lOMoARcPSD|12507992

Quinto Laboratorio de Criptografia -ASA Firewall

configuracion
Criptografía y seguridad de redes (Universidad Francisco Gavidia)

StuDocu is not sponsored or endorsed by any college or university

Downloaded by Benjamín Magaña (benja.magana@uma.edu.sv)
 lOMoARcPSD|12507992

UNIVERSIDAD FRANCISCO GAVIDIA

FACULTAD DE INGENIERIA Y SISTEMAS
CUARTA PRACTICA DE LABORATORIO
CICLO 01- 2018
Asignatura: CSR0 Horario: Viernes de 6:20 a.m. a 8:10 a.m Grupo: 01
Profesor: Ing. José Raúl Pineda e-mail: rpineda@ufg.edu.sv Aula: Redes
Práctica sobre Firewall ASA Cisco
OBJETIVOS

 Configurar ruteo estático en una Red conformada por Routers y un ASA Firewall.
 Que el alumno conozca la configuración básica de un ASA Firewall para restringir el acceso a
ciertos servicios.

INTRODUCCION TEORICA

Las redes informáticas generalmente están diseñadas para hacer una cosa por encima de todas las
demás: permitir que cualquier computadora conectada a la red intercambie información libremente con
cualquier otra computadora también conectada a la misma red.

En un mundo ideal, esta es una forma perfecta de operar una red que facilita las comunicaciones
universales entre los sistemas conectados. Las computadoras individuales son entonces libres de decidir
con quién quieren comunicarse, a qué información quieren permitir el acceso y qué servicios pondrán a
disposición. Esta forma de operar se denomina "seguridad basada en host", ya que las computadoras o
hosts individuales implementan mecanismos de seguridad. Internet está diseñado de esta manera, al
igual que la red en su oficina.

En la práctica, las computadoras individuales, por ejemplo, una red de oficinas, no son muy buenas para
definir y aplicar de manera segura una política de seguridad coherente. Se ejecutan sistemas de software
muy complejos y, por lo tanto, por definición propensos a errores, y es muy difícil garantizar que se
mantengan consistentemente seguros, y mucho menos que sus usuarios obedezcan consejos básicos
como elegir contraseñas difíciles de adivinar, etc.

Esta situación puede ser adecuada cuando los usuarios individuales en una red tienen un nivel similar
de confianza, de modo que hay pocas posibilidades o motivos para que un usuario altere la seguridad
del host, como una red de pequeñas empresas donde todos con acceso físico son confiables (por
ejemplo, empleado, etc. )

Una vez que la red está conectada a otras redes donde las relaciones de confianza simplemente no
existen de la misma manera, deben establecerse otros mecanismos para proporcionar la seguridad
adecuada al proteger los recursos de la red confiable del posible acceso de los atacantes a la red. parte
de confianza de la red.

La forma en que esto se hace es rompiendo parcialmente la conectividad a nivel de red, de modo que
los nodos en las partes confiables y no confiables de la red ya no puedan intercambiar libremente
información sin restricciones. El dispositivo que hace esto se llama "Cortafuegos", por referencia al
análogo en la ingeniería automotriz estadounidense, donde el cortafuegos es una barrera de placa de

Downloaded by Benjamín Magaña (benja.magana@uma.edu.sv)

 lOMoARcPSD|12507992

acero gruesa entre los compartimientos del motor y del pasajero que evita que un fuego en el anterior se
extienda a este último.

Cómo funciona

Un Firewall interrumpe la comunicación libre entre redes confiables y no confiables, al intentar

administrar el flujo de información y restringir el acceso libre de peligros.

Existen numerosos mecanismos empleados para hacer esto, cada uno de los cuales evita el flujo de
paquetes, lo que sería equivalente a redes completamente desconectadas, y permite el libre intercambio
de datos, lo que sería equivalente a no tener Firewall.

Uno de las tecnologías ampliamente usadas para la implementación de Firewalls son las que usan
dispositivos del fabricante Cisco llamados ASA (Adaptive Security Appliance).

En el siguiente laboratorio practico se conocerán algunos aspectos generales de estos dispositivos y su

configuración.

MATERIALES Y EQUIPO

 Laptop y/o PC
 Programa Packet Tracer.

PROCEDIMIENTO

En Packet tracer implemente la siguiente topología de Red.

Downloaded by Benjamín Magaña (benja.magana@uma.edu.sv)

 lOMoARcPSD|12507992

PARTE I. Configurar los Routers RA, RC y RB.

1. Configurar las interfaces que conectan a cada uno de los routers mostrados en la imagen anterior.

Router R0.

