SlideShare una empresa de Scribd logo

Documentación ACL - Firewall ASA

cyberleon95
cyberleon95

Este documento describe la configuración de ACL y firewall en un dispositivo ASA. Explica brevemente qué son las ACL y cómo funcionan para controlar el tráfico de red. Luego presenta una topología de red con requisitos de seguridad específicos y las configuraciones de ACL y firewall implementadas en los routers y ASA para cumplir con esos requisitos.

Tecnología
1 de 28
Descargar para leer sin conexión
Configuración y Documentación de ACL y Firewall ASA GESTIÓN DE REDES DE DATOS SERVICIO NACIONAL DE APRENDIZAJE DIEGO LEON GIL BARRIENTOS GELIER ESTEBAN MORENO GÓMEZ Ficha: 464327
1 Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido. Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir “tráfico interesante” (tráfico suficientemente importante como para activar o mantener una conexión) en ISDN. Las listas de acceso funcionan de acuerdo a sentencias que son configuradas en el router.
2 En redes de computadoras, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en una terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tantos servidores individuales como routers pueden tener ACLs de redes. Las listas de acceso de control pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a unos cortafuegos. Existen dos tipos de ACL:  ACL estándar, donde solo tenemos que especificar una dirección de origen;  ACL extendida, en cuya sintaxis aparece el protocolo y una dirección de origen y de destino.  Las Acl por defecto bloquean todo el tráfico con una linea que se conoce como linea implícita.  Las sentencias se ejecutan línea a línea hasta que se encuentra una coincidencia.  Cuando una linea hace match el resto de las sentencias no se revisan.  Solo se puede aplicar 1 acl por interfaz y por protocolo.  Hay que considerar el flujo del tráfico para aplicar la acl en la interfaz correspondiente.
3 ACTIVIDAD ACL Tenemos la siguiente topología: Debemos cumplir los siguientes propósitos:  Las redes inalámbricas solo deben tener acceso a internet, no a las demás redes.  Las redes cableadas solo deben tener acceso al servidor 172.16.9.2, no a las demás máquinas de ese segmento. Lo primero que hicimos en la topología fue realizar un correcto enrutamiento en general de los dispositivos para probar conectividad y eficacia de la topología. NOTA: Primero hacer el debido enrutamiento sin aplicar ACLs, por que podríamos tener problemas de conectividad y nos podríamos confundir si es la ACL que se está aplicando o problemas generales de la topología. La lista que aplicamos para que las redes inalámbricas del lado izquierdo no tengan acceso a las demás redes, pero sí a internet fue:
4 En el siguiente requerimiento de este lado:  Las redes inalámbricas solo deben tener acceso a internet, no a las demás redes.  Las redes cableadas solo deben tener acceso al servidor 172.16.9.2, no a las demás máquinas de ese segmento.
5 En la lista de acceso la diseñamos desconociendo que podíamos tener dos listas de acceso, por lo tanto diseñamos una sola para que cumpliéramos los parámetros aplicando la ACL en una sola interfaz de trafico INSIDE. Cumplimos con los parámetros pero si notamos bien la ACL estamos permitiendo el tráfico origen desde el servidor en específico, hacia las demás redes por lo tanto analizando; el tráfico desde las redes remotas si permite entrar al servidor pero la ACL no permite que vaya a algunas redes, inalámbricas por ejemplo. Las running-config de los routers son las siguientes:
6 Router 0 version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router0 ! boot-start-marker boot-end-marker ! logging message-counter syslog enable secret 5 $1$boin$EYAhWq60EmH/0IdqmmFN9. ! no aaa new-model memory-size iomem 5 ! dot11 syslog ip source-route ! ! ip cef ! ! no ipv6 cef ! multilink bundle-name authenticated ! voice-card 0 ! archive log config hidekeys ! ! interface FastEthernet0/0 ip address 172.16.0.1 255.255.255.0 ip access-group 101 in duplex auto speed auto ! interface FastEthernet0/1 ip address 172.16.1.129 255.255.255.128 duplex auto speed auto
7 ! interface Serial0/0/0 ip address 172.16.2.1 255.255.255.0 clock rate 64000 ! interface Serial0/0/1 no ip address shutdown clock rate 125000 ! interface Serial0/2/0 no ip address shutdown clock rate 2000000 ! interface Serial0/2/1 no ip address shutdown clock rate 2000000 ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 172.16.2.2 ip route 172.16.8.0 255.255.255.0 172.16.2.2 ip route 192.168.10.0 255.255.255.0 172.16.2.2 no ip http server no ip http secure-server ! access-list 101 deny ip host 172.16.0.5 172.16.4.0 0.0.1.255 access-list 101 deny ip host 172.16.0.5 172.16.8.0 0.0.0.255 access-list 101 deny ip host 172.16.0.5 172.16.9.0 0.0.0.255 access-list 101 deny ip host 172.16.0.5 172.16.1.128 0.0.0.127 access-list 101 deny ip host 172.16.0.5 172.16.0.0 0.0.0.255 access-list 101 permit ip 172.16.0.0 0.0.0.255 any ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! scheduler allocate 20000 1000 end
8 Router 4 version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname router4 ! boot-start-marker boot-end-marker ! logging message-counter syslog enable secret 5 $1$zisT$0aGPV.UGpI7.aMt2F8Y3T0 ! no aaa new-model ! dot11 syslog ip source-route ! ! ip cef ! ! no ipv6 cef ! multilink bundle-name authenticated ! ! voice-card 0 ! archive log config hidekeys ! interface Loopback1 ip address 200.200.200.200 255.255.255.0 ! interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.4 encapsulation dot1Q 4 ip address 172.16.4.1 255.255.254.0 !
9 interface FastEthernet0/0.8 encapsulation dot1Q 8 ip address 172.16.8.1 255.255.255.0 ! interface FastEthernet0/1 ip address 172.16.9.1 255.255.255.0 ip access-group 101 in duplex auto speed auto ! interface Serial0/0/0 ip address 172.16.2.2 255.255.255.0 ! interface Serial0/0/1 no ip address shutdown clock rate 125000 ! ip forward-protocol nd ip route 172.16.0.0 255.255.255.0 172.16.2.1 ip route 172.16.1.128 255.255.255.128 172.16.2.1 no ip http server no ip http secure-server ! access-list 101 permit ip host 172.16.9.2 172.16.4.0 0.0.1.255 access-list 101 permit ip host 172.16.9.2 172.16.8.0 0.0.0.255 access-list 101 permit ip host 172.16.9.2 172.16.1.128 0.0.0.127 access-list 101 permit ip host 172.16.9.2 172.16.0.0 0.0.0.255 access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.4.0 0.0.1.255 access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.8.0 0.0.0.255 access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.1.128 0.0.0.127 access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.0.0 0.0.0.255 access-list 101 permit ip 172.16.9.0 0.0.0.255 any ! ! control-plane ! line con 0 line aux 0 line vty 0 4 login ! scheduler allocate 20000 1000 end
10 Para la lista de acceso correcta para el Router 4 es así, aplicando 2 listas de acceso. Router 4 # ethernet 101 out access-list 101 permit ip 172.16.4.0 0.0.3.255 host 172.16.9.2 access-list 101 permit ip 172.16.8.0 0.0.0.255 host 172.16.9.2 access-list 101 permit ip 172.16.1.128 0.0.0.127 host 172.16.9.2 access-list 101 permit ip 172.16.0.0 0.0.0.255 host 172.16.9.2 Router 4 # ethernet 102 in access-list 102 permit ip host 172.16.9.2 any access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.4.0 0.0.3.255 access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.8.0 0.0.0.255 access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.1.128 0.0.0.127 access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.0.0 0.0.0.255 access-list 102 permit ip 172.16.9.0 0.0.0.255 any Configuración y Documentación Firewall ASA La topología planteada es la siguiente:
11 Según los requerimientos pedidos por nuestra instructora correspondiente al 6 trimestre, nos vale como actividad de Firewall ASA la actividad planteada para el concurso SENASOFT, los requerimientos son los siguientes:
12 Las configuraciones fueron las siguientes, en el caso de los routers: Router PROMETEO ! Last configuration change at 16:01:05 UTC Wed Aug 20 2014 version 15.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname PROMETEO ! boot-start-marker boot-end-marker ! aqm-register-fnf ! ! no aaa new-model ! ip cef no ipv6 cef ! multilink bundle-name authenticated ! voice-card 0 ! license udi pid CISCO2901/K9 sn FTX155183CS license accept end user agreement license boot module c2900 technology-package securityk9 license boot module c2900 technology-package uck9 license boot module c2900 technology-package datak9 redundancy !
13 interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ip address 10.0.0.2 255.0.0.0 duplex auto speed auto ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ! interface GigabitEthernet0/1.1 encapsulation dot1Q 2 ip address 192.168.10.1 255.255.255.248 ip helper-address 192.168.10.26 ! interface GigabitEthernet0/1.2 encapsulation dot1Q 8 ip address 192.168.10.9 255.255.255.248 ip helper-address 192.168.10.26 ! interface GigabitEthernet0/1.3 encapsulation dot1Q 16 ip address 192.168.10.17 255.255.255.248 ip helper-address 192.168.10.26 ! interface GigabitEthernet0/1.4 encapsulation dot1Q 24 ip address 192.168.10.25 255.255.255.248 ip helper-address 192.168.10.26 ! interface GigabitEthernet0/1.5 encapsulation dot1Q 5 ip address 192.168.20.1 255.255.255.248 ip helper-address 192.168.10.26 ! interface GigabitEthernet0/1.6 encapsulation dot1Q 6 ip address 192.168.20.9 255.255.255.248 ip helper-address 192.168.10.26 !
14 interface GigabitEthernet0/1.7 encapsulation dot1Q 7 ip address 192.168.20.17 255.255.255.248 ip helper-address 192.168.10.26 ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown clock rate 2000000 ! ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 10.0.0.1 ! control-plane ! ! mgcp behavior rsip-range tgcp-only mgcp behavior comedia-role none mgcp behavior comedia-check-media-src disable mgcp behavior comedia-sdp-force disable ! mgcp profile default ! gatekeeper shutdown ! line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1
