Curso Gerenciando Redes Cisco - CLI e

GUI (web)

Documento extra: Configurando ASA Firewall no GNS3

tel (41) 430457810 ou (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

 tel (41) 430457810 ou (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

ÍNDICE

1 Introdução e Ferramentas .........................................................................................3

2 Configurações do GNS3 .............................................................................................4
3 Configurações para Acesso via ASDM .......................................................................... 4
4 Configurando e Testando o ASA via ASDM ................................................................... 7
5 Configurando o ASA via CLI .......................................................................................8

Pág. 2 Configurando ASA no GNS3

 tel (41) 430457810 ou (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

1 Introdução e Ferramentas
As ferramentas para gerenciamento do Cisco ASA são:
 Command-line interface (CLI): similar ao IOS.
 ASA Security Device Manager (ASDM): interface gráfica já incluída no ASA.
 Cisco Security Manager (CSM): software de maior porte que gerenciar diversos
dispositivos de rede como roteadores, switches e dispositivos de segurança como o ASA.

Em um ASA novo (zerado) sem endereço IP configurado você precisará conectar via console
portof the ASA. O cabo é o mesmo que utilizamos nos roteadores e switches, portanto você vai
precisar de uma porta serial ou um adaptador USB para serial do lado do seu laptop.

Via CLI temos o ROM Monitor, EXEC mode (de usuário e privilegiado), modo de configuração
global, modo de configuração de interface e assim vai, similar aos roteadores e switches.

A navegação é por contexto, assim como já estamos acostumados com o CLI, temos os
comandos enable, exit, Ctrl+Z, etc. Uma diferença importante notar é que você pode usar a
letra Q (quit) para interromper a rolagem através das páginas de saída de uma página de cada
vez.

O ASDM é uma ferramenta gráfica via Web que vem disponível nos equipamentos da família
ASA Firewall. Você pode se conectar até cinco diferentes firewalls com o ASDM e vamos utilizá-
lo em nossas práticas.

Pág. 3 Configurando ASA no GNS3

 tel (41) 430457810 ou (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

Portanto, o recomendado é ao ligar o ASA conectar-se via console, utilizar o wizard de

configuração via CLI para configurar um endereço IP na interface do ASA e depois conectar-se
via ASDM. É possível também fazer as configurações pela CLI normalmente como fizemos nos
roteadores.

2 Configurações do GNS3
Você pode utilizar o GNS3 para simular o ASA em seu computador ou laptop. O recomendado é
utilizar o Cisco ASA 5520 with IOS 8.4.2 and ASDM 6.47. O funcionamento no GNS3 é
relativamente simples, basta seguir os passos a seguir.

Inicie pegando os códigos fonte no link: https://www.box.com/s/9a4f93e904799e189d64 ou

http://www.mediafire.com/download/l010dd0c1nayf0d/ASA842.zip

Depois de fazer o download descompacte o arquivo em um local conhecido do seu computador,

pois utilizaremos na configuração a seguir.

Agora vamos aos passos finais da configuração do ASA no GNS3:

1. Entre em Editar > Preferências > Qemu e em General Settings configure a pasta que
você descompactou os arquivos baixados. Aplique a configuração.
2. Na aba ASA dê um nome no campo Identifier Name, exemplo, ASA-8.4.2.
3. Configure a RAM para 1024 Mb.
4. No campo «Qemu Options» copie os seguites parâmetros: -vnc none -vga none -m 1024 -
icount auto -hdachs 980,16,32
5. No campo «Initrd» aponte para o caminho do arquivo “asa842-initrd.gz”
6. No campo «Kernel» aponte para o arquivo “asa842-vmlinuz”
7. No campo «Kernel cmd line» copie os parâmetros abaixo:
-append ide_generic.probe_mask=0x01 ide_core.chs=0.0:980,16,32 auto nousb
console=ttyS0,9600 bigphysarea=65536
8. Salve as configurações e aplique.

Agora no painel de dispositivos insira um ASA e inicie o dispositivo. Após inicializado você deve
entrar com a chave de ativação do firewall com os comandos abaixo.

conf t
activation-key 0x4a3ec071 0x0d86fbf6 0x7cb1bc48 0x8b48b8b0 0xf317c0b5
! ou activation-key 0xb23bcf4a 0x1c713b4f 0x7d53bcbc 0xc4f8d09c 0x0e24c6b6
wr
exit

3 Configurações para Acesso via ASDM

Para acessar o ASA via ASDM é o mesmo princípio do roteador, temos que inserir uma núvem e
conectar o ASA a uma interface loopback. Configure a topologia, sua interface loopback com
um IP que deve estar na mesma sub-rede do ASA seguindo os passos abaixo:
1. Insira um switch e conecte o ASA a ele antes de ligá-lo.
2. Conecte a núvem ao switch e não diretamente ao ASA.

Pág. 4 Configurando ASA no GNS3

 tel (41) 430457810 ou (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

Para configurar a interface conectada ao switch no ASA utilize o scritp abaixo (considerei o ASA
com IP 10.0.0.1 e meu computador 10.0.0.10/24):

config t
int gi 0
ip address 10.0.0.1 255.255.255.0
nameif gerenciamento
no shut
end
wr

Teste a conectividade com seu computador pingando o IP configurado na loopback que conecta
a núvem ao ASA:

ciscoasa#ping 10.0.0.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
ciscoasa#

Se você não tem o ASDM na memória flash precisa copiá-lo com o comando “copy tftp: flash:”
(mesmo princípio do roteador), porém primeiro ative seu servidor TFTP no computador e
garanta que seu firewall permita o acesso ou desative-o.

ciscoasa#copy tftp flash:

Address or name of remote host [10.0.0.10]?
Source filename [ASDM-647.bin]?
Destination filename [ASDM-647.bin]?

Accessing tftp://10.0.0.10/ASDM-647.bin...!!!!!!!!!!!!!!!!!! ###Saída Omitidas

###!!!!!!!!
17902288 bytes copied in 98.220 secs (182676 bytes/sec)
ciscoasa#show flash:
--#-- --length-- -----date/time------ path
3 4096 Nov 09 2013 00:24:06 log
8 4096 Nov 09 2013 00:24:08 coredumpinfo
9 59 Nov 09 2013 00:24:08 coredumpinfo/coredump.cfg
13 196 Nov 09 2013 00:24:08 upgrade_startup_errors_201311090024.log
14 196 Nov 09 2013 00:27:58 upgrade_startup_errors_201311090028.log
15 196 Nov 09 2013 00:34:28 upgrade_startup_errors_201311090034.log
22 17902288 Nov 09 2013 01:04:14 ASDM-647.bin

Pág. 5 Configurando ASA no GNS3

 tel (41) 430457810 ou (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

266846208 bytes total (248877056 bytes free)

ciscoasa#

Uma vez copiado o arquivo ASDM-647.bin na flash execute os seguintes comandos para
permitir que o ASA seja acessado via ASDM:

ciscoasa#conf t
ciscoasa(config)#ASDM image flash:ASDM-647.bin
ciscoasa(config)#http server enable
ciscoasa(config)#http 10.0.0.10 255.255.255.255 gerenciamento
ciscoasa(config)#username dltec password dltec123 privilege 15
ciscoasa(config)#end
ciscoasa#wr
Building configuration...
Cryptochecksum: ca21aef9 c95a02fe cae19878 bbd7931c

2270 bytes copied in 0.640 secs

[OK]
ciscoasa#

Para acessar o ASDM entre em seu browser e digite https://10.10.10.1. Clique na opção
Install ASDM Launcher para fazer o download e instalar o aplicativo ASDM a partir do ASA.
Após instalar o aplicativo você poderá acessar o ASA via interface gráfica.

Depois será mostrada uma tela para entrar com o IP, usuárion e senha de acesso ao ASA.

Pág. 6 Configurando ASA no GNS3

 tel (41) 430457810 ou (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

O ASA emulado no GNS3 pode algumas vezes para de responder e parecer que travou, por isso
é importante sempre salvar as configurações e ter paciência, pois ele volta a responder após
um tempo relativamente curto.

Em ASAs reais, não simulados, quando ele está zerado um guia de configuração parecido com o
modo setup dos roteadores será apresentado. Ele é simples e útil para configuração inicial e
proporcionar o acesso via Web.

4 Configurando e Testando o ASA via ASDM

Existe um menu muito útil chamado Wizards com várias ferramentas guiadas de configuração
fácil. Você pode utilizá-lo para configurar diversos recursos, inclusive zerar o equipamento
(voltar às configurações de fábrica).

