1. DATOS INFORMATIVOS
b. No. DE PRÁCTICA: 5
2. DATOS DE LA PRÁCTICA
b. OBJETIVO GENERAL
c. OBJETIVOS ESPECÍFICOS
d. MARCO TEÓRICO
e. MARCO PROCEDIMENTAL
En esta actividad se implementa mediante un Cisco® ASA 5505, firewall y seguridad en una red
corporativa interna para protegerla de intrusos que intenten ingresar a través de otras redes.
En el Cisco® ASA se crean tres interfaces de seguridad: outside, inside y DMZ; proporcionando a
los usuarios externos, acceso limitado a la DMZ y ningún acceso a los usuarios internos; en el caso
de los usuarios internos estos pueden acceder tanto a la DMZ como a recursos externos.
5. Verificar conectividad.
5.1. En este punto PC2 debe alcanzar la red 200.100.X0.224/29 específicamente la
interfaz correspondiente de CPE. Los dispositivos conectados a ASA1, no tendrán
conectividad entre sí ya que de momento no se ha ejecutado ninguna configuración
en ASA1.
4. Determinar la versión del sistema operativo del Cisco® ASA, características de sus
interfaces y parámetros de su licencia. .
4.1. Digitar show version en el modo de configuración Exec Privilegiado para responder
a las siguientes preguntas:
¿Cuál es la versión del software presente en el dispositivo?
__________________________________________________________
¿Cuál el nombre de la imagen del archivo del sistema y desde qué espacio se ha
cargado?
__________________________________________________________
¿Qué versión de ASDM (Adaptive Security Device Manager) se ejecuta en el
dispositivo?
Elaborado por: Revisado por: Aprobado por:
__________________________________________________________
¿Cuál es la capacidad de memoria RAM del equipo?
__________________________________________________________
¿Cuál es la capacidad de memoria Flash del equipo?
__________________________________________________________
¿Cuántos puertos Ethernet tiene el equipo ?
__________________________________________________________
¿Qué tipo de licencia tiene el equipo dispositivo?
__________________________________________________________
¿Cuántas VLAN se pueden crear? (Esto en función de la licencia que posee el
equipo)
__________________________________________________________
8.1. Una vez que se haya completado el proceso de reinicio, el Cisco® ASA detectará la
ausencia del archivo de configuración de inicio (startup-config) por lo que el
sistema operativo realizará una serie de solicitudes interactivas para llevar a cabo
la configuración básica del dispositivo. A lo cual deberá responder:
10. Establecer las contraseñas de inicio de sesión Telnet y acceso al modo exec privilegiado
10.2. Mediante los comandos de uso común del IOS de Cisco; la contraseña de
ingreso al modo de configuración exec privilegiado en execp
Recuerde que los 8 puertos del switch son capa 2, por lo que para asignarles parámetros capa 3
debe crear una SVI y a esta asignarle uno o más puertos físicos de capa 2. Tomar en cuenta que
los 8 puertos se asignan inicialmente a la VLAN1 y en el caso de la configuración de fábrica el
puerto E0/0 se asigna a la VLAN2.
2.3. Asignar los puertos de capa 2 Ethernet0/6 a la VLAN1 y el puerto Ethernet 0/5 a
la VLAN2, para lo cual se basará en los siguientes comandos.
4.2. Debería alcanzar al Cisco® ASA desde PC1. Si no cumple con este objetivo resuelva
los posibles problemas en su topología (evidenciar este numeral mediante una
captura de pantalla).
1. Es posible configurar al Cisco® ASA para que acepte conexiones HTTPS, mediante este
entorno puede acceder a la GUI del dispositivo. Digitar los siguientes comandos para
habilitar esta funcionalidad:
1. Para permitir que Cisco® ASA acceda a redes externas se configurará una ruta estática
predeterminada en la interfaz outside.
1.1. Realizar una prueba de conectividad entre el ASA1 y la interfaz Gigabit Ethernet
X/0 del CPE. ¿Fue exitosa? (evidenciar este numeral mediante una captura de
pantalla).
1.2. Realizar una prueba de conectividad entre el ASA1 y la interfaz Serial X/X/0 del
CPE. ¿Fue exitosa? (evidenciar este numeral mediante una captura de pantalla).
1.3. En el Cisco® ASA crear una ruta predeterminada “quad zero”, asociándola con la
interfaz outside y apunte a la IP de la interfaz Gigabit Ethernet X/0 del CPE; para
lo cual debe emplear el siguiente comando:
1.5. Realizar nuevamente una prueba de conectividad entre el ASA1 y la interfaz Serial
X/X/0 del CPE. ¿Fue exitosa? (evidenciar este numeral mediante una captura de
pantalla).
2.2. La configuración del Cisco® ASA se divide en la parte del objeto NAT y los
parámetros de configuración NAT; por lo que aparecen en dos lugares diferentes
de la configuración en ejecución. Así pues, para mostrar el objeto NAT utilizar el
comando show run object y show run nat para visualizar los parámetros
de configuración nat. (evidenciar este numeral mediante capturas de pantalla).
2.3. Realizar una prueba de conectividad entre el PC-1 y la interfaz Gigabit Ethernet
X/0 del CPE. ¿Fue exitosa? (evidenciar este numeral mediante una captura de
pantalla).
2.5. Esta respuesta se debe a que ICMP no se está inspeccionado por la política de
inspección global. Hay que considerar que los echo request se tradujeron y los
echo replies fueron bloqueados por la política de contrafuegos. En consecuencia,
se configurará una política e inspección predeterminada para permitir el paso de
ICMP.