15 line vty 0 4 login transport input all ! scheduler allocate 20000 1000 ! end Router ATLAS Building configuration... Current configuration : 1630 bytes ! ! Last configuration change at 15:32:27 UTC Wed Aug 20 2014 version 15.1 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname ATLAS ! boot-start-marker boot-end-marker ! no aaa new-model ! no ipv6 cef ip source-route ip cef ! multilink bundle-name authenticated ! crypto pki token default removal timeout 0 ! ! voice-card 0 ! license udi pid CISCO2901/K9 sn FTX155183DR license accept end user agreement license boot module c2900 technology-package securityk9 license boot module c2900 technology-package uck9 license boot module c2900 technology-package datak9 ! !
16 username cisco privilege 15 secret 5 $1$uEPV$m2c2Y6nAfqpn5QWx2BgMJ. ! redundancy ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ip address 30.0.0.2 255.0.0.0 duplex auto speed auto ! interface GigabitEthernet0/1 ip address 40.0.0.1 255.0.0.0 duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown clock rate 2000000 ! ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 30.0.0.1 ! control-plane ! ! mgcp profile default ! gatekeeper shutdown
17 line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 exec-timeout 5 0 login transport input ssh ! scheduler allocate 20000 1000 end SWITCH DE LAS VLANs LOCALES Current configuration : 4102 bytes ! version 12.2 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname SWITCH_SENASOFT ! boot-start-marker boot-end-marker ! ! no aaa new-model system mtu routing 1500 ip subnet-zero ! crypto pki trustpoint TP-self-signed-2674122752 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-2674122752 revocation-check none rsakeypair TP-self-signed-2674122752 ! spanning-tree mode pvst spanning-tree extend system-id !
18 vlan internal allocation policy ascending ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/2 ! interface FastEthernet0/3 switchport access vlan 2 switchport mode access ! interface FastEthernet0/4 switchport access vlan 2 switchport mode access ! interface FastEthernet0/5 switchport access vlan 2 switchport mode access ! interface FastEthernet0/6 switchport access vlan 2 switchport mode access ! interface FastEthernet0/7 switchport access vlan 8 switchport mode access ! interface FastEthernet0/8 switchport access vlan 8 switchport mode access ! interface FastEthernet0/9 switchport access vlan 8 switchport mode access ! interface FastEthernet0/10 switchport access vlan 8 switchport mode access ! interface FastEthernet0/11 switchport access vlan 16 switchport mode access ! interface FastEthernet0/12 switchport access vlan 16 switchport mode access !
19 interface FastEthernet0/13 switchport access vlan 16 switchport mode access ! interface FastEthernet0/14 switchport access vlan 16 switchport mode access ! interface FastEthernet0/15 switchport access vlan 24 switchport mode access ! interface FastEthernet0/16 switchport access vlan 24 switchport mode access ! interface FastEthernet0/17 switchport access vlan 24 switchport mode access ! interface FastEthernet0/18 switchport access vlan 24 switchport mode access ! interface FastEthernet0/19 switchport access vlan 5 switchport mode access ! interface FastEthernet0/20 switchport access vlan 5 switchport mode access ! interface FastEthernet0/21 switchport access vlan 6 switchport mode access ! interface FastEthernet0/22 switchport access vlan 6 switchport mode access ! interface FastEthernet0/23 switchport access vlan 7 switchport mode access ! interface FastEthernet0/24 switchport access vlan 7 switchport mode access
20 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address no ip route-cache shutdown ! ip http server ip http secure-server ! control-plane ! ! line con 0 line vty 0 4 login line vty 5 15 login ! End FIREWALL ASA ASA Version 9.1(3) ! hostname FIREWALL enable password 8Ry2YjIyt7RRXU24 encrypted xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp any4 any6 eq domain xlate per-session deny udp any6 any4 eq domain xlate per-session deny udp any6 any6 eq domain names ! interface Ethernet0/0 nameif inside security-level 100 ip address 10.0.0.1 255.0.0.0 !
21 interface Ethernet0/1 nameif DMZ security-level 50 ip address 20.0.0.1 255.0.0.0 ! interface Ethernet0/2 nameif outside security-level 0 ip address 30.0.0.1 255.0.0.0 ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address ! ftp mode passive object network dmz-internet subnet 20.0.0.0 255.0.0.0 object network inside-internet subnet 0.0.0.0 0.0.0.0 object network webserver-external-ip host 30.0.0.4 object network webserver host 20.0.0.2 access-list outside_acl extended permit tcp any object webserver eq www pager lines 24 mtu inside 1500 mtu DMZ 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 no arp permit-nonconnected nat (inside,outside) source dynamic inside-internet interface nat (DMZ,outside) source dynamic dmz-internet interface ! object network webserver nat (DMZ,outside) static webserver-external-ip service tcp www www access-group outside_acl in interface outside
22 route outside 0.0.0.0 0.0.0.0 30.0.0.2 1 route inside 192.168.10.0 255.255.255.248 10.0.0.2 1 route inside 192.168.10.8 255.255.255.248 10.0.0.2 1 route inside 192.168.10.16 255.255.255.248 10.0.0.2 1 route inside 192.168.10.24 255.255.255.248 10.0.0.2 1 route inside 192.168.20.0 255.255.255.248 10.0.0.2 1 route inside 192.168.20.8 255.255.255.248 10.0.0.2 1 route inside 192.168.20.16 255.255.255.248 10.0.0.2 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy user-identity default-domain LOCAL no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart crypto ipsec security-association pmtu-aging infinite crypto ca trustpool policy telnet timeout 5 ssh timeout 5 ssh key-exchange group dh-group1-sha1 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ! class-map inspection_default match default-inspection-traffic ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512
23 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect ip-options inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect icmp inspect icmp error ! service-policy global_policy global prompt hostname context no call-home reporting anonymous call-home profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/service/oddce/services/De destination address email callhome@cisco.com destination address http https://tools.cisco.com/its/service/oddce/servicese destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly subscribe-to-alert-group configuration periodic monthly subscribe-to-alert-group telemetry periodic daily Cryptochecksum:00fa3483af8f26e1d526ed07e09d2127 : end
24 Resumen Configuración Firewall ASA Interfaces INSIDE, DMZ Y OUTSIDE interface Ethernet0/0 nameif inside security-level 100 ip address 10.0.0.1 255.0.0.0 ! interface Ethernet0/1 nameif DMZ security-level 50 ip address 20.0.0.1 255.0.0.0 ! interface Ethernet0/2 nameif outside security-level 0 ip address 30.0.0.1 255.0.0.0 Creación de Objetos object network dmz-internet subnet 20.0.0.0 255.0.0.0 object network inside-internet subnet 0.0.0.0 0.0.0.0 object network webserver-external-ip host 30.0.0.4 object network webserver host 20.0.0.2 Lista de acceso permitiendo trafico web access-list outside_acl extended permit tcp any object webserver eq www Configuración de NAT en Firewall nat (inside,outside) source dynamic inside-internet interface nat (DMZ,outside) source dynamic dmz-internet interface object network webserver nat (DMZ,outside) static webserver-external-ip service tcp www www
25 Aplicación de ACL access-group outside_acl in interface outside Enrutamiento en el Firewall route outside 0.0.0.0 0.0.0.0 30.0.0.2 1 route inside 192.168.10.0 255.255.255.248 10.0.0.2 1 route inside 192.168.10.8 255.255.255.248 10.0.0.2 1 route inside 192.168.10.16 255.255.255.248 10.0.0.2 1 route inside 192.168.10.24 255.255.255.248 10.0.0.2 1 route inside 192.168.20.0 255.255.255.248 10.0.0.2 1 route inside 192.168.20.8 255.255.255.248 10.0.0.2 1 route inside 192.168.20.16 255.255.255.248 10.0.0.2 1 Políticas de Acceso policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect ip-options inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect icmp inspect icmp error
26 Permitir Tráficos mediante ACL en la VlAN´s access-list 101 permit udp any any eq bootps access-list 101 permit udp 192.168.10.0 0.0.0.7 192.168.10.24 0.0.0.7 eq domain access-list 101 permit ip 192.168.10.0 0.0.0.7 192.168.10.24 0.0.0.7 access-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq www access-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq smtp access-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq 143 access-list 102 permit udp any any eq bootps access-list 102 permit udp 192.168.20.8 0.0.0.7 192.168.10.24 0.0.0.7 eq domain access-list 102 permit ip 192.168.20.8 0.0.0.7 192.168.10.24 0.0.0.7 access-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq www access-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq smtp access-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq 143 Asignación de listas de acceso int g0/1.1 ip access-group 101 in exit int g0/1.4 ip access-group 101 out exit int g0/1.6 ip access-group 101 in exit Mediante la lista de acceso mostrada y planteada anteriormente se está diciendo que cualquier red puede solicitar mediante trafico UDP una dirección por DHCP. También permitimos desde las diversas subredes el trafico al servidor local que provee DNS y DHCP pueda resolver nombres de dominio localmente. Por ultimo les permitimos a nuestras a subredes el acceso al servidor de la DMZ, el tráfico WEB y el tráfico necesario para que el servicio de correo sea funcional n este caso el protocolo SMTP y el puerto 143 correspondiente al IMAP, que es el protocolo entrante a los diversos clientes. Esta lista de acceso con el fin de cumplir el requerimiento de que la S1 y S6 (Subred) solo tengan acceso a los servicios locales y la DMZ sin tener acceso a internet.
27 WEBGRAFIA http://www.redescisco.net/v2/art/como-configurar-un-firewall-asa-8-4-en-gns3/ http://es.slideshare.net/websyo/practica-con-firewall-asa-14114092 http://aprenderedes.com/2012/12/configuracion-de-asdm-en-cisco-asa-con-gns3/ http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next- generation-firewalls/115904-asa-config-dmz-00.html http://www.cisco.com/cisco/web/support/LA/111/1118/1118174_asa-config-dmz- 00.html

