Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Topología
Nota: Los dispositivos ISR G2 utilizan interfaces GigabitEthernet en lugar de interfaces FastEthernet.
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 1 de 38
CCNA Seguridad Capítulo 9 Laboratorio
Tabla de direccionamiento IP
Objetivos
Parte 1: Configuración básica del enrutador / conmutador / PC
• Cablee la red como se muestra en la topología.
• Configure nombres de host y direcciones IP de interfaz para enrutadores, conmutadores y PC.
• Configure el enrutamiento estático, incluidas las rutas predeterminadas, entre R1, R2 y R3.
• Habilite el acceso HTTP y SSH para R1.
• Configure las opciones de IP del host del equipo.
• Verifique la conectividad entre hosts, conmutadores y enrutadores.
• Guarde la configuración básica de ejecución para cada enrutador y conmutador.
Parte 2: Acceso a la consola ASA y uso del modo de configuración de CLI para configurar los ajustes
básicos
• Acceda a la consola de ASA y vea el hardware, el software y los ajustes de configuración.
• Determine la versión, las interfaces y la licencia de ASA.
• Determine el sistema de archivos y el contenido de la memoria flash.
• Utilice el modo de configuración de CLI para configurar los ajustes básicos (nombre de host,
contraseñas, reloj, etc.).
Parte 3: Configuración de los ajustes ASA básicos y los niveles de seguridad de la interfaz mediante
la CLI.
• Configure el nombre de host y el nombre de dominio.
• Configure el inicio de sesión y habilite las contraseñas.
• Establezca la fecha y la hora.
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 2 de 38
CCNA Seguridad Capítulo 9 Laboratorio
Antecedentes/Escenario
Cisco Adaptive Security Appliance (ASA) es un dispositivo de seguridad de red avanzado que integra un
firewall con estado, VPN y otras capacidades. Este laboratorio emplea un ASA 5505 para crear un firewall y
proteger una red corporativa interna de intrusos externos, al tiempo que permite el acceso de hosts internos
a Internet. El ASA crea tres interfaces de seguridad: Outside, Inside y DMZ. Proporciona a los usuarios
externos acceso limitado a la DMZ y ningún acceso a los recursos internos. Los usuarios internos pueden
acceder a la DMZ y a los recursos externos.
El enfoque de este laboratorio es la configuración del ASA como un firewall básico. Otros dispositivos
recibirán una configuración mínima para admitir la parte ASA de este laboratorio. Este laboratorio usa la CLI
ASA, que es similar a la CLI de IOS, para configurar el dispositivo básico y las opciones de seguridad.
En la Parte 1 de este laboratorio, configurará la topología y los dispositivos que no son ASA. En las Partes 2
a 4 configurará los ajustes básicos de ASA y el firewall entre las redes internas y externas. En la parte 5,
configurará el ASA para servicios adicionales, como DHCP, AAA y SSH. En la Parte 6, configurará una DMZ
en el ASA y proporcionará acceso a un servidor en la DMZ.
Su empresa tiene una ubicación conectada a un ISP. R1 representa un dispositivo CPE administrado por el
ISP. R2 representa un enrutador de Internet intermedio. R3 representa un ISP que conecta a un
administrador de una empresa de administración de red, que ha sido contratado para administrar su red de
forma remota. El ASA es un dispositivo de seguridad perimetral que conecta la red corporativa interna y la
DMZ al ISP mientras proporciona servicios NAT y DHCP a los hosts internos. El ASA se configurará para su
administración por un administrador en la red interna y por el administrador remoto. Las interfaces VLAN de
capa 3 proporcionan acceso a las tres áreas creadas en el laboratorio: Dentro, Exterior y DMZ. El ISP ha
asignado el espacio de direcciones IP públicas de 209.165.200.224/29, que se utilizará para la traducción de
direcciones en el ASA.
