Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Configuracion FW - ASA

    Cargado por

    enriquejsantiago
    38 vistas18 páginas
    Configuracion ASA

    Título original

    Configuracion FW- ASA

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Configuracion ASA

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    38 vistas18 páginas

    Configuracion FW - ASA

    Cargado por

    enriquejsantiago
    Configuracion ASA

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 18

    Configuracin FW- ASA

    Ing. Enrique Santiago, PhD

    Caso de estudio

    Parmetros Bsicos
    interfaces:
    -inside (niveles:100)
    -outside (nivel: 0)
    -dmz(nivel:50)
    Regla: No se puede pasar de un nivel de
    seguridad menor(0) a uno mayor(50/100)

    Configuracin
    Borrar la configuracin por defecto:
    ----------------------------------------------------------------------------------Ciscoasa>enable
    Ciscoasa#conf t
    ciscoasa (config)# write erase
    Erase ASA configuration in flash memory? [confirm] <Enter>
    ciscoasa (config)# reload
    Proceed with reload? [confirm} <Enter>
    Pre-configure ASA Firewall through interactive prompts [yes]?
    Ctrl + Z
    ciscoasa>

    Parmetros Bsicos
    Si el ASA 5505 No tiene configuracin
    Inicial:
    ----------------------------------------------------------------------------Ciscoasa>enable
    Ciscoasa#conf t
    Ciscoasa(conf)#hostname ASA5505
    ASA5505(conf)#exit
    ASA5505#show switch vlan

    Parmetros Bsicos
    Definir para la Vlan 1 la zona TRUST y el
    direccionamiento:
    -----------------------------------------------------------------------------ASA5505>enable
    ASA5505#conf t
    ASA5505(conf)#int vlan 1
    ASA5505(conf)#nameif inside
    ASA5505(conf)#security-level 100
    ASA5505(conf)#ip add 192.168.1.1 255.255.255.0
    ASA5505(conf)#no shut
    ASA5505(conf)#exit
    ASA5505#

    Parmetros Bsicos
    Definir para la Vlan 2 la zona UNTRUST y el direccionamiento:
    -----------------------------------------------------------------------------ASA5505>enable
    ASA5505#conf t
    ASA5505(conf)#int vlan 2
    ASA5505(conf)#nameif outside
    ASA5505(conf)#security-level 0
    ASA5505(conf)#ip add 200.30.75.1 255.255.255.0
    ASA5505(conf)#no shut
    ASA5505(conf)#exit
    ASA5505#
    ASA5505#show switch vlan //consultar vlans activas

    Parmetros Bsicos
    Asociar interfaces a cada zona recin creada (Trust):
    ----------------------------------------------------------------------------ASA5505>enable
    ASA5505#conf t
    ASA5505(conf t)#int e0/0
    ASA5505(conf t)# switchport mode access
    ASA5505(conf t)# switchport access vlan 1
    ASA5505(conf t)# no shut
    ASA5505(conf t)# exit

    Parmetros Bsicos
    Asociar interfaces a cada zona recin creada
    (UnTrust):
    ----------------------------------------------------------------------------ASA5505>enable
    ASA5505#conf t
    ASA5505(conf t)#int e0/1
    ASA5505(conf t)# switchport mode access
    ASA5505(conf t)# switchport access vlan 2
    ASA5505(conf t)# no shut
    ASA5505(conf t)# exit

    Configuracin de
    enrutamiento
    Configuracin de enrutamiento dinmico:
    ----------------------------------------------------------------------------ASA5505>enable
    ASA5505#conf t
    ASA5505(conf t)#router rip
    ASA5505(conf t)# network 192.168.1.0
    ASA5505(conf t)# network 200.30.75.0
    ASA5505(conf t)# exit
    Nota: Los host entre zonas no contestan mensajes
    ICMP

    Configuracin de NAT
    Configuracin de Translacin de direcciones de Red:
    ----------------------------------------------------------------------------ASA5505>enable
    ASA5505#conf t
    ASA5505(conf t)#nat (inside) 1 0 0 // 1=nat-id, 0=all netw.
    ASA5505(conf t)#global (outside) 1 interface // 1=nat-id,
    interface=pat

    Luego se debe definir ruta estatica:


    ASA5505(conf t)# route (outside) 0 0 200.30.75.2

    Incluyendo Servidores
    Pblicos

    Configuracin de NAT
    esttico
    Configuracin de Translacin de direcciones de
    Red y reenvio de puertos:
    ----------------------------------------------------------------------------ASA5505>enable
    ASA5505#conf t
    ASA5505(conf t)#access-list reenvio permit tcp any host
    200.30.75.3 eq 80
    ASA5505(conf t)# access-group reenvio in interface outside
    ASA5505(conf t)# static (inside,outside) tcp 200.30.75.3 www
    192.168.1.101 www netmask 255.255.255.255

    Configuracin de ACLs
    Configuracin de listas de control de acceso,
    personalizadas:
    ----------------------------------------------------------------------------ASA5505#conf t
    ASA5505(config)#access-list OUTSIDE_IN extended
    permit tcp any host 190.30.20.1 eq www
    ASA5505(config)# access-list OUTSIDE_IN extended
    permit tcp any host 190.30.20.1 eq 443
    ASA5505(config)# access-group OUTSIDE_IN in interface outside
    ASA5505(config)#end

    Configuracin de SSH
    Creacin de usuarios y puesta en marcha del servicio
    SSH:
    -----------------------------------------------------------------------------ASA5505#conf t
    ASA5505(config)#username soporte password s0p0rt3
    ASA5505(config)#passwd c0mpl1c4d0
    ASA5505(config)# crypto key generate rsa modulus 512 //1024
    Contestar yes
    ASA5505(config)# aaa authentication ssh console LOCAL
    ASA5505(config)#ssh 0.0.0.0 0.0.0.0 inside
    ASA5505(config)#ssh 0 0 outside
    //Algunas versiones del IOS - configurar enable password

    Configuracin de Polticas de
    Inspeccin (1/2)
    Configuracin policy-map y poltica de inspeccin:
    -----------------------------------------------------------------------------ASA5505#conf t
    ASA5505(config)#policy-map politica_global
    ASA5505(config)#class inspection_default
    ASA5505(config-c)#inspect icmp
    ASA5505(config-c)#inspect dns preset_dns_map
    ASA5505(config-c)#inspect ftp
    ASA5505(config-c)#inspect h323 h225
    ASA5505(config-c)#inspect h323 ras
    ASA5505(config-c)#inspect netbios
    ASA5505(config-c)#inspect rsh

    Configuracin de Polticas de
    Inspeccin (2/2)
    Configuracin policy-map y poltica de inspeccin:
    -----------------------------------------------------------------------------ASA5505(config-c)#inspect rtsp
    ASA5505(config-c)#inspect skinny
    ASA5505(config-c)#inspect esmtp
    ASA5505(config-c)#inspect sqlnet
    ASA5505(config-c)#inspect sunrpc
    ASA5505(config-c)#inspect tftp
    ASA5505(config-c)#inspect sip
    ASA5505(config-c)#inspect xdmcp
    // Luego aplicamos la politica global o a solo una interface asi:
    ASA5505(config)# service-policy politica_global interface outside
    ASA5505(config-c)#end
    ASA5505#wr

    Caso de estudio Propuesto

    También podría gustarte