Documentación ACL - Firewall ASA

Configuración y Documentación de ACL y Firewall ASA
GESTIÓN DE REDES DE DATOS
SERVICIO NACIONAL DE APRENDIZAJE
DIEGO LEON GIL BARRIENTOS
GELIER ESTEBAN MORENO GÓMEZ
Ficha: 464327

1
Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.
Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir “tráfico interesante” (tráfico suficientemente importante como para activar o mantener una conexión) en ISDN.
Las listas de acceso funcionan de acuerdo a sentencias que son configuradas en el router.

2 En redes de computadoras, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en una terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tantos servidores individuales como routers pueden tener ACLs de redes.
Las listas de acceso de control pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a unos cortafuegos.
Existen dos tipos de ACL:
 ACL estándar, donde solo tenemos que especificar una dirección de origen;
 ACL extendida, en cuya sintaxis aparece el protocolo y una dirección de origen y de destino.
 Las Acl por defecto bloquean todo el tráfico con una linea que se conoce como linea implícita.  Las sentencias se ejecutan línea a línea hasta que se encuentra una coincidencia.  Cuando una linea hace match el resto de las sentencias no se revisan.  Solo se puede aplicar 1 acl por interfaz y por protocolo.  Hay que considerar el flujo del tráfico para aplicar la acl en la interfaz correspondiente.

3
ACTIVIDAD ACL
Tenemos la siguiente topología:
Debemos cumplir los siguientes propósitos:
 Las redes inalámbricas solo deben tener acceso a internet, no a las demás redes.
 Las redes cableadas solo deben tener acceso al servidor 172.16.9.2, no a las demás máquinas de ese segmento.
Lo primero que hicimos en la topología fue realizar un correcto enrutamiento en general de los dispositivos para probar conectividad y eficacia de la topología.
NOTA: Primero hacer el debido enrutamiento sin aplicar ACLs, por que podríamos tener problemas de conectividad y nos podríamos confundir si es la ACL que se está aplicando o problemas generales de la topología.
La lista que aplicamos para que las redes inalámbricas del lado izquierdo no tengan acceso a las demás redes, pero sí a internet fue:

4
En el siguiente requerimiento de este lado:
 Las redes inalámbricas solo deben tener acceso a internet, no a las demás redes.
 Las redes cableadas solo deben tener acceso al servidor 172.16.9.2, no a las demás máquinas de ese segmento.

5
En la lista de acceso la diseñamos desconociendo que podíamos tener dos listas de acceso, por lo tanto diseñamos una sola para que cumpliéramos los parámetros aplicando la ACL en una sola interfaz de trafico INSIDE.
Cumplimos con los parámetros pero si notamos bien la ACL estamos permitiendo el tráfico origen desde el servidor en específico, hacia las demás redes por lo tanto analizando; el tráfico desde las redes remotas si permite entrar al servidor pero la ACL no permite que vaya a algunas redes, inalámbricas por ejemplo.
Las running-config de los routers son las siguientes:

6
Router 0
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router0
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 $1$boin$EYAhWq60EmH/0IdqmmFN9.
!
no aaa new-model
memory-size iomem 5
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
no ipv6 cef
!
multilink bundle-name authenticated
!
voice-card 0
!
archive
log config
hidekeys
!
!
interface FastEthernet0/0
ip address 172.16.0.1 255.255.255.0
ip access-group 101 in
duplex auto
speed auto
!
ip address 172.16.1.129 255.255.255.128
duplex auto
speed auto

7
!
interface Serial0/0/0
ip address 172.16.2.1 255.255.255.0
clock rate 64000
!
no ip address
shutdown
clock rate 125000
!
no ip address
shutdown
clock rate 2000000
!
no ip address
shutdown
clock rate 2000000
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 172.16.2.2
ip route 172.16.8.0 255.255.255.0 172.16.2.2
ip route 192.168.10.0 255.255.255.0 172.16.2.2
no ip http server
no ip http secure-server
!
access-list 101 deny ip host 172.16.0.5 172.16.4.0 0.0.1.255
access-list 101 permit ip 172.16.0.0 0.0.0.255 any
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
!
scheduler allocate 20000 1000
end

8
Router 4
version 12.4
!
hostname router4
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 $1$zisT$0aGPV.UGpI7.aMt2F8Y3T0
!
no aaa new-model
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
no ipv6 cef
!
!
!
voice-card 0
!
archive
log config
hidekeys
!
interface Loopback1
ip address 200.200.200.200 255.255.255.0
!
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.4
encapsulation dot1Q 4
ip address 172.16.4.1 255.255.254.0
!

