08-11-2016 11:21 AM - editado 03-21-2019 06:22 PM
Aclare todas sus dudas acerca de cómo solucionar problemas y de cómo implementar los equipos de seguridad ASA. La familia de productos Cisco Asa (Adaptive Security Appliance) protegen redes corporativas y centros de datos de todos los tamaños; entregan capacidades de Firewall de alto desempeño, cifrado y protección contra ataques. En esta sesión usted podrá aprender cómo proveer a los usuarios un acceso rápido y seguro tanto a los datos como a los recursos de una red, donde sea, cuando sea y en cualquier dispositivo.
Haga sus preguntas del 29 de Agosto al 16 de Septiembre del 2016.
Detalles del especialista
David Roman es un ingeniero de soporte del grupo de Firewall, colabora desde hace 3 años en este grupo del TAC GTC. Ha trabajado con diferentes tecnologías de seguridad como el ASA, FirePOWER, CX, IOS e IOS-XE Zone Based Firewall y Cisco Security Manager. Previo a Cisco ha trabajado en Nortel, Avaya y Oracle en puestos de Soporte, Administración de Redes y Seguridad. David es egresado de la carrea de Tecnologías de la Información y Comunicación de la Universidad Tecnológica de Nezahualcóyotl. Cuenta con el Cisco CCNA y actualmente se prepara para el CCIE en Seguridad.
David puede no ser capaz de responder a todas las preguntas, debido al volumen esperado durante este evento. Recuerde que también puede hacer sus preguntas en nuestra sub-comunidad de Seguridad https://supportforums.cisco.com/es/community/5626/seguridad
** ¡Las calificaciones fomentan la participación! **
Por favor asegúrese de calificar las respuestas a sus preguntas.
el 08-31-2016 11:35 AM
Hola
No tengo mucha experiencia con productos de Cisco, actualmente estoy teniendo problemas con un ASA 5505 ¿Me podrían ayudar?
Necesito hacer una configuración muy muy básica, quiero abrir 2 o 3
puertos (www, etc) y lograr que los host locales puedan acceder a internet.
Estuve consultando en internet y con algo de experiencia que tengo
con un PIX 501 realice una configuración, pero creo que tengo muchos errores aún. Todavía no he probado el equipo pero quiero consultar, por si las dudas
Adjunto la configuración:
----------------------------------------------------
Los datos que tengo son los siguientes.
IP PUBLICA: 190.21.29.69 / 255.255.255.252
Puerta de enlace: 190.210.29.70
IP FIREWALL (interna): 172.16.110.254/24
# define direcciones IP
ip address inside 172.16.110.254 255.255.255.0
ip address outside 190.210.29.69 255.255.255.252
interface ethernet0 auto
interface ethernet1 100full
# configura nateo para internet
route outside 0 0 190.210.29.70
nat (inside) 1 172.16.110.0 255.255.255.0
global (outside) 1 190.210.29.69
# Habilita http y FTP para host internos
access-list salida extended permit tcp 172.16.110.0 255.255.255.0 any
eq 80
access-list salida extended permit tcp 172.16.110.0 255.255.255.0 any
eq 20
access-list salida extended permit tcp 172.16.110.0 255.255.255.0 any
eq 21
#aplica regla anterior
access-group salida in interface inside
#Habilita acceso desde afuera a puerto 80 y 135 (tcp y udp)
access-list entrada extended permit tcp any host 190.210.29.69 eq 80
access-list entrada extended permit tcp any host 190.210.29.69 eq 135
access-list entrada extended permit udp any host 190.210.29.69 eq 135
#aplica regla anterior
access-group entrada in interface outside
write memory
Saludos y gracias! .
el 08-31-2016 01:40 PM
Hola Federico,
Por supuesto que le podemos ayudar. Desconozco que version tenga el ASA5505 en cuestion, pero generalmente, lo recomendado es tener el equipo en la ultima version.
Al momento de escribir esta respuesta, esa version es 9.2(4)14.
