Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Configuracin de
Dispositivos ASA
Versin 1.1
CCNA, CCNP, CCDA, CCDP, CCIP, CCVP, CCSP, CCIE, CCDE, Cisco, Cisco IOS, Aironet, BPX,
Catalyst, Cisco Press, Cisco Unity, EtherChannel, EtherFast, EtherSwitch, Fat Step, GigaDrive,
GigaStack, HomeLink, IP/TV, LightStream, Linksys, MGX, Networking Academy, Network Registrar,
Packet, PIX, ASA, SMARTnet, StackWise, CallManager, CallManager Express, CCA, CNA, ASDM,
Cisco Systems, el logo de Cisco Systems, son marcas registradas o marcas de Cisco Systems Inc. y/o
sus afiliados en los Estados Unidos y otros pases. Toda otra marca mencionada en este documento
es propiedad de sus respectivos dueos.
2 / 128
Contenidos
Introduccin
12
23
41
53
62
70
79
2. Gua de Laboratorio
91
2.0. El laboratorio
91
94
99
104
107
111
114
118
ndice
125
3 / 128
4 / 128
Introduccin
Este Manual ha sido desarrollado con el objeto de servir de soporte a talleres prcticos
que brinden una introduccin a los procesos de configuracin de dispositivos Cisco
ASA.
Recoge de modo sinttico y sencillo los conceptos esenciales para la comprensin de
las tareas esenciales a desarrollar para luego proponer una serie de ejercicios que
abarcan los trabajos primarios y ms frecuentes de configuracin de estos
dispositivos. De ninguna manera pretende ser un desarrollo exhaustivo del tema o
agotar las posibilidades de implementacin de estos dispositivos.
Est compuesto de 2 secciones principales.
Una primera que recoge los conceptos tericos necesarios para la comprensin de
cada feature y los procesos de implementacin. Una segunda que es una Gua de
Laboratorio para ejercitar los conceptos desarrollados.
Espero sinceramente que sea una herramienta til para que adquiera los
conocimientos y el vocabulario bsicos de una tecnologa que es esencial en nuestras
actuales redes de datos.
Pre-requisitos
La adecuada comprensin de los temas desarrollados en el presente manual supone:
5 / 128
6 / 128
Separacin fsica.
Se trata de redes fsicamente diferentes que por lo tanto se conectan al firewall
a travs de diferentes interfaces fsicas.
Desde la perspectiva de seguridad es el mejor mtodo de separacin de
dominios, aunque el ms costoso.
Separacin lgica.
Separa diferentes grupos de usuarios sobre la misma infraestructura fsica.
Entre las implementaciones que permiten este tipo de separacin se cuentan
las VLANs, VSANs, VPN-MPLS, etc.
Estas metodologas introducen riesgos adicionales que estn referidos al
mantenimiento de esta separacin lgica
7 / 128
8 / 128
1.0.2. Sintetizando
Tecnologa
Performance
Complejidad
Cundo implementar
Filtrado stateless
Alta
Alta
Filtrado stateful
Alta
Baja
Filtrado stateful
con control e
inspeccin
Media
Media
Network IPS
Media
Media
Proxies
Baja
Media
Cuando no se dispone de la
posibilidad de filtrado stateful y
no hay aplicaciones de tiempo
real, o para anlisis de
contenidos en profundidad.
10 / 128
Auditora de sesiones.
Mdulos de seguridad.
Prevencin de DoS.
Correlacin de trfico.
VPNs site-to-site.
Interfaces redundantes.
Virtualizacin.
Enrutamiento IP.
NAT.
Transparent bridging.
Soporte IPv6.
Soporte de multicast.
11 / 128
En un ejemplo:
rommon
rommon
rommon
rommon
rommon
rommon
#0>interface GigabitEthernet0/2
#1>address 172.16.0.10
#2>gateway 172.16.0.1
#3>server 192.168.100.1
#4>file asa802-k8.bin
#5>tftpdnld
12 / 128
imagen vlida en la memoria flash para evitar repetir el procedimiento la prxima vez
que se reinicie el appliance.
ciscoasa#_
ciscoasa#configure terminal
ciscoasa(config)#_
ciscoasa(config)#interface
Gi0/1
ciscoasa(config-if)#_
Imgenes de software.
Archivo de configuracin.
Datos adicionales.
13 / 128
14 / 128
Versin de ASDM
Versin de Software
5.0
7.0
5.2
7.2
6.0
8.0
6.1
8.0
6.1
8.1
6.2
8.0
6.2
8.1
6.2
8.2
6.3
8.2
6.3
8.3
6.4
8.2
6.4
8.4
6.5
8.5
6.6
8.6
Microsoft Windows.
Apple MAC OS X
Linux.
Internet Explorer.
Firefox.
Safari.
15 / 128
Sistema Operativo
Internet Explorer
Firefox
Versin de
Java SE
Microsoft Windows
Win7 / Win Vista / Win
2008 Server / Win XP
Versin 6.0 o
posterior
Versin 1.5 o
posterior
6.0
Macintosh OS X
10.7 / 10.6 / 10.5 / 10.4
----
Versin 1.5 o
posterior
6.0
----
Versin 1.5 o
posterior
6.0
De no contar con la configuracin de fbrica, se debe ingresar por CLI para configurar
algunos parmetros mnimos:
En un ejemplo:
ciscoasa#clock set 13:45:00 april 19 2012
ciscoasa#configure terminal
ciscoasa(config)#hostname ASA
ASA(config)#domain-name cisco.com
ASA(config)#enable password cisco
16 / 128
Barra de Men.
Da acceso rpido a archivos, herramientas, wizards, etc.
Barra de herramientas.
Permite navegar la interfaz e incluye algunos botones:
o
Save.
Guarda la configuracin activa en la configuracin de respaldo.
Refresh.
Vuelve a cargar el archivo de configuracin activa.
Back.
Nos regresa al panel de ASDM que se visit antes.
Forward.
Nos regresa al panel de ASDM que visitamos despus.
17 / 128
Lista de dispositivos.
Muestra la lista de dispositivos que han sido agregados y se pueden acceder
desde la instancia de ASDM.
Este panel puede convertirse en flotante.
Navegacin.
(No est visible en la captura de pantalla de arriba)
Permite navegar entre los paneles de monitoreo y configuracin del dispositivo
que se ha seleccionado en la lista de dispositivos. Este panel tambin puede
convertirse en flotante.
Barra de estado.
18 / 128
Setup wizard.
Facilita la configuracin inicial de un appliance.
Utilice enrutamiento esttico a menos que el ASA se conecte a una red muy
grande en la que en las rutas estticas signifiquen una limitacin.
Estos niveles de seguridad aplican a las polticas de seguridad por defecto que
aplica el ASA:
Regla 2: Todo el trfico originado en una interfaz con bajo nivel de seguridad y
que tiene como destino una interfaz con mayor nivel de seguridad, est
bloqueado a menos que una lista de acceso lo permita.
19 / 128
Un ejemplo de configuracin:
ASA#configure terminal
ASA(config)#interface GigabitEthernet 0/1
ASA(config-if)#nameif DMZ1
ASA(config-if)#security-level 50
ASA(config-if)#ip address 10.0.1.1 255.255.255.0
ASA(config-if)#interface GigabitEthernet 0/2
ASA(config-if)#nameif DMZ2
ASA(config-if)#security-level 50
ASA(config-if)#ip address 10.0.2.1 255.255.255.0
ASA(config-if)#exit
ASA(config)#same-security-traffic permit intra-interface
ASA(config)#same-security-traffic permit inter-interface
Ejemplo de configuracin:
ASA#configure terminal
ASA(config)#interface GigabitEthernet 0/1
ASA(config-if)#no shutdown
ASA(config-if)#no nameif
ASA(config-if)#interface GigabitEthernet0/1.10
ASA(config-if)#vlan 10
ASA(config-if)#nameif DMZ1
ASA(config-if)#security-level 51
ASA(config-if)#ip address 10.0.1.1 255.255.255.0
ASA(config-if)#interface GigabitEthernet0/1.20
ASA(config-if)#vlan 20
ASA(config-if)#nameif DMZ2
ASA(config-if)#security-level 52
ASA(config-if)#ip address 10.0.2.1 255.255.255.0
20 / 128
Ejemplo de configuracin:
ASA(config)#route inside 10.0.3.0 255.255.255.0 10.0.0.2
ASA(config)#route outside 0.0.0.0 0.0.0.0 192.168.1.10
El appliance tambin puede actuar como DHCP relay. Sin embargo, una interfaz que
tiene definido un servicio DHCP no puede ser configurada como cliente DHCP o
DHCP relay al mismo tiempo.
Para configurar el servicio DHCP utilizando ASDM:
enable inside
address 192.168.0.16 192.168.0.31 inside
dns 192.168.0.2
lease 7200
domain edubooks.com.ar
21 / 128
22 / 128
Puede utilizar la ventana de dilogo que se abre para ingresar un nombre para
el appliance. El nombre puede tener hasta 64 caracteres de longitud.
Tambin es posible configurar un cliente DNS en el appliance para que utilice los
servicios de servidores DNS externos especficos. Para esto:
23 / 128
Una vez seleccionadas las interfaces, habilite la opcin Configure one DNS
server group e ingrese la direccin IP de los servidores DNS y el nombre de
dominio.
Se pueden ingresar hasta 6 servidores DNS.
En el panel del reloj puede seleccionar o modificar la zona horaria (el reloj se
ajustar automticamente cuando corresponda al horario de verano); la fecha y
la hora (en formato de 24 hs.).
24 / 128
Toda respuesta NTP que no corresponda a una solicitud realizada por el appliance
ser descartada.
A un servidor de Syslog.
Se pueden definir hasta 16 servidores, utilizando tanto TCP como UDP.
25 / 128
Un ejemplo:
%ASA-1-101003: (Primary) Failover cable not connected (this
unit).
Niveles de severidad de los mensajes
Cada mensaje est cualificado por un nivel de severidad que indica su importancia:
0 Emergencies.
1 Alerts.
2 Critical.
3 Errors.
4 Warnings.
5 Notifications.
6 Informational.
7 Debugging.
Par un mayor detalle respecto de la estructura y significado de cada uno de los
mensajes, se puede consultar el documento Cisco ASA 5500 Series System Log
Messages en el sitio web de Cisco Systems.
26 / 128
La ltima porcin del panel est referida al buffer de memoria que utiliza
ASDM. Permite especificar el nmero de mensajes que se desea conservar en
ese buffer. El valor por defecto es 100 mensajes.
Tambin es posible ajustar los mensajes para suprimir algunos o cambiar su nivel de
severidad. Para esto:
Seleccione OK.
28 / 128
Seleccione OK.
Seleccione OK.
A continuacin deber definir el servidor SMTP que utilizar el appliance para los
envos:
Concluida esta tarea puede habilitar el envo de las notificaciones por correo
electrnico siguiendo el mismo procedimiento detallado para el visualizador de ASDM
y el servidor de syslog, seleccionando en este caso la opcin E-Mail.
29 / 128
Tenga presente que la memoria flash interna del appliance es identificada como
disk0.
Comandos del sistema de archivos
ASA#dir flash:
ASA#more [archivo]
ASA#copy [origen] [destino]
ASA#delete [archivo]
ASA#pwd
ASA#cd [directorio]
ASA#mkdir [directorio]
ASA#rmdir [directorio]
30 / 128
Telnet.
HTTPS.
Utilizando SNMP.
Seleccione Add para agregar una regla de acceso. Se abre una ventana de
configuracin de acceso al dispositivo.
Seleccione OK.
Puede definir el tiempo mximo (en minutos) que una sesin puede
permanecer inactiva antes de que sea dada de baja en el casillero Idle
Timeout. Por defecto las sesiones son mantenidas por 5 minutos.
31 / 128
Seleccione Add para agregar una regla de acceso. Se abre una ventana de
configuracin de acceso al dispositivo.
Seleccione OK.
Puede definir el tiempo mximo (en minutos) que una sesin puede
permanecer inactiva antes de que sea dada de baja en el casillero Idle
Timeout. Por defecto las sesiones son mantenidas por 5 minutos.
