Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Lab ASA

    Cargado por

    Natalia ;v
    41 vistas7 páginas
    Lab ASA

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Lab ASA

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    41 vistas7 páginas

    Lab ASA

    Cargado por

    Natalia ;v
    Lab ASA

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 7

    Carrera: Ingeniería en Telecomunicaciones Materia: SCO310 “Seguridad de redes en telecomunicaciones”

    Docente: Marco Antonio Arenas Porcel

    GUIA DE LABORATORIO
    CONFIGURACION ASA (Cisco Adaptive Security Appliance)
    El firewall Cisco ASA, es un FW de próxima generación, tiene muchas funcionalidades
    y versatilidad, es uno de los FW más implementados en el mundo.
    Una de las series más difundidas es la 5500-x, y las más accesible es la 5505, en la
    cual nos concentraremos en el presente LAB.

    1. ESCENARIO A CONFIGURAR

    En el escenario se tiene 3 zonas de red segmentadas. En esta caso el FW trabajara en


    modo routing. Por eso las zonas (rojo=outside, verde=inside, naranja=DMZ), para los
    cuales se deben definir con cuidado los niveles de seguridad.
    2. CASO DE ESTUDIO
    En el presenta caso de estudio se tiene por lo menos 3 zonas, cada una requiere de una
    VLAN y se debe habilitar la tercera VLAN para la DMZ.
    Carrera: Ingeniería en Telecomunicaciones Materia: SCO310 “Seguridad de redes en telecomunicaciones”
    Docente: Marco Antonio Arenas Porcel

    3. CONFIGURANDO EL ENTORNO
    Vale resaltar que el cisco ASA viene con un nombre por defecto “ciscoasa”, y una
    contraseña luego del enable, solo se presiona enter.

    ciscoasa(config)#hostname CCNAS-ASA
    CCNAS-ASA(config)#domain-name ccnasecurity.com
    CCNAS-ASA(config)#enable password class
    CCNAS-ASA(config)#clock set 9:33:00 june 6 2016
    4. CONFIGURANDO LAS VLAN
    Para configurar ip’s se debe considerer que primero se deben realizer en las VLAN.
    CCNA-ASA(config)#interface vlan 1
    CCNA-ASA(config-if)#nameif inside
    CCNA-ASA(config-if)#ip address 192.168.1.1 255.255.255.0
    CCNA-ASA(config-if)#no shutdown
    CCNA-ASA(config-if)#interface vlan 2
    CCNA-ASA(config-if)#nameif outside
    CCNA-ASA(config-if)#ip address 209.165.200.226 255.255.255.248
    CCNA-ASA(config-if)#no shutdown
    Ahora asociamos las VLans a las interfaces fisicas con los siguientes commandos
    Carrera: Ingeniería en Telecomunicaciones Materia: SCO310 “Seguridad de redes en telecomunicaciones”
    Docente: Marco Antonio Arenas Porcel

    CCNAS-ASA(config)#interface ethernet 0/0


    CCNAS-ASA(config-if)#switchport access vlan 2
    CCNAS-ASA(config-if)#exit
    CCNA-ASA(config-if)#interface ethernet 0/1
    CCNA-ASA(config-if)#switchport access vlan 1
    5. CONFIGURANDO TELNET
    Para la configuracion de TELNET solo se configure lo siguiente:
    CCNAS-ASA(config)#telnet 192.168.1.0 255.255.255.0 inside
    CCNAS-ASA(config)#telnet timeout 10
    6. CONFIGURANDO EL ENTORNO GRAFICO
    Para configurar ASDM-WEB
    CCNAS-ASA(config)#http enable
    % This version of Packet Tracer does not support this option.
    CCNAS-ASA(config)#http 192.168.1.0 255.255.255.0 inside
    % This version of Packet Tracer does not support this option.

    Nota.- estos comandos no están soportados en Packet Tracer.

    7. CONFIGURANDO LA AUTENTICACION Y SEGURIDAD

    Para la autenticación AAA


    CCNAS-ASA(config)#username admin password cisco123
    CCNAS-ASA(config)#aaa authentication ssh console LOCAL
    CCNAS-ASA(config)#aaa authentication telnet console LOCAL

    Para la configuración de SSH

    CCNAS-ASA(config)#crypto key generate rsa modulus 1024


    WARNING: You have a RSA keypair already defined named <Default-RSA-Key>.

    Do you really want to replace them? [yes/no]: y


    Carrera: Ingeniería en Telecomunicaciones Materia: SCO310 “Seguridad de redes en telecomunicaciones”
    Docente: Marco Antonio Arenas Porcel

    Keypair generation process begin. Please wait...


    CCNA-ASA(config)#ssh 192.168.1.0 255.255.255.0 inside
    CCNA-ASA(config)#ssh 200.87.100.2 255.255.255.255 outside
    CCNA-ASA(config)#ssh timeout 10

    Para enrutamiento, que en nuestro caso no se aplica debido a que nuestro firewall solo
    se conecta a un switch.
    CCNAS-ASA(config)#route outside 0.0.0.0 0.0.0.0 200.87.100.2

    Este es un ejemplo si se tuviera a 200.87.100.2 como next hop de nuestra red.


    Para ver si se creo la ruta se usa lo sgte
    CCNAS-ASA#show route
    Carrera: Ingeniería en Telecomunicaciones Materia: SCO310 “Seguridad de redes en telecomunicaciones”
    Docente: Marco Antonio Arenas Porcel

    8. CREANDO OBJETOS DE AGRUPACIÓN DE PERMISOS Y RESTRICCIONES

    CCNAS-ASA(config)#object network inside-net


    CCNAS-ASA(config)#subnet 192.168.1.0 255.255.255.0
    CCNAS-ASA(config)#nat (inside,outside) dynamic interface
    CCNAS-ASA(config)#end

    Para verificar lo anterior se usa:

    CCNAS-ASA $show run object


    CCNAS-ASA $show run nat
    CCNAS-ASA $show xlate
    NOTA.- cabe resaltar que los comandos anteriores no están disponibles en packet tracer.

    Para configurar el MPF


    CCNAS-ASA(config)#class-map inspection_default
    CCNAS-ASA(config-cmap)#match default-inspection-traffic
    CCNAS-ASA(config-cmap)#exit

    CCNAS-ASA(config)#policy-map global_policy
    CCNAS-ASA(config-pmap)#class inspection_default
    CCNAS-ASA(config-pmap-c)#inspect icmp
    CCNAS-ASA(config-pmap-c)#exit

    CCNAS-ASA(config)#service-policy global_policy global


    Carrera: Ingeniería en Telecomunicaciones Materia: SCO310 “Seguridad de redes en telecomunicaciones”
    Docente: Marco Antonio Arenas Porcel

    9. CONFIGURANDO EL DHCP

    CCNAS-ASA(config)#dhcpd address 192.168.1.5-192.168.1.36 inside


    CCNAS-ASA(config)#dhcpd dns 209.165.201.2 interface inside
    CCNAS-ASA(config)#dhcpd enable inside

    Para dar el dchp a la interfaz


    CCNAS-ASA(config)#interface ethernet 0/2
    CCNAS-ASA(config-if)#ip address dhcp

    10. CREANDO LA DMZ

    CCNAS-ASA(config)#interface vlan 3
    CCNAS-ASA(config-if)#nameif dmz
    ERROR: This license does not allow configuring more than 2 interfaces with nameif and
    without a "no forward" command on this interface or on 1 interface(s) with nameif already
    configured.
    NOTA.- cabe resaltar que el Packet no soporta mas de dos vlan como es lo requerido.
    11. CONFIGURANDO LA DMZ
    CCNAS-ASA(config-if)#interface vlan 3
    CCNAS-ASA(config-if)#no forward interface vlan 1
    CCNAS-ASA(config)#interface ethernet 0/2
    CCNAS-ASA(config-if)#switchport access vlan 3
    12. PONIENDO IP A LA VLAN
    CCNAS-ASA(config)#interface Vlan3
    CCNAS-ASA(config-if)#security-level 50
    CCNAS-ASA(config-if)#ip address 192.168.2.1 255.255.255.0
    CCNAS-ASA(config-if)#no shutdown
    Carrera: Ingeniería en Telecomunicaciones Materia: SCO310 “Seguridad de redes en telecomunicaciones”
    Docente: Marco Antonio Arenas Porcel

    13. VERIFIQUE EL ESTADO DE SUS INTERFACES


    CCNAS-ASA# show ip address
    14. ONFIGURANDO NAT PARA NUESTRA RED
    CCNAS-ASA(config)#object network dmz-server
    CCNAS-ASA(config-network-object)#host 192.168.2.3
    CCNAS-ASA(config-network-object)#nat (dmz,outside) static 209.165.200.227

    CONFIGURANDO ACL’S
    Esto para garantizar y cuidar el tráfico hacia la DMZ
    CCNAS-ASA(config)#access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3 eq 80
    CCNAS-ASA(config)# access-group OUTSIDE-DMZ in interface outside

    También podría gustarte