Menciono esto debido que a partir de la version 8.3, la sintaxis de algunos comandos cambio asi como el soporte de versiones previas a 8.3 es limitado.
Sin embargo, si el equipo ya se encuentra configurado y no se desea hacerle una actualizacion, pongo los comandos tanto de las versiones previas a 8.3 como esa y superiores.
En caso de que se desee hacer la actualizacion y se cumpla con el requisito de tener 512 MB de memoria RAM para instalarle las versiones 8.3 (se puede verificar con "show version | include RAM") entonces si es recomendado hacer la actualizacion. Este link contiene informacion muy valiosa sobre las actualizaciones (https://supportforums.cisco.com/document/48646/asa-83-upgrade-what-you-need-know).
Ahora, con respecto a la ayuda solicitada, tomando en cuenta los datos proporcionados:
IP PUBLICA: 190.21.29.69 / 255.255.255.252
Puerta de enlace: 190.210.29.70
IP FIREWALL (interna): 172.16.110.254/24
La configuracion de las interfaces (recordar que el ASA5505 contiene un switch interno, por lo que maneja interfaces Fisicas e Interfaces VLAN) seria la siguiente:
1) Crear las interfaces VLAN:
(Las VLANs utilizadas en el ejemplo pueden ser modificadas acorde a la configuracion local del sitio o se pueden usar las del ejemplo si asi se desea tambien)
hostname(config)# interface vlan 100
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 190.21.29.69 255.255.255.252
hostname(config-if)# no shutdown
hostname(config-if)# interface vlan 200
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 172.16.110.254 255.255.255.0
hostname(config-if)# no shutdown
2) Asignar las VLANs a las interfaces fisicas:
(En este ejemplo, Ethernet0/0 es la red interna y Ethernet0/1 es la salida al exterior)
hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 100
hostname(config-if)# no shutdown
hostname(config-if)# interface ethernet 0/1
hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown
3) Configurar la ruta por defecto:
ciscoasa(config)# route outside 0 0 190.210.29.70
4) Configurar el NAT (PAT) para que la red interna pueda salir a Internet utilizando la direccion IP de la interfaz outside:
Si el ASA5505 tiene una version menor a 8.3:
ciscoasa(config)# nat (inside) 1 172.16.110.0 255.255.255.0
ciscoasa(config)# global (outside) 1 interface
Si el ASA5505 tiene version 8.3 o mayor:
ciscoasa(config)# object network obj_inside
ciscoasa(config-network-object)# subnet 172.16.110.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface
5) No es necesario crear listas de acceso para el trafico de inside (red interna) a outside (internet) ya que la interfaz inside tiene un nivel de seguridad de 100 y la interfaz outside tiene 0 (y por defecto, de mayor nivel a menor, el trafico esta permitido).
Sin embargo, para el trafico de outside (internet) a inside (red interna) si requerimos configurar access-list y tambien NAT, pero debemos conocer las IPs internas a las que deseamos enviar el trafico, por ejemplo:
Como ejemplo, queremos accesar a 172.16.110.10 en el puerto 80 y 135 desde Internet.
a) Configurar NAT (Static PAT):
Si el ASA5505 tiene una version menor a 8.3:
static (inside,outside) TCP interface 80 172.16.110.10 80 netmask 255.255.255.255
static (inside,outside) TCP interface 135 172.16.110.10 135 netmask 255.255.255.255
Si el ASA5505 tiene version 8.3 o mayor:
ciscoasa(config)# object network obj-172.16.110.10
ciscoasa(config-network-object)# host 172.16.110.10
ciscoasa(config)# object service 80
ciscoasa(config-service-object)# service tcp destination eq 80
ciscoasa(config)# object service 135
ciscoasa(config-service-object)# service tcp destination eq 135
ciscoasa(config)# nat (outside,inside) source static any any destination static interface obj-172.16.110.10 service 80 80
ciscoasa(config)# nat (outside,inside) source static any any destination static interface obj-172.16.110.10 service 135 135
b) Configurar las listas de acceso:
Si el ASA5505 tiene una version menor a 8.3 (aqui se usa la IP 'nateada'):
access-list entrada extended permit tcp any host 190.210.29.69 eq 80
access-list entrada extended permit tcp any host 190.210.29.69 eq 135
Si el ASA5505 tiene version 8.3 o mayor (aqui se usa la IP real):
access-list entrada extended permit tcp any host 172.16.110.10 eq 80
access-list entrada extended permit tcp any host 172.16.110.10 eq 135
c) Aplicar la lista de acceso a la interfaz outside:
access-group entrada in interface outside
Con esta configuracion es suficiente para que el ASA5505 funcione. Si tiene alguna duda, por favor aviseme.
Saludos cordiales,
David Roman
Cisco TAC
el 09-05-2016 09:24 AM
hola
Cuento con un Firewall Cisco ASA 5510, se ha comprado para un cliente hace poco y quiero hacer lo siguiente en su red:
(Ahora el cliente tiene una red local con un Router 192.168.1.1, conectado a un cable modem). Su red local de ordenadores está en el rango 192.168.1.X y conecta directamente a internet a través del router.
1.- Primeramente me gustaría intercalar el firewall entre el router y su red local. Para hacerlo, voy a cambiar la IP del router a una subred totalmente diferente para evitarme posibles accesos a la red local en el caso de que alguien quiera atacar el router, por así decirlo. Por ejemplo al router le voy a poner la IP:172.26.0.1 MASK: 255.255.255.0
2.- El firewall tiene 4 bocas de comunicación RJ45, además de la de management y AUX. En las primeras dos he determinado lo siguiente:
a. BOCA1 (nombre "Inside"): IP 192.168.1.1 para que haga de gateway con la red local tal y como estaba configurado antes el router. Esta boca está conectada directamente al Switch, mismo al que van todos los ordenadores de la red.
b. BOCA2 (nombre "Outside"): IP 172.26.0.2 para redirigir todas las peticiones de tráfico de internet de los ordenadores de la red local, al router y que salga de manera segura. En este caso la BOCA se encuentra lógicamente conectada solo al router.
Siguiendo el asistente de configuración que se señala para el ASA 5510, se menciona un punto en el que se deben crear rutas estadísticas; para utilizar o no la traducción del NAT y comunicar las bocas o interfaces, como les llaman en el manual.
Bueno, en sí la situación es que se me esta complicando hacer las cosas. He estado creando reglas, rutas estadísticas, dinámicas y todo lo mencionado en el manual pero hasta ahora solamente he conseguido es hacer ping al router desde la red local, a ello se me da como respuesta un OK, pero no he conseguido salir hacia afuera.
Entonces solicito a ustedes apoyo para que me ayuden a conocer qué rutas, reglas o pasos debo seguir para poder salir de una IP, por ejemplo: 192.168.1.10 a través del firewall (192.168.1.1) a internet por medio del router (172.26.0.1)?
gracias.
el 09-05-2016 12:04 PM
Hola Dan,
Con base a la descripcion que me proporciona, opino que necesita agregar la siguiente configuracion:
1) Configurar el NAT para que la red interna sea traducida a a IP de la interfaz outside (172.26.0.2)
Si el ASA5505 tiene una version menor a 8.3:
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0
ciscoasa(config)# global (outside) 1 interface
Si el ASA5505 tiene version 8.3 o mayor:
ciscoasa(config)# object network obj_inside
ciscoasa(config-network-object)# subnet 192.168.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface
De esta forma, todo el trafico interno saldra del ASA con la IP 172.26.0.2 que el Router a su vez debera traducir a su direccion publica de Internet.
No es necesario configurar listas de acceso ya que por defecto, de inside (security level 100) a outside (security level 0) el trafico esta permitido.
2) Configurar la ruta por defecto en el ASA:
ciscoasa(config)# route outside 0 0 172.26.0.2
Dicha ruta enviara el trafico dirigido a Internet hacia el Router (172.26.0.2)
3) (Opcional) Permitir ICMP Ping de la red interna al Internet:
ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class inspection_default
ciscoasa(config-pmap-c)# inspect icmp
Con estos pasos de configuracion debe ser suficiente para que la red interna pueda acceder al Internet.
Si tiene alguna duda o problema por favor hagamelo saber.
Saludos cordiales,
David Roman
Cisco TAC
el 09-06-2016 07:32 AM
David, culaes serian tus recomendaciones para el Hardening en los equipos ASA?
el 09-06-2016 09:06 AM
Hola Miguel,
Existen varias recomendaciones acerca de Hardening en el ASA.
Algunas de las mas comunes son:
En los siguientes enlaces puede encontrar informacion acerca de estas y otras recomendaciones:
http://www.cisco.com/web/about/security/intelligence/firewall-best-practices.html
http://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html
Saludos Cordiales,
David Roman
Cisco TAC
el 09-06-2016 07:56 AM
Hola David,
Mi pregunta es acerca de la arquitectura del ASA, es esperado que cuando pinguees la interfaz outside de tu ASA desde tu inside LAN no se reciba respuesta, ¿cuál es la razón por la que el ASA se diseño de esta manera? ¿Es posible modificar este comportamiento?
Saludos y gracias de antemano.
el 09-06-2016 09:47 AM
Hola David,
Si, es esperado que no funcione el Ping desde un host en la Inside hacia la interfaz Outside del ASA.
La razon de esta limitacion es por seguridad, para que el ASA mantenga la separacion de dominios de broadcast.
Esta limitacion esta documentada en el siguiente BUG:
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCsj27466/?reffering_site=dumpcr
La unica excepcion a esto es cuando un usuario se conecta al ASA a traves de un tunel de VPN (SSL o IPSec) y el tunel termina por ejemplo en la Outside y se configura lo siguiente para la Inside:
ciscoasa(config)#management-access inside
Saudos cordiales,
David Roman
Cisco TAC
el 09-06-2016 12:52 PM
Hola David,
Mi pregunta es acerca de los niveles de seguridad en las interfaces de un ASA, quiero saber como se comporta el paquete cuando pasa entre diferentes niveles (Ejm: 0, 50, 100) y a su vez la influencia de las access-list en estas interfaces. El asa que verifica primero para dejar pasa el paquete el nivel de seguridad de la interfaz o el access-list?. Y si es necesario aplicar un access-list en el sentido OUT del firewall o con que se encuentre activa en el sentido IN es suficiente?
Saludos y gracias de antemano
el 09-06-2016 03:25 PM
Hola Luis,
Lo primero que revisa el ASA en un paquete es si ya existe una conexion relacionada a ese paquete; Si no, entonces continua hacia la Lista de Acceso (ACL).
La forma en la que el nivel de seguridad de las interfaces funciona es que por defecto, de un nivel de seguridad mayor a uno menor, existe un "permit" implicito (que no se puede ver en la configuracion), si se desea limitar el acceso entonces se puede aplicar una Lista de Acceso (ACL).
Y si el trafico viene de una interfaz con nivel de seguridad menor hacia una interfaz con nivel de seguridad mayor, entonces por defecto existe un "deny" implicito (que tampoco se ve en la configuracion), que de igual forma se puede modificar con una Lista de Acceso (ACL).
Si tenemos trafico entre interfaces con el mismo nivel de seguridad, entonces se debe aplicar el siguiente comando de configuracion global:
ciscoasa(config)# same-security-traffic permit inter-interface
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s1.html#pgfId-1444448
En el siguiente link podemos encontrar mas informacion acerca del uso que hace el ASA al "security-level":
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s1.html#pgfId-1475933
Acerca de sentido de la Lista de Acceso:
IN (Inbound) es utilizado para trafico que entra a una interfaz del ASA.
OUT (Outbound) es utilizado para trafico que sale de una interfaz en el ASA.
La mejor forma de entender este concepto es con un ejemplo.
