Scribd
Cargar
43 vistas38 páginas

Configuración de Firewall Cisco ASA 5506-X

La Clase 12 de la Academia de Ciberseguridad se centra en la configuración de un Firewall, abordando aspectos como la configuración inicial, DHCP, ruteo, NAT y políticas. Se detalla cómo habilitar el servidor DHCP en el Firewall Cisco ASA 5506-X, así como la implementación de NAT y la creación de políticas de tráfico. Además, se explican los comandos necesarios para configurar y verificar cada uno de estos elementos en el dispositivo de seguridad.

Cargado por

vzlui63
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
43 vistas38 páginas

Configuración de Firewall Cisco ASA 5506-X

La Clase 12 de la Academia de Ciberseguridad se centra en la configuración de un Firewall, abordando aspectos como la configuración inicial, DHCP, ruteo, NAT y políticas. Se detalla cómo habilitar el servidor DHCP en el Firewall Cisco ASA 5506-X, así como la implementación de NAT y la creación de políticas de tráfico. Además, se explican los comandos necesarios para configurar y verificar cada uno de estos elementos en el dispositivo de seguridad.

Cargado por

vzlui63
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Clase 12. Firewall.

Parte II

Academia Ciberseguridad

Academia Clase 12 1 / 38
Contenido

1 Configuración inicial Firewall

2 Configuración DHCP

3 Configuración de ruteo

4 Configuración NAT

5 Configuración de Polı́ticas

Academia Clase 12 2 / 38
Configuración inicial Firewall

Contenido

1 Configuración inicial Firewall

2 Configuración DHCP

3 Configuración de ruteo

4 Configuración NAT

5 Configuración de Polı́ticas

Academia Clase 12 3 / 38
Configuración inicial Firewall

Configuración Firewall

Partiremos de la siguiente configuración:

Academia Clase 12 4 / 38
Configuración inicial Firewall

Tabla de Direccionamiento

Tabla de Direccionamiento.
Puerta de
Dispositivo Interface Dirección IP Máscara de red
enlace
Firewall ASA
Management 1/1 192.168.1.1 255.255.255.0 -
5506-X
Gigabit 1/1 10.1.1.1 255.0.0.0 -
Router 2911 Gigabit 0/1 10.1.1.2 255.0.0.0 -
Gigabit 0/0 8.8.8.1 255.0.0.0 -
Servidor
DNS,HTTP, FastEthernet 0/0 8.8.8.8 255.0.0.0 8.8.8.1
DHCP
PC Administra-
FastEthernet 0/0 192.168.1.2 255.255.255.0 192.168.1.1
dor
PC Usuario FastEthernet 0/0 192.168.1.3 255.255.255.0 192.168.1.1
Switch 2960 - - - - -

Academia Clase 12 5 / 38
Configuración inicial Firewall

Configuración inicial

Verificamos la configuración inicial y encendemos las interfaces que se en-


cuentren apagadas.

Cada interfaz debe tener un nombre y un nivel de seguridad, que va de 0 a


100.

El nivel de seguridad designa la confiabilidad de una interfaz en


relación con otras interfaces.
La interfaz outside debe tener un nivel de seguridad 0.
La interfaz inside debe tener un nivel de seguridad 100.

Academia Clase 12 6 / 38
Configuración DHCP

Contenido

1 Configuración inicial Firewall

2 Configuración DHCP

3 Configuración de ruteo

4 Configuración NAT

5 Configuración de Polı́ticas

Academia Clase 12 7 / 38
Configuración DHCP

DHCP I

El Firewall Cisco ASA 5506-X puede actuar como servidor DHCP para los
clientes.

Puede configurar un servidor DHCP en cada interfaz del dispositivo de se-


guridad adaptable.

Cada interfaz puede tener su propio conjunto de direcciones desde las que
asignar direcciones.

Un agente de retransmisión DHCP permite que el dispositivo de seguridad


adaptable reenvı́e las solicitudes DHCP de los clientes en una interfaz a un
servidor DHCP que está conectado a una interfaz diferente.

Academia Clase 12 8 / 38
Configuración DHCP

DHCP II

No puede configurar un cliente DHCP o servicios de retransmisión DHCP


en una interfaz en la que el servidor DHCP ya está habilitado.

Además, los clientes DHCP deben estar conectados directamente a la inter-


faz en la que está habilitado el servidor DHCP del dispositivo de seguridad
Cisco ASA.

Para configurar un servidor DHCP en el dispositivo de seguridad Cisco ASA,


complete las siguientes tareas de configuración:
Habilite el servidor DHCP en una interfaz y cree un grupo de
direcciones DHCP.
Opcionalmente, configure las opciones de DHCP.
Opcionalmente, especifique los parámetros DHCP globales.

Academia Clase 12 9 / 38
Configuración DHCP

Configuración DHCP I

Pasos a realizar
1 Activamos servicio DHCP en PC Administrador y Usuario.