Nota: Los comandos y la salida del router en este laboratorio son de un Cisco 1941 con Cisco IOS Release
15. Imagen 4(3)M2 con licencia de Tecnología de Seguridad. Se pueden utilizar otros routers y versiones de
Cisco IOS. Consulte la tabla de resumen de la interfaz del enrutador al final del laboratorio para determinar
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 3 de 38
CCNA Seguridad Capítulo 9 Laboratorio
qué identificadores de interfaz usar en función del equipo de su clase. Dependiendo del modelo de enrutador
y la versión de Cisco IOS, los comandos disponibles y la salida producida pueden variar de lo que se
muestra en este laboratorio.
El ASA utilizadod con este laboratorio es un Cisco modelo 5505 con un switch integrado de 8 puertos, que
ejecuta la versión del sistema operativo 9.2 (3), Adaptive Security Device Manager (ASDM) versión 7.4 (1), y
viene con una licencia base que permite un máximo de tres VLAN.
Nota: Asegúrese de que los routers y switches se hayan borrado y no tengan configuraciones de inicio.
Recursos requeridos
• 3 Routers (Cisco 1941 con Cisco IOS Release 15. 4(3)M2 imagen con una licencia de Security
Technology Package)
• 3brujas S (Cisco 2960 con criptografía IOS imagen para soporte SSH – Versión 15.0(2) SE7 o
comparable)
• 1 ASA 5505 (versión 9. 2(3) y ASDM versión 7. 4(1) y licencia base o comparable)
• 3 PC (Windows 7 o Windows 8 con software cliente SSH)
• Cables serie y Ethernet como se muestra en la topología
• Cables de consola para configurar dispositivos de red Cisco
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 4 de 38
CCNA Seguridad Capítulo 9 Laboratorio
Step 4: Habilite el servidor HTTP y configure una cuenta de usuario, contraseñas cifradas y
claves criptográficas para SSH.
Nota: Las contraseñas de esta tarea se establecen en un mínimo de 10 caracteres, pero son relativamente
sencillas para los fines de este laboratorio. Se recomiendan contraseñas más complejas en una red de
producción.
a. Habilite el acceso HTTP a R1 mediante el comando ip http server en modo de configuración global.
Establezca las contraseñas de consola y VTY en Cisco. Esto proporcionará objetivos web y SSH para
pruebas posteriores en el laboratorio.
R1(config)# ip http server
b. Configure una longitud mínima de contraseña de 10 caracteres mediante el comando security
passwords.
R1(config)# security passwords min-length 10
c. Configure un nombre de dominio.
R1(config)# ip domain-name ccnasecurity.com
d. Configure las claves criptográficas para SSH.
R1(config)# crypto key generate rsa general-keys modulus 1024
e. Configure una cuenta de usuario admin01 utilizando scrypt de tipo algoritmo para el cifrado y una
contraseña de cisco12345.
R1(config)# username admin01 algorithm-type scrypt secret cisco12345
f. Configure la consola de línea 0 para usar la base de datos de usuarios local para los inicios de sesión.
Para mayor seguridad, el comando exec-timeout hace que la línea cierre sesión después de cinco
minutos de inactividad. El comando logging synchronous impide que los mensajes de la consola
interrumpan la entrada del comando.
Nota: Para evitar inicios de sesión repetitivos durante este laboratorio, el comando exec-timeout se
puede establecer en 0 0, lo que evita que caduque. Sin embargo, esto no se considera una buena
práctica de seguridad.
R1(config)# line console 0
R1(config-line)# login local
R1(config-line)# exec-timeout 5 0
R1(config-line)# logging synchronous
g. Configure la línea vty 0 4 para utilizar la base de datos de usuarios local para los inicios de sesión y
restringir el acceso solo a las conexiones SSH.
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exec-timeout 5 0
h. Configure la contraseña de habilitación con cifrado seguro.
R1(config)# enable algorithm-type scrypt secret class12345
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 5 de 38
CCNA Seguridad Capítulo 9 Laboratorio
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 6 de 38
CCNA Seguridad Capítulo 9 Laboratorio
<output omitted>
¿Cuál es el nombre del archivo de imagen del sistemay desde dónde se cargó?
El ASA se puede administrar utilizando una GUI incorporada conocida como ASDM. ¿Qué versión de ASDM
está ejecutando este ASA?
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 7 de 38
CCNA Seguridad Capítulo 9 Laboratorio
File Systems:
b. Muestre el contenido de la memoria flash mediante uno de estos comandos: show flash, show disk0, dir
flash:, o dir disk0:.
ciscoasa# show flash
--#-- --length-- -----date/time------ path
168 25159680 Aug 29 2011 13:00:52 asa923-k8.bin
122 0 Aug 29 2011 13:09:32 nat_ident_migrate
13 2048 Aug 29 2011 13:02:14 coredumpinfo
14 59 Aug 29 2011 13:02:14 coredumpinfo/coredump.cfg
169 16280544 Aug 29 2011 13:02:58 asdm-741.bin
3 2048 Aug 29 2011 13:04:42 log
6 2048 Aug 29 2011 13:05:00 crypto_archive
171 34816 Jan 01 1980 00:00:00 FSCK0000.REC
173 36864 Jan 01 1980 00:00:00 FSCK0001.REC
174 12998641 Aug 29 2011 13:09:22 csd_3.5.2008-k9.pkg
175 2048 Aug 29 2011 13:09:24 sdesktop
211 0 Aug 29 2011 13:09:24 sdesktop/data.xml
176 6487517 Aug 29 2011 13:09:26 anyconnect-macosx-i386-2.5.2014-k9.pkg
177 6689498 Aug 29 2011 13:09:30 anyconnect-linux-2.5.2014-k9.pkg
178 4678691 Aug 29 2011 13:09:32 anyconnect-win-2.5.2014-k9.pkg
<output omitted>
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 8 de 38
CCNA Seguridad Capítulo 9 Laboratorio
• Se configura una interfaz VLAN 2 externa que incluye el puerto del switch Ethernet 0/0. VLAN 2 deriva su
dirección IP del ISP utilizando DHCP de forma predeterminada.
• La ruta predeterminada se deriva de la puerta de enlace predeterminada de DHCP.
• Todas las direcciones IP internas se traducen al acceder al exterior, utilizando la interfaz PAT en la
interfaz VLAN 2.
• De forma predeterminada, los usuarios internos pueden acceder al exterior con una lista de acceso y los
usuarios externos no pueden acceder al interior.
• El servidor DHCP está habilitado en el dispositivo de seguridad, por lo que un PC que se conecta a la
interfaz VLAN 1 recibe una dirección entre 192.168.1.5 y 192.168.1.36 (licencia base), aunque el rango
real puede variar.
• El servidor HTTP está habilitado para ASDM y es accesible para los usuarios de la red 192.168.1.0/24.
• No se requieren contraseñas de consola o habilitación, y el nombre de host predeterminado es ciscoasa.
Nota: En este laboratorio, configurará manualmente opciones similares a las enumeradas anteriormente, así
como algunas opciones adicionales, mediante la CLI ASA.
a. Muestre la configuración de ejecución actual mediante el comando show running-config.
ciscoasa# show running-config
: Saved
:
ASA Version 9.2(3)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
<output omitted>
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 9 de 38
CCNA Seguridad Capítulo 9 Laboratorio
<output omitted>
c. Revise esta salida y preste especial atención a las interfaces VLAN, las secciones relacionadas con NAT
y DHCP. Estos se configurarán más adelante en este laboratorio mediante la CLI.
d. Es posible que desee capturar e imprimir la configuración predeterminada de fábrica como referencia.
Utilice el programa de emulación de terminal para copiarlo del ASA y pegarlo en un documento de texto.
