Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Iniciar una conversación
8066
Visitas
122
ÚTIL
33
Respuestas

Implementación y Troubleshooting en ASA (Adaptive Security Appliance) - Pregunte al experto

Cisco Moderador
Community Manager
Community Manager

‎08-11-2016 11:21 AM - editado ‎03-21-2019 06:22 PM

Botón para participar

Aclare todas sus dudas acerca de cómo solucionar problemas y de cómo implementar los equipos de seguridad ASA. La familia de productos Cisco Asa (Adaptive Security Appliance)  protegen redes corporativas y centros de datos de todos los tamaños; entregan capacidades de Firewall de alto desempeño, cifrado y protección contra ataques. En esta sesión usted podrá aprender cómo proveer a los usuarios un acceso rápido y seguro tanto a los datos como a los recursos de una red, donde sea, cuando sea y en cualquier dispositivo.  

Haga sus preguntas del 29 de Agosto al 16 de Septiembre del 2016.



Detalles del especialista 


David Roman es un ingeniero de soporte del grupo de Firewall, colabora desde hace 3 años en este grupo del TAC GTC. Ha trabajado con diferentes tecnologías de seguridad como el ASA, FirePOWER, CX, IOS e IOS-XE Zone Based Firewall y Cisco Security Manager. Previo a Cisco ha trabajado en Nortel, Avaya y Oracle en puestos de Soporte, Administración de Redes y Seguridad. David es egresado de la carrea de Tecnologías de la Información y Comunicación de la Universidad Tecnológica de Nezahualcóyotl. Cuenta con el Cisco CCNA y actualmente se prepara para el CCIE en Seguridad.

David puede no ser capaz de responder a todas las preguntas, debido al volumen esperado durante este evento. Recuerde que también puede hacer sus preguntas en nuestra sub-comunidad de Seguridad https://supportforums.cisco.com/es/community/5626/seguridad

 

** ¡Las calificaciones fomentan la participación! **
Por favor asegúrese de calificar special-programs.png las respuestas a sus preguntas.

Etiquetas:
0 Útil
33 RESPUESTAS 33

Federico Reyes
Level 1
Level 1

el ‎08-31-2016 11:35 AM

Hola 
No tengo mucha experiencia con productos de Cisco, actualmente estoy teniendo problemas con un ASA 5505 ¿Me podrían ayudar?
Necesito hacer una configuración muy muy básica, quiero abrir 2 o 3 
puertos (www, etc) y lograr que los host locales puedan acceder a internet. 


Estuve consultando en internet y con algo de experiencia que tengo 
con un PIX 501 realice una configuración, pero creo que tengo muchos errores aún. Todavía no he probado el equipo pero quiero consultar, por si las dudas

Adjunto la configuración:   
 
 
---------------------------------------------------- 


Los datos que tengo son los siguientes. 

IP PUBLICA: 190.21.29.69 /  255.255.255.252 
Puerta de enlace: 190.210.29.70 
IP FIREWALL (interna): 172.16.110.254/24 


# define direcciones IP 


ip address inside 172.16.110.254 255.255.255.0 

ip address outside 190.210.29.69 255.255.255.252 

interface ethernet0 auto 

interface ethernet1 100full 



# configura nateo para internet 

route outside 0 0 190.210.29.70 

nat (inside) 1 172.16.110.0 255.255.255.0 

global (outside) 1 190.210.29.69 


# Habilita http y FTP para host internos 

access-list salida extended permit tcp 172.16.110.0 255.255.255.0 any 
eq 80 

access-list salida extended permit tcp 172.16.110.0 255.255.255.0 any 
eq 20 

access-list salida extended permit tcp 172.16.110.0 255.255.255.0 any 
eq 21 



#aplica regla anterior 

access-group salida in interface inside 

#Habilita acceso desde afuera a puerto 80 y 135 (tcp y udp) 

access-list entrada extended permit tcp any host 190.210.29.69 eq 80 

access-list entrada extended permit tcp any host 190.210.29.69 eq 135 

access-list entrada extended permit udp any host 190.210.29.69 eq 135 



#aplica regla anterior 

access-group entrada in interface outside 


write memory 


Saludos y gracias! . 