2 Habilitamos el servicio DHCP en la red interna o inside


Comandos
ASA5506(config)#dhcp enable inside

3 Configuramos servicio DHCP en Firewall


Comandos
ASA5506(config)#dhcp address 192.168.1.10-192.168.1.20 inside

Academia Clase 12 10 / 38
Configuración DHCP

Configuración DHCP II

4 Define una puerta de enlace predeterminada que se envı́a a los


clientes DHCP.
Comandos
ASA5506(config)#dhcp option 3 ip 192.168.1.1

Si no usa el comando dhcpd option 3 para definir la puerta de


enlace predeterminada, los clientes DHCP usan la dirección IP de la
interfaz de administración. Como resultado, DHCP ACK no incluye
esta opción. La interfaz de administración no enruta el tráfico.

Valor Tipo de mensaje Valor Tipo de mensaje


1 DHCPDISCOVER 5 DHCPACK
2 DHCPOFFER 6 DHCPNAK
3 DHCPREQUEST 7 DHCPRELEASE
4 DHCPDECLINE 8 DHCPINFORM

Academia Clase 12 11 / 38
Configuración DHCP

Configuración DHCP III

5 Configuramos DNS.La dirección IP del DNS se configura de manera


global, es decir todas las interfaces utilizarán este valor.
Comandos
ASA5506(config)#dhcp dns 8.8.8.8

6 Verificamos la configuración

Academia Clase 12 12 / 38
Configuración DHCP

Revisión de conectividad

Verificamos desde la PC Administrador si existe comunicación entre:

DHCP
ping 8.8.8.8

DNS
ping academia.com

HTTP. En el explorador web 8.8.8.8 y academia.com

No hay comunicación porque no se han configurado las polı́ticas de


enrutamiento.

Academia Clase 12 13 / 38
Configuración de ruteo

Contenido

1 Configuración inicial Firewall

2 Configuración DHCP

3 Configuración de ruteo

4 Configuración NAT

5 Configuración de Polı́ticas

Academia Clase 12 14 / 38
Configuración de ruteo

Configuración inicial

Verificamos la configuración inicial de ruteo del Firewall

Comandos
ASA5506#show route

Academia Clase 12 15 / 38
Configuración de ruteo

Configuración ruteo

Configuramos las reglas de ruteo mediante el Método de Default


Comandos
ASA5506(config)#route outside 0.0.0.0 0.0.0.0 10.1.1.2

Verificamos configuración (show route)

Academia Clase 12 16 / 38
Configuración NAT

Contenido

1 Configuración inicial Firewall

2 Configuración DHCP

3 Configuración de ruteo

4 Configuración NAT

5 Configuración de Polı́ticas

Academia Clase 12 17 / 38
Configuración NAT

NAT I

La tecnologı́a NAT (Network Address Translation) se desarrolló principal-


mente para superar los problemas de direccionamiento IP que se produjeron
con la expansión de Internet y para interconectar redes con espacios de
direcciones superpuestos.

A las redes privadas se les asignan direcciones IP que están destinadas solo
para uso local, por lo que se requiere que NAT traduzca direcciones IP
privadas (locales) en direcciones IP públicas (globales) enrutables.

Academia Clase 12 18 / 38
Configuración NAT

NAT II

El uso de NAT tiene los siguientes beneficios:

NAT mitiga el agotamiento de las direcciones IP públicas porque


muchos hosts privados pueden compartir las mismas direcciones IP
públicas. NAT también le permite utilizar direcciones IP privadas
internamente.

NAT conserva el plan de direccionamiento IP interno si cambia de


ISP y ambos ISP utilizan un espacio de direcciones público (global)
dependiente del proveedor.
NAT oculta el direccionamiento IP interno y la topologı́a de su red.

Academia Clase 12 19 / 38
Configuración NAT

NAT III

Existen diferentes tipos de NAT que se pueden configurar en un Firewall:

NAT dinámica
NAT estática
Identidad NAT
Exención de NAT
PAT (Port Address Translation) dinámica
PAT estático

Academia Clase 12 20 / 38
Configuración NAT

Auto NAT I

Auto NAT es la configuración NAT más simple en el dispositivo de segu-


ridad Cisco ASA 5506-X. También se le llama objeto NAT.

La configuración automática de NAT se define dentro del propio objeto.

Puede configurar tres tipos básicos de NAT:


1 Estático: traducción fija uno a uno
2 Dinámico: una traducción con una lista de direcciones de traducción
entre las que elegir
3 PAT dinámico (también llamado Ocultar): una o más direcciones
utilizadas simultáneamente por varios hosts de traducción

Academia Clase 12 21 / 38
Configuración NAT

Auto NAT II

La dirección de traducción de la dirección de origen se define eligiendo


interfaces de entrada y salida.

Puede utilizar una nueva definición de interfaz de cualquiera como definición


de interfaz de entrada o salida.

Academia Clase 12 22 / 38
Configuración NAT

Configuración NAT I

El primer paso es crear un objeto para la red inside


Comandos
ASA5506(config)#object network inside

Nota: inside es el nombre de nuestra interface.

