Quinto Laboratorio de Criptografia -ASA Firewall configuracion PDF

Preview

Summary

Seguridad de red para configurar asa firewall y ver si hay conectividad de red en una topologia en packet tracert configurando una red...

Description

UNIVERSIDAD FRANCISCO GAVIDIA FACULTAD DE INGENIERIA Y SISTEMAS CUARTA PRACTICA DE LABORATORIO CICLO 01- 2018 Asignatura: CSR0 Horario: Viernes de 6:20 a.m. a 8:10 a.m Profesor: Ing. José Raúl Pineda e-mail: [email protected]

Grupo: 01 Aula: Redes

Práctica sobre Firewall ASA Cisco OBJETIVOS

 

Configurar ruteo estático en una Red conformada por Routers y un ASA Firewall. Que el alumno conozca la configuración básica de un ASA Firewall para restringir el acceso a ciertos servicios.

INTRODUCCION TEORICA

Las redes informáticas generalmente están diseñadas para hacer una cosa por encima de todas las demás: permitir que cualquier computadora conectada a la red intercambie información libremente con cualquier otra computadora también conectada a la misma red. En un mundo ideal, esta es una forma perfecta de operar una red que facilita las comunicaciones universales entre los sistemas conectados. Las computadoras individuales son entonces libres de decidir con quién quieren comunicarse, a qué información quieren permitir el acceso y qué servicios pondrán a disposición. Esta forma de operar se denomina "seguridad basada en host", ya que las computadoras o hosts individuales implementan mecanismos de seguridad. Internet está diseñado de esta manera, al igual que la red en su oficina. En la práctica, las computadoras individuales, por ejemplo, una red de oficinas, no son muy buenas para definir y aplicar de manera segura una política de seguridad coherente. Se ejecutan sistemas de software muy complejos y, por lo tanto, por definición propensos a errores, y es muy difícil garantizar que se mantengan consistentemente seguros, y mucho menos que sus usuarios obedezcan consejos básicos como elegir contraseñas difíciles de adivinar, etc. Esta situación puede ser adecuada cuando los usuarios individuales en una red tienen un nivel similar de confianza, de modo que hay pocas posibilidades o motivos para que un usuario altere la seguridad del host, como una red de pequeñas empresas donde todos con acceso físico son confiables (por ejemplo, empleado, etc. ) Una vez que la red está conectada a otras redes donde las relaciones de confianza simplemente no existen de la misma manera, deben establecerse otros mecanismos para proporcionar la seguridad adecuada al proteger los recursos de la red confiable del posible acceso de los atacantes a la red. parte de confianza de la red. La forma en que esto se hace es rompiendo parcialmente la conectividad a nivel de red, de modo que los nodos en las partes confiables y no confiables de la red ya no puedan intercambiar libremente información sin restricciones. El dispositivo que hace esto se llama "Cortafuegos", por referencia al análogo en la ingeniería automotriz estadounidense, donde el cortafuegos es una barrera de placa de

acero gruesa entre los compartimientos del motor y del pasajero que evita que un fuego en el anterior se extienda a este último.

Cómo funciona Un Firewall interrumpe la comunicación libre entre redes confiables y no confiables, al intentar administrar el flujo de información y restringir el acceso libre de peligros. Existen numerosos mecanismos empleados para hacer esto, cada uno de los cuales evita el flujo de paquetes, lo que sería equivalente a redes completamente desconectadas, y permite el libre intercambio de datos, lo que sería equivalente a no tener Firewall. Uno de las tecnologías ampliamente usadas para la implementación de Firewalls son las que usan dispositivos del fabricante Cisco llamados ASA (Adaptive Security Appliance). En el siguiente laboratorio practico se conocerán algunos aspectos generales de estos dispositivos y su configuración. MATERIALES Y EQUIPO

 

Laptop y/o PC Programa Packet Tracer.

PROCEDIMIENTO

En Packet tracer implemente la siguiente topología de Red.

PARTE I. Configurar los Routers RA, RC y RB. 1. Configurar las interfaces que conectan a cada uno de los routers mostrados en la imagen anterior.

