Scribd Logo
Carica

Benvenuto in Scribd!

  • Configuracion Asa5505

    Caricato da

    Jose Fernando Murillo Arango
    86 visualizzazioni4 pagine
    formacion

    Titolo originale

    configuracion asa5505

    Copyright

    © © All Rights Reserved

    Formati disponibili

    DOCX, PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento
    formacion

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    86 visualizzazioni4 pagine

    Configuracion Asa5505

    Caricato da

    Jose Fernando Murillo Arango
    formacion

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 4

    https://www.youtube.com/watch?

    v=nuzTbu13AtM

    https://www.youtube.com/watch?v=x7glKztnpIw

    https://www.youtube.com/watch?v=LW5lwuXDc1w

    Manual de configuracin ASA

    1. Debemos tener en cuenta que el asa tiene dos modos de configuracin, el primero es el
    modo router en el cual el equipo funciona como enrutador colocando diferentes redes en
    cada una de sus interfaces, el segundo es un modo transparente en el cual se coloca una
    direccin dentro de la red y solo nos concentramos en las configuraciones de seguridad
    2. Para trabajo en modo router el asa cuenta con diferentes interfaces (inside, dmz,outside)
    las cuales cuentan con diferentes niveles de seguridad
    Inside 100, dmz 50, outside 0; esto permite que los niveles de seguridad superiores
    ingresen a los inferiores
    3. Los asa traen dos vlans configuradas por defecto, para verlas podemos utilizar el comando
    Asa# show running-config
    Para ver el detalle de los puertos que pertenecen a las vlans utilice el comando
    Asa# show switch vlan
    4. Para configurar la red en modo router debemos hacer lo siguiente
    Asa# configure terminal
    Asa (config)#interface vlan 1
    Asa(config-if)#ip address 192.168.1.1 255.255.255.0
    Asa(config-if)# no shutdown
    Asa(config-if)#exit
    Asa(config)# interfac ethernet 0/1
    Asa(config-if)#switchport Access vlan 1
    Asa(config-if)# no shutdown
    Realizar el proceso con la otra vlan y los puertos que le pertenecen
    5. Si deseo que la interfaz outside tenga una direccin IP de forma automtica utilizo el
    siguiente cdigo
    Asa(config-if)#ip add dhcp setroute (pero desde el as fsico)
    Asa(config-if)# show ip route (muestra la configuracin del enrutamiento)
    6. Para verificar la comunicacin entre el asa y los host conectados a las diferentes vlans se
    debe utilizar el comando ping y explicar el trfico de paquetes icmp
    7. Creacin de polticas
    8. Luego podemos crear una zona desmilitarizada DMZ para ello se debe crear otra vlan asi
    Asa (config)# interface vlan 3
    Cuando la vlan 3 est creada debo utilizar el comando no forward para decirle que esta
    vlan no se comunicara con la vlan del segmento inside (esto involucra un manejo de
    licencias)
    Asa(config-if)#no forward interface vlan 1 (inside)
    Asa(config-if)#nameif DMZ
    Luego establecemos el nivel de seguridad asi
    Asa(config-if)#security-level 50
    Asa(config-if)#ip address 192.168.3.1 255.255.255.0
    Asa(config-if)#no shutdown
    Luego verificar la configuracin con el comando # show running-config
    Luego asigna el puerto a la vlan 3
    Asa(config)#interface Ethernet 0/3
    Asa(config-if)#switchport Access vlan 3
    9. Segn las configuraciones el asa no permite enviar trfico desde outside hasta el dmz por
    lo tanto debemos crear una lista de acceso as
    Asa(config)# Access-list lista1 extend permit icmp any any
    Despus de que se crea la lista de control de acceso debemos asignarla a una interfaz
    para que pueda funcionar asi
    Asa(config)#access-group lista1 out interface dmz
    10. Para mejorar el nivel de seguridad de la red vamos a utilizar el protocolo NAT as
    Agregamos una direccin ip al segmento outside que ser tomada como ip pblica
    (192.168.2.22/24), para ello vamos a crear un objeto de tipo red
    Asa(config)#object network obj1
    Luego agregamos el host que queremos natear
    Asa(config-network-object)#host 192.168.3.2
    Luego vamos a utilizar el comando nat para definir en qu sentido corre la informacin asi
    Asa(config-network-object)# nat (dmz, aoutside) static 192.168.2.22
    Ahora se verifica con # show runing-config
    Hacer ping a la ip publica
    Ahora ya podemos hacer polticas aplicndolas servicios basados en protocolos derivados
    del servidor asi.. (configurar algunos servicios en el servidor), debemos tener en cuenta
    que la direccin dns en el stack tcp/ip de los clientes debe ser la ip publica (192.168.2.22)
    Inicialmente vamos a aumentar las polticas de inspeccin de icmp(policy-map automa )
    (class sena)
    Asa(config)#policy-map automa
    Asa(config-pmap)#class sena
    Asa(config-pmap-c)#inspect dns
    Asa(config-pmap-c)#inspect http
    Verificar con show running-config
    Luego se deben configurar las acl para permitir este trfico as
    Asa(config)#access-list lista1 extended permit tcp any any
    Asa(config)#access-list lista1 extended permit udp any any