Para operar con SSH es necesario tambin generar el par de llaves (pblica y privada)
RSA necesarias. Esto debe hacerse en la CLI:
ASA(config)#crypto key generate rsa modulus [longitud]
Configuracin del acceso por HTTPS
Este acceso es utilizado nicamente por ASDM.
Para habilitar el acceso por HTTPS:
Seleccione Add para agregar una regla de acceso. Se abre una ventana de
configuracin de acceso al dispositivo.
Seleccione OK.
El appliance, por defecto, genera cada vez que se reinicia un certificado X.509 para
utilizar en los procesos de autenticacin. Como el certificado se genera nuevamente
32 / 128
Seleccione Edit.
Seleccione OK.
Exec Banner.
Se muestra despus de loguearse en la CLI.
Login Banner.
Se muestra antes del logueo en la CLI.
MOTD Banner.
Se utiliza de modo conjunto con el login banner para mostrar mensajes
adicionales.
Seleccione Apply.
34 / 128
En la parte superior se puede definir una community string por defecto. Ser
utilizada en caso de no definir un community string especfico para un cliente.
Community.
Direccin IP.
Versin de SNMP.
Autorizacin.
Seleccione OK.
Seleccione Apply.
En la interfaz de administracin.
Con este propsito, el appliance puede utilizar mltiples bases de datos diferentes:
35 / 128
Seleccione OK.
Seleccione Apply.
36 / 128
Seleccione OK.
Seleccin OK.
Seleccione Apply.
Seleccione Apply.
Configuracin de accounting
El appliance soporta el almacenamiento de un registro de los eventos de autenticacin
en un servidor remoto utilizando RADIUS o TACACS+.
Adicionalmente TACACS+ permite generar un registro de los comandos individuales
utilizados y puede activarse para cada comando separadamente.
Para configurar esta funcin:
38 / 128
Reinicie el dispositivo:
rommon #2>boot
Cambie la clave.
Reinicie el appliance.
39 / 128
40 / 128
Capas 5 a 7
Capas 3 y 4
SYN cookies.
Deteccin de amenazas.
Filtrado de URLs.
uRPF
Tabla de conexiones.
Realiza el seguimiento de todas las conexiones que son permitidas a travs del
dispositivo. Las propiedades de todo paquete perteneciente a una sesin
existente y que llega a una interfaz del appliance debe coincidir con lo que se
espera; si no coincide con lo esperado se descarta.
Las propiedades que se analizan dependen del protocolo de transporte
utilizado:
o
TCP.
Direcciones, puertos, estado, nmero de secuencia, tiempo de
inactividad.
UDP.
Direcciones, puertos, tiempo de inactividad.
Ping ICMP.
Direcciones, tipo y cdigo de ICMP, tiempo de inactividad.
41 / 128
IPsec ESP.
Direcciones, SPI, tiempo de inactividad.
No se aplican a trfico que termina en el appliance mismo. Para filtrar este tipo
de trfico se aplican las reglas de acceso de management.
42 / 128
Obedecen las mismas reglas generales que las ACLs sobre Cisco IOS:
Son una lista ordenada de reglas que permiten o prohben trfico, aplicadas a
una interfaz especfica.
Se ejecuta la accin que indica la primera regla que coincide con el paquete.
Todo flujo o conexin adicional que se deba establecer tambin est permitida
automticamente.
Todo trfico saliente (de una interfaz de menor nivel a otra de mayor
nivel de seguridad) es automticamente permitido.
Todo trfico entrante (de una interfaz de mayor nivel a otra de menor
nivel de seguridad) est prohibido.
Todo trfico que ingresa y egresa por la misma interfaz, tambin est
prohibido por defecto. Tambin puede modificarse al configurar las
interfaces.
43 / 128
La herramienta brinda una visin consolidada de todas las reglas de acceso que estn
configuradas y aplicadas en las interfaces del appliance. Por defecto la tabla muestra
todas las reglas de acceso IPv4 e IPv6 en todas las interfaces. Se puede utilizar el
selector Acess Rule Type para ver solamente las que corresponden a ambos
protocolos por separado.
Para acceder a la tabla de reglas de acceso:
Por defecto muestra todas las reglas implcitas que aplica el appliance.
Para crear la primera regla en un nuevo conjunto de reglas asociado a una interfaz:
44 / 128
A continuacin Apply.
Para agregar una nueva regla al conjunto de reglas que ya est asociado a una
interfaz:
Como resultado de la tarea debe ver las nuevas reglas de acceso en la tabla. Las
reglas de denegacin implcita que estaban por defecto an se mantienen al final de
cada conjunto de reglas.
Configuracin de reglas de acceso basadas en el horario
Tambin es posible definir reglas de acceso que se aplican en das, horarios y fechas
especficos.
Para esto es necesario cumplir 2 pasos: definir un rango de tiempo y luego aplicarlo a
una regla de acceso.
Para definir un rango de tiempo:
45 / 128
Selecciones OK.
Seleccione Apply.
A partir de este punto la regla de acceso ser operativa nicamente dentro del rango
de tiempo que se ha definido.
Como resultado, cuando se verifica la tabla de reglas de acceso, en la columna Time
aparece ahora el nombre del rango de tiempo asociado a la regla de acceso.
La tabla de reglas de acceso
La tabla de reglas de acceso contiene algunas funciones que permiten trabajar de
modo ms rpido y eficiente:
46 / 128
Botn Diagram.
Muestra en la parte inferior de la tabla en un diagrama el modo en que la regla
impacta en el flujo de datos.
Botn Export.
Exporta la regla a un archivo en formato CSV o HTML.
Columna Hits.
Muestra la cantidad de paquetes que han coincidido con la regla. Esta columna
puede ser clareada a 0 utilizando el botn Clear Hits.
47 / 128
48 / 128
Seleccione el botn Add. Ver que los objetos pasan ahora a estar en la
ventana Members in Groups.
Note que si se desea agregar al grupo un objeto que no ha sido creado, se puede
crear en el momento desde esta misma ventana activando la opcin Create new
Network Object Member.
Creacin de un grupo de servicios
Este tipo de grupos se utiliza para agrupar servicios que han de ser sometidos a una
poltica comn. Si bien Cisco ASA permite generar 6 tipos diferentes de grupos de
servicios (Grupos de servicios, Servicios TCP, Servicios UDP, Servicios TCP-UDP,
ICMP y Protocol), este procedimiento describe la creacin de grupos de servicios IP
que es la forma ms flexible que est reemplazando las otras 5.
Para crear un grupo de servicios IP:
Seleccione el botn Add. Ver que los objetos pasan ahora a estar en la
ventana Members in Groups.
Note que si se desea agregar al grupo un servicio que no est en la lista de los
servicios existentes, se puede crear en el momento desde esta misma ventana
activando la opcin Create new member.
Utilizacin de grupos de objetos en las reglas de acceso
Los grupos de objetos permiten simplificar la definicin de reglas de acceso,
agrupando mltiples orgenes, destinos o servicios en una nica regla comn.
49 / 128
En cada caso el botn abre una ventana que permite navegar los grupos creados
con ese propsito en el appliance.
Tenga presente que un grupo no puede ser borrado mientras sea parte de una regla
activa.
Verificacin de los grupos
Los objetos y grupos creados en el appliance pueden ser revisados y editados
utilizando las ventanas Addresses y Services que se utilizaron para su creacin.
Cualquier modificacin realizada en estas ventanas actualiza automticamente las
polticas que incluyen estos objetos.
50 / 128
Configuracin de uRPF
Seleccione en la barra de herramientas la opcin Configuration.
51 / 128
52 / 128
Cuando la sesin UDP o ICMP ping alcanza su valor de idle timeout (tiempo
mximo de inactividad).
53 / 128
Si las rutinas de inspeccin de capas superiores lo requieren, el appliance reensambla internamente el paquete para someterlo a estas rutinas.
Si la inspeccin de capa superior permite el paquete, entonces los fragmentos
originales se envan hacia el destino.
54 / 128
Extienda la opcin Service Policy Rules del men Firewall. Se abrir el panel
correspondiente.
Seleccione OK.
Extienda la opcin Service Policy Rules del men Firewall. Se abrir el panel
correspondiente.
Seleccione el botn Add para acceder al wizard Add Service Policy Rule.
Cree una nueva clase de trfico. Asigne a esta clase un nombre nico y defina
el trfico utilizando una ACL. Los cambios se realizarn sobre los
temporizadores que afectan al trfico comprendido en esta clase.
Seleccione OK.
Extienda la opcin Service Policy Rules del men Firewall. Se abrir el panel
correspondiente.
55 / 128
Seleccione el botn Add para acceder al wizard Add Service Policy Rule.
Elija crear una nueva clase de trfico. Asigne a esta clase un nombre nico y
seleccione Any Traffic como criterio de seleccin de trfico para esta clase.
Seleccione OK.
Seleccione OK.
Guas de implementacin
Es recomendable implementar el procesamiento stateful de ICMP.
56 / 128
57 / 128
Seleccione el botn Add para activar el wizard Add Service Policy Rule.
Seleccione una poltica global o por interfaz. Si selecciona una poltica aplicada
a una interfaz, asegrese que ha seleccionado la interfaz a travs de la cual se
establece la sesin TCP que se desea preservar.
Seleccione la opcin de crear una nueva clase de trfico. Asigna a esta clase
de trfico un nombre nico y seleccione una ACL que seleccione el trfico al
cual quiere aplicar esta poltica.
Seleccione OK.
58 / 128
Seleccione el botn Add para activar el wizard Add Service Policy Rule.
Seleccione una poltica global o por interfaz. Si selecciona una poltica aplicada
a una interfaz, asegrese que ha seleccionado la interfaz a travs de la cual se
establece la sesin TCP que se exceptuar de la inspeccin.
Seleccione la opcin de crear una nueva clase de trfico. Asigna a esta clase
de trfico un nombre nico y seleccione una ACL que seleccione el trfico al
cual quiere aplicar esta poltica.
Seleccione OK.
Guas de implementacin
Sea muy cuidadoso en flexibilizar la operacin del normalizador de TCP ya que
puede afectar la confiabilidad de los sistemas de inspeccin de capas
superiores que descansan en esta funcin para asegurar la integridad de las
sesiones TCP.
59 / 128
Seleccione OK.
Protocolo
60 / 128
Funcin
Habilitado /
Deshabilitado
FTP
Habilitado
H.323 (H.225)
Habilitado
H.323 (RAS)
Habilitado
RSH
Habilitado
RSTP
Habilitado
SCCP
Habilitado
SIP
Habilitado
Habilitado
Habilitado
TFTP
Habilitado
XDCMP
Habilitado
CTIQBE
Deshabilitado
DCERPC
Deshabilitado
MMP
Deshabilitado
MGCP
Deshabilitado
Seleccione el botn Add para utilizar el wizard Add Service Policy Rule.
Seleccione OK.
61 / 128
Minimizacin de protocolos.
Cuando el firewall solamente permite un conjunto mnimo requerido de
protocolos y prestaciones. De este modo se reduce la posibilidad de ataques
sobre los equipos terminales y se reduce la exposicin de vulnerabilidades.
Minimizacin de payload.
Cuando el firewall slo permite un conjunto mnimo de contenidos de las
aplicaciones. Permite prevenir la posibilidad tanto de ataques conocidos como
no.
Verificacin de protocolos.
El firewall descarta sesiones que contienen informacin de protocolos de capa
de aplicacin malformada. Permite prevenir diferentes tipos de ataques y
tambin tneles.
62 / 128
Tipo de coincidencia
Request Method
Valores especficos
Request URI
Regular expressions
Request Length
Numrica
Request Argument
Regular expressions
Numrica
Numrica
Numrica
Numrica
Booleana
Tipo de coincidencia
Regular expressions
Response Body
Numrica
Numrica
Numrica
Numrica
Numrica
Booleana
Para esto, cuando una terminal realiza una solicitud HTTP, la informacin
correspondiente a la URL destino puede ser comparada con 2 bases de datos
diferentes:
64 / 128
65 / 128
66 / 128
67 / 128
En el paso Service del wizard seleccione una service policy global o basada
en una interfaz, dependiendo de cmo se desea realizar la implementacin. En
caso de duda seleccione una regla global.