2.6. Realizar una prueba de conectividad entre el PC-1 y la interfaz Gigabit Ethernet
X/0 del CPE. Inmediatamente ejecutar el comando show xlate para visualizar
las direcciones que se están traduciendo. (evidenciar este numeral mediante una
captura de pantalla).
2.7. Abrir un navegador en PC-1 y digitar la IP de la interfaz Gigabit Ethernet X/0 del
CPE. Debido a que el tráfico HTTP basado en TCP se encuentra permitido de forma
predeterminada, se abrirá una ventana emergente indicando que para ingresar al
CPE se requiere autenticación. (evidenciar este numeral mediante una captura de
pantalla).
2.8. Verificar las direcciones que se están traduciendo para las conexiones HTTP; para
ello ejecutar los comandos show nat y show xlate. (evidenciar este numeral
mediante una captura de pantalla).
3.1. Desplegar el policy map MPF predeterminado que realiza la inspección del tráfico
inside-outside. Ha de considerar que solo el tráfico que se generó desde inside
puede volver a la interfaz outside. Para cumplir con este objetivo digite el siguiente
comando:
3.2. Agregar al policy map la inspección del tráfico ICMP, a través de los siguientes
comandos.
3.4. Efectuar una prueba de conectividad entre el PC-1 y la interfaz Gigabit Ethernet
X/0 del CPE. Esta prueba debe tener éxito debido a que ahora se está
inspeccionando el tráfico ICMP y se permite el tráfico de retorno (evidenciar este
numeral mediante una captura de pantalla).
4.1. En este punto se configurará al ASA1 como un servidor DHCP que asigna
direcciones dinámicamente a sus clientes en la red inside (interna).
4.1.1. Configurar el pool de direcciones del servidor y habilitarlo en la interfaz
inside del dispositivo. (Para el rango de direcciones usar las 40 primeras a
5.1. Definir el nombre de usuario local como RDC y el password como Redes3.
5.2. Configurar AAA para usar la base de datos local del ASA, para la correspondiente
autenticación del usuario SSH. Emplear el comando que se muestra a
continuación, para cumplir con ésta propósito.
Se puede permitir el acceso por SHH al Cisco® ASA a un host o un conjunto de hosts, de
la red inside u outside (interna o externa)
6.1. Para admitir las conexiones SSH, generar un par de claves RSA con un módulo de
1024, para lo cual debe ejecutar:
6.2. Permita que todos los dispositivos de la red inside (172.31.1X.0/25) y la LAN de
MNR (10.20.X0.0/28) se puedan conectar por SSH al ASA, además se fijará el
tiempo de espera de SSH en 5 minutos, para lo cual debe establecer la siguiente
configuración:
6.4. Conectarse a la interfaz outside del ASA1 a través de PC-2. (evidenciar este
numeral mediante una captura de pantalla)
6.5. Conectarse a la interfaz inside del ASA1 a través de PC-1. (evidenciar este numeral
mediante una captura de pantalla)
1.1. Basándose en los comandos del numeral 2.1. del apartado “Configuración de las
interfaces inside y outside” configurar la DMZ en la VLAN3 que es donde se
encontrarán sus servidores para el acceso público. Asignar la última dirección
válida de su rango a la interfaz VLAN3 con un nivel de seguridad de 70.
Ya que para la presente práctica los servidores no tendrán acceso a la red inside
deshabilitar el reenvío a la VLAN1. Para ejecutar este procedimiento deberá
digitar los siguientes comandos después de haber asignado la dirección IP.
3. Configurar una ACL para permitir que los servidores tengan acceso desde Internet.
3.1. Establecer una lista de acceso nombrada (DMZ-OUTSIDE) que permita a cualquier
host externo acceder al la IP de su servidor web. Aplicar esta lista de control de
acceso a la interfaz outside del ASA1 en dirección IN
4.1. Crear una interfaz loopback88 en ISP que sea un host externo asignarle la última
dirección dentro del rango 172.30.10/24. Luego ejecutar un pinq a la dirección
pública asignada al servidor desde la interfaz loopback del ISP, estas pruebas
deberían tener éxito (evidenciar este numeral mediante una captura de pantalla).
4.3. Ejecutar una prueba de conectividad desde PC2 al servidor mediante su IP pública,
esta prueba debería tener éxito (evidenciar este numeral mediante una captura
de pantalla).
4.4. Para visualizar las políticas PAT y NAT, digitar los comandos show nat y show
xlate. (Comentar el resultado y evidenciar este numeral mediante capturas de
pantalla). ¿Qué indica s en la respuesta obtenida?
__________________________________________________________
4.7. De acuerdo con el nivel de seguridad configurado se puede acceder desde la PC1
a su servidor. Ejecute esta prueba y comente el porqué de este resultado.
__________________________________________________________
4.8. Comprobar si desde el Servidor se puede realizar una prueba de conectividad con
PC1. Ejecute esta prueba y comente el porqué de este resultado.
__________________________________________________________
3 PCs
2 Switch Cisco
Patch Cords
Cables de Consola
3
1
Fuente: http://bit.ly/1RmvZpo
2
Fuente: https://amzn.to/2GiJgBW
3
Fuente: http://bit.ly/1Nqm8wY
Elaborado por: Revisado por: Aprobado por:
g. REGISTRO DE RESULTADOS
h. BIBLIOGRAFÍA UTILIZADA
4
Fuente: http://bit.ly/1HGvOTZ
Elaborado por: Revisado por: Aprobado por: