Curso ASA

Cisco ASA Adaptive Security Appliance
Telfono: (562) 362 9010 - Fax: (562) 362 9011 - Barros Errzuriz #1954 Oficina 1701 - Providencia - Santiago Chile
Introduccin a la Linea de equipos ASA Cap N1
Equipos ASA Caractersticas de los equipos Cisco ASA Seguridad, performance y confiabilidad en equipos diseados para implementaciones de seguridad Avanzados algoritmos de stateful inspection Autenticacin basada en usuarios para trafico de entrada y salida Maquinas de inspeccin integradas de protocolo y aplicacin que examinan flujos de paquetes en capa 4 y 7 Esquema de polticas de seguridad modular de prxima generacin, altamente flexible y extensible VPN robusta para asegurar conexiones site-to-site y accesos remotos Mltiples contextos de seguridad (firewall virtuales) dentro de un solo equipo Completas capacidades de failover, para garantizar las disponibilidad de la red Implementacin transparente sobre ambientes de red existentes, sin requerir direccionamiento de la red
Linea de firewall Cisco ASA ASA 5580-40
ASA 5580-20 ASA 5550 ASA 5540
Costo
ASA 5520 ASA 5510 ASA 5505 SOHO SMB Enterprise Funcionalidad SP
Caractersticas de performance Para la serie cisco ASA 55xx

Cisco AS A 5500 S e rie s M ode l/Lice nse 5505 Ba se / 5510 Ba se / S e curity P lus S e curity P lus 5520 5540 5550 S m all B us ines s, B ranch E dgeInternet E dge Internet E dge Internet E dge, Cam pus Offic e, E nterprise TeleworkInternet er 150 M bps 10000 / 25000 4000 85 100 M bps 10 / 25 25 2 300 M bps 450 M bps 50000 / 130000 280000 9000 190 170 M bps 250 250 2 12000 320 225 M bps 750 750 2 650 M bps 400000 25000 500 325 M bps 5000 2500 2 1.2 Gbps 650000 36000 600 425 M bps 5000 5000 2
Ne tw ork loca tion P e rform a nce S um m a ry M a x im um fire w a ll a nd IP S throughput (M bps) M a x fire w a ll conn M a x im um fire w a ll conn/se c P a cke ts pe r se cond (64 byte ) M a x 3DES /AES V P N throughput M a x im um site -to-site a nd re m ote a cce ss V P N se ssions M a x im um S S L V P N use r se ssions Bundle d S S L V P N use r se ssion
Caractersticas tcnicas Para la serie cisco ASA 55xx

55 10 B a se / C isco AS A 55 00 55 05 B ase / S ecu rity S erie s M o d el/L icen se S ecu rity P lu s P lu s 55 20 5 540 55 50 S m all B usiness, B ranch Office, E nterprise Internet E dg e, N etw o rk lo catio n Telewo rker Internet E dge Internet E dg e Internet E dge C am p us T ech n ical S u m m a ry M em o ry 256 M B 256 M B 5 12 M B 1 GB 4 GB M in im u m system flash 64 M B 64 M B 64 M B 64 M B 64 M B 5-10/100 / 4-10/1 00/100 4-10 /100/10 0 2-10/100 /10 0 0, 0, 0, 3-10/100 1-10/1 00 1-10 /100 +4 -10/10 0/1 0 +4 -10/100 /10 +4-1 0/100/1 0 8-10/100/1 00 00 , 4 S F P 00, 4 S F P 00, 4 S F P 0, 8 port 10/100 switch with 2 (with 4GE (with 4GE (with 4GE 4-S F P , In teg rated p o rts2 P o wer over E therne t ports S S M ) SSM) SSM) 1-10/100 M ax im u m virtu al 3 (trunking d isabled )5 / 50 / in terface s (V L AN s) 20 (trunking enable d) 1 00 15 0 200 250
Capacidades de expansin Para la serie cisco ASA 55xx

Cisco ASA 5500 Series Model/License Network location Expansion Capabilities SSC/SSM/IC Expansion SSC/SSM/ICs supported Intrusion Prevention Concurrent threat mitigation throughput (Mbps) (firewall + IPS services) Content Security (antivirus, anti-spyware, file blocking) Maximum number of users for anti-virus, anti-spyware, file blocking (CSC SSM only) Content Security Plus License features 5505 Base / Security Plus Small Business, Branch Office, Enterprise Teleworker 5510 Base / Security Plus Internet Edge 5520 Internet Edge 5540 Internet Edge 5550 Internet Edge, Campus
1-SSC Future, SSC Not available
Not available Not available
1-SSM 1-SSM 1-SSM Not Available CSC SSM, AIP CSC SSM, AIP CSC SSM, AIP SSM, 4GE SSM SSM, 4GE SSM SSM, 4GE SSM Not Available Yes (with AIP Yes (with AIP SSM) Yes (with AIP SSM) SSM) Not Available 225 (with AIP SSM-10) 150 (with AIP 375 (with AIP 500 (wth AIP SSM-10) SSM-20) SSM-20) 300 (with AIP 450 (with AIP 650 (with AIP SSM-20) SSM-40) SSM-40) Not available Yes (with CSC SSM) Yes (with CSC SSM) Yes (with CSC SSM) Not available
500 (CSC500 (CSCSSM-10) 500 (CSC-SSM-10) SSM-10) 1000 (CSC1000 (CSC1000 (CSCSSM-20) SSM-20) SSM-20) Anti-spam, antiAnti-spam, antiAnti-spam, antiphishing, URL phishing, URL phishing, URL filtering filtering filtering
Caractersticas Para la serie cisco ASA 55xx

