ccna security bridge course ver 1-1
TRANSCRIPT
CCNA SECURITY Ver 1.1 BRIDGE COURSE
1. Amenazas modernas a la seguridad de las redes
1.4 Sistema de protección básica de la Red Cisco
1.4.1 NFP
El marco de trabajo de Cisco Network Foundation Protection (NFP) brinda instrucciones
abarcativas para proteger la infraestructura de la red. Estas instrucciones conforman la base para
una entrega constante de servicio.
NFP divide lógicamente los routers y switches en tres áreas funcionales:
Plano de Control - Responsable de enrutar correctamente los datos. El tráfico del plano de
control consiste en paquetes generados por dispositivos que se requieren para la
operación de la red en sí tales como intercambios de mensajes ARP o publicaciones de
enrutamiento OSPF.
Plano de Administración - Responsable de administrar elementos de la red. Plano de
Administración El tráfico es generado por dispositivos de red o estaciones de
administración de la red utilizando procesos y protocolos tales como Telnet, SSH, TFTP,
FTP, NTP, AAA, SNMP, syslog, TACACS+, RADIUS y NetFlow.
Plano de Datos (Forwarding Plane) - Responsable de forwardear los datos. El tráfico del
plano de datos normalmente consiste en paquetes generados por el usuario que se envían
entre estaciones finales. La mayor parte del tráfico viaja a través del router, o switch, a
través del plano de datos. Los paquetes del plano de datos se procesan por lo general en la
memoria cache de conmutación rápida.
El tráfico del plano de control consiste en paquetes generados por dispositivos que se requieren
para la operación de la red misma. La seguridad del plano de control puede implementarse usando
las siguientes funciones:
Cisco AutoSecure - Cisco AutoSecure proporciona una función de trabado de un
dispositivo en un solo paso para proteger el plano de control así como los planos de
administración y de datos. Es un script que se inicia desde el CLI para configurar la postura
de seguridad de los routers. El script inhabilita procesos y servicios no esenciales para el
sistema. Primeramente da recomendaciones a las vulnerabilidades de la seguridad de la
dirección y luego modifica la configuración del router.
Autenticación del protocolo de enrutamiento - La autenticación del protocolo de
enrutamiento, o autenticación de colindantes, evita que un router acepte actualizaciones
de enrutamiento fraudulentas. La mayor parte de los protocolos de enrutamiento
soportan autenticación de colindantes.
Políticas del Plano de Control (CoPP) - es una función del Cisco IOS diseñada para permitir
a los usuarios controlar el flujo de tráfico que es manipulado por el procesador del router
de un dispositivo de red.
CoPP está diseñado para evitar que tráfico innecesario sature al procesador de rutas. La función
CoPP trata al plano de control como entidad separada con sus propios puertos de ingreso (input) y
egreso (output). Puede establecerse un conjunto de reglas y asociarlas con los puertos de ingreso
y egreso del plano de control.
CoPP consta de las siguientes funciones:
Políticas del Plano de Control (CoPP) - permite a los usuarios configurar un filtro QoS que
administre el flujo del tráfico de los paquetes del plano de control. Esto protege al plano
de control de ataques de reconocimiento y DoS.
Protección del Plano de Control (CPPr) - una extensión de CoPP pero permite la
granularidad de las políticas. Por ejemplo, CPPr puede filtrar y limitar la tasa de los
paquetes que se dirigen al plano de control del router y descartar paquetes maliciosos o
erróneos (o ambos).
Logueo del Plano de Control - permite el logueo de los paquetes que CoPP o CPPr
descartan o permiten. Proporciona el mecanismo de logueo necesario para implementar,
monitorear, y resolver problemas de las funciones CoPP con eficiencia.
Nota: Mayores detalles acerca de la seguridad del plano de control están más allá del alcance de
este curso.
El tráfico del plano de administración es generado por dispositivos de red o estaciones de
administración de red usando procesos y protocolos tales como Telnet, SSH, TFTP y FTP, etc. El
plano de administración es un blanco muy atractivo para los hackers. Por esta razón, el módulo de
administración tiene incorporadas varias tecnologías para mitigar tales riesgos.
El flujo de información entre hosts de administración y los dispositivos administrados pueden ser
fuera de banda (OOB) (la información fluye dentro de una red en la cual no reside ningún tráfico
de producción) o en banda (la información fluye a través de la red de producción de la empresa,
Internet, o ambas).
La seguridad del plano de administración puede implementarse usando las siguientes funciones:
Política de logueo y contraseña - Restringe la accesibilidad al dispositivo. Limita los puertos
accesables y restringe los métodos del acceso "quién" y "cómo".
Notificación legal actual - Muestra las notificaciones legales. Éstas a menudo son
desarrolladas por el concejo legal de una corporación.
Asegurar la confidencialidad de los datos - Protege datos sensibles almacenados
localmente para que no sean vistos ni copiados. Utiliza protocolos de administración con
fuerte autenticación para mitigar ataques contra la confidencialidad que tienen como
objeto exponer contraseñas y configuraciones de dispositivos.
Control de acceso basado en el rol (RBAC) - Asegura que el acceso sólo se otorgue a
usuarios, grupos y servicios autenticados. Los servicios RBAC y autenticación, autorización,
y cuentas (AAA) proporcionan mecanismos para administrar eficazmente el control de
acceso.
Acciones de autorización - Restringir las acciones y visualizaciones permitidos a cualquier
usuario, grupo o servicio en particular.
Permitir el informe de acceso a la administración - Logueos y cuentas para todos los
accesos. Registrar quién accedió al dispositivo, qué ocurrió y cuándo ocurrió.
RBAC restringe el acceso de los usuarios según su rol. Los roles se crean de acuerdo a las funciones
de trabajo o tarea, y permisos de acceso asignados a determinados recursos. Los usuarios se
asignan a los roles, y se les otorga los permisos definidos para dicho rol.
En Cisco IOS, la función de acceso a CLI basado en el rol implementa RBAC para el acceso a la
administración de routers. La función crea diferentes "vistas" que definen qué comandos se
aceptan y qué información de la configuración es visible. Para la escalabilidad, los usuarios,
permisos y roles se crean y se mantienen por lo general en un servidor de repositorio central. Esto
hace que la política de control de acceso esté disponible para varios dispositivos. El servidor
repositorio central puede ser un servidor AAA, como el Sistema de Control de Acceso Seguro de
Cisco (ACS), que proporciona servicios AAA a la red a los fines de la administración.
El tráfico del plano de datos consiste mayormente en paquetes generados por el usuario que se
envían a través del router mediante el plano de datos. La seguridad del plano de datos puede
implementarse usando ACLs, mecanismos antispoofing, y funciones de seguridad de la Capa 2.
Las ACLs llevan a cabo el filtrado de paquetes para controlar qué paquetes se desplazan a través
de la red y dónde se permite ir a dichos paquetes. Las ACL se utilizan para asegurar el plano de
datos de varias formas, incluyendo:
Bloqueo de tráfico o usuarios no deseados - Las ACL pueden filtrar paquetes entrantes o
salientes en una interfaz. Pueden utilizarse para controlar el acceso basándose en las
direcciones del origen, direcciones de destino, o autenticación del usuario.
Reducir las oportunidades de ataques DoS - Las ACL pueden usarse para especificar si el
tráfico proveniente de hosts, redes o usuarios acceden a la red. La función interceptar de
TCP también puede configurarse para evitar que los servidores sean saturados con
solicitudes de conexión.
Mitigar ataques de spoofing - Las ACL permiten a los practicantes de la seguridad el
implementar prácticas para mitigar ataques de spoofing.
Proporcionar control del ancho de banda - Las ACL en un enlace lento pueden evitar el
exceso de tráfico.
Clasificar el tráfico para proteger los planos de Administración y Control - Las ACL pueden
aplicarse en la línea VTY.
Las ACL también pueden usarse como mecanismo antispoofing descartando tráfico que tenga una
dirección de origen inválida. Esto obliga a los ataques a iniciarse desde direcciones IP válidas y
dentro del alcance, permitiendo el rastreo de los paquetes hasta el origen del ataque.
Funciones tales como Envío de Rutas Inversas Unicast (uRPF) pueden utilizarse como estrategia
antispoofing.
Los switches Cisco Catalyst pueden usar funciones integradas para ayudar a asegurar la
infraestructura de la Capa 2. Las siguientes son herramientas de seguridad de la Capa 2 integradas
a los switches Cisco Catalyst:
Seguridad del puerto - Evita el spoofing de la dirección MAC y los ataques de saturación de
la dirección MAC.
Snooping DHCP - Evita ataques de los clientes al servidor y switch DHCP.
Inspección de ARP Dinámico (DAI) - Agrega seguridad a ARP usando la tabla de snooping
DHCP para minimizar el impacto del envenenamiento de ARP y los ataques de spoofing.
IP Source Guard - Evita el spoofing de direcciones IP usando la tabla de snooping DHCP.
Este curso pone el enfoque en las diversas tecnologías y protocolos usados para asegurar los
planos de Administración y Datos.
2. Seguridad de los Dispositivos de Red
2.4 Uso de Funciones de Seguridad Automatizadas
2.4.3 Bloqueo de un Router usando CCP
Bloqueo en un Solo Paso de Cisco
El Bloqueo en un Solo Paso prueba la configuración de un router en busca de cualquier problema
de seguridad en potencia y efectúa los cambios de configuración necesarios para corregir
cualquier problema.
El Bloqueo en un Solo Paso de Cisco inhabilita:
El servicio Finger
El servicio PAD
El servicio de pequeños servidores TCP
El servicio de pequeños servidores UDP
El servicio de servidor IP BOOTP
El servicio de identificación IP
El Protocolo de Descubrimiento Cisco
La ruta de origen IP
Los GARPs IP
SNMP
Redirecciones de IP
ARP proxy IP
Broadcast dirigido IP
Servicio MOP
Inalcanzables IP
Respuesta de máscara IP
Inalcanzables en interfaz nula IP
El Bloqueo en un Solo Paso de Cisco permite:
El servicio de encriptación de contraseña
Mensajes de actividad TCP para sesiones Telnet de entrada y salida
Números de secuencia y marcas de tiempo en los debugs
Envío Expreso de Cisco con conmutación NetFlow integrada
Envío de Ruta Inversa Unicast (RPF) en interfaces externas
Firewall en todas las interfaces externas
SSH para acceder al router
AAA
El Bloqueo en un Solo Paso de Cisco configura:
Longitud mínima de la contraseña a seis caracteres
Tasa de fallo de autenticación a menos de tres reintentos
Tiempo synwait de TCP
Banner de notificación
Parámetros de logueo
Contraseña enable secret
Intervalo de cronograma
Localicación de cronograma
Usuarios
Configuraciones de Telnet
Clase de acceso en el servicio de servidores HTTP
Clase de acceso en líneas vty
Decidir qué función de bloqueo automatizado usar, AutoSecure o CCP Security Audit One-Step
Lockdown, es básicamente una cuestión de preferencia. Existen diferencias respecto a cómo
implementan buenas prácticas de seguridad.
CCP no implementa todas las funciones de Cisco AutoSecure. Desde la versión 2.4 de CCP, las
siguientes funciones de Cisco AutoSecure no son parte del Bloqueo en un Solo Paso CCP:
Inhabilitación de NTP - Basándose en la entrada, Cisco AutoSecure inhabilita NTP de no ser
necesario. De otro modo, NTP se configura con autenticación MD5. CCP no soporta
inhabilitación de NTP.
Configuración de AAA - Si el servicio de AAA no está configurado, Cisco AutoSecure
configura AAA localmente y pide la configuración de una base de datos de nombres de
usuario y contraseñas locales en el router. CCP no soporta la configuración de AAA.
Configuración de valores de Descarte Selectivo de Paquetes (SPD) - CCP no configura
valores SPD.
Habilitación de intercepciones TCP - CCP no habilita intercepciones TCP.
Configuración de ACLs de antispoofing en interfaces externas - Cisco AutoSecure crea tres
listas de nombres para evitar el antispoofing de direcciones de origen. CCP no configura
estas ACL.
Las siguientes funciones se implementan de manera diferente en Cisco AutoSecure y el Bloqueo en
un Solo Paso CCP:
Habilitación de SSH para acceder al router - CCP habilita y configura a SSH en imágenes
Cisco IOS que tengan configurada la función IPsec; no obstante, a diferencia de Cisco
AutoSecure, CCP no permite el Protocolo de Copia Segura (SCP) ni inhabilita otros servicios
de acceso y transferencia de archivos, tales como FTP.
Inhabilitación de SNMP - CCP inhabilita SNMP; no obstante, a diferencia de Cisco
AutoSecure, CCP no proporciona una opción para configurar SNMPv3. La opción SNMPv3
no está disponible en todos los routers.
Independientemente de qué función automatizada se prefiera, deberá utilizarse como línea base y
luego alterarse para cumplir con las necesidades de la organización.
3. Seguridad de los Dispositivos de Red
3.2 Autenticación AAA Local
3.2.2 Configuración de Autenticación AAA Local con CCP
AAA puede habilitarse usando CCP. Para verificar la configuración de AAA y para habilitar o
inhabilitar AAA, elija Configure > Router > AAA > AAA Summary. El estado actual de AAA se
mostrará en la ventana junto a un botón para habilitar o inhabilitar AAA dependiendo de la
configuración actual. Si AAA está inhabilitada actualmente, haga clic en el botón Enable AAA. CCP
mostrará un mensaje informativo anunciando que se efectuarán cambios en la configuración CCP
para evitar la pérdida de acceso al dispositivo. Haga clic en Yes para continuar.
Si se hace clic en el botón Disable AAA, CCP muestra un mensaje informativo anunciando que
efectuará cambios en la configuración para asegurar que puede accederse al router después de
inhabilitar AAA.
La primera tarea al utilizar CCP para configurar servicios AAA para la autenticación local es crear
usuarios:
Paso 1. Elija Configure > Router > Router Access > User Accounts/View.
Paso 2. Haga clic en Add para agregar un nuevo usuario.
Paso 3. En la ventana Add an Account, introduzca el nombre de usuario y contraseña en los
campos apropiados para definir la cuenta del usuario.
Paso 4. Desde el menú desplegable Privilege Level, elija 15, a menos que haya menos niveles de
privilegios ya definidos.
Paso 5. Si se han definido vistas, coloque un tilde en Associate a View with the user y elija una vista
desde la lista View Name que esté asociada con el mismo.
Paso 6. Haga clic en OK.
El comando CLI que genera CCP es username AAAadmin privilege 15 secret 5
$1$f16u$uKOO6J/UnojZ0bCEzgnQi1 view root.
Para configurar la autenticación AAA, un administrador debe definir primero una lista de métodos
de autenticación para el método por defecto o configurar un método nombrado y aplicarlo.
Diferentes listas de métodos pueden crearse y aplicarse a diferentes interfaces o líneas.
Configuración de la lista de métodos por defecto para autenticación utilizando una base de datos
local:
Paso 1. Elija Configure > Router > AAA > Authentication Policies > Login. Se mostrará cualquier lista
de métodos de acceso definida.
Paso 2. Para visualizar las opciones para una lista de métodos, seleccione el nombre de la lista y
haga clic en Edit.
Paso 3. Desde la ventana Edit a Method List for Authentication Login, haga clic en Add.
Paso 4. Desde la ventana Select Method List(s) for Authentication Login, elija local de la lista de
métodos si ya no está seleccionado.
Paso 5. Haga clic en OK.
El comando CLI que CCP genera es aaa authentication login default local.
4. Implementación de tecnologías de Firewall
4.1 Listas de control de acceso
4.1.4 Configuración de ACLs Estándar y extendidas con CCP
Las ACL Estándar y Extendidas pueden configurarse desde la CLI o usando CCP.
Para configurar las ACL en un dispositivo de enrutamiento usando CCP, el router debe estar
seleccionado desde el recuadro desplegable bajo Seleccionar Miembro de la Comunidad. Si la
dirección IP del router no aparece, el router aún no ha sido descubierto por CCP.
Una vez seleccionado el dispositivo, haga clic en el botón Configurar en la parte superior de la
ventana de la aplicación CCP para abrir el listado de tareas. Seleccione el recuadro desplegable del
Router, seguido por el recuadro desplegable ACL para acceder a las opciones de configuración de
ACL.
Configurar > Router > ACL
Las reglas definen cómo responde un router a un tipo particular de tráfico. Usando CCP, un
administrador puede crear reglas de acceso que hagan que el router denegue ciertos tipos de
tráfico, y permita otros. CCP proporciona reglas por defecto que un administrador puede usar al
crear reglas de acceso.
Un administrador también puede ver reglas que no se crearon usando CCP, llamadas reglas
externas, y reglas con una sintaxis no soportada por CCP, que se denominan reglas no soportadas.
La ventana de Resumen de Reglas CCP (ACLs) proporciona un resumen de las reglas en la
configuración del router y el acceso a otras ventanas para crear, editar y borrar reglas. Para
acceder a esta ventana, elija Configurar > Router > ACL > Resumen de ACL. Éstos son los tipos de
reglas que administra CCP:
Reglas de acceso - Gobiernan el tráfico que ingresa y sale de la red. El administrador puede
aplicar reglas de acceso a las interfaces y líneas vty del router.
Reglas NAT - Determinan qué direcciones IP privadas son traducidas a direcciones IP
válidas de Internet.
Reglas IPsec - Determinan qué tráfico es cifrado en conexiones seguras.
Reglas NAC - Especifican qué direcciones IP son admitidas a la red o bloqueadas de ella.
Reglas de Firewall - Especifican las direcciones de origen y destino y si el tráfico será
permitido o denegado.
Reglas QoS - Especifican el tráfico que pertenece a la clase de calidad de servicio (QoS) a la
que la regla está asociada.
Reglas no soportadas - No creadas usando CCP y no soportadas por CCP. Estas reglas se
leen solamente y no pueden modificarse usando CCP.
Reglas definidas externamente - No creadas mediante el uso de CCP, pero soportadas por
CCP. Estas reglas no pueden asociarse a ninguna interfaz.
Reglas CCP por defecto - Reglas predefinidas que utilizan los asistentes de CCP.
CCP se refiere a las ACLs como reglas de acceso. Usando CCP, un administrador puede crear y
aplicar reglas estándar (ACLs Estándar) y reglas extendidas (ACLs Extendidas). Estos son los pasos
para configurar una regla estándar usando CCP:
Paso 1. Vaya a Configurar > Router > ACL > Editor de ACLs.
Paso 2. Haga clic en Agregar. Aparecerá la ventana Agregar una Regla.
Paso 3. En la ventana Agregar una Regla, ingrese un nombre o número en el campo
Name/Number.
Paso 4. Desde la lista desplegable Tipo, elija Regla Estándar. Opcionalmente, introduzca una
descripción en el campo Descripción.
Paso 5. Haga clic en Agregar. Aparece la ventana Agregue una Entrada de Regla Estándar.
Paso 6. Desde la lista desplegable Seleccione una Acción, elija Permitir o Denegar.
Paso 7. Desde la liasta desplegable Tipo, elija un tipo de dirección:
Una Red - Se aplica a todas las direcciones IP de una red o subred.
Un Nombre de Host o Dirección IP - Se aplica a un host o dirección IP específicos.
Cualquier dirección IP - Se aplica a cualquier dirección IP.
Paso 8. Dependiendo de qué se seleccionó desde la lista desplegable Tipo, estos campos
adicionales deberán completarse:
Dirección IP - Si en el campo Tipo, se seleccionó "Una Red", introduzca su dirección IP.
Máscara Wildcard - Si en el campo Tipo, se seleccionó "Una Red"; especifique una máscara
wildcard desde la lista desplegable Máscara Wildcard o introduzca una máscara wildcard
personalizada.
Nombre/IPdeHost - Si en el campo Tipo, se seleccionó "Un Nombre de Host o Dirección
IP"; introduzca el nombre de la dirección IP del host. Si se introduce un nombre de host, el
router debe configurarse para usar un servidor DNS.
Paso 9. (Opcional) Introduzca una descripción en el campo Descripción. La descripción debe tener
menos de 100 caracteres.
Paso 10. (Opcional) Verifique las coincidencias del Log con esta entrada. Dependiendo de cómo se
configuran los valores syslog en el router, las coincidencias se registran en el buffer de logueo
local, se envían a un servidor syslog, o ambas cosas.
Paso 11. Haga clic en Aceptar.
Paso 12. Continúe agregando o editando reglas hasta completar la regla estándar. Si en cualquier
momento el orden de las entradas de la regla de la lista Entradas de la Regla necesita cambiarse,
use los botones Mover hacia Arriba y Mover hacia Abajo.
Una vez que la lista de Entradas de la Regla está completa, el siguiente paso es aplicar la regla a
una interfaz. Estos son los pasos para aplicar una regla a una interfaz:
Paso 1. Desde la ventana Agregar una Regla, haga clic en Asociar. Aparece la ventana Asociar con
una Interfaz. Solamente las interfaces con un estado de activa/activa aparecerán en la lista
desplegable.
Paso 2. Desde la lista desplegable Seleccione una Interfaz, elija la interfaz a la cual se aplicará esta
regla.
Paso 3. Desde la sección Especificar un Sentido, haga clic en el botón de radios Entrante o Saliente.
Si el router ha de verificar los paquetes entrantes a la interfaz, haga clic en Entrante. Si el router ha
de forwardear el paquete a la interfaz saliente antes de compararlo con las entradas de la regla de
acceso, haga clic en Saliente.
Paso 4. Si una regla ya está asociada con la interfaz designada en el sentido deseado, aparece un
recuadro preguntando si le gustaría continuar con la asociación. Si se hace clic en No, reaparece la
ventana Asociar con una Interfaz para permitirle cambiar la asociación. Si se hace clic en Sí,
aparece otro recuadro con las siguientes opciones:
Unir - combina la nueva regla de acceso con la regla existente y asocia la nueva regla
combinada a la interfaz. Cualquier ACE duplicada se quitará.
Reemplazar - reemplaza la regla de acceso existente con la nueva regla de acceso y asocia
la nueva regla a la interfaz.
Vista Preliminar - muestra preliminarmente la regla de acceso existente antes de tomar
una decisión
Una vez creada la regla de acceso, haga clic en el botón Aceptar de la ventana Agregar una Regla.
Aparece la ventana Entregar Configuración al Dispositivo. Muestra los comandos de configuración
generados por la nueva regla de acceso que se enviará al router. Haga clic en el recuadro de
verificación que se encuentra junto a Guardar la configuración actual a la configuración de inicio
del dispositivo. Luego haga clic en el botón Entregar.
