• No se han encontrado resultados

Tema: Configuración inicial Firewall ASA

N/A
N/A
Protected

Academic year: 2021

Share "Tema: Configuración inicial Firewall ASA"

Copied!
8
0
0

Texto completo

(1)

Facultad: Ingeniería Escuela: Electrónica

Asignatura: Seguridad en redes

Tema: Configuración inicial Firewall ASA

Contenidos

 Configuración inicial del Firewall

 Configuración de NAT dinámico y estático.  Configuración del acceso remoto por TELNET  Configuración del acceso remoto por SSH

Objetivos Específicos

 Implementar un sistema de seguridad emulando un firewall ASA con GNS3.  Que el estudiante realice la configuración inicial de un firewall ASA.

 Aplicar el concepto de Network Address Translation (NAT).  Acceder remotamente a firewall por medio de TELNET y SSH

Materiales y Equipo

 2 PC con Windows XP instalado.  Programa GNS3.

 Programa VirtualBox.

Introducción Teórica

La seguridad perimetral es una de las piezas clave de la política de seguridad de una empresa. Es uno de los elementos de seguridad más críticos de una empresa cuando se conecta a Internet y por regla general es implementada en cortafuegos o “firewall” figura 1, un dispositivo hardware capaz de analizar todas las conexiones entrantes/salientes simultáneamente. Su configuración debe ser acorde según la política de seguridad definida. Además, dado que sobre este dispositivo se analizan las reglas de seguridad, en ocasiones se puede convertir en el cuello de botella, situación que hay que evitar.

Figura 1. Topología de red donde se define dos zonas Internet e Intranet , separadas por un cortafuegos con 3 niveles de seguridad definidos (Inside, DMZ, Outside) conectando al exterior

(2)

El ASA analiza y registra las conexiones entrantes y salientes implementando NAT. Con esta técnica, al ASA se le permite en todo momento tener control de las conexiones establecidas y rechazar conexiones no permitidas. El ASA define niveles de seguridad o zonas de seguridad, que en el caso de la presente práctica son tres: inside, dmz, outside, las cuales quedan asociadas con niveles 100, 50 y 0 respectivamente. La regla que aplica el ASA por defecto es: “no se puede pasar de nivel de seguridad menor a uno mayor”. En base a esto, vamos a desarrollar toda la práctica.

Procedimiento

En esta práctica realizaremos la configuración inicial de un firewall ASA 5520, emulándolo en nuestra PC por medio de GNS3. La topología completa se muestra en la figura 2.

La topología a implementar se muestra en la figura 3. En la topología de red presentada se utilizará dos máquinas virtuales, una que se utilizará en la red DMZ y la otra dentro de la red interna, y finalmente como red outside se utilizara la red UDB con acceso a internet.

Figura 2. Topología red completa.

1. Las interfaces de las máquinas virtuales a utilizar se muestran en tabla 1.

Interface IP Puerta de enlace

PC Virtual 1 (DMZ)

Conexión de área local 172.17.0.2 / 16 172.17.0.1

PC Virtual 2 (Inside)

Conexión de área local 192.168.0.2 /24 192.168.0.1 Tabla 1. Configuración de interfaces de máquinas virtuales.

2. Ejecute GNS3 y arme el escenario de la figura 3. Comience colocando las PC en el área de trabajo, renómbrelas y asígneles la interface física correspondiente (clic izquierdo sobre la PC  configuración  Ethernet  Linux Ethernet NIO  seleccione la interface de virtual vboxnet X  agregar) figura 4.

(3)

Nota: En caso de no encontrarse las interfaces de virtualbox vboxnet diríjase al apartado

problemas y soluciones al final de la guía.

Figura 3. Topología de red en GNS3

Figura 4. Asignación de interface físico.

3. Coloque la nube en el área de trabajo, renómbrela y asígnele la interface física correspondiente (clic izquierdo sobre la nube  configuración  Ethernet  Linux Ethernet NIO  seleccione la interface eno1 agregar).

Nota: Los dispositivos de nubes y PC nos permitirá comunicar las interfaces lógicas del firewall

con las interfaces físicas del computador y máquinas virtuales, y así tener conexión externamente.

4. Abra VirtualBox y luego inicie dos virtuales de Wxp.

5. Verifique que el adaptador de red este en modo Adaptador soló-anfitrión, en la configuración de VirtualBox.

(4)

6. Configure la tarjeta de red del Wxp virtual IP: 172.17.0.2 /16, puerta de enlace 172.17.0.1

7. Para tener acceso a la red outside e internet, es necesario tener un pool de direcciones de la red 10.0.12.0/22 comenzando de la ip 10.0.12.150. Cada grupo de trabajo se le asignara 5 direcciones (consulte a su instructor). Por ejemplo:

Grupo 1: 10.0.12.150 - 10.0.12.154 Grupo 2: 10.0.12.155 - 10.0.12.159 Grupo 3: 10.0.12.160 - 10.0.12.164 Grupo 4: 10.0.12.165 - 10.0.12.169 Grupo 5: 10.0.12.170 - 10.0.12.174 Grupo 6: 10.0.12.175 - 10.0.12.179 Grupo 7: 10.0.12.180 - 10.0.12.184 Grupo 8: 10.0.12.185 - 10.0.12.189 Grupo 9: 10.0.12.190 - 10.0.12.194 Grupo 10: 10.0.12.195 - 10.0.12.199 Grupo 11: 10.0.12.200 - 10.0.12.204 Grupo 12: 10.0.12.205 - 10.0.12.209 Grupo 13: 10.0.12.210 - 10.0.12.214 Grupo 14: 10.0.12.215 - 10.0.12.219 Grupo 15: 10.0.12.220 - 10.0.12.224 Grupo 16: 10.0.12.225 - 10.0.12.229 Grupo 17: 10.0.12.230 - 10.0.12.234 Grupo 18: 10.0.12.235 - 10.0.12.239 Grupo 19: 10.0.12.240 - 10.0.12.244 Grupo 20: 10.0.12.245 - 10.0.12.249

A lo largo de la guía se utilizara el rango de IPs del grupo 1 para todas las configuraciones outside (estas aparecerán en negritas), usted debe utilizar las IPs del grupo que a usted se le ha asignado.

8. Inicie la emulación y abra una consola para la configuración del Firewall.

Configuración inicial del firewall ASA 5520

pixfirewall> enable Password: <enter>

9. Ejecute comandos de verificación pixfirewall# show run

pixfirewall# show memory pixfirewall# show version

(5)

pixfirewall# configure terminal

pixfirewall(config)# hostname MyFirewall MyFirewall(config)# enable password serudb MyFirewall(config)# passwd telnetudb MyFirewall(config)# write memory

Nota: con el comando write memory se guarda la configuración, es importante que al finalizar

la practica borre dicha configuración (write erase). Si usted no borra la configuración al finalizar la practica perderá la nota de guía 8.

11. Configuramos las interfaces asignando: nombre, nivel de seguridad, dirección de red y velocidad.

MyFirewall(config)# interface gigabitEthernet 2 MyFirewall(config-if)#nameif outside

MyFirewall(config-if)# security-level 0

MyFirewall(config-if)# ip address 10.0.12.150 255.255.252.0 MyFirewall(config-if)# no shutdown

MyFirewall(config-if)# exit

Note que se utilizó la primera IP (10.0.12.150) del grupo de direcciones asignado para la red outside, usted utilice el pool asignado.

MyFirewall(config)# interface gigabitEthernet 1 MyFirewall(config-if)#nameif inside

MyFirewall(config-if)# security-level 100

MyFirewall(config-if)# ip address 192.168.0.1 255.255.255.0 MyFirewall(config-if)# no shutdown

MyFirewall(config-if)# exit

MyFirewall(config)# interface gigabitEthernet 0 MyFirewall(config-if)#nameif DMZ

MyFirewall(config-if)# security-level 50

MyFirewall(config-if)# ip address 172.17.0.1 255.255.0.0 MyFirewall(config-if)# no shutdown

MyFirewall(config-if)# exit

MyFirewall(config)# write memory MyFirewall(config-if)# show run

12. Detenga la emulación con el botón stop, guarde la topología e inicie nuevamente la emulación.

13. Para que el firewall ASA pueda encaminar, dado que también hace funciones de router, configuraremos una ruta estática por defecto al router de Internet con coste 1

MyFirewall(config)# route outside 0.0.0.0 0.0.0.0 10.0.12.1 1

(6)

MyFirewall# ping 172.17.0.2 MyFirewall# ping 192.168.0.2 MyFirewall# ping 10.0.12.1 Todos deberán ser exitosos

Configuración de NAT dinámico y estático.