Seleccione Next.
Seleccione Next.
En el paso Traffic Match del wizard especifique como Action Match. En los
campos correspondientes indique la direccin o red de origen (Source), de
destino (Destination) y especifique tcp/http como Service.
Seleccione Next.
Seleccione OK.
Seleccione Apply para aplicar los cambios realizados y luego Save para
guardar los cambios de configuracin.
68 / 128
Low
Slo habilita la verificacin del protocolo y descarta todas las conexiones que
violan las especificaciones del estndar. Se pueden agregar reglas de filtrado
de URIs utilizando el botn URI Filtering.
Medium
A la seguridad de nivel Low le agrega que solamente permite los mtodos
HTTP GET, HEAD y POST.
High
Extiende el nivel de seguridad descartando conexiones que contengan
encabezados HTTP no-ASCII.
69 / 128
TCP Intercept.
Permite proteger los servidores de ataques de inundacin de TCP SYN
interceptando solicitudes de conexin y validndolas antes de pasarlas al
servidor.
Threat detection.
Permite detectar y prevenir amenazas adicionales, basndose en estadsticas
provistas por otros mecanismos de control de acceso.
Seleccione Add.
Seleccione la opcin Interface para crear una service policy para una interfaz
especfica. Si lo que se desea es crear una service policy global seleccione
Global Applies to All Interfaces.
Seleccione Next.
71 / 128
Una base de datos dinmica que es mantenida y actualizada por Cisco, y que
se descarga al appliance peridicamente.
72 / 128
Como ya mencion antes, el trfico detectado por este filtro puede ser registrado en el
servidor de Syslog y/o ser descartado.
Para registrar las coincidencias con la base de datos:
Para cada interfaz se puede especificar una ACL para definir el trfico que se
desea monitorear. La opcin por defecto es All Traffic. Para seleccionar la
ACL seleccione el botn Manage ACL para crear o editar ACLs existentes.
73 / 128
Default
Tiene un rango entre Moderate y Very High.
Value
Se debe especificar el nivel de amenaza del trfico que se desea
descartar: Very Low, Low, Moderate, High, Very High.
Las entradas estticas son tratadas siempre como Very High.
Range
Especifique el rango de nivel de amenazas.
74 / 128
Sobrecarga de interfaces.
Ataques de reconocimiento.
Para cada uno de estos eventos se define una tasa lmite de eventos por segundo,
cuando el appliance detecta que ese lmite se supera se genera un mensaje de syslog
con ID 733100.
Hay 2 tipos de mediciones diferentes:
1. La tasa promedio de eventos sobre un intervalo de tiempo establecido.
2. Las rfagas que se producen en un perodo ms corto de tiempo que es igual a
1/30 del intervalo usado para el promedio o 10 segundos (el valor ms alto)
Cada una de estas mediciones, en caso de superar el lmite, genera un mensaje de
syslog diferente. Los valores por defecto pueden ser ajustados por configuracin.
Los valores por defecto son los siguientes:
Evento
Ataque de DoS
Tasa Promedio
Rfaga
400 descartes/seg. en 10
seg.
80 descartes/seg. en 3600
seg.
320 descartes/seg. en 60
seg.
10 descartes/seg. en 10 seg.
8 descartes/seg. en 60 seg.
200 descartes/seg. en 10
seg.
80 descartes/seg. en 3600
seg.
160 descartes/seg. en 60
seg.
800 descartes/seg. en 10
seg.
640 descartes/seg. en 60
seg.
1600 descartes/seg. en 10
seg.
1280 descartes/seg. en 60
seg.
8000 descartes/seg. en 10
seg.
6400 descartes/seg. en 60
seg.
Ataque de reconocimiento
Sesiones TCP incompletas
Sesiones UDP sin datos
Sobrecarga de la interfaz
75 / 128
Se puede habilitar el feature por CLI utilizando los valores por defecto.
ASA#configure terminal
ASA(config)#threat-detection basic-threat
Para observar las estadsticas recogidas para una terminal, utilice el comando
ASA#show threat-detection statistics host
Otras variantes de este comando son:
ASA#show threat-detection statistics port
ASA#show threat-detection statistics protocol
ASA#show threat-detection statistics top
77 / 128
78 / 128
Si luego de estar como activo, el appliance detecta otro dispositivo activo sobre
la interfaz LAN failover, renegocia los roles con el otro dispositivo.
Una vez que el sistema est operativo, si el dispositivo activo falla, el dispositivo
standby lo detecta y pasa a estado activo:
79 / 128
Los dispositivos activo y standby son administrados como una nica unidad. La unidad
activa es la que provee la interfaz y la IP de management, y automticamente replica
todos los cambios a la unidad standby. An as, la unidad standby tambin puede ser
accedida para realizar monitoreo y tareas de administracin; tambin puede ser
configurada para enviar mensajes de syslog.
Stateless failover.
Solo prove redundancia de hardware.
Si el dispositivo activo falla, el standby pasa a estado activo.
Toda la informacin de las conexiones que estaban en la unidad que
inicialmente estaba como activa se pierde y consecuentemente las
aplicaciones deben reiniciar la comunicacin.
Stateful failover.
Hay una continua copia de la informacin de estado de las conexiones desde
la unidad activa a la standby. Si ocurre un fallo, toda la informacin relevante
ya est disponible en la nueva unidad activa. De esta manera la mayor parte
de las aplicaciones no debern reiniciar sus conexiones.
Para poder operar en modo stateful failover se requiere la asignacin de una interfaz
link stateful sobre la cual los dispositivos intercambien esta informacin. De esa
manera, las 2 unidades as configuradas deben estar conectadas entre s por 2
enlaces lgicos:
80 / 128
La tabla NAT.
La tabla ARP.
Tablas de enrutamiento.
81 / 128
82 / 128
Actividad de red.
