son mensajes de texto contenidos en un formato
estandarizado.
La estructura del mensaje es la siguiente:

Fecha y hora (por defecto está deshabilitada).

Identificador del dispositivo que puede incluir nombre de la interfaz, dirección
IP, hostname, nombre del contexto, ó 16 caracteres pre-definidos.

Identificador del mensaje.

Texto del mensaje.

Un ejemplo:
%ASA-1-101003: (Primary) Failover cable not connected (this
unit).
Niveles de severidad de los mensajes
Cada mensaje está cualificado por un nivel de severidad que indica su importancia:
0 – Emergencies.
1 – Alerts.
2 – Critical.
3 – Errors.
4 – Warnings.
5 – Notifications.
6 – Informational.
7 – Debugging.
Par un mayor detalle respecto de la estructura y significado de cada uno de los
mensajes, se puede consultar el documento “Cisco ASA 5500 Series System Log
Messages” en el sitio web de Cisco Systems.

1.2.4. Configuración del registro de eventos y sesiones
Para configurar el registro de eventos y sesiones es preciso, en primer lugar, habilitar
globalmente la función en el appliance:

26 / 128

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Configuración de dispositivos ASA
versión 1.1

Expanda el menú “Logging”.

Seleccione “Event Lists”. A continuación se abrirá el panel de configuración del
mismo nombre.

Seleccione el checkbox “Enable Logging” que por defecto está deshabilitado.

En el mismo panel se define el tamaño del buffer de memoria interna destinado
a los mensajes de logging. El espacio asignado por defecto es de 4 MB.

Si se desea almacenar el buffer de memoria en un servidor FTP, seleccione el
checkbox “FTP Server” y luego utilice el botón “Configure FTP Setting” para
ingresar la información correspondiente al servidor FTP a utilizar.

Si se desea almacenar el buffer de memoria en la memoria flash, seleccione el
checkbox “Flash” y luego utilice el botón “Configure Flash Usage” para definir
los parámetros a utilizar.
La información se almacenará en el directorio “syslog” del dispositivo.

La última porción del panel está referida al buffer de memoria que utiliza
ASDM. Permite especificar el número de mensajes que se desea conservar en
ese buffer. El valor por defecto es 100 mensajes.

Terminada la configuración seleccione “Apply” para aplicar los cambios a la
configuración del appliance.

También es posible ajustar los mensajes para suprimir algunos o cambiar su nivel de
severidad. Para esto:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Expanda el menú “Logging” y seleccione “Syslog Setup”.

En el panel de configuración que se despliega es posible todos los mensajes
con su nivel de seguridad y estado.

Seleccione el mensaje que desea modificar desde la tabla, y seleccione el
botón “Edit”.

Para cambiar un mensaje, selecciónelo en la lista:

o

Si selecciona el checkbox “Disable Syslog IDs” suprimirá estos
mensajes.

o

El desplegable “Logging Level” permite cambiar el nivel de severidad
asignado por defecto al mensaje.

Concluida la tarea seleccione el botón “Apply”.

Configuración del destino de los mensajes de eventos.
El appliance puede enviar los mensajes a una o varias posiciones. Una de ellas es el
visualizador de eventos del mismo ASDM, que es particularmente útil para resolver
problemas vinculados al software o a la configuración, o para monitorear actividad en
tiempo real.
Para utilizar este visualizador se debe especificar el mismo ASDM como el destino de
los mensajes y especificar si se desea utilizar algún filtro de eventos. El appliance
enviará esta información hasta la terminal utilizando la sesión HTTPS de ASDM.
27 / 128

Configuración de dispositivos ASA
versión 1.1

Para habilitar el envío de mensajes hacia el visualizador de ASDM siga este
procedimiento:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Expanda el menú “Logging” y en él seleccione “logging Filters”. Se abrirá el
panel de filtros.

En el panel de filtros seleccione “ASDM” en la lista de destinos.

Seleccione el botón “Edit”. Se abrirá el editor de filtros para este destino en
particular.

En el editor de filtros elija uno de los disponibles:
o

Filtro por severidad.

o

Utilizar una lista de eventos.

o

Deshabilitar todos los mensajes

Seleccione “OK”.

A continuación seleccione el botón “Apply”.

Para acceder al visualizador de eventos:

Seleccione en la barra de herramientas la opción “Monitoring”.

Seleccione a continuación la opción “Logging” y “Real-time Log Viewer”.

El visualizador de eventos se abrirá en una ventana dedicada.

Para agregar un servidor de syslog al appliance:

28 / 128

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Expanda el menú “Logging” y en él seleccione “Syslog Servers”. Se abrirá el
panel de servidores de syslog.

Seleccione el botón “Add” para agregar un servidor en la lista de servidores. Se
abrirá una ventana que permite ingresar lo información correspondiente al
servidor.
o

Del menú desplegable “Interface” seleccione la interfaz que el appliance
utilizará para comunicarse con el servidor.

o

Agregue la dirección IP del servidor.

o

Seleccione el protocolo de capa de transporte (TCP o UDP) que se
utilizará para la comunicación con el servidor.

o

Se puede especificar el puerto sobre el que opera el servidor. El valor
por defecto para UDP es 514, y para TCP es 1470.

o

Seleccione OK.

Configuración de dispositivos ASA
versión 1.1

Concluida la operación el servidor aparecerá en la lista de servidores.

Adicionalmente se puede especificar el número de mensajes que se pueden
mantener en memoria si el servidor está saturado.

Terminada la tarea selecciones “Apply”.

Para habilitar el envío de mensajes al servidor de syslog siga el mismo procedimiento
detallado para el visualizador de ASDM, seleccionando en este caso la opción “Syslog
Servers”.
Envío de mensajes de eventos a través de correo electrónico
Muchas veces puede ser útil que determinados eventos sean reportados también a
través del correo electrónico. Para enviar mensajes por correo electrónico es
necesario configurar una dirección de correo a utilizar por ASDM como origen y las
direcciones de los destinos deseados.
Para configurar la función de envío de correos electrónicos:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Expanda el menú “Logging” y en él seleccione “E-Mail Setup”. Se abrirá el
panel de configuración de correo electrónico.

En el campo “Source E-Mail Address” ingrese la dirección de correo electrónico
que el appliance debe utilizar para realizar los envíos.

A continuación utilice al botón “Add” para ingresar las direcciones de correo
electrónico de los receptores.
o

Para cada receptor puede especificar el nivel de severidad de los
mensajes que se desean enviar.

Seleccione “OK”.

Seleccione “Apply” para que se hagan efectivos los cambios.

A continuación deberá definir el servidor SMTP que utilizará el appliance para los
envíos:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Expanda el menú “Logging” y en él seleccione “SMTP”. Se abrirá el panel
correspondiente.

En el panel ingrese la dirección IP del servidor SMTP primario y secundario.

Luego selecciones “Apply”.

Concluida esta tarea puede habilitar el envío de las notificaciones por correo
electrónico siguiendo el mismo procedimiento detallado para el visualizador de ASDM
y el servidor de syslog, seleccionando en este caso la opción “E-Mail”.

29 / 128

Configuración de dispositivos ASA
versión 1.1

Algunas guías para la implementación
 Establezca una política de retención de la información que defina cuál es el
tiempo adecuado para guardar los mensajes.

Es preferible que el almacenamiento de información sea excesivo antes que
escaso.

Ajuste los registros para evitar información duplicada.

Utilice múltiples destinos para la información de modo de asegurar la
información y poder contar con control dual si es necesario.

Asegure el tránsito de la información a través de la red.

Monitoree la operación de cada uno de los subsistemas involucrados para
detectar posible anomalías o problemas.

Sincronice fecha y hora del appliance con una fuente de sincronización
confiable.

Utilice NetFlow para lograr un registro más escalable.

Proteja el almacenamiento de sus registros.

1.2.5. Sistema de archivos del appliance
La memoria flash del appliance está formateada con un file system semejante a otros
ya conocidos, y soporta las funciones habituales de cualquier sistema de archivos. Se
puede interactuar con este file system tanto desde ASDM como utilizando la CLI.
Para acceder al sistema de archivos utilizando ASDM:

Seleccione en el menú de ASDM “Tools”.

Seleccione “File Management”, se abrirá la ventana de administración de
archivos mostrando el contenido de la memoria flash.

Tenga presente que la memoria flash interna del appliance es identificada como
“disk0”.
Comandos del sistema de archivos
ASA#dir flash:
ASA#more [archivo]
ASA#copy [origen] [destino]
ASA#delete [archivo]
ASA#pwd
ASA#cd [directorio]
ASA#mkdir [directorio]
ASA#rmdir [directorio]

30 / 128

Configuración de dispositivos ASA
versión 1.1

1.2.6. Configuración del acceso para administración
Canales para la administración remota
Los appliances ofrecen varias posibilidades de acceso remoto a las funciones de
management:

Acceso por CLI.
o

Telnet.

o

SSH (Secure SHell).

Acceso por GUI.
o

HTTPS.

Utilizando SNMP.

Configuración del acceso por Telnet
El appliance permite hasta 5 sesiones de Telnet concurrente. Su uso es
desaconsejado ya que no se trata de un protocolo seguro, a menos que se utilice
sobre una red confiable.
Para habilitar el acceso por Telnet:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Expanda el menú “Management Access” y en él seleccione
“ASDM/HTTPS/Telnet/SSH””. Se abrirá el panel correspondiente.

Seleccione “Add” para agregar una regla de acceso. Se abre una ventana de
configuración de acceso al dispositivo.

En la ventana abierta seleccione “Telnet” y especifique dirección IP de origen,
máscara de subred e interfaz entrante de las sesiones permitidas.

Seleccione “OK”.

Puede definir el tiempo máximo (en minutos) que una sesión puede
permanecer inactiva antes de que sea dada de baja en el casillero “Idle
Timeout”. Por defecto las sesiones son mantenidas por 5 minutos.

Seleccione “Apply” para concluir la tarea.

El appliance requiere que si la interfaz de acceso para el tráfico Telnet es la outside, el
tráfico sea protegido con IPsec.
Configuración del acceso por SSH
También se permiten hasta 5 sesiones concurrentes de SSH en el appliance. La
implementación de SSH en el appliance soporta únicamente funciones de servidor
SSH.

31 / 128

Configuración de dispositivos ASA
versión 1.1

Para habilitar el acceso por SSH:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Expanda el menú “Management Access” y en él seleccione
“ASDM/HTTPS/Telnet/SSH””. Se abrirá el panel correspondiente.

Seleccione “Add” para agregar una regla de acceso. Se abre una ventana de
configuración de acceso al dispositivo.

En la ventana abierta seleccione “SSH” y especifique dirección IP de origen,
máscara de subred e interfaz entrante de las sesiones permitidas.

Seleccione “OK”.

Utilizando el menú desplegable “Allowed SSH version” especifique la versión
de SSH permitida.

Puede definir el tiempo máximo (en minutos) que una sesión puede
permanecer inactiva antes de que sea dada de baja en el casillero “Idle
Timeout”. Por defecto las sesiones son mantenidas por 5 minutos.

Seleccione “Apply” para concluir la tarea.

Para operar con SSH es necesario también generar el par de llaves (pública y privada)
RSA necesarias. Esto debe hacerse en la CLI:
ASA(config)#crypto key generate rsa modulus [longitud]
Configuración del acceso por HTTPS
Este acceso es utilizado únicamente por ASDM.
Para habilitar el acceso por HTTPS:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Expanda el menú “Management Access” y en él seleccione
“ASDM/HTTPS/Telnet/SSH””. Se abrirá el panel correspondiente.

Seleccione “Add” para agregar una regla de acceso. Se abre una ventana de
configuración de acceso al dispositivo.

En la ventana abierta seleccione “HTTPS” y especifique dirección IP de origen,
máscara de subred e interfaz entrante de las sesiones permitidas.

Seleccione “OK”.

Marque el checkbox denominado “Enable HTTP Server”.

Seleccione “Apply” para concluir la tarea.

El appliance, por defecto, genera cada vez que se reinicia un certificado X.509 para
utilizar en los procesos de autenticación. Como el certificado se genera nuevamente

32 / 128

Configuración de dispositivos ASA
versión 1.1

en cada reinicio, esto provoca que al intentar acceder el navegador genera un
mensaje de alerta ya que el certificado no puede ser verificado.
Para solucionar esta situación, se puede crear un certificado permanente que luego
sea almacenado en el cliente. Para generar este certificado permanente:

Asegúrese que el hostname y nombre del dominio están correctamente
configurados en el appliance.

Si aún no lo hizo, genere el par de llaves RSA utilizando la CLI.

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Seleccione en el menú “Device Setup” la opción “Identity Certificates”. Se
abrirá el panel correspondiente.

Seleccione “Add” para crear un nuevo punto confiable PKI.

En la ventana de configuración que se abre, asigne al punto que está creando
un nombre.

Vaya a la sección “Add a new identity certificate” y seleccione un par de llaves
RSA o cree un nuevo par.

En el campo “Certificate subject” ingrese el nombre del appliance utilizando el
formato CN=hostname.dominio.

Marque el checkbox “Generate self-signed certificate”.

Seleccione “Add certifícate” para genera el certificado permanente.

A continuación seleccione “Apply”.

A continuación se debe adjuntar el certificado a la interfaz adecuada del appliance,
sobre la cual se espera recibir las solicitudes HTTPS.
Para esto:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Remote Access”.

Extienda la opción “Advanced”, y seleccione “SSL Setting” en el menú. Se
abre el panel correspondiente.

En el panel, seleccione la interfaz sobre la cual se desea que el appliance
acepte las conexiones HTTPS.

Seleccione “Edit”.

En el desplegable “Primary Enrolled Certificate” seleccione el certificado ya
generado.

Seleccione “OK”.

Finalmente seleccione “Apply”.
33 / 128

Configuración de dispositivos ASA
versión 1.1

Para completar el proceso, al acceder nuevamente al appliance utilizando el
navegador de Internet deberá instalar el certificado en el browser. Este procedimiento
difiere de acuerdo al navegador utilizado.
Configuración de banners
Es posible configurar múltiples mensajes para que sean visualizados antes o después
de acceder a las interfaces de management:

Exec Banner.
Se muestra después de loguearse en la CLI.

Login Banner.
Se muestra antes del logueo en la CLI.

MOTD Banner.
Se utiliza de modo conjunto con el login banner para mostrar mensajes
adicionales.

Cisco ASDM Banner.
Se muestra luego del logueo en ASDM.

Para definir el mensaje mostrado en cada uno de estos banners:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Expanda el menú “Management Access”. Seleccione la opción “CLI”.

Seleccione la opción “Banner” del menú.

Ingrese el texto deseado en la ventana correspondiente.

Seleccione “Apply”.

Acceso utilizando SNMP
Los appliances permiten utilizar SNMP versiones 1, 2c y 3 simultáneamente. Se
soportan solamente accesos read-only; NO está permitido el acceso de tipo read
and write. También es posible configurar traps.
Para permitir el acceso de clientes SNMP al appliance:

34 / 128

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Expanda el menú “Management Access” y seleccione la opción “SNMP”. Se
abrirá el panel correspondiente.

En la parte superior se puede definir una community string por defecto. Será
utilizada en caso de no definir un community string específico para un cliente.

Adicionalmente puede ingresar un contacto administrativo e información sobre
la ubicación del appliance.

Configuración de dispositivos ASA
versión 1.1

A continuación, puede definir el número de puerto a utilizar en el appliance. El
puerto por defecto es 161.

En el panel “SNMP Management Stations” seleccione el botón “Add”.

Se abrirá la ventana de información de la estación de management. En la
ventana ingrese la información correspondiente:
o

Community.

o

Dirección IP.

o

Versión de SNMP.

o

Puerto para traps.

o

Autorización.

Seleccione “OK”.

Seleccione “Apply”.

Si se va a utilizar SNMP v3 se debe agregar la información correspondiente en el
panel inferior titulado “SNMPv3 User”, utilizando la información correspondiente a la
versión del protocolo.

1.2.7. AAA en el acceso de management
El appliance utiliza un subsistema AAA para suministrar seguridad basada en el
usuario para varias situaciones:

En la interfaz de administración.

En las sesiones que atraviesan el firewall.

Para el acceso remoto de VPNs.

Con este propósito, el appliance puede utilizar múltiples bases de datos diferentes:

Una base de datos local.

Servidores externos: TACACS+, RADIUS, LDAP, Kerberos, etc.

Creación de una base de datos local
Se aconseja crear al menos una cuenta local de administrador que pueda ser utilizada
en caso de necesidad si por algún motivo el servidor de autenticación no es accesible.
Para crear una base de datos de usuarios localmente en el appliance, siga estos
pasos:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Expanda el menú “Users/AAA” y seleccione la opción “User Accounts”. Se
abrirá el panel de cuentas de usuarios.

35 / 128

Configuración de dispositivos ASA
versión 1.1

Seleccione “Add” para agregar una cuenta de usuario, y aparecerá la ventana
de creación de cuentas de usuario.

Ingrese en los campos correspondientes el nombre de usuario y la clave
definidos.

Opcionalmente asígnele un nivel de privilegio utilizando el menú desplegable.
El nivel de privilegios es un mecanismo simple para diferenciar distintos niveles
de permisos en el acceso y define los comandos y funciones disponibles para
ese usuario.
Usuarios nivel 0 no tienen acceso a las funciones de management.
Usuarios nivel 1 tienen acceso a CLI.
Usuarios nivel 2 tienen acceso a CLI y ASDM.

Seleccione “OK”.

Seleccione “Apply” para aplicar los cambios.

Configuración de AAA con autenticación local
Se puede aplicar AAA para el acceso por consola y a través de los canales de
management remoto utilizando Telnet, SSH o HTTPS.
Para habilitar la autenticación se debe:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Expanda el menú “Users/AAA” y seleccione la opción “AAA Access”. Se abrirá
el panel correspondiente.

Asegúrese que está seleccionada la solapa “Authentication”.

Seleccione el checkbox para el canal de management que desea proteger con
AAA, y luego utilice el menú desplegable para seleccionar la base de datos a
utilizar. En este caso es “LOCAL”.

Seleccione “Apply”.

Configuración de AAA utilizando un servidor externo
Para utilizar un servidor de autenticación externo, en primer lugar es necesario
especificar el grupo de servidores a emplear. Para esto es preciso definir el nombre
del grupo y el protocolo a utilizar:

36 / 128

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Expanda el menú “Users/AAA” y seleccione la opción “AAA Server Group”. Se
abrirá el panel correspondiente.

En la sección superior “AAA Server Groups” seleccione el botón “Add”. Se
abrirá la ventana de creación del grupo de servidores.

Asigne al grupo un nombre único que lo identifique.

Configuración de dispositivos ASA
versión 1.1

En el menú desplegable “Protocol” seleccione el protocolo de autenticación a
utilizar (TACACS+, RADIUS, etc.).

Seleccione “OK”.

A continuación se debe agregar el servidor de autenticación al grupo de servidores
que acabamos de crear:

Seleccione el grupo que acaba de crear en la ventana “AAA Server Groups”

En la ventana “Servers in the Selected Group” seleccione “Add”. Se abrirá la
ventana de asociación de servidores.

Indique la interfaz a través de la cual se alcanza el servidor en el desplegable
“Interface Name”.

En los campos correspondientes indique la dirección IP o el nombre del
servidor, y la llave que protege la sesión con el servidor.

Selección “OK”.

Seleccione “Apply”.

Finalmente, debe habilitarse el procedimiento de autenticación en el canal de
management correspondiente. Para esto se sigue el mismo procedimiento revisado al
implementar la autenticación con la base de datos local.
Al elegir utilizar un servidor remoto para realizar la autenticación, el appliance da la
opción de habilitar el uso de la base de datos local cuando no hay acceso al servidor
remoto. Para esto se debe marcar el checkbox “Use LOCAL When Server Group
Fails”.
Configuración de autorización.
Para poder definir autorización es necesario que previamente se haya configurado
autenticación. Como en el caso anterior, es posible asignar autorización tanto
utilizando una base local como un servidor remoto.
Para configurar autorización localmente:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Expanda el menú “Users/AAA” y seleccione la opción “AAA Access”. Se abrirá
el panel correspondiente.

Seleccione la solapa “Authorization”.

Marque el checkbox “Enable”.

Opción 1: Utilizar los roles de usuarios definidos por ASDM.
Seleccione el botón “Set ASDM Defined User Roles”.
Se trata de privilegios de usuarios predefinidos. Hay 3 usuarios predefinidos:
Admin: Privilegios de nivel 15 con acceso a todos los comandos CLI.
Read Only: Privilegios nivel 5 con acceso read-only.
37 / 128

Configuración de dispositivos ASA
versión 1.1

Monitor Only: Privilegios nivel 3 con acceso exclusivamente a la sección de
monitoreo.
Seleccione “Yes” para utilizar esta modalidad.

Opción 2: Seleccionar individualmente comandos o grupos de comandos.
Seleccione el botón ”Configure Command Privileges”.
Permite definir niveles de privilegios con comandos principales individualmente
sin utilizar roles predefinidos. Se debe definir en qué nivel se encuentra
definido cada comando. El nivel es un valor de 0 a 15.
Concluida la asignación de privilegios seleccione “OK”.

Para concluir selección “OK”.

Finalmente selección “Apply”.

También se puede definir la autorización de comandos con un servidor TACACS+.
Sólo este protocolo está soportado para autorización remota de comandos y funciones
de management.
Para definir el servidor que se utilizará para la autorización:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Expanda el menú “Users/AAA” y seleccione la opción “AAA Access”. Se abrirá
el panel correspondiente.

Seleccione la solapa “Authorization”.

Marque el checkbox “Enable”.

En el menú desplegable “Server Group” seleccione el grupo de servidores
TACACS+.

Se aconseja que adicionalmente se seleccione el checkbox “Use LOCAL When
Server Group Fails” para posibilitar utilizar la autorización local cuando el
servidor externo no se encuentra accesible.

Seleccione “Apply”.

