Practica con firewall ASA

En la prctica que observaremos a continuacin, se establecer una

conexin con el fin de poner a prueba los parmetros funcionales de
los dispositivos activos enfocados a la seguridad y el filtrado de
servicios y paquetes


Proseguimos con al configuracin previa de la interfaces de red y
dems detalles importantes para la conectividad.

Aqu podemos observar parmetros configurados tales como la
asignacin de la ip a cada interfas,nivel de seguridad. todo esto fue
efectuados en el ASA

Podremos observar la configuracin de interfaces tambin en los
router




Acontinuacion les explicare la configuracin previa de algunos
parmetros un poco desconocios para algunos.



Asiganaremos el security-level o nivel de seguridad

Para que sea un poco ms claro , como cada interfaz tiene un
security-level asignado , de la forma:

-Inside: security-level 100

-dmz: security-level 50

-outside: security-level 0

De esta forma, asignamos, en forma jerrquica, el nmero ms alto, es
el que tiene ms seguridad en comparacion de las restantes, aunque
la dmz, es donde estn todos nuestros servicios/servidores estos,
tambin son vistos algunos en la internet, como la pgina web de la
org, concluyendo, de forma predeterminada, la inside podra ver a las
dems redes, pero no de forma inversa.







En primer lugar verificaremos la conectividad realizando un ping desde
los router a la puerta de enlace del ASA


Ping desde el dmz ala puerta de enlace






Del asa al R1


Del asa al dmz






En este caso nuestro servidor web es un router entonces necesitamos
una ruta para poder realizar la conexin entre redes diferentes



Haora tenemos que relizar un acces-list para poder permitir la
conexin desde el cliente hasta el servidor web

ASA(config)# access-list pingc permit icmp any any echo-reply
ASA(config)# access-list pingc permit icmp any any
unreachable

ASA(config)# access-list pingc deny icmp any any









Asiganaremos al acces-list a la interfaz dmz

Efectuamos el ping desde el cliente hasta la web
Podemos apreciar que fue exitoso




Habilitaremos la administracin por web



ASA (config)# ip http server
ASA (config)# ip http secure-server

Creamos un access-list para ingresar desde la inside al servidor web

ASA(config)# access-list web permit tcp 192.168.1.0 255.255.255.0
host 192.168.2.2 eq 80
Luego denegamos el trafico restante para evitar problemas de
seguridad

ASA(config)# access-list web deny ip any any

Asignamos la acceslist a la interfaz correspondiente

ASA(config-if)# access-group WEB in interface inside



Aqui podemos observer como accedemos a via web




crearemos una ruta por defecto, para que todo el trfico entrante y
saliente hacia y desde el internet sea por la ruta que definamos, que
casi siempre ser una ruta que la ISP nos asigna


tendremos que asignar una ruta por defecto para que el trfico que
que haya conectividad entre el cliente de la lan y el servidor WEB e
internet una ruta estatica.

syo(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2


Tambin tendremos que asignar una ruta por defecto para que el
trfico que viene desde internet pueda comunicarse con nuestro ASA.

dmz(config)#ip route 0.0.0.0 0.0.0.0 200.200.1.1
ahora, asignaremos una IP pblica que rentaremos para poder ver el
servidor Web desde internet usando NAT

dmz(config)# static (dmz,outside) 200.200.1.15 192.168.2.2 netmask
255.255.255.255

tenemos que crear una access-list para poder permitir las peticiones
http en nuestra red, desde la outside.

ASA(config)# access-list publica permit tcp any 200.200.1.15
255.255.255.0 eq 80
ASA(config)# access-list public deny ip any any
ASA(config)# interface ethernet 0/2
ASA(config-if)# access-group publica in interface outside

Hagamos una prueba lo anterior simulando un cliente de internet



Crearemos un POOL de direcciones pblicas para que nuestros
usuarios de nuestra inside (LAN), puedan salir a internet

Para que los usuarios de la inside LAN, puedan realizar una peticin
de nuestro servidor Web local y no tengan que recorrer internet para
encontrarlo, hacemos un nat0 en el ASA y como global, asignaremos
un rango de direcciones pblicas para que nuestros clientes puedan
salir a internet

ASA(config)# nat (inside) 0 192.168.1.0 255.255.255.0
ASAconfig)# global (outside) 1 200.200.1.3-200.200.1.10

Tenemos que agregar una access-list para poder permitir que la lan
pueda hacer peticiones web hacia todas las redes, es decir, la internet.
Como ya tenemos una acces-list asignada ala interfaz inside lo que
haremos ser aditarla para agregar un nueva lnea

ASA(config)# access-list web permit tcp 192.168.1.0 255.255.255.0
any eq 80
ASA(config)# access-list web permit tcp 192.168.1.0 255.255.255.0
any eq 443
Estas 2 lineas la agregamos con el fin de permitir la conexiones
seguras y las conexiones no seguras.



Haora veremos la utilidad de algunos comandos ala hora de verificar
conectividad y disponibilidad en la red.

el packet-tracer, su uso es fundamental para el reconocimiento de
errores en nuestra red

ASA# packet-tracer input inside tcp 192.168.1.2 1234 5 192.168.2.2
http

input = decimos si es trfico entrante o saliente
inside = nombre de la interfaz, como en nuestro caso, inside, outside,
dmz
tcp = protocolo a hacer el trazado
192.168.1.2 = direccin IP de origen
1234 = puerto origen
172.16.0.2 = direccin IP de destino
http = protocolo de destino

todo tiene que salir Allow para que este bien
result=allow

tambien podemos haser una busqueda especifica con la herramienta
greep
ASA(config)# show running-config | grep nat


Tambien cuando queremos ver la configuracion de una acces-list
Usamos el comando
ASA#show access-list

Otra de las herramientas es la captura de paquetes por medio de
una access-list. primero hacemos una access-list y permitimos todo el
trfico ip del host o red que queremos capturar.

ASA(config)# capture cap0 access-list cap0 interface outside