0 Útil

David Roman
Cisco Employee
Cisco Employee
En respuesta a Federico Reyes

el ‎08-31-2016 01:40 PM

Hola Federico,

Por supuesto que le podemos ayudar. Desconozco que version tenga el ASA5505 en cuestion, pero generalmente, lo recomendado es tener el equipo en la ultima version.

Al momento de escribir esta respuesta, esa version es 9.2(4)14.

Menciono esto debido que a partir de la version 8.3, la sintaxis de algunos comandos cambio asi como el soporte de versiones previas a 8.3 es limitado.

Sin embargo, si el equipo ya se encuentra configurado y no se desea hacerle una actualizacion, pongo los comandos tanto de las versiones previas a 8.3 como esa y superiores.

En caso de que se desee hacer la actualizacion y se cumpla con el requisito de tener 512 MB de memoria RAM para instalarle las versiones 8.3 (se puede verificar con "show version | include RAM") entonces si es recomendado hacer la actualizacion. Este link contiene informacion muy valiosa sobre las actualizaciones (https://supportforums.cisco.com/document/48646/asa-83-upgrade-what-you-need-know).

Ahora, con respecto a la ayuda solicitada, tomando en cuenta los datos proporcionados:

IP PUBLICA: 190.21.29.69 / 255.255.255.252
Puerta de enlace: 190.210.29.70
IP FIREWALL (interna): 172.16.110.254/24

La configuracion de las interfaces (recordar que el ASA5505 contiene un switch interno, por lo que maneja interfaces Fisicas e Interfaces VLAN) seria la siguiente:

1) Crear las interfaces VLAN:

(Las VLANs utilizadas en el ejemplo pueden ser modificadas acorde a la configuracion local del sitio o se pueden usar las del ejemplo si asi se desea tambien)

hostname(config)# interface vlan 100
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 190.21.29.69 255.255.255.252
hostname(config-if)# no shutdown

hostname(config-if)# interface vlan 200
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 172.16.110.254 255.255.255.0
hostname(config-if)# no shutdown

2) Asignar las VLANs a las interfaces fisicas:

(En este ejemplo, Ethernet0/0 es la red interna y Ethernet0/1 es la salida al exterior)

hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 100
hostname(config-if)# no shutdown

hostname(config-if)# interface ethernet 0/1
hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown

3) Configurar la ruta por defecto:

ciscoasa(config)# route outside 0 0 190.210.29.70

4) Configurar el NAT (PAT) para que la red interna pueda salir a Internet utilizando la direccion IP de la interfaz outside:

Si el ASA5505 tiene una version menor a 8.3:

ciscoasa(config)# nat (inside) 1 172.16.110.0 255.255.255.0
ciscoasa(config)# global (outside) 1 interface

Si el ASA5505 tiene version 8.3 o mayor:

ciscoasa(config)# object network obj_inside
ciscoasa(config-network-object)# subnet 172.16.110.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface

5) No es necesario crear listas de acceso para el trafico de inside (red interna) a outside (internet) ya que la interfaz inside tiene un nivel de seguridad de 100 y la interfaz outside tiene 0 (y por defecto, de mayor nivel a menor, el trafico esta permitido).

Sin embargo, para el trafico de outside (internet) a inside (red interna) si requerimos configurar access-list y tambien NAT, pero debemos conocer las IPs internas a las que deseamos enviar el trafico, por ejemplo:

Como ejemplo, queremos accesar a 172.16.110.10 en el puerto 80 y 135 desde Internet.

a) Configurar NAT (Static PAT):

Si el ASA5505 tiene una version menor a 8.3:

static (inside,outside) TCP interface 80 172.16.110.10 80 netmask 255.255.255.255
static (inside,outside) TCP interface 135 172.16.110.10 135 netmask 255.255.255.255

Si el ASA5505 tiene version 8.3 o mayor:

ciscoasa(config)# object network obj-172.16.110.10
ciscoasa(config-network-object)# host 172.16.110.10

ciscoasa(config)# object service 80
ciscoasa(config-service-object)# service tcp destination eq 80

ciscoasa(config)# object service 135
ciscoasa(config-service-object)# service tcp destination eq 135

ciscoasa(config)# nat (outside,inside) source static any any destination static interface obj-172.16.110.10 service 80 80
ciscoasa(config)# nat (outside,inside) source static any any destination static interface obj-172.16.110.10 service 135 135

b) Configurar las listas de acceso:

Si el ASA5505 tiene una version menor a 8.3 (aqui se usa la IP 'nateada'):

access-list entrada extended permit tcp any host 190.210.29.69 eq 80
access-list entrada extended permit tcp any host 190.210.29.69 eq 135

Si el ASA5505 tiene version 8.3 o mayor (aqui se usa la IP real):

access-list entrada extended permit tcp any host 172.16.110.10 eq 80
access-list entrada extended permit tcp any host 172.16.110.10 eq 135

c) Aplicar la lista de acceso a la interfaz outside:

access-group entrada in interface outside

Con esta configuracion es suficiente para que el ASA5505 funcione. Si tiene alguna duda, por favor aviseme.

Saludos cordiales,

David Roman
Cisco TAC

danfocker1
Level 1
Level 1

el ‎09-05-2016 09:24 AM

hola 

Cuento con un Firewall Cisco ASA 5510, se ha comprado para un cliente hace poco y quiero hacer lo siguiente en su red:
(Ahora el cliente tiene una red local con un Router 192.168.1.1, conectado a un cable modem). Su red local de ordenadores está en el rango 192.168.1.X y conecta directamente a internet a través del router.


1.- Primeramente me gustaría intercalar el firewall entre el router y su red local. Para hacerlo, voy a cambiar la IP del router a una subred totalmente diferente para evitarme posibles accesos a la red local en el caso de que alguien quiera atacar el router, por así decirlo. Por ejemplo al router le voy a poner la IP:172.26.0.1 MASK: 255.255.255.0


2.- El firewall tiene 4 bocas de comunicación RJ45, además de la de management y AUX. En las primeras dos he determinado lo siguiente:
a. BOCA1 (nombre "Inside"): IP 192.168.1.1 para que haga de gateway con la red local tal y como estaba configurado antes el router. Esta boca está conectada directamente al Switch, mismo al que van todos los ordenadores de la red.
b. BOCA2 (nombre "Outside"): IP 172.26.0.2 para redirigir todas las peticiones de tráfico de internet de los ordenadores de la red local, al router y que salga de manera segura. En este caso la BOCA se encuentra lógicamente conectada solo al router.


Siguiendo el asistente de configuración que se señala para el ASA 5510, se menciona un punto en el que se deben crear rutas estadísticas; para utilizar o no la traducción del NAT y comunicar las bocas o interfaces, como les llaman en el manual.


Bueno, en sí la situación es que se me esta complicando hacer las cosas. He estado creando reglas, rutas estadísticas, dinámicas y todo lo mencionado en el manual pero hasta ahora solamente he conseguido es hacer ping al router desde la red local, a ello se me da como respuesta un OK, pero no he conseguido salir hacia afuera.


Entonces solicito a ustedes apoyo para que me ayuden a conocer qué rutas, reglas o pasos debo seguir para poder salir de una IP, por ejemplo: 192.168.1.10 a través del firewall (192.168.1.1) a internet por medio del router (172.26.0.1)?

gracias.

David Roman
Cisco Employee
Cisco Employee
En respuesta a danfocker1

el ‎09-05-2016 12:04 PM

Hola Dan,

Con base a la descripcion que me proporciona, opino que necesita agregar la siguiente configuracion:

1) Configurar el NAT para que la red interna sea traducida a a IP de la interfaz outside (172.26.0.2)

Si el ASA5505 tiene una version menor a 8.3:

ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
ciscoasa(config)# global (outside) 1 interface

Si el ASA5505 tiene version 8.3 o mayor:

ciscoasa(config)# object network obj_inside
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface

De esta forma, todo el trafico interno saldra del ASA con la IP 172.26.0.2 que el Router a su vez debera traducir a su direccion publica de Internet.

No es necesario configurar listas de acceso ya que por defecto, de inside (security level 100) a outside (security level 0) el trafico esta permitido.

2) Configurar la ruta por defecto en el ASA:

ciscoasa(config)# route outside 0 0 172.26.0.2

Dicha ruta enviara el trafico dirigido a Internet hacia el Router (172.26.0.2)

3) (Opcional) Permitir ICMP Ping de la red interna al Internet:

ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class inspection_default
ciscoasa(config-pmap-c)# inspect icmp

Con estos pasos de configuracion debe ser suficiente para que la red interna pueda acceder al Internet.

Si tiene alguna duda o problema por favor hagamelo saber.

Saludos cordiales,

David Roman

Cisco TAC

miguel.anguiano
Level 1
Level 1

el ‎09-06-2016 07:32 AM

David, culaes  serian  tus  recomendaciones  para  el  Hardening en los equipos ASA?

David Roman
Cisco Employee
Cisco Employee
En respuesta a miguel.anguiano

el ‎09-06-2016 09:06 AM

Hola Miguel,

Existen varias recomendaciones acerca de Hardening en el ASA.

Algunas de las mas comunes son:

  • Mantener el software actualizado
  • Utilizar el modelo AAA (Authentication, Authorization and Accounting) con el protocolo TACACS+ para proteger el equipo (dicho protocolo cifra el contenido del paquete a diferencia de RADIUS que solo cifra el usuario y contrasena).
  • Utilizar protocos seguros cuando sea posible (SSH en lugar de Telnet, SCP en lugar de TFTP, etc).
  • Configurar autenticacion para los protocolos de ruteo dinamico.

En los siguientes enlaces puede encontrar informacion acerca de estas y otras recomendaciones:

http://www.cisco.com/web/about/security/intelligence/firewall-best-practices.html

http://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html

Saludos Cordiales,

David Roman

Cisco TAC

David_RiP
Level 1
Level 1

el ‎09-06-2016 07:56 AM

Hola David,

Mi pregunta es acerca de la arquitectura del ASA, es esperado que cuando pinguees la interfaz outside de tu ASA desde tu inside LAN no se reciba respuesta, ¿cuál es la razón por la que el ASA se diseño de esta manera? ¿Es posible modificar este comportamiento?

Saludos y gracias de antemano.

David Roman
Cisco Employee
Cisco Employee
En respuesta a David_RiP

el ‎09-06-2016 09:47 AM

Hola David,

Si, es esperado que no funcione el Ping desde un host en la Inside hacia la interfaz Outside del ASA.

La razon de esta limitacion es por seguridad, para que el ASA mantenga la separacion de dominios de broadcast.

Esta limitacion esta documentada en el siguiente BUG:

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCsj27466/?reffering_site=dumpcr

La unica excepcion a esto es cuando un usuario se conecta al ASA a traves de un tunel de VPN (SSL o IPSec) y el tunel termina por ejemplo en la Outside y se configura lo siguiente para la Inside:

ciscoasa(config)#management-access inside

Saudos cordiales,

David Roman

Cisco TAC

luisrom_027
Level 1
Level 1

el ‎09-06-2016 12:52 PM

Hola David,

Mi pregunta es acerca de los niveles de seguridad en las interfaces de un ASA, quiero saber como se comporta el paquete cuando pasa entre diferentes niveles (Ejm: 0, 50, 100) y a su vez la influencia de las access-list en estas interfaces. El asa que verifica primero para dejar pasa el paquete el nivel de seguridad de la interfaz o el access-list?. Y si es necesario aplicar un access-list en el sentido OUT del firewall o con que se encuentre activa en el sentido IN es suficiente?

Saludos y gracias de antemano 

David Roman
Cisco Employee
Cisco Employee
En respuesta a luisrom_027

el ‎09-06-2016 03:25 PM

Hola Luis,
Lo primero que revisa el ASA en un paquete es si ya existe una conexion relacionada a ese paquete; Si no, entonces continua hacia la Lista de Acceso (ACL).
La forma en la que el nivel de seguridad de las interfaces funciona es que por defecto, de un nivel de seguridad mayor a uno menor, existe un "permit" implicito (que no se puede ver en la configuracion), si se desea limitar el acceso entonces se puede aplicar una Lista de Acceso (ACL).
Y si el trafico viene de una interfaz con nivel de seguridad menor hacia una interfaz con nivel de seguridad mayor, entonces por defecto existe un "deny" implicito (que tampoco se ve en la configuracion), que de igual forma se puede modificar con una Lista de Acceso (ACL).
Si tenemos trafico entre interfaces con el mismo nivel de seguridad, entonces se debe aplicar el siguiente comando de configuracion global:


ciscoasa(config)# same-security-traffic permit inter-interface


http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s1.html#pgfId-1444448


En el siguiente link podemos encontrar mas informacion acerca del uso que hace el ASA al "security-level":


http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s1.html#pgfId-1475933


Acerca de sentido de la Lista de Acceso:


IN (Inbound) es utilizado para trafico que entra a una interfaz del ASA.
OUT (Outbound) es utilizado para trafico que sale de una interfaz en el ASA.