Cisco ASA 5500 Series Model/License Network location Features Cisco Adaptive Security Appliance Software Version (latest) Application-layer firewall services Layer 2 transparent firewalling Security contexts (included/maximum)3 GTP/GPRS inspection3 High availability support4 SSL and IPsec VPN services VPN clustering and load balancing Advanced endpoint assessment3 5505 Base / Security Plus Small Business, Branch Office, Enterprise Teleworker 5510 Base / Security Plus Internet Edge 5520 Internet Edge 5540 Internet Edge 5550 Internet Edge, Campus
01/08/00 Yes Yes 0/0 Not available Not supported Stateless A/S Yes Not available Yes
01/08/00 Yes Yes 0/0 / 2/5 Not available Not supported A/A and A/S Yes Not available / Yes Yes
01/08/00 Yes Yes 01/02/20 Yes A/A and A/S Yes Yes Yes
Soluciones Cisco ASA para empresa Si bien podemos encontrar una gran variedad de equipos que realizan la funcin de firewall, cisco tambin los ofrece como parte una serie de soluciones empresariales, como las siguientes: Cisco ASA Firewall Edition Incluye licencias de failover Restriccin de interfaces Restriccin de usuarios Cisco ASA VPN Edition Incluye licencias por cantidad de instancias ipsec/ssl Cisco ASA IPS Edition Incluye licencias por cantidad de usuarios Cisco ASA Content Security Edition Incluye licencias por cantidad de usuarios
Cisco SSMs Los equipos de la serie cisco ASA 55xx proveen servicios de firewall y VPN tanto IPSec como SSL. Servicios de seguridad adicionales son implementados a travs de hardware opcional, llamado SSM (security service module). Los mdulos disponibles son los siguientes: Cisco ASA AIP SSM Cisco ASA CSC SSM Existe una tercera oferta utilizada con fines de expansin de puertas. Four-Port Gigabit ethernet SSM
Cisco ASA CSC SSM Provee servicios de antivirus, antispyware, bloqueo de archivos, antispam antiphishing, bloqueo y filtrado de URL y servicios de filtro de contenidos Existen 2 versiones para este modulo CSC SSM-10 Soportado en todos los modelos de ASA CPU 2 Ghz RAM 1Gb CSC SSM-20 Soportado solo en ASA 5520 y 5540 CPU 2,4 Ghz RAM 2 Gb
Cisco ASA AIP SSM Puede certeramente identificar, clasificar y detener el trafico malicioso, incluyendo gusanos, spyware, adware y virus de red, antes de que afecten la red Existe 3 versiones para este modulo: AIP SSM-10 150 Mbps sobre un 5510 225 Mbps sobre un 5520 AIP SSM-20 375 Mbps sobre un 5520 500 Mbps sobre un 5540 AIP SSM-40 450 Mbps sobre un 5520 650 Mbps sobre un 5540 Performance sobre bloqueo de amenazas concurrentes
Cisco ASA 4GE SSM Provee interfaces adicionales y permite una mejor segmentacin de las zonas de seguridad. Se puede utilizar cualquier combinacin de puertos, ya sean de cobre o fibra, solo utilizando 4 de estos a la vez. Por cobre soporta velocidades de 10, 100 y 1000 Mbps Por fibra, soporta los siguientes mdulos SFP long wavelength or long haul 1000BASE-LX or 1000BASE-LH Short wavelength 1000BASE-SX
Configuracin bsica del equipo de seguridad Cap N2
Introduccion al cli de ASA La linea de comandos posee 4 modos de acceso: sin privilegios: ciscoasa> solo acceso a comandos restringidos privilegiado: ciacoasa# acceso full a los comandos soportados configuracion: ciscoasa(config)# acceso a los comandos de configuracion monitor monitor> entorno de rescate, con funcionalidad limitada acceso al modo privilegiado ciscoasa> enable password: ******** ciscoasa# acceso al modo de configuracion ciscoasa# configure terminal ciscoasa(config)#
Configuracin Bsica Partir de una configuracin en blanco Ciscoasa# write erase Erase configuration in flash memory? [confirm] [OK] Ciscoasa# reload Proceed with reload? [confirm] Definir el Hostname ciscoasa(config)# hostname fw01 fw01(config)# Configurar la hora de sistema ciscoasa# clock timezone CLT -4 ciscoasa# clock summer-time CLST recurring 2 Sun Oct 0:00 2 Sun Mar 0:00 ciscoasa# ntp server 200.54.149.19 source outside
Configuracin de una interfaz
Configuraciones mnimas para la interfaz Nombre ciscoasa(config-int)# nameif inside Direccin ciscoasa(config-int)# ip address 192.168.1.1 255.255.255.0 Nivel de seguridad ciscoasa(config-int)# security-level 100 Velocidad ciscoasa(config-int)# speed auto ciscoasa(config-int)# duplex auto Estado ciscoasa(config-int)# no shutdown
NAT (network address translation) Cap N3
NAT (network address translation)
NAT fue creado para sobrepasar diversos problemas de direccionamiento, debido a la expansin de internet, entre ellos: - mitigar el agotamiento de direcciones - utilizar direcciones RFC 1918 de forma interna - conservar el esquema interno de direccionamiento NAT tambin aumenta la seguridad escondiendo la topologa interna. El concepto de NAT se presenta en diversas configuraciones, ya sea de forma dinmica, esttica, sin nat ,uno a uno ya sea en IP o puerto.
Rangos de direcciones RFC 1918
Con la finalidad de comunicar equipos que no sern visibles en internet se defini el siguiente esquema de direccionamiento, mediante la RFC 1918.
Nombre bloque de 8 bits bloque de 12 bits bloque de 16 bits bloque de 16 bits
rango 10.0.0.0-10.255.255.255 172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255 169.254.0.0-169.254.255.255
n de ip 16777216 1.048.576 65536 65536
descripcin clase A simple 16 clases B continua 256 clase C continua clase B simple
bloque CIDR 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16
Niveles de Seguridad
Los niveles de seguridad indican el nivel de confianza sobre una interfaz del firewall, siendo el de mayor confianza 100 y el de menor confianza 0, el trafico se permite por defecto de un nivel superior a un nivel inferior, esto quiere decir que no es requerido una ACL que permita el trfico explcitamente. Para habilitar o permitir trfico desde un nivel inferior a un nivel superior, por ejemplo de outside a inside o dmz, necesitamos definir una ACL que lo permita explcitamente.
NAT 0 Define direcciones sobre las cuales no se realizara NAT Se aplica de la siguiente forma: ciscoasa(config)# nat (dmz) 0 10.0.0.10 255.255.255.255 Mismo ejemplo pero con una lista de acceso. ciscoasa(config)# access-list ACL_nat0 permit ip host 10.0.0.10 any ciscoasa(config)# nat (dmz) 0 access-list ACL_nat0
NAT Dinmico Traduce direcciones de host desde una interfaz segura a un pool de direcciones en una interfaz menos segura. Esto permite a los host internos compartir direcciones publicas. Se aplica de la siguiente forma: ciscoasa(config)# nat (inside) 1 10.0.0.0 255.255.255.0 ciscoasa(config)# global (outside) 1 200.75.31.129-200.75.31.134 netmask 255.255.255.248
En este caso la traduccin, se realiza 1 a 1... por lo tanto tras la utilizacin del pool de 6 ip, la prxima conexin deber esperar una ip libre
PAT (Port Address Translation)
PAT es una mejora de NAT, pues utiliza la combinacin de puertos e IP, para realizar la traduccin, lo que implica que ya no es necesario un pool de IP, sino que se puede sobrecargar una sola IP de la siguiente manera. ciscoasa(config)# nat (inside) 1 10.0.0.0 255.255.255.0 ciscoasa(config)# global (outside) 1 200.75.31.129 netmask 255.255.255.255 Tambin se puede utilizar la interfaz correspondiente para realizar el nat global. ciscoasa(config)# global (outside) 1 interface
NAT Esttico
NAT esttico, realiza la traduccin constante de un par de objetos, es decir esta correlacin permanece en el tiempo. En el ejemplo tenemos la ip publica en la outside, pasando por nat hacia la dmz ciscoasa(config)# static (dmz,outside) 200.75.31.129 172.16.1.9 netmask 255.255.255.255
PAT Esttico
PAT esttico, realiza la traduccin constante de un par de objetos, constituidos por la pareja puerto-ip, es decir esta correlacin permanece en el tiempo. En el ejemplo tenemos la ip en outside pasando por nat, hacia la dmz ciscoasa(config)# static (dmz,outside) tcp 200.75.31.129 www 172.16.1.9 www netmask 255.255.255.255 ciscoasa(config)# static (dmz,outside) tcp 200.75.31.129 ftp 172.16.1.10 ftp netmask 255.255.255.255
Nat sobre 3 interfaces
asa(config)# nat (inside) 1 172.16.0.0 255.255.0.0 asa(config)# nat (dmz) 1 192.168.1.0 255.255.255.0 asa(config)# global (outside) 1 200.75.31.129 interface asa(config)# global (dmz) 1 192.168.1.2 192.168.1.10 netmask 255.255.255.0 ... Las comunicaciones desde inside pueden ser traducidas hacia outside y hacia dmz El comando nat(dmz) traduce las direcciones desde la dmz a outside El comando global(dmz) traduce las direcciones desde inside hacia la dmz
Configuracin de ACL Cap N4
Configuracin de ACL
La filosofa en la configuracin de los equipos de seguridad cisco es basada en las interfaces. La ACL en la interfaz permite o deniega el paquete inicial ya sea de llegada o de salida en esa interfaz. Una ACL debe describir solo el paquete inicial de la aplicacin, el trafico de retorno, no necesita ser sealado. Si no hay ninguna ACL asociada a la interfaz. El paquete saliente es permitido por defecto. El paquete entrante es negado por defecto. La lista de acceso por defecto niega todo el trafico.