Recomendados

Putting Firepower Into The Next Generation Firewall
Putting Firepower Into The Next Generation FirewallPutting Firepower Into The Next Generation Firewall
Putting Firepower Into The Next Generation Firewall
Cisco Canada
 
ACI Hands-on Lab
ACI Hands-on LabACI Hands-on Lab
ACI Hands-on Lab
Cisco Canada
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud Computing
Gabriel Marcos
 
ASA Multiple Context Training
ASA Multiple Context TrainingASA Multiple Context Training
ASA Multiple Context TrainingTariq Bader
 
Cisco ASA Firepower
Cisco ASA FirepowerCisco ASA Firepower
Cisco ASA Firepower
Anwesh Dixit
 
Ready
ReadyReady
Ready
eaze_50
 
4.4.1.3 packet tracer configuring a zone-based policy firewall (zpf) instru...
4.4.1.3 packet tracer configuring a zone-based policy firewall (zpf) instru...4.4.1.3 packet tracer configuring a zone-based policy firewall (zpf) instru...
4.4.1.3 packet tracer configuring a zone-based policy firewall (zpf) instru...
Salem Trabelsi
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf
Fabián Descalzo
 

Recomendados

Putting Firepower Into The Next Generation Firewall
Putting Firepower Into The Next Generation FirewallPutting Firepower Into The Next Generation Firewall
Putting Firepower Into The Next Generation Firewall
Cisco Canada
 
ACI Hands-on Lab
ACI Hands-on LabACI Hands-on Lab
ACI Hands-on Lab
Cisco Canada
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud Computing
Gabriel Marcos
 
ASA Multiple Context Training
ASA Multiple Context TrainingASA Multiple Context Training
ASA Multiple Context TrainingTariq Bader
 
Cisco ASA Firepower
Cisco ASA FirepowerCisco ASA Firepower
Cisco ASA Firepower
Anwesh Dixit
 
Ready
ReadyReady
Ready
eaze_50
 
4.4.1.3 packet tracer configuring a zone-based policy firewall (zpf) instru...
4.4.1.3 packet tracer configuring a zone-based policy firewall (zpf) instru...4.4.1.3 packet tracer configuring a zone-based policy firewall (zpf) instru...
4.4.1.3 packet tracer configuring a zone-based policy firewall (zpf) instru...
Salem Trabelsi
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf
Fabián Descalzo
 
CCNA presentation.
CCNA presentation.CCNA presentation.
CCNA presentation.Ajaigururaj R
 
Modul Free One Day Workshop Implementing Cisco IP Routing and Switched Networks
Modul Free One Day Workshop Implementing Cisco IP Routing and Switched NetworksModul Free One Day Workshop Implementing Cisco IP Routing and Switched Networks
Modul Free One Day Workshop Implementing Cisco IP Routing and Switched Networks
I Putu Hariyadi
 
Portable Command Guide.pdf
Portable Command Guide.pdfPortable Command Guide.pdf
Portable Command Guide.pdf
OliverSalacan1
 
Vlan Types
Vlan TypesVlan Types
Vlan Types
IT Tech
 
ASA Firepower NGFW Update and Deployment Scenarios
ASA Firepower NGFW Update and Deployment ScenariosASA Firepower NGFW Update and Deployment Scenarios
ASA Firepower NGFW Update and Deployment Scenarios
Cisco Canada
 
Aruba wireless and clear pass 6 integration guide v1.3
Aruba wireless and clear pass 6 integration guide v1.3Aruba wireless and clear pass 6 integration guide v1.3
Aruba wireless and clear pass 6 integration guide v1.3Aruba, a Hewlett Packard Enterprise company
 
Network Troubleshooting - Part 1
Network Troubleshooting - Part 1Network Troubleshooting - Part 1
Network Troubleshooting - Part 1
SolarWinds
 
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
Ivan Sanchez
 
Instalación pfsense y portal cautivo
Instalación pfsense y portal cautivoInstalación pfsense y portal cautivo
Instalación pfsense y portal cautivo
566689
 
Introducción a Kali Linux
Introducción a Kali LinuxIntroducción a Kali Linux
Introducción a Kali Linux
Francisco Medina
 
Basic Cisco 800 Router Configuration for Internet Access
Basic Cisco 800 Router Configuration for Internet AccessBasic Cisco 800 Router Configuration for Internet Access
Basic Cisco 800 Router Configuration for Internet Access
Harris Andrea
 
Mikrotik RouterOs basics v0.3 español
Mikrotik RouterOs basics v0.3 españolMikrotik RouterOs basics v0.3 español
Mikrotik RouterOs basics v0.3 españolRod Hinojosa
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informatica
Gemiunivo
 
Tacacs
TacacsTacacs
Tacacs1 2d
 
Cisco CCNA-Router on Stick
Cisco CCNA-Router on StickCisco CCNA-Router on Stick
Cisco CCNA-Router on Stick
Hamed Moghaddam
 
Comandos cli router
Comandos cli routerComandos cli router
Comandos cli routercyberleon95
 
SEGURIDAD EN LINUX vs SEGURIDAD EN WINDOWS
SEGURIDAD EN LINUX vs SEGURIDAD EN WINDOWSSEGURIDAD EN LINUX vs SEGURIDAD EN WINDOWS
SEGURIDAD EN LINUX vs SEGURIDAD EN WINDOWS
Flakita Pinduisaca
 
Cisco asa fire power services
Cisco asa fire power servicesCisco asa fire power services
Cisco asa fire power services
Tapan Doshi
 
Aruba 3810M 16SFP+ 2-slot Switch - JL075A Datasheet
Aruba 3810M 16SFP+ 2-slot Switch - JL075A DatasheetAruba 3810M 16SFP+ 2-slot Switch - JL075A Datasheet
Aruba 3810M 16SFP+ 2-slot Switch - JL075A Datasheet
Mark Tsui
 
EMEA Airheads- ClearPass extensions and how they can help
EMEA Airheads- ClearPass extensions and how they can helpEMEA Airheads- ClearPass extensions and how they can help
EMEA Airheads- ClearPass extensions and how they can help
Aruba, a Hewlett Packard Enterprise company
 
Instalación y Configuración SSH CentOS 6.5 / RHEL 6.2
Instalación y Configuración SSH CentOS 6.5 / RHEL 6.2Instalación y Configuración SSH CentOS 6.5 / RHEL 6.2
Instalación y Configuración SSH CentOS 6.5 / RHEL 6.2cyberleon95
 
Plan de continuidad
Plan de continuidadPlan de continuidad
Plan de continuidad
cyberleon95
 

Más contenido relacionado

La actualidad más candente

Modul Free One Day Workshop Implementing Cisco IP Routing and Switched Networks
Modul Free One Day Workshop Implementing Cisco IP Routing and Switched NetworksModul Free One Day Workshop Implementing Cisco IP Routing and Switched Networks
Modul Free One Day Workshop Implementing Cisco IP Routing and Switched Networks
I Putu Hariyadi
 
Portable Command Guide.pdf
Portable Command Guide.pdfPortable Command Guide.pdf
Portable Command Guide.pdf
OliverSalacan1
 
Vlan Types
Vlan TypesVlan Types
Vlan Types
IT Tech
 
ASA Firepower NGFW Update and Deployment Scenarios
ASA Firepower NGFW Update and Deployment ScenariosASA Firepower NGFW Update and Deployment Scenarios
ASA Firepower NGFW Update and Deployment Scenarios
Cisco Canada
 
Network Troubleshooting - Part 1
Network Troubleshooting - Part 1Network Troubleshooting - Part 1
Network Troubleshooting - Part 1
SolarWinds
 
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
Ivan Sanchez
 
Instalación pfsense y portal cautivo
Instalación pfsense y portal cautivoInstalación pfsense y portal cautivo
Instalación pfsense y portal cautivo
566689
 
Introducción a Kali Linux
Introducción a Kali LinuxIntroducción a Kali Linux
Introducción a Kali Linux
Francisco Medina
 
Basic Cisco 800 Router Configuration for Internet Access
Basic Cisco 800 Router Configuration for Internet AccessBasic Cisco 800 Router Configuration for Internet Access
Basic Cisco 800 Router Configuration for Internet Access
Harris Andrea
 
Mikrotik RouterOs basics v0.3 español
Mikrotik RouterOs basics v0.3 españolMikrotik RouterOs basics v0.3 español
Mikrotik RouterOs basics v0.3 españolRod Hinojosa
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informatica
Gemiunivo
 
Tacacs
TacacsTacacs
Tacacs1 2d
 
Cisco CCNA-Router on Stick
Cisco CCNA-Router on StickCisco CCNA-Router on Stick
Cisco CCNA-Router on Stick
Hamed Moghaddam
 
Comandos cli router
Comandos cli routerComandos cli router
Comandos cli routercyberleon95
 
SEGURIDAD EN LINUX vs SEGURIDAD EN WINDOWS
SEGURIDAD EN LINUX vs SEGURIDAD EN WINDOWSSEGURIDAD EN LINUX vs SEGURIDAD EN WINDOWS
SEGURIDAD EN LINUX vs SEGURIDAD EN WINDOWS
Flakita Pinduisaca
 
Cisco asa fire power services
Cisco asa fire power servicesCisco asa fire power services
Cisco asa fire power services
Tapan Doshi
 
Aruba 3810M 16SFP+ 2-slot Switch - JL075A Datasheet
Aruba 3810M 16SFP+ 2-slot Switch - JL075A DatasheetAruba 3810M 16SFP+ 2-slot Switch - JL075A Datasheet
Aruba 3810M 16SFP+ 2-slot Switch - JL075A Datasheet
Mark Tsui
 
EMEA Airheads- ClearPass extensions and how they can help
EMEA Airheads- ClearPass extensions and how they can helpEMEA Airheads- ClearPass extensions and how they can help
EMEA Airheads- ClearPass extensions and how they can help
Aruba, a Hewlett Packard Enterprise company
 

La actualidad más candente (20)

CCNA presentation.
CCNA presentation.CCNA presentation.
CCNA presentation.
 
Modul Free One Day Workshop Implementing Cisco IP Routing and Switched Networks
Modul Free One Day Workshop Implementing Cisco IP Routing and Switched NetworksModul Free One Day Workshop Implementing Cisco IP Routing and Switched Networks
Modul Free One Day Workshop Implementing Cisco IP Routing and Switched Networks
 
Portable Command Guide.pdf
Portable Command Guide.pdfPortable Command Guide.pdf
Portable Command Guide.pdf
 
Vlan Types
Vlan TypesVlan Types
Vlan Types
 
ASA Firepower NGFW Update and Deployment Scenarios
ASA Firepower NGFW Update and Deployment ScenariosASA Firepower NGFW Update and Deployment Scenarios
ASA Firepower NGFW Update and Deployment Scenarios
 
Aruba wireless and clear pass 6 integration guide v1.3
Aruba wireless and clear pass 6 integration guide v1.3Aruba wireless and clear pass 6 integration guide v1.3
Aruba wireless and clear pass 6 integration guide v1.3
 
Network Troubleshooting - Part 1
Network Troubleshooting - Part 1Network Troubleshooting - Part 1
Network Troubleshooting - Part 1
 
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
Enrutamiento estático de 3 Equipos y dos Routers CISCO CCNA1 capitulo 11
 
Instalación pfsense y portal cautivo
Instalación pfsense y portal cautivoInstalación pfsense y portal cautivo
Instalación pfsense y portal cautivo
 
Introducción a Kali Linux
Introducción a Kali LinuxIntroducción a Kali Linux
Introducción a Kali Linux
 
Basic Cisco 800 Router Configuration for Internet Access
Basic Cisco 800 Router Configuration for Internet AccessBasic Cisco 800 Router Configuration for Internet Access
Basic Cisco 800 Router Configuration for Internet Access
 
Mikrotik RouterOs basics v0.3 español
Mikrotik RouterOs basics v0.3 españolMikrotik RouterOs basics v0.3 español
Mikrotik RouterOs basics v0.3 español
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informatica
 
Tacacs
TacacsTacacs
Tacacs
 
Cisco CCNA-Router on Stick
Cisco CCNA-Router on StickCisco CCNA-Router on Stick
Cisco CCNA-Router on Stick
 
Comandos cli router
Comandos cli routerComandos cli router
Comandos cli router
 
SEGURIDAD EN LINUX vs SEGURIDAD EN WINDOWS
SEGURIDAD EN LINUX vs SEGURIDAD EN WINDOWSSEGURIDAD EN LINUX vs SEGURIDAD EN WINDOWS
SEGURIDAD EN LINUX vs SEGURIDAD EN WINDOWS
 
Cisco asa fire power services
Cisco asa fire power servicesCisco asa fire power services
Cisco asa fire power services
 
Aruba 3810M 16SFP+ 2-slot Switch - JL075A Datasheet
Aruba 3810M 16SFP+ 2-slot Switch - JL075A DatasheetAruba 3810M 16SFP+ 2-slot Switch - JL075A Datasheet
Aruba 3810M 16SFP+ 2-slot Switch - JL075A Datasheet
 
EMEA Airheads- ClearPass extensions and how they can help
EMEA Airheads- ClearPass extensions and how they can helpEMEA Airheads- ClearPass extensions and how they can help
EMEA Airheads- ClearPass extensions and how they can help
 

Destacado

Instalación y Configuración SSH CentOS 6.5 / RHEL 6.2
Instalación y Configuración SSH CentOS 6.5 / RHEL 6.2Instalación y Configuración SSH CentOS 6.5 / RHEL 6.2
Instalación y Configuración SSH CentOS 6.5 / RHEL 6.2cyberleon95
 
Plan de continuidad
Plan de continuidadPlan de continuidad
Plan de continuidad
cyberleon95
 
Análisis de riesgos y vulnerabilidades
Análisis de riesgos y vulnerabilidades Análisis de riesgos y vulnerabilidades
Análisis de riesgos y vulnerabilidades
cyberleon95
 
Configuración VPN Sitio a Sitio en ENDIAN
Configuración VPN Sitio a Sitio en ENDIANConfiguración VPN Sitio a Sitio en ENDIAN
Configuración VPN Sitio a Sitio en ENDIAN
cyberleon95
 
Integración LDAP + SAMBA
Integración LDAP + SAMBAIntegración LDAP + SAMBA
Integración LDAP + SAMBAcyberleon95
 
Manual Monitoreo de Servidores
Manual Monitoreo de ServidoresManual Monitoreo de Servidores
Manual Monitoreo de Servidorescyberleon95
 
Manual WDS - Windows Server 2008 R2
Manual WDS - Windows Server 2008 R2Manual WDS - Windows Server 2008 R2
Manual WDS - Windows Server 2008 R2
cyberleon95
 
