configuracion fw- asa
DESCRIPTION
Configuracion ASATRANSCRIPT
Configuracion FW- PIX
Configuracin FW- ASAIng. Enrique Santiago, PhD
Caso de estudio
Parmetros Bsicosinterfaces:-inside (niveles:100)-outside (nivel: 0)-dmz(nivel:50)
Regla: No se puede pasar de un nivel de seguridad menor(0) a uno mayor(50/100)ConfiguracinBorrar la configuracin por defecto:-----------------------------------------------------------------------------------Ciscoasa>enableCiscoasa#conf tciscoasa (config)# write eraseErase ASA configuration in flash memory? [confirm] ciscoasa (config)# reloadProceed with reload? [confirm} Pre-configure ASA Firewall through interactive prompts [yes]? Ctrl + Zciscoasa>listoParmetros BsicosSi el ASA 5505 No tiene configuracin Inicial:------------------------------------------------------------------------------Ciscoasa>enableCiscoasa#conf tCiscoasa(conf)#hostname ASA5505ASA5505(conf)#exitASA5505#show switch vlanshow switch vlan probado y no encontrado v 5520probar en el 5505Parmetros BsicosDefinir para la Vlan 1 la zona TRUST y el direccionamiento:------------------------------------------------------------------------------ASA5505>enableASA5505#conf tASA5505(conf)#int vlan 1ASA5505(conf)#nameif insideASA5505(conf)#security-level 100ASA5505(conf)#ip add 192.168.1.1 255.255.255.0ASA5505(conf)#no shutASA5505(conf)#exitASA5505#listoParmetros BsicosDefinir para la Vlan 2 la zona UNTRUST y el direccionamiento:------------------------------------------------------------------------------ASA5505>enableASA5505#conf tASA5505(conf)#int vlan 2ASA5505(conf)#nameif outsideASA5505(conf)#security-level 0ASA5505(conf)#ip add 200.30.75.1 255.255.255.0ASA5505(conf)#no shutASA5505(conf)#exitASA5505#ASA5505#show switch vlan//consultar vlans activas
listoParmetros BsicosAsociar interfaces a cada zona recin creada (Trust):------------------------------------------------------------------------------ASA5505>enableASA5505#conf tASA5505(conf t)#int e0/0ASA5505(conf t)# switchport mode access ASA5505(conf t)# switchport access vlan 1ASA5505(conf t)# no shutASA5505(conf t)# exit
listoParmetros BsicosAsociar interfaces a cada zona recin creada (UnTrust):------------------------------------------------------------------------------ASA5505>enableASA5505#conf tASA5505(conf t)#int e0/1ASA5505(conf t)# switchport mode access ASA5505(conf t)# switchport access vlan 2ASA5505(conf t)# no shutASA5505(conf t)# exit
listoConfiguracin de enrutamientoConfiguracin de enrutamiento dinmico:------------------------------------------------------------------------------ASA5505>enableASA5505#conf tASA5505(conf t)#router ripASA5505(conf t)# network 192.168.1.0ASA5505(conf t)# network 200.30.75.0ASA5505(conf t)# exitNota: Los host entre zonas no contestan mensajes ICMPConfiguracin de NATConfiguracin de Translacin de direcciones de Red:------------------------------------------------------------------------------ASA5505>enableASA5505#conf tASA5505(conf t)#nat (inside) 1 0 0 // 1=nat-id, 0=all netw.ASA5505(conf t)#global (outside) 1 interface // 1=nat-id, interface=pat
Luego se debe definir ruta estatica:ASA5505(conf t)# route (outside) 0 0 200.30.75.2Incluyendo Servidores Pblicos
Configuracin de NAT estticoConfiguracin de Translacin de direcciones de Red y reenvio de puertos:------------------------------------------------------------------------------ASA5505>enableASA5505#conf tASA5505(conf t)#access-list reenvio permit tcp any host 200.30.75.3 eq 80ASA5505(conf t)# access-group reenvio in interface outsideASA5505(conf t)# static (inside,outside) tcp 200.30.75.3 www 192.168.1.101 www netmask 255.255.255.255Configuracin de ACLsConfiguracin de listas de control de acceso, personalizadas:------------------------------------------------------------------------------ASA5505#conf tASA5505(config)#access-list OUTSIDE_IN extended permit tcp any host 190.30.20.1 eq www ASA5505(config)# access-list OUTSIDE_IN extended permit tcp any host 190.30.20.1 eq 443ASA5505(config)# access-group OUTSIDE_IN in interface outsideASA5505(config)#endConfiguracin de SSHCreacin de usuarios y puesta en marcha del servicio SSH:------------------------------------------------------------------------------ASA5505#conf tASA5505(config)#username soporte password s0p0rt3ASA5505(config)#passwd c0mpl1c4d0ASA5505(config)# crypto key generate rsa modulus 512 //1024Contestar yesASA5505(config)# aaa authentication ssh console LOCALASA5505(config)#ssh 0.0.0.0 0.0.0.0 insideASA5505(config)#ssh 0 0 outside//Algunas versiones del IOS - configurar enable passwordConfiguracin de Polticas de Inspeccin (1/2)Configuracin policy-map y poltica de inspeccin:------------------------------------------------------------------------------ASA5505#conf tASA5505(config)#policy-map politica_globalASA5505(config)#class inspection_defaultASA5505(config-c)#inspect icmpASA5505(config-c)#inspect dns preset_dns_mapASA5505(config-c)#inspect ftpASA5505(config-c)#inspect h323 h225ASA5505(config-c)#inspect h323 rasASA5505(config-c)#inspect netbiosASA5505(config-c)#inspect rshConfiguracin de Polticas de Inspeccin (2/2)Configuracin policy-map y poltica de inspeccin:------------------------------------------------------------------------------ASA5505(config-c)#inspect rtspASA5505(config-c)#inspect skinnyASA5505(config-c)#inspect esmtpASA5505(config-c)#inspect sqlnetASA5505(config-c)#inspect sunrpcASA5505(config-c)#inspect tftpASA5505(config-c)#inspect sipASA5505(config-c)#inspect xdmcp// Luego aplicamos la politica global o a solo una interface asi:ASA5505(config)# service-policy politica_global interface outsideASA5505(config-c)#endASA5505#wrCaso de estudio Propuesto