Configuración de accounting
El appliance soporta el almacenamiento de un registro de los eventos de autenticación
en un servidor remoto utilizando RADIUS o TACACS+.
Adicionalmente TACACS+ permite generar un registro de los comandos individuales
utilizados y puede activarse para cada comando separadamente.
Para configurar esta función:

38 / 128

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Expanda el menú “Users/AAA” y seleccione la opción “AAA Access”. Se abrirá
el panel correspondiente.

Configuración de dispositivos ASA
versión 1.1

Seleccione la solapa “Accounting”.

Selecciones el checkbox “Enable” para habilitar la operación, y en el menú
desplegable seleccione el grupo de servidores que utilizará para este
propósito.

En la sección inferior seleccione el tipo de conexiones para el cual desea
utilizar el accounting.

Concluida la tarea seleccione “Apply”.

1.2.8. Recuperación de claves en Cisco ASA
Como los demás dispositivos Cisco, la implementación de appliances Cisco ASA
incluye un procedimiento para acceder a los dispositivos en caso de pérdido u olvido
de las credenciales de acceso. El procedimiento de recuperación de claves del
appliance sólo puede ejecutarse a través de una conexión de consola.
Como en otros dispositivos, el procedimiento permite poner en funcionamiento el
appliance sin cargar la configuración.
Para ejecutar el procedimiento:

Conéctese al puerto consola del appliance.

Apague y vuelva a encender el dispositivo.

Una vez iniciado el dispositivo oprima la tecla “Escape” cuando se le avise,
para ingresar al modo ROMMON.

Modifique el valor del registro de configuración.
rommon #1>confreg 0x41

Reinicie el dispositivo:
rommon #2>boot

El dispositivo se reinicia y carga la configuración por defecto.

Ingrese al modo EXEC privilegiado:
ciscoasa>enable

Cuando se requiera una clave deje el espacio en blanco y oprima “Enter”.

Copie la configuración de respaldo a la memoria RAM:
ciscoasa#copy startup-config running-config

Ingrese al modo de configuración.

Cambie la clave.

Vuelva el valor del registro de configuración a su valor por defecto.
ASA(config)#config-register 0x1

Guarde los cambios realizados en la configuración.

Reinicie el appliance.

39 / 128

Configuración de dispositivos ASA
versión 1.1

Si por política de seguridad se requiere bloquear la posibilidad de este procedimiento
para asegurar de esta forma que el archivo de configuración no será accedido, se
puede hacer esto por línea de comando:
ASA(config)#no service password-recovery
Este comando previene la posibilidad de ingresar al modo ROMMON lo que impide
ejecutar el procedimiento de recuperación de claves:

40 / 128

Si durante el inicio se intenta acceder al modo ROMMON, el dispositivo solo
ofrecerá la posibilidad de borrar todo el file system de la flash.

Si el usuario elige no borrar la flash, el appliance se reinicia.

Si fuera necesario recuperar el sistema, habrá entonces que descargar una
nueva imagen de sistema operativo y una copia de respaldo del archivo de
configuración que hubiera sido almacenada en otro sistema.

Configuración de dispositivos ASA
versión 1.1

1.3. Configuración básica de políticas de control de acceso
1.3.0. Introducción
Cisco ASA incluye varios mecanismos de control de acceso en diferentes capas.
Todas las capas

Capas 5 a 7

Capas 3 y 4

Control de acceso avanzado:

Filtrado de tráfico de botnets.

SYN cookies.

Detección de amenazas.

Control de acceso de capa de aplicación:

Policy maps de inspección.

Filtrado de URLs.

Control de acceso básico:

Reglas de acceso por interfaz.

Listas de control de acceso.

uRPF

La tabla de conexiones y la tabla local host
Un Cisco ASA es fundamentalmente un dispositivo de filtrado de paquetes stateful.
Para esto conforma tablas de estado que operan como memorias de corto plazo.
Estas tablas de estado describen el entorno actual del dispositivo y el tráfico que lo ha
atravesado, lo que le permite predecir el tráfico futuro.

Tabla de conexiones.
Realiza el seguimiento de todas las conexiones que son permitidas a través del
dispositivo. Las propiedades de todo paquete perteneciente a una sesión
existente y que llega a una interfaz del appliance debe coincidir con lo que se
espera; si no coincide con lo esperado se descarta.
Las propiedades que se analizan dependen del protocolo de transporte
utilizado:
o

TCP.
Direcciones, puertos, estado, número de secuencia, tiempo de
inactividad.

o

UDP.
Direcciones, puertos, tiempo de inactividad.

o

Ping ICMP.
Direcciones, tipo y código de ICMP, tiempo de inactividad.

41 / 128

Configuración de dispositivos ASA
versión 1.1

o

IPsec ESP.
Direcciones, SPI, tiempo de inactividad.

Comando para examinar la tabla de conexiones: show conn
Comando para borrar una o todas las entradas en la tabla de conexiones:
clear conn

Tabla local host.
Realiza el seguimiento de todos los hosts (direcciones IP) que tienen
conexiones establecidas a través del appliance. Proporciona estadísticas de
cada host, cantidad de conexione que mantiene, etc.
Comando para examinar la tabla local host: show local-host
Comando para borrar un objeto o grupo de objetos específicos de la tabla de
local host: clear local-host
Al borrar entradas en la tabla de local host, simultáneamente se eliminan las
conexiones asociadas con ellas.

Una vez que se ha habilitado el servicio de logging en el appliance, se generará un
registro nivel 7 (debugging) de evento cuando se cree o borre un host, y un registro
nivel 6 (informational) cada vez que se cree o borre una conexión.

1.3.1. Configuración y verificación de reglas de acceso por interfaces
Las reglas de acceso o ACLs son el mecanismo de control de acceso más
habitualmente utilizado.

Permiten o deniegan la posibilidad de establecer sesiones a través del
appliance.

Inspecciona el tráfico entrante o saliente a través de la interfaz.

Aplican criterios de filtrado basados en los encabezados de capa 3 y 4.

No se aplican a tráfico que termina en el appliance mismo. Para filtrar este tipo
de tráfico se aplican las reglas de acceso de management.

Todo el tráfico iniciado en el appliance no está sujeto a inspección.

Cuando un paquete llega a una interfaz del appliance:

42 / 128

Verifica si el paquete pertenece a una conexión ya existente.

Si no pertenece a una conexión establecida, compara el paquete con las reglas
de acceso de la interfaz.

Si las reglas permiten el paquete, se inicia la conexión en la tabla de
conexiones.

Si las reglas no lo permiten, el paquete y la sesión correspondiente son
denegados.

Configuración de dispositivos ASA
versión 1.1

Obedecen las mismas reglas generales que las ACLs sobre Cisco IOS:

Son una lista ordenada de reglas que permiten o prohíben tráfico, aplicadas a
una interfaz específica.

Son analizadas secuencialmente desde el inicio.

Se ejecuta la acción que indica la primera regla que coincide con el paquete.

Cuando una regla coincide con la conexión, las reglas siguientes no se
evalúan.

Hay una prohibición implícita de todo tráfico que no sea explícitamente
permitido.

NOTA: Las reglas de acceso de Cisco ASA utilizan máscara de subred, no
máscara de wildcard.

Sin embargo, como Cisco ASA es un dispositivo de filtrado de paquetes stateful,
algunas reglas de aplicación se simplifican:

Cuando se permite el primer paquete de una sesión, si la aplicación se maneja
de forma stateful, no es necesario generar ningún permiso adicional.

Todo flujo de tráfico en sentido inverso (respuesta) está permitido
automáticamente.

Todo flujo o conexión adicional que se deba establecer también está permitida
automáticamente.

Si el protocolo no puede ser procesado de modo stateful, el appliance no
puede hacer el seguimiento de la sesión bidireccional y por lo tanto es
necesario permitir manualmente el tráfico de respuesta.

Si no hay una regla de acceso configurada:
o

Todo tráfico saliente (de una interfaz de menor nivel a otra de mayor
nivel de seguridad) es automáticamente permitido.

o

Todo tráfico entrante (de una interfaz de mayor nivel a otra de menor
nivel de seguridad) está prohibido.

o

Si la interfaz de ingreso y egreso tienen el mismo nivel de seguridad,
por defecto todo el tráfico está prohibido. Esto puede modificarse al
configurar las interfaces.

o

Todo tráfico que ingresa y egresa por la misma interfaz, también está
prohibido por defecto. También puede modificarse al configurar las
interfaces.

Configuración de reglas de acceso en una interfaz
Para trabajar con las reglas de acceso, ASDM cuenta con una herramienta específica
denominada “Access Rules table”.

43 / 128

Configuración de dispositivos ASA
versión 1.1

La herramienta brinda una visión consolidada de todas las reglas de acceso que están
configuradas y aplicadas en las interfaces del appliance. Por defecto la tabla muestra
todas las reglas de acceso IPv4 e IPv6 en todas las interfaces. Se puede utilizar el
selector “Acess Rule Type” para ver solamente las que corresponden a ambos
protocolos por separado.
Para acceder a la tabla de reglas de acceso:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Seleccione “Access Rules” en el menú. Se abrirá el panel correspondiente.

Por defecto muestra todas las reglas implícitas que aplica el appliance.
Para crear la primera regla en un nuevo conjunto de reglas asociado a una interfaz:

Acceda a la tabla de reglas de acceso.

Seleccione con el mouse la regla implícita asociada a la interfaz en la que va a
trabajar, y presione el botón derecho del mouse.

Seleccione la opción “Add Access Rule”. Se abrirá la ventana correspondiente.

Verifique la interfaz a la cual la regla va a ser agregada.

Seleccione la acción que aplicará la regla (”Permit” o “Deny”) seleccionando el
botón radial correspondiente.

En el campo “Source” ingrese la dirección IP de origen del tráfico a filtrar.
Para especificar una red o subred utilice la dirección de red seguida por el
prefijo correspondiente (/26, por ejemplo).
También puede utilizar los términos “all” o “any” cuando corresponda.

En el campo “Destination” ingrese la dirección IP de destino.
Para especificar una red o subred utilice la dirección de red seguida por el
prefijo correspondiente.
También puede utilizar los términos “all” o “any” cuando corresponda.

En el campo “Service” indique el servicio o protocolo a considerar. Puede
utilizar el botón “…” para seleccionar de una lista predefinida.

A continuación puede agregarse un comentario descriptivo utilizando el campo
“Description”.

Por defecto está habilitada la función de logging (registra cada coincidencia
con esta regla). Puede ser deshabilitada.

Seleccionando “More Options” es posible hacer algunos ajustes adicionales:


44 / 128

o

Verifique que el checkbox “Enable Rule” esté seleccionado.

o

Utilice los radiales de “Traffic Detection” para establecer si se aplica en
dirección “in” o “out”.

Para completar seleccione el botón “OK”.

Configuración de dispositivos ASA
versión 1.1

A continuación “Apply”.

Para agregar una nueva regla al conjunto de reglas que ya está asociado a una
interfaz:

Acceda a la tabla de reglas de acceso.

Seleccione con el mouse la regla implícita asociada a la interfaz en la que va a
trabajar, y presione el botón derecho del mouse.

Seleccione la opción “Insert” para agregar la regla en una posición específica.
Se abrirá la ventana correspondiente.
Si selecciona “Insert”, agregará una regla antes de aquella que está
seleccionada.
Si selecciona “Insert After”, agregará la nueva regla a continuación de la
seleccionada.

A continuación debe definir los parámetros de la regla como en el caso
anterior.

Como resultado de la tarea debe ver las nuevas reglas de acceso en la tabla. Las
reglas de denegación implícita que estaban por defecto aún se mantienen al final de
cada conjunto de reglas.
Configuración de reglas de acceso basadas en el horario
También es posible definir reglas de acceso que se aplican en días, horarios y fechas
específicos.
Para esto es necesario cumplir 2 pasos: definir un rango de tiempo y luego aplicarlo a
una regla de acceso.
Para definir un rango de tiempo:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Extienda la opción “Objects” y luego “Time Ranges” en el menú. Se abrirá el
panel correspondiente.

Seleccione “Add” para crear un nuevo rango de tiempo.

En la ventana que se abre, comience por asignar un nombre al objeto que se
está creando.

Opcionalmente puede definir un rango de fechas dentro de las cuales se
aplicará la regla especificando “Start Time” y “End Time”.
Si no se desea establecer un límite de este tiempo seleccione “Start Now” y
“Never End”.

En la ventana “Recurring Time Ranges” se pueden especificar uno o más
rangos de tiempo.
Para crear un rango de tiempo seleccione el botón “Add”.

45 / 128

Configuración de dispositivos ASA
versión 1.1

En la ventana “Add Recurring Time Ranges” se puede definir días y horarios en
los que se desea que la regla sea operativa.

Concluida la tarea, seleccione “OK”.

Seleccione también “OK” en la ventana “Add Time Range”.

Finalmente seleccione “Apply” para aplicar los cambios.

Para aplicar el rango de tiempo creado a una regla de acceso:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Extienda la opción “Access Rules” del menú Firewall. Se abrirá el panel
correspondiente.

Seleccione una regla de uno de los conjuntos de reglas de los ya existentes o
cree una nueva si es necesario.

Si va a modificar una regla ya existente, selecciónela y presione el botón
derecho del mouse.

En el menú que se despliega seleccione “Edit”. Se abrirá la ventana de edición
de la regla seleccionada.

Seleccione “More Options”.

Verifique que el checkbox de “Enable Rule” se encuentre seleccionado.

En el campo “Time Range” seleccione el botón “…” y elija el objeto rango de
tiempo que ha definido previamente.

Selecciones “OK”.

Seleccione “Apply”.

A partir de este punto la regla de acceso será operativa únicamente dentro del rango
de tiempo que se ha definido.
Como resultado, cuando se verifica la tabla de reglas de acceso, en la columna “Time”
aparece ahora el nombre del rango de tiempo asociado a la regla de acceso.
La tabla de reglas de acceso
La tabla de reglas de acceso contiene algunas funciones que permiten trabajar de
modo más rápido y eficiente:

46 / 128

Botones para mover, copiar, cortar y pegar reglas.

Botón “Diagram”.
Muestra en la parte inferior de la tabla en un diagrama el modo en que la regla
impacta en el flujo de datos.

Botón “Export”.
Exporta la regla a un archivo en formato CSV o HTML.

Configuración de dispositivos ASA
versión 1.1

Botón “Show Log”.
Muestra el registro de syslog generado por una regla de acceso seleccionada.

Columna “Hits”.
Muestra la cantidad de paquetes que han coincidido con la regla. Esta columna
puede ser clareada a “0” utilizando el botón “Clear Hits”.

1.3.2. Configuración y verificación de grupos de objetos
La generación de grupos de objetos es una herramienta lógica que permite generar
conjuntos arbitrarios de hosts, recursos o servicios a los que ha de aplicarse la misma
política.
De esta manera es posible optimizar el diseño de las reglas de acceso, reduciendo su
cantidad sin sacrificar la granularidad de las mismas.
Creación de objetos de red
Un objeto de red es un nodo, conjunto de nodos, subred o red que es identificado con
un nombre de modo tal que sea más amigable su identificación en el sistema.
Para crear un objeto de red:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Extienda la opción “Access Rules” del menú Firewall. Se abrirá el panel
correspondiente.

47 / 128

Configuración de dispositivos ASA
versión 1.1

En el menú “View” seleccione “Addresses”. Se abrirá una nueva ventana de
trabajo titulada “Addresses” que muestra todos los objetos definidos en el
appliance.

En la ventana “Addresses” seleccione el botón “Add” y luego “Network Object”.
Se abrirá la ventana para la creación de un nuevo objeto.

En el campo “Name” ingrese el nombre del objeto (no admite el uso de
espacios).

A continuación ingrese dirección IP o dirección de red del objeto, y máscara de
subred.

En el campo “Description” puede agregar una descripción del objeto.

Una vez concluido seleccione “OK”.

Finalmente seleccione “Apply” para hacer efectivos los cambios.

Creación de grupos de objetos de red
Los grupos de objetos de red permiten agrupar objetos de red previamente creados.
Esto permite aplicar una única regla de acceso a múltiples objetos diferentes.
Para configurar un grupo de objetos:

48 / 128

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Extienda la opción “Access Rules” del menú Firewall. Se abrirá el panel
correspondiente.

En el menú “View” seleccione “Addresses”. Se abrirá una nueva ventana de
trabajo titulada “Addresses” que muestra todos los objetos definidos en el
appliance.

En la ventana “Addresses” seleccione el botón “Add” y luego “Network Object
Group”. Se abrirá la ventana para la creación de un nuevo grupo de objetos.

En el campo “Group Name” ingrese un nombre para el grupo.
Puede tener hasta 64 caracteres de longitud. El nombre debe ser único y no
puede coincidir con el nombre de un grupo de servicios.

La ventana de creación de nuevos grupos de objetos contiene 2 ventanas: la
de objetos existentes y la de objetos miembros del grupo. Seleccione en la
ventana “Existing Network Objects” los objetos que desea agregar al grupo,

Seleccione el botón “Add”. Verá que los objetos pasan ahora a estar en la
ventana “Members in Groups”.

Cuando haya completado el grupo, seleccione el botón “OK”.

Finalmente seleccione “Apply”.

Configuración de dispositivos ASA
versión 1.1

Note que si se desea agregar al grupo un objeto que no ha sido creado, se puede
crear en el momento desde esta misma ventana activando la opción ”Create new
Network Object Member”.
Creación de un grupo de servicios
Este tipo de grupos se utiliza para agrupar servicios que han de ser sometidos a una
política común. Si bien Cisco ASA permite generar 6 tipos diferentes de grupos de
servicios (Grupos de servicios, Servicios TCP, Servicios UDP, Servicios TCP-UDP,
ICMP y Protocol), este procedimiento describe la creación de grupos de servicios IP
que es la forma más flexible que está reemplazando las otras 5.
Para crear un grupo de servicios IP:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Extienda la opción “Access Rules” del menú Firewall. Se abrirá el panel
correspondiente.

En el menú “View” seleccione “Services”. Se abrirá una nueva ventana de
trabajo titulada “Services” que muestra todos los servicios y grupos de servicios
definidos en el appliance.

En la ventana “Services” seleccione el botón “Add” y luego “Service Group”. Se
abrirá la ventana para la creación de un nuevo grupo de servicios.

En el campo “Group Name” ingrese un nombre para el grupo.
Puede tener hasta 64 caracteres de longitud. El nombre debe ser único y no
puede coincidir con el nombre de un grupo de objetos de red.

La ventana de creación de nuevos grupos de objetos contiene 2 ventanas: la
de servicios existentes y la de servicios miembros del grupo. Seleccione en la
ventana “Existing Services/Service Groups” los objetos que desea agregar al
grupo,

Seleccione el botón “Add”. Verá que los objetos pasan ahora a estar en la
ventana “Members in Groups”.

Cuando haya completado el grupo, seleccione el botón “OK”.

Finalmente seleccione “Apply”.

Note que si se desea agregar al grupo un servicio que no está en la lista de los
servicios existentes, se puede crear en el momento desde esta misma ventana
activando la opción ”Create new member”.
Utilización de grupos de objetos en las reglas de acceso
Los grupos de objetos permiten simplificar la definición de reglas de acceso,
agrupando múltiples orígenes, destinos o servicios en una única regla común.

49 / 128

Configuración de dispositivos ASA
versión 1.1

Para esto, al momento de definir la regla de acceso cuando se encuentra en la
ventana de configuración de la regla:

A la derecha del campo “Source” seleccione el botón “…”

A la derecha del campo “Destination” seleccione el botón “…”

A la derecha del campo “Service” seleccione el botón “…”

En cada caso el botón “…” abre una ventana que permite navegar los grupos creados
con ese propósito en el appliance.
Tenga presente que un grupo no puede ser borrado mientras sea parte de una regla
activa.
Verificación de los grupos
Los objetos y grupos creados en el appliance pueden ser revisados y editados
utilizando las ventanas “Addresses” y “Services” que se utilizaron para su creación.
Cualquier modificación realizada en estas ventanas actualiza automáticamente las
políticas que incluyen estos objetos.

1.3.3. Unicast Reverse Path Forwarding
Los ataques que utilizan técnicas de spoofing pueden ser detectados de diferentes
formas, una de las maneras posibles en los dispositivos que operan en la capa 3 del
modelo OSI es la utilización de la tabla de enrutamiento para determinar qué redes
son realmente accesibles a través de qué interfaces específicamente.
Unicast Reverse Path Forwarding (uRPF) es la utilización de la información contenida
en la tabla de enrutamiento para validar la dirección IP de origen de los paquetes
entrantes. Cisco ASA soporta el uso de uRPF estricto.
Cuando se ha activado uRPF:

El paquete entrante es examinado en la interfaz de entrada. Si el paquete
pertenece a una conexión existente, su dirección de origen es considerada
confiable y es pasado al engine de inspección.
La tabla de conexiones siempre hace seguimiento de las 2 interfaces que la
conexión está utilizando y deniega paquetes que arriban por una interfaz
diferente.

Si el paquete no pertenece a una conexión existente, el appliance utiliza uRPF
para analizar la dirección IP de origen. Se realiza un lookup de la tabla de
enrutamiento para determinar la interfaz sobre la cual la red de origen del
paquete es alcanzable.

Si la interfaz identificada en la tabla de enrutamiento no es la misma que la
interfaz a través de la cuál ingresó el paquete, el paquete es descartado y se
registra una violación.

Si en cambio la interfaz identificada coincide con la de ingreso del paquete, se
lo pasa al proceso de inspección normal.

Este feature está deshabilitado por defecto en todas las interfaces.

50 / 128

Configuración de dispositivos ASA
versión 1.1

Configuración de uRPF
 Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Extienda la opción “Advanced” del menú Firewall. Seleccione “Anti-Spoofing”
en el menú. Se mostrará el panel correspondiente.

Seleccione la o las interfaces en las que desea activar uRPF.

Seleccione el botón “Enable”.