Centos 6.5 Servidor Básico
Centos 6.5 Servidor BásicoCentos 6.5 Servidor Básico
Centos 6.5 Servidor Básico
cyberleon95
 
Instalación y Configuración Firewall ENDIAN
Instalación y Configuración Firewall ENDIANInstalación y Configuración Firewall ENDIAN
Instalación y Configuración Firewall ENDIAN
cyberleon95
 
Teoría Plataformas de Monitoreo
Teoría Plataformas de Monitoreo Teoría Plataformas de Monitoreo
Teoría Plataformas de Monitoreo cyberleon95
 
Integración GNS3 - VirtualBox - Wireshark
Integración GNS3 - VirtualBox - WiresharkIntegración GNS3 - VirtualBox - Wireshark
Integración GNS3 - VirtualBox - Wiresharkcyberleon95
 
Actividad Topologías VoIP
Actividad Topologías VoIPActividad Topologías VoIP
Actividad Topologías VoIPcyberleon95
 
Autodiagnostico 5 Trimestre
Autodiagnostico 5 TrimestreAutodiagnostico 5 Trimestre
Autodiagnostico 5 Trimestrecyberleon95
 
Configuración VPN de Acceso remoto con TMG
Configuración VPN de Acceso remoto con TMGConfiguración VPN de Acceso remoto con TMG
Configuración VPN de Acceso remoto con TMG
cyberleon95
 
Manual WSUS - Windows Server 2008 R2
Manual WSUS - Windows Server 2008 R2Manual WSUS - Windows Server 2008 R2
Manual WSUS - Windows Server 2008 R2
cyberleon95
 
Manual Instalación y Configuración Firewall TMG
Manual Instalación y Configuración Firewall TMGManual Instalación y Configuración Firewall TMG
Manual Instalación y Configuración Firewall TMG
cyberleon95
 
Manual PXE - RHEL 6.2
Manual PXE - RHEL 6.2Manual PXE - RHEL 6.2
Manual PXE - RHEL 6.2
cyberleon95
 
Instalación y Configuración de Exchange 2013 en Windows Server 2012 R2
Instalación y Configuración de Exchange 2013 en Windows Server 2012 R2Instalación y Configuración de Exchange 2013 en Windows Server 2012 R2
Instalación y Configuración de Exchange 2013 en Windows Server 2012 R2cyberleon95
 
Instalación y Configuración Active Directory en Windows Server 2012 R2
Instalación y Configuración Active Directory en Windows Server 2012 R2Instalación y Configuración Active Directory en Windows Server 2012 R2
Instalación y Configuración Active Directory en Windows Server 2012 R2cyberleon95
 

Destacado (20)

Instalación y Configuración SSH CentOS 6.5 / RHEL 6.2
Instalación y Configuración SSH CentOS 6.5 / RHEL 6.2Instalación y Configuración SSH CentOS 6.5 / RHEL 6.2
Instalación y Configuración SSH CentOS 6.5 / RHEL 6.2
 
Plan de continuidad
Plan de continuidadPlan de continuidad
Plan de continuidad
 
Análisis de riesgos y vulnerabilidades
Análisis de riesgos y vulnerabilidades Análisis de riesgos y vulnerabilidades
Análisis de riesgos y vulnerabilidades
 
Configuración VPN Sitio a Sitio en ENDIAN
Configuración VPN Sitio a Sitio en ENDIANConfiguración VPN Sitio a Sitio en ENDIAN
Configuración VPN Sitio a Sitio en ENDIAN
 
Integración LDAP + SAMBA
Integración LDAP + SAMBAIntegración LDAP + SAMBA
Integración LDAP + SAMBA
 
Manual Monitoreo de Servidores
Manual Monitoreo de ServidoresManual Monitoreo de Servidores
Manual Monitoreo de Servidores
 
Manual WDS - Windows Server 2008 R2
Manual WDS - Windows Server 2008 R2Manual WDS - Windows Server 2008 R2
Manual WDS - Windows Server 2008 R2
 
Centos 6.5 Servidor Básico
Centos 6.5 Servidor BásicoCentos 6.5 Servidor Básico
Centos 6.5 Servidor Básico
 
Instalación y Configuración Firewall ENDIAN
Instalación y Configuración Firewall ENDIANInstalación y Configuración Firewall ENDIAN
Instalación y Configuración Firewall ENDIAN
 
Teoría Plataformas de Monitoreo
Teoría Plataformas de Monitoreo Teoría Plataformas de Monitoreo
Teoría Plataformas de Monitoreo
 
Integración GNS3 - VirtualBox - Wireshark
Integración GNS3 - VirtualBox - WiresharkIntegración GNS3 - VirtualBox - Wireshark
Integración GNS3 - VirtualBox - Wireshark
 
Actividad Topologías VoIP
Actividad Topologías VoIPActividad Topologías VoIP
Actividad Topologías VoIP
 
Autodiagnostico 5 Trimestre
Autodiagnostico 5 TrimestreAutodiagnostico 5 Trimestre
Autodiagnostico 5 Trimestre
 
Configuración VPN de Acceso remoto con TMG
Configuración VPN de Acceso remoto con TMGConfiguración VPN de Acceso remoto con TMG
Configuración VPN de Acceso remoto con TMG
 
Manual WSUS - Windows Server 2008 R2
Manual WSUS - Windows Server 2008 R2Manual WSUS - Windows Server 2008 R2
Manual WSUS - Windows Server 2008 R2
 
Manual Instalación y Configuración Firewall TMG
Manual Instalación y Configuración Firewall TMGManual Instalación y Configuración Firewall TMG
Manual Instalación y Configuración Firewall TMG
 
Manual PXE - RHEL 6.2
Manual PXE - RHEL 6.2Manual PXE - RHEL 6.2
Manual PXE - RHEL 6.2
 
Conceptos VoIP
Conceptos VoIPConceptos VoIP
Conceptos VoIP
 
Instalación y Configuración de Exchange 2013 en Windows Server 2012 R2
Instalación y Configuración de Exchange 2013 en Windows Server 2012 R2Instalación y Configuración de Exchange 2013 en Windows Server 2012 R2
Instalación y Configuración de Exchange 2013 en Windows Server 2012 R2
 
Instalación y Configuración Active Directory en Windows Server 2012 R2
Instalación y Configuración Active Directory en Windows Server 2012 R2Instalación y Configuración Active Directory en Windows Server 2012 R2
Instalación y Configuración Active Directory en Windows Server 2012 R2
 

Similar a Documentación ACL - Firewall ASA

Configuración y Documentación de ACL y Firewall ASA
Configuración y Documentación de ACL y Firewall ASAConfiguración y Documentación de ACL y Firewall ASA
Configuración y Documentación de ACL y Firewall ASA
Yimy Pérez Medina
 
Practica de redes diana rodriguez
Practica de redes diana rodriguezPractica de redes diana rodriguez
Practica de redes diana rodriguez
dianaaribarra
 
Ac ls 1_
Ac ls 1_Ac ls 1_
Ac ls 1_
Agustin Prieto
 
Ccna 1 final exam v5
Ccna 1 final exam v5Ccna 1 final exam v5
Ccna 1 final exam v5
Hipatia Ballesteros Medina
 
47272592 listas-control-acceso
47272592 listas-control-acceso47272592 listas-control-acceso
47272592 listas-control-accesoalfredorata
 
Examen Capitulo 11 de Cisco
Examen Capitulo 11 de CiscoExamen Capitulo 11 de Cisco
Examen Capitulo 11 de Cisco
Daniiel Campos
 
Ccna 1 capítulo 11
Ccna 1 capítulo 11Ccna 1 capítulo 11
Ccna 1 capítulo 11Hack '
 
Listade Acceso Cisco
Listade Acceso CiscoListade Acceso Cisco
Listade Acceso Cisco
Jose Luis Rodriguez Ramirez
 
Acls
AclsAcls
Acls
Erwinn Plaza
 
Configuración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentementeConfiguración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentemente
JAV_999
 
Acl en windows
Acl en windowsAcl en windows
Acl en windowsrasuba
 
Implementación de tecnologías de firewall
Implementación de tecnologías de firewallImplementación de tecnologías de firewall
Implementación de tecnologías de firewall
fillescas
 

Similar a Documentación ACL - Firewall ASA (20)

Configuración y Documentación de ACL y Firewall ASA
Configuración y Documentación de ACL y Firewall ASAConfiguración y Documentación de ACL y Firewall ASA
Configuración y Documentación de ACL y Firewall ASA
 
Acls
AclsAcls
Acls
 
Practica de redes diana rodriguez
Practica de redes diana rodriguezPractica de redes diana rodriguez
Practica de redes diana rodriguez
 
Practica 8
Practica 8Practica 8
Practica 8
 
Clase 08
Clase 08Clase 08
Clase 08
 
Clase 08
Clase 08Clase 08
Clase 08
 
Ac ls 1_
Ac ls 1_Ac ls 1_
Ac ls 1_
 
Acl trabajo
Acl trabajoAcl trabajo
Acl trabajo
 
Ccna 1 final exam v5
Ccna 1 final exam v5Ccna 1 final exam v5
Ccna 1 final exam v5
 
47272592 listas-control-acceso
47272592 listas-control-acceso47272592 listas-control-acceso
47272592 listas-control-acceso
 
Examen Capitulo 11 de Cisco
Examen Capitulo 11 de CiscoExamen Capitulo 11 de Cisco
Examen Capitulo 11 de Cisco
 
Ccna 1 capítulo 11
Ccna 1 capítulo 11Ccna 1 capítulo 11
Ccna 1 capítulo 11
 
Guia 7
Guia 7Guia 7
Guia 7
 
Listade Acceso Cisco
Listade Acceso CiscoListade Acceso Cisco
Listade Acceso Cisco
 
Acls
AclsAcls
Acls
 
Configuración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentementeConfiguración de acl ip utilizadas frecuentemente
Configuración de acl ip utilizadas frecuentemente
 
Acl ejemplos
Acl ejemplosAcl ejemplos
Acl ejemplos
 
Acl en windows
Acl en windowsAcl en windows
Acl en windows
 
Implementación de tecnologías de firewall
Implementación de tecnologías de firewallImplementación de tecnologías de firewall
Implementación de tecnologías de firewall
 
Access list
Access listAccess list
Access list
 

Más de cyberleon95

Configuración DHCP - NAT
Configuración DHCP - NATConfiguración DHCP - NAT
Configuración DHCP - NATcyberleon95
 
Trabajo IOS de CISCO
Trabajo IOS de CISCOTrabajo IOS de CISCO
Trabajo IOS de CISCOcyberleon95
 
Herramientas Administrativas de Red
Herramientas Administrativas de RedHerramientas Administrativas de Red
Herramientas Administrativas de Redcyberleon95
 
Correo Red Hat Enterprise Linux 6.2
Correo Red Hat Enterprise Linux 6.2Correo Red Hat Enterprise Linux 6.2
Correo Red Hat Enterprise Linux 6.2cyberleon95
 
Sendero del Hacker
Sendero del HackerSendero del Hacker
Sendero del Hackercyberleon95
 
OPENLDAP Red Hat Enterprise Linux 6.2
OPENLDAP Red Hat Enterprise Linux 6.2OPENLDAP Red Hat Enterprise Linux 6.2
OPENLDAP Red Hat Enterprise Linux 6.2cyberleon95
 
Gestión del Talento Humano
Gestión del Talento HumanoGestión del Talento Humano
Gestión del Talento Humanocyberleon95
 
Contratación de Tecnología para Call Center
Contratación de Tecnología para Call CenterContratación de Tecnología para Call Center
Contratación de Tecnología para Call Centercyberleon95
 
Configuración Script Usuarios Masivos Windows Server 2012 R2
Configuración Script Usuarios Masivos Windows Server 2012 R2Configuración Script Usuarios Masivos Windows Server 2012 R2
Configuración Script Usuarios Masivos Windows Server 2012 R2cyberleon95
 

Más de cyberleon95 (10)

Configuración DHCP - NAT
Configuración DHCP - NATConfiguración DHCP - NAT
Configuración DHCP - NAT
 
Trabajo IOS de CISCO
Trabajo IOS de CISCOTrabajo IOS de CISCO
Trabajo IOS de CISCO
 
Herramientas Administrativas de Red
Herramientas Administrativas de RedHerramientas Administrativas de Red
Herramientas Administrativas de Red
 
Correo Red Hat Enterprise Linux 6.2
Correo Red Hat Enterprise Linux 6.2Correo Red Hat Enterprise Linux 6.2
Correo Red Hat Enterprise Linux 6.2
 
Sendero del Hacker
Sendero del HackerSendero del Hacker
Sendero del Hacker
 
OPENLDAP Red Hat Enterprise Linux 6.2
OPENLDAP Red Hat Enterprise Linux 6.2OPENLDAP Red Hat Enterprise Linux 6.2
OPENLDAP Red Hat Enterprise Linux 6.2
 
Gestión del Talento Humano
Gestión del Talento HumanoGestión del Talento Humano
Gestión del Talento Humano
 
Contratación de Tecnología para Call Center
Contratación de Tecnología para Call CenterContratación de Tecnología para Call Center
Contratación de Tecnología para Call Center
 
Actividad ITIL
Actividad ITIL Actividad ITIL
Actividad ITIL
 
Configuración Script Usuarios Masivos Windows Server 2012 R2
Configuración Script Usuarios Masivos Windows Server 2012 R2Configuración Script Usuarios Masivos Windows Server 2012 R2
Configuración Script Usuarios Masivos Windows Server 2012 R2
 

Último

INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
CrystalRomero18
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
raquelariza02
 
Diagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestreDiagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestre
rafaelsalazar0615
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
thomasdcroz38
 
Robótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptxRobótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptx
44652726
 
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
marianabz2403
 
Diagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdfDiagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdf
ManuelCampos464987
 
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
IsabellaRubio6
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
vazquezgarciajesusma
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
zoecaicedosalazar
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
DanielErazoMedina
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
cdraco
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
cj3806354
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
cofferub
 
Estructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docxEstructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docx
SamuelRamirez83524
 
Alan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentaciónAlan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentación
JuanPrez962115
 
biogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectosbiogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectos
Luis Enrique Zafra Haro
 
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
AlejandraCasallas7
 
EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
PABLOCESARGARZONBENI
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
JulyMuoz18
 

Último (20)

INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
 
Diagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestreDiagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestre
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
 
Robótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptxRobótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptx
 
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
 
Diagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdfDiagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdf
 
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
 
Estructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docxEstructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docx
 
Alan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentaciónAlan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentación
 
biogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectosbiogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectos
 