La mejor forma de entender este concepto es con un ejemplo.
Digamos que existen tres interfaces internas en el ASA (Inside, HR y Eng) y un servidor Web en la Outside al cual se desea limitar el acceso a solo un usuario de Inside, un usuario de HR y un usuario de Eng.
En lugar de configurar tres Listas de Acceso IN en Inside, HR y Eng, podemos configurar solo una Lista en Outside permitiendo los tres usuarios hacia el servidor web:


hostname(config)# access-list OUTSIDE extended permit tcp host 10.1.1.14 host 209.165.200.225 eq www
hostname(config)# access-list OUTSIDE extended permit tcp host 10.1.2.67 host 209.165.200.225 eq www
hostname(config)# access-list OUTSIDE extended permit tcp host 10.1.3.34 host 209.165.200.225 eq www
hostname(config)# access-group OUTSIDE out interface outside


En el siguiente enlace se explica el mismo escenario con un diagrama:


http://www.cisco.com/c/en/us/td/docs/security/asa/asa96/configuration/firewall/asa-96-firewall-config/access-rules.html#ID-2124-0000001b


Por lo que la respuesta a la pregunta de si es necesario configurar ambas es que: Depende, pero generalmente si ya se permitio el acceso en una lista IN, entonces no es necesario configurar la lista OUT.
Saludos cordiales,

David Roman

Cisco TAC

carlitos_romanha
Level 1
Level 1

el ‎09-07-2016 05:59 AM

Buenos dias estimado Roman

He implementado un Cisco ASA 5545-x recientemente con las configuraciones basicas y una regla de que deniega el acceso desde Internet al puerto Outside.

Ahora necesito configurar reglas de salidas para poder denegar el acceso desde los usuarios a paginas tales como Youtube, Facebook. Encontré algunas informaciones en la web pero no me funcionan, use el fqn y no me bloquea nada.

Quisiera que me puedas brindar una ayuda con alguna configuracion de ejemplo que si funcione.

Muchas gracias, saludos cordiales

David Roman
Cisco Employee
Cisco Employee
En respuesta a carlitos_romanha

el ‎09-07-2016 08:16 AM

Hola Carlitos,

Para bloquear sitios como Youtube, Facebook, etc. Recomendamos la utilizacion del modulo FirePOWER en el ASA, ya que ofrece una solucion mucho mas robusta en comparacion a bloquear solamente utilizando el ASA sin dicho modulo, y las razones son las siguientes:

1) Con FirePOWER, se puede inspeccionar y bloquear el trafico cifrado (HTTPS), de otra manera utilizando Expresiones Regulares en el ASA solo se puede bloquear HTTP y los usuarios pueden omitir (saltar) las reglas de inspeccion de HTTP con el simple hecho de usar HTTPS.

2) Dada la naturaleza de dichos sitios que utilizan multiples direcciones IP y que pueden llegar a cambiar constantemente o incluso son diferentes dependiendo de la region del mundo (CDN), el bloquear por direcciones IP o incluso por FQDN genera resultados intermitentes.

3) Con FirePOWER se pueden bloquear sitios basados en categorias (Redes Sociales, Videos, etc)

Entre otras ventajas.

El ASA5545-X soporta el modulo de software de FirePOWER, solo se requiere tener el disco duro de estado solido (SSD) en el que se instala el modulo asi como la licencia de "URL Filtering".

En el siguiente enlace puede encontrar informacion acerca del modulo:

http://www.cisco.com/c/en/us/td/docs/security/asa/quick_start/sfr/firepower-qsg.html