Digamos que existen tres interfaces internas en el ASA (Inside, HR y Eng) y un servidor Web en la Outside al cual se desea limitar el acceso a solo un usuario de Inside, un usuario de HR y un usuario de Eng.
En lugar de configurar tres Listas de Acceso IN en Inside, HR y Eng, podemos configurar solo una Lista en Outside permitiendo los tres usuarios hacia el servidor web:
hostname(config)# access-list OUTSIDE extended permit tcp host 10.1.1.14 host 209.165.200.225 eq www
hostname(config)# access-list OUTSIDE extended permit tcp host 10.1.2.67 host 209.165.200.225 eq www
hostname(config)# access-list OUTSIDE extended permit tcp host 10.1.3.34 host 209.165.200.225 eq www
hostname(config)# access-group OUTSIDE out interface outside
En el siguiente enlace se explica el mismo escenario con un diagrama:
http://www.cisco.com/c/en/us/td/docs/security/asa/asa96/configuration/firewall/asa-96-firewall-config/access-rules.html#ID-2124-0000001b
Por lo que la respuesta a la pregunta de si es necesario configurar ambas es que: Depende, pero generalmente si ya se permitio el acceso en una lista IN, entonces no es necesario configurar la lista OUT.
Saludos cordiales,
David Roman
Cisco TAC
el 09-07-2016 05:59 AM
Buenos dias estimado Roman
He implementado un Cisco ASA 5545-x recientemente con las configuraciones basicas y una regla de que deniega el acceso desde Internet al puerto Outside.
Ahora necesito configurar reglas de salidas para poder denegar el acceso desde los usuarios a paginas tales como Youtube, Facebook. Encontré algunas informaciones en la web pero no me funcionan, use el fqn y no me bloquea nada.
Quisiera que me puedas brindar una ayuda con alguna configuracion de ejemplo que si funcione.
Muchas gracias, saludos cordiales
el 09-07-2016 08:16 AM
Hola Carlitos,
Para bloquear sitios como Youtube, Facebook, etc. Recomendamos la utilizacion del modulo FirePOWER en el ASA, ya que ofrece una solucion mucho mas robusta en comparacion a bloquear solamente utilizando el ASA sin dicho modulo, y las razones son las siguientes:
1) Con FirePOWER, se puede inspeccionar y bloquear el trafico cifrado (HTTPS), de otra manera utilizando Expresiones Regulares en el ASA solo se puede bloquear HTTP y los usuarios pueden omitir (saltar) las reglas de inspeccion de HTTP con el simple hecho de usar HTTPS.
2) Dada la naturaleza de dichos sitios que utilizan multiples direcciones IP y que pueden llegar a cambiar constantemente o incluso son diferentes dependiendo de la region del mundo (CDN), el bloquear por direcciones IP o incluso por FQDN genera resultados intermitentes.
3) Con FirePOWER se pueden bloquear sitios basados en categorias (Redes Sociales, Videos, etc)
Entre otras ventajas.
El ASA5545-X soporta el modulo de software de FirePOWER, solo se requiere tener el disco duro de estado solido (SSD) en el que se instala el modulo asi como la licencia de "URL Filtering".
En el siguiente enlace puede encontrar informacion acerca del modulo:
http://www.cisco.com/c/en/us/td/docs/security/asa/quick_start/sfr/firepower-qsg.html
Adicionalmente, en el siguiente video de la Comunidad de Soporte de Cisco podemos observar como se configuran dichas reglas en el FirePOWER:
https://www.youtube.com/watch?v=nXIBDQqekPY
Finalmente, si FirePOWER no es una opcion, podemos utilizar expresiones regulares para bloquear trafico HTTP, por ejemplo:
regex domainlist1 "\.facebook\.com"
regex domainlist2 "\.youtube\.com"
access-list inside_mpc extended permit tcp any any eq www
class-map type regex match-any DomainBlockList
match regex domainlist1
match regex domainlist2
class-map type inspect http match-all BlockDomainsClass
match request header host regex class DomainBlockList
class-map httptraffic
match access-list inside_mpc
policy-map type inspect http http_inspection_policy
parameters
protocol-violation action drop-connection
class BlockDomainsClass
reset log
policy-map inside-policy
class httptraffic
inspect http http_inspection_policy
service-policy inside-policy interface inside
Sin embargo esta configuracion solo funcionara cuando los usuarios naveguen a "http://www.facebook.com o http://www.youtube.com" y no cuando utilicen HTTPS por lo que FirePOWER es mucho mejor para esta tarea.
Saludos cordiales,
David Roman
Cisco TAC
el 09-08-2016 05:53 AM
Comentarte estimado David que ya solicite el modulo de FirePower, y como es la primera vez que voy a instalar quería consultarte si es que no tienes algunas recomendaciones para llevar a cabo su implementacion y configuración, te lo agradecería
Muchas gracias, saludos cordiales
el 09-08-2016 03:16 PM
Hola Carlitos,
El modulo FirePOWER comparte la interfaz Management 0/0 con el ASA. Dependiendo de como este la red interna (si existe un Switch de Capa 2 o un equipo de Capa 3), se puede configurar el direccionamiento IP del modulo:
http://www.cisco.com/c/en/us/td/docs/security/asa/quick_start/sfr/firepower-qsg.html#pgfId-144598
Sobre la instalacion, primero se debe cargar el archivo de arranque (boot) del SFR al ASA, por ejemplo:
Descargar el archivo .img (boot) y .pkg (software) del siguiente enlace:
https://software.cisco.com/download/release.html?mdfid=286271173&softwareid=286277393&release=6.1.0&relind=AVAILABLE&rellifecycle=&reltype=latest
Cargar el archivo al ASA:
ciscoasa# copy ftp://<FTP_SERVER>/asasfr-5500x-boot-6.1.0-330.img disk0:/asasfr-5500x-boot-6.1.0-330.img
Inicializar el modulo con el archivo de boot:
ciscoasa# sw-module module sfr recover configure image disk0:
/asasfr-5500x-boot-6.1.0-330.img
Correr el siguiente comando para iniciar el proceso:
ciscoasa# sw-module module sfr recover boot
Esperar aproximadamente 15 minutos para que el modulo inicialice (verificar que el status del modulo sea Up/Up con el 'show module') y despues accesar con el comando:
ciscoasa# session sfr console
El usuario por defecto es admin y el password Admin123
Una vez dentro, configurar los parametros de red del modulo con el comando setup
Despues de esa configuracion, instalar el software de FirePOWER:
asasfr-boot >system install http://<HTTP_SERVER>/asasfr-sys-6.1.0-330.pkg
Ya que el modulo este funcionando, es posible administrarlo con el FireSIGHT o via ASDM:
http://www.cisco.com/c/en/us/support/docs/security/firesight-management-center/118596-configure-firesight-00.html
http://www.cisco.com/c/en/us/td/docs/security/asa/quick_start/sfr/firepower-qsg.html#pgfId-141094
En el siguiente enlace podemos observar tambien como enviarel trafico hacia el modulo:
http://www.cisco.com/c/en/us/support/docs/security/asa-firepower-services/118644-configure-firepower-00.html#anc12
Basicamente se configura una Lista de Acceso para determinar el trafico que queremos enviar (puede ser todo el trafico):
ciscoasa(config)# access-list sfr_redirect extended permit ip any any
Se crea una class-map:
ciscoasa(config)# class-map sfr ciscoasa(config-cmap)# match access-list sfr_redirect
Y finalmente en el policy-map global se referencia dicha class-map para enviar el trafico:
ciscoasa(config)# policy-map global_policy ciscoasa(config-pmap)# class sfr ciscoasa(config-pmap-c)# sfr fail-open
Por ultimo, en el siguiente video podemos ver como configurar las politicas de URL Filtering que nos permiten filtrar sitios web:https://www.youtube.com/watch?v=nXIBDQqekPY
Saludos cordiales,
David Roman
Cisco TAC
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad