DSS101

FACULTAD DE INGENIERÍA
Escuela de Electrónica

G07 _CONFIGURACIÓN BASICA FIREWALL ASA

COMPETENCIAS

- El estudiante configura redes básicas con firewall ASA.

- El estudiante configura DHCP, NAT, SSH, en firewall ASA.

MATERIALES Y EQUIPOS

- Computador con Simulador Packet-Tracer 8.2.1

INTRODUCCION

La seguridad perimetral es una de las piezas clave de la política de seguridad de una empresa
cuando se conecta a Internet y por regla general es implementada en cortafuegos (Firewall). un
dispositivo hardware capaz de analizar todas las conexiones entrantes/salientes
simultáneamente.

- EL firewall trabaja con listas de reglas de seguridad.

- El ASA analiza y registra las conexiones entrantes y salientes implementando NAT. Lo que
permite tener el control en todo momento de las conexiones establecidas y rechazar
conexiones no permitidas.
- El ASA define zonas de seguridad (Inside, Dmz, Outside) las cuales se asocian con niveles
100, 50 y 0 respectivamente.

1
 DSS101

PARTE I: CONFIGURACION BASICA ASA

1. Implemente la siguiente topología, utilice ASA-5506X

172.16.0.2 /16

DMZ
172.16.0.1 /16 Security 50
DHCP
192.168.10.0 /24

192.168.10.1 /24 10.0.13.150 /22

10.0.12.2 /22
Inside outside
Security 100 Security 0

CLI -ASA5506

ciscoasa > enable Cambia a modo usuario

password: <presione enter> Presione enter
ciscoasa # show version Muestra la versión de IOS

ciscoasa # configure terminal Config. global

(config) # hostname ASA5506 Cambia el nombre

ASA5506 (config) # interface gigabitethernet 1/1 Interface g 1/1

ASA5506 (config-if) # ip address 192.168.10.1 255.255.255.0 Asigna dirección IP
ASA5506 (config-if) # nameif inside Zona inside
ASA5506 (config-if) # security-level 100 Nivel seguridad 100
ASA5506 (config-if) # no shutdown Enciende la interfaz
ASA5506 (config-if) # exit

ASA5506 (config) # interface gigabitethernet 1/2 Interface g 1/2

ASA5506 (config-if) # ip address 172.16.0.1 255.255.0.0 Asigna dirección IP
ASA5506 (config-if) # nameif DMZ Zona DMZ
ASA5506 (config-if) # security-level 50 Nivel seguridad 50
ASA5506 (config-if) # no shutdown Enciende la interfaz
ASA5506 (config-if) # exit

ASA5506 (config) # interface gigabitethernet 1/3 Interface g 1/3

ASA5506 (config-if) # ip address 10.0.13.150 255.255.252.0 Asigna dirección IP
ASA5506 (config-if) # nameif outside Zona outside
ASA5506 (config-if) # security-level 0 Nivel seguridad 0
ASA5506 (config-if) # no shutdown Enciende la interfaz
ASA5506 (config-if) # exit

ASA5506 (config) # route outside 0.0.0.0 0.0.0.0 10.0.12.1 Ruta por defecto
ASA5506 (config) # write memory Guarda la configuración.

2
 DSS101

PARTE II: CONFIGURACION DHCP

2. Configure el servicio de direccionamiento automático DHCP para la zona inside
172.16.0.2 /16

DMZ
172.16.0.1 /16 Security 50
DHCP
192.168.10.0 /24

192.168.10.1 /24 10.0.13.150 /22

10.0.12.2 /22
Inside outside
Security 100 Security 0

CLI -ASA5506

ASA5506 (config) # dhcpd address 192.168.10.10-192.168.10.50 inside Pool DHP

ASA5506 (config) # dhcpd option 3 ip 192.168.10.1 Gateway
ASA5506 (config) # dhcpd dns 172.16.0.2 Dirección DNS
ASA5506 (config) # dhcpd enable inside Activa el servicio
ASA5506 (config) # write memory Guarda la config.

3. Configure los computadores de la zona inside para que tomen direccionamiento

automático.

4. Configure de forma manual las direcciones IP de Server0 y del PC3

3
 DSS101

5. Haga pruebas de conectividad desde el firewall a cada computador conectado en sus

interfaces.

6. Verifique la configuración de las interfaces del firewall haciendo uso del comando:

- show ip address Muestra las configuraciones Ip de las interfaces

7. Haga pruebas desde cada computador a su respectiva interfaz del ASA

¡Todas deberán ser exitosas!

4
 DSS101

PARTE III: CONFIGURACION NAT

8. Configure NAT creando dos objetos de red que representen las subredes inside y DMZ. A
cada uno de estos objetos, se les realizara una traducción de direcciones asignándoles la
dirección de la interfaz outside

172.16.0.2 /16

DMZ
172.16.0.1 /16 Security 50
DHCP
192.168.10.0 /24

192.168.10.1 /24 10.0.13.150 /22

10.0.13.151 /22
10.0.12.2 /22
Inside outside
Security 100 Security 0

CLI -ASA5506

ASA5506 (config) # object network inside-outside Objeto de red

ASA5506 (config-network-object) # subnet 192.168.10.0 255.255.255.0 Dirección de red
ASA5506 (config-network-object) # nat (inside, outside) dynamic interface Nat dinámico
ASA5506 (config-if) # exit

ASA5506 (config) # object network dmz-outside Objeto de red

ASA5506 (config-network-object) # host 172.16.0.2 Dirección de host
ASA5506 (config-network-object) # nat (DMZ, outside) static 10.0.13.151 Nat estatico
ASA5506 (config-if) # exit

ASA5506 (config) # write memory Guarda la config.

Guarda la config.
9. Haga pruebas de conectividad desde la red inside hacia la red outside.
Haga pruebas de conectividad desde la red DMZ hacia la red outside
Haga pruebas de conectividad desde la red inside hacia la red DMZ
Las pruebas no serán exitosas pero el Firewall registrara las traducciones NAT.

5
 DSS101

10. Verifique las traducciones Nat realizadas haciendo uso de los comandos:

- show nat Verifica las traducciones dinámicas de NAT

- show xlate Verifica las traducciones estáticas de NAT

PARTE IV: CONFIGURACION SSH

11. Ahora realice las configuraciones para establecer conexiones por SSH
CLI -ASA5506

ASA5506 (config) # username tilin password vamostilin Usuario y password

ASA5506 (config) # aaa authentication ssh console local Autenticación aaa
ASA5506 (config) # ssh 192.168.10.0 255.255.255.0 inside red permitida
ASA5506 (config) # ssh timeout 30 Tiempo de fallo
ASA5506 (config) # write memory Guarda la config.

- Desde PC2 Haga uso del comando ssh -l tilin 192.168.10.1 (menos ELE)