Adicionalmente, en el siguiente video de la Comunidad de Soporte de Cisco podemos observar como se configuran dichas reglas en el FirePOWER:

https://www.youtube.com/watch?v=nXIBDQqekPY

Finalmente, si FirePOWER no es una opcion, podemos utilizar expresiones regulares para bloquear trafico HTTP, por ejemplo:

regex domainlist1 "\.facebook\.com"
regex domainlist2 "\.youtube\.com"

access-list inside_mpc extended permit tcp any any eq www

class-map type regex match-any DomainBlockList
match regex domainlist1
match regex domainlist2

class-map type inspect http match-all BlockDomainsClass
match request header host regex class DomainBlockList

class-map httptraffic
match access-list inside_mpc

policy-map type inspect http http_inspection_policy
parameters
protocol-violation action drop-connection
class BlockDomainsClass
reset log

policy-map inside-policy
class httptraffic
inspect http http_inspection_policy

service-policy inside-policy interface inside

Sin embargo esta configuracion solo funcionara cuando los usuarios naveguen a "http://www.facebook.com o http://www.youtube.com" y no cuando utilicen HTTPS por lo que FirePOWER es mucho mejor para esta tarea.

Saludos cordiales,

David Roman

Cisco TAC

carlitos_romanha
Level 1
Level 1
En respuesta a David Roman

el ‎09-08-2016 05:53 AM

Comentarte estimado David que ya solicite el modulo de FirePower, y como es la primera vez que voy a instalar quería consultarte si es que no tienes algunas recomendaciones para llevar a cabo su implementacion y configuración, te lo agradecería

Muchas gracias, saludos cordiales

0 Útil

David Roman
Cisco Employee
Cisco Employee
En respuesta a carlitos_romanha

el ‎09-08-2016 03:16 PM

Hola Carlitos,

El modulo FirePOWER comparte la interfaz Management 0/0 con el ASA. Dependiendo de como este la red interna (si existe un Switch de Capa 2 o un equipo de Capa 3), se puede configurar el direccionamiento IP del modulo:

http://www.cisco.com/c/en/us/td/docs/security/asa/quick_start/sfr/firepower-qsg.html#pgfId-144598

Sobre la instalacion, primero se debe cargar el archivo de arranque (boot) del SFR al ASA, por ejemplo:

Descargar el archivo .img (boot) y .pkg (software) del siguiente enlace:

https://software.cisco.com/download/release.html?mdfid=286271173&softwareid=286277393&release=6.1.0&relind=AVAILABLE&rellifecycle=&reltype=latest

Cargar el archivo al ASA:

ciscoasa# copy ftp://<FTP_SERVER>/asasfr-5500x-boot-6.1.0-330.img
 disk0:/asasfr-5500x-boot-6.1.0-330.img

Inicializar el modulo con el archivo de boot:

ciscoasa# sw-module module sfr recover configure image disk0:
 /asasfr-5500x-boot-6.1.0-330.img

Correr el siguiente comando para iniciar el proceso:

ciscoasa# sw-module module sfr recover boot

Esperar aproximadamente 15 minutos para que el modulo inicialice (verificar que el status del modulo sea Up/Up con el 'show module') y despues accesar con el comando:

ciscoasa# session sfr console

El usuario por defecto es admin y el password Admin123

Una vez dentro, configurar los parametros de red del modulo con el comando setup

Despues de esa configuracion, instalar el software de FirePOWER:

asasfr-boot >system install http://<HTTP_SERVER>/asasfr-sys-6.1.0-330.pkg

Ya que el modulo este funcionando, es posible administrarlo con el FireSIGHT o via ASDM:

http://www.cisco.com/c/en/us/support/docs/security/firesight-management-center/118596-configure-firesight-00.html

http://www.cisco.com/c/en/us/td/docs/security/asa/quick_start/sfr/firepower-qsg.html#pgfId-141094

En el siguiente enlace podemos observar tambien como enviarel trafico hacia el modulo:

http://www.cisco.com/c/en/us/support/docs/security/asa-firepower-services/118644-configure-firepower-00.html#anc12

Basicamente se configura una Lista de Acceso para determinar el trafico que queremos enviar (puede ser todo el trafico):

ciscoasa(config)# access-list sfr_redirect extended permit ip any any

Se crea una class-map:

ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect

Y finalmente en el policy-map global se referencia dicha class-map para enviar el trafico:

ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open

Por ultimo, en el siguiente video podemos ver como configurar las politicas de URL Filtering que nos permiten filtrar sitios web:https://www.youtube.com/watch?v=nXIBDQqekPY

Saludos cordiales,

David Roman

Cisco TAC

Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:

Navegue y encuentre contenido personalizado de la comunidad

Documentos de Seguridad Videos de Seguridad Otros Eventos de Seguridad
Customers Also Viewed These Support Documents