Sintaxis de ACL Sintaxis: access-list id (line line_number) [extended o standard] {deny | permit } {protocol} {host sip | sip smask | interface ifc_name} {host dip | dip dmask | interface ifc_name} [operator_port port] Id: nombre de la acl line: posicin en la estructura de la acl deny: bloquea el trafico indicado permit: permite el trafico indicado protocol: especifica el numero del protocolo IP sip: ip de origen dip: ip de destino operator_port: compara el puerto de destino, para hacer match. lt: menor que, gt: mayor que, eq: igual, neq: distinto a, range: rango inclusivo. Host: especifica si la direccin corresponde a un host smask dmask: define la mascara de red
Configuracin de ACL
asa(config)# access-list ACL_inside permit tcp any any eq 80 Esto permite el trafico saliente a travs del puerto 80, y esta aplicado a la interfaz inside, por lo tanto permitir al segmento interno ver paginas web Para asignar la lista de acceso a la interfaz correspondiente, utilizamos el siguiente comando: asa(config)# access-group ACL_inside in interface inside Ej. asa(config)# access-list ACL_outside permit icmp any any asa(config)# access-group ACL_outside in interface outside Acl permitiendo la respuesta de ping en nuestra interfaz outside
Edicin de una ACL asa(config)# access-list ACL_inside permit tcp any any eq 80 asa(config)# access-list ACL_inside permit tcp any any eq 21 ... asa(config)# sh access-list ACL_inside access-list ACL_inside; 2 elements access-list ACL_inside line 1 extended permit tcp any any eq www (hitcnt=0) access-list ACL_inside line 2 extended permit tcp any any eq ftp (hitcnt=0) ... asa(config)# access-list ACL_inside line 1 deny tcp any any eq www ... asa(config)# sh access-list ACL_inside access-list ACL_inside; 3 elements access-list ACL_inside line 1 deny tcp any any eq www (hitcnt=0) access-list ACL_inside line 2 extended permit tcp any any eq www (hitcnt=0) access-list ACL_inside line 3 extended permit tcp any any eq ftp (hitcnt=0) De esta forma, especificando el numero de linea, podemos editar y modificar el orden de las sentencias.
Object-group: agrupando objetos Cap N5
Object-group: agrupando objetos Generalmente, configuramos ACL para equipos con iguales privilegios, o similares privilegios sobre una variedad de equipos y terminas con muchas ACE (access control entries), con object-group podemos agrupar contenidos de similares caractersticas en un grupo y despus asociarlo a distintas ACL. Tipos de grupos: Protocol TCP UDP Networks y hosts Subnet 10.0.0.0/24 10.0.1.11 Services HTTP FTP ICMP Echo Echo-reply
Configurando y usando Object-group
Configurando Network Object Group asa(config)# object-group network inside_eng asa(config-network)# network-object host 10.0.0.10 asa(config-network)# network-object host 10.0.0.11 asa(config-network)# network-object host 10.0.0.12 asa# sh run object-group network object-group network inside_ing network-object host 10.0.0.10 network-object host 10.0.0.11 network-object host 10.0.0.12
Configurando Service Object Group asa(config)# object-group service host_srv tcp asa(config-service)# port-object eq http asa(config-service)# port-object eq https asa(config-service)# port-object eq ftp asa# sh run object-group service object-group service host_srv tcp port-object eq http port-object eq https port-object eq ftp
Configurando Protocol Object Group asa(config)# object-group protocol inside_proto asa(config-protocol)# protocol-object tcp asa(config-protocol)# protocol-object udp asa# sh run object-group protocol object-group protocol inside_proto protocol-object tcp protocol-object udp
Configurando ICMP Object Group asa(config)# object-group icmp-type ping asa(config-icmp)# icmp-object echo asa(config-icmp)# icmp-object echo-reply asa# sh run object-group icmp-type object-group icmp-type ping icmp-object echo icmp-object echo-reply
Object group anidados Definimos el grupo de mensajera (im) asa(config)# object-group service im tcp asa(config-service)# port-object eq 1863 asa(config-service)# port-object eq 5050 asa(config-service)# port-object eq 5222 ... Definimos el grupo de navegacin (web) asa(config)# object-group service web tcp asa(config-service)# port-object eq 80 asa(config-service)# port-object eq 443 ... Luego definimos el grupo, que llevara los anteriores de forma anidada asa(config)# object-group service inside-srv tcp asa(config-service)# group-object im asa(config-service)# group-object web
Configurando ACL con Object Group asa(config)# access-list INSIDE permit tcp object-group inside_eng any object-group host_srv ACL equivalente asa(config)# asa(config)# asa(config)# asa(config)# asa(config)# asa(config)# asa(config)# asa(config)# asa(config)# asa(config)#access-list INSIDE permit tcp host 10.0.0.10 any eq www access-list INSIDE permit tcp host 10.0.0.10 any eq https access-list INSIDE permit tcp host 10.0.0.10 any eq ftp access-list INSIDE permit tcp host 10.0.0.11 any eq www access-list INSIDE permit tcp host 10.0.0.11 any eq https access-list INSIDE permit tcp host 10.0.0.11 any eq ftp access-list INSIDE permit tcp host 10.0.0.12 any eq www access-list INSIDE permit tcp host 10.0.0.12 any eq https access-list INSIDE permit tcp host 10.0.0.12 any eq ftp
AAA, Authentication, Authorization and Acounting Cap N6
AAA, Authentication, Authorization and Acounting
Authentication (Autenticacin) Quien eres ? Authorization (Autorizacin) Que puedes hacer ? Accounting (Auditora) Que hiciste ?
Implementaciones de AAA
Authentication (Autenticacin) Loggin al equipo de seguridad Acceso a travs del equipo (Proxy) Acceso a Tunnel (validacin de VPN) Authorization (Autorizacin) Nivel de acceso a consola (privilegios) Permisos sobre el proxy (privilegios) Permisos sobre el acceso VPN (privilegios) Accounting (Auditora) Registros de acceso a consola Registro de conexiones al proxy Registro de conexiones a VPN
Asegurando el login al equipo con AAA asa(config)# aaa-server server-tag protocol server-protocol *Define un grupo del servidor AAA asa(config)# aaa-server server-tag (interface_name) host server_ip key timeout *Define un servidor de autenticacin asa(config)# aaa authentication {serial | enable | telnet | ssh | http} console {server-tag LOCAL| LOCAL} *Habilita la autenticacin mediante AAA Gestin de Usuarios
asa(config)# username username {nopassword | password password } [ mschap | encrypted | nt-encrypted ] privilege level asa(config)# username admin pasword secreto1 privilege 15
Ejemplo de AAA local
asa(config)# username admin pass cisco asa(config)# aaa authentication serial console LOCAL asa(config)# aaa authentication ssh console LOCAL asa(config)# aaa authentication http console LOCAL
Autorizando la navegacin
Si bien, la autorizacin centralizada puede gestionar los perfiles de administracin, al interior del equipo de seguridad, tambin puede controlar el acceso a la navegacin mediante la autorizacin de usuarios validos, esto se realiza de la siguiente forma: asa(config)# aaa authentication match acl-name int-name {server_tag | LOCAL } En el caso de filtrar la navegacin mediante un lista de usuarios locales, tenemos el siguiente ejemplo: asa(config)# access-list proxy permit tcp 192.168.1.0 255.255.255.0 any eq www asa(config)# aaa authentication match proxy insideLOCAL Con lo anterior estamos bloqueando la navegacin, a menos que el usuario se identifique y posea una cuenta valida en el equipo de seguridad
Auditando con AAA
Auditando trafico asa(config)# aaa accounting match acl-name int-name server_tag Auditando la administracin asa(config)# aaa accounting {serial | telnet | ssh | enable } console server_tag Auditando comandos asa(config)# aaa accounting command [privilege level] sever_tag Todas estas sentencias, generaran registros de ocurrencias, en el servidor ejecutando el software cisco ACS, configurado como servidor AAA.
Switching y Routing en equipos de Seguridad Cisco Cap N7
Switching y Routing en equipos de Seguridad Cisco
A partir de la versin 6.3 del software para cisco Pix y la versin 7 para cisco ASA, el administrador puede asignar vlans a interfaces fsicas o mltiples interfaces lgicas a una sola interfaz fsica Los equipos de seguridad cisco solo soportan VLANS 802.1q. Para asociar una sub-interfaz a una vlan, configuramos lo siguiente: asa(config-subif)# vlan vlan_id a modo de ejemplo tenemos que: asa(config)# interface gigabitethernet 0/3.1 asa(config-subif)# vlan 10 De esta forma podemos segmentar la seguridad sin requerir mas interfaces fsicas
Ejemplo de configuraciones de vlan sobre una interfaz fsica (TRUNK)

