Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Capítulo 10 Práctica de laboratorio B: Configuración de los parámetros básicos de ASA y el firewall mediante
ASDM
Topología
Nota: Los dispositivos ISR G2 tienen interfaces Gigabit Ethernet en lugar de interfaces Fast Ethernet.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 42
Seguridad CCNA
Tabla de direccionamiento IP
Defecto
Dispositivo Interfaz Dirección IP Máscara de subred Puerta Puerto del interruptor
NIC IMPRESO
TARJETA DE CIRCUITO 192.168.1.3 255.255.255.0 192.168.1.1 S2 FA0 / 18
Objetivos
Parte 1: Configuración del laboratorio
• Configure el enrutamiento estático, incluidas las rutas predeterminadas, entre R1, R2 y R3.
Parte 3: Configurar los parámetros de ASA y el firewall mediante el asistente de inicio de ASDM
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 42
Seguridad CCNA
• Configure una ACL en el ASA para permitir el acceso a la DMZ para los usuarios de Internet.
Antecedentes / Escenario
Cisco Adaptive Security Appliance (ASA) es un dispositivo de seguridad de red avanzado que integra un firewall completo, así como VPN y otras
capacidades. Este laboratorio emplea un ASA 5505 para crear un firewall y proteger una red corporativa interna de intrusos externos al tiempo que
permite que los hosts internos accedan a Internet. El ASA crea tres interfaces de seguridad: exterior, interior y DMZ. Proporciona a los usuarios externos
acceso limitado a la DMZ y ningún acceso a los recursos internos. Los usuarios internos pueden acceder a la DMZ y a los recursos externos.
El enfoque de este laboratorio está en la configuración del ASA como firewall básico. Otros dispositivos recibirán una configuración mínima para admitir la parte ASA del
laboratorio. En esta práctica de laboratorio, se utiliza la interfaz ASA GUI ASDM, que es similar a SDM y CCP que se utilizan con los ISR de Cisco, para configurar el
dispositivo básico y las configuraciones de seguridad.
En la parte 1 de la práctica de laboratorio, configurará la topología y los dispositivos que no son ASA. En la Parte 2, preparará el ASA para el acceso ADSM.
En la parte 3 utilizará el ASDM Asistente de inicio para configurar las configuraciones básicas de ASA y el cortafuegos entre las redes internas y externas. En
la Parte 4, configurará ajustes adicionales a través del menú de configuración de ASDM. En la parte 5, configurará una DMZ en el ASA y proporcionará acceso
a un servidor en la DMZ.
Su empresa tiene una ubicación conectada a un ISP. El enrutador R1 representa un dispositivo CPE administrado por el ISP. El enrutador R2
representa un enrutador de Internet intermedio. El enrutador R3 conecta a un administrador de una empresa de administración de red, que ha sido
contratado para administrar su red de forma remota. El ASA es un dispositivo de seguridad CPE de borde que conecta la red corporativa interna y
DMZ al ISP mientras proporciona servicios NAT y DHCP a los hosts internos. El ASA será configurado para su administración por un administrador
en la red interna, así como por el administrador remoto. Las interfaces de VLAN de capa 3 brindan acceso a las tres áreas creadas en el laboratorio:
interior, exterior y DMZ. El ISP ha asignado el espacio de direcciones IP públicas de
Nota: Los routers que se utilizan en esta práctica de laboratorio son Cisco 1841 con Cisco IOS versión 12.4 (20) T (imagen de IP avanzada). Los switches son Cisco
WS-C2960-24TT-L con Cisco IOS versión 12.2 (46) SE (imagen C2960-LANBASEK9-M). Se pueden utilizar otros enrutadores, conmutadores y versiones de Cisco
IOS. Sin embargo, los resultados y la producción pueden variar.
El uso de ASA en esta práctica de laboratorio es un modelo 5505 de Cisco con un conmutador integrado de 8 puertos, que ejecuta la versión 8.4 (2) del sistema operativo y la
versión 6.4 (5) de ASDM y viene con una licencia básica que permite un máximo de tres VLAN.
Nota: Asegúrese de que los enrutadores y conmutadores se hayan borrado y no tengan configuraciones de inicio.
Recursos necesarios
• 3 enrutadores (Cisco 1841 con Cisco IOS versión 12.4 (20) T1 o comparable) 3 conmutadores (Cisco
• 2960 o comparable)
• 1 ASA 5505 (versión de SO 8.4 (2) y ASDM versión 6.4 (5) y licencia base o comparable)
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de 42
Seguridad CCNA
• PC-A: Windows XP, Vista o Windows 7 con CCP, cliente PuTTy SSH (servidor web y FTP opcional)
• PC-B: Windows XP, Vista o Windows 7 con cliente PuTTy SSH y Java versión 6.xo superior (ASDM cargado en la PC es opcional)
• PC-C: Windows XP, Vista o Windows 7 con CCP, cliente PuTTy SSH Serial y cables Ethernet
En la Parte 1 de esta práctica de laboratorio, configurará la topología de la red y configurará los parámetros básicos en los enrutadores, como las direcciones IP de la interfaz y el
enrutamiento estático.
Conecte los dispositivos que se muestran en el diagrama de topología y conecte los cables según sea necesario. Asegúrese de que los enrutadores y
conmutadores se hayan borrado y no tengan configuraciones de inicio.
segundo. Configure las direcciones IP de la interfaz del enrutador como se muestra en la Tabla de direcciones IP.
C. Configure una frecuencia de reloj para los enrutadores con un cable serie DCE conectado a la interfaz serie. El router R1 se muestra aquí como
ejemplo.
re. Configure el nombre de host para los conmutadores. Con la excepción del nombre de host, los conmutadores se pueden dejar en su estado de configuración
predeterminado. La configuración de la dirección IP de administración de VLAN para los conmutadores es opcional.
segundo. Configure una ruta estática desde R2 a la subred R1 Fa0 / 0 (conectada a la interfaz ASA E0 / 0) y una ruta estática desde R2 a la
LAN de R3.
a. Habilite el acceso HTTP a R1 usando el servidor http ip comando en modo de configuración global. Configurar
una contraseña de habilitación de clase. También configure las contraseñas de VTY y de la consola en cisco. Esto proporcionará destinos web y Telnet para realizar pruebas
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 4 de 42
Seguridad CCNA
Configure una dirección IP estática, una máscara de subred y una puerta de enlace predeterminada para PC-A, PC-B y PC-C como se muestra en la Tabla de direcciones IP.
Debido a que el ASA es el punto focal de las zonas de red y aún no se ha configurado, no habrá conectividad entre los dispositivos que estén
conectados a él. Sin embargo, la PC-C debería poder hacer ping a la interfaz R1 Fa0 / 0. Desde PC-C, silbido la dirección IP R1 Fa0 / 0
(209.165.200.225). Si estos pings no funcionan, solucione los problemas de las configuraciones básicas del dispositivo antes de continuar.
Nota: Si puede hacer ping desde la PC-C a R1 Fa0 / 0 y S0 / 0/0, ha demostrado que el enrutamiento estático está configurado y funcionando
correctamente.
a. Acceder al ASA a través del puerto de la consola es lo mismo que con un enrutador o conmutador Cisco. Conéctese al puerto de la consola ASA con un
cable de rollover.
Utilice
segundo. un programa de emulación de terminal como TeraTerm o HyperTerminal para acceder a la CLI. Utilice la configuración del puerto serie de
9600 baudios, ocho bits de datos, sin paridad, un bit de parada y sin control de flujo.
C. Si se le solicita que ingrese a la configuración del firewall interactivo (modo de configuración), responda No.
re. Ingrese al modo privilegiado con el habilitar comando y contraseña (si está configurada). De forma predeterminada, la contraseña está en blanco, por lo que
puede presionar Enter. Si la contraseña se cambió a la especificada en esta práctica de laboratorio, ingrese la contraseña clase. El nombre de host ASA y el
indicador predeterminados son ciscoasa>.
ciscoasa> habilitar
Contraseña: clase ( o presione Entrar si no se establece ninguna contraseña)
El ASA 5505 viene con un conmutador Ethernet de 8 puertos integrado. Los puertos E0 / 0 a E0 / 5 son puertos Fast Ethernet normales y
los puertos E0 / 6 y E0 / 7 son puertos PoE para usar con dispositivos PoE como teléfonos IP o cámaras de red.
Utilizar el mostrar versión comando para determinar varios aspectos de este dispositivo ASA.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 5 de 42
Seguridad CCNA
Cisco Adaptive Security Appliance Software Versión 8.4 (2) Device Manager Versión 6.4 (5)
<salida omitida>
¿Cuál es el nombre del archivo de imagen del sistema y desde dónde se cargó?
________________________________________________________________________________
El ASA se puede administrar usando una GUI incorporada conocida como Adaptive Security Device Manager (ASDM). ¿Qué versión de
ASDM está ejecutando este ASA? _____________________________________
¿Cuánta RAM tiene este ASA? _________________________________________________ ¿Cuánta memoria flash tiene este ASA?
¿Qué tipo de licencia tiene este ASA? ______________________________________________ ¿Cuántas VLAN se pueden crear con esta
licencia? ______________________________________
a. Visualice el sistema de archivos ASA utilizando el mostrar sistema de archivos comando para determinar qué prefijos son
soportado.
Sistemas de archivos:
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 6 de 42
Seguridad CCNA
segundo. Visualice el contenido de la memoria flash usando uno de estos comandos: mostrar flash, mostrar disk0,
dir flash: o dir disk0:
El ASA puede configurarse con la configuración predeterminada de fábrica o puede tener una configuración restante de un laboratorio anterior. La
configuración de fábrica predeterminada para el ASA 5505 incluye lo siguiente:
• Se configura una interfaz VLAN 1 interna y, de forma predeterminada, se le asignan puertos de conmutador Ethernet 0/1 a 0/7. La
dirección IP y la máscara de la VLAN 1 son 192.168.1.1 y 255.255.255.0.
• Se configura una interfaz VLAN 2 externa que incluye el puerto del conmutador Ethernet 0/0. De forma predeterminada, la VLAN 2 deriva su dirección IP del
dispositivo ascendente (generalmente el ISP) mediante DHCP.
• Todas las direcciones IP internas se traducen al acceder a la interfaz externa mediante PAT en la interfaz VLAN 2.
• De forma predeterminada, una lista de acceso permite que los usuarios internos accedan al exterior, y los usuarios externos no pueden acceder al interior.
• El servidor DHCP está habilitado en el dispositivo de seguridad. Por lo tanto, una PC que se conecta a cualquier interfaz VLAN 1 recibe
una dirección entre 192.168.1.5 y 192.168.1.36 (licencia básica).
• El servidor HTTP está habilitado para ASDM y es accesible para los usuarios en la red 192.168.1.0/24. No se requieren contraseñas de
Nota: En esta práctica de laboratorio, utilizará ASDM para configurar ajustes similares a los enumerados anteriormente, así como algunos adicionales.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 7 de 42
Seguridad CCNA
nombres
!
interfaz Ethernet0 / 0
switchport acceso vlan 2
!
interfaz Ethernet0 / 1
!
interfaz Ethernet0 / 2
<salida omitida>
Si ve las VLAN 1 y 2 configuradas y otras configuraciones como se describió anteriormente, lo más probable es que el dispositivo esté configurado
con la configuración predeterminada de fábrica. También puede ver otras características de seguridad, como una política global que inspecciona el
tráfico de aplicaciones seleccionadas, que el ASA inserta de manera predeterminada, si se borró la configuración de inicio original. La salida real
variará según el modelo de ASA, la versión y el estado de configuración.
a. Utilizar el escribir borrar comando para eliminar el configuración de inicio archivo de la memoria flash.
ciscoasa #
ciscoasa # recargar
¿Continuar con la recarga? [confirmar] <enter> ciscoasa #
***
* * * - - - INICIAR APAGADO GRACÍFICO --Apagar isakmp
Cuando el ASA completa el proceso de recarga, debe detectar que el configuración de inicio Falta el archivo y presenta una serie de
mensajes interactivos para configurar los ajustes básicos de ASA. Si no aparece en este modo, repita el paso 5.
a. Cuando se le solicite que preconfigure el firewall a través de mensajes interactivos (modo de configuración), responda con " No "
segundo. Ingrese al modo EXEC privilegiado con el habilitar mando. La contraseña debe estar en blanco (no
contraseña) en este punto.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 8 de 42
Seguridad CCNA
C. Ingrese al modo de configuración global usando el comando config t. La primera vez que ingrese al modo de configuración después de
recargar, se le preguntará si desea habilitar los informes anónimos. Responder con " No ”.
re. Configure la interfaz interior VLAN 1 para prepararse para el acceso ASDM. El nivel de seguridad debe establecerse automáticamente
en el nivel más alto de 100. La PC-B utilizará la interfaz lógica VLAN 1 para acceder al ASDM en la interfaz física ASA E0 / 1.
La PC-B está conectada al switch S2 que está conectado al puerto ASA E0 / 1. ¿Por qué no es necesario agregar la interfaz física E0 / 1 a
esta VLAN? __________________________________________________
mi. Por defecto, todas las interfaces físicas ASA son administrativamente abajo, a menos que la utilidad de configuración haya sido
ejecutar o se han restablecido los valores predeterminados de fábrica. Debido a que no se ha habilitado ninguna interfaz física en la VLAN 1, el estado de la
VLAN 1 es inactivo / inactivo. Utilizar el muestre el resumen del IP de la interfaz comando para verificar esto.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 9 de 42
Seguridad CCNA
gramo. También preconfigure la interfaz externa VLAN 2, agregue la interfaz física E0 / 0 a la VLAN 2 y active la interfaz E0 / 0. Asignará la
dirección IP mediante ASDM.
h. Pruebe la conectividad al ASA haciendo ping de la PC-B a la dirección IP 192.168.1.1 de la VLAN 1 de la interfaz ASA. Los pings deberían tener
éxito.
a. Configure el ASA para aceptar conexiones HTTPS usando el http comando para permitir el acceso a ASDM
desde cualquier host de la red interna 192.168.1.0/24.
segundo. Abra un navegador en la PC-B y pruebe el acceso HTTPS al ASA ingresando https://192.168.1.1 .
a. Después de ingresar la URL anterior, debería ver una advertencia de seguridad sobre el certificado de seguridad del sitio web. Hacer clic Continúe en este
sitio web. Aparecerá la página de bienvenida de ASDM. Desde esta pantalla, puede ejecutar ASDM como una aplicación local en la PC (instala ASDM
en la PC), ejecutar ASDM como un subprograma Java basado en navegador directamente desde ASA o ejecutar el Asistente de inicio.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 10 de 42
Seguridad CCNA
C. Hacer clic si para cualquier otra advertencia de seguridad. Deberías ver el Lanzador Cisco ASDM-IDM diálogo
cuadro donde puede ingresar un nombre de usuario y contraseña. Deje estos campos en blanco, ya que aún no se han configurado.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 11 de 42
Seguridad CCNA
re. Hacer clic Okay continuar. ASDM cargará la configuración actual en la GUI.
mi. Se muestra la pantalla GUI inicial con varias áreas y opciones. El menú principal en la parte superior izquierda de la pantalla contiene tres
secciones principales; Inicio, Configuración y Monitoreo. La sección Inicio es la predeterminada y tiene dos paneles: Dispositivo y
Cortafuegos. El tablero del dispositivo es la pantalla predeterminada y muestra información del dispositivo como el tipo (ASA 5505), la versión
de ASA y ASDM, la cantidad de memoria y el modo de firewall (enrutado). Hay cinco áreas en el Panel de dispositivos.
• Estado de la interfaz
• Sesiones VPN
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 12 de 42
Seguridad CCNA
F. Haga clic en el Configuración y Vigilancia pestañas para familiarizarse con su diseño y ver qué
Hay opciones disponibles.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 13 de 42
Seguridad CCNA
Parte 3: Configurar los parámetros básicos de ASA y el cortafuegos mediante el asistente de inicio de ASDM.
a. Haga clic en el Configuración en la parte superior izquierda de la pantalla. Hay cinco áreas principales de configuración:
• Configuración de dispositivo
• Cortafuegos
• Gestión de dispositivos
El asistente de inicio de configuración del dispositivo es la primera opción disponible y se muestra de forma predeterminada. Lea el texto en pantalla que
segundo.
describe el asistente de inicio y luego haga clic en el Iniciar el asistente de inicio botón.
a. En la primera pantalla del Asistente de inicio, tiene la opción de modificar la configuración existente o restablecer el ASA a los valores predeterminados
de fábrica. Con el Modificar la configuración existente opción seleccionada, haga clic en próximo continuar.
En la pantalla del paso 2 del asistente de inicio, configure el nombre de host ASA CCNAS-ASA y nombre de dominio de ccnasecurity.com. Haga clic en la
segundo.
casilla de verificación para cambiar la contraseña del modo de habilitación y cámbiela de blanco (sin contraseña) a clase e ingréselo nuevamente para
confirmar. Cuando se completen las entradas, haga clic en próximo continuar.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 14 de 42
Seguridad CCNA
a. En la pantalla del Paso 3 del Asistente de inicio: Selección de interfaz, para las VLAN externas e internas, no cambie la configuración
actual porque se definieron previamente mediante la CLI. La VLAN interna se denomina dentro y el nivel de seguridad se establece en 100
(el más alto). La interfaz de VLAN externa se denomina fuera de y el nivel de seguridad establecido en 0 (el más bajo). Para la DMZ VLAN,
haga clic en el No configurar y desmarque el Habilitar VLAN caja. La DMZ VLAN se configurará más tarde. Hacer clic próximo continuar.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 15 de 42
Seguridad CCNA
segundo. En la pantalla del Paso 4 del Asistente de inicio: Asignación de puertos de conmutación, Verifique que el puerto Ethernet1 esté en Inside
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 16 de 42
Seguridad CCNA
C. En la pantalla del Paso 5 del Asistente de inicio: Configuración de la dirección IP de la interfaz, ingrese un IP exterior
Habla a de 209.165.200.226 y Máscara 255.255.255.248. Puede utilizar el menú desplegable para seleccionar la máscara. Deje la dirección IP
de la interfaz interna como 192.168.1.1 con una máscara de 255.255.255.0. Hacer clic
próximo continuar.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 17 de 42
Seguridad CCNA
a. Sobre el Asistente de inicio, paso 6 pantalla - Servidor DHCP, seleccione la casilla de verificación para Habilite el servidor DHCP en la interfaz
interior. Introduzca una dirección IP inicial de 192.168.1.3 y dirección IP final de
192.168.1.30. Introduzca la dirección del servidor DNS 1 de 10.20.30.40 y nombre de dominio
ccnasecurity.com. Hacer NO marque la casilla para habilitar la configuración automática desde la interfaz. Hacer clic próximo continuar.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 18 de 42
Seguridad CCNA
segundo. En la pantalla del Paso 7 del Asistente de inicio: Traducción de direcciones (NAT / PAT), clic en el botón Usar puerto
Traducción de direcciones (PAT). El valor predeterminado es utilizar la dirección IP de la interfaz externa. Tenga en cuenta que también puede especificar
una dirección IP particular para PAT o un rango de direcciones con NAT. Hacer clic próximo continuar.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 19 de 42
Seguridad CCNA
C. En la pantalla del Paso 8 del Asistente de inicio: Acceso administrativo, HTTPS / ASDM El acceso está configurado actualmente para
hosts en la red interna 192.168.1.0/24. Agregue el acceso Telnet al ASA para la red interior 192.168.1.0 con una máscara de subred de
255.255.255.0. Agregue el acceso SSH al ASA del host
172.16.3.3 en la red exterior. Asegúrese de que la casilla de verificación Habilite el servidor HTTP para el acceso HTTPS / ASDM está chequeado. Hacer clic próximo
continuar.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 20 de 42
Seguridad CCNA
a. En la pantalla del Paso 9 del Asistente de inicio: Resumen del asistente de inicio, revisa el Configuración
Resumen y haga clic en Terminar. ASDM entregará los comandos al dispositivo ASA y luego volverá a cargar la configuración modificada.
Nota: Si el cuadro de diálogo de la GUI deja de responder durante el proceso de recarga, ciérrelo, salga de ASDM y reinicie el navegador y
ASDM. Si se le solicita que guarde la configuración en la memoria flash, responda con
Si. Aunque parece que ASDM no ha vuelto a cargar la configuración, los comandos se entregaron. Si se encuentran errores mientras ASDM
entrega los comandos, se le notificará con una lista de los comandos que tuvieron éxito y los que fallaron.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 21 de 42
Seguridad CCNA
segundo. Reinicie ASDM y proporcione la nueva contraseña de habilitación clase sin nombre de usuario. Volver al dispositivo
Panel de control y verifique la ventana Estado de la interfaz. Debería ver las interfaces internas y externas con la dirección IP y el estado. La
interfaz interior debería mostrar una cierta cantidad de Kb / s. La ventana Estado del tráfico puede mostrar el acceso a ASDM como un pico de
tráfico TCP.
a. Desde un símbolo del sistema o un cliente GUI Telnet en la PC-B, haga telnet a la interfaz interna ASA en la dirección IP 192.168.1.1.
Inicie sesión en el ASA utilizando la contraseña de inicio de sesión predeterminada de cisco. Ingrese al modo EXEC privilegiado usando el
segundo.
habilitar comando y proporcionar la contraseña clase. Salga de la sesión Telnet usando el dejar
mando.
C. En el paso 4 de laboratorio, se configuró el acceso SSH mediante el asistente de inicio para permitir el acceso al ASA desde fuera de la
PC-C (172.16.3.3). Desde la PC-C, abra un cliente SSH como PuTTY e intente conectarse a la interfaz exterior ASA en 209.165.200.226.
No podrá establecer la conexión porque el acceso SSH (ASA versión 8.4 (2) y posterior) requiere que también configure AAA y proporcione
un nombre de usuario autenticado. AAA se configurará en la Parte 4 de la práctica de laboratorio.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 22 de 42
Seguridad CCNA
a. Abra un navegador en la PC-B e ingrese la dirección IP de la interfaz R1 Fa0 / 0 (209.165.200.225) para simular el acceso a un sitio
web externo.
El servidor HTTP de R1 se habilitó en la Parte 1 de la práctica de laboratorio, por lo que se le debe solicitar un cuadro de diálogo de inicio de sesión de autenticación de usuario
segundo.
desde el administrador de dispositivos de la GUI de R1. Deje el nombre de usuario en blanco e ingrese la contraseña de clase. Salga del navegador. Debería ver la actividad de
TCP en la ventana Estado de tráfico del panel de instrumentos del dispositivo ASDM.
Paso 8: Pruebe el acceso a un sitio web externo utilizando la utilidad ASDM Packet Tracer.
Elegir
segundo. el Dentro interfaz del menú desplegable Interfaz y haga clic en TCP desde los botones de opción de Tipo de paquete. En el menú
desplegable Fuente, elija Dirección IP e ingrese la dirección
192.168.1.3 (PC-B) con un puerto de origen de 1500. En el menú desplegable Destino, elija Dirección IP e ingrese 209.165.200.225 (R1
Fa0 / 0) con un puerto de destino de HTTP. Hacer clic comienzo para comenzar la traza del paquete. Debería permitirse el paquete.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 23 de 42
Seguridad CCNA
C. Restablezca las entradas haciendo clic Claro. Prueba con otro rastro y elige fuera de en el menú desplegable Interfaz y salga TCP como
el tipo de paquete. En el menú desplegable Fuentes, elija Dirección IP e ingrese 209.165.200.225 (R1 Fa0 / 0) y un puerto de origen de
1500. En el menú desplegable Destino, elija Dirección IP e ingrese la dirección 209.165.200.226 (interfaz exterior ASA) con un puerto
de destino de telnet. Hacer clic comienzo para comenzar la traza del paquete. El paquete debe descartarse. Haga clic en Cerrar continuar.
En la Parte 4, establecerá el reloj ASA, configurará una ruta predeterminada, probará la conectividad usando las herramientas ASDM Ping y Traceroute, configurará la
autenticación de usuario AAA local y modificará la política de inspección de la aplicación MPF.
a. En la pantalla Configuración, menú Configuración del dispositivo, elija Hora del sistema> Reloj.
segundo. Seleccione su zona horaria en el menú desplegable e ingrese la fecha y hora actuales en los campos provistos. El reloj es un reloj
de 24 horas. Hacer clic Aplicar para enviar los comandos al ASA.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 24 de 42
Seguridad CCNA
a. En el menú Herramientas de ASDM, seleccione Silbido e ingrese la dirección IP del enrutador R1 S0 / 0/0 (10.1.1.1).
El ASA no tiene una ruta predeterminada a redes externas desconocidas. El ping debe fallar porque el ASA no tiene ruta a 10.1.1.1.
Hacer clic Cerrar continuar.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 25 de 42
Seguridad CCNA
En la pantalla Configuración, menú Configuración del dispositivo, elija Enrutamiento> Rutas estáticas. Haga clic en el Solo IPv4 botón y haga clic en Añadir para
segundo.
C. En el cuadro de diálogo Agregar ruta estática, elija el fuera de interfaz del menú desplegable. Haga clic en el botón de puntos suspensivos a la
derecha de Red y seleccione Alguna en la lista de objetos de red, luego haga clic en
OKAY. La selección de Alguna se traduce en una ruta "cuádruple cero". Para la IP de la puerta de enlace, ingrese
209.165.200.225 ( R1 Fa0 / 0).
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 26 de 42
Seguridad CCNA
re. Hacer clic Okay y haga clic en Aplicar para enviar los comandos al ASA.
mi. Desde el ASDM Herramientas menú, seleccione Silbido e ingrese la dirección IP del enrutador R1 S0 / 0/0 (10.1.1.1).
El ping debería tener éxito esta vez. Hacer clic Cerrar continuar.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 27 de 42
Seguridad CCNA
F. Desde el ASDM Herramientas menú, seleccione Traceroute e ingrese la dirección IP del host externo PC-C
(172.16.3.3). Haga clic en Trazar ruta. El traceroute debe tener éxito y mostrar los saltos del ASA a través del R1, R2 y R3 al host PC-C.
Hacer clic Cerrar continuar.
Paso 3: Configure la autenticación de usuario AAA usando la base de datos local ASA.
Es necesario habilitar la autenticación de usuario AAA para acceder al ASA usando SSH. Permitió el acceso SSH al ASA desde el host externo
PC-C cuando el Asistente de inicio fue corrido. Para permitir que el administrador de red remota de la PC-C tenga acceso SSH al ASA, creará
un usuario en la base de datos local.
a. En la pantalla Configuración, área Administración de dispositivos, haga clic en Usuarios / AAA. Hacer clic Cuentas de usuario
y entonces Añadir. Crea un nuevo usuario llamado administración con una contraseña de cisco123 e ingrese la contraseña nuevamente para confirmarla.
Permitir a este usuario Acceso completo ( ASDM, SSH, Telnet y consola) y establezca el nivel de privilegios en 15. Hacer clic Okay para agregar el usuario y
haga clic en Aplicar para enviar el comando al ASA.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 28 de 42
Seguridad CCNA
segundo. En la pantalla Configuración, área Administración de dispositivos, haga clic en Usuarios / AAA. Hacer clic Acceso AAA. En
la pestaña Autenticación, haga clic en la casilla de verificación para requerir autenticación para HTTP / ASDM, SSH y Telnet
conexiones y especifique el grupo de servidores "LOCAL" para cada tipo de conexión. Hacer clic Aplicar para enviar los comandos al ASA.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 29 de 42
Seguridad CCNA
Nota: La siguiente acción que intente dentro de ASDM requerirá que inicie sesión como administración con contraseña
cisco123.
C. Desde la PC-C, abra un cliente SSH como PuTTY e intente acceder a la interfaz exterior ASA en
209.165.200.226. Debería poder establecer la conexión. Cuando se le solicite iniciar sesión, ingrese el nombre de usuario administración y
contraseña cisco123.
re. Después de iniciar sesión en el ASA usando SSH, ingrese el habilitar comando y proporcionar la contraseña clase.
Emita el mostrar ejecutar comando para mostrar la configuración actual que ha creado usando ASDM.
Nota: El tiempo de espera predeterminado para Telnet y SSH es de 5 minutos. Puede aumentar esta configuración mediante la CLI como se describe en el
laboratorio 10A o ir a ASDM Administración de dispositivos> Acceso de administración> ASDM / HTTP / Telnet / SSH.
Para la inspección de la capa de aplicación, así como otras opciones avanzadas, el Marco de políticas modular de Cisco (MPF) está
disponible en los ASA.
a. La política de inspección global predeterminada no inspecciona ICMP. Para permitir que los hosts de la red interna hagan ping a los hosts externos
y reciban respuestas, se debe inspeccionar el tráfico ICMP. Desde el Configuración
pantalla, menú del área de Firewall, haga clic en Reglas de la política de servicio.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 30 de 42
Seguridad CCNA
segundo. Selecciona el inspección_predeterminado política y haga clic en Editar para modificar las reglas de inspección predeterminadas. En la edición
Ventana Regla de política de servicio, haga clic en el Acciones de regla pestaña y seleccione la casilla de verificación para ICMP. No cambie los otros protocolos
predeterminados que están marcados. Hacer clic Okay y luego haga clic en Aplicar para enviar los comandos al ASA. Si se le solicita, inicie sesión como nuevamente administración
con una contraseña de cisco123.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 31 de 42
Seguridad CCNA
C. Desde PC-B, silbido la interfaz externa de R1 S0 / 0/0 (10.1.1.1). Los pings deberían tener éxito.
En este paso, creará una nueva interfaz VLAN 3 denominada dmz, asigne la interfaz física E0 / 2 a la VLAN, establezca el nivel de
seguridad en 70 y limite la comunicación desde esta interfaz a la interfaz interna (VLAN1).
a. En la pantalla Configuración, menú Configuración del dispositivo, haga clic en Interfaces. Hacer clic Añadir para definir un nuevo
interfaz. La pestaña General se muestra de forma predeterminada y actualmente está definida dentro (VLAN 1, E0 / 1) y las interfaces externas (VLAN 2,
E0 / 0) se enumeran. Hacer clic Añadir para crear una nueva interfaz.
En
segundo. el cuadro de diálogo Agregar interfaz, seleccione el puerto Ethernet0 / 2 y haga clic en Añadir. Se le pedirá que cambie la interfaz desde la
red interna. Hacer clic Okay para que el mensaje elimine el puerto de la interfaz interna y lo agregue a esta nueva interfaz. En el cuadro Nombre
de la interfaz, asigne un nombre a la interfaz. dmz,
asígnele un nivel de seguridad de 70 y asegúrese de que Habilitar interfaz la casilla de verificación está marcada.
C. Asegúrese de que el Usar IP estática está seleccionado e ingrese una dirección IP de 192.168.2.1 con una máscara de subred de 255.255.255.0. NO haga
clic en Aceptar en este momento.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 32 de 42
Seguridad CCNA
re. ASDM configurará esta interfaz como VLAN ID 12 de forma predeterminada. Antes de hacer clic en Aceptar para agregar la interfaz, haga clic en el Avanzado pestaña
y especifique esta interfaz como VLAN ID 3.
Nota: Si está trabajando con la licencia básica ASA 5505, puede crear hasta tres interfaces con nombre. Sin embargo, debe deshabilitar la
comunicación entre la tercera interfaz y una de las otras interfaces. Debido a que el servidor DMZ no necesita iniciar la comunicación con los
usuarios internos, puede deshabilitar el reenvío a las interfaces VLAN 1.
mi. En la pestaña Avanzado, también debe bloquear el tráfico de esta interfaz VLAN 3 (dmz) a la interfaz VLAN 1 (interior). En el área Bloquear
tráfico, seleccione vlan1 (interior) en el menú desplegable. Hacer clic
Okay para volver a la ventana Interfaces. Debería ver la nueva interfaz llamada dmz, además de las interfaces internas y externas. Hacer
clic Aplicar para enviar los comandos al ASA.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 33 de 42
Seguridad CCNA
Para acomodar la adición de una DMZ y un servidor web, usará otra dirección del rango de ISP asignado, 209.165.200.224/29 (.224-.231). El
router R1 Fa0 / 0 y la interfaz externa ASA ya están usando 209.165.200.225 y .226, respectivamente. Utilizará la dirección pública
209.165.200.227 y NAT estática para proporcionar acceso de traducción de direcciones al servidor.
a. En el menú Firewall, haga clic en el Servidores públicos opción y haga clic en Añadir para definir el servidor DMZ y
servicios ofrecidos. En el cuadro de diálogo Agregar servidor público, especifique la Interfaz privada como dmz, la Interfaz Pública como fuera de y
la dirección IP pública como 209.165.200.227.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 34 de 42
Seguridad CCNA
Haga clic en el botón de puntos suspensivos a la derecha de Dirección IP privada. En la ventana Examinar dirección IP privada, haga clic en Añadir para
segundo.
definir el servidor como Objeto de red. Ingrese el nombre Servidor DMZ, con un tipo de
Anfitrión y la dirección IP privada de 192.168.2.3.
C. En el cuadro de diálogo Agregar objeto de red, haga clic en el botón de flecha doble hacia abajo para NAT. Haga clic en la casilla de verificación para Agregar
reglas de traducción automática de direcciones e ingrese el tipo como Estático. Entrar
209.165.200.227 como la dirección traducida. Cuando la pantalla se vea como la siguiente, haga clic en Okay para agregar el objeto de red del
servidor. En la ventana Examinar dirección IP privada, haga clic en OKAY. Volverá al cuadro de diálogo Agregar servidor público.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 35 de 42
Seguridad CCNA
En el cuadro de diálogo Agregar servidor público, haga clic en el botón de puntos suspensivos a la derecha de Servicio privado. En la ventana Explorar servicio
privado, haga doble clic para seleccionar los siguientes servicios: tcp / http, tcp / ftp, icmp / echo
y icmp / eco-respuesta ( desplácese hacia abajo para ver todos los servicios). Hacer clic Okay para continuar y volver al Agregar servidor público diálogo.
Nota: Puede especificar los servicios públicos si son diferentes de los servicios privados, utilizando la opción en esta pantalla.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 36 de 42
Seguridad CCNA
re. Cuando haya completado toda la información en el cuadro de diálogo Agregar servidor público, debería verse como el que se muestra a continuación. Hacer clic Okay
para agregar el servidor. Hacer clic Aplicar en la pantalla de servidores públicos para enviar los comandos al ASA.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 37 de 42
Seguridad CCNA
a. Con la creación del objeto de servidor DMZ y la selección de servicios, ASDM genera automáticamente una regla de acceso (ACL) para
permitir el acceso apropiado al servidor y la aplica a la interfaz externa en la dirección entrante.
Vea
segundo. esta regla de acceso en ASDM eligiendo Configuración> Cortafuegos> Reglas de acceso. Aparece como una regla entrante externa.
Puede seleccionar la regla y usar la barra de desplazamiento horizontal para ver todos los componentes.
C. Nota: También puede ver los comandos reales generados mediante el Herramientas> Línea de comando
Interfaz y entrando el comando show run.
a. Desde la PC-C, haga ping a la dirección IP de la dirección del servidor público NAT estático (209.165.200.227). Los pings deberían tener
éxito.
Debido
segundo. a que la interfaz interna ASA (VLAN 1) se establece en el nivel de seguridad 100 (el más alto) y la interfaz DMZ (VLAN 3) se
establece en 70, también puede acceder al servidor DMZ desde un host en la red interna. El ASA actúa como un enrutador entre las dos
redes. Haga ping a la dirección interna del servidor DMZ (PC-A) (192.168.2.3) desde dentro del host de red PC-B (192.168.1.X). Los pings
deberían tener éxito debido al nivel de seguridad de la interfaz y al hecho de que ICMP está siendo inspeccionado en la interfaz interna por la
política de inspección global.
C. El servidor DMZ no puede hacer ping a la PC-B en la red interna. Esto se debe a que la interfaz DMZ VLAN 3 tiene un nivel de seguridad
más bajo y al hecho de que, cuando se creó la interfaz VLAN 3, fue necesario especificar la no adelante mando. Intente hacer ping desde el
servidor DMZ PC-A a PC-B en la dirección IP
192.168.1.X. Los pings no deberían tener éxito.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 38 de 42
Seguridad CCNA
Hay varios aspectos del ASA que se pueden monitorear usando el Vigilancia pantalla. Las principales categorías de esta pantalla son Interfaces,
VPN, Enrutamiento, Propiedades, y Inicio sesión. En este paso, creará un gráfico para monitorear la actividad del paquete para la interfaz
externa.
a. Desde la pantalla de Monitoreo, menú Interfaces, haga clic en Gráficos de interfaz> exterior. Seleccione Paquete
Recuentos y haga clic en Añadir para agregar el gráfico. La siguiente exhibición muestra los recuentos de paquetes agregados.
segundo. Haga clic en el Mostrar gráficos para mostrar el gráfico. Inicialmente no se muestra tráfico.
C. Desde un símbolo del sistema del modo privilegiado en R2, simule el tráfico de Internet al ASA haciendo ping a la dirección pública del servidor
DMZ con un recuento repetido de 1000. Puede aumentar el número de pings si lo desea.
La tasa de éxito es del 100 por ciento (1000/1000), ida y vuelta mínimo / promedio / máximo = 1/2/12 ms
re. Debería ver los resultados de los pings de R2 en el gráfico como un recuento de paquetes de entrada. La escala del gráfico se ajusta
automáticamente según el volumen de tráfico. También puede ver los datos en
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 39 de 42
Seguridad CCNA
formulario tabular haciendo clic en el Mesa lengüeta. Observe que la vista seleccionada en la parte inferior izquierda de la pantalla de gráficos es en tiempo
real, datos cada 10 segundos. Haga clic en el menú desplegable para ver las otras opciones disponibles.
mi. Haga ping de la PC-B al R1 Fa0 / 0 en 209.165.200.225 usando la opción –n (número de paquetes) para especificar 1000 paquetes.
Nota: La respuesta de la PC es relativamente lenta y puede tardar un poco en aparecer en el gráfico como Recuento de paquetes de salida. El
siguiente gráfico muestra 5000 paquetes de entrada adicionales, así como el recuento de paquetes de entrada y salida.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 40 de 42
Seguridad CCNA
Reflexión:
1. ¿Cuáles son algunos de los beneficios de usar ASDM sobre la CLI?
________________________________________________________________________________
________________________________________________________________________________
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 41 de 42
Seguridad CCNA
Fast Ethernet 0/0 Fast Ethernet 0/1 Serie 0/0/0 Serie 0/0/1
1800
(Fa0 / 0) (Fa0 / 1) (S0 / 0/0) (S0 / 0/1)
Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serie 0/0/0 Serie 0/0/1
1900
(G0 / 0) (G0 / 1) (S0 / 0/0) (S0 / 0/1)
Fast Ethernet 0/0 Fast Ethernet 0/1 Serie 0/0/0 Serie 0/0/1
2800
(Fa0 / 0) (Fa0 / 1) (S0 / 0/0) (S0 / 0/1)
Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serie 0/0/0 Serie 0/0/1
2900
(G0 / 0) (G0 / 1) (S0 / 0/0) (S0 / 0/1)
Nota: Para saber cómo está configurado el enrutador, observe las interfaces para identificar el tipo de enrutador y cuántas interfaces
tiene. No hay forma de enumerar efectivamente todas las combinaciones de configuraciones para cada clase de enrutador. Esta tabla
incluye identificadores para las posibles combinaciones de interfaces Ethernet y serie en el dispositivo. La tabla no incluye ningún otro
tipo de interfaz, aunque un enrutador específico puede contener una. Un ejemplo de esto podría ser una interfaz BRI ISDN. La cadena
entre paréntesis es la abreviatura legal que se puede utilizar en los comandos de Cisco IOS para representar la interfaz.
Todo el contenido es Copyright © 1992–2012 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 42 de 42