Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Practica con firewall asa

7,330 views

Published on

Published in: Technology
  • TIENES LA PRACTICA EN CICSO PAKET TRACER QUE ME LA FACILITES?
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Practica con firewall asa

  1. 1. Practica con firewall ASAEn la práctica que observaremos a continuación, se establecerá unaconexión con el fin de poner a prueba los parámetros funcionales delos dispositivos activos enfocados a la seguridad y el filtrado deservicios y paquetesProseguimos con al configuración previa de la interfaces de red ydemás detalles importantes para la conectividad.
  2. 2. Aquí podemos observar parámetros configurados tales como laasignación de la ip a cada interfas,nivel de seguridad.todo esto fueefectuados en el ASAPodremos observar la configuración de interfaces también en losrouterAcontinuacion les explicare la configuración previa de algunosparámetros un poco desconocios para algunos.
  3. 3. Asiganaremos el security-level o “nivel de seguridad”Para que sea un poco más claro , como cada interfaz tiene un“security-level” asignado , de la forma:-Inside: security-level 100-dmz: security-level 50-outside: security-level 0De esta forma, asignamos, en forma jerárquica, el número más alto, esel que tiene más seguridad en comparacion de las restantes, aunquela dmz, es donde están todos nuestros servicios/servidores estos,también son vistos algunos en la internet, como la página web de laorg, concluyendo, de forma predeterminada, la inside podría ver a lasdemás redes, pero no de forma inversa.
  4. 4. En primer lugar verificaremos la conectividad realizando un ping desdelos router ala puerta de enlace del ASA Ping desde el dmz ala puerta de enlace
  5. 5. Del asa al R1Del asa al dmz
  6. 6. En este caso nuestro servidor web es un router entonces necesitamosuna ruta para poder realizar la conexión entre redes diferentesHaora tenemos que relizarun acces-list para poder permitir la conexióndesde el cliente hasta el servidor webASA(config)# access-list pingc permit icmp any any echo-replyASA(config)# access-list pingc permit icmp any anyunreachableASA(config)# access-list pingc deny icmp any any
  7. 7. Asiganaremos al acces-list a la interfaz dmzEfectuamos el ping desde el cliente hasta la webPodemos apreciar que fue exitoso
  8. 8. Habilitaremos la administración por webASA (config)#ip http serverASA (config)#ip http secure-serverCreamos un access-list para ingresar desde la inside al servidor webASA(config)# access-list web permit tcp 192.168.1.0 255.255.255.0host 192.168.2.2 eq 80Luego denegamos el trafico restante para evitar problemas deseguridadASA(config)# access-list web deny ip any anyAsignamos la acceslist a la interfaz correspondienteASA(config-if)# access-group WEB in interface inside
  9. 9. Aqui podemos observer como accedemos a via webcrearemos una ruta por defecto, para que todo el tráfico entrante ysaliente hacia y desde el internet sea por la ruta que definamos, quecasi siempre será una ruta que la ISP nos asigna
  10. 10. tendremos que asignar una ruta por defecto para que el tráfico queque haya conectividad entre el cliente de la lan y el servidor WEB einternet una ruta estatica.syo(config)#iproute 0.0.0.0 0.0.0.0 192.168.1.2También tendremos que asignar una ruta por defecto para que eltráfico que viene desde internet pueda comunicarse con nuestro ASA.dmz(config)#iproute 0.0.0.0 0.0.0.0 200.200.1.1
  11. 11. ahora, asignaremos una IP pública que rentaremos para poder ver elservidor Web desde internet usando NATdmz(config)# static (dmz,outside) 200.200.1.15 192.168.2.2 netmask255.255.255.255tenemos que crear una access-list para poder permitir las peticioneshttp en nuestra red, desde la outside.ASA(config)# access-list publica permit tcp any 200.200.1.15255.255.255.0 eq 80ASA(config)# access-list public deny ip any anyASA(config)# interface ethernet 0/2ASA(config-if)# access-group publica in interface outsideHagamos una prueba lo anterior simulando un cliente de internet
  12. 12. Crearemos un POOL de direcciones públicas para que nuestrosusuarios de nuestra inside (LAN), puedan salir a internetPara que los usuarios de la inside “LAN”, puedan realizar una peticiónde nuestro servidor Web local y no tengan que recorrer internet paraencontrarlo, hacemos un nat“0” en el ASA y como global, asignaremosun rango de direcciones públicas para que nuestros clientes puedansalir a internetASA(config)# nat (inside) 0 192.168.1.0 255.255.255.0ASAconfig)# global (outside) 1 200.200.1.3-200.200.1.10Tenemos que agregar una access-list para poder permitir que la lanpueda hacer peticiones web hacia todas las redes, es decir, la internet.Como ya tenemos una acces-list asignada ala interfaz inside lo queharemos será aditarla para agregar un nueva líneaASA(config)# access-list web permit tcp 192.168.1.0 255.255.255.0any eq 80ASA(config)# access-list web permit tcp 192.168.1.0 255.255.255.0any eq 443Estas 2 lineas la agregamos con el fin de permitir la conexionesseguras y las conexiones no seguras.
  13. 13. Haora veremos la utilidad de algunos comandos ala hora de verificarconectividad y disponibilidad en la red.elpacket-tracer, su uso es fundamental para el reconocimiento deerrores en nuestra redASA# packet-tracer input inside tcp 192.168.1.2 1234 5 192.168.2.2httpinput = decimos si es tráfico entrante o salienteinside = nombre de la interfaz, como en nuestro caso, inside, outside,dmztcp = protocolo a hacer el trazado192.168.1.2 = dirección IP de origen1234 = puerto origen172.16.0.2 = dirección IP de destinohttp = protocolo de destinotodo tiene que salir Allow para que este bienresult=allowtambien podemos haser una busqueda especifica con la herramientagreepASA(config)# show running-config | grep nat
  14. 14. Tambien cuando queremos ver la configuracion de una acces-listUsamos el comandoASA#show access-listOtra de las herramientas es la captura de paquetes por medio deuna access-list. primero hacemos una access-list y permitimos todo eltráfico ip del host o red que queremos capturar.ASA(config)# capture cap0 access-list cap0 interface outside

×