    Ahora vamos a denegar el trafico icmp


    Asa(config)#no access-list lista1 extended permit icmp any any
    Asa(config)# access-list lista1 extended deny icmp any any
    Ahora verificar con show running-config y hacer pruebas con los protocolos

    11. Para elevar los niveles de seguridad del asa podemos crear usuarios dentro del asa para
    manejar conexiones telnet o ssh la creacin de los usuarios se realiza de la siguiente
    manera
    Asa(config)# username jfmurillo password 12345
    Asa(config)#aaa authenticacion ssh console LOCAL
    Asa(config)# crypto key generate rsa modulus 1024
    Dar no en la opcin sobre escribir nombre por defecto (debe salir error porque ya se
    encuentra creado)
    Ahora se debe especificar cul es la direccin del host que podr ingresar al asa
    remotamente as
    Asa(config)# ssh 192.168.1.3 255.255.255.255 inside
    Para ingresar vamos al cmd del equipo y ejecutamos el comando ssh l jfmurillo (usuario
    del asa) 192.168.1.1 (Gateway de la red del host)
    Asa(config)# ssh timeout 10
    12. Ahora podemos hacer nateo de una subred sobre otra (por ejemplo para salir a internet)
    Asa(config)# object network obj-inside
    Asa(config-network-object)#subnet 192.168.1.0 255.255.255.0
    Asa(config-network-object)#nat (inside, outside) dynamic interface
    Sigue practica guiada 1
    13. En el asa tambin podemos configurar el servicio dhcp para interfaces en particular as
    Asa(config)#dhcpd address 172.16.1.5-172.16.1.254 interna
    Asa(config)#dhcpd dns 8.8.8.8 inerface interna
    14. Configurar una ruta por defecto
    Asa(config)#route externa 0.0.0.0 0.0.0.0 203.1.1.1
    15. Si dentro del montaje tenemos un router vamos a utilizar ospf para complementar la
    configuracin
    Router(config)#router ospf 1
    Router(config-router)#network 203.1.1.0 0.0.0.255 area 0
    Router(config-router)#network 8.8.8.0 0.0.0.255 area 0
    16. Ahora se debe dar la salida a la red interna a travs del asa hacia internet as
    Asa(config)#object network lan1
    Asa(config-object-network)#nat (interna,externa) dynamic interface
    17. Ahora se va a crear la lista de acceso as
    Asa(config)#access-list int-internet extended pemit tcp any any
    Asa(config)#access-list int-internet extended pemit icmp any any
    Asa(config)#access-group int-internet in interface externa
    18. Ahora se puede verificar el nat con el comando
    Asa#show xlate

    Potrebbero piacerti anche