Interface gigabitethernet3 speed auto duplex auto no nameif no security-level no ip address Interface gigabitethernet3.1 vlan 10 nameif dmz1 security-level 10 ip address 172.16.10.1 Interface gigabitethernet3.2 vlan 20 nameif dmz2 security-level 20 ip address 172.16.20.1 Interface gigabitethernet3.3 vlan 30 nameif dmz3 security-level 30 ip address 172.16.30.1
Rutas estticas y dinmicas Si bien el equipo de seguridad no es un router, si posee capacidades para manejar rutas estticas y dinmicas mediante ciertos protocolos. Configurando una ruta esttica asa(config)# route outside 0 0 192.168.1.1 asa(config)# route outside 172.16.30.0 255.255.255.0 192.168.20.5 El enrutamiento dinmico, se puede configurar para RIP v1, RIP v2 y OSPF, mediante el comando router. asa(config)# router ospf 1 asa(config-router)# network 192.168.20.2 0.0.0.0 area 0 asa(config-router)# network 172.16.20.1 0.0.0.0 area 0 OBS: El equipo tambin es capaz de realizar tracking de rutas.
Rutas estticas y dinmicas asa# sh route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 192.168.20.1 to network 0.0.0.0 O O S C C C S* 192.168.12.0 255.255.255.0 [110/11] via 192.168.20.1, 0:02:15, outside 192.168.10.0 255.255.255.0 [110/11] via 192.168.20.1, 0:02:15, outside 172.16.30.0 255.255.255.0 [1/0] via 192.168.20.5, outside 172.16.20.0 255.255.255.0 is directly connected, inside 127.0.0.0 255.255.255.0 is directly connected, _internal_loopback 192.168.20.0 255.255.255.0 is directly connected, outside 0.0.0.0 0.0.0.0 [1/0] via 192.168.20.1, outside
Tracking de rutas
asa(config)# sla monitor 10 asa(config-sla-monitor)# type echo protocol ipIcmpEcho 192.168.1.1 interface outside asa(config-sla-monitor)# num-packets 3 asa(config-sla-monitor)# frecuency 10 asa(config)# sla monitor schedule 10 life forever start-time now asa(config)# track 1 rtr 10 reachability asa(config)# route outside 0 0 192.168.1.1 track 1 asa(config)# route backup 0 0 192.168.2.1 10
Inspeccin Avanzada de protocolos Cap N8
Inspeccin Avanzada Algunos protocolos y aplicaciones populares, se comportan de la siguiente manera: Negocian conexiones a direcciones ip y puertos de origen y destino asignados de forma dinmica Insertan informacin de puertos y direcciones ip sobre la capa de red Un buen equipo de seguridad debe inspeccionar paquetes sobre la capa de red y hacer lo siguiente, como es requerido por protocolos y aplicaciones: Abrir y cerrar de forma segura puertos y direcciones ip negociadas, para legitimas conexiones cliente-servidor a travs del equipo de seguridad Usar instancias de NAT relevantes a direcciones ip dentro de un paquete Usar instancias de PAT relevantes a puertos dentro de un paquete Inspeccionar paquetes en busca del mal uso de aplicaciones maliciosas
Inspeccin de aplicaciones
El algoritmo de inspeccin se encarga de garantizar la conexin, de lo contrario las reglas de seguridad bloquearan las nuevas conexiones que levante la sesin
Poltica de inspeccin por defecto Class-map

