EXAMEN FINAL CONFIGURACIÓN DEL FIREWALL CSICO ASA 5510

Transcripción

1 EXAMEN FINAL CONFIGURACIÓN DEL FIREWALL CSICO ASA 5510 PRESENTADO POR: JUAN CARLOS MORENO OMAÑA COD: JOSE OMAR MORENO REYES COD: UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SAN JOSE DE CUCUTA 2015 I

2 EXAMEN FINAL CONFIGURACIÓN DEL FIREWALL CSICO ASA 5510 PROFESOR: ING. JEAN POLO CEQUEDA OLAGO ASIGNATURA: SEGURIDAD INFORMÁTICA UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SAN JOSE DE CUCUTA 2015 I

3 DEESCRIPCION El dispositivo de seguridad adaptable de la serie Cisco ASA 5500 es una plataforma que proporciona servicios de seguridad y VPN de próxima generación para entornos que van desde oficinas pequeñas/ hogareñas y empresas medianas hasta grandes empresas. La serie Cisco ASA 5500 ofrece a las empresas un portafolio completo de servicios que se personalizan mediante ediciones de productos adaptados para firewall, prevención de intrusiones (IPS), anti-x y VPN. Estas ediciones permiten una protección superior al proporcionar los servicios adecuados para cada ubicación. Cada edición combina un conjunto centrado de servicios Cisco ASA para satisfacer las necesidades de entornos específicos dentro de la red empresarial. Al satisfacer las necesidades de seguridad de cada ubicación, se eleva la posición de seguridad de toda la red. CONFIGURACIÓN POR INTERFAZ WEB CISCO ASA 5510 Establecer dos zonas: La LAN y la INTERNET y crear reglas de acceso en el firewall que permitan el paso de tráfico desde INTERNET hacia la LAN solo para 3 protocolos y 5 puertos, por ejemplo: FTP, HTTP, SMTP. El resto de los puertos y servicios deben estar denegados. Generalmente, la comunicación desde la LAN es transparente así que el enrutador debe permitir la salida de paquetes desde la LAN. Requisitos para realizar la configuración: - Tener instalado el software PuTTy. Pasos para la configuración: 1. Ejecutamos PuTTy y configuramos el tipo de conexión (serial) por el cual nos conectaremos al Cisco ASA Abrimos la conexión (click en open). 3. Entramos a la opción de configuración mediante el comando conf t ). Quedando en esta ruta ciscoasa(config)#. 4. Ahora restauramos de fábrica el dispositivo mediante el comando configure factory-default Donde parametrizara la configuración asi: Nombre-host personalizado: 'ciscoasa' IP: Este puede ser: Mask: Creamos un usuario y contraseña para poder acceder y tener un control del dispositivo, mediante el comando user admin password Donde admin es el nombre de usuario y la contraseña establecida para ese usuario. 6. Conectar el Pc por el puerto MGMT, en modo DHCP.

4 7. Debe añadirse esta IP en excepciones de Java, para acceder así con y sin s, al administrador del dispositivo ASA, en la pestaña 'Seguridad' y luego en el botón 'Lista de excepciones de sitio' Java. 3.1 Aparece 'Cisco ASDM..' (conviene tener activo el protocolo SSL, para ejecutar Cisco ASDM como una aplicación local permanente, sin usar el explorador web) instalando 'ASDM Launcher'. 8. Para acceder con todos los privilegios, ejecutamos: ciscoasa(config)# username admin password admin privilege Instalamos ASDM Installer e ingresamos los datos de acceso configurados. 10. Descargamos e instalamos 'dm-launcher.msi' 11. Iniciamos sesión con nuestra IP y demás. 12. Habilitamos acceso desde HTTP con: ciscoasa(config)# aaa authentication http console LOCAL, para luego, tener listo el acceso directo de escritorio, con nombre de la IP administrativa del dispositivo. 13. En la interfaz, vamos a 'Configuración'-> 'Ajuste Dispositivo'-> y 'Asistente Inicial'; esto, para reconfigurar la interfaz administrativa, -> 'next'. 14. (Configuración básica). Ponemos el nombre del dispositivo personalizado 'ciscoasa'-> 'next' Topologia 15. (Config. Interfaz Externa). Aquí, configuramos la Interfaz LAN (ver esquema/topología): a. Interfaz: Ethernet0/0 b. Nombre Interfaz: LAN c. Habilitamos interfaz d. Nivel de Seguridad: 0 -> Configuración IP (Puerta de Enlace para/hacia el Pc): Mask: , -'next' 16. En esta interfaz, quedan habilitadas las interfaces Ethernet0/0 (LAN), con Nivel_Seguridad 0, IP: ) y Management0/0 (MGMT [management]) con Nivel_Seguridad 100, IP: (naturalmente) y mismas máscaras. 17. Editamos la interfaz para/hacia Internet (red Interna-Externa [IPv4] asegurada), Ethernet0/1 así: a. Nombre Interfaz: WAN b. Habilitamos interfaz c. IP (Puerta de Enlace principal/tradicional de Red): , mask: d. Nivel de Seguridad: 0 e. Y habilitamos tráfico entre interfaces con mismo nivel. 18. Si se desea, se pueden definir rutas estáticas en Static Routes'. 19. El servidor DHCP sirve para definir IPs para más HOSTs (naturalmente en red Interna). Principalmente definimos el rango (Pool): a. Habilitamos 'Servidor DHCP en interfaz administrativa'. b. En Ip de Inicio: , IP Fin: Definimos Firewall usando NAT/PAT/No_usar para el tráfico entre las interfaces Interna y Externa (Esto se hace en la interfaz Ethernet0/0). Si no se desea traducción de direcciones (NAT), se puede usar PAT para que dichas direcciones se procesen por un único puerto. Para esto, podemos usar la IP interfaz predefinida del Dispositivo (ASA), u otra.