Router R0. Router0> enable Router0# configure terminal Router0(config)# interface Giga0/0 Router0(config-if)# ip address 200.25.10.1 255.255.255.252 Router0(config-if)# no shutdown Router0(config-if)# exit Router0(config)# interface Giga0/1 Router0(config-if)# ip address 201.247.1.130 255.255.255.252 Router0(config-if)# no shutdown Router0(config-if)# exit Router0(config)ip route 8.8.8.0 255.255.255.240 210.25.10.2

Router R1. Router1> enable Router1# configure terminal Router1(config)# interface Giga0 Router1(config-if)# ip address 210.25.10.2 255.255.255.252 Router1(config-if)# no shutdown Router1(config-if)# exit Router1(config)# interface Giga0/1 Router1(config-if)# ip address 8.8.8.1 255.255.255.240 Router1(config-if)# no shutdown Router1(config-if)# exit Router1(config-if)# ip route 201.247.1.128 255.255.255.252 210.25.10.1 2. Configurar el Server Web con la IP 8.8.8.8

3. Verificar conectividad entre los Router R0, R1 y el Server.

Router R0. Router# ping 8.8.8.8

Router R1. Router# ping 8.8.8.8

4. Configurar las interfaces (Eth0/0) del Lado de la Red LAN para el ASA Firewall 5505

ciscoasa(config)#interface Vlan1 ciscoasa(config-if)#nameif inside ciscoasa(config-if)#security-level 100 ciscoasa(config-if)#ip address 192.168.1.1 255.255.255.224 ciscoasa(config)#interface Ethernet0/0 ciscoasa(config-if)# switchport access vlan 1 5. Configurar el servidor DHCP en el ASA Firewall.

ciscoasa(config)#dhcpd address 192.168.1.5-192.168.1.25 inside ciscoasa(config)#dhcpd enable inside 6. Configurar las PCs para que obtengan direcciones IP dinámicamente.

¿Qué direcciones IP obtuvieron las PCs?__la PC0 Tuvo la dirección ip 192.168.1.5 y la PC1 tuvo la dirección ip 192.168.1.6__________________________________________

7. Probar conectividad entre la PCs y la interface 192.168.1.1 del ASA Firewall. ¿Puede hacer ping? Si se puede __________________________________________________________

hacer

ping

8. Configurar la IP del lado publico (Eth0/1) del ASA Firewall.

ciscoasa(config)#interface Vlan2 ciscoasa(config-if)#nameif outside ciscoasa(config-if)#security-level 0 ciscoasa(config-if)#ip address 201.247.1.129 255.255.255.252 ciscoasa(config)#interface Ethernet0/1 ciscoasa(config-if)# switchport access vlan 2 9. Pruebe conectividad IP desde las PCs al servidor con IP address 8.8.8.8. ¿Hay conectividad IP? no _______________________________________________________

hay

conectividad

Anote los resultados del comando:

ciscoasa#show xlate 0 in use, 0 most used 10. Configurar NAT en el ASA Firewall.

ciscoasa(config)# object network NAT ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.224 ciscoasa(config-network-object)# nat (inside,outside) dynamic interface

11. Nuevamente prueba conectividad IP desde las PCs al servidor con IP address 8.8.8.8. ¿Hay conectividad IP? no me ______________________________________________________

da

conectividad

Anote los resultados del comando:

ciscoasa#show xlate 0 in use 0 most used 12. Crear la lista de control de Acceso en el ASA Firewall, para permitir el protocolo ICMP y permitir cualquier conexión TCP, como por ejemplo para acceder a un servidor WEB.

ciscoasa(config)# access-list INTERNET extended permit tcp any any ciscoasa(config)# access-list INTERNET extended permit icmp any any 13. Aplicar la lista de control de acceso a la interfaz “outside”.

ciscoasa(config)# access-group INTERNET in interface outside

PARTE II. Tarea de Configuración.

-

Implementar y configurar las siguiente Red en Packet Tracer de tal manera que la Red DMZ y INSIDE puedan conectar a Internet (Puedan hacer ping y conectarse a un Servidor WEB, configurado host externo 172.16.3.3).

MATERIAL DE APOYO.

Nota: Dar doble click en la imagen...