4.1.10 ACLs de IPv6
En años recientes, muchas redes han comenzado la transición a un entorno IPv6. Parte de la
necesidad de transicionar a IPv6 se halla en las debilidades inherentes a IPv4. IPv4 fue diseñada sin
varios de los requisitos de las redes modernas tales como:
Seguridad - IPsec
Roaming de dispositivos - IP Móvil
Calidad de servicio - RSVP
Escasez de direcciones - DHCP, NAT, CIDR, VLSM
Lamentablemente, a medida que continúa la migración a IPv6, los ataques a IPv6 se hacen más
insistentes. Esto, en parte, se debe a la naturaleza transicional de la conversión entre las dos. IPv4
no desaparecerá de un día para otro. En cambio, coexistirá con, y luego gradualmente será
reemplazada por, IPv6. Esto crea potencialmente "agujeros" en la seguridad. Un ejemplo de una
preocupación en cuanto a la seguridad son los atacantes que desequilibran a IPv6 para explotar a
IPv4 en una pila dual. La pila dual es un método de integración en el cual un nodo tiene
implementación y conectividad con redes tanto IPv4 como IPv6. Como resultado, el nodo y sus
routers correspondientes tienen dos pilas de protocolo.
Combinando diversas técnicas, los atacantes pueden lograr ataques furtivos que resulten en una
explotación de la confianza utilizando hosts apilados, mensajes del protocolo de descubrimiento
de colindantes (NDP) rebeldes, y técnicas de tunneling. El atacante obtiene acceso a la red IPv4. El
host comprometido envía publicaciones malintencionadas al router, disparando a los hosts en pila
dual para obtener una dirección IPv6. El atacante también puede usar el encabezado de
enrutamiento para pivotear en varios hosts de la red interna antes de enviar tráfico hacia afuera.
Es necesario desarrollar e implementar una estrategia para mitigar los ataques contra las
infraestructuras y protocolos de IPv6. Esta estrategia de mitigación deberá incluir filtrado en el
borde usando varias técnicas tales como ACLs de IPv6.
La funcionalidad de las ACLs estándar en IPv6 es similar a las ACLs estándar en IPv4. Estas ACLs
determinan qué tráfico se bloquea y qué tráfico se forwardea a las interfaces del router. Permiten
el filtrado basado en las direcciones de origen y destino, entrantest y salientes a una interfaz
específica. Las ACLs IPv6 se definen usando el comando ipv6 access-list con las palabras clave deny
y permit en modo de configuración global.
En el Cisco IOS Versión 12.0(23)S y 12.2(13)T o versiones posteriores, la funcionalidad de una ACL
estándar IPv6 es extendida. Puede soportar filtrado de tráfico basado en los encabezados de
opción IPv6 y en la información de tipo de protocolo de capa superior para una mejor granularidad
de control, similar a las ACLs extendidas en IPv4. Para configurar una ACL IPv6, primero entre al
modo de configuración de lista de acceso IPv6:
Router(config)# ipv6 access-list access-list-name
A continuación, configure cada entrada de la lista de acceso para permitir o denegar tráfico
específicamente.
Router(config-ipv6-acl)# {permit | deny} protocol {source-ipv6-prefix/prefix-length | any | host
source-ipv6-address | auth} [operator [port-number]] {destination-ipv6-prefix/prefix-length | any
| host destination-ipv6-address | auth} [operator [port-number]]
Una vez que se crean los enunciados de ACL, el administrador activa la ACL en una interfaz
mediante el comando ipv6 traffic-filter especificando el nombre de la ACL y el sentido del tráfico al
cual se aplica la ACL.
Router(config-if)# ipv6 traffic-filter access-list-name {in | out}
Cada ACL IPv6 contiene reglas de permiso implícitas para habilitar el descubrimiento de
colindantes IPv6. El proceso del descubrimiento de colindantes IPv6 hace uso del servicio de Capa
de Red de IPv6. Por lo tanto, por defecto, las ACLs IPv6 implícitamente permiten que se envíen y
reciban en una interfaz los paquetes de descubrimiento de colindantes IPv6. Las listas de acceso
IPv6 implícitamente denegan todos los otros servicios no permitidos específicamente que no sean
el protocolo de descubrimiento de colindantes IPv6.
Estas reglas pueden ser anuladas por el usuario colocando un enunciado deny ipv6 any any al final
de la ACL. Si, no obstante, se utiliza este enunciado, el administrador debe también permitir
específicamente el proceso de descubrimiento de colindantes de la siguiente manera:
permit icmp any any nd-na
permit icmp any any nd-ns
deny ipv6 any any
4.1.11 Uso de grupos de Objetos en ACEs
En redes grandes, las ACLs pueden ser grandes (cientos de líneas) y difíciles de configurar y
administrar, especialmente si cambian frecuentemente.
Las ACLs basadas en grupos de objetos son más pequeñas, más legibles y más fácil de configurar y
administrar que las ACLs convencionales. Éstas simplifican la implementación de ACLs estáticas y
dinámicas para grandes entornos de acceso de usuarios en los routers Cisco IOS. Las ACLs tanto
IPv4 como IPv6 soportan grupos de objetos.
La función de grupos de objetos para las ACLs permite a un administrador el clasificar usuarios,
dispositivos, o protocolos en grupos. Estos grupos pueden luego ser aplicados a las ACLs para crear
políticas de control de acceso para un grupo de objetos. Esta función le permite al administrador
usar grupos de objetos en lugar de direcciones IP, protocolos y puertos individuales, los cuales se
usan en las ACLs convencionales. Esto resulta en menos ACEs, y mejor administrables.