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
 
EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
 

Documentación ACL - Firewall ASA

  • 1. Configuración y Documentación de ACL y Firewall ASA GESTIÓN DE REDES DE DATOS SERVICIO NACIONAL DE APRENDIZAJE DIEGO LEON GIL BARRIENTOS GELIER ESTEBAN MORENO GÓMEZ Ficha: 464327
  • 2. 1 Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido. Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir “tráfico interesante” (tráfico suficientemente importante como para activar o mantener una conexión) en ISDN. Las listas de acceso funcionan de acuerdo a sentencias que son configuradas en el router.
  • 3. 2 En redes de computadoras, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en una terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tantos servidores individuales como routers pueden tener ACLs de redes. Las listas de acceso de control pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a unos cortafuegos. Existen dos tipos de ACL:  ACL estándar, donde solo tenemos que especificar una dirección de origen;  ACL extendida, en cuya sintaxis aparece el protocolo y una dirección de origen y de destino.  Las Acl por defecto bloquean todo el tráfico con una linea que se conoce como linea implícita.  Las sentencias se ejecutan línea a línea hasta que se encuentra una coincidencia.  Cuando una linea hace match el resto de las sentencias no se revisan.  Solo se puede aplicar 1 acl por interfaz y por protocolo.  Hay que considerar el flujo del tráfico para aplicar la acl en la interfaz correspondiente.
  • 4. 3 ACTIVIDAD ACL Tenemos la siguiente topología: Debemos cumplir los siguientes propósitos:  Las redes inalámbricas solo deben tener acceso a internet, no a las demás redes.  Las redes cableadas solo deben tener acceso al servidor 172.16.9.2, no a las demás máquinas de ese segmento. Lo primero que hicimos en la topología fue realizar un correcto enrutamiento en general de los dispositivos para probar conectividad y eficacia de la topología. NOTA: Primero hacer el debido enrutamiento sin aplicar ACLs, por que podríamos tener problemas de conectividad y nos podríamos confundir si es la ACL que se está aplicando o problemas generales de la topología. La lista que aplicamos para que las redes inalámbricas del lado izquierdo no tengan acceso a las demás redes, pero sí a internet fue:
  • 5. 4 En el siguiente requerimiento de este lado:  Las redes inalámbricas solo deben tener acceso a internet, no a las demás redes.  Las redes cableadas solo deben tener acceso al servidor 172.16.9.2, no a las demás máquinas de ese segmento.
  • 6. 5 En la lista de acceso la diseñamos desconociendo que podíamos tener dos listas de acceso, por lo tanto diseñamos una sola para que cumpliéramos los parámetros aplicando la ACL en una sola interfaz de trafico INSIDE. Cumplimos con los parámetros pero si notamos bien la ACL estamos permitiendo el tráfico origen desde el servidor en específico, hacia las demás redes por lo tanto analizando; el tráfico desde las redes remotas si permite entrar al servidor pero la ACL no permite que vaya a algunas redes, inalámbricas por ejemplo. Las running-config de los routers son las siguientes:
  • 7. 6 Router 0 version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router0 ! boot-start-marker boot-end-marker ! logging message-counter syslog enable secret 5 $1$boin$EYAhWq60EmH/0IdqmmFN9. ! no aaa new-model memory-size iomem 5 ! dot11 syslog ip source-route ! ! ip cef ! ! no ipv6 cef ! multilink bundle-name authenticated ! voice-card 0 ! archive log config hidekeys ! ! interface FastEthernet0/0 ip address 172.16.0.1 255.255.255.0 ip access-group 101 in duplex auto speed auto ! interface FastEthernet0/1 ip address 172.16.1.129 255.255.255.128 duplex auto speed auto
  • 8. 7 ! interface Serial0/0/0 ip address 172.16.2.1 255.255.255.0 clock rate 64000 ! interface Serial0/0/1 no ip address shutdown clock rate 125000 ! interface Serial0/2/0 no ip address shutdown clock rate 2000000 ! interface Serial0/2/1 no ip address shutdown clock rate 2000000 ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 172.16.2.2 ip route 172.16.8.0 255.255.255.0 172.16.2.2 ip route 192.168.10.0 255.255.255.0 172.16.2.2 no ip http server no ip http secure-server ! access-list 101 deny ip host 172.16.0.5 172.16.4.0 0.0.1.255 access-list 101 deny ip host 172.16.0.5 172.16.8.0 0.0.0.255 access-list 101 deny ip host 172.16.0.5 172.16.9.0 0.0.0.255 access-list 101 deny ip host 172.16.0.5 172.16.1.128 0.0.0.127 access-list 101 deny ip host 172.16.0.5 172.16.0.0 0.0.0.255 access-list 101 permit ip 172.16.0.0 0.0.0.255 any ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! scheduler allocate 20000 1000 end
  • 9. 8 Router 4 version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname router4 ! boot-start-marker boot-end-marker ! logging message-counter syslog enable secret 5 $1$zisT$0aGPV.UGpI7.aMt2F8Y3T0 ! no aaa new-model ! dot11 syslog ip source-route ! ! ip cef ! ! no ipv6 cef ! multilink bundle-name authenticated ! ! voice-card 0 ! archive log config hidekeys ! interface Loopback1 ip address 200.200.200.200 255.255.255.0 ! interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.4 encapsulation dot1Q 4 ip address 172.16.4.1 255.255.254.0 !
  • 10. 9 interface FastEthernet0/0.8 encapsulation dot1Q 8 ip address 172.16.8.1 255.255.255.0 ! interface FastEthernet0/1 ip address 172.16.9.1 255.255.255.0 ip access-group 101 in duplex auto speed auto ! interface Serial0/0/0 ip address 172.16.2.2 255.255.255.0 ! interface Serial0/0/1 no ip address shutdown clock rate 125000 ! ip forward-protocol nd ip route 172.16.0.0 255.255.255.0 172.16.2.1 ip route 172.16.1.128 255.255.255.128 172.16.2.1 no ip http server no ip http secure-server ! access-list 101 permit ip host 172.16.9.2 172.16.4.0 0.0.1.255 access-list 101 permit ip host 172.16.9.2 172.16.8.0 0.0.0.255 access-list 101 permit ip host 172.16.9.2 172.16.1.128 0.0.0.127 access-list 101 permit ip host 172.16.9.2 172.16.0.0 0.0.0.255 access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.4.0 0.0.1.255 access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.8.0 0.0.0.255 access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.1.128 0.0.0.127 access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.0.0 0.0.0.255 access-list 101 permit ip 172.16.9.0 0.0.0.255 any ! ! control-plane ! line con 0 line aux 0 line vty 0 4 login ! scheduler allocate 20000 1000 end
  • 11. 10 Para la lista de acceso correcta para el Router 4 es así, aplicando 2 listas de acceso. Router 4 # ethernet 101 out access-list 101 permit ip 172.16.4.0 0.0.3.255 host 172.16.9.2 access-list 101 permit ip 172.16.8.0 0.0.0.255 host 172.16.9.2 access-list 101 permit ip 172.16.1.128 0.0.0.127 host 172.16.9.2 access-list 101 permit ip 172.16.0.0 0.0.0.255 host 172.16.9.2 Router 4 # ethernet 102 in access-list 102 permit ip host 172.16.9.2 any access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.4.0 0.0.3.255 access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.8.0 0.0.0.255 access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.1.128 0.0.0.127 access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.0.0 0.0.0.255 access-list 102 permit ip 172.16.9.0 0.0.0.255 any Configuración y Documentación Firewall ASA La topología planteada es la siguiente:
  • 12. 11 Según los requerimientos pedidos por nuestra instructora correspondiente al 6 trimestre, nos vale como actividad de Firewall ASA la actividad planteada para el concurso SENASOFT, los requerimientos son los siguientes:
  • 13. 12 Las configuraciones fueron las siguientes, en el caso de los routers: Router PROMETEO ! Last configuration change at 16:01:05 UTC Wed Aug 20 2014 version 15.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname PROMETEO ! boot-start-marker boot-end-marker ! aqm-register-fnf ! ! no aaa new-model ! ip cef no ipv6 cef ! multilink bundle-name authenticated ! voice-card 0 ! license udi pid CISCO2901/K9 sn FTX155183CS license accept end user agreement license boot module c2900 technology-package securityk9 license boot module c2900 technology-package uck9 license boot module c2900 technology-package datak9 redundancy !
  • 14. 13 interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ip address 10.0.0.2 255.0.0.0 duplex auto speed auto ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ! interface GigabitEthernet0/1.1 encapsulation dot1Q 2 ip address 192.168.10.1 255.255.255.248 ip helper-address 192.168.10.26 ! interface GigabitEthernet0/1.2 encapsulation dot1Q 8 ip address 192.168.10.9 255.255.255.248 ip helper-address 192.168.10.26 ! interface GigabitEthernet0/1.3 encapsulation dot1Q 16 ip address 192.168.10.17 255.255.255.248 ip helper-address 192.168.10.26 ! interface GigabitEthernet0/1.4 encapsulation dot1Q 24 ip address 192.168.10.25 255.255.255.248 ip helper-address 192.168.10.26 ! interface GigabitEthernet0/1.5 encapsulation dot1Q 5 ip address 192.168.20.1 255.255.255.248 ip helper-address 192.168.10.26 ! interface GigabitEthernet0/1.6 encapsulation dot1Q 6 ip address 192.168.20.9 255.255.255.248 ip helper-address 192.168.10.26 !
  • 15. 14 interface GigabitEthernet0/1.7 encapsulation dot1Q 7 ip address 192.168.20.17 255.255.255.248 ip helper-address 192.168.10.26 ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown clock rate 2000000 ! ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 10.0.0.1 ! control-plane ! ! mgcp behavior rsip-range tgcp-only mgcp behavior comedia-role none mgcp behavior comedia-check-media-src disable mgcp behavior comedia-sdp-force disable ! mgcp profile default ! gatekeeper shutdown ! line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1
  • 16. 15 line vty 0 4 login transport input all ! scheduler allocate 20000 1000 ! end Router ATLAS Building configuration... Current configuration : 1630 bytes ! ! Last configuration change at 15:32:27 UTC Wed Aug 20 2014 version 15.1 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname ATLAS ! boot-start-marker boot-end-marker ! no aaa new-model ! no ipv6 cef ip source-route ip cef ! multilink bundle-name authenticated ! crypto pki token default removal timeout 0 ! ! voice-card 0 ! license udi pid CISCO2901/K9 sn FTX155183DR license accept end user agreement license boot module c2900 technology-package securityk9 license boot module c2900 technology-package uck9 license boot module c2900 technology-package datak9 ! !