Par verificar la operación de uRPF utilice el comando ip verify reverse-path
interface

1.3.4. ASDM Packet Tracer
Packet Tracer es una herramienta que permite detectar rápidamente posibles causas
de problemas de conectividad a través del appliance.
Puede ser iniciado desde el menú “Tools” de ASDM.
Abre una ventana emergente, en la que se pueden ingresar los parámetros de la
conexión: interfaz de ingreso, IP destino, IP origen, puerto destino y puerto origen.
Para realizar un diagnóstico se debe seleccionar “Start”.
Como resultado la herramienta muestra en modo gráfico y analítico el tratamiento que
el appliance dará al paquete en las diferentes instancias que debe atravesar hasta
salir del appliance.
La herramienta también puede utilizarse desde la línea de comando:
ASA#packet tracer input [int] [protocolo] [ip origen] [puerto
origen] [ip destino] [puerto destino]
Otra herramienta de diagnóstico importante es el comando capture.
Este comando permite recolectar los paquetes que son descartados por las reglas de
control de acceso aplicadas a las interfaces
ASA#capture [nombre] type asp-drop acl-drop

51 / 128

Configuración de dispositivos ASA
versión 1.1

52 / 128

Configuración de dispositivos ASA
versión 1.1

1.4. Features básicos de inspección stateful
Los appliances Cisco ASA aplican mecanismos de filtrado stateful estrictos cuando el
tráfico de la red atraviesa sus interfaces.
Las políticas estrictas que se aplican por defecto en el motor de filtrado stateful
pueden interferir con algunos diseños de redes inusuales o la operación de algunas
aplicaciones. En función de esto Cisco ASA incluye algunas herramientas que
permiten ajustar el comportamiento del motor de análisis stateful creando excepciones
que permiten al tráfico legítimo atravesar el dispositivo.
Las 3 tareas más importantes en este punto son:

Ajuste de las rutinas de inspección de capa 3 y 4 del modelo OSI.

Ajuste de las funciones de normalización de TCP y verificación de protocolos
del appliance.

Configuración para soportar aplicaciones con protocolos dinámicos a través del
appliance.

1.4.1. Ajuste de la inspección de capa 3 y 4
Cisco ASA es un dispositivo de filtrado stateful de paquetes que monitorea las
aplicaciones para verificar la legitimidad y corrección del tráfico que arriba a sus
interfaces.
Monitoreo de sesiones en la tabla de conexiones
Por defecto se hace seguimiento de todas las sesiones TCP y UDP utilizando la tabla
de conexiones. Opcionalmente es posible también hacer seguimiento del ping de
ICMP y del tráfico ESP.
¿Cuándo se retira una sesión de la tabla de conexiones del appliance?

Cuando la sesión TCP se cierra utilizando las secuencias FIN o RST.

Cuando la sesión UDP o ICMP ping alcanza su valor de idle timeout (tiempo
máximo de inactividad).

En el caso de DNS, cuando se recibe la respuesta a la solicitud original.

Cuando anticipa situaciones extraordinarias:
o

Cuando se alcanza el timeout establecido para conexiones
embrionarias. Por defecto 30 segundos.

o

Cuando se alcanza el timeout para conexiones half-closed. Por defecto
10 minutos.

o

Cuando se alcanza el timeout de conexiones idle. Por defecto 1 hora.

Estos temporizadores pueden ser ajustados por configuración para adaptarlos a
situaciones particulares de las aplicaciones que corren en la red.

53 / 128

Configuración de dispositivos ASA
versión 1.1

Adicionalmente DCD (Dead Connection Detection) es un feature que permite detectar
conexiones no-operativas y cancelarlas. Para esto, una vez que la conexión queda
inactiva el appliance comienza a enviar zondas a los dispositivos terminales para
determinar la validez de la conexión. Si uno de los terminales falla en responder la
conexión se dará por terminada, si ambos terminales responden se considera una
conexión válida
Manejo de TTL
Aún cuando el appliance opera en capa 3, por defecto no reduce el valor del campo
TTL de los paquetes IP que recibe en sus interfaces. Como consecuencia los
appliances no son visibles en una respuesta a un traceroute.
Si por algún motivo es necesario que el dispositivo sea visualizado en una ruta (por
ejemplo, por razones de management), es posible configurar el appliance para que
descuente el valor del campo TTL como cualquier otro dispositivo capa 3. Esto es
posible para todo el tráfico o solamente para flujos específicos.
Manejo del tráfico IP fragmentado
Cuando tráfico IP que ha sido sometido al proceso de fragmentación atraviesa el
appliance el dispositivo lo reensambla “virtualmente” lo que permite que:

El appliance realiza un buffering local de los fragmentos hasta verificar que
recibe todas las porciones.
Esto previene la posibilidad de que fragmentos que no son los iniciales sean
reenviados hacia la red protegida para realizar ataques de reconocimiento o
denegación de servicios.

Cuando se recibe un fragmento se verifica que constituye un paquete IP
completo analizando los valores de fragmentación, offset y otros.

Si las rutinas de inspección de capas superiores lo requieren, el appliance reensambla internamente el paquete para someterlo a estas rutinas.
Si la inspección de capa superior permite el paquete, entonces los fragmentos
originales se envían hacia el destino.

No es posible cambiar el comportamiento del algoritmo de re-ensamble de los
fragmentos. Lo que se puede ajustar es el tamaño del buffer interno destinado a este
propósito.
Configuración de inspección del ping ICMP
Para implementar la inspección stateful del ping de ICMP se puede modificar la clase
de inspección de tráfico por defecto. Por defecto esta clase identifica las solicitudes de
ping pero no tiene asociada una política de inspección.
Para cambiar esta política por defecto:

54 / 128

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Configuración de dispositivos ASA
versión 1.1

Extienda la opción “Service Policy Rules” del menú Firewall. Se abrirá el panel
correspondiente.

Edite la política de servicio que aplica a la clase “inspection_default”.

En la solapa “Rule Actions”, en la sección “Protocol Inspection” seleccione
ICMP.

Seleccione “OK”.

A continuación seleccione “Apply” para hacer efectivos los cambios.

Ajuste de los temporizadores de inspección y DCD
 Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Extienda la opción “Service Policy Rules” del menú Firewall. Se abrirá el panel
correspondiente.

Seleccione el botón “Add” para acceder al wizard “Add Service Policy Rule”.

Seleccione una política global o por interfaz según corresponda.

Cree una nueva clase de tráfico. Asigne a esta clase un nombre único y defina
el tráfico utilizando una ACL. Los cambios se realizarán sobre los
temporizadores que afectan al tráfico comprendido en esta clase.

Cuando llega al momento de la definición del “Traffic Match” especifique las
direcciones de origen y destino del tráfico. En el campo “Service Field” indique
el protocolo que se desea incluir en la clase.

Al definir “Rule Action” seleccione la solapa “Connection Setting”. Allí podrá
modificar los temporizadores.

Para activar DCD seleccione el checkbox “Dead Connection Detection”.

Seleccione el checkbox “Send Reset to TCP Endpoints Before Timeout” para
que el appliance envíe un mensaje TCP Reset a las terminales antes de borrar
una conexión de la tabla de conexiones.

Seleccione “OK”.

A continuación seleccione “Apply” para hacer efectivos los cambios.

Habilitación de la reducción del valor del campo TTL
Es posible modificar la configuración para que el appliance reduzca el valor del campo
TTL para todos los paquetes que atraviesan el dispositivo:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Extienda la opción “Service Policy Rules” del menú Firewall. Se abrirá el panel
correspondiente.

55 / 128

Configuración de dispositivos ASA
versión 1.1

Seleccione el botón “Add” para acceder al wizard “Add Service Policy Rule”.

Seleccione una política global.

Elija crear una nueva clase de tráfico. Asigne a esta clase un nombre único y
seleccione “Any Traffic” como criterio de selección de tráfico para esta clase.

Al definir “Rule Action”, seleccione la solapa “Connection Setting”. En la
sección “Time to Live” seleccione la opción “Decrement Time to Live for a
Connection” para habilitar el decremento de TTL de todos los paquetes.

Seleccione “OK”.

A continuación seleccione “Apply” para hacer efectivos los cambios.

Ajuste del control de fragmentación
El appliance utiliza una configuración de base de datos de fragmentación separada
para cada interfaz. Para ajustarla:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Extienda la opción “Advanced”.

Seleccione “Fragment” para que se muestre el panel correspondiente.

Seleccione una interfaz y luego el botón “Edit”.

La ventana emergente que se abre le permite modificar los valores de la base
de datos de fragmentación:
o

Size: La cantidad de fragmentos que soporta la base de datos. Por
defecto son 200.

o

Chain: La cantidad máxima de fragmentos en la que puede ser dividido
un paquete. Por defecto son 24.

o

Timeout: Número máximo de segundos que se espera para completar
un paquete fragmentado. Por defecto son 5 segundos.

Seleccione “OK”.

A continuación seleccione “Apply” para hacer efectivos los cambios.

Guías de implementación
 Es recomendable implementar el procesamiento stateful de ICMP.

56 / 128

Ajuste los temporizadores de las conexiones solamente cuando es requerido
por alguna aplicación, y hágalo solamente para el conjunto de terminales que
corren esa aplicación.

Utilice DCD con conexiones de larga duración para evitar el agotamiento de
recursos.

Configuración de dispositivos ASA
versión 1.1

Utilice reducción del valor de TTL únicamente si es necesario “ver” el appliance
cuando se realiza un traceroute.

La fragmentación normalmente no requiere ajustes. Es recomendable antes
intentar eliminar las causas que provocan fragmentación.

1.4.2. Ajuste de las funciones de normalización de TCP
Las funciones de normalización de TCP del appliance permiten verificar que las
sesiones TCP que lo atraviesan se ajustan a las especificaciones del protocolo con el
propósito de prevenir la posibilidad de que paquetes TCP malformados alcancen
terminales protegidas.
Estas funciones de normalización de TCP son importantes también en otros aspectos:

Proveen una cadena de datos normalizada para las rutinas de inspección de
capas superiores.

Previenen la posibilidad de ataques de evasión.

Aleatorizan el valor del número de secuencia inicial de TCP (ISN - Initial
Sequence Number) de las terminales protegidas para prevenir ataques de
spoofing. Se da sobre la interfaces de nivel de seguridad más alto de una
conexión.

Sin embargo, también es posible que estas operaciones afecten la operación de
aplicaciones legítimas, especialmente cuando no adhieren completamente a la
operación estándar de TCP. En este caso es posible ajustar globalmente estas
funciones de normalización.
Por otra parte, cuando se da el caso de escenarios de enrutamiento asimétrico o en
los que es necesario soportar modificaciones del estándar TCP, el appliance soporta
la opción de que determinado tráfico seleccionado salte la inspección de TCP. Pero
hay que tener presente que al deshabilitar la inspección stateful se pierden todas las
funciones que descansan sobre ella.
Ajuste de la normalización de TCP
Para crear excepciones al procedimiento de normalización de TCP es necesario
modificar los mapas de TCP que el appliance utiliza para esta tarea. Para modificar los
mapas TCP:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Extienda la opción “Object”.

Seleccione “TCP Maps” en el menú Object para que se muestre el panel
correspondiente.

Seleccione el botón “Add” para crear un nuevo mapa TCP.

En la ventana “Add TCP Map” asigne un nombre al nuevo mapa.

57 / 128

Configuración de dispositivos ASA
versión 1.1

El resto de la ventana presenta la posibilidad de habilitar o deshabilitar
diferentes opciones de verificación de sesiones TCP. La sección “TCP Options”
adicionalmente se pueden agregar excepciones para el motor de inspección.

Terminada la definición, seleccione “OK”.

A continuación seleccione “Apply” para hacer efectivos los cambios.

Ajuste del procedimiento de aleatorización de ISN
 Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Seleccione “Service Policy Rules” en el menú Object para que se muestre el
panel correspondiente.

Seleccione el botón “Add” para activar el wizard “Add Service Policy Rule”.

Seleccione una política global o por interfaz. Si selecciona una política aplicada
a una interfaz, asegúrese que ha seleccionado la interfaz a través de la cual se
establece la sesión TCP que se desea preservar.

Seleccione la opción de crear una nueva clase de tráfico. Asigna a esta clase
de tráfico un nombre único y seleccione una ACL que seleccione el tráfico al
cual quiere aplicar esta política.

Al llegar al paso “Traffic Match” del wizard, especifique las direcciones de
origen y destino del tráfico, así como el servicio al cual se debe aplicar la
política en el campo “Service”.

Al llegar al paso “Rule Actions” del wizard, busque la solapa “Connection
Settings”. En la sección “TCP Normalization” marque el checkbox “Use TCP
Map” y elija en el menú desplegable el mapa TCP que acaba de configurar
para esta clase.
En la sección “Randomize Sequence Number” desmarque el checkbox para
deshabilitar la función de aleatorización en esta clase.

Seleccione “OK”.

A continuación seleccione “Apply” para hacer efectivos los cambios.

Implementación de bypass del normalizador de TCP
 Seleccione en la barra de herramientas la opción “Configuration”.

58 / 128

En el panel de navegación seleccione “Firewall”.

Seleccione “Service Policy Rules” en el menú Object para que se muestre el
panel correspondiente.

Seleccione el botón “Add” para activar el wizard “Add Service Policy Rule”.

Seleccione una política global o por interfaz. Si selecciona una política aplicada
a una interfaz, asegúrese que ha seleccionado la interfaz a través de la cual se
establece la sesión TCP que se exceptuar de la inspección.

Configuración de dispositivos ASA
versión 1.1

Seleccione la opción de crear una nueva clase de tráfico. Asigna a esta clase
de tráfico un nombre único y seleccione una ACL que seleccione el tráfico al
cual quiere aplicar esta política.

Al llegar al paso “Traffic Match” del wizard, especifique las direcciones de
origen y destino del tráfico al cual se debe aplicar la política e incluya todo el
tráfico IP.

Al llegar al paso “Rule Actions” del wizard, busque la solapa “Connection
Settings”. En la sección “Advanced Options” marque el checkbox “TCP State
Bypass” para indicar que se exceptúa de la inspección stateful a esta clase de
tráfico.

Seleccione “OK”.

A continuación seleccione “Apply” para hacer efectivos los cambios.

Guías de implementación
 Sea muy cuidadoso en flexibilizar la operación del normalizador de TCP ya que
puede afectar la confiabilidad de los sistemas de inspección de capas
superiores que descansan en esta función para asegurar la integridad de las
sesiones TCP.

Es recomendable agregar las opciones de validación del checksum de TCP y
de retransmisiones a la política por defecto. Esto incrementa la confiabilidad
del filtrado de aplicaciones aunque con menor performance.

Realice los mínimos cambios necesarios y aplique excepciones solamente
para terminales o redes específicos.

Haga bypass de la normalización de TCP solamente cuando es absolutamente
necesario.

1.4.3. Soporte para aplicaciones con protocolos dinámicos
Se trata de dar soporte a protocolos de aplicación que establecen una sesión de
control y negocian sesiones de red adicionales utilizando puertos negociados y
determinados dinámicamente entre los equipos terminales.
Cisco ASA soporta la operación de varios protocolos dinámicos revisando la
negociación de puertos para permitir automáticamente las sesiones adicionales.
No es necesaria ninguna configuración adicional para activar este feature que está
operativo por defecto. Para definirlo el appliance utiliza la política “inspection_default”.
Aunque sí es necesario permitir en la ACL de la interfaz inside la sesión inicial del
protocolo que se desea soportar.
Configuración de soporte para aplicaciones dinámicas adicionales
En caso de que se deseen agregar otras aplicaciones a las soportadas por defecto,
como el feature ya está operativo sólo es necesario agregar la inspección de los
protocolos que se desean incorporar en la clase inspection_default.

59 / 128

Configuración de dispositivos ASA
versión 1.1

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Seleccione “Service Policy Rules” en el menú de Firewall para que se muestre
el panel correspondiente.

Edite la política de servicios existente (default) que está aplicada a la clase
“inspection_default”.

En la solapa “Traffic Classification” seleccione el checkbox “Default Inspection
Traffic” para verificar que está editando la regla que se aplica a la inspección
de tráfico por defecto.

En la solapa “Rule Actions”, seleccione los checkbox que corresponden a los
protocolos cuya inspección quiere agregarse.

Seleccione “OK”.

A continuación seleccione “Apply” para hacer efectivos los cambios.

Protocolos dinámicos inspeccionados por la clase inspection_default:

Protocolo

60 / 128

Función

Habilitado /
Deshabilitado

FTP

Permite conexiones de datos FTP

Habilitado

H.323 (H.225)

Permite la negociación de flujos RTP

Habilitado

H.323 (RAS)

Permite la negociación de flujos RTP

Habilitado

RSH

Permite las conexiones RSH stderr

Habilitado

RSTP

Permite la negociación de flujos RTP

Habilitado

SCCP

Permite la negociación de flujos RTP

Habilitado

SIP

Permite la negociación de flujos RTP

Habilitado

Oracle SQL*Net (TNS)

Permite conexiones dinámicas

Habilitado

UNIX RPC (SunRPC)

Permite todas las aplicaciones UNIX
RPC disponibles a través de RPC
portmapper

Habilitado

TFTP

Permite conexiones de datos TFTP

Habilitado

XDCMP

Permite sesiones dinámicas XWindows

Habilitado

CTIQBE

Permite la negociación de flujos RTP

Deshabilitado

Configuración de dispositivos ASA
versión 1.1

DCERPC

Permite DCOM dinámico y conexiones
DCE RPC

Deshabilitado

MMP

Permite la negociación de flujos RTP

Deshabilitado

MGCP

Permite la negociación de flujos RTP

Deshabilitado

Agregue el soporte de protocolos dinámicos sobre protocolos no-estándar
 Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Seleccione “Service Policy Rules” en el menú de Firewall para que se muestre
el panel correspondiente.

Seleccione el botón “Add” para utilizar el wizard “Add Service Policy Rule”.

Seleccione una política global.

Seleccione “Create a New Class of Traffic” y asigne un nombre único a la clase
que está creando.

Seleccione “TCP or UDP Destination Port” como el criterio de selección para la
clase.

Cuando llegue al paso “Traffic Match” seleccione la opción “TCP” o “UDP”
según corresponda.

En el campo “Service” indique el puerto que desea habilitar para la aplicación
dinámica.

Cuando llegue al paso “Rule Actions”, en la solapa “Protocol Inspection”
seleccione el checkbox que corresponda al protocolo dinámico que está
definiendo.

Seleccione “OK”.

A continuación seleccione “Apply” para hacer efectivos los cambios.

61 / 128

Configuración de dispositivos ASA
versión 1.1

1.5. Configuración de políticas de capa de aplicación
El firewall de capa de aplicación inspecciona protocolos de capas superiores y puede
filtrar tráfico tanto en función de los protocolos como del contenido de los paquetes.

Puede prevenir tráfico malicioso a nivel de protocolos.

Puede prevenir que contenido malicioso sea entregado a los terminales.

Puede restringir o prevenir el tunelizado de un protocolo dentro de otro.

Hay 4 aproximaciones posibles para la implementación de controles a nivel de capa de
aplicación:

Minimización de protocolos.
Cuando el firewall solamente permite un conjunto mínimo requerido de
protocolos y prestaciones. De este modo se reduce la posibilidad de ataques
sobre los equipos terminales y se reduce la exposición de vulnerabilidades.

Minimización de payload.
Cuando el firewall sólo permite un conjunto mínimo de contenidos de las
aplicaciones. Permite prevenir la posibilidad tanto de ataques conocidos como
no.

Firmas de capa de aplicación.
El firewall descarta contenidos específicos descriptos como maliciosos en las
firmas. De este modo en general sólo se previenen ataques conocidos.

Verificación de protocolos.
El firewall descarta sesiones que contienen información de protocolos de capa
de aplicación malformada. Permite prevenir diferentes tipos de ataques y
también túneles.

El uso de estas funciones requiere por parte del administrador un profundo
conocimiento de la operación de los protocolos sobre los que se quiere aplicar
inspección.
Guías de implementación
 Si las aplicaciones de red que se utilizan son vulnerables, la implementación de
este tipo de políticas constituye una primera línea de defensa.

62 / 128

Si las aplicaciones están bien protegidas y actualizadas, el filtrado es un
recurso importante para lograr defensa en profundidad y proteger de ataques
aún no conocidos.

Es sumamente recomendable que se tenga un conocimiento profundo de cómo
las aplicaciones utilizan los protocolos de red, para de este modo evitar falsos
positivos y negativos.

Si las sesiones de capa de aplicación utilizan criptografía, habría que
considerar la posibilidad de desencriptar antes de realizar la inspección y luego
volver a encriptar. De lo contrario no podrán ser inspeccionadas.

Configuración de dispositivos ASA
versión 1.1

1.5.1. Inspección de HTTP
Las rutinas de inspección de HTTP en el Cisco ASA permiten especificar reglas de
control granulares que permiten afianzar la protección tanto de equipos terminales
como de servidores.
Los parámetros que puede inspeccionar el Cisco ASA en los paquetes HTTP son los
siguientes:
Sobre las solicitudes
Campo de la solicitud

Tipo de coincidencia

Request Method

Valores específicos

Request URI

Regular expressions

Request Length

Numérica

Request Argument

Regular expressions

Request Header Field

Valores específico o regular expressions

Request Header Field Count

Numérica

Request Header Field Length

Numérica

Request Header Count

Numérica

Request Header Length

Numérica

Request Header Non-ASCII

Booleana

Sobre las respuestas
Campo de la respuesta

Tipo de coincidencia

Response Status Line

Regular expressions

Response Body

Java, ActiveX, regular expressions

Response Body Length

Numérica

Response Header Field

Valores específicos o regular expressions

Response Header Field Count

Numérica

Response Header Field Length

Numérica

Response Header Count

Numérica

Response Header Length

Numérica

Response Header Non-ASCII

Booleana

Configuración de la inspección de HTTP
En el appliance es posible permitir, bloquear o registrar en un log las solicitudes web
que lo atraviesan basándose en diferentes categorías que pueden ser definidas
manualmente en el appliance mismo o utilizando un servidor dedicado al filtrado de
URLs.
63 / 128

Configuración de dispositivos ASA
versión 1.1

Para esto, cuando una terminal realiza una solicitud HTTP, la información
correspondiente a la URL destino puede ser comparada con 2 bases de datos
diferentes:

La base de datos de un servidor de filtrado de URLs Websense o Secure
Computing. Para mejorar la performance en estos casos, el appliance guarda
en un cache la información de filtrado y la utiliza desde este caché.