Verifica que est recibiendo trfico dentro de un perodo de 5 segundos. Si en
dentro de ese perodo de tiempo recibe cualquier paquete, considera la interfaz
operacional y se detienen las pruebas. Si no se recibe trfico, pasa a la prueba
siguiente.
ARP.
Se revisa la tabla ARP para determinar las 10 entradas ms recientes. Se
enva una solicitud ARP a la primera de las entradas, si se recibe respuesta
dentro de los 5 segundos se considera la interfaz operacional y se detiene la
prueba; si no se recibe trfico, se repite el proceso con la entrada siguiente. As
se contina hasta probar con la dcima entrada. Si no se recibe respuesta, se
pasa a la prueba siguiente.
Ping de broadcast.
Se enva una solicitud de ping a la direccin de broadcast de la red o subred a
travs de la interfaz en anlisis. Si se recibe cualquier paquete dentro de los 5
segundos la interfaz es considerada operacional si no se recibe, la interfaz se
considera en estado de falla.
Que las pruebas para una interfaz hayan fallado, pero la interfaz de la otra
unidad est operacional. En consecuencia el estado de la interfaz es marcado
como failed y se procede al cambio de estado activo/standby.
Ambos dispositivos deben contar con licencias similares e incluir licencias para
el feature active/standby failover.
Guas de implementacin
Asegure la comunicacin sobre las interfaces LAN failover y stateful failover
con una clave. De otra forma toda la informacin se enva en texto plano y se
trata de informacin sensitiva, por lo que constituye un riesgo de seguridad.
83 / 128
OUTSIDE
PRIMARIO
10.0.1.1/24
172.16.100.1/24
10.10.10.1/30
10.10.10.2/30
Terminal
10.0.x.11
10.0.1.2/24
172.16.100.2/24
SECUNDARIO
84 / 128
En el campo Shared Key puede especificar una la clave pre compartida para
habilitar autenticacin y encriptacin de la informacin que se intercambiar
sobre la interfaz LAN failover.
Con el puntero del mouse haga doble clic en al campo Standby IP Address e
ingrese la direccin correspondiente de la interfaz correspondiente en el
appliance secundario. Repita esta accin para cada interfaz habilitada y
configurada.
Configuration replication
Es el proceso por el cual se enva una copia de la configuracin del dispositivo activo
al dispositivo standby.
Este proceso genera por parte del dispositivo activo dos mensajes de syslog:
86 / 128
87 / 128
88 / 128
Seleccione Apply cuando haya concluido la tarea para hacer efectivos los
cambios.
89 / 128
90 / 128
2. Gua de Laboratorio
Los ejercicios presentados en esta gua de laboratorio han sido diseados y
desarrollados con el objetivo de permitir la realizacin de ejercicios que permitan
verificar y practicar los procedimientos descriptos en la primera seccin del Manual.
2.0. El laboratorio
El laboratorio diseado para estos ejercicios permite reproducir una arquitectura
bsica compuesta por un firewall Cisco ASA 5520, un servidor con mltiples servicios
que desempea las veces de una DMZ y un segundo servidor representando un
servicio externo representando los servicios de una Extranet. Para poder realizar las
prcticas de failover (el ltimo captulo de este manual), es necesario armar al menos
2 PODs como el que se muestra a continuacin.
El laboratorio puede ser montado utilizando dispositivos reales o completamente
virtualizado.
POD X
Servidor
DMZ
192.168.x.2
Terminal
10.0.x.11
ASA
Servidor
Extranet
172.16.1.100
1 Servidor corriendo Windows 2003 Server Standard Edition con las siguientes
aplicaciones instaladas:
Directorio C:\Curso\ conteniendo: Instalador de ASDM (asdm-625.bin).
Cisco ACS 4.2.
Servidor HTTP.
Servidor FTP.
Servidor Telnet.
Scanner NMAP.
Kiwi Syslog.
Interfaz
Conecta a...
Interfaz
Cable
ASA
Gi 0/0
Switch compartido
--
Derecho
Gi0/1
Terminal
--
Derecho
Gi0/2
Servidor DMZ
--
Derecho
Interfaz
Red
IP
Mscara de Subred
ASA
Gi 0/0
172.16.1.0/24
172.16.1.x
255.255.255.0
Gi 0/1
10.0.x.0/24
10.0.x.1
255.255.255.0
Gi 0/2
192.168.x.1/24
192.168.x.1
255.255.255.0
Terminal
--
10.0.x.0/24
10.0.x.11
255.255.255.0
Servidor DMZ
--
192.168.x.0/24
192.168.x.2
255.255.255.0
Servidor Extranet
--
172.16.1.0/24
172.16.1.100
255.255.255.0
Valor
Nmero de POD
Clave de acceso a modo enable en el appliance
cisco1234
Administrator
admin
estudiante
cisco
estudiante 1
cisco
93 / 128
94 / 128
95 / 128
96 / 128
Nombre: dmz
Nivel de seguridad: 50
Nombre: outside
Nivel de seguridad: 0
Lease time: 1 da
97 / 128
6. Verifique el status del servidor DHCP en el appliance utilizando CLI con los
comandos show dhcpd state, show dhcpd binding, show dhcpd
statistics
98 / 128
[nombre]
show bootvar
show clock
show flash:
show logging
show ntp associations
show version
12. Verifique tambin las variables de booteo que acaba de configurar con el
comando show bootvar
5. Aplique la configuracin.
6. Guarde la configuracin.
7. Ingrese a la CLI del appliance y verifique la configuracin de logging en el
mismo utilizando el comando show logging.
8. Verifique la conexin con el Servidor en la DMZ utilizando el comando ping.
9. Acceda el Servidor en la DMZ e inicie el Kiwi Syslog Server seleccionando el
cono en el escritorio.
10. Desde la terminal de trabajo, abra una ventana de DOS y ejecute un ping al
Servidor (192.168.x.2) El resultado deber ser un error ya que el appliance no
habilita las respuestas de ping por defecto.
11. Observe los mensajes de ping fallido en la consola de Kiwi en el Servidor.
Interfaz: dmz
Community: nonpublic
SNMP versin: 2c
10. Observe la salida que obtiene como resultado del sondeo del appliance.
101 / 128
5. Desde la Terminal de Trabajo acceda a la CLI del appliance y genere una llave
RSA para que sea utilizada por la conexin SSH. Utilice una llave de 2048 bits.
Usuario:
estudiante
Password:
cisco
Interfaz:
Llave:
dmz
cisco
102 / 128
Nombre de usuario:
estudiante1
Clave:
cisco
15. Utilizando la sesin SSH que acaba de establecer, verifica las estadsticas
correspondientes al grupo de servidores MNGM_AUT utilizando el comando
show aaa-server MNGM_AUT.
Debe visualizar el intercambio de solicitudes y respuestas entre el appliance y
el servidor ACS que se encuentra en la DMZ.
16. Acceda al Servidor en la DMZ. Abra el Cisco ACS seleccionando el cono ACS
admin en el escritorio. Seleccione Reports and Activity > TACACS+ Accounting
> TACACS+ Accounting active.csv.
Debe visualizar el registro de los mensajes del acceso de estudiante1 en el
appliance.
103 / 128
104 / 128
udp/dns
tcp/ftp
5. Aplique y guarde los cambios.
6. Cree un grupo de objetos de red llamado Servidores que incluya los siguientes:
Servidor DMZ (192.168.x.2)
Servidor (172.16.1.100)
inside
outside
dmz
106 / 128
Si/No
FTP
H.323 (H.225)
H.323 (RAS)
RSH
RTSP
SCCP
SIP
Oracle SQL* Net (TNS)
UNIX RPC (SUNRPC)
TFTP
XDCMP
CTIQBE
DCERPC
ICMP
107 / 128
MMP
MGCP
Administrator
Clave:
admin
anonymous
Clave:
cisco
Haga una lista de los archivos que estn disponibles en el servidor FTP. La
tarea debe poder completarse porque la inspeccin FTP est habilitada por
defecto.
C:\>ftp 172.16.1.100
Connected to 172.16.1.100
220 Microsoft FTP Service
User: anonymous
...
...
ftp>ls
7. Inicie nuevamente la sesin de ASDM utilizando las siguientes credenciales:
Usuario:
estudiante
Clave:
cisco
108 / 128
IN-TO-OUT-TRAFFIC
Clasificacin de trfico:
Acciones:
109 / 128
Acciones:
110 / 128
estudiante
Clave:
cisco
WEB-SERVER-PROTECTION
Accin:
Administrator
Clave:
admin
7. Inicie una sesin de Putty y simule una violacin del protocolo utilizando Telnet
para conectarse desde el Servidor de Extranet al Servidor en la DMZ
(192.168.x.2) utilizando el puerto 80.
8. Acceda al Servidor en la DMZ y observe los mensajes de logging que indican
el descarte de paquetes en el servidor Kiwi. Los mensajes relevantes son los
identificados como 415011 y 507003.
9. Acceda a la CLI del appliance. Verifique las estadsticas del service policy
utilizando el comando show service-policy global inspect http.
Verifique el contador de paquetes para ver los paquetes que han sido
inspeccionados y descartados por el proceso de inspeccin.
10. Reinicie a cero las estadsticas del service policy.
11. Regrese al Servidor de Extranet. Verifique la conectividad HTTP del Servidor
hacia el Servidor de la DMZ iniciando una sesin http://192.168.x.2/iisstart.htm
que es la pgina web por defecto del servidor.
La sesin debe ser exitosa.
111 / 128
112 / 128
Nombre:
CLIENT-PROTECTION
Accin:
113 / 128
estudiante
Clave:
cisco
114 / 128
Average rate
Burst Size
Rate interval
Average rate
Burst Size
5. Guarde la configuracin.
6. Acceda al Servidor de Extranet y abra una ventana de comandos DOS. Inicie la
aplicacin Nmap con el comando nmap sU n 192.168.x.2
Este comando inicia un barrido de UDP en el servidor de la DMZ.
7. Acceda al Servidor en la DMZ y verifique los mensajes de logging en el
servidor Kiwi. Debera ver mensajes indicando que se excedieron los umbrales
que se configuraron antes para el descarte de paquetes por parte de la ACL.
Los mensajes de inters en este caso llevan el ID 7333100.
8. Acceda a la CLI del appliance y verifique que se han detectado eventos de
seguridad. Usted debiera ver el nmero de eventos de descarte de paquetes
por la ACL que provoc los mensajes de logging.
115 / 128
Average rate
Burst Size
Rate interval
Average rate
Burst Size
5. Ingrese al modo de configuracin global y borre los umbrales por defecto para
los eventos de exploracin.
6. Configure nuevos umbrales para los eventos de exploracin. Utilice los
siguientes parmetros:
Rate interval: 600 segundos
Average rate: 1
Burst rate:
7. Guarde la configuracin.
8. Acceda al Servidor de Extranet y abra cuatro ventanas de comandos DOS.
9. Inicie la aplicacin Nmap en cada una de las ventanas abiertas con el comando
nmap sP 192.168.x.1-254
10. Repita rpidamente el comando al menos 3 veces en cada una de las ventanas
de comandos DOS.
11. Ingrese al Servidor en la DMZ y verifique los mensajes de syslog en Kiwi. Debe
ver mensajes indicando que la tasa de eventos de exploracin exceden los
umbrales configurados y que se ha detectado al atacante y se ha bloqueado la
conexin. Los mensajes de syslog relevantes son los identificados como
733100, 733101 y 733102.
12. Acceda a la CLI del appliance y verifique las tasas de deteccin de eventos de
seguridad utilizando el comando show threat-detection rate. Usted
debe ver un cierto nmero de eventos de descarte de paquetes por exploracin
que dispararon los mensajes de syslog.
13. Verifique los atacantes que han sido detectados por el sistema de deteccin de
exploraciones utilizando el comando show threat-detection scanningthreat.
14. Verifique las terminales que han sido bloqueadas por el sistema de deteccin
de exploraciones utilizando el comando show threat-detection shun.
15. Vuelva a cero la lista de terminales bloqueadas.
16. Deshabilite la funcin de deteccin de amenazas de exploracin con shunning.
116 / 128
117 / 128
POD X
PRIMARIO
Gi0/1
10.0.x.1
Gi0/2
192.168.x.1
Terminal
10.0.x.11
Gi0/0
172.16.1.1
Gi0/3
1.1.1.1
Servidor
DMZ
192.168.x.2
Servidor de
Autenticacin
172.16.1.100
Gi0/2
192.168.x.3
Gi0/1
10.0.x.3
Gi0/3
1.1.1.3
Gi0/0
172.16.1.3
SECUNDARIO
118 / 128
inside
Nivel de Seguridad:
100
Direccin IP:
10.0.x.3/24
estudiante
Clave:
cisco
GigabitEthernet0/3
IP activa:
1.1.1.1
IP standby:
1.1.1.3
FAILOVER
10.0.x.3
outside:
172.16.1.3
dmz:
192.168.x.3
11. Acceda nuevamente a la ventana que contiene la CLI del appliance standby.
Cuando expire el tiempo de espera, el dispositivo mostrar el mensaje
Switching to Active
y a continuacin cambiar el prompt.
Cunto tiempo requiri al appliance
secundario realizar el cambio?
12. Regrese a la terminal de Trabajo y observe el ping continuo que dej corriendo
antes.
Debe verse que cuando se reinici el appliance primario el ping se interrumpi,
para reiniciarse en el momento en que el appliance secundario pas a estar
activo.
13. Regrese a la sesin FTP que abri previamente e intente nuevamente el
comando ls
Se puede ver la lista de archivos?
Por qu?
14. Acceda a la CLI del appliance secundario (ahora el activo) y verifica el status
de failover ejecutando el comando show failover
Debe mostrarle que el appliance secundario es ahora el activo y que el
primario es el standby. Todas las interfaces deben mostrarse con estado
Normal.
15. Regrese a la CLI del appliance primario y fuerce que el appliance primario
vuelva a ser el dispositivo activo utilizando el comando failover active
16. Verifique que todo haya regresado al estado inicial.
17. Cierre las sesiones de comandos DOS que tiene abiertas en la Terminal de
Trabajo.
300 mseg.
123 / 128
124 / 128
ndice
Introduccin
5
Pre-requisitos ................................................................................................................................................. 5
1. Implementacin de dispositivos ASA
91
2.0. El laboratorio
91
2.0.1. Topologa del laboratorio................................................................................................................... 91
2.0.2. Listado de equipos ............................................................................................................................. 91
2.0.3. Cableado del laboratorio ................................................................................................................... 92
2.0.4. Esquema de direccionamiento IP ...................................................................................................... 92
2.0.5. Informacin de acceso ....................................................................................................................... 93
2.1. Configuracin de la conectividad bsica
94
2.1.0. Lista de comandos a utilizar ............................................................................................................... 94
2.1.1. Inicializacin del appliance de seguridad ........................................................................................... 94
2.1.2. Preparacin del ASA para Cisco ASDM .............................................................................................. 95
2.1.3. Inicio de Cisco ASDM.......................................................................................................................... 95
2.1.4. Configuracin de las interfaces de red .............................................................................................. 96
2.1.5. Configuracin del servicio DHCP en el appliance ............................................................................... 97
2.2. Configuracin de funciones de administracin
99
2.2.0. Lista de comandos a utilizar ............................................................................................................... 99
2.2.1. Actualizacin del appliance y de ASDM ............................................................................................ 99
2.2.2. Configuracin del registro de incidentes del ASA ............................................................................ 100
2.2.3. Configuracin de SNMPv2c en el appliance .................................................................................... 100
2.2.4. Habilite del acceso por SSH en el appliance .................................................................................... 101
2.2.5. Configuracin de autenticacin y accounting .................................................................................. 102
2.3. Configuracin bsica de polticas de control de acceso
104
2.3.0. Lista de comandos a utilizar ............................................................................................................. 104
2.3.1. Diagnstico bsico de conectividad ................................................................................................. 104
2.3.2. Configuracin de grupos de objetos ................................................................................................ 104
2.3.3. Configuracin de reglas de acceso ................................................................................................... 105
2.3.4. Configuracin de uRPF ..................................................................................................................... 106
2.4. Ajuste bsico de la inspeccin stateful
107
2.4.0. Lista de comandos a utilizar ............................................................................................................. 107
2.4.1. Configuracin de inspeccin de ICMP y FTP .................................................................................... 107
126 / 128
2.4.2. Habilitacin del decremento de TTL y deshabilitacin de la aleatorizacin de la secuencia inicial de TCP
................................................................................................................................................................... 109
2.4.3. Ajuste de los temporizadores de TCP, habilitacin de DCD y configuracin de la normalizacin de TCP
................................................................................................................................................................... 109
2.5. Configuracin de polticas de capa de aplicacin
111
2.5.0. Lista de comandos a utilizar ............................................................................................................. 111
2.5.1. Configuracin de inspeccin de HTTP para proteger el Servidor en la DMZ ................................... 111
2.5.2. Configuracin de inspeccin de HTTP para proteger el cliente ....................................................... 112
2.6. Configuracin avanzada de polticas de control de acceso
114
2.6.0. Lista de comandos a utilizar ............................................................................................................. 114
2.6.1. Ajuste de los mensajes de logging al syslog server .......................................................................... 114
2.6.2. Ajuste de la deteccin de amenazas bsica ..................................................................................... 115
2.6.3. Habilitacin de la deteccin de amenazas de exploracin con shunning ........................................ 115
2.6.4. Habilitacin de TCP Intercept .......................................................................................................... 117
2.7. Implementacin de failover activo/standby
118
2.7.0 Elementos preliminares .................................................................................................................... 118
2.7.1. Preparacin del appliance secundario ............................................................................................. 119
2.7.2. Configuracin del appliance primario .............................................................................................. 119
2.7.3. Configure direcciones IP standby y pruebe el sistema .................................................................... 120
2.7.4. Ajuste de la configuracin de failover.............................................................................................. 121
2.7.5. Habilitacin de failover activo/standby stateful .............................................................................. 122
ndice
125
127 / 128
128 / 128