Vamos abaixo indicar os caminhos para configuração manual dos principais itens:
 Interfaces: Configuration > Device Setup > Interfaces
 Servidor DHCP: Configuration > Device Management > DHCP > DHCP Server
 Roteamento básico: Configuration > Device setup > Routing
 NAT e PAT: Configuration > Firewall > NAT Rules
 Regras de firewall: Configuration > Firewall > Access Rules

Para testes temos a opção Monitoring e também o Packet Tracer no menu Tools, não é o
programa Packet Tracer que simula redes é uma ferramenta do ASDM. Essa ferramenta do
ASDM permite que você verifique se determinado tráfego vai ser permitido ou bloqueado pelo
firewall.

Pág. 7 Configurando ASA no GNS3

 tel (41) 430457810 ou (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

Esse teste pode ser feito pela CLI utilizando o comando abaixo:

ASA#packet-tracer input inside tcp 10.0.0.101 1065 1.2.3.4 80

Nesse teste estamos verificando se o pacote gerado pela origem 10.0.0.101 com porta 1065
será encaminhado para o destino 1.2.3.4 porta de destino 80, ou seja, se o computador
10.0.0.101 acessa o servidor de Web 1.2.3.4. Veja o resultado do teste feito pelo ASDM.

A configuração via ASDM será mostrada durante a vídeo aula do capítulo.

5 Configurando o ASA via CLI

Vamos mostrar os comandos e as explicações diretamente abaixo. Nesse exemplo vamos
configurar as interfaces utilizando VLANs para dividir a rede corporativa, Internet e DMZ, onde

Pág. 8 Configurando ASA no GNS3

 tel (41) 430457810 ou (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

servidores estarão expostos na Internet. Essa configuração é do ASA 5505 que possui portas
como um switch.

ASA-FW(config)#configure terminal
ASA-FW(config)#
! Vamos começar com a Switched Virtual Interface (SVI – camada-3)
ASA-FW(config)#interface Vlan1
! Ativando a interface
ASA-FW(config-if)#no shutdown
! Adicionando a descrição opcional
ASA-FW(config-if)#description Conectada à DMZ
! Dando um nome à interface
ASA-FW(config-if)#nameif dmz
! Definindo o nível de segurança (security level)
ASA-FW(config-if)#security-level 50
! Configurando o endereço IP
ASA-FW(config-if)#ip address 192.168.1.1 255.255.255.0
ASA-FW(config-if)#exit
! Agora vamos configurar as demais interfaces VLAN
ASA-FW(config)#interface Vlan2
ASA-FW(config-if)#no shutdown
ASA-FW(config-if)#nameif redeinterna
ASA-FW(config-if)#security-level 100
ASA-FW(config-if)#ip address 10.0.0.1 255.255.255.0
ASA-FW(config-if)#exit
ASA-FW(config)#
ASA-FW(config)#interface Vlan4
ASA-FW(config-if)#no shutdown
ASA-FW(config-if)#no forward interface Vlan2
ASA-FW(config-if)#nameif Internet
ASA-FW(config-if)#security-level 0
ASA-FW(config-if)#ip address 200.200.200.2 255.255.255.240
ASA-FW(config-if)#exit
ASA-FW(config)#
! Vamos agora vincular as interfaces às VLANs criadas
ASA-FW(config)#interface Ethernet0/1
ASA-FW(config-if)#switchport access vlan 4
ASA-FW(config-if)#exit
ASA-FW(config)#
ASA-FW(config)#interface Ethernet0/2
ASA-FW(config-if)#switchport access vlan 2
ASA-FW(config-if)#exit
ASA-FW(config)#
ASA-FW(config)#interface Ethernet0/3
ASA-FW(config-if)#switchport access vlan 2
ASA-FW(config-if)#exit
ASA-FW(config)#
ASA-FW(config)#interface Ethernet0/4
ASA-FW(config-if)#switchport access vlan 2
ASA-FW(config-if)#exit
ASA-FW(config)#
ASA-FW(config)#interface Ethernet0/5
ASA-FW(config-if)#switchport access vlan 2
ASA-FW(config-if)#exit
ASA-FW(config)#
ASA-FW(config)#interface Ethernet0/6
ASA-FW(config-if)#switchport access vlan 2
ASA-FW(config-if)#exit
ASA-FW(config)#
ASA-FW(config)#interface Ethernet0/7

Pág. 9 Configurando ASA no GNS3

 tel (41) 430457810 ou (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

ASA-FW(config-if)#switchport access vlan 2

ASA-FW(config-if)#exit
! Vamos verificar as configurações
ASA-FW(config)#show run interface
interface Ethernet0/0
!
interface Ethernet0/1
switchport access vlan 4
!
interface Ethernet0/2
switchport access vlan 2
!
interface Ethernet0/3
switchport access vlan 2
!
interface Ethernet0/4
switchport access vlan 2
!
interface Ethernet0/5
switchport access vlan 2
!
interface Ethernet0/6
switchport access vlan 2
!
interface Ethernet0/7
switchport access vlan 2
!
interface Vlan1
description Conectada à DMZ
nameif dmz
security-level 50
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif redeinterna
security-level 100
ip address 10.0.0.1 255.255.255.0
!
interface Vlan4
no forward interface Vlan2
nameif Internet
security-level 0
ip address 200.200.200.2 255.255.255.240
ASA-FW(config)#

Os demais modelos de ASA tem portas como as de um roteador, ou seja, não suportam as SVIs
você pode criar VLANs de forma similar ao que fizemos nos roteadores com sub-interfaces,
porém a VLAN Untagged fica na interface física e as subinterfaces levan as demais VLANs, ou
seja, a de gerenciamento dica na interface física. Veja exemplo abaixo.

interface GigabitEthernet0
nameif principal
security-level 100
ip address 10.0.0.1 255.255.255.0
!
interface GigabitEthernet0.2
vlan 2
nameif redeinterna1
security-level 100

Pág. 10 Configurando ASA no GNS3

 tel (41) 430457810 ou (41) 4063-7810 - info@dltec.com.br - www.dltec.com.br

ip address 10.0.1.1 255.255.255.0

!
interface GigabitEthernet0.3
vlan 3
nameif redeinterna2
security-level 100
ip address 10.0.2.1 255.255.255.0

Agora vamos configurar o servidor DHCP para a rede corporativa (interface redeinterna).

ASA-FW(config)#dhcpd address 10.0.0.100-10.0.0.200 redeinterna

ASA-FW(config)#dhcpd enable redeinterna
ASA-FW(config)#dhcpd dns 8.8.8.8 interface redeinterna
ASA-FW(config)#dhcpd domain dltec-iins.com interface redeinterna

Vamos configurar a rota para a Internet, sendo que o IP do gateway do provedor é

200.200.200.1. Note que após o comando route referenciamos a interface conectada à internet
pelo nome que demos a ela na configuração.

ASA-FW(config)#route Internet 0.0.0.0 0.0.0.0 200.200.200.1

Para configurar o NAT/PAT utilizamos os comandos abaixo. Primeiro vamos criar um objeto que
se referencie à rede corporativa 10.0.0.0/24.

ASA-FW(config)#object network rede_interna

ASA-FW(config-network-object)#subnet 10.0.0.0 255.255.255.0
ASA-FW(config-network-object)#description rede_interna
ASA-FW(config-network-object)#exit

Para criar a regra do NAT utilizamos o comando abaixo:

ASA-FW(config)#nat (redeinterna,Internet) 1 source dynamic rede_interna

interface

Entre parenteses temos a rede inside (interface com nome redeinterna) e outside (interface
com nome Internet), conforme configuramos anteriormente.

Para criar regras adicionais ao firewall via CLI vamos a um exemplo prático abaixo, você vai
notar que a configuração é um pouco diferente do roteador, porém com uma lógica mais
simples.

ASA-FW(config)#access-list acesso-in deny tcp any any eq telnet

ASA-FW(config)#access-list acesso-in deny tcp any any eq www
ASA-FW(config)#access-list acesso-in permit ip any any
ASA-FW(config)#access-group acesso-in in interface redeinterna

Note que as regras são similares a uma ACL IP nomeada estendida, porém não é aplicada à
Interface e sim vinculada diretamente em modo de configuração global através do nome da
interface.

A regra criada proibe acesso Telnet e HTTP da rede corporativa em direção à Internet, pois o in
e out aqui tem o mesmo significado que nos roteadores, portanto o in em uma interface LAN
pega o tráfego que está saindo da LAN em direção a outra interface.

Pág. 11 Configurando ASA no GNS3