DSS104

FACULTAD DE INGENIERÍA
Escuela de Electrónica

G10 _FIREWALL ACL

COMPETENCIAS

- El estudiante configura redes básicas con firewall ASA.

- El estudiante configura AC-L en firewall ASA y acceso a servicios.

MATERIALES Y EQUIPOS

- Computador con Simulador Packet-Tracer 8.2.1

INTRODUCCION

Las listas de control de acceso (ACL) son herramientas utilizadas en redes

informáticas para controlar y establecer políticas de seguridad que determinen quién
tiene permitido o denegado el acceso a recursos.

IPV4 ACL RANGO RANGO

ACL Estándar (Nombrada/Numerada) 1 – 99 1300 - 1999

ACL Extendida (Nombrada/Numerada) 100 – 199 2000 - 2699

IPV6 ACL NOMBRADA
ACL Extendida)

ACL estándar permite o deniega tráficos completos TCP/IP basados en una dirección
de origen.
access-list n deny 192.168.1.0 0.0.0.255
access-list n deny any Denegación implícita

ACL extendida permite o deniega tráficos TCP/UDP/IP/ICMP basados en una

dirección de origen/destino y números de puertos específicos.
access-list n deny tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq www
access-list n deny any any Denegación implícita

JEREMIAS 32:25 1
 DSS104

PARTE I: INSPECCION DE PAQUETES

1. Abra la topología de la practica pasada y Configure la política de inspección de

trafico de paquetes DSS104, la cual deberá realizar la inspección con criterios sobre
protocolos específicos y aplique la política sobre la interfaz inside.
172.16.0.2 /16

DMZ
172.16.0.1 /16 Security 50
DHCP
192.168.10.0 /24

192.168.10.1 /24 10.0.13.150 /22

10.0.13.151 /22
10.0.12.2 /22
Inside outside
Security 100 Security 0

La política permitirá la salida de protocolos que se especifique.

CLI -ASA5506

ASA5506 (config) # class-map udb Mapa de clases

ASA5506 (config-cmap) # match default-inspection -traffic Criterios de conf.
ASA5506 (config-cmap) # exit
ASA5506 (config) # policy-map DSS104 Política de Inspección
ASA5506 (config-pmap) # class udb Vincula la clase
ASA5506 (config-pmap-c) # inspect icmp Inspección de ICMP
ASA5506 (config-pmap-c) # inspect ftp Inspección de FTP
ASA5506 (config-pmap-c) # inspect dns Inspección de DNS
ASA5506 (config-pmap-c) # inspect http Inspección de HTTP
ASA5506 (config-pmap-c) # exit
ASA5506 (config) # service-policy DSS104 interface inside Establece política
ASA5506 (config) # write memory Guarda la config.

2. Haga pruebas de conectividad desde la red inside hacia la red outside.

Haga pruebas de conectividad desde la red inside hacia la red DMZ
Las pruebas serán exitosas y el Firewall registrara las traducciones NAT.

JEREMIAS 32:25 2
 DSS104

3. Haga pruebas de conectividad desde la red outside hacia la red inside.

Haga pruebas de conectividad desde la red DMZ hacia la red inside.

4. Verifique las traducciones Nat realizadas haciendo uso de los comandos:

- show nat Verifica las traducciones dinámicas de NAT
- show xlate Verifica las traducciones estáticas de NAT

JEREMIAS 32:25 3
 DSS104

PARTE II: SERVICIOS DE RED

5. Configure en Server0 el servicio DNS (Resolución de nombres y direcciones) de

la siguiente manera.
PC1 PC2 Server0 PC3
Dirección IP 192.168.10.10 192.168.10.11 172.16.0.2 10.0.12.2

Nombre picara perversa www.horchata.sv Mentirosa

6. Levante/active el servicio de correo electrónico con el dominio horchata.sv,

también deberá crear dos usuarios/clientes y configurar como se muestra a
continuación
Usuario: ozuna Password: farsante PC1
Usuario: yanira Password: corazonbello PC2

7. Levante/active el servicio FTP creando dos usuarios

Usuario: Rosalia Password: motomami Permisos: Todos
Usuario: suapelido Password: nambechele Permisos: Todos

8. Levante/active el servicio web, colocando en la página como título SDR404 y en

el cuerpo de la página sus apellidos, grupo de laboratorio y el escudo del
Barcelona.

9. Compruebe el funcionamiento de cada uno de los servicios desde PC1 y PC2

Desde la zona OUTSIDE no es posible alcanzar los servicios del servidor

JEREMIAS 32:25 4
 DSS104

PARTE III: LISTAS DE ACCESO

10. Configure listas de accesos para permitir que los servicios del servidor DMZ
puedan ser alcanzados por la zona outside
172.16.0.2 /16

DMZ
172.16.0.1 /16 Security 50
DHCP
192.168.10.0 /24

192.168.10.1 /24 10.0.13.150 /22

10.0.13.151 /22
10.0.12.2 /22
Inside outside
Security 100 Security 0

CLI -ASA5506

ASA5506 (config) # access-list R-out extended permit icmp any host 10.0.13.150 ICMP
ASA5506 (config) # access-list R-out extended permit icmp any host 10.0.13.151 ICMP
ASA5506 (config) # access-list R-out extended permit tcp any host 10.0.13.151 eq ftp port 21
ASA5506 (config) # access-list R-out extended permit tcp any host 10.0.13.151 eq pop3 port110
ASA5506 (config) # access-list R-out extended permit tcp any host 10.0.13.151 eq smtp port 25
ASA5506 (config) # access-list R-out extended permit tcp any host 10.0.13.151 eq www port 80
ASA5506 (config) # access-list R-out extended permit tcp any host 10.0.13.151 eq domain port 53
ASA5506 (config) # access-list R-out extended permit udp any host 10.0.13.151 eq domain port 53
ASA5506 (config) # access-list R-out extended permit tcp any host 10.0.13.151 eq 443 https
ASA5506 (config) # access-list R-out extended permit tcp any host 10.0.13.151 eq 995 pop3
ASA5506 (config) # access-list R-out extended permit tcp any host 10.0.13.151 eq 933 imap
ASA5506 (config) # access-list R-out extended permit tcp any host 10.0.13.151 eq 465 smtp

ASA5506 (config) # access-group R-out in interface outside Aplicación de acl

ASA5506 (config) # write memory Guarda la config.

11. Compruebe el funcionamiento de cada uno de los servicios desde PC3 outside
Todas las pruebas de los servicios serán exitosos desde la zona outside

JEREMIAS 32:25 5