A continuación, puede editar este archivo si lo desea, de modo que contenga sólo comandos válidos.
Debe eliminar los comandos de contraseña e ingresar el comando no shut para que aparezcan las
interfaces deseadas.
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 10 de 38
CCNA Seguridad Capítulo 9 Laboratorio
Step 6: Utilice el modo de configuración interactiva de la CLI para configurar las opciones
básicas.
Cuando el ASA complete el proceso de recarga, debería detectar que falta el archivo startup-config y
presentar una serie de mensajes interactivos para configurar los ajustes básicos de ASA. Si no aparece en
este modo, repita el paso 5. Como alternativa, puede ejecutar el comando setup en el indicador del modo de
configuración global, pero primero debe crear una interfaz VLAN (VLAN 1), asignar un nombre a la
administración de VLAN (mediante el comando nameif) y asignar una dirección IP a la VLAN.
Nota: El modo de solicitud interactiva no configura el ASA con los valores predeterminados de fábrica como
se describe en el paso 4. Este modo se puede utilizar para configurar ajustes básicos mínimos, como el
nombre de host, el reloj y las contraseñas. También puede ir directamente a la CLI para configurar los
ajustes de ASA, como se describe en la Parte 3.
a. Responda a las indicaciones interactivas del programa de instalación como se muestran aquí, después
de que se vuelva a cargar el ASA.
Pre-configure Firewall now through interactive prompts [yes]? <Enter>
Firewall Mode [Routed]: <Enter>
Enable password [<use current password>]: class
Allow password recovery [yes]? <Enter>
Clock (UTC):
Year [2015]: <Enter>
Month [Apr]: <Enter>
Day [19]: <Enter>
Time [23:32:19]: <Enter>
Management IP address: 192.168.1.1
Management network mask: 255.255.255.0
Host name: ASA-Init
Domain name: generic.com
IP address of host running Device Manager: <Enter>
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 11 de 38
CCNA Seguridad Capítulo 9 Laboratorio
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 12 de 38
CCNA Seguridad Capítulo 9 Laboratorio
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 13 de 38
CCNA Seguridad Capítulo 9 Laboratorio
d. Asigne el puerto ASA Layer 2 E0/1 a VLAN 1 y el puerto E0/0 a VLAN 2. Use el comando de no
shutdown para asegurarse de que estén activos.
CCNAS-ASA(config)# interface e0/1
CCNAS-ASA(config-if)# switchport access vlan 1
CCNAS-ASA(config-if)# no shutdown
CCNAS-ASA(config-if)# interface e0/0
CCNAS-ASA(config-if)# switchport access vlan 2
CCNAS-ASA(config-if)# no shutdown
Nota: Aunque E0/1 está en VLAN 1 de forma predeterminada, los comandos se proporcionan
anteriormente.
e. Muestre el estado de todas las interfaces ASA mediante el comando show interface ip brief.
Nota: Este comando es diferente del comando show ip interface brief IOS. Si alguna de las interfaces
físicas o lógicas configuradas previamente no está activa/activa, solucione los problemas según sea
necesario antes de continuar.
Consejo: La mayoría de los comandos de ASA show, así como ping, copy y otros, se pueden emitir
desde cualquier indicador del modo de configuración sin el comando do que se requiere con IOS.
CCNAS-ASA(config)# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 unassigned YES unset up up
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 14 de 38
CCNA Seguridad Capítulo 9 Laboratorio
f. Muestre la información de las interfaces VLAN de capa 3 mediante el comando show ip address .
CCNAS-ASA(config)# show ip address
System IP Addresses:
Interface Name IP address Subnet mask Method
Vlan1 inside 192.168.1.1 255.255.255.0 manual
Vlan2 outside 209.165.200.226 255.255.255.248 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
Vlan1 inside 192.168.1.1 255.255.255.0 manual
Vlan2 outside 209.165.200.226 255.255.255.248 manual
g. Utilice el comando show switch vlan para mostrar las VLAN internas y externas configuradas en el
ASA y para mostrar los puertos asignados.
CCNAS-ASA# show switch vlan
VLAN Name Status Ports
---- -------------------------------- --------- -----------------------------
1 inside up Et0/1, Et0/2, Et0/3, Et0/4
Et0/5, Et0/6, Et0/7
2 outside up Et0/0
h. También puede utilizar el comando show running-config interface type/number para mostrar la
configuración de una interfaz determinada desde la configuración en ejecución.
CCNAS-ASA# show run interface vlan 1
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 15 de 38
CCNA Seguridad Capítulo 9 Laboratorio
c. Desde PC-C, haga ping a la interfaz VLAN 2 (externa) en la dirección IP 209.165.200.226. No debería
poder hacer ping a esta dirección.
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 16 de 38
CCNA Seguridad Capítulo 9 Laboratorio
c. Cierre el navegador. En el siguiente laboratorio, usará ASDM ampliamente para configurar el ASA. El
objetivo aquí no es utilizar las pantallas de configuración de ASDM, sino verificar la conectividad
HTTP/ASDM con el ASA. Si no puede acceder a ASDM, compruebe las configuraciones. Si las
configuraciones son correctas, póngaseen contacto con su instructor para obtener más ayuda.
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 17 de 38
CCNA Seguridad Capítulo 9 Laboratorio
b. Haga ping del ASA al R1 S0/0/0 en la dirección IP 10.1.1.1. ¿El ping fue exitoso?
c. Cree una ruta predeterminada "quad zero" utilizando el comando route, asócielo con la interfaz externa
ASA y apunte al R1 G 0/0 en la dirección IP 209.165.200.225 como puerta de enlace de último recurso.
La distancia administrativa predeterminada es una por defecto.
CCNAS-ASA(config)# route outside 0.0.0.0 0.0.0.0 209.165.200.225
d. Ejecute el comando show route para mostrar la tabla de enrutamiento ASA y la ruta predeterminada
estática que acaba de crear.
CCNAS-ASA# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
e. Haga ping del ASA al R1 S0/0/0 dirección IP 10.1.1.1. ¿El ping fue exitoso?
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 18 de 38
CCNA Seguridad Capítulo 9 Laboratorio
c. Desde PC-B, intente hacer ping a la interfaz R1 G 0/0 en la dirección IP 209.165.200.225. ¿Tuvieron
éxito los pings?
d. Ejecute el comando show nat en el ASA para ver los resultados traducidos y no traducidos. Tenga en
cuenta que, de los pings de PC-B, cuatro fueron traducidos y cuatro no fueron porque ICMP no está
siendo inspeccionado por la política de inspección global. Los pings salientes (ecos) se tradujeron y las
respuestas de eco devueltas fueron bloqueadas por la directiva de firewall. Configurará la directiva de
inspección predeterminada para permitir ICMP en el siguiente paso. Nota: Dependiendo de los procesos
y demonios que se ejecuten en la computadora particular utilizada como PC-B, es posible que vea más
visitas traducidas y no traducidas que las cuatro solicitudes de eco y las respuestas de eco.
CCNAS-ASA# show nat
e. Haga ping de PC-B a R1 nuevamente y emita rápidamente el comando show xlate para ver las
direcciones que se traducen.
CCNAS-ASA# show xlate
1 in use, 28 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
Nota: Las banderas (r e i) indican que la traducción se basó en un mapa de puertos (r) y se realizó
dinámicamente (i).
f. Abra un navegador en PC-B e ingrese la dirección IP de R1 G0 / 0 (209.165.200.225). En una ventana
emergente, R1 debería indicarle que se requiere autenticación. El tráfico HTTP basado en TCP está
permitido, de forma predeterminada, por la directiva de inspección de firewall.
g. En el ASA, vuelva a emitir los comandos show nat y show xlate para ver los hits y las direcciones que
se traducen para la conexión HTTP.
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 19 de 38
CCNA Seguridad Capítulo 9 Laboratorio
a. Mostrar el mapa de directivas MPF predeterminado que realiza la inspección del tráfico de interior a
exterior. Solo el tráfico que se inició desde el interior puede volver a entrar en la interfaz externa.
Observe que falta el protocolo ICMP .
CCNAS-ASA# show run | begin class
class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
<output omitted>
b. Agregue la inspección del tráfico ICMP a la lista de mapas de políticas mediante los siguientes
comandos:
CCNAS-ASA(config)# policy-map global_policy
CCNAS-ASA(config-pmap)# class inspection_default
CCNAS-ASA(config-pmap-c)# inspect icmp
c. Muestre el mapa de política MPF predeterminado para verificar que ICMP ahora aparece en las reglas
de inspección.
CCNAS-ASA(config-pmap-c)# show run policy-map
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 20 de 38
CCNA Seguridad Capítulo 9 Laboratorio
d. Desde PC-B, intente hacer ping a la interfaz R1 G 0/0 en la dirección IP 209.165.200.225. Los pings
deberían tener éxito esta vez porque el tráfico ICMP ahora se está inspeccionando y se está permitiendo
el tráfico de retorno legítimo.
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 21 de 38
CCNA Seguridad Capítulo 9 Laboratorio
f. Acceda a las Propiedades IP de conexión de red para PC-B y cámbielo de una dirección IP estática a un
cliente DHCP para que obtenga una dirección IP automáticamente del servidor DHCP ASA. El
procedimiento para hacer esto varía dependiendo del sistema operativo de la PC. Puede ser necesario
emitir el comando ipconfig /renew en PC-B para forzarlo a obtener una nueva dirección IP del ASA.
Step 2: Configure AAA para usar la base de datos local para la autenticación.
a. Defina un usuario local denominado admin introduciendo el comando username. Especifique una
contraseña de cisco12345.
CCNAS-ASA(config)# username admin password cisco12345
b. Configure AAA para usar la base de datos ASA local para la autenticación de usuarios SSH.
CCNAS-ASA(config)# aaa authentication ssh console LOCAL
Nota: Para mayor seguridad, starting con ASA versión 8.4(2), configure la autenticación AAA para admitir
conexiones SSH. No se admite el inicio de sesión predeterminado de Telnet/SSH. Ya no puede conectarse al
ASA mediante SSH con el nombre de usuario predeterminado y la contraseña de inicio de sesión.
Nota: Es posible que reciba un mensaje que indica que ya se ha definido un par de claves RSA. Para
reemplazar el par de claves RSA, escriba yes en el símbolo del sistema.
b. Guarde las claves RSA en una memoria flash persistente mediante el comando copy run start o write
mem.
CCNAS-ASA# write mem
Building configuration...
Cryptochecksum: 3c845d0f b6b8839a f9e43be0 33feb4ef
3270 bytes copied in 0.890 secs
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 22 de 38
CCNA Seguridad Capítulo 9 Laboratorio
[OK]
c. Configure el ASA para permitir conexiones SSH desde cualquier host de la red interna (192.168.1.0/24) y
desde el host de administración remota de la sucursal (172.16.3.3) de la red externa. Establezca el
tiempo de espera SSH en 10 minutos (el valor predeterminado es 5 minutos).
CCNAS-ASA(config)# ssh 192.168.1.0 255.255.255.0 inside
CCNAS-ASA(config)# ssh 172.16.3.3 255.255.255.255 outside
CCNAS-ASA(config)# ssh timeout 10
d. En PC-C, utilice un cliente SSH (como PuTTY) para conectarse a la interfaz externa ASA en la dirección
IP 209.165.200.226. La primera vez que se conecte, es posible que el cliente SSH le pida que acepte la
clave de host RSA del servidor SSH ASA. Inicie sesión como administrador de usuarios y proporcione la
contraseña cisco12345. También puede conectarse a la interfaz interna ASA desde un archivo PC-B
SSHutilizando la dirección IP 192.168.1.1.
CCNAS-ASA(config-if)# security-level 70
CCNAS-ASA(config-if)# no shut
b. Asigne la interfaz física ASA E0/2 a DMZ VLAN 3 y habilite la interfaz.
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 23 de 38
CCNA Seguridad Capítulo 9 Laboratorio
d. Muestre la información de las interfaces VLAN de capa 3 mediante el comando show ip address.
CCNAS-ASA # show ip address
System IP Addresses:
Interface Name IP address Subnet mask Method
Vlan1 inside 192.168.1.1 255.255.255.0 manual
Vlan2 outside 209.165.200.226 255.255.255.248 manual
Vlan3 dmz 192.168.2.1 255.255.255.0 manual
<output omitted>
e. Muestre las VLAN y las asignaciones de puertos en el ASA mediante el comando show switch vlan.
CCNAS-ASA(config)# show switch vlan
VLAN Name Status Ports
---- -------------------------------- --------- -----------------------------
1 inside up Et0/1, Et0/3, Et0/4, Et0/5
Et0/6, Et0/7
2 outside up Et0/0
3 dmz up Et0/2
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 24 de 38
CCNA Seguridad Capítulo 9 Laboratorio
Step 3: Configure una ACL para permitir el acceso al servidor DMZ desde Internet.
Configure una lista de acceso con nombre (OUTSIDE-DMZ) que permita cualquier protocolo IP desde
cualquier host externo a la dirección IP interna del servidor DMZ. Aplique la lista de acceso a la interfaz
externa ASA en la dirección IN.
CCNAS-ASA(config)# access-list OUTSIDE-DMZ permit ip any host 192.168.2.3
CCNAS-ASA(config)# access-group OUTSIDE-DMZ in interface outside
Nota: A diferencia de las ACL IOS, la declaración de permiso ASA ACL debe permitir el acceso a la dirección
DMZ privada interna. Los hosts externos acceden al servidor utilizando su dirección NAT estática pública, el
ASA la traduce a la dirección IP del host interno y, a continuación, aplica la ACL.
Puede modificar esta ACL para permitir solo los servicios que desea que se expongan a hosts externos,
como web (HTTP) o transferencia de archivos (FTP).
Nota: Los comentarios de adentro hacia afuera son éxitos traducidos. Los pings de PC-C fuera del host a
la DMZ se consideran hits no traducidos.
CCNAS-ASA# show xlate
1 in use, 3 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 25 de 38
CCNA Seguridad Capítulo 9 Laboratorio
Nota: Se puede aplicar una lista de acceso a la interfaz interna para controlar el tipo de acceso que se
permitirá o denegará al servidor DMZ desde dentro de los hosts.
Reflexión
¿En qué se diferencia la configuración del firewall ASA de la de un ISR?
¿Cómo utiliza el ASA 5505 interfaces lógicas y físicas para gestionar la seguridad y en qué se diferencia de otros
modelos ASA?
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 26 de 38
CCNA Seguridad Capítulo 9 Laboratorio
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serie 0/0/0 (S0/0/0) Serie 0/0/1 (S0/0/1)
(F0/0) (F0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serie 0/0/0 (S0/0/0) Serie 0/0/1 (S0/0/1)
(G0/0) (G0/1)
2801 Fast Ethernet 0/0 Fast Ethernet 0/1 Serie 0/1/0 (S0/1/0) Serie 0/1/1 (S0/1/1)
(F0/0) (F0/1)
2811 Fast Ethernet 0/0 Fast Ethernet 0/1 Serie 0/0/0 (S0/0/0) Serie 0/0/1 (S0/0/1)
(F0/0) (F0/1)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serie 0/0/0 (S0/0/0) Serie 0/0/1 (S0/0/1)
(G0/0) (G0/1)
Nota: Para saber cómo está configurado el router, mire las interfaces para identificar el tipo de router y cuántas
interfaces tiene. No hay forma de enumerar eficazmente todas las combinaciones de configuraciones para cada
clase de enrutador. Esta tabla incluye identificadores para las posibles combinaciones de interfaces Ethernet y
serie en el dispositivo. La tabla no incluye ningún otro tipo de interfaz, aunque un router específico puede
contener una. Un ejemplo de esto podría ser una interfaz RDSI BRI. La cadena entre paréntesis es la
abreviatura legal que se puede utilizar en Cisco IOS commands para representar la interfaz.
Device Configs
Note: ISR G2 devices have GigabitEthernet interfaces instead of FastEthernet Interfaces.
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 27 de 38
CCNA Seguridad Capítulo 9 Laboratorio
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
switchport access vlan 3
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 209.165.200.226 255.255.255.248
!
interface Vlan3
no forward interface Vlan1
nameif dmz
security-level 70
ip address 192.168.2.1 255.255.255.0
!
ftp mode passive
dns server-group DefaultDNS
domain-name ccnasecurity.com
object network INSIDE-NET
subnet 192.168.1.0 255.255.255.0
object network dmz-server
host 192.168.2.3
access-list OUTSIDE-DMZ extended permit ip any host 192.168.2.3
pager lines 24
mtu inside 1500
mtu outside 1500
mtu dmz 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 28 de 38
CCNA Seguridad Capítulo 9 Laboratorio
!
object network INSIDE-NET
nat (inside,outside) dynamic interface
object network dmz-server
nat (dmz,outside) static 209.165.200.227
access-group OUTSIDE-DMZ in interface outside
route outside 0.0.0.0 0.0.0.0 209.165.200.225 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 10
ssh stricthostkeycheck
ssh 192.168.1.0 255.255.255.0 inside
ssh 172.16.3.3 255.255.255.255 outside
ssh timeout 10
ssh key-exchange group dh-group1-sha1
console timeout 0
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 29 de 38
CCNA Seguridad Capítulo 9 Laboratorio
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DD
CEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 30 de 38
CCNA Seguridad Capítulo 9 Laboratorio
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
object network obj_any
nat (inside,outside) dynamic interface
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 31 de 38
CCNA Seguridad Capítulo 9 Laboratorio
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 32 de 38
CCNA Seguridad Capítulo 9 Laboratorio
Cryptochecksum:ebed818bf5232b30d711778af9f34720
: end
Router R1
R1# show run
Building configuration...
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 33 de 38
CCNA Seguridad Capítulo 9 Laboratorio
interface GigabitEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/0/0
ip address 10.1.1.1 255.255.255.252
clock rate 64000
!
interface Serial0/0/1
no ip address
shutdown
clock rate 2000000
!
ip forward-protocol nd
!
ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 Serial0/0/0
!
control-plane
!
line con 0
exec-timeout 0 0
logging synchronous
login local
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
exec-timeout 0 0
login local
transport input ssh
!
scheduler allocate 20000 1000
!
end
Router R2
R2# show run
Building configuration...
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 34 de 38
CCNA Seguridad Capítulo 9 Laboratorio
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 35 de 38
CCNA Seguridad Capítulo 9 Laboratorio
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 172.16.3.0 255.255.255.0 Serial0/0/1
ip route 209.165.200.224 255.255.255.248 Serial0/0/0
!
control-plane
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
login
transport input none
!
scheduler allocate 20000 1000
!
end
Router R3
R3# show run
Building configuration...
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 36 de 38
CCNA Seguridad Capítulo 9 Laboratorio
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 37 de 38
CCNA Seguridad Capítulo 9 Laboratorio
!
scheduler allocate 20000 1000
!
end
Switches S1, S2, and S3 – Use default configs, except for host name
© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es Cisco Public. Página 38 de 38