Agrupando objetos similares, se puede usar el grupo de objetos en una ACE en lugar de tener que
introducir un ACE para cada objeto separadamente. Es posible crear los siguientes tipos de grupos
de objetos:
De red
De servicio
Las siguientes instrucciones y limitaciones se aplican a los grupos de objetos:
Los grupos de objetos deben tener nombres únicos. Aunque fuera deseable crear un
grupo de objetos de red llamado "Ingeniería" y un grupo de objetos de servicio llamado
"Ingeniería", es necesario agregar un identificador (o "etiqueta") al final de al menos uno
de los nombres de grupo de objetos para hacerlo único. Por ejemplo, use
"Ingenieria_admins" e "Ingenieria_svcs".
Una vez creado un grupo de objetos, es posible agregar objetos adicionales al grupo
siguiendo simplemente el mismo procedimiento que se usa para crear un nuevo grupo de
objetos; en esta instancia, especificando el nombre del grupo y luego especificando los
objetos adicionales.
Pueden agruparse objetos tales como hosts o servicios. Una vez que los objetos se
agrupan, si ese nombre de grupo se usa en un único comando, el comando se aplicará a
cada elemento del grupo.
No es posible borrar un grupo de objetos o vaciarlo si se usa en una ACE.
Al definir un grupo mediante el comando object-group y luego usar cualquier comando de
aplicación de seguridad, el comando se aplica a cada elemento de ese grupo. Esta función puede
reducir significativamente el tamaño de su configuración.
Grupos de Objetos de Red
Un grupo de objetos de red es un grupo de cualquiera de los siguientes objetos:
Nombres de host, direcciones IP, o subredes
Rangos de direcciones IP
Grupos de objetos de red existentes
Para crear un grupo de red, introduzca los siguientes comandos:
Router(config)# object-group network nw_grp_id
Router(config-network-group)# description description-text | host {host-address | host-name} |
network-address {/prefix-length | network-mask} | range host-address1 host-address2 | any |
group-object nested-object-group-name
Grupos de Objetos de Servicio
Un grupo de objetos de servicio es un grupo de cualquiera de los siguientes objetos:
Protocolos de nivel superior (tales como TCP, UDP, o ESP)
Puertos de protocolo de origen y destino (tales como Telnet o SNMP)
Tipos de ICMP (tales como eco, respuesta-de-eco, o host-inalcanzable)
Grupos de objetos de servicio existentes
Para crear un grupo de servicio, introduzca los siguientes comandos:
Router(config)# object-group service svc_grp_id
Router(config-service-group)# protocol | [tcp | udp | tcp-udp [source {{[eq]| lt | gt} port1 | range
port1 port2}] [{[eq]| lt | gt} port1 | range port1 port2]] | icmp icmp-type
Los grupos de objetos pueden usarse para todos los parámetros disponibles en el comandoaccess-
list {tcp | udp}.
En una ACL IPv4, aplique los grupos de objetos incluyendo el comandoobject-groupseguido de el
nombre de grupo de objetos apropiado.
Router(config)# ip access-list extended name_of_ACL
Router(config-ext-nacl)# [line line_number] {permit | deny} {protocol | object-group
protocol_obj_grp_id} {source-prefix/wildcard-mask | any | host source-address | object-group
network_obj_grp_id} [operator {port [port]} | object-group service_obj_grp_id}] {destination-
prefix/wildcard mask | any | host destination-address | object-group network_obj_grp_id}
[operator {port [port] | object-group service_obj_grp_id}] {[log [level]]}
Los grupos de objetos también pueden ser utilizados en la configuración IPv6 de ACL de la
siguiente manera:
Router(config)# ipv6 access-list access-list-name
Router(config-ipv6-acl)# {permit | deny} {protocol | object-group protocol_obj_grp_id} {source-
ipv6-prefix/prefix-length | any | host source-ipv6-address | object-group
network_obj_grp_id}[operator {port [port] | object-group service_obj_grp_id}] {destination-ipv6-
prefix/prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id}
[{operatorport [port] | object-group service_obj_grp_id}]
Note que una ACE puede contener una mezcla de grupos de objetos y objetos individuales, tales
como protocolos, redes o servicios específicos.
Una vez que un grupo de objetos se aplica a una ACE, el grupo de objetos no puede borrarse ni
vaciarse. Si se agregan al final del grupo de objetos, objetos adicionales después de que el grupo
de objetos se haya aplicado a la ACE, no es necesario reaplicar el grupo de objetos a la ACE. La ACE
se ajustará automáticamente para incluir cualquier nuevo objeto agregado al final.
5. Implementación de Prevención de Intrusiones
5.3 Implementación de IPS
5.3.2 Implementación del IPS IOs de Cisco con CCP
CCP proporciona controles para aplicar Cisco IOS IPS en interfaces, importando y editando archivos
con la firma de Cisco.com, y configura la acción que Cisco IOS IPS toma si se detecta una amenaza.
Las tareas para administrar routers y dispositivos de seguridad se muestran en un panel de tareas
del lado izquierdo de la página home de CCP. Elija Configurar > Seguridad > Prevención de
Intrusiones para mostrar las opciones de prevención de intrusiones en CCP.
Para la computadora host CCP, un tamaño de pila de memoria Java de 256MB se requiere para la
configuración de IOS IPS. Si se genera un error al intentar acceder a la ventana de Prevención de
Instrusiones, el tamaño de la pila de memoria Java debe cambiarse en la computadora host. Para
hacerlo, salga de CCP y abra el Panel de Control de Windows. Haga clic en la opción Java que abre
el Panel de Control de Java. Seleccione la pestaña Java y haga clic en el botón Ver debajo de
Configuraciones en Tiempo de Ejecución de la Applet Java. En el campo Parámetro de Tiempo de
Ejecución de Java introduzca exactamente lo siguiente Xmx256m y haga clic en Aceptar.
Una vez que el tamaño de la pila de memoria de Java se ha configurado correctamente, CCP
muestra cinco pestañas en la ventana Sistemas de Prevención de Intrusiones (IPS). Use las
pestañas de la parte superior de la ventana IPS para configurar o monitorear a IPS.
Crear IPS - Active el asistente de Regla IPS para crear nuevas reglas IPS en una interfaz y
especifique la localización del archivo de definición de firma.
Editar IPS - Edite las reglas de Cisco IOS IPS y aplíquelas o bórrelas de las interfaces.
Tablero de Seguridad - Vea la tabla de Amenazas Más Importantes e implemente firmas
asociadas con dichas amenazas.
Sensor IPS - Administre el sensor IPS, efectúe configuraciones de fallo, y configure ACLs
para las interfaces monitoreadas.
Migración de IPS - Migre las configuraciones de Cisco IOS IPS que se crearon usando
versiones anteriores del Software Cisco IOS. La Migración de IPS no está disponible en
versiones anteriores a Cisco IOS Versión 12.4(11)T.
El administrador puede usar CCP para crear una nueva regla en un router Cisco ya sea
manualmente o mediante la pestaña Editar IPS, o automáticamente usando el asistente Regla IPS.
La Guía de Implementación de Cisco IOS IPS recomienda usar el asistente Regla IPS. El asistente
hace más que tan sólo configurar una regla. Lleva a cabo todos los pasos de configuración de Cisco
IOS IPS.
Antes de configurar IPS con CCP, descargue el último archivo de firma y clave pública de IPS, si se
la requiere, de Cisco.com. La configuración de Cisco IOS IPS en un router o dispositivo de seguridad
que usa CCP consta de varios pasos:
Paso 1. Inicie CCP. Elija Configurar > Seguridad > Prevención de Intrusiones > Crear IPS.
Paso 2. Haga clic en el botón Iniciar el Asistente de Regla IPS. Si la notificación SDEE no se
habilitado en el router, aparecerá una notificación anunciando que CCP abrirá un suscripción con
el router para obtener eventos SDEE. Haga clic en Aceptar.
Paso 3. Lea la pantalla Bienvenido al Asistente de Políticas de IPS y haga clic en Siguiente.
Paso 4. En la ventana Seleccionar Interfaces, elija las interfaces a las cuales aplicar la regla IPS y el
sentido del tráfico marcando uno o ambos recuadros. Marcar los recuadros de entrante y saliente
aplica la regla al tráfico que fluye en ambos sentidos. Haga clic en Siguiente.
Cisco IOS IPS examina el tráfico comparándolo con las firmas contenidas en un archivo de
definición de firmas (SDF). El SDF puede estar ubicado en la memoria flash del router o en un
sistema remoto que el router pueda alcanzar. Se pueden especificar varias ubicaciones de SDF
para que si el router no puede contactar la primera ubicación, pueda intentar contactar otras
ubicaciones hasta que obtiene un SDF.
Paso 5. En el panel Archivo Firma de la ventana Archivo Firma y Clave Pública, seleccione la opción
Especificar el archivo firma que desee usar con IOS IPS o la opción Obtener el último archivo firma
de Cisco.com y guardar en la PC y complete el recuadro de texto apropiado. El archivo firma es un
paquete de actualización IOS IPS con la convención de nombrado de IOS-Snnn-CLI.pkg, donde nnn
es el número del equipo de firma.
Paso 6. Si ya tiene una copia del archivo firma y no necesita bajarlo de Cisco.com, entonces haga
clic en el botón [...] junto a la opción Especificar el archivo firma que desee usar con IOS IPS.
Aparece la ventana Especificar el Archivo Firma. En la ventana Especificar Archivo Firma,
seleccione cómo desea que el router acceda al archivo. Por ejemplo, el router puede acceder al
archivo firma usando un archivo flash, a través de TFTP, o mediante una ubicación guardada en la
PC. Si no posee una copia del archivo firma y desea descargar el último archivo firma de Cisco.com,
seleccione la opción Obtener el último archivo firma en Cisco.com y guardar en la PC. Haga clic en
el botón Buscar para especificar la ubicación de la PC donde deberá descargarse el archivo y luego
haga clic en Descargar.
El archivo firma Cisco IOS IPS contiene información de la firma por defecto. Cualquier cambio
efectuado en esta configuración no se guarda en el archivo firma sino más bien en un archivo
especial llamado archivo delta. El archivo delta se guarda en la memoria flash del router. Por
razones de seguridad, el archivo delta debe estar firmado digitalmente mediante una clave que
también se obtiene en Cisco.com.
Paso 7. Si la clave encriptada pública no se descargó previamente ni se la guardó en la PC,
descargue la clave encriptada de Cisco.com. Abra el archivo de clave pública en un editor de texto
y copie el texto después de la frase "named-key" en el campo Nombre. Por ejemplo, si la línea de
texto es "named-key realm-cisco.pub signature" copie "realm-cisco.pub signature" en el campo
Nombre.
Paso 8. Copie el texto entre la frase "key-string" y la palabra "quit" en el campo Clave. El texto
podría tener el siguiente aspecto:
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101 00C19E93
A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16 17E630D5 C02AC252
912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128 B199ABCB D34ED0F9 085FADC1
359C189E F30AF10A C0EFB624 7E0764BF 3E53053E 5B2146A9 D7A5EDE3 0298AF03 DED7A5B8
9479039D 20F30663 9AC64B93 C0112A35 FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6
85EAF974 6D9CC8E3 F0B08B85 50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5
7A0AF99E AD768C36 006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2
892356AE 2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
F3020301 0001
Haga click en Siguiente.
Si usa Cisco IOS Versión 12.4(11) o posterior, puede especificarse la ubicación para almacenar la
información de firma y el tipo de categoría de firma.
