En la prctica que observaremos a continuacin, se establecer una
conexin con el fin de poner a prueba los parmetros funcionales de los dispositivos activos enfocados a la seguridad y el filtrado de servicios y paquetes
Proseguimos con al configuracin previa de la interfaces de red y dems detalles importantes para la conectividad.
Aqu podemos observar parmetros configurados tales como la asignacin de la ip a cada interfas,nivel de seguridad. todo esto fue efectuados en el ASA
Podremos observar la configuracin de interfaces tambin en los router
Acontinuacion les explicare la configuracin previa de algunos parmetros un poco desconocios para algunos.
Asiganaremos el security-level o nivel de seguridad
Para que sea un poco ms claro , como cada interfaz tiene un security-level asignado , de la forma:
-Inside: security-level 100
-dmz: security-level 50
-outside: security-level 0
De esta forma, asignamos, en forma jerrquica, el nmero ms alto, es el que tiene ms seguridad en comparacion de las restantes, aunque la dmz, es donde estn todos nuestros servicios/servidores estos, tambin son vistos algunos en la internet, como la pgina web de la org, concluyendo, de forma predeterminada, la inside podra ver a las dems redes, pero no de forma inversa.
En primer lugar verificaremos la conectividad realizando un ping desde los router a la puerta de enlace del ASA
Ping desde el dmz ala puerta de enlace
Del asa al R1
Del asa al dmz
En este caso nuestro servidor web es un router entonces necesitamos una ruta para poder realizar la conexin entre redes diferentes
Haora tenemos que relizar un acces-list para poder permitir la conexin desde el cliente hasta el servidor web
ASA(config)# access-list pingc permit icmp any any echo-reply ASA(config)# access-list pingc permit icmp any any unreachable
ASA(config)# access-list pingc deny icmp any any
Asiganaremos al acces-list a la interfaz dmz
Efectuamos el ping desde el cliente hasta la web Podemos apreciar que fue exitoso
Habilitaremos la administracin por web
ASA (config)# ip http server ASA (config)# ip http secure-server
Creamos un access-list para ingresar desde la inside al servidor web
ASA(config)# access-list web permit tcp 192.168.1.0 255.255.255.0 host 192.168.2.2 eq 80 Luego denegamos el trafico restante para evitar problemas de seguridad
ASA(config)# access-list web deny ip any any
Asignamos la acceslist a la interfaz correspondiente
ASA(config-if)# access-group WEB in interface inside
Aqui podemos observer como accedemos a via web
crearemos una ruta por defecto, para que todo el trfico entrante y saliente hacia y desde el internet sea por la ruta que definamos, que casi siempre ser una ruta que la ISP nos asigna
tendremos que asignar una ruta por defecto para que el trfico que que haya conectividad entre el cliente de la lan y el servidor WEB e internet una ruta estatica.
syo(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
Tambin tendremos que asignar una ruta por defecto para que el trfico que viene desde internet pueda comunicarse con nuestro ASA.
dmz(config)#ip route 0.0.0.0 0.0.0.0 200.200.1.1 ahora, asignaremos una IP pblica que rentaremos para poder ver el servidor Web desde internet usando NAT
tenemos que crear una access-list para poder permitir las peticiones http en nuestra red, desde la outside.
ASA(config)# access-list publica permit tcp any 200.200.1.15 255.255.255.0 eq 80 ASA(config)# access-list public deny ip any any ASA(config)# interface ethernet 0/2 ASA(config-if)# access-group publica in interface outside
Hagamos una prueba lo anterior simulando un cliente de internet
Crearemos un POOL de direcciones pblicas para que nuestros usuarios de nuestra inside (LAN), puedan salir a internet
Para que los usuarios de la inside LAN, puedan realizar una peticin de nuestro servidor Web local y no tengan que recorrer internet para encontrarlo, hacemos un nat0 en el ASA y como global, asignaremos un rango de direcciones pblicas para que nuestros clientes puedan salir a internet
Tenemos que agregar una access-list para poder permitir que la lan pueda hacer peticiones web hacia todas las redes, es decir, la internet. Como ya tenemos una acces-list asignada ala interfaz inside lo que haremos ser aditarla para agregar un nueva lnea
ASA(config)# access-list web permit tcp 192.168.1.0 255.255.255.0 any eq 80 ASA(config)# access-list web permit tcp 192.168.1.0 255.255.255.0 any eq 443 Estas 2 lineas la agregamos con el fin de permitir la conexiones seguras y las conexiones no seguras.
Haora veremos la utilidad de algunos comandos ala hora de verificar conectividad y disponibilidad en la red.
el packet-tracer, su uso es fundamental para el reconocimiento de errores en nuestra red
input = decimos si es trfico entrante o saliente inside = nombre de la interfaz, como en nuestro caso, inside, outside, dmz tcp = protocolo a hacer el trazado 192.168.1.2 = direccin IP de origen 1234 = puerto origen 172.16.0.2 = direccin IP de destino http = protocolo de destino
todo tiene que salir Allow para que este bien result=allow
tambien podemos haser una busqueda especifica con la herramienta greep ASA(config)# show running-config | grep nat
Tambien cuando queremos ver la configuracion de una acces-list Usamos el comando ASA#show access-list
Otra de las herramientas es la captura de paquetes por medio de una access-list. primero hacemos una access-list y permitimos todo el trfico ip del host o red que queremos capturar.