Listas negra y blanca locales configuradas en el mismo appliance.

Creación de un policy map de inspección de HTTP
En primer lugar es necesario crear un policy map que luego será aplicado para hacer
efectiva la inspección.

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Extienda la opción “Objects” y luego la opción “Inspect Map”.

En el menú de “Inspect Map” seleccione “HTTP”.

En la ventana de configuración que se abre seleccione el botón “Add” para
agregar un nuevo mapa de inspección de HTTP. Se abrirá la ventana de
configuración correspondiente.

En la ventana “Add HTTP Inspect Map” seleccione un nivel de seguridad para
el policy map.

Opcionalmente puede seleccionar el botón “Details” lo que le permitirá
configurar detalladamente.
En la vista de detalles que se abre al elegir “Details”, se pueden configurar
parámetros de filtrado específicos. En esta vista, la solapa “Inspections”
permite definir criterios de selección específicos.
Cuando se definen múltiples criterios en la ventana “Inspections”, el tráfico que
coincida con cualquiera de esos criterios será sometido a la acción que se
defina.

Configuración de la minimización de HTTP
Este feature permite habilitar únicamente el paso de funciones específicas del
protocolo. Para esto, partiendo de la ventana “Add HTTP Inspect” que aparece al
seleccionar el botón “Add” de la ventana “Details” de la definición del policy map, siga
los siguientes pasos:

64 / 128

En la solapa “Inspections” de la vista de “Details” de la configuración del policy
map de inspección de HTTP, seleccione el botón “Add”. Se abrirá la ventana
“Add HTTP Inspect”.

En la sección “Match Criteria” seleccione la opción “Single Match” para
especificar una única condición. Se puede elegir la opción “Multiple Matches”
para seleccionar tráfico utilizando los class maps de HTTP predefinidos.

Configuración de dispositivos ASA
versión 1.1

A continuación en “Match Type” seleccione “No Match” para descartar todo el
tráfico excepto el que no coincida con un criterio específico.

En el menú desplegable “Criterion” especifique el campo del protocolo que
desea analizar. Por ejemplo, puede seleccionar “Request Method”.

En el área “Value” especifique el valor que se espera en el campo antes
especificado. Por ejemplo “get”. De este modo la política se aplicará a todos los
paquetes HTTP que no utilicen el método GET. También se pueden utilizar
para esto regular expressions.

Finalmente, en el área “Action” defina la acción que el appliance debe aplicar al
tráfico que coincide con el criterio antes definido. Por ejemplo “Drop
Connection”.

Cuando haya concluido seleccione “OK”.

Para terminar el procedimiento seleccione “Apply” para hacer efectivos los
cambios.

Configuración de minimización del payload de HTTP
También es posible permitir contenidos específicos en los paquetes HTTP, como por
ejemplo, definir URLs, argumentos de solicitudes o tipos de contenido.
Para generar este tipo de definiciones, siga los siguientes pasos:

En la solapa “Inspections” de la vista de “Details” de la configuración del policy
map de inspección de HTTP, seleccione el botón “Add”. Se abrirá la ventana
“Add HTTP Inspect”.

En la sección “Match Criteria” seleccione la opción “Single Match” para
especificar una única condición.

A continuación en “Match Type” seleccione “No Match” para descartar todo el
tráfico excepto el que no coincida con un criterio específico.

En el menú desplegable “Criterion” especifique el campo del protocolo que
desea analizar. En este caso, por ejemplo, puede seleccionar “Request URI”.

En el área “Value” especifique el valor que se espera en el campo antes
especificado. En este caso debemos definir una URI para lo que es necesario
utilizar regular expressions.

Seleccione a continuación el botón “Manage” que se encuentra a la derecha de
la ventana. Con esto ingresará a la herramienta de configuración de regular
expressions de ASDM.

En la ventana “Manage Regular Expressions” seleccione el botón “Add” para
agregar una regular expression nueva. Se abre la ventana de configuración de
las expresiones.

65 / 128

Configuración de dispositivos ASA
versión 1.1

En la ventana “Add Regular Expression” asigne un nombre para la expresión
que va a crear y en el campo “Value” ingrese la regular expression que
describe la URI que se desea filtrar. Por ejemplo: ^\/mipaginaweb

Puede probar la expresión que acaba de crear utilizando el botón “Test” e
ingresando luego el texto que debería coincidir. En este ejemplo: /mipaginaweb
. El botón “Build” también le permite operar en modo inverso y construir sus
propias expresiones.

Seleccione “OK” en la ventana “Add Regular Expression”.

Seleccione la expresión que acaba de crear en la ventana “Manage Regular
Expressions” y seleccione “OK”. El nombre de su expresión se debe mostrar
ahora en el menú desplegable que está a la derecha de la opción “Regular
Expression”.

En la sección “Actions” defina la acción que el appliance debe tomar cuando el
tráfico coincida con el criterio de selección que se definió antes. Por ejemplo,
“Drop Connection”.

Cuando haya concluido seleccione “OK”.

Para terminar el procedimiento seleccione “Apply” para hacer efectivos los
cambios.

Configuración de firmas de HTTP
También es posible utilizar firmas de HTTP para descartar payloads de HTTP
conocidos como maliciosos, y de este modo proteger los dispositivos finales.
Para generar estas firmas, siga los siguientes pasos:

66 / 128

En la solapa “Inspections” de la vista de “Details” de la configuración del policy
map de inspección de HTTP, seleccione el botón “Add”. Se abrirá la ventana
“Add HTTP Inspect”.

En la sección “Match Criteria” seleccione la opción “Single Match” para
especificar una única condición.

A continuación en “Match Type” seleccione “Match” para descartar todo el
tráfico excepto el que coincida con un criterio específico.

En el menú desplegable “Criterion” especifique el campo del protocolo que
desea analizar. En este caso, por ejemplo, puede seleccionar “Request
Arguments”.

En el área “Value” especifique el valor que se espera en el campo antes
especificado. En este caso podríamos detectar por ejemplo, todas las
solicitudes que inyecten el comando SQL “SELECT FROM”, para esto es
necesario utilizar regular expressions que describa esa cadena de caracteres.

Seleccione a continuación el botón “Manage” que se encuentra a la derecha de
la ventana. Con esto ingresará a la herramienta de configuración de regular
expressions de ASDM.

Configuración de dispositivos ASA
versión 1.1

En la ventana “Manage Regular Expressions” seleccione el botón “Add” para
agregar una regular expression nueva. Se abre la ventana de configuración de
las expresiones.

En la ventana “Add Regular Expression” asigne un nombre para la expresión
que va a crear y en el campo “Value” ingrese la regular expression que
describe el conjunto de caracteres maliciosos que desea detectar. Por ejemplo
en este caso: [Ss][Ee][Ll][Ee][Cc][Tt].+[Ff][Rr][Oo][Mm]

Seleccione “OK” en la ventana “Add Regular Expression”.

Seleccione la expresión que acaba de crear en la ventana “Manage Regular
Expressions” y seleccione “OK”. El nombre de su expresión se debe mostrar
ahora en el menú desplegable que está a la derecha de la opción “Regular
Expression”.

En la sección “Actions” defina la acción que el appliance debe tomar cuando el
tráfico coincida con el criterio de selección que se definió antes. Por ejemplo,
“Drop Connection” y “Log Enable” para que cada evento quede registrado.

Cuando haya concluido seleccione “OK”.

Para terminar el procedimiento seleccione “Apply” para hacer efectivos los
cambios.

Configuración de la verificación de HTTP
Este feature hace que el appliance descarte todas las sesiones HTTP que no se
conforman con las especificaciones del estándar del protocolo. Para habilitar la
inspección de HTTP en el policy map siga este procedimiento:

En la ventana “Add HTTP Inspect Map” seleccione el botón “Details”.
En la vista de detalles que se abre al elegir “Details”, se pueden configurar
parámetros de filtrado específicos.

En esta vista, seleccione la solapa “Parameters”.

Seleccione el checkbox que corresponde a “Check for Protocol Violations” para
habilitar la verificación de HTTP.

En la sección “Actions” defina que el appliance debe aplicar en caso de
detectar una violación.

Cuando haya concluido seleccione “OK”.

Para terminar el procedimiento seleccione “Apply” para hacer efectivos los
cambios.

Aplicación del policy map de inspección de HTTP
Finalmente se debe aplicar el policy map que define las políticas de inspección del
protocolo a una clase que describa el tráfico que se desea controlar.

67 / 128

Configuración de dispositivos ASA
versión 1.1

Para aplicar el policy map siga este procedimiento:

Seleccione en la barra de herramientas la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Seleccione “Service Policy Rules” del menú Firewall. Se abrirá el panel
correspondiente.

Seleccione “Add” para agregar una nueva regla o política al appliance. Se
iniciará el wizard “Add Service Policy Rule”.

En el paso “Service” del wizard seleccione una service policy global o basada
en una interfaz, dependiendo de cómo se desea realizar la implementación. En
caso de duda seleccione una regla global.

Seleccione “Next”.

En el paso “Traffic Classification Criteria” del wizard seleccione la opción
“Create a New Traffic Class”, y asigne a la nueva clase un nombre. Seleccione
“Source and Destination IP Address (Uses ACL)” como “Traffic Class Match
Criteria”.

Seleccione “Next”.

En el paso “Traffic Match” del wizard especifique como Action “Match”. En los
campos correspondientes indique la dirección o red de origen (Source), de
destino (Destination) y especifique tcp/http como “Service”.

Seleccione “Next”.

En el paso “Rule Actions” del wizard, seleccione la pestaña “Protocol
Inspection” seleccione el checkbox “HTTP””. Luego seleccione el botón
“Configure” para abrir la ventana “Select HTTP Inspect Map”.

En la nueva ventana seleccione el policy map de inspección ya creado antes.

Seleccione “OK”.

Seleccione “Finish” para terminar con la definición del service policy.

Seleccione “Apply” para aplicar los cambios realizados y luego “Save” para
guardar los cambios de configuración.

Respecto de los niveles de seguridad pre-configurados
Al detallar el proceso de creación de un policy map para realizar inspección de
protocolos, me referí a la posibilidad de configurar “niveles de seguridad” como un
procedimiento más simple.
Estos niveles de seguridad pre-configurados permiten utilizar políticas por defecto que
están pre-definidas en el appliance cuando no es necesario configurar políticas más
específicas. El wizard presenta 3 niveles de seguridad:

68 / 128

Configuración de dispositivos ASA
versión 1.1

Low
Sólo habilita la verificación del protocolo y descarta todas las conexiones que
violan las especificaciones del estándar. Se pueden agregar reglas de filtrado
de URIs utilizando el botón “URI Filtering”.

Medium
A la seguridad de nivel “Low” le agrega que solamente permite los métodos
HTTP GET, HEAD y POST.

High
Extiende el nivel de seguridad descartando conexiones que contengan
encabezados HTTP no-ASCII.

También es posible iniciar la tarea utilizando los niveles pre-configurados y luego
ingresar a la vista detallada y modificar las políticas según sea necesario.

69 / 128

Configuración de dispositivos ASA
versión 1.1

1.6. Configuración avanzada de políticas de control de acceso
El appliance Cisco ASA incluye funciones de control de acceso que van más allá de
los mecanismos de filtrado clásicos. Entre estos mecanismos se puede mencionar:

TCP Intercept.
Permite proteger los servidores de ataques de inundación de TCP SYN
interceptando solicitudes de conexión y validándolas antes de pasarlas al
servidor.

Botnet Traffic Filter.
Detecta y previene conexiones entrantes o salientes de terminales infectadas
con bots. Para esto utiliza un sistema de filtrado basado en reputación para
detectar y descartar el tráfico malicioso.

Threat detection.
Permite detectar y prevenir amenazas adicionales, basándose en estadísticas
provistas por otros mecanismos de control de acceso.

1.6.1. Configuración de TCP Intercept
El ataque de inundación de tráfico utilizando paquetes TCP-SYN explota el
mecanismo de negociación de las sesiones TCP entre 2 dispositivos terminales. La
terminal atacante inunda al servidor con solicitudes de conexión (paquetes SYN)
utilizando como origen una dirección IP inexistente o inalcanzable (spoofing de IP). De
esta manera el servidor responde a la solicitud (paquete SYN-ACK) a una dirección
que no puede responderle y como consecuencia nunca recibe la confirmación
(paquete ACK) necesaria para que se establezca la conexión. Si la tasa de recepción
de paquetes SYN es suficientemente alta, la tabla de conexiones del servidor se verá
desbordada y consecuentemente no podrá responder a solicitudes legítimas.
TCP Intercept previene este tipo de ataques. Para esto:
 Intercepta las solicitudes SYN.
 Completa la negociación con los clientes en nombre del servidor.
 Si la negociación se completa y valida, el appliance realiza la negociación con
el servidor en nombre del cliente, se establece la sesión entre cliente y
servidor y se crea una entrada de conexión en la tabla de conexiones.
Este feature permite configurar un límite para la cantidad de conexiones embriónicas
(conexiones que aún no se han establecido), de 2 formas:
 Limitando la cantidad de conexiones embriónicas para una clase de tráfico.
De esta manera cuando se alcanza el número máximo de conexiones
embriónicas el appliance aplica TCP Intercep a toda conexión nueva que esté
dentro de la clase hasta tanto el total de conexiones vuelva a estar por debajo
del umbral que se ha definido.
 Limitando la cantidad de conexiones embriónicas para cada terminal dentro de
una clase.
70 / 128

Configuración de dispositivos ASA
versión 1.1

Cuando ese cliente en particular alcanza el máximo, el appliance aplica TCP
Intercept a las nuevas conexiones que intente establecer ese cliente.
Dado que la mayor parte de los ataques utiliza múltiples direcciones de origen, se
recomienda aplicar umbrales por clase y no por terminal.
Configuración de TCP Intercept
 Seleccione en la barra de herramientas de ASDM la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Seleccione “Service Policy Rules” del menú Firewall. Se abrirá el panel
correspondiente.

Seleccione “Add”.

Seleccione en el menú desplegable la opción “Add Service Policy Rule”, con lo
que se accede al wizard correspondiente.

Seleccione la opción “Interface” para crear una service policy para una interfaz
específica. Si lo que se desea es crear una service policy global seleccione
“Global – Applies to All Interfaces”.

En el campo “Policy Name” ingrese un nombre para la service policy.

Seleccione “Next”, se mostrará la página “Traffic Classification Criteria”.

Seleccione uno de las siguientes opciones para identificar el tráfico al que se
aplicará la política:
o

Create a New Traffic Class
En este caso deberá ingresar el nombre de la nueva clase y definir el
criterio de selección (traffic match criteria).

o

Use an Existing Traffic Class
En esta opción se debe elegir un class map ya existente de la lista
desplegable que se presenta. Para que esta opción esté disponible
debe existir ya class maps configurados.

o

Use Class-Default as the Traffic Class
Utiliza la class default que selecciona todo el tráfico.

Seleccione “Next”.

Seleccione la solapa “Connetion Setting”.

En el campo “Maximum Embryonic Connections” ingrese el umbral elegido
para conexiones embriónicas para la clase.

En el campo “Maximum Per Client Embryonic Connections” ingrese el umbral
de conexiones embriónicas por cliente.

Seleccione el botón “Finish”.

Seleccione el botón “Apply” para aplicar los cambios.

71 / 128

Configuración de dispositivos ASA
versión 1.1

1.6.2. Configuración del filtro de tráfico de botnet
Este feature está disponible a partir de Cisco ASA versión 8.2 y requiere una licencia
Botnet Traffic Filter para que pueda ser habilitado.
Su implementación permite detectar y prevenir el tráfico que se genera desde
terminales infectadas por un bot hacia sus servidores de control, utilizando un
mecanismo basado en reputación.
Para esto se comparan las direcciones de origen y destino de cada conexión con 2
bases de datos:

Una base de datos dinámica que es mantenida y actualizada por Cisco, y que
se descarga al appliance periódicamente.

Una base de datos estática que se puede completar manualmente agregando
direcciones IPs y nombres de dominios “buenos” y “malos”.

Cuando el tráfico que atraviesa el appliance coincide con lo reportado en alguna de
estas dos bases de datos se genera un mensaje de syslog y opcionalmente se puede
bloquear la conexión.
Es importante tener presente que para utilizar estas bases de datos es necesario
configurar un servidor DNS en el appliance.
Para habilitar este feature utilizando la base de datos dinámica, siga este
procedimiento:

Seleccione en la barra de herramientas de ASDM la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Extienda la opción “Botnet Traffic Filter” y seleccione la opción “Botnet
Database”. Se abrirá el panel correspondiente.

Habilite la descarga de la base de datos dinámica seleccionando el checkbox
“Enable Botnet Updater Client”. El servidor de actualización determinará la
frecuencia con la que el appliance consulte al servidor. Típicamente se realiza
cada hora.
La base de datos se almacena en la memoria RAM, no en la flash. En caso de
ser necesario borrar esta base de datos se deberá utilizar la herramienta
“Purge Botnet Database”.

Habilite el uso de la base de datos dinámica seleccionando el checkbox “Use
Data Dynamically Downloaded from Updater Server”.

Seleccione “Apply” para aplicar los cambios a la configuración.

Si se desea agregar entradas estáticas en la base de datos, siga este procedimiento:

72 / 128

Seleccione en la barra de herramientas de ASDM la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Extienda la opción “Botnet Traffic Filter” y seleccione la opción “Black and
White List”. Se abrirá el panel correspondiente.

Configuración de dispositivos ASA
versión 1.1

Seleccione el botón “Add” en el área “White List” para agregar un nombre o
dirección IP a la lista blanca. Seleccione el botón “Add” en el área “Black List”
para agregar un nombre o dirección IP a la lista negra. Ambas listas se
muestran en las respectivas ventanas.
Cuando el tráfico coincide con una dirección declarada en la lista blanca,
genera un mensaje de syslog.
Cuando el tráfico coincide con una dirección declarada en la lista negra, genera
un mensaje de syslog y es descartado.

Seleccione el botón “Apply” para aplicar los cambios a la configuración.

Adicionalmente, para habilitar el componente de inspección y almacenamiento de
respuestas de DNS, complete los siguientes pasos:

Seleccione en la barra de herramientas de ASDM la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Extienda la opción “Botnet Traffic Filter” y seleccione la opción “DNS
Snooping”. Se abrirá el panel correspondiente.
Esta ventana muestra todas las políticas configuradas que incluyen inspección
de DNS.

Seleccione el checkbox “DNS Snooping Enabled”.

Seleccione el botón “Apply” para aplicar los cambios a la configuración.

Como ya mencioné antes, el tráfico detectado por este filtro puede ser registrado en el
servidor de Syslog y/o ser descartado.
Para registrar las coincidencias con la base de datos:

Seleccione en la barra de herramientas de ASDM la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Extienda la opción “Botnet Traffic Filter” y seleccione la opción “Traffic Setting”.
Se abrirá el panel correspondiente.

En el área “Traffic Classification” seleccione el checkbox “Traffic Classified”
para cada interfaz en la que se desea habilitar el filtrado de tráfico de botnets.
La recomendación es monitorear todas las interfaces que miran hacia Internet.

Para cada interfaz se puede especificar una ACL para definir el tráfico que se
desea monitorear. La opción por defecto es “All Traffic”. Para seleccionar la
ACL seleccione el botón “Manage ACL” para crear o editar ACLs existentes.

Seleccione el botón “Apply” para aplicar los cambios a la configuración.

Para habilitar la opción de descartar el tráfico malicioso detectado, complete los
siguientes pasos:

Seleccione en la barra de herramientas de ASDM la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

73 / 128

Configuración de dispositivos ASA
versión 1.1

Extienda la opción “Botnet Traffic Filter” y seleccione la opción “Traffic Setting”.
Se abrirá el panel correspondiente.

En la sección “Blacklisted Traffic Actions” seleccione “Add”.

En la lista desplegable de interfaces, seleccione la interfaz sobre la cual se
desea descartar tráfico. Solo las interfaces sobre las cuales se habilitó “Botnet
Traffic Filter” antes se muestran en esta lista.

En el área “Threat Level” seleccione una de las opciones que se muestran:
o

Default
Tiene un rango entre Moderate y Very High.

o

Value
Se debe especificar el nivel de amenaza del tráfico que se desea
descartar: Very Low, Low, Moderate, High, Very High.
Las entradas estáticas son tratadas siempre como Very High.

o

Range
Especifique el rango de nivel de amenazas.

En el área “ACL Used”, de la lista desplegable seleccione la lista de acceso
que permita seleccionar el tráfico al cual desea aplicar esta política. El botón
“Manage” le permite crear o editar una lista de acceso existente.

Seleccione el botón “Apply” para aplicar los cambios a la configuración.

1.6.3. Detección básica de amenazas.
La función de detección básica de amenazas provee estadísticas del descarte de
tráfico mediante el monitoreo de la tasa de paquetes que son descartados por
segundo y otros eventos de seguridad.
Cuando esta tasa de descarte supera umbrales configurados se pueden generar
mensajes de syslog que notifiquen la situación. Estos mensajes permiten detectar
actividad relacionada con algunas amenazas tales como ataques DoS o de
reconocimiento.
Las estadísticas que se pueden monitorear utilizando este feature son las que
corresponden a los siguientes eventos:

74 / 128

Denegación de tráfico por listas de acceso.

Paquetes mal formados.

Superación del límite de conexiones.

Detección de ataques DoS.

Detección de paquetes ICMP defectuosos.

Paquetes que fallan la inspección de aplicaciones.

Sobrecarga de interfaces.

Configuración de dispositivos ASA
versión 1.1

Ataques de reconocimiento.

Sesiones TCP incompletas o sesiones UDP sin datos.

Para cada uno de estos eventos se define una tasa límite de eventos por segundo,
cuando el appliance detecta que ese límite se supera se genera un mensaje de syslog
con ID 733100.
Hay 2 tipos de mediciones diferentes:
1. La tasa promedio de eventos sobre un intervalo de tiempo establecido.
2. Las ráfagas que se producen en un período más corto de tiempo que es igual a
1/30 del intervalo usado para el promedio o 10 segundos (el valor más alto)
Cada una de estas mediciones, en caso de superar el límite, genera un mensaje de
syslog diferente. Los valores por defecto pueden ser ajustados por configuración.
Los valores por defecto son los siguientes:
Evento
Ataque de DoS

Tasa Promedio

Ráfaga

100 descartes/seg. en 600
seg.

400 descartes/seg. en 10
seg.

80 descartes/seg. en 3600
seg.

320 descartes/seg. en 60
seg.

5 descartes/seg. en 600 seg.

10 descartes/seg. en 10 seg.

4 descartes/seg. en 3600 seg.

8 descartes/seg. en 60 seg.

100 descartes/seg. en 600
seg.

200 descartes/seg. en 10
seg.

80 descartes/seg. en 3600
seg.

160 descartes/seg. en 60
seg.

400 descartes/seg. en 600
seg.

800 descartes/seg. en 10
seg.

320 descartes/seg en 3600
seg.

640 descartes/seg. en 60
seg.

Verificación básica del
firewall

400 descartes/seg. en 600
seg.

1600 descartes/seg. en 10
seg.

Descarte por inspección de
aplicación

320 descartes/seg en 3600
seg.

1280 descartes/seg. en 60
seg.

2000 descartes/seg en 600
seg.

8000 descartes/seg. en 10
seg.

1600 descartes/seg en 3600
seg

6400 descartes/seg. en 60
seg.

Paquetes mal formados
Límite de conexiones
excedido
Paquetes ICMP sospechosos

Ataque de reconocimiento
Sesiones TCP incompletas
Sesiones UDP sin datos

Descartes por ACLs

Sobrecarga de la interfaz

75 / 128

Configuración de dispositivos ASA
versión 1.1

Los valores se pueden revisar con el comando show running-config all
threat-detection
Configuración de detección básica de amenazas
Para habilitar la detección básica de amenazas complete los siguientes pasos:

Seleccione en la barra de herramientas de ASDM la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Seleccione la opción “Threat Detection”. Se abrirá el panel correspondiente.

Habilite el feature seleccionando el checkbox “Enable Basic Threat Detection”.
De esta manera se active la detección básica de amenazas utilizando los
valores por defecto.

Seleccione el botón “Apply” para aplicar los cambios a la configuración.

Si se desea modificar el valor de los umbrales definidos por defecto, es necesario
realizar la operación desde la CLI.

Se puede habilitar el feature por CLI utilizando los valores por defecto.

ASA#configure terminal
ASA(config)#threat-detection basic-threat

Se puede habilitar modificando los valores de los temporizadores por defecto
para cada tipo de evento. Por ejemplo, para cambiar los valores por defecto
que reflejan una amenaza que se detecta a través de un exceso de paquetes
descartados por una ACL:

ASA(config)#threat-detection rate acl-drop rate-interval 600
average-rate 50 burst-rate 100
o

rate-interval: establece el lapso de tiempo (en segundos) para el
cálculo de la tasa promedio.

o

average-rate: define el promedio de eventos por segundo.

o

burst-rate: define el tamaño de la ráfaga en eventos por segundo. El
tiempo para la medición de la ráfaga es el valor más alto que surja de
comparar 1/30 del rate-interval y 10 segundos.

Para revisar las estadísticas de detección de amenazas utilice el siguiente comando:
ASA#show threat-detection rate

1.6.4. Detección avanzada de amenazas.
La detección avanzada de amenazas recoge estadísticas de paquetes denegados y
permitidos por terminales, protocolos, puertos y ACLs. Adicionalmente provee una lista
de los Top 10 terminales, protocolos o ACLs.
También genera estadísticas de TCP Intercept, pudiendo generar mensajes de syslog
están identificados como 733104 y 733105 cuando se exceden los umbrales
configurados.
76 / 128

Configuración de dispositivos ASA
versión 1.1

Configuración de la detección avanzada de amenazas
 Seleccione en la barra de herramientas de ASDM la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Seleccione la opción “Threat Detection”. Se abrirá el panel correspondiente.

Para habilitar la recolección de todas las estadísticas disponibles seleccione la
opción “Enable All Statistics”.
Si desea habilitar solamente algunas estadísticas, seleccione la opción “Enable
Only Following Statistics” y a continuación el checkbox correspondiente al
objeto cuyas estadísticas desea recoger: Host, Access Rules o TCP Intercept.

En la sección “Rate interval” seleccione el intervalo de tiempo para el cual
desea mantener las estadísticas de terminales utilizando el menú desplegable.
Tenga presente que las estadísticas por terminal pueden afectar seriamente la
performance de appliance, por lo que se sugiere operar con el intervalo de
tiempo más pequeño posible.

Seleccione el botón “Apply” para aplicar los cambios a la configuración.

Opcionalmente, también es posible ajustar los umbrales para la generación de
mensajes de TCP Intercept.

Seleccione en la barra de herramientas de ASDM la opción “Configuration”.

En el panel de navegación seleccione “Firewall”.

Seleccione la opción “Threat Detection”. Se abrirá el panel correspondiente.

Asegúrese que se encuentra habilitada la recolección de estadísticas.

En la sección “CTP Intercept Threat Detection”:

o

En el campo “Monitoring Windows Size” defina el tamaño de la ventana
de tiempo en minutos. Las estadísticas se recogen cada 1/30 el valor de
esta ventana.

o

En el campo “Burst Threshold Rate” defina el umbral de cantidad de
eventos por segundo a partir del cual se genera el mensaje de syslog
(733105) de ráfaga excedente.

o

En el campo “Average Threshold Rate” defina el umbral del promedio
de eventos por segundo a partir del cual se genera el mensaje de
syslog (733105) correspondiente.

Seleccione el botón “Apply” para aplicar los cambios a la configuración.

Para observar las estadísticas recogidas para una terminal, utilice el comando
ASA#show threat-detection statistics host
Otras variantes de este comando son:
ASA#show threat-detection statistics port
ASA#show threat-detection statistics protocol
ASA#show threat-detection statistics top
77 / 128

Configuración de dispositivos ASA
versión 1.1

1.6.5. Detección de amenazas de exploración
Esta función del appliance permite detectar terminales que realizan barrido de redes, o
equipos terminales y que consecuentemente sospechamos que están sometiendo a la
red a ataques de reconocimiento.
Los sistemas IPS también detectan este tipo de amenazas, pero a diferencia de los
IPSs (que realizan un análisis basado en firmas), el Cisco ASA detecta este tipo de
ataques en base a una extensa base de datos que contiene las estadísticas de cada
terminal.
Para detectar este tipo de actividades el appliance utiliza la misma lógica de umbrales
que para la detección de otras amenazas. Si el umbral es superado, entonces se
genera un mensaje de syslog 733101 que indica que una terminal ha sido identificada
como atacante o víctima de este tipo de ataques.
Si el umbral es excedido por el tráfico enviado desde una terminal, entonces esa
terminal es considerada un atacante. En cambio, si el umbral es superado por el
tráfico recibido por una terminal, esa terminal es identificada como objetivo del ataque.
Adicionalmente el appliance puede ser configurado para que automáticamente evada
esta amenaza (shunning) terminando la conexión del dispositivo que se identifica
como atacante. Cuando se bloquea un atacante, además se genera un mensaje de
syslog 733102.
Configuración de detección de amenazas de exploración
 Seleccione en la barra de herramientas de ASDM la opción “Configuration”.

78 / 128

En el panel de navegación seleccione “Firewall”.

Seleccione la opción “Threat Detection”. Se abrirá el panel correspondiente.

Marque el checkbox titulado “Enable Scanning Threat Detection”.

Si además desea terminar las conexiones de un host que es identificado como
atacante, seleccione el checkbox “Shun Hosts Detected by Scanning Threat”.

El campo “Network Excluded from Shun” le permite definir direcciones IP que
serán exceptuadas de la política de restricción de las terminales atacantes. Se
pueden ingresar múltiples direcciones IP separadas por comas.

Adicionalmente se puede especificar un período de duración para la política de
restricción de atacantes. Para esto seleccione el checkbox “Set Shun Duration”
e ingrese la duración en segundos de la política. El valor por defecto es 3600
segundos.

Seleccione el botón “Apply” para aplicar los cambios a la configuración.

Configuración de dispositivos ASA
versión 1.1

1.7. Implementación de un sistema de alta disponibilidad
activo/standby
La posibilidad de configurar un sistema de alta disponibilidad activo/standby provee
redundancia de dispositivos en caso de que un appliance o alguno de sus
componentes falle.
En este esquema de trabajo, un dispositivo está permanentemente designado y
configurado como primario, y el otro como secundario. Ambos roles no cambian y se
utilizan para determinar la prioridad del dispositivo durante los procesos de elección. A
partir de esto hay 2 estados operativos: uno de los dispositivos será elegido como
activo (el que reenvía tráfico), y el otro como standby (espera y monitorea al
dispositivo activo).
Si el dispositivo activo falla, el dispositivo standby inmediatamente cambia su estado
convirtiéndose en el nuevo dispositivo activo.
Los dispositivos primario y secundario deben estar interconectados utilizando una
interfaz que denominamos interfaz LAN failover. Ambos dispositivos utilizan esa
interfaz para replicar la configuración y monitorearse recíprocamente intercambiando
paquetes hello.
El estado de activo o standby de ambos appliances se determina en el momento en
que ambos dispositivos arrancan de acuerdo al siguiente proceso:

Si la interfaz LAN failover está up, y si el appliance detecta un dispositivo
negociando sobre esa interfaz; el dispositivo primario, por defecto, queda como
activo y el secundario queda como standby.

Si el dispositivo detecta sobre la interfaz LAN failover que el otro dispositivo
está reportando estado activo, el appliance pasa a estado standby.

Si no se detecta otro dispositivo sobre la interfaz LAN failover, el appliance
pasa a estado activo.

Si luego de estar como activo, el appliance detecta otro dispositivo activo sobre
la interfaz LAN failover, renegocia los roles con el otro dispositivo.

Una vez que el sistema está operativo, si el dispositivo activo falla, el dispositivo
standby lo detecta y pasa a estado activo:

La prioridad o rol de las unidades no cambia: el primario permanece primario y
el secundario permanece secundario.

Cambian los estados: el dispositivo standby pasa a estado activo. Cuando se
recupere el dispositivo que falló, se integrará al sistema como unidad standby.

El nuevo dispositivo activo asume completamente la “identidad” del anterior
reconfigurando las direcciones IP y MAC de todas las interfaces excepto la
interfaz LAN failover.

Adicionalmente, el dispositivo secundario que ha pasado a estado activo envía
un GARP (Gratuitous ARP) para actualizar la tabla CAM de los switches.

79 / 128

Configuración de dispositivos ASA
versión 1.1

Los dispositivos activo y standby son administrados como una única unidad. La unidad
activa es la que provee la interfaz y la IP de management, y automáticamente replica
todos los cambios a la unidad standby. Aún así, la unidad standby también puede ser
accedida para realizar monitoreo y tareas de administración; también puede ser
configurada para enviar mensajes de syslog.

1.7.1. Opciones de implementación de failover
Un failover activo/pasivo puede implementarse en 2 formas diferentes:

Stateless failover.
Solo prove redundancia de hardware.
Si el dispositivo activo falla, el standby pasa a estado activo.
Toda la información de las conexiones que estaban en la unidad que
inicialmente estaba como activa se pierde y consecuentemente las
aplicaciones deben reiniciar la comunicación.

Stateful failover.
Hay una continua copia de la información de estado de las conexiones desde
la unidad activa a la standby. Si ocurre un fallo, toda la información relevante
ya está disponible en la nueva unidad activa. De esta manera la mayor parte
de las aplicaciones no deberán reiniciar sus conexiones.

Para poder operar en modo stateful failover se requiere la asignación de una interfaz
link stateful sobre la cual los dispositivos intercambien esta información. De esa
manera, las 2 unidades así configuradas deben estar conectadas entre sí por 2
enlaces lógicos:

80 / 128

Interfaz LAN failover.
Es la utilizada para determinar el estado operativo de cada unidad, replicar y
sincronizar la configuración.
La comunicación entre estas interfaces puede estar protegida con
autenticación y encriptación utilizando pre-shared key.
Esta interfaz se requiere en cualquiera de las modalidades de failover, y
necesita de una interfaz Ethernet en cada unidad exclusivamente con este
propósito.
Las interfaces de ambas unidades deben estar en la misma subred, y no se
pueden colocar terminales o routers sobre la misma.

Interfaz stateful failover.
Por esta interfaz se pasa la información stateful de cada conexión hacia la
unidad standby.
No requiere de una interfaz física dedicada por lo que puede compartir la
interfaz LAN failover, aunque no se recomienda que se comparta con
interfaces por la que circula tráfico de datos.
Las interfaces de ambas unidades deben estar en la misma subred.

Configuración de dispositivos ASA
versión 1.1

Información que se comunica en una configuración stateful failover
El dispositivo activo pasa al dispositivo standby la siguiente información:

La tabla NAT.

La tabla de conexiones TCP, excepto las conexiones HTTP.

La tabla de conexiones UDP.

La tabla ARP.

La tabla de direcciones MAC (en appliances que operan en modo
transparente).

Las sesiones ISAKMP, IPsec Saz y SSL de las VPNs.

La base de datos de conexiones GTP PDP.

Las sesiones de señalización SIP.

Por defecto NO se pasa la siguiente información:

Tabla de conexiones HTTP.

Tabla de autenticación de usuarios del proxy cut-through.

Tablas de enrutamiento.

Información de estado de los módulos SSM.

Tabla del servidor DHCP.

Sesiones de proxy de telefonía.

1.7.2. Monitoreo del estado de ambas unidades
Ambas unidades (activo y standby) intercambian entre sí paquetes hello a través de la
interfaz LAN failover una vez por segundo a fin de comunicar a su contraparte que se
encuentran operacionales.
Estos paquetes hello se envían también a través de todas las interfaces monitoreadas,
de modo que cada appliance puede determinar el estado de cada interfaz de red al
recibir los paquetes hello de su par. Por defecto se monitorean todas las interfaces
físicas, no las subinterfaces o las interfaces redundantes.
Monitoreo del estado de las unidades
Cada unidad establece el estado de su contraparte monitoreando la interfaz LAN
failover:

Cuando no se reciben 3 hellos consecutivos en la interfaz failover, se envía un
hello adicional a través de todas las interfaces monitoreadas incluyendo la
interfaz LAN failover.

Si se recibe una respuesta en la interfaz LAN failover, no cambia el estado.

81 / 128

Configuración de dispositivos ASA
versión 1.1

Si no se recibe respuesta en la interfaz LAN failover, pero si sobre otra interfaz
monitoreada, no cambia el estado.
Se marca la interfaz LAN failover como en falla y se debe proceder lo antes
posible a recuperar esa interfaz para que la implementación opere
correctamente.

Si no se recibe respuesta en ninguna interfaz, la unidad standby pasa a estado
activo una vez que haya expirado el temporizador de tiempo de espera y
clasifica a su contraparte como en falla.

Los temporizadores por defecto son de 1 segundo para el envío de hello, y 15
segundos para el tiempo de espera.

Monitoreo del estado de las interfaces
Adicionalmente es posible monitorear hasta 250 interfaces.
Para esto las interfaces de ambas unidades intercambian paquetes hello entre sí con
un intervalo de 5 segundos por defecto y un tiempo de espera de 25 segundos.
Cuando un dispositivo no recibe mensajes hello sobre una interfaz monitoreada por la
mitad del tiempo de espera, entonces las interfaces de ambos dispositivos (activo y
standby) ponen sus contadores de paquetes recibidos en cero y corren un conjunto de
pruebas:

82 / 128

Estado de la interfaz up o down.
Verifica el estado de la interfaz física.

Actividad de red.
Verifica que esté recibiendo tráfico dentro de un período de 5 segundos. Si en
dentro de ese período de tiempo recibe cualquier paquete, considera la interfaz
operacional y se detienen las pruebas. Si no se recibe tráfico, pasa a la prueba
siguiente.

ARP.
Se revisa la tabla ARP para determinar las 10 entradas más recientes. Se
envía una solicitud ARP a la primera de las entradas, si se recibe respuesta
dentro de los 5 segundos se considera la interfaz operacional y se detiene la
prueba; si no se recibe tráfico, se repite el proceso con la entrada siguiente. Así
se continúa hasta probar con la décima entrada. Si no se recibe respuesta, se
pasa a la prueba siguiente.

Ping de broadcast.
Se envía una solicitud de ping a la dirección de broadcast de la red o subred a
través de la interfaz en análisis. Si se recibe cualquier paquete dentro de los 5
segundos la interfaz es considerada operacional si no se recibe, la interfaz se
considera en estado de falla.

Configuración de dispositivos ASA
versión 1.1

Una vez realizada todas las pruebas, pueden darse 2 situaciones:

Que las pruebas para una interfaz hayan fallado, pero la interfaz de la otra
unidad está operacional. En consecuencia el estado de la interfaz es marcado
como “failed” y se procede al cambio de estado activo/standby.

Que las pruebas de la interfaz de la otra unidad también hayan fallado, en
consecuencia el estado de la interfaz es marcado como “unknown” y no se
produce cambio de estado.

La interfaz volverá a ser operacional si recibe cualquier tipo de tráfico.

1.7.3. Anotaciones para la implementación
Requerimientos de hardware y software
Todos los appliances Cisco ASA pueden ser configurados para operar en modo
failover activo/standby, pero para que esto sea posible se deben tener en cuenta las
siguientes consideraciones:

Ambos dispositivos deben ser del mismo modelo de hardware.

Ambos deben tener igual número y tipo de interfaces.

Si hay módulos SSM instalados, deben ser los mismos en ambos.

Se recomienda que ambos tengan la misma capacidad de memoria RAM.

Ambos dispositivos deben estar corriendo la misma versión de software.
Esto no es condición necesaria para poder operar ya que desde ASA versión
7.0 es posible que las 2 unidades utilicen diferente versión de software.
Pero esta posibilidad está dada en función de permitir realizar upgrades de
sistema operativo sin tiempos caídos. De esta manera se actualiza el sistema
operativo del dispositivo standby, se fuerza el cambio activo/standby y se
actualiza el sistema operativo de la otra unidad sin salir de operación.
La recomendación de igual versión de software es importante para asegurar
que ambos appliances puedan soportar los mismos features.

Ambos dispositivos deben contar con licencias similares e incluir licencias para
el feature active/standby failover.

Ambos dispositivos deben estar en el mismo modo operativo (ruteando o
transparente, único o múltiples contextos).

Guías de implementación
 Asegure la comunicación sobre las interfaces LAN failover y stateful failover
con una clave. De otra forma toda la información se envía en texto plano y se
trata de información sensitiva, por lo que constituye un riesgo de seguridad.

Si las interfaces LAN failover y stateful failover van a compartir el mismo
enlace, utilice la interfaz más rápida disponible.

83 / 128

Configuración de dispositivos ASA
versión 1.1

NO comparta el enlace de la interfaz stateful failover con otra interfaz de datos
regulares.

Utilizando los temporizadores por defecto el cambio de standby a activo puede
requerir hasta 25 segundos. Esto se puede mejorar considerablemente
ajustando los temporizadores, pero tenga presente que timer muy bajos
pueden provocar falsas detecciones de fallos en caso de congestión de la red.

Considere la implementación de PortFast en todos los puertos de switch que
están conectados a las interfaces de los appliances.

1.7.4. Configuración de failover activo/standby
Para completar la implementación del sistema failover, es preciso completar 4 etapas:

Cableado de las interfaces.

Configuración de failover en el dispositivo primario.

Configuración de failover en el dispositivo secundario.

Configuración de las direcciones IP en el dispositivo primario.

Cableado de las interfaces
Un punto sumamente importante es cablear correctamente las interfaces del clúster
failover.

Ambos dispositivos deben estar conectados a la misma red (dominio de
broadcast) utilizando las mismas interfaces en ambos dispositivos. Cada
interfaz debe ser capaz de recibir los paquetes hellos de la interfaz espejo de la
contraparte, por lo que no debe haber ningún tipo de filtro entre las interfaces
de ambos dispositivos.
INSIDE

OUTSIDE

PRIMARIO
10.0.1.1/24

172.16.100.1/24

10.10.10.1/30

10.10.10.2/30
Terminal
10.0.x.11

10.0.1.2/24

172.16.100.2/24

SECUNDARIO

84 / 128

Configuración de dispositivos ASA
versión 1.1

Las interfaces LAN failover y opcionalmente las interfaces stateful failover
deben corresponder a una subred específica que no ha de ser ruteada más allá
de los dispositivos.

Se puede considerar utilizar un par de interfaces redundantes para la interfaz
LAN failover a fin de brindar un nivel de protección adicional. En este caso
entre ambos appliances debe colocarse un switch LAN.

Configuración de failover en el dispositivo primario
A continuación se deben habilitar las funciones de failover y la interfaz LAN failover en
el dispositivo primario:

Seleccione en la barra de herramientas de ASDM la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Extienda la opción “High Availability” y selecciones “Failover” desde el menú.
Se abrirá el panel correspondiente.

En el panel “Failover” seleccione la solapa “Setup”.

Habilite la función de failover marcando el checkbox “Enable Failover”.

En el campo “Shared Key” puede especificar una la clave pre compartida para
habilitar autenticación y encriptación de la información que se intercambiará
sobre la interfaz LAN failover.

En el área “LAN Failover” utilice el menú desplegable para indicar la interfaz
física que utilizará como interfaz LAN failover.

o

En el campo “Logical Name” asigne un nombre a la interfaz.

o

En el campo “Active IP” ingrese la dirección IP utilizada por el
dispositivo primario.

o

En el campo “Subnet Mask” ingrese la máscara de subred.

o

En el campo “Standby IP” ingrese la dirección IP del dispositivo
secundario.

o

Asegúrese que la prioridad esté configurada como “Primary”.

Si se va a operar en modo stateful failover, entonces debe utilizar el área “State
Failover”. Utilice el menú desplegable para indicar la interfaz física que utilizará
para esta tarea.
o

Si se utiliza la misma interfaz física que para LAN Failover, entonces no
es necesario definir nombre, direcciones IP y máscara.

o

Si se utiliza una interfaz física diferente de la LAN Failover, es
necesario completar la misma información que se completó para la
interfaz LAN Failover.

o

Se puede activar la función “HTTP Replication” seleccionando el
checkbox correspondiente.

