Configuración ASA

TECNOLÓGICO NACIONAL DE MÉXICO INSTITUTO TECNOLÓGICO DE QUERÉTARO UNIDAD PINAL DE AMOLES Materia: Seguridad Tema: Reporte de práctica sobre configuración de ASA. Numero de control: 14141420 Alumno Gallegos Guerrero Daniela Grupo P6E Asesor: Ing. José Antonio Castañeda Osornio Tutor: Lic. Eucebio Martínez Olvera Fecha de elaboración 22/09/2018

Introducción El presente trabajo muestra información relevante acerca de la elaboración de una practica dentro de Packet Tracer, la cual consiste en la configuración del dispositivo adaptivo de cisco ASA, donde se identifique la interfaz, estructura del dispositivo, comandos de configuración.

Topología

Tabla de direcciones

Proceso Realizar las configuraciones de ASA y la seguridad de la interfaz con la CLI Configurar el nombre de host y el nombre de dominio. a. Configure el nombre de host ASA como CCNAS-ASA.

b. Configure el nombre de dominio como ccnasecurity.com.

Configurar la contraseña del modo de habilitar. Use el comando enable password para cambiar la contraseña del modo EXEC privilegiado a ciscoenpa55.

Configurar las interfaces internas y externas. Solo configurará las interfaces VLAN 1 (interior) y VLAN 2 (exterior) en este momento. a. Configure una interfaz lógica de VLAN 1 para la red interna (192.168.1.0/24) y configure el nivel de seguridad en la configuración más alta de 100.

b. Cree una interfaz lógica de VLAN 2 para la red externa (209.165.200.224/29), establezca el nivel de seguridad en la configuración más baja de 0 y habilite la interfaz de VLAN 2.

Paso 5: probar la conectividad con el ASA. a. Debería poder enviar un ping desde la PC-B a la ASA dentro de la dirección de la interfaz (192.168.1.1). Si los pings fallan, resuelva la configuración según sea necesario.

b. Desde PC-B, haga ping a la interfaz VLAN 2 (exterior) en la dirección IP 209.165.200.226. No deberías poder hacer ping a esta dirección.

CONFIGURAR LA POLÍTICA DE ENRUTAMIENTO, TRADUCCIÓN DE DIRECCIONES E INSPECCIÓN UTILIZANDO LA CLI Configurar una ruta predeterminada estática para el ASA. Configurar una ruta estática predeterminada en la interfaz externa de ASA para permitir que ASA llegue a redes externas. CCNAS-ASA (config) # route outside 0.0.0.0 0.0.0.0 209.165.200.225 Verificar que el ASA pueda hacer ping a la dirección IP R1 S0 / 0/0 10.1.1.1. Si el ping no tiene éxito, solucione los problemas según sea necesario.

Paso 2: configure la traducción de direcciones usando PAT y objetos de red. a. Cree un objeto de red dentro de la red y asígnele atributos usando los comandos subnet y nat. CCNAS-ASA(config)# object network CCNAS-ASA(config-network-object)# CCNAS-ASA(config-network-object)# CCNAS-ASA(config-network-object)#

inside-net subnet 192.168.1.0 255.255.255.0 nat (inside,outside) dynamic interface end

Modificar la política de servicio global de inspección de aplicaciones MPF predeterminada. a. Crea el mapa de clases, el mapa de políticas y la política de servicio. Agregue la inspección del tráfico ICMP a la lista de mapas de políticas con los siguientes comandos: CCNAS-ASA(config)# class-map inspection_default CCNAS-ASA(config-cmap)# match default-inspection-traffic CCNAS-ASA(config-cmap)# exit CCNAS-ASA(config)# policy-map global_policy CCNAS-ASA(config-pmap)# class inspection_default CCNAS-ASA(config-pmap-c)# inspect icmp CCNAS-ASA(config-pmap-c)# exit CCNAS-ASA(config)# service-policy global_policy global

Parte 4: configure DHCP, AAA y SSH Paso 1: configure el ASA como un servidor DHCP. a. Configure un grupo de direcciones DHCP y habilítelo en la interfaz ASA CCNAS-ASA (config) # dhcpd address 192.168.1.5-192.168.1.36 inside.

b. (Opcional) Especifique la dirección IP del servidor DNS que se le asignará a los clientes. Interfaz CCNAS-ASA (config) # dhcpd dns 209.165.201.2 interface inside

c. Habilite el daemon DHCP dentro del ASA para escuchar las solicitudes del cliente DHCP en la interfaz habilitada (adentro). CCNAS-ASA (config) # dhcpd enable inside

d. Cambie PC-B de una dirección IP estática a un cliente DHCP y verifique que reciba información de direccionamiento IP. Solucionar problemas, según sea necesario para resolver cualquier problema

Paso 2: configure AAA para usar la base de datos local para la autenticación. a. Defina un usuario local llamado admin ingresando el comando de nombre de usuario. Especifique una contraseña de adminpa55. CCNAS-ASA (config) # username admin password adminpa55

b. Configure AAA para usar la base de datos ASA local para la autenticación de usuario SSH. CCNAS-ASA(config)# aaa authentication ssh console LOCAL

Paso 3: configure el acceso remoto al ASA.

a. Genere un par de claves RSA, que es necesario para admitir conexiones SSH. Debido a que el dispositivo ASA tiene las claves RSA en su lugar, ingrese no cuando se le solicite que las reemplace. CCNAS-ASA(config)# crypto key generate rsa modulus 1024 WARNING: You have a RSA keypair already defined named . Do you really want to replace them? [yes/no]: no ERROR: Failed to create new RSA keys named

b. Configurar el ASA para permitir conexiones SSH desde cualquier host en la red interna (192.168.1.0/24) y desde el host de administración remota en la sucursal (172.16.3.3) en la red externa. Establezca el tiempo de espera de SSH en 10 minutos (el valor predeterminado es de 5 minutos). CCNAS-ASA(config)# ssh 192.168.1.0 255.255.255.0 inside CCNAS-ASA(config)# ssh 172.16.3.3 255.255.255.255 outside CCNAS-ASA(config)# ssh timeout 10

c. Establezca una sesión de SSH de PC-C a ASA (209.165.200.226). Solucione problemas si no es exitoso. PC> ssh -l admin 209.165.200.226

d. Establezca una sesión de SSH desde la PC-B hasta la ASA (192.168.1.1). Solucione problemas si no es exitoso. PC> ssh -l admin 192.168.1.1

Parte 5: configure una DMZ, NAT estática y ACL Paso 1: Configurar la interfaz DMZ VLAN 3 en el ASA. a. Configure DMZ VLAN 3, que es donde residirá el servidor web de acceso público. Asigne la dirección IP 192.168.2.1/24, asígnele el nombre dmz y asígnele un nivel de seguridad de 70. Como el servidor no necesita iniciar la comunicación con los usuarios internos, deshabilite el reenvío a la interfaz VLAN 1. CCNAS-ASA(config)# interface vlan 3 CCNAS-ASA(config-if)# ip address 192.168.2.1 255.255.255.0 CCNAS-ASA(config-if)# no forward interface vlan 1 CCNAS-ASA(config-if)# nameif dmz INFO: Security level for "dmz" set to 0 by default. CCNAS-ASA(config-if)# security-level 70

b. Asigne la interfaz física ASA E0 / 2 a DMZ VLAN 3 y habilite la interfaz. CCNAS-ASA(config-if)# interface Ethernet0/2 CCNAS-ASA(config-if)# switchport access vlan 3

CONFIGURE NAT ESTÁTICA EN EL SERVIDOR DMZ UTILIZANDO UN OBJETO DE RED. Configurar un objeto de red denominado dmz-server y asígnele la dirección IP estática del servidor DMZ (192.168.2.3). Mientras está en el modo de definición de objeto, use el comando nat para especificar que este objeto se usa para traducir una dirección DMZ a una dirección externa usando NAT estática, y especifique una dirección pública traducida de 209.165.200.227. CCNAS-ASA(config)# object network dmz-server CCNAS-ASA(config-network-object)# host 192.168.2.3 CCNAS-ASA(config-network-object)#nat (dmz,outside) static 209.165.200.227 CCNAS-ASA(config-network-object)# exit

Configurar una ACL para permitir el acceso al servidor DMZ desde Internet. Configure una lista de acceso con nombre OUTSIDE-DMZ que permita el protocolo TCP en el puerto 80 desde cualquier host externo a la dirección IP interna del servidor DMZ. Aplique la lista de acceso a la interfaz externa de ASA en la dirección "IN". CCNAS-ASA(config)#access-list OUTSIDE-DMZ permit icmp any host 192.168.2.3 CCNAS-ASA(config)#access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3 eq 80 CCNAS-ASA(config)# access-group OUTSIDE-DMZ in interface outside

Nota: A diferencia de las ACL de IOS, la declaración de permiso de ACL de ASA debe permitir el acceso a la dirección DMZ privada interna. Los hosts externos acceden al servidor utilizando su dirección NAT estática pública, ASA lo traduce a la dirección IP del host interno y luego aplica la ACL.

Conclusión El realizar esta práctica me ayudo para comprender un poco más a lo que se refiere el tema de ASA, ya que este ayuda a tener más seguro nuestra red, en especifico nuestros dispositivos. La verdad es que no es suficiente con solo investigar sino que es importante realizarlo para poder comprenderlo más, además de que sería importante realizarlo de forma física, sin embargo el realizarlo en Packet Tracer es una forma de poner en práctica nuestros conocimietos. Bibliografía

Jose. (2013). Cisco ASA. 22/09/2018, de blog Sitio web: https://www.facebook.com/PcSystemSupportMx/photos/los-dispositivosdeseguridad-adaptativa-de-cisco-asa-serie-5500-ofrecenunaamp/608439809213434/ Alvaro. (2010). Dispositivos adaptables de seguridad de la serie Cisco ASA 5500. 22/09/2018, de blog Sitio web: https://www.cisco.com/c/dam/global/es_es/assets/publicaciones/07-08ciscodispositivos-serie-ASA5500.pdf Victor. (2015). Configure el ASA para las redes internas duales. 22/09/2018, de blog Sitio web: https://www.cisco.com/c/es_mx/support/docs/ip/networkaddress-translationnat/119195-configure-asa-00.html#anc8 https://www.certsi.es/alerta-temprana/avisos-seguridad/vulnerabilidadciscoadaptative-security-appliance-asa