5 21. Configuramos la Interfaz administrativa del ASA, en la cual los hosts/redes tendrán acceso al ASA, por medio de: a. Type: HTTPS/ASDM b. Interfaz: management c. IP: d. Mask: e. Habilitamos el servidor HTTP para dicho acceso. 22. Si se necesita, se puede habilitar Actualizar y administrar la configuración e imagen del ASA o del ASDM, remotamente. 23. Estadísticas a Cisco (si prefiere). 24. Finalizamos y aplicamos. 25. Realizamos barridos a los hosts LAN e Internet: a : ciscoasa# ping b : ciscoasa# ping Vamos a 'Configuración-> Firewall-> Access Rules' para agregar las reglas al Firewall, donde solo se permitirá el barrido desde la LAN a la WAN (Internet). En este caso particular: a. Permitimos 'icmp' y 'echo-reply' b. Denegamos toda 'ip's. c. Click en '+Add' Estas reglas se agregarán a las ACLs necesarias, haciendo que solo se puedan enviar 'pings' desde LAN a WAN; Para otro servicio se tendrá que utilizar otros protocolos y no será permitido. CONFIGURACION POR COMANDO CLI CISCO ASA 5510 Interface Name if Security-level ip address Switch port access Object network Nat Route Se pueden manejar/identificar 2 interfaces: 1) Interfaz de hardware: Línea de Comandos de configuración para asignar interfaces físicas a los puertosswitch y activarlos/habilitarlos, o 2) Y " Virtual de Switch: Asignar nombres y niveles de seguridad a interfaces VLAN. * NAMEIF: Con nameif se hace 2). Nombres comunes: (Externo/Internet e Interno/LAN) o DMZ. * Nivel de Seguridad:

6 Son valores numéricos, rankeados entre 0 y 100, para el control de flujo de tráfico. Este flujo se permite entre interfaces con niveles de seguridad más altos a los más bajos, pero no en sentido contrario. En cambio, las listas de Acceso se deben usar para permitir tráfico desde los más bajos a los más altos. Luego, por defecto, el nivel de Seg. para una interfaz externa, es 0. Para una interna, es 100. Para DMZ es 50. El orden de asignación de nombres para las interfaces interna, externa y DMZ, es relevante y se debe respetar. * Ej. para VLANs: ciscoasa(config)# interface vlan1 ciscoasa(config-if)# nameif inside INFO: Security level for "inside" set to 100 by default. ciscoasa(config-if)# interface vlan2 ciscoasa(config-if)# nameif outside INFO: Security level for "outside" set to 0 by default. ciscoasa(config-if)# interface vlan3 ciscoasa(config-if)# nameif dmz ciscoasa(config-if)# security-level 50 * IP: Este comando asigna una IP a (en este caso), una interfaz VLAN ya sea estática o dinámica (DHCP cliente). -> Nota: Si se usan máscaras no-estandarizadas, debe configurarse, de lo contrario, estas máscaras de subred se auto-configuran por defecto. Luego, para VLAN interna (en este caso, VLAN 1): ciscoasa(config-if)# interface vlan 1