Seleccione “Apply” para aplicar los cambios en la configuración.
85 / 128

Configuración de dispositivos ASA
versión 1.1

Configuración de failover en el dispositivo secundario
Una vez que concluye la configuración de failover en el dispositivo primario, al aplicar
los cambios, ASDM despliega una ventana emergente preguntando por la dirección IP
del dispositivo secundario.
Si se ingresa la dirección IP del appliance secundario y luego se selecciona “Yes”,
ASDM automáticamente configurará el appliance secundario con la misma
configuración utilizada en el appliance primario excepto los ítems específicos que
hacen a su rol de appliance secundario.
Par a esto es necesario que la interfaz que se va a utilizar esté habilitada en el
dispositivo secundario y configurada con los parámetros de nombre, nivel de
seguridad y dirección IP correspondientes.
Alternativamente también es posible configurar manualmente el dispositivo secundario
siguiendo el mismo procedimiento utilizado para el primario, con la única diferencia
que se debe configurar la interfaz LAN Failover como Secondary.
Configuración de las direcciones IP
Finalmente se debe configurar las direcciones IP activa y standby de todas las
interfaces que van a participar del flujo de tráfico a través del sistema failover. La tarea
se realiza en el appliance primario que luego replica la configuración en el secundario.

Seleccione en la barra de herramientas de ASDM la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Extienda la opción “High Availability” y selecciones “Failover” desde el menú.
Se abrirá el panel correspondiente.

En el panel “Failover” seleccione la solapa “Interfaces”.

En la ventana podrá observar una tabla en la que se encuentran las interfaces
habilitadas y configuradas en el appliance. La segunda columna de la tabla
contiene la dirección IP de la interfaz en el appliance primario (Active IP
Address), a continuación la máscara de subred y luego la dirección IP del
appliance secundario (Standby IP Address).

Con el puntero del mouse haga doble clic en al campo “Standby IP Address” e
ingrese la dirección correspondiente de la interfaz correspondiente en el
appliance secundario. Repita esta acción para cada interfaz habilitada y
configurada.

Concluida la operación seleccione el botón “Apply” para aplicar los cambios y
concluir la operación.

Configuration replication
Es el proceso por el cual se envía una copia de la configuración del dispositivo activo
al dispositivo standby.
Este proceso genera por parte del dispositivo activo dos mensajes de syslog:

86 / 128

Beginning configuration replication: Sending to mate.

Configuración de dispositivos ASA
versión 1.1

End Configuration Replication to mate.

Esta copia de la configuración se realiza:

Cuando se configura inicialmente failover en ambos appliances.

Cuando el appliance que está en standby completa su proceso de booteo, el
dispositivo activo replica la configuración completa y se guarda en la memoria
flash del dispositivo standby.

Cuando se ingresa un comando en la dispositivo activo, se envía al dispositivo
standby y se guarda en la configuración en la flash.

Utilizando el comando write standby en el dispositivo activo.

La configuración de los módulos SSM no se replica automáticamente, sino que debe
ser copiada manualmente desde la unidad activa a la standby.
Comandos vinculados a la operación
Luego de la replicación de la configuración, ambos appliance tienen el mismo
hostname, lo cual es una complicación para el management. Por este motivo es
conveniente modificar el prompt de ambos dispositivos de modo que indique la
prioridad y el estado. Con este propósito utilice el comando:
ASA(config)#prompt hostname priority state
Para verificar el estado del sistema completo de failover, se puede utilizar el siguiente
comando:
ASA#show failover
El sistema failover no es “preemptive”. Esto quiere decir que si el appliance primario
regresa a estar operativo luego de un fallo, no recuperará automáticamente su estado
activo sino que el estado activo es retenido por el appliance secundario que lo
reemplazó durante el fallo.
Para forzar una unidad a pasar a estado activo, se debe utilizar el siguiente comando:
ASA(config)#failover active
Esto fuera al dispositivo en el que se ejecutó el comando a pasar a estado activo. Si lo
que se desea es que el dispositivo que se encuentra activo pasa a estado standby:
ASA(config)#no failover active
Cuando una unidad se encuentra en estado “Failed”, quizás a causa de problemas en
una interfaz, y luego de resuelto el problema se la desea sacar de ese estado, se
puede ingresar el siguiente comando en la unidad activa:
ASA#failover reset
Ajuste del failover activo/standby
En la operación de un sistema de failover hay varios aspectos que pueden requerir un
ajuste al modo de operación por defecto de Cisco ASA:

87 / 128

Configuración de dispositivos ASA
versión 1.1

Cuando es necesario mejorar los tiempos de detección de fallo y conmutación
de la operación activo/failover, es posible ajustar tanto los temporizadores que
rigen la operación como también la cantidad de interfaces que deben fallar
antes de que se produzca el cambio.

Otro punto a considerar son las direcciones MAC de las interfaces.
Normalmente cuando el dispositivo primario falla, el segundo asume la
operación y al hacerlo reemplaza sus propias direcciones MAC por las del
dispositivo primario lo que asegura la continuidad de la operación.
Sin embargo, si por un error de procedimiento booteo primero el appliance
secundario, al bootear el dispositivo primario se realizará un cambio de
direcciones MAC y esto provocará una interrupción en el servicio de la red.
Para evitar esto es posible configurar manualmente direcciones MAC activas y
standby virtuales.

Para cambiar el criterio con el que se determina la necesidad del cambio
activo/standby, siga los siguientes pasos:

88 / 128

Seleccione en la barra de herramientas de ASDM la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Extienda la opción “High Availability” y selecciones “Failover” desde el menú.
Se abrirá el panel correspondiente.

En el panel “Failover” seleccione la solapa “Criteria”.

El campo “Number of Failed Interfaces That Triggers Failover” permite indicar
la cantidad de interfaces que deben fallar para provocar el cambio.
Esto también puede especificarse como un porcentaje del total de interfaces
monitoreadas utilizando el campo “Percentage of Failed Interfaces That
Triggers Failover”.

Para modificar los temporizadores se puede utilizar la sección “Failover Poll
Time” de la pantalla:
o

Los menús desplegables a la derecha de los campos permiten alternar
la unidad de medición de tiempos entre milisegundos y segundos.

o

El campo “Unit Failover” define el lapso de tiempo entre paquetes hello
que enviarán los appliances.

o

El campo “Unit Hold Time” define el lapso de tiempo que el appliance
esperará antes de declarar la unidad que es contraparte del sistema
como “failed” y realizar el cambio standby/activo.

o

El campo “Monitored Interfaces” especifica el intervalo de tiempo para
el sondeo de las interfaces.

o

El campo “Interface Hold Time” especifica el lapso de tiempo (no menor
de 5 segundos) que se esperará antes de que la falla de una interfaz (o
un grupo) provoca el cambio standby/activo.

Configuración de dispositivos ASA
versión 1.1

Concluida la tarea seleccione “Apply” para hacer efectivos los cambios.

Para fijar las direcciones MAC activa y standby:

Seleccione en la barra de herramientas de ASDM la opción “Configuration”.

En el panel de navegación seleccione “Device Management”.

Extienda la opción “High Availability” y selecciones “Failover” desde el menú.
Se abrirá el panel correspondiente.

En el panel “Failover” seleccione la solapa “MAC Address”.

Seleccione el botón “Add” y se abrirá una ventana de configuración.

Utilice el menú desplegable de “Physical Interfaces” para seleccionar la interfaz
para la cual ha de configurar una MAC virtual.

En el campo “Active Interface” ingrese la MAC que se asignará a la interfaz en
el appliance activo utilizando el formato xxxx.xxxx.xxxx

En el campo “Standby Interface” ingrese la MAC que se utilizará en el
appliance standby utilizando el mismo formato.

Concluido, seleccione “OK”.

Repita la operación para cada interfaz de los dispositivos.

Seleccione “Apply” cuando haya concluido la tarea para hacer efectivos los
cambios.

89 / 128

Configuración de dispositivos ASA
versión 1.1

90 / 128

Configuración de dispositivos ASA
versión 1.1

2. Guía de Laboratorio
Los ejercicios presentados en esta guía de laboratorio han sido diseñados y
desarrollados con el objetivo de permitir la realización de ejercicios que permitan
verificar y practicar los procedimientos descriptos en la primera sección del Manual.

2.0. El laboratorio
El laboratorio diseñado para estos ejercicios permite reproducir una arquitectura
básica compuesta por un firewall Cisco ASA 5520, un servidor con múltiples servicios
que desempeña las veces de una DMZ y un segundo servidor representando un
servicio externo representando los servicios de una Extranet. Para poder realizar las
prácticas de failover (el último capítulo de este manual), es necesario armar al menos
2 PODs como el que se muestra a continuación.
El laboratorio puede ser montado utilizando dispositivos reales o completamente
virtualizado.

2.0.1. Topología del laboratorio
Cada POD está compuesto de la siguiente forma:

POD X
Servidor
DMZ
192.168.x.2

Terminal
10.0.x.11

ASA
Servidor
Extranet
172.16.1.100

2.0.2. Listado de equipos
Cada POD está compuesto por:

1 firewall ASA 5520

Software Cisco ASA 8.2 (1).
91 / 128

Configuración de dispositivos ASA
versión 1.1

1 Terminal para trabajo conteniendo:
● Cliente SSH de Putty.

1 Servidor corriendo Windows 2003 Server Standard Edition con las siguientes
aplicaciones instaladas:
● Directorio C:\Curso\ conteniendo: Instalador de ASDM (asdm-625.bin).
● Cisco ACS 4.2.
● Servidor HTTP.
● Servidor FTP.
● Servidor Telnet.
● Scanner NMAP.
● Kiwi Syslog.

2.0.3. Cableado del laboratorio
PODx
Dispositivo

Interfaz

Conecta a...

Interfaz

Cable

ASA

Gi 0/0

Switch compartido

--

Derecho

Gi0/1

Terminal

--

Derecho

Gi0/2

Servidor DMZ

--

Derecho

“x” representa el número de POD asignado por el
Instructor para su tarea.

2.0.4. Esquema de direccionamiento IP
PODx
Dispositivo

Interfaz

Red

IP

Máscara de Subred

ASA

Gi 0/0

172.16.1.0/24

172.16.1.x

255.255.255.0

Gi 0/1

10.0.x.0/24

10.0.x.1

255.255.255.0

Gi 0/2

192.168.x.1/24

192.168.x.1

255.255.255.0

Terminal

--

10.0.x.0/24

10.0.x.11

255.255.255.0

Servidor DMZ

--

192.168.x.0/24

192.168.x.2

255.255.255.0

Servidor Extranet

--

172.16.1.0/24

172.16.1.100

255.255.255.0

“x” representa el número de POD asignado por el
Instructor para su tarea.
92 / 128

Configuración de dispositivos ASA
versión 1.1

2.0.5. Información de acceso
Utilice la siguiente tabla para documentar la información de acceso a los diferentes
equipos terminales con los que se desarrollarán los laboratorios.
Parámetro

Valor

Número de POD
Clave de acceso a modo enable en el appliance

cisco1234

Nombre de usuario de la Terminal
Clave de acceso a la Terminal
Nombre de usuario del Servidor en la DMZ
Clave de acceso al Servidor en la DMZ
Nombre de usuario del Servidor de Extranet

Administrator

Clave de acceso del Servidor de Extranet

admin

Nombre de usuario 1 de ASDM

estudiante

Clave de acceso usuario 1 de ASDM

cisco

Nombre de usuario 2 de ASDM

estudiante 1

Clave de acceso usuario 2 de ASDM

cisco

93 / 128

Configuración de dispositivos ASA
versión 1.1

2.1. Configuración de la conectividad básica
2.1.0. Lista de comandos a utilizar
configure terminal
copy running-config startup-config
enable
exit
interface [interfaz]
nameif
ping
reload
setup
show dhcpd binding
show dhcpd state
show flash:
show interface ip brief
show nameif
show route
show running-config
show version
write erase

2.1.1. Inicialización del appliance de seguridad
1. Acceda a la CLI del Cisco ASA desde su Terminal.
En la pantalla de su terminal deberá aparecer el prompt del dispositivo.
2. Borre la configuración por defecto del dispositivo utilizando el comando write
erase.
3. Reinicie el dispositivo con el comando reload.
Cuando se le pregunte si desea guardar la configuración responda No. Luego
confirme ingresando Enter.
4. Una vez que el dispositivo haya concluido el proceso de arranque le mostrará
en pantalla la invitación a configurarlo utilizando el diálogo interactivo de
configuración (setup).
Interrumpa el diálogo interactivo respondiendo No.
Aparecerá el prompt del modo EXEC usuario.
5. Ingrese al modo EXEC privilegiado utilizando el comando enable. No hay
clave configurada, por lo que cuando se le pida la clave solamente ingrese un
Enter.
6. Examine el contenido de la memoria flash utilizando el comando show flash.

94 / 128

Configuración de dispositivos ASA
versión 1.1

7. Verifique la configuración activa del dispositivo con el comando show
running-config.
8. Verifique el hardware, versión de la imagen de software y licencias del
dispositivo en su POD (show version).

2.1.2. Preparación del ASA para Cisco ASDM
1. Desde el prompt de la CLI del Cisco ASA ingrese al modo de configuración
global utilizando el comando configure terminal.
2. Defina la interfaz GigabitEthernet 0/1 como interfaz inside y acepte el nivel de
seguridad por defecto. Para esto ingrese la siguiente secuencia de comandos:
interface gigabitethernet0/1
nameif inside
exit
3. Regrese al modo de configuración global e ingrese al diálogo de configuración
interactivo (setup). Para ello ejecute en el modo de configuración el comando
setup.
4. Utilice el modo setup para definir los siguientes parámetros:
 Nombre del dispositivo: ASA
 Nombre de dominio: edubooks.com
 Clave de acceso a modo privilegiado: cisco1234
 Dirección IP de la interfaz GigabitEthernet 0/1: 10.0.x.1/24
 Habilite el servicio HTTP.
 Habilite la IP 10.0.x.11/24 para acceder al servicio HTTP a través de la
interfaz inside.
5. Finalizada la tarea, grabe la configuración.
6. Verifique los cambios en la configuración utilizando el comando show
running-config

2.1.3. Inicio de Cisco ASDM
1. Acceda a la terminal de trabajo que le ha sido asignada y abra una instancia
del navegador de Internet.
2. Inicie ASDM ingresando en la barra de navegación de su navegador la
dirección IP que acaba de configurar en la interfaz Gi 0/1 del appliance:
https://10.0.x.1
3. Acepte las advertencias de seguridad que aparecerán al abrir la página web de
inicio de ASDM.
Se abrirá la ventana de ASDM.
4. Inicie ASDM.
5. Acepte nuevamente las advertencias de seguridad.

95 / 128

Configuración de dispositivos ASA
versión 1.1

6. A continuación ASDM le requerirá que ingrese las credenciales de seguridad.
En este punto ingrese la clave que acaba de configurar en el paso anterior:
cisco1234.
7. Se cargará ASDM y le mostrará la ventana inicial.
8. Tomando en cuenta la información que le muestra ASDM, complete la
siguiente información:
¿Cuál es el hostname?
¿Cuál es la versión del appliance?
¿Cuál es la versión de ASDM?
¿Cuál es el modo de firewall?
¿Cuál es el total de memoria flash?
¿Cuál es el modo de contexto?
¿Cuál es el total de memoria?
9. Seleccione ahora la solapa “License” del área Device Information. Con la
información contenida en esta solapa complete la siguiente información:
¿Cuál es el tipo de licencia?
¿Cuál es el número de interfaces físicas?
¿Qué tipo de failover es soportado?
¿Cuál es el número de VLANs?
¿Cuántos contextos se soportan?
¿Qué tipo de encriptación está soportado?
¿Cuántos peers de VPN están
soportados?
¿Cuántos peers de VPN SSL?
10. Aproveche a revisar el contenido de las otras áreas de esta página inicial de
ASDM.

2.1.4. Configuración de las interfaces de red
1. Desde ASDM habilite la interfaz Gi0/2. Se trata de la interfaz que conecta el
appliance con el servidor de la DMS. Configure la interfaz con los siguientes
parámetros:

96 / 128

Nombre: dmz

Nivel de seguridad: 50

Configuración de dispositivos ASA
versión 1.1

Dirección IP: 192.168.x.1/24

2. Complete la siguiente información:
¿Cuál es la configuración de dúplex?
¿Cuál es la configuración de velocidad?
3. Habilite la interfaz Gi0/0. Esta es la interfaz que conecta hacia el core del
laboratorio. Para esta tarea utilice los siguientes parámetros:

Nombre: outside

Nivel de seguridad: 0

Dirección IP: 172.16.1.x/24

4. Aplique los cambios y guarde la configuración.
5. Acceda al appliance a través de CLI y verifique la configuración y estado de las
interfaces utilizando los comandos show interface ip brief, show
nameif y ejecutando ping a la Terminal, el Servidor y el Servidor de Extranet.
6. En su Terminal de trabajo abra una instancia del navegador web y acceda a la
página web del Servidor de Extranet ingresando http://172.16.1.100 en la barra
de navegación para verificar la conectividad.

2.1.5. Configuración del servicio DHCP en el appliance
1. Regrese a su sesión de ASDM.
2. Habilite el servidor DHCP sobre la interfaz inside del appliance utilizando los
siguientes parámetros:

Pool de direcciones IP: 10.0.x.10 a 10.0.x.30/24

Servidor DNS: 192.168.x.2

Lease time: 1 día

3. Aplique los cambios y guarde la configuración.
4. Modifique la configuración de su Terminal para obtener la configuración IP del
servidor DHCP.
5. Verifique y complete la siguiente información para referencia futura:
Dirección IP
Máscara de subred
Default gateway

97 / 128

Configuración de dispositivos ASA
versión 1.1

6. Verifique el status del servidor DHCP en el appliance utilizando CLI con los
comandos show dhcpd state, show dhcpd binding, show dhcpd
statistics

98 / 128

Configuración de dispositivos ASA
versión 1.1

2.2. Configuración de funciones de administración
2.2.0. Lista de comandos a utilizar
asdm image [imagen]
boot system [imagen]
configure terminal
crypto key generate rsa module [tamaño]
ping
reload
show aaa-server

[nombre]

show bootvar
show clock
show flash:
show logging
show ntp associations
show version

2.2.1. Actualización del appliance y de ASDM
1. Acceda al servidor colocado en la DMZ.
2. Inicie el servidor TFTP seleccionando el ícono del servicio en el escritorio.
3. Dentro del servidor TFTP configure el directorio raíz a C:\Firewall.
4. Acceda a su terminal de trabajo e inicie ASDM para acceder a su appliance.
5. Ya en ASDM, acceda a la herramienta “File Management”. Utilizando esta
herramienta copie los siguientes archivos desde el Servidor en la DMZ a la
memoria flash de appliance, utilizando TFTP:
● asa822-k8.bin
● asdm-625.bin
6. Acceda a la CLI del appliance y verifique el contenido de la memoria flash
utilizando el comando show flash:
7. Acceda al modo de configuración global del appliance y configure una variable
de booteo que cargue la nueva imagen (asa822-k8.bin) de sistema operativo
que está presente en la memoria flash.
8. Configure también la variable necesaria para que se utilice la nueva imagen de
ASDM (asdm-625.bin).
9. Guarde con configuración.
10. Reinicie el appliance.
11. Una vez que haya concluido el arranque del appliance ingrese nuevamente al
mismo y verifique la imagen de software que está utilizando con el comando
show version
99 / 128

Configuración de dispositivos ASA
versión 1.1

12. Verifique también las variables de booteo que acaba de configurar con el
comando show bootvar

2.2.2. Configuración del registro de incidentes del ASA
1. Regrese a la sesión ASDM en su Terminal de trabajo.
2. Habilite la función de logging globalmente.
3. Agregue el Servidor de su DMZ (192.168.x.2) como servidor de syslog de su
appliance. Utilice los valores por defecto para los parámetros requeridos.
4. Configure los siguientes destinos de logging:

Habilite logging al ASDM para los mensajes con severidad
“Informational” y superiores solamente.

Habilite logging al servidor de syslog para registrar todos los mensajes.

Deshabilite los mensajes de loggin a la consola.

5. Aplique la configuración.
6. Guarde la configuración.
7. Ingrese a la CLI del appliance y verifique la configuración de logging en el
mismo utilizando el comando show logging.
8. Verifique la conexión con el Servidor en la DMZ utilizando el comando ping.
9. Acceda el Servidor en la DMZ e inicie el Kiwi Syslog Server seleccionando el
ícono en el escritorio.
10. Desde la terminal de trabajo, abra una ventana de DOS y ejecute un ping al
Servidor (192.168.x.2) El resultado deberá ser un error ya que el appliance no
habilita las respuestas de ping por defecto.
11. Observe los mensajes de ping fallido en la consola de Kiwi en el Servidor.

2.2.3. Configuración de SNMPv2c en el appliance
1. Regrese a su sesión de ASDM en la Terminal de Trabajo.
2. Agregue el Servidor de la DMZ (192.168.x.2) al appliance como estación de
management SNMP. Utilice los siguientes parámetros:

Interfaz: dmz

Dirección IP: 192.168.x.2

Community: nonpublic

SNMP versión: 2c

Deje los demás parámetros con los valores por defecto.

3. Aplique los cambios.
4. Guarde la configuración.
100 / 128

Configuración de dispositivos ASA
versión 1.1

5. Acceda al servidor en la DMZ.
6. Abra el navegador de MIBs (HillSoft MIB browser) utilizando el ícono en el
escritorio.
7. Asegúrese de seleccionar el appliance ASA del primer menú desplegable.
8. Seleccione la opción “ccitt” de la estructura de árbol que se encuentra en el
lado izquierdo del MIB browser. Automáticamente se completará el campo OID
con el valor 0 (cero).
9. Seleccione la opción GetBulk del menú desplegable que está en el extremo
derecho y luego seleccione la flecha verde.

Usualmente Ud. Debería primero ingresar en el MIB browser los objetos
que pueden ser censados desde el appliance. Sin embargo, de acuerdo
a los objetivos de esta práctica hemos de censar objetos generales que
ya se encuentran incluidos en el MIB browser.

