Your SlideShare is downloading. ×
Practica con firewall asa
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Practica con firewall asa

3,363
views

Published on

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
3,363
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
144
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Practica con firewall ASAEn la práctica que observaremos a continuación, se establecerá unaconexión con el fin de poner a prueba los parámetros funcionales delos dispositivos activos enfocados a la seguridad y el filtrado deservicios y paquetesProseguimos con al configuración previa de la interfaces de red ydemás detalles importantes para la conectividad.
  • 2. Aquí podemos observar parámetros configurados tales como laasignación de la ip a cada interfas,nivel de seguridad.todo esto fueefectuados en el ASAPodremos observar la configuración de interfaces también en losrouterAcontinuacion les explicare la configuración previa de algunosparámetros un poco desconocios para algunos.
  • 3. Asiganaremos el security-level o “nivel de seguridad”Para que sea un poco más claro , como cada interfaz tiene un“security-level” asignado , de la forma:-Inside: security-level 100-dmz: security-level 50-outside: security-level 0De esta forma, asignamos, en forma jerárquica, el número más alto, esel que tiene más seguridad en comparacion de las restantes, aunquela dmz, es donde están todos nuestros servicios/servidores estos,también son vistos algunos en la internet, como la página web de laorg, concluyendo, de forma predeterminada, la inside podría ver a lasdemás redes, pero no de forma inversa.
  • 4. En primer lugar verificaremos la conectividad realizando un ping desdelos router ala puerta de enlace del ASA Ping desde el dmz ala puerta de enlace
  • 5. Del asa al R1Del asa al dmz
  • 6. En este caso nuestro servidor web es un router entonces necesitamosuna ruta para poder realizar la conexión entre redes diferentesHaora tenemos que relizarun acces-list para poder permitir la conexióndesde el cliente hasta el servidor webASA(config)# access-list pingc permit icmp any any echo-replyASA(config)# access-list pingc permit icmp any anyunreachableASA(config)# access-list pingc deny icmp any any
  • 7. Asiganaremos al acces-list a la interfaz dmzEfectuamos el ping desde el cliente hasta la webPodemos apreciar que fue exitoso
  • 8. Habilitaremos la administración por webASA (config)#ip http serverASA (config)#ip http secure-serverCreamos un access-list para ingresar desde la inside al servidor webASA(config)# access-list web permit tcp 192.168.1.0 255.255.255.0host 192.168.2.2 eq 80Luego denegamos el trafico restante para evitar problemas deseguridadASA(config)# access-list web deny ip any anyAsignamos la acceslist a la interfaz correspondienteASA(config-if)# access-group WEB in interface inside
  • 9. Aqui podemos observer como accedemos a via webcrearemos una ruta por defecto, para que todo el tráfico entrante ysaliente hacia y desde el internet sea por la ruta que definamos, quecasi siempre será una ruta que la ISP nos asigna
  • 10. tendremos que asignar una ruta por defecto para que el tráfico queque haya conectividad entre el cliente de la lan y el servidor WEB einternet una ruta estatica.syo(config)#iproute 0.0.0.0 0.0.0.0 192.168.1.2También tendremos que asignar una ruta por defecto para que eltráfico que viene desde internet pueda comunicarse con nuestro ASA.dmz(config)#iproute 0.0.0.0 0.0.0.0 200.200.1.1
  • 11. ahora, asignaremos una IP pública que rentaremos para poder ver elservidor Web desde internet usando NATdmz(config)# static (dmz,outside) 200.200.1.15 192.168.2.2 netmask255.255.255.255tenemos que crear una access-list para poder permitir las peticioneshttp en nuestra red, desde la outside.ASA(config)# access-list publica permit tcp any 200.200.1.15255.255.255.0 eq 80ASA(config)# access-list public deny ip any anyASA(config)# interface ethernet 0/2ASA(config-if)# access-group publica in interface outsideHagamos una prueba lo anterior simulando un cliente de internet
  • 12. Crearemos un POOL de direcciones públicas para que nuestrosusuarios de nuestra inside (LAN), puedan salir a internetPara que los usuarios de la inside “LAN”, puedan realizar una peticiónde nuestro servidor Web local y no tengan que recorrer internet paraencontrarlo, hacemos un nat“0” en el ASA y como global, asignaremosun rango de direcciones públicas para que nuestros clientes puedansalir a internetASA(config)# nat (inside) 0 192.168.1.0 255.255.255.0ASAconfig)# global (outside) 1 200.200.1.3-200.200.1.10Tenemos que agregar una access-list para poder permitir que la lanpueda hacer peticiones web hacia todas las redes, es decir, la internet.Como ya tenemos una acces-list asignada ala interfaz inside lo queharemos será aditarla para agregar un nueva líneaASA(config)# access-list web permit tcp 192.168.1.0 255.255.255.0any eq 80ASA(config)# access-list web permit tcp 192.168.1.0 255.255.255.0any eq 443Estas 2 lineas la agregamos con el fin de permitir la conexionesseguras y las conexiones no seguras.
  • 13. Haora veremos la utilidad de algunos comandos ala hora de verificarconectividad y disponibilidad en la red.elpacket-tracer, su uso es fundamental para el reconocimiento deerrores en nuestra redASA# packet-tracer input inside tcp 192.168.1.2 1234 5 192.168.2.2httpinput = decimos si es tráfico entrante o salienteinside = nombre de la interfaz, como en nuestro caso, inside, outside,dmztcp = protocolo a hacer el trazado192.168.1.2 = dirección IP de origen1234 = puerto origen172.16.0.2 = dirección IP de destinohttp = protocolo de destinotodo tiene que salir Allow para que este bienresult=allowtambien podemos haser una busqueda especifica con la herramientagreepASA(config)# show running-config | grep nat
  • 14. Tambien cuando queremos ver la configuracion de una acces-listUsamos el comandoASA#show access-listOtra de las herramientas es la captura de paquetes por medio deuna access-list. primero hacemos una access-list y permitimos todo eltráfico ip del host o red que queremos capturar.ASA(config)# capture cap0 access-list cap0 interface outside