class-map inspection_default match default-inspection-traffic ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global
Policy Map
Service Policy
Inspeccin Avanzada de protocolos

El protocolo avanzado de inspeccin entrega opciones como las siguientes para defender en contra de ataques en la capa de aplicacin Bloquear adjuntos *.exe Prohibir el uso de kazaa o cualquier otro p2p Definir limites para el largo de las URL Prohibir transferencias de archivos como parte de las sesiones de mi Proteger servicios web, garantizando esquemas validos de XML Resetear una sesin tcp si contiene un string malicioso conocido Botar conexiones con paquetes que estan fuera de orden Configurando protocolo avanzado de inspeccin Definir un class-map type inspect, usado para marcar el trafico o agrupar Varios criterios de marcado. Definir un policy-map inspect, usado para indicar acciones sobre el trafico Definir un class-map (usado para identificar trafico L3 o L4) Definir un policy-map (usado para definir acciones sobre trafico L3 o L4) Crear un service-policy (usado para activar la policy-map L3 o L4 en una interfaz)
Habilitando y activando una inspection policy map asa2(config)# class-map type inspect http POST_METHOD asa2(config-cmap)# match request method post asa2(config-cmap)# exit asa2(config)# policy-map type inspect http MY_HTTP_MAP asa2(config-pmap)# class POST_METHOD asa2(config-pmap-c)# drop-connection log asa2(config-pmap-c)# exit asa2(config-pmap)# exit asa2(config)# policy-map WEB_POLICY asa2(config-pmap)# class inspection_default asa2(config-pmap-c)# inspect http MY_HTTP_MAP asa2(config-pmap-c)# exit asa2(config-pmap)# exit asa2(config)# service-policy WEB_POLICY interface inside Los comandos anteriores crean una poltica de inspeccin que detiene y genera un log cuando la conexin http trata de usar el mtodo de solicitud POST
Configurando la inspeccin en un puerto no estndar
asa2(config)# class-map 8080_inspect asa2(config-cmap)# match port tcp eq 8080 asa2(config-cmap)# exit asa2(config)# policy-map global_policy asa2(config-pmap)# class 8080_inspect asa2(config-pmap-c)# inspect http asa2(config-pmap-c)# exit asa2(config-pmap)# exit
Expresiones Regulares
Creando una expresin regular asa(config)# regex secret [Ss]Ee[Cc][Rr][Ee][Tt] asa(config)# regex confidencial [Cc][Oo][Nn][Ff][Ii][Dd][Ee][Nn][Cc][Ii][Aa][Ll] Agrupando expresiones regulares asa(config)# class-map type regex match-any top-secret asa(config-cmap)# match regex secret asa(config-cmap)# match regex confidencial Usando class-map de expresiones regulares asa(config)# class-map type inspect http match-all clasified asa(config-cmap)# match request header user-agent regex class top-secret asa(config-cmap)# match request method post
Expresiones Regulares
asa(config)# policy-map type inspect http secret-policy asa(config-pmap)# parameters asa(config-pmap-p)# class clasified asa(config-pmap-c)# drop-connection log ..... asa(config)# policy-map doc-clasified asa(config-pmap)# class inspection_default asa(config-pmap-c)# inspect http secret-policy .... asa(config)# service-policy doc-clasified interface inside
En el ejemplo, el equipo realizara la accin especificada, cuando ambas reglas se cumplan en un nico mensaje.
Inspeccin de FTP
FTP usa dos canales Confeccionan de comandos (TCP) Confeccionan de datos (TCP) FTP inspeccin Traslacin de direcciones en el mensaje Creacin dinmica de apertura para las conexiones FTP de datos Seguimiento completo de mensajes de solicitud y respuesta FTP strict, el cual evita que los web browsers de enviar comandos incluidos en la solicitud FTP Inspeccin avanzada de FTP Es aadida a la funcin de inspeccin stricta Habilita el filtro de comandos Habilita el bloqueo de conexiones FTP, mediante tipo de archivo, nombre de servidor y otros Habilita el bloqueo de usuarios especficos usando FTP a travs del equipo Habilita el chequeo de conformidad con el protocolo
Comando inspect ftp, opcin strict Previene en envo de comandos insertos en las solicitudes FTP Obliga al siguiente comportamiento del trafico Requiere que un comando ftp sea validado antes de permitir un nuevo comando Bota conexiones que envan comandos insertos Chequea que la respuesta 227 y los comandos de puerto, para asegurar que no aparezcan en un mensaje de error Sigue cada comando ftp y secuencia de respuesta en caso de actividad anmala
asa(config)# policy -map MY_MAP asa(config-pmap)# class MY_CLASS asa(config-pmap-c)# inspect ftp strict MY_MAP
OBS: el uso de la opcin strict podra deshabilitar clientes FTP que no cumplan con el standar RFC
Filtrando comandos con la inspeccin avanzada de FTP asa(config)# access-list 101 permit TCP host any host 192.168.1.11 eq ftp asa(config)# policy-map type inspect ftp MY_FTP_MAP asa(config-pmap)# match request-comand dele rnfr rnto appe put rmd asa(config-pmap-c)# reset ... asa(config)# class-map INBOUND_FTP_TRAFFIC asa(config-cmap)# match access-list 101 ... asa(config)# policy-map INBOUND asa(config-cmap)# class INBOUND_FTP_TRAFFIC asa(config-cmap-c)# inspect ftp strict MY_FTP_MAP ... asa(config)# service-policy INBOUND outside
Inspeccin de HTTP
Las reglas de inspeccin HTTP incluyen lo siguiente Filtrado de URL a travs de Websense o Secure Computing SmartFilter* Filtrado de Java y ActiveX* Inspeccin avanzada de HTTP La inspeccin avanzada filtra y controla el trafico y los mensajes HTTP *El filtrado de URL, Java y Active X es configurado en conjunto con el comando filter
Inspeccin avanzada de HTTP

Granularmente controla IM, P2P y aplicaciones de tnel al detectar texto encontrado en la cabecera del mensaje de solicitud HTTP Defiende contra ataques DoS al configurar tamaos y limites de contadores Defiende contra virus y gusanos al bloquear tipos MIME Defiende contra gusanos al bloquear selectivamente caracteres no-ASCII en las cabeceras de Solicitudes y respuestas HTTP Bloquea intentos de evadir restricciones y previene de que atacantes exploten webserver que ignoran parmetros tras recibir un carcter NULL al bloquear codificaciones NULL HTTP. Previene de que atacantes exploten vulnerabilidades en sus servidores web al controlar mtodos y extensiones HTTP Bloquea una lista configurable de URL Previene a los atacantes de realizar http fingerprint en el servidor al configurar HTTP server header spoofing Permite o niega y genera logs de cualquier paquete basado en expresiones reg. Combina chequeos de seguridad personalizados para incrementar el control granular
Ejemplo, de bloqueo por error de tipo MIME asa(config)# policy-map type inspect http MY_HTTP_MAP asa(config-pmap)# match req-resp ? Mpf-policy-map mode commands/options: content-type match content-type in responce to accept-types in request
asa(config)# policy-map type inspect http MY_HTTP_MAP asa(config-pmap)# match req-resp content-type mismatch asa(config-pmap-c)# drop-connection log ... asa(config)# policy-map global_policy asa(config-pmap)# class inspection_default asa(config-pmap-c)# inspect http MY_HTTP_MAP
Controlando protocolos de tunnel, p2p e mi con class-map integradas
asa(config)# policy-map type inspect http MY_HTTP_MAP asa(config-pmap)# class-map _default_gator asa(config-pmap-c)# drop-connection log ... asa(config)# policy-map global_policy asa(config-pmap)# class inspection_default asa(config-pmap-c)# inspect http MY_HTTP_MAP
Bloqueando URL definidas por el usuario
asa(config)# regex URL_ABC .+abc\.com asa(config)# regex URL_XYZ .+xyz\.com asa(config)# class-map type regex match-any url_bloqueadas asa(config-cmap)# match regex URL_ABC asa(config-cmap)# match regex URL_XYZ ... asa(config)# class-map type inspect http match-all http_bloqueado asa(config-cmap)# match request uri regex class url_bloqueadas ... asa(config)# policy-map type inspect http my_http_map asa(config-pmap)# class http_bloqueado asa(config-pmap-c)# reset log
Inspeccin de mensajera instantnea (IM)
Aumenta la productividad de los empleados, previene la fuga de informacin confidencial y minimiza el riesgo de virus Aplica control granular sobre aplicaciones de mensajera como msn messenger y yahoo messenger Controla las aplicaciones de mensajera en sus puertos nativos
Inspeccin ESMTP
La inspeccin ESMTP : Permite solo 7 comandos bsicos SMTP: data, helo, mail, noop,quit, rcpt y rset (segn RFC 821) Agrega soporte para 8 comandos de SMTP extendido (ESMTP): auth, ehlo, etrn, help, saml, send, soml, y vrfy Define en que puertos activar la inspeccin SMTP (dflt=25) Si se deshabilita, todos los comandos smtp sern permitidos a travs del Firewall y las potenciales vulnerabilidades del servidor, sern expuestas.
Inspeccin avanzada de ESMTP Previene ataques DoS al limitar el ratio de comandos ESMTP Previene ataques por desbordamiento de buffer al hacer lo siguiente: Bloquea mensajes basados en largo de cuerpo y largo de linea Bloquea mensajes basados en largo de cabecera Limita el numero de caracteres en el nombre de archivo MIME Limita el largo de un comando en la cli Limita el largo de la direccin de envo Bloquea el spam al hacer lo siguiente Limita el numero de comandos RCPT TO Limita el numero de campos TO en la cabecera del mensaje Bloquea tipos de codificacin MIME especificas Bloquea el relay de mail Bloquea adjuntos infectados denegando mensajes con, nombres de adjuntos y tipos de archivo. Bloquea mensajes de origen o dominios especficos Previene ataques de cosecha de directorios (directory harvest attacks) al configurar un limite de recipientes invlidos Esconde informacin del servidor smtp al bloquear o enmascarar ciertos parmetros de respuesta EHLO
Inspeccin de DNS
Monitores todas las transacciones en el puerto UDP 53 Rastrea el ID de solicitud DNS y abre un slot de conexin Cierra el slot inmediatamente despus de recibir la respuesta Traduce el registro DNS A Antes de la versin 6.2: con el comando alias Para la versin 6.2 y otras: traduce el registro DNS Reensambla el paquete dns para verificar su extensin (df=512 bytes)
Traduccin del registro DNS
Traduccin del registro DNS
Configuracin, para la traduccin de DNS asa(config)# nat (inside) 1 10.0.0.0 255.255.255.0 dns asa(config)# global (outside) 1 192.168.0.20-192.168.0.254 netmask 255.255.255.0 asa(config)# static (inside,outside) 192.168.0.17 10.0.0.10 dns asa(config)# access-list ALL permit tcp any host 192.168.0.17 eq www asa(config)# access-group ALL in interface outside
Tneles VPN Cap N9
Tneles VPN
Una VPN es un mecanismo que provee transporte seguro y confiable sobre redes desprotegidas como internet
Que es IPSec ??
IPSec es un estndar de la IETF que permite comunicaciones encriptadas entre extremos. Las RFC 2401 y RFC 4301 definen en detalle la arquitectura de seguridad sobre el protocolo ip. Consiste en estndares abiertos para asegurar comunicaciones privadas Garantiza confidencialidad, integridad y autenticacin de datos a travs de la encriptacion a nivel de capa de red Es capaz de escalar de redes pequeas a muy grandes.
Elementos utilizados por IPSec ?? Encapsulating Security Payload (ESP): Esp es un protocolo IP (tipo 50) que provee integridad de datos, autenticacin y servicios de confidencialidad. Authentication Header (AH): AH es un protocolo IP (tipo 51) que provee integridad de datos, autenticacin y servicios de deteccin de reenvo Internet Key Exchange (IKE): IKE es un protocolo hbrido que provee las siguientes utilidades para ipsec: autenticacin de los peers ipsec, negociacin de las SA's ike e ipsec, y establecimiento de las llaves para el algoritmo de encriptacion usados por ipsec. IKE es sinnimo de ISAKMP (Internet Security Association and Key Management) en la configuracin del equipo de seguridad Data Encription Standard (DES): DES es usado para encriptar y desencriptar paquetes de datos, utiliza llaves de 56 bits, asegurando alta perfomance de encriptacion.
Elementos utilizados por IPSec ??, continuacin Triple Data Encription Standard (3DES): 3DES es una variante de DES, que itera 3 veces con 3 llaves distintas, efectivamente doblando la efectividad del encriptado, utiliza una llave de 168 bits. Advanced Encription Standard (AES): El instituto nacional de estndares y tecnologa (NIST) adopto recientemente a AES como reemplazo de DES. AES, provee mayor seguridad que DES y es computacionalmente mas eficiente que 3DES. AES, ofrece 3 niveles de llaves, 128, 192 y 256 bits. Diffie-Hellman (DH): DH es un protocolo de criptografa publico, permite que 2 elementos establezcan un secreto compartido sobre un canal inseguro de datos. DH es utilizado junto a ike para establecer las llaves de sesin Message Digest 5 (MD5): MD5 es un algoritmo de hash, usado para autenticar paquetes de datos. Un hash es un algoritmo de encriptacin en una sola va, que toma un mensaje de largo arbitrario y produce un mensaje de salida, con largo fijo. IKE y ESP pueden utilizar MD5 para la autenticacin.
Elementos utilizados por IPSec ??, continuacin Secure Hash Algorithm 1 (SHA1): SHA1 es un algoritmo de hash. El equipo de seguridad usa la variante HMAC-SHA-1 que provee un nivel adicional de hashing. IKE y ESP pueden utilizar SHA-1 para autenticacin Rivest, Shamir and Adleman (RSA): RSA es un sistema criptogrfico publico utilizado para la autentificaron IKE en el equipo de seguridad usa el intercambio DH para determinar las llaves en cada extremo utilizadas por los algoritmos de encriptacin El intercambio DH puede ser autentificado con RSA o con PSK (claves pre compartidas, pre shared keys).
5 pasos de ipsec
Definir trafico interesante Fase 1 IKE : el dispositivo vpn negocia una poltica de seguridad IKE y establece un canal seguro Fase 2 IKE : el dispositivo vpn negocia una poltica de seguridad IPSec para proteger los datos ipsec Trafico de datos : los dispositivos vpn aplican los servicios de seguridad al trafico, luego transmiten los datos Finalizacin del tnel : el tnel en terminado
1er paso, trafico interesante
El trafico es identificado por una lista de acceso, el trafico que coincide es encriptado y enviado a travs de la vpn al destino, el resto se enva sin codificar
2do paso, Fase 1 de IKE
3do paso, Fase 2 de IKE
4do paso, Sesin IPSec
5to paso, Termino de la Sesin IPSec
Pasos para configurar un vpn L2L
1.- determinar la poltica IKE a aplicar 2.- determinar la poltica ipsec a utilizar 3.- asegurarse de que la red funciona sin encriptacion 4.- permitir que los paquetes ipsec pasen a travs de las ACL definidas
Determinando la poltica IKE
Parmetro dbil fuerte -----------------------------------------------------------------------------------------algoritmo de encriptacion DES 3DES o AES algoritmo de hash MD5 SHA-1 mtodo de autenticacin psk firma RSA intercambio de llaves DH group 1 DH group 5 tiempo de vida para SA IKE 84600 seg <84600 seg
Configurando los parmetros IKE
asa_A(config)# crypto isakmp enable outside asa_A(config)# crypto isakmp policy 10 asa_A(config-isakmp-policy)# authentication pre-share asa_A(config-isakmp-policy)# encryption aes-256 asa_A(config-isakmp-policy)# hash sha asa_A(config-isakmp-policy)# group 2 asa_A(config-isakmp-policy)# lifetime 86400 asa_A(config)# tunnel-group 200.75.31.130 type ipsec-l2l asa_A(config)# tunnel-group 200.75.31.130 ipsec-attributes asa_A(config-tunnel-ipsec)# pre-shared-key cisco123 .
Configurando los parmetros ipsec
asa_A(config)# access-list nat0 permit ip 10.0.1.0 255.255.255.0 10.0.2.0 255.255.255.0 asa_A(config)# nat (inside) 0 access-list nat0 asa_A(config)# crypto ipsec transform-set vpn1 esp-aes-256 esp-sha-hmac asa_A(config)# crypto map vpn1 10 match address nat0 asa_A(config)# crypto map vpn1 10 set peer 200.75.31.130 asa_A(config)# crypto map vpn1 10 set transform-set vpn1 asa_A(config)# crypto map vpn1 10 set security-association lifetime seconds 28800 asa_A(config)# crypto map vpn1 interface outside
Probando y verificando la configuracin
Verificar ACL y trafico interesante Show run access-list Verificar configuracin correcta de IKE Show run isakmp Show run tunnel-group Verificar configuracin correcta de ipsec Show run ipsec Verificar SAs en ipsec y en isakmp Show crypto ipsec sa Show crypto isakmp sa Verificar configuracin correcta del crypto map Show run crypto map
Probando y verificando la configuracin
Limpiar ipsec SA Clear crypto ipsec sa Limpiar IKE SA Clear crypto isakmp sa Debug el trafico IKE e Ipsec a travs del equipo de seg Debug crypto ipsec Debug crypto isakmp Muestra la configuracion de isakmp, ipsec y crypto map Show run crypto
Ejemplo de vpn l2l
asa_1(config)# crypto isakmp enable outside asa_1(config)# crypto isakmp policy 10 asa_1(config-isakmp-policy)# authentication pre-share asa_1(config-isakmp-policy)# encryption aes asa_1(config-isakmp-policy)# hash sha asa_1(config-isakmp-policy)# group 2 asa_1(config-isakmp-policy)# lifetime 86400 asa_1(config)# tunnel-group 192.168.20.2 type ipsec-l2l asa_1(config)# tunnel-group 192.168.20.2 ipsec-attributes asa_1(config-tunnel-ipsec)# pre-shared-key temporal
Ejemplo de vpn l2l
asa_1(config)# access-list nat0 permit ip 172.16.10.0 255.255.255.0 172.16.20.0 255.255.255.0 asa_1(config)# nat (inside) 0 access-list nat0 asa_1(config)# crypto ipsec transform-set aes-sha esp-aes esp-sha-hmac asa_1(config)# crypto map l2l_lab 10 match address nat0 asa_1(config)# crypto map l2l_lab 10 set peer 192.168.20.2 asa_1(config)# crypto map l2l_lab 10 set transform-set aes-sha asa_1(config)# crypto map l2l_lab interface outside
Configurando una vpn de acceso remoto Tareas necesarias para habilitar un VPN de acceso remoto, sobre un servidor Cisco easy VPN N1 : crear la poltica isakmp para el cliente de acceso remoto N2 : crear un pool de ip N3 : definir una poltica de grupo para la distribucin de conf. el cliente N4 : crear un set de transformaciones para IPSEC N5 : crear un crypto map dinmico N6 : asignar el crypto map dinmico al esttico N7 : aplicar el crypto map a la interfaz N8 : configurar la autenticacin N9 : configurar NAT y NAT 0 N10 : habilitar el IKE DPD (deteccin de pares muertos)
Creando la poltica ISAKMP
asa(config)# isakmp enable outside asa(config)# isakmp policy 20 asa(config-isakmp-policy)# authentication pre-share asa(config-isakmp-policy)# encryption des asa(config-isakmp-policy)# hash sha asa(config-isakmp-policy)# group 2
Creando un pool de direcciones
asa(config)# ip local pool poolname 1era_direccin-ultima_direccin mask mascara asa(config)# ip local pool pool_vpn 172.16.200.10-172.200.30 mask 255.255.255.0
Definiendo la poltica de grupo, para distribuir las configuraciones
Pasos, para definir la poltica 1.- definir el tipo de tunnel 2.- configurar la clave compartida ike 3.- especificar el pool de direcciones 4.- configurar el tipo de poltica de grupo 5.- entrar al submodo de atributos, para la poltica de grupo 6.- especificar los servidores dns 7.- especificar los servidores wins 8.- especificar el dominio dns 9.- especificar el idle timeout
Definiendo la poltica de grupo, para distribuir las configuraciones asa(config)# tunnel-group vpn1 type remote-access asa(config)# tunnel-group vpn1 ipsec-attributes asa(config-tunnel-ipsec)# pre-shared-key vpn.lab.local asa(config)# tunnel-group vpn1 general-attributes asa(config-tunnel-general)# address-pool pool_vpn asa(config)# group-policy vpn1 internal asa(config)# group-policy vpn1attributes asa(config-group-policy)# dns-server value 10.0.0.15 asa(config-group-policy)# wins-server value 10.0.0.15 asa(config-group-policy)# default-domain value lab.local asa(config-group-policy)# vpn-idle-timeout 600
Creando el set de transformaciones para IPSEC
asa(config)# crypto ipsec transform-set des-sha esp-des esp-sha-hmac
Pasos 5,6 y 7 en la creacin de la VPN
Creando el crypto map dinmico asa(config)# crypto dynamic-map vpn1-d 20 set transform-set des-sha Asignando el criptomap dinmico al esttico asa(config)# crypto map vpn1 20 ipsec-isakmp dynamic vpn1-d Aplicando el cripto map a la interfaz asa(config)# crypto map vpn1 interface outside
Configuracin de AAA para la autenticacin Autenticacin local, base de usuarios en el equipo de seguridad asa(config)# tunnel-group vpn1 general-attributes asa(config-tunnel-general)# authentication-server-group LOCAL * este comando viene habilitado por defecto y no aparece en sh run Autenticacin externa asa(config)# aaa-server active-dir protocol nt asa(config)# aaa-server active-dir (inside) host 10.0.0.15 cisco123 timeout 5 asa(config-tunnel-general)# authentication-server-group active-dir
Configurando NAT 0
asa(config)# access-list no_nat permit ip 10.0.0.0 255.255.255.0 172.16.200.0 255.255.255.0 asa(config)# nat (inside) 0 access-list no_nat asa(config)# nat (inside) 1 10.0.0.0 255.0.0.0 asa(config)# global (outside) 1 interface
Habilitando DPD, deteccin de pares muertos Dead peer detection
asa(config)# tunnel-group vpn1 ipsec-attributes asa(config-tunnel-ipsec)# isakmp keepalive threshold 30 retry 10
Configuracin del cliente VPN Nombre de la conexin
Host, ip publica del equipo
Autenticacin de grupo el nombre corresponde al group-policy asociado El password corresponde al pre-shared-key utilizado
Configuracin del cliente VPN
La opcin de tnel transparente permite la transmisin segura entre el cliente vpn y el gateway vpn, a travs de firewalls y equipos realizando NAT. Ipsec over UDP, encapsula el trafico ipsec sobre UDP ipsec over TCP, encapsula el trafico sobre TCP, por defecto utiliza el puerto 10000
En caso de que el administrador lo indique pueden agregarse mas host de backup. Para equipos cisco VPN 3000 se puede configurar el envo de estos datos al cliente.
En este tab, podemos configurar el uso de opciones de marcado, para acceder a una red de acceso conmutado disponible en el OS Microsoft Windows antes de levantar el tnel VPN cisco
Entrada de conexin configurada

Failover Cap N10
Failover
Failover por hardware (stateless failover) Se pierden las conecciones activas Las aplicaciones deben reconectarse Provee redundancia de hardware Provee enlace de failover por cable serial o por lan Failover stateful Las conecciones TCP permanecen activas Las aplicaciones no deben reconectarse Provee redundancia y conexiones stateful Provisto mediante link stateful
Failover por hardware: Activo/standby
Failover por hardware: Activo/Activo
Failover basado en lan Para configurar el failover, se deben realizar las siguientes tareas 1.- instalar una conexin de failover basada en lan, entre el firewall primario y el secundario 2.- configurar el equipo de seguridad primario 3.- configurar el equipo de seguridad primario para failover stateful 4.- guardar la configuracin del equipo primario en flash 5.- encender el equipo secundario 6.- configurar el equipo secundario, con el set mnimo de comandos para failover va lan 7.- guardar la configuracin del equipo secundario en flash 8.- conectar las interfaces del equipo secundario a la red. 9.- reiniciar el equipo secundario
Diagrama de cableado para failover basado en LAN
Configurando el failover asa1(config)# interface gigabitethernet 0/2 asa1(config-if)# no shutdown asa1(config)# failover lan interface LANFAIL 172.17.1.1 255.255.255.0 standby 172.17.1.7 asa1(config)# failover lan unit primary asa1(config)# failover key 12345678 asa1(config)# failover asa1(config)# failover link LANFAIL asa2(config)# interface gigabitethernet 0/2 asa2(config-if)# no shutdown asa2(config)# failover lan interface LANFAIL gigabitethernet 0/2 asa2(config)# failover interface ip LANFAIL 172.17.1.1 255.255.255.0 standby 172.17.1.17 asa2(config)# failover lan unit secondary asa2(config)# failover key 12345678 asa2(config)# failover asa2(config)# failover link LANFAIL
Administracin remota Cap N11
Administracin remota La administracin remota puede llevarse a cabo mediante CLI, a travs de acceso SSH o a de forma grfica a travs de ASDM. SSH se recomienda en reemplazo de telnet debido a su mayor nivel de seguridad en la comunicacin, a partir de la versin 7 del software de seguridad, podemos establecer sesiones sobre ssh v2. Para configurar SSH debemos realizar lo siguiente: asa(config)# crypto key zeroize rsa default asa(config)# crypto key generate rsa asa(config)# domain-name lab.local asa(config)# ssh 192.168.1.10 255.255.255.255 inside asa(config)# ssh timeout 30 Con lo anterior configuraremos una nueva llave RSA, para identificarnos en ssh y se agregara el host 192.168.1.10 a la lista de host que tienen permitido conectarse por ssh al equipo, posteriormente se define el tiempo que esperara la conexin sin actividad hasta cerrarse. La autentificaron de usuarios debe estar configurada y debe existir un usuario valido, para realizar la conexin
Administracin remota Para configurar el acceso por telnet asa(config)# telnet 192.168.1.10 255.255.255.255 inside asa(config)# telnet timeout 30 Configurando la autenticacin para cada servicio asa(config)# aaa authentication telnet console LOCAL asa(config)# aaa authentication ssh console LOCAL asa(config)# aaa authentication http console LOCAL Configurando un usuario de administracin asa(config)# username admin password temporal
ASDM, Advanced Security Device Management Cap N12
ASDM, Advanced Security Device Management El ASDM, es la herramienta de administracin, configuracin y monitoreo en forma grfica del equipo. El acceso a ASDM esta basado en web y se deben cumplir los siguientes requisitos para su utilizacin: El tiempo, debe estar configurado La ip interna debe estar configurada El hostname debe estar asignado asa(config)# hostname fw01 fw01(config) El dominio debe estar configurado fw01(config)# domain-name lab.local El servicio http debe estar activo fw01(config)# Http server enable La ip del host remoto debe estar en la lista de host permitidos, para conectarse al ASDM. fw01(config)# Http 192.168.1.10 255.255.255.255 inside
Pantalla de bienvenida en ASDM
Asistente de configuracin inicial
Asistente de configuracin para VPN ipsec
Asistente para configuracin de alta disponibilidad
Men de configuracin
Configuracin de reglas de seguridad
Configuracin de administracin del equipo
Monitoreo de interfaces
Monitoreo de VPN
Monitoreo de Routing
Monitoreo de propiedades
Administrando licencias y configuraciones Cap N13
Administrando licencias y configuraciones El sistema operativo de los equipos de seguridad, aparte de realizar todas las funciones de red que provee, debe inicializar y administrar los recursos del equipo, entre las funciones de administracin se encuentra el manejo de archivos, este se sustenta en un reducido set de de instrucciones y en la sgte. Estructura de archivos: disk0: memoria flash interna disk1: memoria flash externa flash: nombre de la particin por defecto, generalmente disk0 Los comandos para la administracin de archivos soportados por el software del equipo de seguridad son los siguientes: dir: cd: mkdir: rmdir: more: copy: muestra el contenido del sistema de archivos cambia de la ubicacin actual al directorio indicado crea un directorio en la ubicacin actual elimina un directorio muestra el contenido de un archivo copia archivos
El comando copy Uno de los comandos mas utilizados es el copy, pues nos permite respaldos de configuracin y de software, a continuacin algunos ejemplos: asa# copy running-config tftp: realiza, la copia del archivo de configuracin en ejecucin a un servidor tftp asa# copy tftp://172.16.20.20/asa804-k8.bin flash: realiza la copia del sistema operativo para asa versin 804-k8 a la flash asa# copy flash:/asa804-k8.bin tftp: realiza el respaldo del sistema operativo en el equipo de seguridad, hacia un servidor tftp. Asa# copy running-config ftp://cisco:cisco123@192.168.1.1 realiza el respaldo de la configuracin, hacia un servidor ftp autenticndose como el usuario: cisco, con la contrasea: cisco123
Administracin de licencias A travs del comando show activation-key podemos determinar la licencia que posee nuestro equipo de seguridad:
fw-nsp-02# sh activation-key Serial Number: JMX124840QM Running Activation Key: 0x600aec61 0x481cde84 0x34713540 0xa7802840 0x002f9489 Licensed features for this platform: Maximum Physical Interfaces : 8 VLANs Inside Hosts Failover VPN-DES VPN-3DES-AES VPN Peers WebVPN Peer Dual ISPs VLAN Trunk Ports AnyConnect for Mobile AnyConnect for Linksys phone Advanced Endpoint Assessment UC Proxy Sessions This platform has a Base license. The flash activation key is the SAME as the running key.
: 3, DMZ Restricted : 10 : Disabled : Enabled : Enabled : 10 :2 : Disabled :0 : Disabled : Disabled : Disabled :2
Administracin de licencias
Para poder validar la licencia de nuestro equipo, ya sea porque es un equipo nuevo o porque hemos actualizado el sistema operativo, debemos indicar el cdigo de activacin para nuestra licencia. Este cdigo lo obtenemos de http://www.cisco.com/go/license y consiste en cuatro grupos de nmeros en hexadecimal asociados al numero de serie de nuestro equipo. La activacin se realiza con el siguiente comando: asa(config)# activation-key 0x600aec61 0x481cde84 0x34713540 0xa7802840 0x002f9489

Curso ASA

Cargado por

Copyright:

Formatos disponibles

Curso ASA

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Curso ASA

Cargado por

Copyright:

Formatos disponibles

Cisco ASA Adaptive Security Appliance

Introduccin a la Linea de equipos ASA Cap N1

Linea de firewall Cisco ASA ASA 5580-40

ASA 5580-20 ASA 5550 ASA 5540

Caractersticas de performance Para la serie cisco ASA 55xx

Caractersticas tcnicas Para la serie cisco ASA 55xx

Capacidades de expansin Para la serie cisco ASA 55xx

1-SSC Future, SSC Not available

Not available Not available

Not available Not available

Not available Not available

Caractersticas Para la serie cisco ASA 55xx

Configuracin bsica del equipo de seguridad Cap N2

Configuracin de una interfaz

NAT (network address translation) Cap N3

NAT (network address translation)

Rangos de direcciones RFC 1918

Nombre bloque de 8 bits bloque de 12 bits bloque de 16 bits bloque de 16 bits

rango 10.0.0.0-10.255.255.255 172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255 169.254.0.0-169.254.255.255

n de ip 16777216 1.048.576 65536 65536

bloque CIDR 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16

PAT (Port Address Translation)

Nat sobre 3 interfaces

Configuracin de ACL Cap N4

Object-group: agrupando objetos Cap N5

Configurando y usando Object-group

Configurando y usando Object-group

Configurando y usando Object-group

Configurando y usando Object-group

AAA, Authentication, Authorization and Acounting Cap N6

AAA, Authentication, Authorization and Acounting

Ejemplo de AAA local

Auditando con AAA

Switching y Routing en equipos de Seguridad Cisco Cap N7

Switching y Routing en equipos de Seguridad Cisco

Ejemplo de configuraciones de vlan sobre una interfaz fsica (TRUNK)

Inspeccin Avanzada de protocolos Cap N8

Poltica de inspeccin por defecto Class-map

Inspeccin Avanzada de protocolos

Configurando la inspeccin en un puerto no estndar

Inspeccin avanzada de HTTP

Controlando protocolos de tunnel, p2p e mi con class-map integradas

Bloqueando URL definidas por el usuario

Inspeccin de mensajera instantnea (IM)

Traduccin del registro DNS

Traduccin del registro DNS

Tneles VPN Cap N9

1er paso, trafico interesante

2do paso, Fase 1 de IKE

3do paso, Fase 2 de IKE

4do paso, Sesin IPSec

5to paso, Termino de la Sesin IPSec

Pasos para configurar un vpn L2L

Determinando la poltica IKE

Configurando los parmetros IKE

Configurando los parmetros ipsec

Probando y verificando la configuracin

Probando y verificando la configuracin