Este documento describe la configuración de un firewall Cisco ASA 5510 para establecer dos zonas (LAN e Internet) y permitir el tráfico de solo tres protocolos y cinco puertos desde Internet a LAN. Se reinicia la configuración de fábrica del dispositivo, se instala el software ASDM para la administración gráfica, y se configuran las interfaces LAN e Internet, NAT y reglas de firewall para permitir solo el tráfico de ping desde LAN a Internet.

1. CONFIGURACIÓN DE FIREWALL ASA 5510
CÉSAR MORALES MEJÍA
JUAN DAVID TRUJILLO JARAMILLLO
VANESA RODRÍGUEZ PERCY
GRUPO: 600088
INSTRUCTOR: ALEXANDER ALVAREZ
TECNOLOGÍA EN GESTIÓN DE REDES DE DATOS
SENA
MEDELLÍN
2015

2. TOPOLOGÍA PLANTEADA
Actividad propuesta:
Establecer dos zonas una llamada la LAN y la otra INTERNET y crear reglas de
acceso en el firewall que permitan el paso de tráfico desde INTERNET hacia la LAN
solo para 3 protocolos y 5 puertos, por ejemplo: FTP, HTTP, SMTP. El resto de los
puertos y servicios deben estar denegados. Generalmente la comunicación desde
la LAN es transparente así que el enrutador debe permitir la salida de paquetes
desde la LAN.
ASA 5510
172.16.0.1
172.16.0.2172.16.0.1
192.168.2.2
192.168.2.1
INTERNET172.16.0.0/16
192.168.2.0/24

3. 1. Para empezar reiniciamos la configuración de fábrica el dispositivo, con el
comando:
(config)# configure factory-default [ip] [mascara]
ciscoasa(config)# configure factory-default 192.168.1.1 255.255.255.0
La dirección 192.168.1.1 es la que será asignada para la administración.
2. Conectamos el PC al Puerto MGMT, en modo DHCP.
3. Luego accedemos a https://192.168.1.1, antes de esto es necesario añadir
esta IP a las excepciones de seguridad del JAVA, si no se realiza esta
configuración no es posible ingresar, vía web a la administración del ASA.

4. Después de añadir las excepciones y cargar la IP en el navegador, saldrá el
siguiente pantallazo
4. Asignamos un usuario con todos los permisos, para la administración, con
el siguiente comando.
ciscoasa(config)# username admin password admin privilege 15
5. Damos clic en Install ASDM installer e ingresamos la contraseña
anteriormente configurada

6. 6. Ahora nos proporciona un archivo para descargar
7. Después de instalar el programa, nos arroja la siguiente ventana, para
iniciar sesión.
8. Habilitamos el acceso desde HTTP, con el comando:
ciscoasa(config)# aaa authentication http console LOCAL

7. Esperamos que el asistente de instalación, instale los archivos necesarios. Después
de esto podemos ver en nuestro escritorio un acceso directo, para ingresar al
dispositivo. El ícono se llama ASDM on 192.168.1.1.
9. Iniciamos la interfaz gráfica y abrimos el menú Configuration, luego Device
Setup y Startup Wizard.
Tenemos la opción de reconfigurar la interfaz de administración, damos clic en
next.

8. 10.Tenemos a opción de configurar el nombre del ASA. Clic en next.

9. 11.Configuramos en este caso la interfaz LAN

10. 12.Seleccionamos la opción que permite la comunicación entre las dos
interfaces.

11. 13.Configuramos las propiedades de la WAN, aceptamos la advertencia y
damos clic en next.

12. 14.Tenemos la opción de definir rutas estáticas, si es requerido. Para este
caso no las usaremos.

13. 15.Configuramos el DHCP de la interfaz de administración.

14. 16.Seleccionamos la opción de NAT para la interfaz 0/0

15. 17.Configuramos la interfaces de administración del ASA.

16. 18.Configuramos la actualización del ASA. Podemos habilitar o no.

17. 19.Configuramos las opciones de enviar estadísticas a CISCO, para este caso
lo dejamos en Do not enable Smart Call Home.

18. 20.Finalizamos y aplicamos la configuración.
21.Prueba de PING a los Host.
IP 192.168.2.2 (LAN)
IP 172.16.0.2 (INTERNET)

19. 22.Agregamos las reglas en el firewall, para permitir solo el ping desde la LAN
a la WAN.
Automáticamente estas reglas agregarán las ACL Necesarias.
En este caso, aplicando la anterior configuración, el dispositivo LAN solo podrá
enviar PING a WAN, si desean utilizar otro protocolo no es permitido.