9
interface FastEthernet0/0.8
ip address 172.16.8.1 255.255.255.0
!
ip address 172.16.9.1 255.255.255.0
duplex auto
speed auto
!
ip address 172.16.2.2 255.255.255.0
!
no ip address
shutdown
clock rate 125000
!
ip route 172.16.0.0 255.255.255.0 172.16.2.1
ip route 172.16.1.128 255.255.255.128 172.16.2.1
no ip http server
!
access-list 101 permit ip host 172.16.9.2 172.16.4.0 0.0.1.255
access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.4.0 0.0.1.255
!
!
control-plane
!
line con 0
line aux 0
line vty 0 4
login
!
end

10
Para la lista de acceso correcta para el Router 4 es así, aplicando 2 listas de acceso.
Router 4 # ethernet 101 out
access-list 101 permit ip 172.16.4.0 0.0.3.255 host 172.16.9.2
Router 4 # ethernet 102 in
access-list 102 permit ip host 172.16.9.2 any
Configuración y Documentación Firewall ASA
La topología planteada es la siguiente:

11
Según los requerimientos pedidos por nuestra instructora correspondiente al 6 trimestre, nos vale como actividad de Firewall ASA la actividad planteada para el concurso SENASOFT, los requerimientos son los siguientes:

12
Las configuraciones fueron las siguientes, en el caso de los routers:
Router PROMETEO
! Last configuration change at 16:01:05 UTC Wed Aug 20 2014
version 15.3
!
hostname PROMETEO
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
!
no aaa new-model
!
ip cef
no ipv6 cef
!
!
voice-card 0
!
license udi pid CISCO2901/K9 sn FTX155183CS
license accept end user agreement
license boot module c2900 technology-package securityk9
license boot module c2900 technology-package uck9
license boot module c2900 technology-package datak9
redundancy
!

13
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 10.0.0.2 255.0.0.0
duplex auto
speed auto
!
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.1
ip address 192.168.10.1 255.255.255.248
ip helper-address 192.168.10.26
!
ip address 192.168.10.9 255.255.255.248
!
ip address 192.168.10.17 255.255.255.248
!
ip address 192.168.10.25 255.255.255.248
!
ip address 192.168.20.1 255.255.255.248
!
ip address 192.168.20.9 255.255.255.248
!

14
ip address 192.168.20.17 255.255.255.248
!
no ip address
shutdown
clock rate 2000000
!
no ip address
shutdown
clock rate 2000000
!
!
!
no ip http server
!
ip route 0.0.0.0 0.0.0.0 10.0.0.1
!
control-plane
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
gatekeeper
shutdown
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1

15
line vty 0 4
login
transport input all
!
!
end
Router ATLAS
Building configuration...
Current configuration : 1630 bytes
!
! Last configuration change at 15:32:27 UTC Wed Aug 20 2014
version 15.1
!
hostname ATLAS
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
no ipv6 cef
ip source-route
ip cef
!
!
crypto pki token default removal timeout 0
!
!
voice-card 0
!
license udi pid CISCO2901/K9 sn FTX155183DR
license accept end user agreement
license boot module c2900 technology-package securityk9
license boot module c2900 technology-package uck9
license boot module c2900 technology-package datak9
!
!

16
username cisco privilege 15 secret 5 $1$uEPV$m2c2Y6nAfqpn5QWx2BgMJ.
!
redundancy
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
ip address 30.0.0.2 255.0.0.0
duplex auto
speed auto
!
ip address 40.0.0.1 255.0.0.0
duplex auto
speed auto
!
no ip address
shutdown
clock rate 2000000
!
no ip address
shutdown
clock rate 2000000
!
!
!
no ip http server
!
ip route 0.0.0.0 0.0.0.0 30.0.0.1
!
control-plane
!
!
mgcp profile default
!
gatekeeper
shutdown

17
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
exec-timeout 5 0
login
transport input ssh
!
end
SWITCH DE LAS VLANs LOCALES
Current configuration : 4102 bytes
!
version 12.2
no service pad
!
hostname SWITCH_SENASOFT
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
system mtu routing 1500
ip subnet-zero
!
crypto pki trustpoint TP-self-signed-2674122752
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2674122752
revocation-check none
rsakeypair TP-self-signed-2674122752
!
spanning-tree mode pvst
spanning-tree extend system-id
!

18
vlan internal allocation policy ascending
!
switchport mode trunk
!
!
switchport access vlan 2
switchport mode access
!
!
!
!
!
!
!
!
!
!

19
!
!
!
!
!
!
!
!
!
!
!

20
!
!
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
ip http server
ip http secure-server
!
control-plane
!
!
line con 0
line vty 0 4
login
line vty 5 15
login
!
End
FIREWALL ASA
ASA Version 9.1(3)
!
hostname FIREWALL
enable password 8Ry2YjIyt7RRXU24 encrypted
xlate per-session deny tcp any4 any4
xlate per-session deny udp any4 any4 eq domain
names
!
interface Ethernet0/0
nameif inside
security-level 100
ip address 10.0.0.1 255.0.0.0
!

21
nameif DMZ
security-level 50
ip address 20.0.0.1 255.0.0.0
!
nameif outside
security-level 0
ip address 30.0.0.1 255.0.0.0
!
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
object network dmz-internet
subnet 20.0.0.0 255.0.0.0
object network inside-internet
subnet 0.0.0.0 0.0.0.0
object network webserver-external-ip
host 30.0.0.4
object network webserver
host 20.0.0.2
access-list outside_acl extended permit tcp any object webserver eq www
pager lines 24
mtu inside 1500
mtu DMZ 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside,outside) source dynamic inside-internet interface
nat (DMZ,outside) source dynamic dmz-internet interface
!
nat (DMZ,outside) static webserver-external-ip service tcp www www
access-group outside_acl in interface outside

22
route outside 0.0.0.0 0.0.0.0 30.0.0.2 1
route inside 192.168.10.0 255.255.255.248 10.0.0.2 1
route inside 192.168.10.8 255.255.255.248 10.0.0.2 1
route inside 192.168.10.16 255.255.255.248 10.0.0.2 1
route inside 192.168.10.24 255.255.255.248 10.0.0.2 1
route inside 192.168.20.0 255.255.255.248 10.0.0.2 1
route inside 192.168.20.8 255.255.255.248 10.0.0.2 1
route inside 192.168.20.16 255.255.255.248 10.0.0.2 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 5
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512

23
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
inspect icmp error
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/De
destination address email callhome@cisco.com
destination address http https://tools.cisco.com/its/service/oddce/servicese
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:00fa3483af8f26e1d526ed07e09d2127
: end

24
Resumen Configuración Firewall ASA
Interfaces INSIDE, DMZ Y OUTSIDE
nameif inside
security-level 100
ip address 10.0.0.1 255.0.0.0
!
nameif DMZ
security-level 50
ip address 20.0.0.1 255.0.0.0
!
nameif outside
security-level 0
ip address 30.0.0.1 255.0.0.0
Creación de Objetos
object network dmz-internet
subnet 20.0.0.0 255.0.0.0
object network inside-internet
subnet 0.0.0.0 0.0.0.0
object network webserver-external-ip
host 30.0.0.4
host 20.0.0.2
Lista de acceso permitiendo trafico web
access-list outside_acl extended permit tcp any object webserver eq www
Configuración de NAT en Firewall
nat (inside,outside) source dynamic inside-internet interface
nat (DMZ,outside) source dynamic dmz-internet interface
nat (DMZ,outside) static webserver-external-ip service tcp www www

25
Aplicación de ACL
access-group outside_acl in interface outside
Enrutamiento en el Firewall
route outside 0.0.0.0 0.0.0.0 30.0.0.2 1
route inside 192.168.10.0 255.255.255.248 10.0.0.2 1
route inside 192.168.10.8 255.255.255.248 10.0.0.2 1
route inside 192.168.10.16 255.255.255.248 10.0.0.2 1
route inside 192.168.10.24 255.255.255.248 10.0.0.2 1
route inside 192.168.20.0 255.255.255.248 10.0.0.2 1
route inside 192.168.20.8 255.255.255.248 10.0.0.2 1
route inside 192.168.20.16 255.255.255.248 10.0.0.2 1
Políticas de Acceso
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
inspect icmp error

26
Permitir Tráficos mediante ACL en la VlAN´s
access-list 101 permit udp any any eq bootps
access-list 101 permit udp 192.168.10.0 0.0.0.7 192.168.10.24 0.0.0.7 eq domain
access-list 101 permit ip 192.168.10.0 0.0.0.7 192.168.10.24 0.0.0.7
access-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq www
access-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq smtp
access-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq 143
access-list 102 permit udp any any eq bootps
access-list 102 permit udp 192.168.20.8 0.0.0.7 192.168.10.24 0.0.0.7 eq domain
access-list 102 permit ip 192.168.20.8 0.0.0.7 192.168.10.24 0.0.0.7
access-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq www
access-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq smtp
access-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq 143
Asignación de listas de acceso
int g0/1.1
exit
int g0/1.4
ip access-group 101 out
exit
int g0/1.6
exit
Mediante la lista de acceso mostrada y planteada anteriormente se está diciendo que cualquier red puede solicitar mediante trafico UDP una dirección por DHCP.
También permitimos desde las diversas subredes el trafico al servidor local que provee DNS y DHCP pueda resolver nombres de dominio localmente.
Por ultimo les permitimos a nuestras a subredes el acceso al servidor de la DMZ, el tráfico WEB y el tráfico necesario para que el servicio de correo sea funcional n este caso el protocolo SMTP y el puerto 143 correspondiente al IMAP, que es el protocolo entrante a los diversos clientes.
Esta lista de acceso con el fin de cumplir el requerimiento de que la S1 y S6 (Subred) solo tengan acceso a los servicios locales y la DMZ sin tener acceso a internet.

27
WEBGRAFIA
http://www.redescisco.net/v2/art/como-configurar-un-firewall-asa-8-4-en-gns3/
http://es.slideshare.net/websyo/practica-con-firewall-asa-14114092
http://aprenderedes.com/2012/12/configuracion-de-asdm-en-cisco-asa-con-gns3/
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next- generation-firewalls/115904-asa-config-dmz-00.html
http://www.cisco.com/cisco/web/support/LA/111/1118/1118174_asa-config-dmz- 00.html

Documentación ACL - Firewall ASA

Más contenido relacionado

Destacado

Similar a Documentación ACL - Firewall ASA

Más de cyberleon95

Último

Documentación ACL - Firewall ASA