10. Observe la salida que obtiene como resultado del sondeo del appliance.

2.2.4. Habilite del acceso por SSH en el appliance
1. Regrese a la sesión de ASDM en su Terminal de Trabajo.
2. Habilite el acceso de management por SSH, permitiendo el acceso
exclusivamente desde la Terminal de Trabajo.
3. Aplique la configuración.
4. Guarde la configuración.

101 / 128

Configuración de dispositivos ASA
versión 1.1

5. Desde la Terminal de Trabajo acceda a la CLI del appliance y genere una llave
RSA para que sea utilizada por la conexión SSH. Utilice una llave de 2048 bits.

2.2.5. Configuración de autenticación y accounting
1. Regrese a la sesión de ASDM en su Terminal de Trabajo.
2. Cree un usuario en la base de datos de usuarios local, del appliance, utilizando
los siguientes parámetros:

Usuario:

estudiante

Password:

cisco

3. Cree un grupo de servidores AAA llamado MNGM_AUT que utilice TACACS+
como protocolo de autenticación. Deje los demás parámetros con sus valores
por defecto.
4. Agregue el Servidor de la DMZ (192.168.x.2) al grupo de servidores
MNGM_AUT utilizando los siguientes parámetros:

Interfaz:

Dirección IP: 192.168.x.2

Llave:

dmz

cisco

5. Aplique los cambios.
6. Guarde la configuración.
7. Configure autenticación para las sesiones de management HTTP y SSH
utilizando el grupo de servidores MNGM_AUT. Utilice la base de datos local
como respaldo en ambos casos.
8. Aplique los cambios.
9. Configure accounting para las sesiones de management SSH utilizando el
grupo de servidores MNGM_AUT.
10. Aplique los cambios.
11. Guarde la configuración y cierre ASDM.
12. Abra y acceda nuevamente a ASDM. Para ingresar utiliza ahora el usuario
“estudiante” que acaba de crear.
13. Inicie Putty haciendo doble clic sobre el ícono en el escritorio de su Terminal de
Trabajo. Utilice la aplicación para iniciar una sesión SSH a la interfaz inside del
appliance: 10.0.x.1. Seleccione “Open”.
14. Cuando la sesión le requiera usuario y clave utilice las siguientes credenciales:

102 / 128

Nombre de usuario:

estudiante1

Clave:

cisco

Configuración de dispositivos ASA
versión 1.1

15. Utilizando la sesión SSH que acaba de establecer, verifica las estadísticas
correspondientes al grupo de servidores MNGM_AUT utilizando el comando
show aaa-server MNGM_AUT.
Debe visualizar el intercambio de solicitudes y respuestas entre el appliance y
el servidor ACS que se encuentra en la DMZ.
16. Acceda al Servidor en la DMZ. Abra el Cisco ACS seleccionando el ícono ACS
admin en el escritorio. Seleccione Reports and Activity > TACACS+ Accounting
> TACACS+ Accounting active.csv.
Debe visualizar el registro de los mensajes del acceso de estudiante1 en el
appliance.

103 / 128

Configuración de dispositivos ASA
versión 1.1

2.3. Configuración básica de políticas de control de acceso
2.3.0. Lista de comandos a utilizar
capture [nombre] type asp-drop acl-drop
show capture [nombre]
show conn
show local-host

2.3.1. Diagnóstico básico de conectividad
1. Acceda a la CLI del appliance utilizando la clave de modo privilegiado.
2. Inicie una captura de paquetes que son descartados por una lista de acceso
para que pueda, más tarde, ver la información detallada respecto de ese
tráfico.
3. Acceda al Servidor de Extranet utilizando las siguientes credenciales:
 Usuario: Administrator
 Clave: admin
4. Intente establecer una sesión HTTP desde el servidor hacia el Servidor en la
DMZ (192.168.x.2). El intento debería fallar debido a la política de seguridad
por defecto del appliance que sólo permite conexiones desde interfaces con
nivel de seguridad más alto hacia interfaces con menor nivel de seguridad.
5. Regrese a la CLI del appliance y revise la información de los paquetes que han
sido capturados. Debe ver descartados los paquetes HTTP que estaban
dirigidos al Servidor en la DMZ.

2.3.2. Configuración de grupos de objetos
1. Acceda a la sesión ASDM en su terminal de trabajo utilizando las credenciales
usuario “estudiante” clave “cisco”.
2. Cree un grupo de servicios llamado Servicios_DMZ que incluya los siguientes
servicios:
 tcp/http
 tcp/ftp
 udp/tftp
 icmp/icmp
3. Aplique y guarde los cambios.
4. Cree un segundo grupo de servicios llamado Servicios_OUTSIDE que incluya
los siguientes servicio:
 icmp/echo
 tcp/http

104 / 128

Configuración de dispositivos ASA
versión 1.1

 udp/dns
 tcp/ftp
5. Aplique y guarde los cambios.
6. Cree un grupo de objetos de red llamado Servidores que incluya los siguientes:
 Servidor DMZ (192.168.x.2)
 Servidor (172.16.1.100)

2.3.3. Configuración de reglas de acceso
1. Regrese a su sesión de ASDM en la Terminal de Trabajo.
2. Configure una regla de acceso para el tráfico entrante sobre la interfaz outside
para permitir que ingresen los servicios HTTP, FTP, TFTP e ICMP desde la red
172.17.1.0/24 hacia la red 192.168.x.0/24. Para esta tarea tenga en cuenta el
grupo de servicios Servicios_DMZ creado antes.
3. Acceda al Servidor de Extranet e intente establecer una sesión HTTP desde el
Servidor de Extranet hacia el Servidor en la DMZ.
4. Regrese a la sesión de ASDM y diagnostique la conexión utilizando la
herramienta Packet Tracer.
Debería encontrar que la regla implícita que está al final de la regla descarta
los paquetes.
5. Reformule la regla de acceso en la interfaz outside corrigiendo la dirección IP
de origen de modo que ahora sea la dirección IP del Servidor de Extranet
(172.16.1.100).
6. Regrese al Servidor de Extranet e intente establecer una conexión HTTP
desde el Servidor hacia el Servidor en la DMZ nuevamente (192.168.x.2).
Ahora debiera tener éxito.
7. Acceda la CLI del appliance y verifique el contenido de la tabla de conexiones.
8. Verifique la tabla de local host.
9. Abra Putty en el Servidor e intente establecer una sesión de Telnet para
conectarse desde el Servidor de Extranet hacia el Servidor en la DMZ. El
intento debiera fallar debido a que la lista de permisos descarta todo tráfico
salvo el de HTTP, FTP, TFTP e ICMP.
10. Configure una regla de acceso entrante sobre la interfaz inside para permitir el
tráfico saliente de los servicios ICMP echo, HTTP, DNS y FTP desde la red
inside hacia el Servidor en la DMZ y al Servidor de Extranet. Utilice el servicio
de grupos Servicios_OUTSIDE y el grupo de objetos de red Servidores que
creó previamente.
11. Abra una ventana del navegador web en la Terminal de Trabajo.
12. Intente establecer una conexión HTTP desde la terminal de trabajo hacia el
Servidor en la DMZ. El intento debiera ser exitoso.
105 / 128

Configuración de dispositivos ASA
versión 1.1

13. Regrese a la CLI del appliance y verifique el contenido de la tabla de
conexiones y la tabla de local host.
14. Regrese a la Terminal de Trabajo y abra una ventana de comandos DOS.
Intente conectarse utilizando Telnet desde la Terminal de Trabajo hacia el
Servidor de Extranet. El intento debe fallar debido a que la regla de acceso
descarta todo tráfico salvo ICMP echo, HTTP, DNS y FTP.
15. Intente establecer una conexión HTTP desde la Terminal de Trabajo hacia el
Servidor en la DMZ. El intento debe ser exitoso.
16. Verifique el contenido actual de la tabla de conexiones y la tabla de local host.
17. Intente utilizar Telnet para conectarse desde la Terminal de Trabajo al Servidor
en la DMZ.; el intento debe fracasar en este caso, debido a que la regla de
acceso descarta todo tráfico excepto el tráfico ICMP echo, HTTP, DNS y FTP.

2.3.4. Configuración de uRPF
1. Regrese a su sesión de ASDM en la Terminal de Trabajo. Habilite uRPF en las
siguientes interfaces del appliance:

inside

outside

dmz

2. Abra el visualizados de eventos de ASDM para ver los mensajes de logging.
3. Acceda el Servidor en la DMZ y abra una ventana de comandos de DOS en
Windows. Haga spoof de la dirección IP utilizando Nmap. Ingrese el comando:
nmap –sS –p 80 –D 10.0.x.11 172.16.1.100
De esta forma el Servidor en la DMZ comenzará a enviar segmentos TCP SYN
con la dirección origen 10.0.x.11 hacia el destino 172.16.1.100.
4. Verifique los mensajes de loggin de los paquetes descargados en el
visualizador en tiempo real.

106 / 128

Configuración de dispositivos ASA
versión 1.1

2.4. Ajuste básico de la inspección stateful
2.4.0. Lista de comandos a utilizar
show running-config
show service-policy

2.4.1. Configuración de inspección de ICMP y FTP
1. Acceda a la CLI del appliance e ingrese al modo privilegiado.
2. Verifique la service policy por defecto y responda las siguientes preguntas:
¿Cuál es el nombre del class map por
defecto?
¿Cuál es el criterio de selección de la
clase?
¿Cuál es el nombre del policy map por
defecto?
¿Qué clase está asociada al policy map?
3. Utilizando la siguiente tabla, indique qué protocolos son inspeccionados por
defecto:
Protocolo

Si/No

FTP
H.323 (H.225)
H.323 (RAS)
RSH
RTSP
SCCP
SIP
Oracle SQL* Net (TNS)
UNIX RPC (SUNRPC)
TFTP
XDCMP
CTIQBE
DCERPC
ICMP

107 / 128

Configuración de dispositivos ASA
versión 1.1

MMP
MGCP

4. Acceda a la Terminal de Trabajo utilizando las siguientes credenciales:
 Usuario:

Administrator

 Clave:

admin

5. Abra una ventana de comandos de DOS en Windows en la Terminal de
Trabajo y ejecute un ping al Servidor de Extranet 172.16.1.100. La ejecución
debiera tener una respuesta “time out” porque ICMP no es inspeccionado por
defecto.
C:\>ping 172.16.1.100
6. Abra una sesión FTP hacia el Servidor 172.16.1.100 e ingrese utilizando las
credenciales:
 Usuario:

anonymous

 Clave:

cisco

Haga una lista de los archivos que están disponibles en el servidor FTP. La
tarea debe poder completarse porque la inspección FTP está habilitada por
defecto.
C:\>ftp 172.16.1.100
Connected to 172.16.1.100
220 Microsoft FTP Service
User: anonymous
...
...
ftp>ls
7. Inicie nuevamente la sesión de ASDM utilizando las siguientes credenciales:
 Usuario:

estudiante

 Clave:

cisco

8. Habilite la inspección de ICMP y deshabilite la inspección de FTP editando la
política de inspección por defecto.
9. Aplique y guarde la configuración.
10. Ejecute nuevamente un ping al Servidor de Extranet (172.16.1.100). Esta vez
el ejercicio debe ser exitoso ya que se ha habilitado la inspección de ICMP.
11. Abra nuevamente una sesión FTP hacia el Servidor 172.16.1.100 utilizando las
mismas credenciales:
Haga una lista de los archivos que están disponibles en el servidor FTP. Esta
vez su solicitud debe ser rechazada porque la inspección de FTP fue
deshabilitada y el appliance no debe permitir la negociación dinámica de la
sesión para pasar de una interfaz menos segura a una más segura.

108 / 128

Configuración de dispositivos ASA
versión 1.1

12. Regrese a la sesión de ASDM y rehabilite la inspección de FTP nuevamente.
13. Acceda a la CLI del appliance y revise las estadísticas de la política global por
defecto utilizando el comando show service-policy

2.4.2. Habilitación de la reducción de TTL y deshabilitación de la
aleatorización de la secuencia inicial de TCP
1. Abra una ventana de comandos de DOS en Windows en la Terminal de
Trabajo y ejecute un ping al Servidor de Extranet 172.16.1.100. La ejecución
debiera tener una respuesta exitosa. Revise el valor de TTL que es reportado
por el ping.
C:\>ping 172.16.1.100
Pinging 172.16.1.100 with 32 bytes of data:
Reply for 172.16.1.100: bytes=32 time=5 ms TTL=128
... ...
2. Regrese a la sesión de ASDM en la Terminal de Trabajo.
3. Configure una nueva service policy y aplíquela a la interfaz inside. Esta service
policy debe habilitar la reducción de TTL y deshabilitar la aleatorización del ISN
de TCP. Para la tarea utilice los siguientes parámetros:
 Nombre de la service policy: INSIDE-POLICY
 Nombre de la traffic class:

IN-TO-OUT-TRAFFIC

 Clasificación de tráfico:

HTTP, FTP e ICMP echo desde la red
10.0.x.0/24 hacia el Servidor 172.16.1.100

 Acciones:

Reducir TTL para los flujos de tráfico.
Deshabilitar la aleatorización de ISN de
TCP.

4. Aplique y guarde la configuración.
5. Ejecute nuevamente un ping a la 172.16.1.100. La respuesta debiera ser
nuevamente exitosa, solo que en este caso el valor de TTL debiera reducir en
1 por el cambio en la configuración del appliance.
C:\>ping 172.16.1.100
Pinging 172.16.1.100 with 32 bytes of data:
Reply for 172.16.1.100: bytes=32 time=5 ms TTL=127
6. Examine la service policy creada utilizando el comando show servicepolicy

2.4.3. Ajuste de los temporizadores de TCP, habilitación de DCD y
configuración de la normalización de TCP
1. Regrese a la sesión de ASDM en la Terminal de Trabajo.
2. Cree un mapa TCP con los siguientes parámetros:
 Nombre del mapa TCP: OUT-TO-DMZ-TCP-MAP
 Habilite el descarte de paquetes TCP SYN con datos.

109 / 128

Configuración de dispositivos ASA
versión 1.1

 Habilite la verificación para comprobar que los datos retransmitidos son
los mismos que los originales.
 Habilite la verificación del checksum de TCP.
3. Aplique y guarde la configuración.
4. Configure un nuevo service policy y aplíquelo a la interfaz outside. En el nuevo
service policy debe cambiar los temporizadores de TCP y habilitar DCD y
normalización de TCP. Utilice los siguientes parámetros para el service policy:
 Nombre del service policy: OUTSIDE-POLICY
 Nombre del traffic class: OUT-TO-DMZ-TRAFFIC
 Tráfico a clasificar:

HTTP, FTP, TFTP e ICMP desde el Servidor de
Autenticación (172.16.1.100) al Servidor en la
DMZ (192.168.x.2).

 Acciones:

Temporizador para conexiones embriónicas: 10 segundos.

Temporizador para conexiones half-closed: 5 minutos.

Timeout para conexiones: 10 minutos.

Habilite DCD con parámetros por defecto.

Habilite normalización de TCP utilizando el mapa TCP creado
antes (OUT-TO-DMZ-TCP-MAP).

5. Aplique los cambios y guarde la configuración.
6. Examine el service policy que ha creado utilizando el comando show
service-policy

110 / 128

Configuración de dispositivos ASA
versión 1.1

2.5. Configuración de políticas de capa de aplicación
2.5.0. Lista de comandos a utilizar
clear service-policy
show service-policy global inspect

2.5.1. Configuración de inspección de HTTP para proteger el Servidor en
la DMZ
1. Acceda a la sesión de ASDM en la Terminal de Trabajo utilizando las
credenciales:
 Usuario:

estudiante

 Clave:

cisco

2. Cree un policy map de inspección de HTTP con el nombre MY-HTTP-POLICY.
3. Habilite la verificación de HTTP de modo que se descarte y registro toda sesión
HTTP que no se conforme con las especificaciones estándar del protocolo.
4. Cree una nueva service policy y aplíquela globalmente. Cree una nueva clase
de tráfico en esta política global, con los siguientes parámetros:
 Nombre:

WEB-SERVER-PROTECTION

 Tráfico que selecciona:

HTTP desde el Servidor (172.16.1.100)
hacia el Servidor en la DMZ (192.168.x.2)

 Acción:

Aplique el policy map MY-HTTP-POLICY

5. Aplique y guarde la configuración.
6. Acceda al Servidor de Extranet utilizando estas credenciales:
 Usuario:

Administrator

 Clave:

admin

7. Inicie una sesión de Putty y simule una violación del protocolo utilizando Telnet
para conectarse desde el Servidor de Extranet al Servidor en la DMZ
(192.168.x.2) utilizando el puerto 80.
8. Acceda al Servidor en la DMZ y observe los mensajes de logging que indican
el descarte de paquetes en el servidor Kiwi. Los mensajes relevantes son los
identificados como 415011 y 507003.
9. Acceda a la CLI del appliance. Verifique las estadísticas del service policy
utilizando el comando show service-policy global inspect http.
Verifique el contador de paquetes para ver los paquetes que han sido
inspeccionados y descartados por el proceso de inspección.
10. Reinicie a cero las estadísticas del service policy.
11. Regrese al Servidor de Extranet. Verifique la conectividad HTTP del Servidor
hacia el Servidor de la DMZ iniciando una sesión http://192.168.x.2/iisstart.htm
que es la página web por defecto del servidor.
La sesión debe ser exitosa.

111 / 128

Configuración de dispositivos ASA
versión 1.1

12. Verifique nuevamente la conectividad HTTP al Servidor en la DMZ iniciando
una sesión http://192.168.x.2/watever.htm
La página no será mostrada ya que no existe. Sin embargo, debe recibir el
mensaje de error del Servidor en la DMZ.
13. Regrese a la sesión de ASDM en la Terminal de Trabajo.
14. Cree una clase que incluya las siguientes regular expressions:
 Expresiones que coincidan con /iisstart.htm (^\/iisstart\.htm)
 Expresiones que coincidan con /welcome.png (^\/welcome\.png)
15. Edite el policy map de inspección MY-HTTP-POLICY para permitir solo las
expresiones antes definidas en las URI contenidas en solicitudes HTTP. El
intento de acceso a cualquier otra URI debe ser denegado y registrado.
16. Regrese al Servidor de Extranet. Verifique la conectividad HTTP desde el
servidor al Servidor en la DMZ a http://192.168.x.2/iisstart.htm que es la página
web por defecto.
El intento debe ser exitoso.
17. Verifique la conectividad HTTP desde el Servidor al Servidor en la DMZ a la
dirección http://192.168.x.2/whatever.htm
Esta vez no debe recibir ninguna respuesta del Servidor en la DMZ porque el
appliance debió bloquear esta sesión.
18. Observe el registro de mensajes en el Syslog (Kiwi) en el Servidor en la DMZ.
Los mensajes relevantes son los identificados como 415006 y 507003.
19. Regrese a la CLI del appliance. Verifique una vez más las estadísticas del
service policy. Observe el contador de paquetes para constatar los paquetes
que han sido inspeccionados y descartados por la inspección.
20. Reinicie a cero las estadísticas del service policy.
21. Regrese a la sesión de ASDM en la Terminal de Trabajo y quite la service
policy que aplica el policy map MY-HTTP-POLICY.

2.5.2. Configuración de inspección de HTTP para proteger el cliente
1. Regrese a la sesión ASDM que está corriendo en la Terminal de Trabajo.
2. Cree un nuevo policy map de inspección de HTTP llamado CLIENT-HTTPPOLICY.
3. Configure minimización del tipo de contenido HTTP que descarte y registre
todos los paquetes con contenido tipo image/png que estén especificados en el
encabezado de la respuesta HTTP en el campo content-type. Utilice regular
expressions para seleccionar el valor del campo mencionado.
4. Cree una nueva service policy y aplíquela globalmente. Cree una nueva clase
de tráfico en la política global con los siguientes parámetros:

112 / 128

Nombre:

CLIENT-PROTECTION

Tráfico que selecciona:

Tráfico HTTP desde la Terminal de
Trabajo

Configuración de dispositivos ASA
versión 1.1

(10.0.x.11) al Servidor de Extranet
(172.16.1.100).

Acción:

Aplique el policy map CLIENT-HTTPPOLICY

5. Aplique y guarde la configuración.
6. Abra el navegador de Internet en la Terminal de Trabajo y borre el historial de
navegación.
7. Verifique la conectividad HTTP desde la Terminal al Servidor iniciando una
sesión http://172.16.1.100/iisstart.htm
La página web debe mostrarse, pero no se debe visualizar la imagen embebida
en la misma.
8. Observe los mensajes de syslog en el Servidor Kiwi, donde debe ver el
descarte de paquetes. Los mensajes relevante tienen el identificador 415008 y
507003.
9. Regrese a la CLI del appliance y verifique las estadísticas del service policy.
Observe el contador de paquetes inspeccionados y descartados por la política.
10. Reinicie a cero las estadísticas del service policy.
11. Regrese a la sesión de ASDM en la Terminal de Trabajo y remueva el service
policy que está aplicando el policy map CLIENT-HTTP-POLICY.
12. Verifique la conectividad HTTP nuevamente, desde la Terminal de Trabajo al
Servidor iniciando nuevamente una sesión http://172.16.1.100/iisstart.htm
Ahora la imagen debe ser mostrada pues se removió la política.

113 / 128

Configuración de dispositivos ASA
versión 1.1

2.6. Configuración avanzada de políticas de control de acceso
2.6.0. Lista de comandos a utilizar
clear threat-detection shun
copy running-config startup-config
show dynamic-filter reports top
show dynamic-filter statistics
show logging
show logging messages
show running-config all
show service-policy
show threat-detection rate
show threat-detection scanning-threat
show threat-detection shun
threat-detection rate acl-drop rate-interval [int] average-rate
[rate] burst-rate [rate]
threat-detection rate scanning-threat rate-interval [int]
average-rate [rate] burst-rate [rate]

2.6.1. Ajuste de los mensajes de logging al syslog server
1. Acceda a la Terminal de Trabaja e inicia nuevamente su sesión de ASDM al
appliance.
2. Acceda al appliance utilizando las siguientes credenciales:
 Usuario:

estudiante

 Clave:

cisco

3. Cambie el nivel de los mensajes enviado al servidor de syslog que se
encuentra en la DMZ al nivel de “Alerts”.
4. Cambie al nivel de “Alerts” los siguientes mensajes de logging:
 338002
 338006
 733100
 733101
 733102
5. Acceda a la CLI del appliance.
6. Verifique la configuración general y de los mensajes de logging utilizando los
comandos show logging y show logging message.

114 / 128

Configuración de dispositivos ASA
versión 1.1

2.6.2. Ajuste de la detección de amenazas básica
1. Acceda a la CLI del appliance e ingrese el modo EXEC privilegiado.
2. Verifique la configuración por defecto de la detección de amenazas y responda
las siguientes preguntas:
¿La detección básica de amenazas está
habilitada por defecto?
¿Para cuántos intervalos hay umbrales
configurados para eventos de ACLs?
¿Cuál es la tasa promedio y la ráfaga para cada intervalo de eventos de ACLs?
Rate interval

Average rate

Burst Size

Rate interval

Average rate

Burst Size

3. Ingrese al modo de configuración global y remueva los umbrales por defecto
configurados para el descarte de paquetes por ACLs utilizando el comando
no threat-detection rate acl-drop ...
4. Configure nuevos umbrales para el descarte de paquetes por ACLs, utilizando
los siguientes parámetros:
 Rate interval: 600 segundos
 Average rate: 1
 Burst rate:

1

5. Guarde la configuración.
6. Acceda al Servidor de Extranet y abra una ventana de comandos DOS. Inicie la
aplicación Nmap con el comando nmap –sU –n 192.168.x.2
Este comando inicia un barrido de UDP en el servidor de la DMZ.
7. Acceda al Servidor en la DMZ y verifique los mensajes de logging en el
servidor Kiwi. Debería ver mensajes indicando que se excedieron los umbrales
que se configuraron antes para el descarte de paquetes por parte de la ACL.
Los mensajes de interés en este caso llevan el ID 7333100.
8. Acceda a la CLI del appliance y verifique que se han detectado eventos de
seguridad. Usted debiera ver el número de eventos de descarte de paquetes
por la ACL que provocó los mensajes de logging.

2.6.3. Habilitación de la detección de amenazas de exploración con
shunning
1. Regrese a la sesión de ASDM en la Terminal de Trabajo.
2. Habilite la detección de amenazas de exploración con shunning.
3. Acceda a la CLI del appliance

115 / 128

Configuración de dispositivos ASA
versión 1.1

4. Verifique la configuración por defecto de este feature y responda las siguientes
preguntas:
¿Para cuántos intervalos hay umbrales
configurados para eventos de exploración?
¿Cuál es la tasa promedio y la ráfaga para cada intervalo de eventos de exploración?
Rate interval

Average rate

Burst Size

Rate interval

Average rate

Burst Size

5. Ingrese al modo de configuración global y borre los umbrales por defecto para
los eventos de exploración.
6. Configure nuevos umbrales para los eventos de exploración. Utilice los
siguientes parámetros:
 Rate interval: 600 segundos
 Average rate: 1
 Burst rate:

0

7. Guarde la configuración.
8. Acceda al Servidor de Extranet y abra cuatro ventanas de comandos DOS.
9. Inicie la aplicación Nmap en cada una de las ventanas abiertas con el comando
nmap –sP 192.168.x.1-254
10. Repita rápidamente el comando al menos 3 veces en cada una de las ventanas
de comandos DOS.
11. Ingrese al Servidor en la DMZ y verifique los mensajes de syslog en Kiwi. Debe
ver mensajes indicando que la tasa de eventos de exploración exceden los
umbrales configurados y que se ha detectado al atacante y se ha bloqueado la
conexión. Los mensajes de syslog relevantes son los identificados como
733100, 733101 y 733102.
12. Acceda a la CLI del appliance y verifique las tasas de detección de eventos de
seguridad utilizando el comando show threat-detection rate. Usted
debe ver un cierto número de eventos de descarte de paquetes por exploración
que dispararon los mensajes de syslog.
13. Verifique los atacantes que han sido detectados por el sistema de detección de
exploraciones utilizando el comando show threat-detection scanningthreat.
14. Verifique las terminales que han sido bloqueadas por el sistema de detección
de exploraciones utilizando el comando show threat-detection shun.
15. Vuelva a cero la lista de terminales bloqueadas.
16. Deshabilite la función de detección de amenazas de exploración con shunning.

116 / 128

Configuración de dispositivos ASA
versión 1.1

2.6.4. Habilitación de TCP Intercept
1. Acceda a la sesión ASDM corriendo en la Terminal de Trabajo.
2. Habilite TCP Intercept para proteger el servidor de la DMZ editando la service
policy que está aplicada en la interfaz outside. En la service policy configure el
número máximo de conexiones embriónicas hacia el Servidor en la DMZ y el
máximo de conexiones embriónicas por cliente hacia el Servidor en la DMZ de
acuerdo a los siguientes criterios:
 Máximo de conexiones embriónicas: 100.
 Máximo de conexiones embriónicas por cliente: 10
3. Habilite la detección avanzada de amenazas para monitorear la tasa de TCP
Intercepts. Utilice los parámetros por defecto.
4. Revise la service policy que acaba de editar utilizando el comando show
service-policy

117 / 128

Configuración de dispositivos ASA
versión 1.1

2.7. Implementación de failover activo/standby
2.7.0 Elementos preliminares
Topología
Para realizar este laboratorio es preciso modificar la topología utilizada hasta este
momento, conectando entre si los appliances de 2 PODs. El esquema de cableado a
utilizar es el siguiente.

POD X

PRIMARIO
Gi0/1
10.0.x.1

Gi0/2
192.168.x.1

Terminal
10.0.x.11

Gi0/0
172.16.1.1

Gi0/3
1.1.1.1

Servidor
DMZ
192.168.x.2

Servidor de
Autenticación
172.16.1.100

Gi0/2
192.168.x.3
Gi0/1
10.0.x.3

Gi0/3
1.1.1.3

Gi0/0
172.16.1.3

SECUNDARIO

Lista de comandos a utilizar
clear configure failover
copy running-config startup-config
failover active
http [ip] [mascara] [interfaz]
http server enable
ip address [ip] [mascara]
name [nombre]
prompt [hostname] [prioridad] [estado]
reload
show failover

118 / 128

Configuración de dispositivos ASA
versión 1.1

2.7.1. Preparación del appliance secundario
1. Acceda a la CLI del appliance secundario y pase a modo EXEC privilegiado.
2. Habilite la interfaz GigabitEthernet0/1 que lo conecta con la Terminal de
Trabajo.
3. Configure la interfaz GigabitEthernet0/1 con los siguientes parámetros:
 Nombre:

inside

 Nivel de Seguridad:

100

 Dirección IP:

10.0.x.3/24

4. Permita el acceso utilizando ASDM al appliance desde la Terminal de Trabajo
cuya dirección IP es 10.0.x.11
5. Acceda a la Terminal de Trabajo. Verifique la conectividad de ASDM desde la
Terminal al appliance secundario utilizando el navegador de Internet:
https://10.0.x.3
6. Regrese a la CLI del appliance secundario y verifique la conectividad con el
appliance primario realizando un ping a la interfaz inside del dispositivo
primario (10.0.x.1).

2.7.2. Configuración del appliance primario
1. Acceda por CLI a ambos appliances (primario y secundario) y mantenga
ambas sesiones de línea de comandos abierta.
2. Regrese a la Terminal de Trabajo e inicie una sesión ASDM al appliance
primario (https://10.0.x.1). Utilice las siguientes credenciales de acceso:
 Usuario:

estudiante

 Clave:

cisco

3. Habilite failover en el dispositivo primario utilizando como shared key cisco1234
para la autenticación y encriptación de los mensajes que intercambiarán los
dispositivos.
4. Habilite solamente failover de hardware utilizando los siguientes parámetros
para la interfaz LAN failover:
 Interfaz:

GigabitEthernet0/3

 IP activa:

1.1.1.1

 IP standby:

1.1.1.3

 Máscara de Subred: 255.255.255.0
 Logical Name:

FAILOVER

5. Asigne el rol primario al dispositivo.
6. Aplique y guarde la configuración.
7. Cuando se le pregunte si desea configurar el dispositivo que es contraparte
ingrese la dirección IP de la interfaz inside del appliance secundario (10.0.0.3)
y luego seleccione “Yes”.
Cuando se le requiera usuario y clave para el appliance secundario, deje los
campos en blanco.
119 / 128

Configuración de dispositivos ASA
versión 1.1

8. Observe la CLI de ambos appliances.
Debe ver que ambos dispositivos se detectan entre si y que la configuración se
replica del appliance primario al secundario.
9. Acceda a la CLI del appliance primario y configure el nuevo prompt para que
muestra nombre, estado y prioridad.
10. Guarde la configuración.
11. Examine el estado de failover en el appliance primario y responda las
siguientes preguntas:
¿Está operacional la configuración de
failover de hardware?
Si la respuesta es no. ¿Qué es lo que está
faltando en la configuración?

2.7.3. Configure direcciones IP standby y pruebe el sistema
1. Regrese a la sesión ASDM del appliance primario que está corriendo en la
Terminal de Trabajo.
2. Configure las direcciones IP standby para las siguientes interfaces:
 inside:

10.0.x.3

 outside:

172.16.1.3

 dmz:

192.168.x.3

3. Aplique y guarde la configuración.
4. Acceda a la interfaz CLI del appliance activo (el primario).
5. Examine el estado de failover. Debiera ver que el appliance primario está
activo y el secundario standby. Todas las interfaces debieran estar con estado
Normal, y el failover de hardware operacional.
6. En la Terminal de Trabajo abra una ventana de comandos DOS e inicie un ping
continuo al Servidor de Extranet que debiera ser exitoso.
ping 172.16.1.100 -t
Deje la ventana abierta.
7. Abra una nueva ventana de comandos DOS e inicie una sesión FTP al
Servidor de Extranet utilizando nombre de usuario anonymous y clave cisco.
Verifique la lista de archivos utilizando el comando ls
El intento debe ser exitoso.
Deje la ventana abierta.
8. Asegúrese de guardar la configuración del appliance primario.
9. Acceda a la interfaz CLI del appliance standby y deje la ventana abierta.
10. Acceda a la interfaz CLI del appliance activo y ejecute el comando
reload
120 / 128

Configuración de dispositivos ASA
versión 1.1

11. Acceda nuevamente a la ventana que contiene la CLI del appliance standby.
Cuando expire el tiempo de espera, el dispositivo mostrará el mensaje
Switching to Active
y a continuación cambiará el prompt.
¿Cuánto tiempo requirió al appliance
secundario realizar el cambio?
12. Regrese a la terminal de Trabajo y observe el ping continuo que dejó corriendo
antes.
Debe verse que cuando se reinició el appliance primario el ping se interrumpió,
para reiniciarse en el momento en que el appliance secundario pasó a estar
activo.
13. Regrese a la sesión FTP que abrió previamente e intente nuevamente el
comando ls
¿Se puede ver la lista de archivos?
¿Por qué?
14. Acceda a la CLI del appliance secundario (ahora el activo) y verifica el status
de failover ejecutando el comando show failover
Debe mostrarle que el appliance secundario es ahora el activo y que el
primario es el standby. Todas las interfaces deben mostrarse con estado
Normal.
15. Regrese a la CLI del appliance primario y fuerce que el appliance primario
vuelva a ser el dispositivo activo utilizando el comando failover active
16. Verifique que todo haya regresado al estado inicial.
17. Cierre las sesiones de comandos DOS que tiene abiertas en la Terminal de
Trabajo.

2.7.4. Ajuste de la configuración de failover
1. Regrese a la sesión ASDM que tiene corriendo en la Terminal de Trabajo.
2. Cambie los criterios de operación del sistema de failover para que operen en
nivel de milisegundos utilizando los siguientes valores:
 Unit failover:

300 mseg.

 Unit Holdtime: 900 mseg.
3. Aplique y guarde los cambios.
4. En la Terminal de Trabajo abra una ventana de comandos DOS e inicie un ping
continuo al Servidor de Extranet que debiera ser exitoso.
ping 172.16.1.100 -t
Deje la ventana abierta.
121 / 128

Configuración de dispositivos ASA
versión 1.1

5. Ingrese a la CLI del appliance primario y verifique el estado de failover. Debe
ver que esta unidad es la activa y que han cambiado los temporizadores.
6. Asegúrese de guardar la configuración del appliance.
7. Acceda a la interfaz CLI del appliance standby y deje la ventana abierta.
8. Acceda a la interfaz CLI del appliance activo y ejecute el comando
reload
9. Acceda nuevamente a la ventana que contiene la CLI del appliance standby.
Cuando expire el tiempo de espera, el dispositivo mostrará el mensaje
Switching to Active
y a continuación cambiará el prompt.
¿Cuánto tiempo requirió al appliance
secundario realizar el cambio?
10. Regrese a la terminal de Trabajo y observe el ping continuo que dejó corriendo
antes.
Debe verse que cuando se reinició el appliance primario el ping se interrumpió,
para reiniciarse en el momento en que el appliance secundario pasó a estar
activo. Sin embargo, esta vez se deben haber perdido como máximo un único
paquete de ping.
11. Cierre la sesión de comandos DOS que tiene abierta en la Terminal de Trabajo

2.7.5. Habilitación de failover activo/standby stateful
1. Regrese a la sesión ASDM que tiene corriendo en la Terminal de Trabajo.
2. Habilite stateful failover. Utilice la interfaz LAN failover como interfaz de link
stateful.
3. Aplique y guarde la configuración.
4. Acceda a la CLI del appliance activo y verifique el estado de failover.
Debe ver las estadísticas de failover actualizadas que indican el intercambio de
información de estado entre ambos appliances.
5. En la terminal de trabajo abra una nueva ventana de comandos DOS e inicie
una sesión FTP al Servidor de Extranet utilizando nombre de usuario
anonymous y clave cisco.
Verifique la lista de archivos utilizando el comando ls
El intento debe ser exitoso.
Deje la ventana abierta.
6. Asegúrese de guardar la configuración del appliance primario.
7. Acceda a la interfaz CLI del appliance standby y deje la ventana abierta.
8. Acceda a la interfaz CLI del appliance activo y ejecute el comando
reload
122 / 128

Configuración de dispositivos ASA
versión 1.1

9. Acceda nuevamente a la ventana que contiene la CLI del appliance standby.
Cuando expire el tiempo de espera, el dispositivo mostrará el mensaje
Switching to Active
y a continuación cambiará el prompt.
10. Regrese a la terminal de Trabajo y observe la sesión FTP que abrió
previamente e intente nuevamente el comando ls
¿Se puede ver la lista de archivos?
¿Por qué?
11. Cierre la sesión de comandos DOS que tiene abierta en la Terminal de Trabajo

123 / 128

Configuración de dispositivos ASA
versión 1.1

124 / 128

Configuración de dispositivos ASA
versión 1.1

Índice
Introducción
5
Pre-requisitos ................................................................................................................................................. 5
1. Implementación de dispositivos ASA

7

1.0. Tecnologías de firewalling
7
1.0.1. Tipos de firewall ................................................................................................................................... 8
1.0.2. Sintetizando ....................................................................................................................................... 10
1.0.3. Cisco Adaptative Security Appliance (ASA) ........................................................................................ 10
1.1. Configuración de conectividad básica
12
1.1.1 Overview del proceso de booteo ........................................................................................................ 12
1.1.2. Booteo manual desde el modo monitor de ROM .............................................................................. 12
1.1.3. La interfaz CLI del Cisco ASA .............................................................................................................. 13
1.1.4. Sistema de archivos del ASA .............................................................................................................. 13
1.1.5.Administración del ASA utilizando ASDM ........................................................................................... 14
1.1.6. Notas sobre la configuración de interfaces y rutas estáticas ............................................................ 19
1.1.7. Notas para la configuración del servicio DHCP .................................................................................. 21
1.1.8. Packet Tracer ..................................................................................................................................... 22
1.2. Configuración de funciones de administración
23
1.2.1. Configuración básica del appliance .................................................................................................... 23
1.2.2. Configuración de fecha y hora ........................................................................................................... 24
1.2.3. Administración del registro de eventos y sesiones ............................................................................ 25
1.2.4. Configuración del registro de eventos y sesiones .............................................................................. 26
1.2.5. Sistema de archivos del appliance ..................................................................................................... 30
1.2.6. Configuración del acceso para administración .................................................................................. 31
1.2.7. AAA en el acceso de management..................................................................................................... 35
1.2.8. Recuperación de claves en Cisco ASA ................................................................................................ 39
1.3. Configuración básica de políticas de control de acceso
41
1.3.0. Introducción ....................................................................................................................................... 41
1.3.1. Configuración y verificación de reglas de acceso por interfaces ....................................................... 42
1.3.2. Configuración y verificación de grupos de objetos ............................................................................ 47
1.3.3. Unicast Reverse Path Forwarding ..................................................................................................... 50
1.3.4. ASDM Packet Tracer........................................................................................................................... 51
1.4. Features básicos de inspección stateful
53
1.4.1. Ajuste de la inspección de capa 3 y 4................................................................................................. 53
1.4.2. Ajuste de las funciones de normalización de TCP .............................................................................. 57
1.4.3. Soporte para aplicaciones con protocolos dinámicos ....................................................................... 59
1.5. Configuración de políticas de capa de aplicación
62
1.5.1. Inspección de HTTP ............................................................................................................................ 63
125 / 128

Configuración de dispositivos ASA
versión 1.1

1.6. Configuración avanzada de políticas de control de acceso
70
1.6.1. Configuración de TCP Intercept ......................................................................................................... 70
1.6.2. Configuración del filtro de tráfico de botnet ..................................................................................... 72
1.6.3. Detección básica de amenazas. ......................................................................................................... 74
1.6.4. Detección avanzada de amenazas. .................................................................................................... 76
1.6.5. Detección de amenazas de exploración............................................................................................. 78
1.7. Implementación de un sistema de alta disponibilidad activo/standby
79
1.7.1. Opciones de implementación de failover .......................................................................................... 80
1.7.2. Monitoreo del estado de ambas unidades ........................................................................................ 81
1.7.3. Anotaciones para la implementación ................................................................................................ 83
1.7.4. Configuración de failover activo/standby .......................................................................................... 84
2. Guía de Laboratorio

91

2.0. El laboratorio
91
2.0.1. Topología del laboratorio................................................................................................................... 91
2.0.2. Listado de equipos ............................................................................................................................. 91
2.0.3. Cableado del laboratorio ................................................................................................................... 92
2.0.4. Esquema de direccionamiento IP ...................................................................................................... 92
2.0.5. Información de acceso ....................................................................................................................... 93
2.1. Configuración de la conectividad básica
94
2.1.0. Lista de comandos a utilizar ............................................................................................................... 94
2.1.1. Inicialización del appliance de seguridad ........................................................................................... 94
2.1.2. Preparación del ASA para Cisco ASDM .............................................................................................. 95
2.1.3. Inicio de Cisco ASDM.......................................................................................................................... 95
2.1.4. Configuración de las interfaces de red .............................................................................................. 96
2.1.5. Configuración del servicio DHCP en el appliance ............................................................................... 97
2.2. Configuración de funciones de administración
99
2.2.0. Lista de comandos a utilizar ............................................................................................................... 99
2.2.1. Actualización del appliance y de ASDM ............................................................................................ 99
2.2.2. Configuración del registro de incidentes del ASA ............................................................................ 100
2.2.3. Configuración de SNMPv2c en el appliance .................................................................................... 100
2.2.4. Habilite del acceso por SSH en el appliance .................................................................................... 101
2.2.5. Configuración de autenticación y accounting .................................................................................. 102
2.3. Configuración básica de políticas de control de acceso
104
2.3.0. Lista de comandos a utilizar ............................................................................................................. 104
2.3.1. Diagnóstico básico de conectividad ................................................................................................. 104
2.3.2. Configuración de grupos de objetos ................................................................................................ 104
2.3.3. Configuración de reglas de acceso ................................................................................................... 105
2.3.4. Configuración de uRPF ..................................................................................................................... 106
2.4. Ajuste básico de la inspección stateful
107
2.4.0. Lista de comandos a utilizar ............................................................................................................. 107
2.4.1. Configuración de inspección de ICMP y FTP .................................................................................... 107
126 / 128

Configuración de dispositivos ASA
versión 1.1

2.4.2. Habilitación del decremento de TTL y deshabilitación de la aleatorización de la secuencia inicial de TCP
................................................................................................................................................................... 109
2.4.3. Ajuste de los temporizadores de TCP, habilitación de DCD y configuración de la normalización de TCP
................................................................................................................................................................... 109
2.5. Configuración de políticas de capa de aplicación
111
2.5.0. Lista de comandos a utilizar ............................................................................................................. 111
2.5.1. Configuración de inspección de HTTP para proteger el Servidor en la DMZ ................................... 111
2.5.2. Configuración de inspección de HTTP para proteger el cliente ....................................................... 112
2.6. Configuración avanzada de políticas de control de acceso
114
2.6.0. Lista de comandos a utilizar ............................................................................................................. 114
2.6.1. Ajuste de los mensajes de logging al syslog server .......................................................................... 114
2.6.2. Ajuste de la detección de amenazas básica ..................................................................................... 115
2.6.3. Habilitación de la detección de amenazas de exploración con shunning ........................................ 115
2.6.4. Habilitación de TCP Intercept .......................................................................................................... 117
2.7. Implementación de failover activo/standby
118
2.7.0 Elementos preliminares .................................................................................................................... 118
2.7.1. Preparación del appliance secundario ............................................................................................. 119
2.7.2. Configuración del appliance primario .............................................................................................. 119
2.7.3. Configure direcciones IP standby y pruebe el sistema .................................................................... 120
2.7.4. Ajuste de la configuración de failover.............................................................................................. 121
2.7.5. Habilitación de failover activo/standby stateful .............................................................................. 122
Índice

125

127 / 128

Configuración de dispositivos ASA
versión 1.1

128 / 128

Sign up to vote on this title
UsefulNot useful