7 ciscoasa(config-if)# ip address Y para VLAN 2, la interfaz externa se configure como un cliente DHCP. El estamento setroute le dice al dispositivo obtenga la ruta por defecto del servidor DHCP. Luego, ciscoasa(config-if)# interface vlan 2 ciscoasa(config-if)# ip address dhcp setroute * Acceso de PuertoSwitch. (No para la serie 55X0) Este comando asigna una interfaz física a una interfaz (en este caso, VLAN) lógica, identificándola(s) y asignándola(s) a un puertoswitch(s) del dispositivo, activándola(s). Entonces; ciscoasa(config-if)# interface ethernet 0/0 ciscoasa(config-if)# switchport access vlan 2 ciscoasa(config-if)# interface ethernet 0/1 ciscoasa(config-if)# switchport access vlan 1 * NAT: Este estamento le dice al firewall que permita todo el tráfico desde la interfaz interna a la externa, para usar cualquier dirección dinámicamente (DHCP) configurada en la interfaz externa. Así: ciscoasa(config) #nat (inside,outside) dynamic interface * Route: Este comando, en su forma más básica, asigna una ruta por defecto, al tráfico típicamente a un router del ISP. También puede usarse en conjunto con Listas de Acceso para enviar tipos de tráfico específico a hosts específicos en subredes específicas. En el Ej. este comando se usa para configurar la ruta por defecto , al router del ISP. * Ej: Ciscoasa (config-if)# route outside Donde los 2 ceros antes de la dirección del router son representación para una IP: y Mask: El estamento externo identifica la interfaz a través del cual el tráfico fluirá siguiendo dicha ruta por defecto. Entonces, este comando crea un firewall básico, sin embargo, usar un aparato sofisticado como Cisco PIX o dispositivo de Seguridad ASA para desempeñar tales funciones firewall básicas es excesivo. ** Otros comandos: - hostname: Para identificar el Firewall. - telnet o SSH: Para administración remota. - DHCPDs: Permiten al firewall asignar IPs a hosts internos y rutas estáticas.

8 - access-list: Permiten a hosts internos como Servidores Web DMZ o Servidores de correo DMZ ser accesibles a hosts de internet. * Configuración Base Simple: ciscoasa(config)# interface vlan1 ciscoasa(config-if)# nameif inside INFO: Security level for "inside" set to 100 by default. ciscoasa(config-if)# interface vlan2 ciscoasa(config-if)# nameif outside INFO: Security level for "outside" set to 0 by default. ciscoasa(config-if)# interface ethernet 0/0 ciscoasa(config-if)# switchport access vlan 2 ciscoasa(config-if)# interface ethernet 0/1 ciscoasa(config-if)# switchport access vlan 1 ciscoasa(config-if)# interface vlan 2 ciscoasa(config-if)# ip address ciscoasa(config-if)# interface vlan 1 ciscoasa(config-if)# ip address ciscoasa(config-if)# route outside ciscoasa(config-if)# object network obj_any ciscoasa(config-network-object)# subnet ciscoasa(config)# nat (inside,outside) dynamic interface ciscoasa(config)# exit * Sample Base Configuration #1 (Static IP Address on Outside Interface): ciscoasa(config)# interface vlan1 ciscoasa(config-if)# nameif inside INFO: Security level for "inside" set to 100 by default. ciscoasa(config-if)# interface vlan2 ciscoasa(config-if)# nameif outside INFO: Security level for "outside" set to 0 by default. ciscoasa(config-if)# interface ethernet 0/0 ciscoasa(config-if)# switchport access vlan 2 ciscoasa(config-if)# interface ethernet 0/1 ciscoasa(config-if)# switchport access vlan 1 ciscoasa(config-if)# interface vlan 2 ciscoasa(config-if)# ip address ciscoasa(config-if)# interface vlan 1 ciscoasa(config-if)# ip address ciscoasa(config-if)# route outside ciscoasa(config-if)#object network net ciscoasa(config-network-object)#subnet ciscoasa(config)#nat (inside,outside) dynamic interface ciscoasa(config)#exit

9 En esta configuración, la dirección de interfaz externa y ruta por defecto se configuraron manualmente. Si su interfaz externa se conecta a una red con un servidor DHCP, como el ISP, podría configurarse la interfaz VLAN 2 como cliente DHCP con el comando ip address dhcp setroute. Usar el estamento setroute elimina la necesidad de configurar la ruta por defecto manual (ruta externa ) * Y Sample Base Configuration #2 (DHCP-assigned IP Address on Outside Interface): ciscoasa(config)# interface vlan1 ciscoasa(config-if)# nameif inside INFO: Security level for "inside" set to 100 by default. ciscoasa(config-if)# interface vlan2 ciscoasa(config-if)# nameif outside INFO: Security level for "outside" set to 0 by default. ciscoasa(config-if)# interface ethernet 0/0 ciscoasa(config-if)# switchport access vlan 2 ciscoasa(config-if)# interface ethernet 0/1 ciscoasa(config-if)# switchport access vlan 1 ciscoasa(config-if)# interface vlan 2 ciscoasa(config-if)# ip address dhcp setroute ciscoasa(config-if)# interface vlan 1 ciscoasa(config-if)# ip address ciscoasa(config-if)#object network net ciscoasa(config-network-object)#subnet ciscoasa(config)#nat (inside,outside) dynamic interface ciscoasa(config)#exit

10 BIBLIOGRAFIA 1. Especificaciones del dispositivo cisco ASA ASA5500.pdf 2. Video de configuraciones básicas por CLI 3. Video de configuración por ASDM