A continuación se asigna la subred


Comandos
ASA5506(config-network-object)#subnet 192.168.1.0 255.255.255.0

Academia Clase 12 23 / 38
Configuración NAT

Configuración NAT II
Ahora la configuración NAT
Comandos
ASA5506(config-network-object)#nat (inside,outside) dynamic interface

Finalmente, revisamos la configuración

Academia Clase 12 24 / 38
Configuración de Polı́ticas

Contenido

1 Configuración inicial Firewall

2 Configuración DHCP

3 Configuración de ruteo

4 Configuración NAT

5 Configuración de Polı́ticas

Academia Clase 12 25 / 38
Configuración de Polı́ticas

Polı́ticas Capas 3 y 4
El Firewall ASA 5506-X utiliza polı́ticas de capas 3 y 4 para aplicar acciones
al tráfico.

Las polı́ticas se componen de lo siguiente:


Mapas de clase (Class maps): identifica el tráfico según la
información de las capas 3 y 4 de OSI.
Mapas de polı́ticas (Policy maps): especifica las acciones que se
deben aplicar al tráfico.
Polı́tica de servicio (Service policy ): aplica mapas de polı́ticas a una
interfaz o globalmente a todas las interfaces.

Academia Clase 12 26 / 38
Configuración de Polı́ticas

Class maps

Para identificar el tráfico mediante el uso de Class maps:

Especifique un nombre para un mapa de clase

Definir atributos coincidentes o match:


Lista de acceso
Cualquier paquete
IP DSCP
flujo de IP
Puertos TCP y UDP
Precedencia de IP
Números de puerto RTP
Grupo de túnel VPN
Tráfico de inspección predeterminado

Academia Clase 12 27 / 38
Configuración de Polı́ticas

Configuración de polı́ticas

La configuración de polı́ticas se divide en tres pasos:

1 Cree un mapa de clases e identifique qué tráfico debe coincidir.

2 Cree un mapa de polı́ticas y aplique acciones a las clases de tráfico.

3 Aplique el mapa de polı́ticas a una interfaz o de forma global


mediante una polı́tica de servicio.

Academia Clase 12 28 / 38
Configuración de Polı́ticas

Paso 1. Class map I

Cree un mapa de clases e identifique qué tráfico debe coincidir.


Comandos
ASA5506(config)#class-map inspection_default

Comandos
ASA5506(config-cmap)#match ?

Academia Clase 12 29 / 38
Configuración de Polı́ticas

Paso 1. Class map II

Comandos
ASA5506(config-cmap)#match default-inspection-traffic

Academia Clase 12 30 / 38
Configuración de Polı́ticas

Paso 2. Policy map I

Cree un mapa de polı́ticas y aplique acciones a las clases de tráfico.


Comandos
ASA5506(config)#policy-map global_policy

Ahora configuramos las clases de inspección.


Comandos
ASA5506(config-pmap)#class inspection_default

Academia Clase 12 31 / 38
Configuración de Polı́ticas

Paso 2. Policy map II

Después configuramos los tipos de paquetes que se pueden inspeccionar


Comandos
ASA5506(config-pmap-c)#inspect ?

Probemos con ICMP, para poder realizar un ping.


Comandos
ASA5506(config-pmap-c)#inspect icmp

Academia Clase 12 32 / 38
Configuración de Polı́ticas

Paso 3. Service policy I

Aplique el mapa de polı́ticas a una interfaz o de forma global mediante una


polı́tica de servicio.
Comandos
ASA5506(config)#service-policy global_policy global

Academia Clase 12 33 / 38
Configuración de Polı́ticas

Revisión de configuración I

Revisamos la configuración

Revisemos comunicación con DHCP, DNS y HTTP.

Academia Clase 12 34 / 38
Configuración de Polı́ticas

Configuración de servicios HTTP


Configuramos HTTP.
Comandos
ASA5506(config)#policy-map global_policy
ASA5506(config-pmap)#class inspection_default
ASA5506(config-pmap-c)#inspect http

Verificamos configuración y conexión

Academia Clase 12 35 / 38
Configuración de Polı́ticas

Configuración DNS I

Configuramos DNS.

Verificamos la configuración y vemos que ya hay una polı́tica existente.

Eliminamos la configuración previa.


Comandos
ASA5506(config)#no policy-map type inspect dns preset_dns_map

Academia Clase 12 36 / 38
Configuración de Polı́ticas

Configuración DNS II

Configuramos
Comandos
ASA5506(config)#policy-map type inspect dns preset_dns_map
ASA5506(config-pmap)#?
exit Exit from policy-map configuration mode
no Negate or set default values of a command
parameters Specify this keyword to enter policy parameters.

ASA5506(config-pmap)#parameters

ASA5506(config-pmap-p)#?
exit Exit from policy-map configuration mode
message-length DNS message length
no Negate or set default values of a command
ASA5506(config-pmap-p)#message-length ?
mode commands/options:
maximum Maximum value

ASA5506(config-pmap-p)#message-length maximum 512

Academia Clase 12 37 / 38
Configuración de Polı́ticas

Configuración DNS III

Configuramos la Policy map


Comandos
ASA5506(config)#policy-map global_policy
ASA5506(config-pmap)#class inspection_default
ASA5506(config-pmap-c)#inspect dns preset_dns_map

Comprobamos configuración y conexión

Academia Clase 12 38 / 38

También podría gustarte