Luego de configurar las interfaces, habilitaremos la comunicación entre las diferentes zonas: inside, DMZ y outside, según sus niveles de seguridad 100, 50 y 0 respectivamente. La regla que aplica el ASA es: “no se puede pasar de nivel de seguridad menor a uno mayor”.

Para poder establecer la comunicación entre zonas, el ASA debe poder realizar registros de conexiones y para ello utiliza NAT. La configuración de NAT conlleva siempre la configuración de 2 comandos, nat que se asocia a la interfaz de entrada indicando qué IP interna entra en el NAT

y global que se asocia a la interfaz de salida donde se especifica la IP (o IPs) externa.

NAT dinámico.

MyFirewall(config)# object network my-range

MyFirewall(config-network-object)# range 10.0.12.151 10.0.12.153 MyFirewall(config-network-object)# exit

MyFirewall(config)# object network inside-subnet

MyFirewall(config-network-object)# subnet 192.168.0.0 255.255.255.0 MyFirewall(config-network-object)# nat (inside,outside) dynamic my-range MyFirewall(config-network-object)# exit

MyFirewall(config)# object network dmz-range

MyFirewall(config-network-object)# range 172.17.0.2 172.17.0.10

MyFirewall(config-network-object)# nat (DMZ,outside) dynamic my-range MyFirewall(config-network-object)# exit

MyFirewall(config)# write memory

Nota: tome en cuenta su grupo de direcciones outside (en negritas) 15. Ejecute comandos de verificación de nat.

MyFirewall(config)# show nat MyFirewall(config)# show xlate

(7)

16. Desde PC inside haga ping hacia el RouterUDB (10.0.12.1) en la red outside, el ping no tendrá respuesta por seguridad, pero se habrá hecho la traducción de NAT. Ejecute nuevamente el comando:

MyFirewall(config)# show nat MyFirewall(config)# show xlate

17. Repita el paso anterior con la PC DMZ hacia RouterUDB.

NAT estático

En esta parte configuraremos:

 NAT estático para atar una dirección de la red DMZ a una dirección dela red outside, muy utilizado para definir direcciones públicas a los servidores.

 NAT estático para comunicar la red inside con la red DMZ.

MyFirewall(config)# object network inside-static

MyFirewall(config-network-object)# subnet 192.168.0.0 255.255.255.0 MyFirewall(config-network-object)# nat (inside,DMZ) static 172.17.0.11 MyFirewall(config-network-object)# exit

MyFirewall(config)# object network dmz-static MyFirewall(config-network-object)# host 172.17.0.12

MyFirewall(config-network-object)# nat (DMZ,outside) static 10.0.12.154 MyFirewall(config-network-object)# exit

MyFirewall(config)# clear xlate MyFirewall(config)# write memory

18. Realice las pruebas necesarias para comprobar el funcionamiento.

 Cambie la IP de la PC DMZ por la IP 172.17.0.12 y realice un ping desde esta PC

hacia la 10.0.12.1, compruebe la traducción hecha por el firewall ASA.

 Realice un ping desde la PC inside hacia la PC DMZ

MyFirewall(config)# show xlate

Configuración de acceso TELNET

19. Se configurara acceso telnet para PC inside

MyFirewall(config)# telnet 192.168.0.2 255.255.255.255 inside

(8)

MyFirewall(config)# username myFirewall password sshudb MyFirewall(config)# aaa authentication ssh console LOCAL MyFirewall(config)# ssh 192.168.0.2 255.255.255.255 inside MyFirewall(config)# domain-name serudb.com.sv

MyFirewall(config)# crypto key generate rsa modulus 1024 MyFirewall(config)# write memory

21. Compruebe el acceso SSH con usuario myFirewall, desde PC inside utilice el programa putty.

22. Borre las configuraciones y ordene su puesto de trabajo MyFirewall(config)# write erase

Problemas y soluciones

No se encuentran interfaces de virtualbox vboxnet:

Para agregar interfaces de virtual diríjase a preferencias de virtualbox, archivo -> preferencias, una vez abierta la ventana de preferencias diríjase a red y redes solo anfitrión, ver figura 5, y finalmente agregue cuantas usted necesite de redes solo-anfitrión.

Referencias

Documento similar