Packet Tracer Configuración de los parámetros básicos de ASA y firewall utilizando la CLI
Tabla de direccionamiento IP
obeti!os •
Verificar la conectividad y explorar la ASA
•
Configurar las opciones de ASA básicas básicas y niveles de seguridad de la interfaz utilizando CLI
•
Configurar el enrutamiento traducci!n de direcciones y la pol"tica de inspecci!n a trav#s del CLI
•
Configurar $%CP AAA y SS%
•
Configurar una $&' (AT estática y ACL
"uión Su empresa tiene un lugar conectado a un ISP) *+ representa un dispositivo CP, gestionado por el ISP) *- representa un enrutador intermedio Internet) *. representa un ISP /ue conecta un administrador de una empresa de gesti!n de la red /ue 0a sido contratado para administrar remotamente su red) ,l ASA es un dispositivo de seguridad CP, borde /ue conecta la red corporativa interna y $&' al ISP mientras /ue proporciona servicios de (AT y $%CP para 0osts internos) ,l ASA se configurará para la gesti!n de un administrador de la red interna y por el administrador remoto interfaces de Capa . VLA( proporcionan acceso a las tres áreas creadas en la actividad1) ,n el interior el exterior y $&') ,l ISP le asigna el espacio de direcciones IP p2blicas de -34)+56)-33)--78-4 /ue será utilizado para la traducci!n de direcciones en el ASA) Todos los dispositivos router y el s9itc0 se 0an configurado previamente con lo siguiente1 o Permitir contrase:a1 ciscoenpa## o la contrase:a de la consola1 ciscoconpa## o nombre de usuario y la contrase:a del administrador1 admin 8 adminpa##
$ota% ,sta actividad de Pac;et Tracer no es un sustituto de los laboratorios de ASA) ,sta actividad proporciona práctica adicional y simula la mayor"a de las configuraciones de ASA 6636) ,n comparaci!n con un verdadero ASA 6636 puede 0aber ligeras diferencias en la salida del comando o comandos /ue a2n no están soportadas en el Pac;et Tracer)
Parte &% 'erificar la conecti!idad y e(plorar el ASA $ota% ,sta actividad de Pac;et Tracer se inicia con el -3< de los elementos de evaluaci!n marcado como completa) ,sto es para asegurar /ue no se cambia inadvertidamente algunos valores por defecto ASA) Por e=emplo el nombre predeterminado de la interfaz interna es >dentro> y no debe ser cambiado) %aga clic en 'erificar resultados para ver /u# elementos de evaluaci!n ya se punt2an como correcta)
Paso &% 'erificar la conecti!idad) ,l ASA no está configurado actualmente) Sin embargo todos los enrutadores PC y el servidor $&' están configurados) Verificar /ue el PC?C puede 0acer ping a cual/uier interfaz del router) PC?C no puede 0acer ping a la ASA PC?@ o el servidor $&')
Paso *% +eterminar la !ersión de ASA, interfaces y licencia) tilice el comando s-ow !ersion para determinar diversos aspectos de este dispositivo ASA)
Paso .% +eterminar el sistema de arc-i!os y contenido de la memoria flas-)
a) ,ntre en el modo ,B,C privilegiado) na contrase:a no se 0a establecido) Pulse Aceptar cuando se le pida una contrase:a) b) tilice el comando s-ow file system para mostrar el sistema de arc0ivos ASA y determinar cuáles son los prefi=os /ue son compatibles) ) c tilice el s-ow flas-% o s-ow dosk/% comando para mostrar el contenido de la memoria flas0)
Parte *% Configuración de los parámetros ASA y seguridad de interfaz CLI Conseo% &uc0os de los comandos de la CLI ASA son similares si no iguales como los /ue se utilizan con la CLI de Cisco IS) Además el proceso de mover entre los modos de configuraci!n y submodos es esencialmente el mismo)
Paso &% Configurar el nombre de -ost y de dominio) a) Configure el nombre de 0ost ASA como CC$As0ASA) b) Configure el nombre de dominio como ccnasecurity)com)
Paso *% Configurar la contrase1a del modo de 2nable) tilice el comando enable password para cambiar la contrase:a del modo ,B,C privilegiado para ciscoenpa##)
Paso .% Auste la fec-a y la -ora) sar el clock set comandos para configurar manualmente la fec0a y la 0ora Deste paso no se 0a marcadoE)
Paso 3% Configurar el interior y las interfaces e(ternas) S!lo se configure la VLA( + DinteriorE y - interfaces VLA( DfueraE en este momento) La interfaz VLA( . D$&'E se configurará en la parte 6 de la actividad) a) Configure una interfaz VLA( + l!gico para la red interior D+4-)+5F)+)38-7E y establecer el
nivel de seguridad más alto /ue el valor de +33) CCNAs-ASA (config) # interface vlan 1 CCNAs-ASA (config-if) # nameif inside CCNAs-ASA (config-if) # ip address 192.168.1.1 255.255.255.0
CCNAs-ASA (config-if) # security-level 100 b) Crear una interfaz l!gica VLA( - para la red externa D-34)+56)-33)--78-4E establezca el
nivel de seguridad en la posici!n más ba=a de 3 y activar la interfaz de VLA( -) CCNAs-ASA (config-if) # interface vlan 2 CCNAs-ASA (config-if) # nameif outside CCNAs-ASA (config-if) # ip address209.165.200.226 255.255.255.248 CCNAs-ASA (config-if) # security-level 0 ) c tilice la siguiente verificaci!n de comandos para ver sus configuraciones1
+E sar el comando s-ow interface ip brief para mostrar el estado de todas las interfaces ASA $ota% ,ste comando es diferente del comando s-ow ip interface brief IS) Si cuales/uiera de las interfaces f"sicos o l!gicos configurados previamente no son up8up resuelva el problema seg2n sea necesario antes de continuar) Conseo% La mayor"a de los comandos ASA s-ow, incluyendo ping, copy, y otros pueden ser emitidos desde cual/uier indicador del modo de configuraci!n sin +4 el comando) -E tilice s-ow ip address el comando para mostrar la informaci!n de las interfaces VLA(
de capa .) .E tilice s-ow switc- !lan comando para visualizar el interior y fuera de las VLA( configurada en el ASA y para mostrar los puertos asignados)
Paso #% Probar la conecti!idad a la ASA) a) sted debe poder 0acer ping desde la PC?@ a la direcci!n de la interfaz dentro de ASA D+4-)+5F)+)+E) Si los pings fallan solucionar problemas de la configuraci!n seg2n sea necesario) b) $e PC?@ de ping interfaz de la VLA( - DexteriorE en la direcci!n IP -34)+56)-33)--5) sted no debe poder 0acer ping esta direcci!n)
Parte .% Configurar el enrutamiento, traducción de direcciones, y Pol5tica de inspección utilizando la CLI
Paso &% Configurar una ruta estática por defecto para el ASA) Configurar una ruta estática por defecto en el interfaz exterior ASA para /ue el ASA para llegar a las redes externas) a) Crear una ruta por defecto >/uad cero> mediante el comando de la route, asociarlo con la interfaz fuera de ASA y se:ale en el *+ G383 IP address D-34)+56)-33)--6E como el gate9ay de 2ltimo recurso) CCNAs-ASA (config) # route outside 0.0.0.0 0.0.0.0 209.165.200.225
b) ,=ecute el comando s-ow route para verificar la ruta estática por defecto está en la tabla de enrutamiento ASA) c) Compruebe /ue el ASA puede 0acer ping al *+ S38383 IP address +3)+)+)+) Si el ping no tiene #xito resuelva el problema seg2n sea necesario)
Paso *% Configurar el uso de la traducción de direcciones de red PAT y obetos) a) Crear ob=eto de red inside0net y asignar atributos a #l utilizando la subnet y los comandos nat) CCNAS-ASA(config)# object networ inside-net CCNAS-ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0 CCNAS-ASA(config-network-object)# nat !inside"outside# dynamic
interface CCNAS-ASA(config-network-object)# end
b) ,l ASA se divide la configuraci!n en la parte ob=eto /ue define la red a traducir y los parámetros reales de comando nat) ,stos aparecen en dos lugares diferentes en la configuraci!n en e=ecuci!n) &ostrar la configuraci!n del ob=eto (AT utilizando el comando s-ow run) c) $e intento PC?@ para 0acer ping al interfaz G383 del *+ en la direcci!n IP
-34)+56)-33)--6) Los pings deben fallar) d) ,mitir el comando s-ow nat en el ASA para ver los #xitos traducidos y sin traducir) (!tese
/ue del ping desde la PC?@ cuatro fueron traducidos y cuatro no eran) Los pings salientes DecosE fueron traducidos y enviados al destino) Las respuestas de eco /ue regresaban fueron blo/ueadas por la directiva de fire9all) Va a configurar la pol"tica de inspecci!n por defecto para permitir IC&P en el paso . de esta parte de la actividad)
Paso .% 6odificación de la pol5tica de ser!icio global predeterminada 6P7 inspección de aplicaciones) Para la inspecci!n de capa de aplicaci!n y otras opciones avanzadas el Cisco &PH está disponible en los ASA) ,l dispositivo Pac;et Tracer ASA no tiene un mapa de la pol"tica &PH en su lugar de forma predeterminada) Como una modificaci!n podemos crear el mapa de la pol"tica por defecto /ue llevará a cabo la inspecci!n del tráfico en el interior?exterior?a) Cuando se configura correctamente s!lo el tráfico iniciado desde el interior se permite de nuevo a la interfaz exterior) sted tendrá /ue a:adir a la lista de IC&P inspecci!n) a) Crear la clase?mapa pol"tica?mapa y la pol"tica?servicio) A:adir la inspecci!n de tráfico IC&P a la lista de asignaci!n de pol"tica mediante los siguientes comandos1 CCNAS-ASA(config)# class-map inspection$default CCNAS-ASA(config-cmap)# matc% default-inspection-traffic CCNAS-ASA(config-cmap)# e&it CCNAS-ASA(config)# policy-map 'lobal$policy CCNAS-ASA(config-pmap)# class inspection$default CCNAS-ASA(config-pmap-c)# inspect icmp CCNAS-ASA(config-pmap-c)# e&it CCNAS-ASA(config)# service-policy 'lobal$policy 'lobal b) $e PC?@ intento 0acer ping al *+ G383 interfaz en la IP address -34)+56)-33)--6) Los
pings deben tener #xito esta vez por/ue el tráfico IC&P está siendo inspeccionado y se está permitiendo el retorno de tráfico leg"timo) Si los pings fallan solucionar sus configuraciones)
Parte 3% Configurar +8CP, AAA, y SS8 Paso &% Configurar el ASA como un ser!idor +8CP) a) Configure un con=unto de direcciones $%CP y activarlo en el interior de la interfaz de ASA) CCNAS-ASA(config)# d%cpd address 192.168.1.5-192.168.1.(6 inside
b) DpcionalE ,specifi/ue la direcci!n IP del servidor $(S /ue debe darse a los clientes) CCNAS-ASA(config)# d%cpd dns 209.165.201.2 interface inside
c) Activar el demonio $%CP dentro del ASA para escuc0ar las solicitudes de cliente $%CP en la interfaz 0abilitada Den el interiorE) CCNAS-ASA(config)# d%cpd enable inside
d) Cambiar PC?@ a partir de una direcci!n IP estática a un cliente $%CP y verifi/ue /ue se recibe informaci!n de direccionamiento IP) Solucionar problemas si es necesario para resolver cual/uier problema)
Paso *% Configurar AAA a utilizar la base de datos local para la autenticación) a) $efinir un usuario local llamado admin introduciendo el comando username) ,specificar una contrase:a de adminpa##) CCNAS-ASA(config)# username admin password adminpa55
b) Configurar AAA para utilizar la base de datos local de ASA para la autenticaci!n de usuario SS%) CCNAS-ASA(config)# aaa aut%entication ss% console )*+,)
Paso .% Configurar el acceso remoto a la ASA) ,l ASA puede estar configurado para aceptar conexiones desde un 2nico 0ost o una gama de má/uinas de la red interior o el exterior) ,n este paso los ordenadores de la red externa s!lo pueden utilizar SS% para comunicarse con el ASA) Sesiones SS% se pueden usar para acceder a la ASA de la red interior) a)
Generar un par de claves *SA /ue se re/uiere para apoyar las conexiones SS%) $ebido a /ue el dispositivo de ASA tiene las claves *SA ya en el lugar sin entrar cuando se le solicite para reemplazarlos) CCNAS-ASA(config)# crypto ey 'enerate rsa modulus 1024 WARNING: o! "ae a RSA ke$pair a%rea&$ &efine& name& 'efa!%t-RSAe$*+ ,e er&a& !iere reemp%a.ar%os/ 0s1 2 no3: no 4RR5R: No se "a po&i&o crear n!eas c%aes RSA con nombre 'efa!%t -RSA-e$*
b) Configure el ASA para permitir conexiones SS% desde cual/uier 0ost de la red interior D+4-)+5F)+)38-7E y desde el 0ost de administraci!n remota en la sucursal D+-)+5).).E en la red exterior) A=uste el tiempo de espera de SS% a +3 minutos Del valor predeterminado es de 6 minutosE)
CCNAS-ASA(config)# ss% 192.168.1.0 255.255.255.0 inside CCNAS-ASA(config)# ss% 12.16.(.( 255.255.255.255 outside CCNAS-ASA(config)# ss% timeout 10
c) ,stablecer una sesi!n SS% de PC?C a la ASA D-34)+56)-33)--5E) Solucionar problemas si no se realiza correctamente) 6C* ss% -l admin 209.165.200.226
d) ,stablecer una sesi!n SS% de PC?@ de la ASA D+4-)+5F)+)+E) Solucionar problemas si no se realiza correctamente)
6C* ss% -l admin 192.168.1.1
Parte #% Configurar una +69, $AT estática, y ACL *+ G3 8 3 y el interfaz exterior ASA ya utilizan -34)+56)-33)--6 y 3)--5 respectivamente) Jue va a utilizar -34)+56)-33)-- megafon"a y (AT estática para proporcionar acceso a la traducci!n de direcciones del servidor)
Paso &% Configurar la interfaz de 'LA$ +69 . en el ASA) a) Configure VLA( $&' . /ue es donde el servidor 9eb de acceso p2blico residirá) Le asignará la direcci!n IP +4-)+5F)-)+8-7 el nombre de +69, y asignarle un nivel de seguridad de los 3) $ebido a /ue el servidor no necesita iniciar la comunicaci!n con los usuarios en el interior para desactivar el reenv"o de la interfaz VLA( +) CCNAS-ASA(config)# interface vlan ( CCNAS-ASA(config-if)# ip address 192.168.2.1 255.255.255.0 CCNAS-ASA(config-if)# no forward interface vlan 1 CCNAS-ASA(config-if)# nameif dm IN75: Sec!rit$ %ee% for 8&m.8 set to 9 b$ &efa!%t+ CCNAS-ASA(config-if)# security-level 0
b) Asignar interfaz f"sica ASA ,38- a . VLA( $&' y activar la interfaz) CCNAS-ASA(config-if)# interface /t%ernet02 CCNAS-ASA(config-if)# switc%port access vlan (
) c tilice la siguiente verificaci!n de comandos para ver sus configuraciones1 +E sar el comando s-ow interface ip brief para mostrar el estado de todas las interfaces
ASA) -E tilice el comando s-ow ip address para mostrar la informaci!n de las interfaces VLA(
de capa .) .E tilice el comando s-ow switc- !lan para visualizar el interior y fuera de las VLA(
configurada en el ASA y para mostrar los puertos asignados)
Paso *% Configurar $AT estática para el ser!idor +69 utilizando un obeto de red) Configurar un ob=eto de red con nombre dmz0ser!er y asignarle la direcci!n IP estática del servidor $&' D+4-)+5F)-).E) &ientras /ue en el modo de definici!n de ob=eto utilice el comando nat para especificar /ue este ob=eto se utiliza para traducir una direcci!n $&' a una direcci!n fuera de uso de (AT estática y especifi/ue una direcci!n traducida p2blica de -34)+56)-33)--) CCNAS-ASA(config)# object networ dm-server CCNAS-ASA(config-network-object)# %ost 192.168.2.( CCNAS-ASA(config-network-object)# nat !dm"outside# static
209.165.200.22 CCNAS-ASA(config-network-object)# e&it
Paso .% Configurar una ACL para permitir el acceso al ser!idor +69 desde Internet) Configurar una lista de acceso nombrada 4:TSI+20+69 /ue permite el protocolo TCP en el puerto F3 desde cual/uier 0ost externo a la direcci!n IP interna del servidor $&') Aplicar la lista de acceso a la interfaz fuera de ASA en la direcci!n >I(>) CCNAS-ASA(config)# access-list *3/-7 permit icmp any %ost
192.168.2.( CCNAS-ASA(config)# access-list *3/-7 permit tcp any %ost
192.168.2.( e 80
CCNAS-ASA(config)# access-'roup *3/-7 in interface outside
$ota% A diferencia de IS ACL la declaraci!n de permiso ASA ACL debe permitir el acceso a la direcci!n $&' privada interna) %osts externos acceden al servidor utilizando su direcci!n (AT estática p2blica el ASA se traduce a la direcci!n IP del 0ost interno y luego se aplica la ACL)
Paso 3% Prueba de acceso al ser!idor +69) ,n el momento de crear esta actividad de Pac;et Tracer la posibilidad de probar con #xito el acceso externo al servidor 9eb $&' no estaba en su lugarK Por lo tanto no se re/uiere la prueba con #xito)
Paso #% 'erificar los resultados) Su porcenta=e de finalizaci!n debe ser d el +33<) %aga clic en 'erificar resultados para ver informaci!n y verificaci!n de /u# componentes re/ueridos se 0an completado)