  • 17. 16 username cisco privilege 15 secret 5 $1$uEPV$m2c2Y6nAfqpn5QWx2BgMJ. ! redundancy ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ip address 30.0.0.2 255.0.0.0 duplex auto speed auto ! interface GigabitEthernet0/1 ip address 40.0.0.1 255.0.0.0 duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown clock rate 2000000 ! ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 30.0.0.1 ! control-plane ! ! mgcp profile default ! gatekeeper shutdown
  • 18. 17 line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 exec-timeout 5 0 login transport input ssh ! scheduler allocate 20000 1000 end SWITCH DE LAS VLANs LOCALES Current configuration : 4102 bytes ! version 12.2 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname SWITCH_SENASOFT ! boot-start-marker boot-end-marker ! ! no aaa new-model system mtu routing 1500 ip subnet-zero ! crypto pki trustpoint TP-self-signed-2674122752 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-2674122752 revocation-check none rsakeypair TP-self-signed-2674122752 ! spanning-tree mode pvst spanning-tree extend system-id !
  • 19. 18 vlan internal allocation policy ascending ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/2 ! interface FastEthernet0/3 switchport access vlan 2 switchport mode access ! interface FastEthernet0/4 switchport access vlan 2 switchport mode access ! interface FastEthernet0/5 switchport access vlan 2 switchport mode access ! interface FastEthernet0/6 switchport access vlan 2 switchport mode access ! interface FastEthernet0/7 switchport access vlan 8 switchport mode access ! interface FastEthernet0/8 switchport access vlan 8 switchport mode access ! interface FastEthernet0/9 switchport access vlan 8 switchport mode access ! interface FastEthernet0/10 switchport access vlan 8 switchport mode access ! interface FastEthernet0/11 switchport access vlan 16 switchport mode access ! interface FastEthernet0/12 switchport access vlan 16 switchport mode access !
  • 20. 19 interface FastEthernet0/13 switchport access vlan 16 switchport mode access ! interface FastEthernet0/14 switchport access vlan 16 switchport mode access ! interface FastEthernet0/15 switchport access vlan 24 switchport mode access ! interface FastEthernet0/16 switchport access vlan 24 switchport mode access ! interface FastEthernet0/17 switchport access vlan 24 switchport mode access ! interface FastEthernet0/18 switchport access vlan 24 switchport mode access ! interface FastEthernet0/19 switchport access vlan 5 switchport mode access ! interface FastEthernet0/20 switchport access vlan 5 switchport mode access ! interface FastEthernet0/21 switchport access vlan 6 switchport mode access ! interface FastEthernet0/22 switchport access vlan 6 switchport mode access ! interface FastEthernet0/23 switchport access vlan 7 switchport mode access ! interface FastEthernet0/24 switchport access vlan 7 switchport mode access
  • 21. 20 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address no ip route-cache shutdown ! ip http server ip http secure-server ! control-plane ! ! line con 0 line vty 0 4 login line vty 5 15 login ! End FIREWALL ASA ASA Version 9.1(3) ! hostname FIREWALL enable password 8Ry2YjIyt7RRXU24 encrypted xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp any4 any6 eq domain xlate per-session deny udp any6 any4 eq domain xlate per-session deny udp any6 any6 eq domain names ! interface Ethernet0/0 nameif inside security-level 100 ip address 10.0.0.1 255.0.0.0 !
  • 22. 21 interface Ethernet0/1 nameif DMZ security-level 50 ip address 20.0.0.1 255.0.0.0 ! interface Ethernet0/2 nameif outside security-level 0 ip address 30.0.0.1 255.0.0.0 ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address ! ftp mode passive object network dmz-internet subnet 20.0.0.0 255.0.0.0 object network inside-internet subnet 0.0.0.0 0.0.0.0 object network webserver-external-ip host 30.0.0.4 object network webserver host 20.0.0.2 access-list outside_acl extended permit tcp any object webserver eq www pager lines 24 mtu inside 1500 mtu DMZ 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 no arp permit-nonconnected nat (inside,outside) source dynamic inside-internet interface nat (DMZ,outside) source dynamic dmz-internet interface ! object network webserver nat (DMZ,outside) static webserver-external-ip service tcp www www access-group outside_acl in interface outside
  • 23. 22 route outside 0.0.0.0 0.0.0.0 30.0.0.2 1 route inside 192.168.10.0 255.255.255.248 10.0.0.2 1 route inside 192.168.10.8 255.255.255.248 10.0.0.2 1 route inside 192.168.10.16 255.255.255.248 10.0.0.2 1 route inside 192.168.10.24 255.255.255.248 10.0.0.2 1 route inside 192.168.20.0 255.255.255.248 10.0.0.2 1 route inside 192.168.20.8 255.255.255.248 10.0.0.2 1 route inside 192.168.20.16 255.255.255.248 10.0.0.2 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy user-identity default-domain LOCAL no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart crypto ipsec security-association pmtu-aging infinite crypto ca trustpool policy telnet timeout 5 ssh timeout 5 ssh key-exchange group dh-group1-sha1 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ! class-map inspection_default match default-inspection-traffic ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512
  • 24. 23 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect ip-options inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect icmp inspect icmp error ! service-policy global_policy global prompt hostname context no call-home reporting anonymous call-home profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/service/oddce/services/De destination address email callhome@cisco.com destination address http https://tools.cisco.com/its/service/oddce/servicese destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly subscribe-to-alert-group configuration periodic monthly subscribe-to-alert-group telemetry periodic daily Cryptochecksum:00fa3483af8f26e1d526ed07e09d2127 : end
  • 25. 24 Resumen Configuración Firewall ASA Interfaces INSIDE, DMZ Y OUTSIDE interface Ethernet0/0 nameif inside security-level 100 ip address 10.0.0.1 255.0.0.0 ! interface Ethernet0/1 nameif DMZ security-level 50 ip address 20.0.0.1 255.0.0.0 ! interface Ethernet0/2 nameif outside security-level 0 ip address 30.0.0.1 255.0.0.0 Creación de Objetos object network dmz-internet subnet 20.0.0.0 255.0.0.0 object network inside-internet subnet 0.0.0.0 0.0.0.0 object network webserver-external-ip host 30.0.0.4 object network webserver host 20.0.0.2 Lista de acceso permitiendo trafico web access-list outside_acl extended permit tcp any object webserver eq www Configuración de NAT en Firewall nat (inside,outside) source dynamic inside-internet interface nat (DMZ,outside) source dynamic dmz-internet interface object network webserver nat (DMZ,outside) static webserver-external-ip service tcp www www
  • 26. 25 Aplicación de ACL access-group outside_acl in interface outside Enrutamiento en el Firewall route outside 0.0.0.0 0.0.0.0 30.0.0.2 1 route inside 192.168.10.0 255.255.255.248 10.0.0.2 1 route inside 192.168.10.8 255.255.255.248 10.0.0.2 1 route inside 192.168.10.16 255.255.255.248 10.0.0.2 1 route inside 192.168.10.24 255.255.255.248 10.0.0.2 1 route inside 192.168.20.0 255.255.255.248 10.0.0.2 1 route inside 192.168.20.8 255.255.255.248 10.0.0.2 1 route inside 192.168.20.16 255.255.255.248 10.0.0.2 1 Políticas de Acceso policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect ip-options inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect icmp inspect icmp error
  • 27. 26 Permitir Tráficos mediante ACL en la VlAN´s access-list 101 permit udp any any eq bootps access-list 101 permit udp 192.168.10.0 0.0.0.7 192.168.10.24 0.0.0.7 eq domain access-list 101 permit ip 192.168.10.0 0.0.0.7 192.168.10.24 0.0.0.7 access-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq www access-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq smtp access-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq 143 access-list 102 permit udp any any eq bootps access-list 102 permit udp 192.168.20.8 0.0.0.7 192.168.10.24 0.0.0.7 eq domain access-list 102 permit ip 192.168.20.8 0.0.0.7 192.168.10.24 0.0.0.7 access-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq www access-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq smtp access-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq 143 Asignación de listas de acceso int g0/1.1 ip access-group 101 in exit int g0/1.4 ip access-group 101 out exit int g0/1.6 ip access-group 101 in exit Mediante la lista de acceso mostrada y planteada anteriormente se está diciendo que cualquier red puede solicitar mediante trafico UDP una dirección por DHCP. También permitimos desde las diversas subredes el trafico al servidor local que provee DNS y DHCP pueda resolver nombres de dominio localmente. Por ultimo les permitimos a nuestras a subredes el acceso al servidor de la DMZ, el tráfico WEB y el tráfico necesario para que el servicio de correo sea funcional n este caso el protocolo SMTP y el puerto 143 correspondiente al IMAP, que es el protocolo entrante a los diversos clientes. Esta lista de acceso con el fin de cumplir el requerimiento de que la S1 y S6 (Subred) solo tengan acceso a los servicios locales y la DMZ sin tener acceso a internet.
  • 28. 27 WEBGRAFIA http://www.redescisco.net/v2/art/como-configurar-un-firewall-asa-8-4-en-gns3/ http://es.slideshare.net/websyo/practica-con-firewall-asa-14114092 http://aprenderedes.com/2012/12/configuracion-de-asdm-en-cisco-asa-con-gns3/ http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next- generation-firewalls/115904-asa-config-dmz-00.html http://www.cisco.com/cisco/web/support/LA/111/1118/1118174_asa-config-dmz- 00.html