Router0> enable
Router0# configure terminal
Router0(config)# interface Giga0/0
Router0(config-if)# ip address 200.25.10.1 255.255.255.252
Router0(config-if)# no shutdown
Router0(config-if)# exit
Router0(config)# interface Giga0/1
Router0(config-if)# ip address 201.247.1.130 255.255.255.252
Router0(config-if)# no shutdown
Router0(config-if)# exit
Router0(config)ip route 8.8.8.0 255.255.255.240 210.25.10.2

Router R1.

Router1> enable
Router1# configure terminal
Router1(config)# interface Giga0
Router1(config-if)# ip address 210.25.10.2 255.255.255.252
Router1(config-if)# no shutdown
Router1(config-if)# exit
Router1(config)# interface Giga0/1
Router1(config-if)# ip address 8.8.8.1 255.255.255.240
Router1(config-if)# no shutdown
Router1(config-if)# exit
Router1(config-if)# ip route 201.247.1.128 255.255.255.252
210.25.10.1

2. Configurar el Server Web con la IP 8.8.8.8

Downloaded by Benjamín Magaña (benja.magana@uma.edu.sv)

 lOMoARcPSD|12507992

3. Verificar conectividad entre los Router R0, R1 y el Server.

Router R0.
Router# ping 8.8.8.8

Router R1.
Router# ping 8.8.8.8

4. Configurar las interfaces (Eth0/0) del Lado de la Red LAN para el ASA Firewall 5505

ciscoasa(config)#interface Vlan1
ciscoasa(config-if)#nameif inside
ciscoasa(config-if)#security-level 100
ciscoasa(config-if)#ip address 192.168.1.1 255.255.255.224
ciscoasa(config)#interface Ethernet0/0
ciscoasa(config-if)# switchport access vlan 1

5. Configurar el servidor DHCP en el ASA Firewall.

Downloaded by Benjamín Magaña (benja.magana@uma.edu.sv)

 lOMoARcPSD|12507992

ciscoasa(config)#dhcpd address 192.168.1.5-192.168.1.25 inside

ciscoasa(config)#dhcpd enable inside

6. Configurar las PCs para que obtengan direcciones IP dinámicamente.

¿Qué direcciones IP obtuvieron las PCs?__la PC0 Tuvo la dirección ip 192.168.1.5 y la PC1 tuvo
la dirección ip 192.168.1.6__________________________________________

7. Probar conectividad entre la PCs y la interface 192.168.1.1 del ASA Firewall.

¿Puede hacer ping? Si se puede hacer ping

__________________________________________________________

8. Configurar la IP del lado publico (Eth0/1) del ASA Firewall.

ciscoasa(config)#interface Vlan2
ciscoasa(config-if)#nameif outside
ciscoasa(config-if)#security-level 0
ciscoasa(config-if)#ip address 201.247.1.129 255.255.255.252
ciscoasa(config)#interface Ethernet0/1
ciscoasa(config-if)# switchport access vlan 2

9. Pruebe conectividad IP desde las PCs al servidor con IP address 8.8.8.8.

¿Hay conectividad IP? no hay conectividad

_______________________________________________________

Anote los resultados del comando:

ciscoasa#show xlate
0 in use, 0 most used

10. Configurar NAT en el ASA Firewall.

ciscoasa(config)# object network NAT

ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.224
ciscoasa(config-network-object)# nat (inside,outside) dynamic
interface

Downloaded by Benjamín Magaña (benja.magana@uma.edu.sv)

 lOMoARcPSD|12507992

11. Nuevamente prueba conectividad IP desde las PCs al servidor con IP address 8.8.8.8.

¿Hay conectividad IP? no me da conectividad

______________________________________________________

Anote los resultados del comando:

ciscoasa#show xlate
0 in use 0 most used

12. Crear la lista de control de Acceso en el ASA Firewall, para permitir el protocolo ICMP y permitir
cualquier conexión TCP, como por ejemplo para acceder a un servidor WEB.

ciscoasa(config)# access-list INTERNET extended permit tcp any any

ciscoasa(config)# access-list INTERNET extended permit icmp any any

13. Aplicar la lista de control de acceso a la interfaz “outside”.

ciscoasa(config)# access-group INTERNET in interface outside

PARTE II. Tarea de Configuración.

- Implementar y configurar las siguiente Red en Packet Tracer de tal manera que la Red DMZ y
INSIDE puedan conectar a Internet (Puedan hacer ping y conectarse a un Servidor WEB,
configurado host externo 172.16.3.3).

Downloaded by Benjamín Magaña (benja.magana@uma.edu.sv)

 lOMoARcPSD|12507992

Downloaded by Benjamín Magaña (benja.magana@uma.edu.sv)

 lOMoARcPSD|12507992

MATERIAL DE APOYO.

Nota: Dar doble click en la imagen

Downloaded by Benjamín Magaña (benja.magana@uma.edu.sv)