Paso 9. En la ventana Ubicación y Categoría de Config, en la sección Ubicación de Config, haga clic
en el botón de elipsis [...]junto al campo Ubicación de Configuración para especificar dónde
almacenar los archivos firma XML, incluyendo el archivo delta que se crea cuando se efectúan
cambios en el archivo firma.
Paso 10. Puesto que las restricciones en la memoria y recursos del router pueden limitar el uso de
las firmas disponibles, elija una categoría en el campo Elegir Categoría, lo cual permite al Cisco IOS
IPS funcionar eficientemente en el router. La categoría de firma básica es apropiada para routers
con menos de 128 MB de memoria flash, y la categoría de firma avanzada es apropiada para
routers con más de 128 MB de memoria flash. Haga clic en Siguiente.
Paso 11. Haga clic en Finalizar. El Asistente de Políticas IPS confirma la información configurada en
la pantalla de resumen.
Use el comando show running-config para verificar la configuración de IPS generada mediante el
Asistente IPS CCP.
8. Implementación de Redes Privadas Virtuales
8.5 Implementación de VPNs IPsec de sitio a sitio con CCP
8.5.1 Configuración de IPsec con CCP
Además de configurar VPNs IPsec a través de CLI, es posible configurarlas utilizando un asistente
CCP.
Para seleccionar e iniciar un asistente VPN, siga los siguientes pasos:
Paso 1. Haga clic sobre Configure en la barra de herramientas principal.
Paso 2. Haga clic sobre el botón VPN a la izquierda para abrir la página de VPN.
Paso 3. Seleccione un asistente en la ventana de VPN.
Paso 4. Haga clic sobre el subtipo de implementación de VPN.
Paso 5. Haga clic sobre el botón Launch the selected task para iniciar el asistente.
Los asistentes VPN CCP usan dos orígenes para crear una conexión VPN: entrada del usuario
durante un proceso de asistente paso a paso, y componentes VPN preconfigurados.
CCP proporciona algunos componentes VPN por defecto para el asistente de Configuración
Rápida: dos políticas IKE y un conjunto de transformación IPSec.
Los asistentes VPN crean otros componentes durante el proceso de configuración paso a paso.
Algunos componentes deberán configurarse antes de que puedan usarse los asistentes. Por
ejemplo, los componentes de PKI deberán configurarse antes de usar el asistente de PKI.
La carpeta principal VPN contiene una guía de diseño VPN, los asistentes para crear una VPN de
sitio a sitio, Easy VPN Remote, Easy VPN Server, y VPN dinámica multipunto. Los asistentes de VPN
simplifican la configuración de los componentes VPN individuales. La sección de componentes
IPsec individuales pueden luego usarse para modificar parámetros que podrían usarse luego para
modificar parámetros que podrían haber estado desconfigurados durante la configuración del
asistente VPN paso a paso..
Bajo la carpeta VPN hay tres subcarpetas:
La SSL VPN - Se usa para configurar parámetros SSL VPNs.
La GET VPN -Se usa para configurar parámetros GET VPN.
Componentes de VPN - Se usan para configurar componentes VPN tales como IPsec, IKE,
políticas de grupo del Servidor Easy VPN y configuraciones proxy del navegador, y la
Encriptación de Claves VPN. La opción de encriptación de claves VPN aparece si la imagen
del software Cisco IOS del router soporta la encriptación tipo 6, también llamada
encriptación de clave VPN. Use esta ventana para especificar una clave maestra al
encriptar claves VPN, tales como PSKs, claves Cisco Easy VPN, y claves de Autenticación
Extendida (XAuth). Cuando las claves se encriptan, no son legibles por alguien que viera el
archivo de configuración del router.
Utilice un navegador web para iniciar el Cisco SDM en un router. Seleccione el asistente de VPN en
Configure > VPN > Site-to-Site VPN.
Para crear y configurar una clásica VPN de sitio a sitio, haga clic en la opción Create a Site-to-Site
VPN de la pestaña Create Site-to-Site VPN. Luego, haga clic en el botón Launch the selected task.
En esta instancia, una ventana muestra las opciones Quick setup y Step by step wizard.
La opción Quick setup utiliza las políticas IKE y conjuntos de transformación IPsec por defecto del
Cisco SDM. Permite a un administrador junior configurar en forma rápida una VPN IPsec utilizando
los mejores parámetros de seguridad.
El asistente Step by step wizard permite al administrador especificar todos los detalles finos de
una VPN IPsec.
Haga clic en el botón Next para configurar los parámetros de la conexión VPN.
9. Administración de una red segura
9.2 Arquitectura de seguridad
9.2.1 Introducción a la arquitectura Cisco SecureX
En el pasado, las amenazas de origen interno o externo se desplazaban más lentamente que lo que
hacen hoy. Los empleados y recursos de datos se encontraban dentro de un perímetro predefinido
protegido por tecnología de firewall. Los empleados por lo general usaban computadoras
proporcionadas por la empresa conectadas a una LAN corporativa que era continuamente
monitoreada y actualizada para que cumpliera con los requisitos de seguridad.
La seguridad de red tradicional consistía en dos componentes importantes: una fuerte suite de
protección del punto extremo (es decir, antivirus, firewall personal, etc.) y dispositivos de escaneo
de la red basados en el perímetro (es decir, firewalls, proxies web, y gateways de email, etc.). Esta
arquitectura funcionaba bien en un mundo de PCs de alto desempeño que se encontraban
principalmente en la LAN y detrás del firewall.
Hoy, los gusanos de internet y otras amenazas a la seguridad se esparcen a través del mundo en
cuestión de minutos requiriendo que el sistema de seguridad, y la red en sí, reaccionen
instantáneamente. Además, puntos extremos de consumidores tales como iPhones, BlackBerrys,
netbooks, y miles de otros dispositivos se están convirtiendo en potentes sustitutoss para, o
complementos de, la PC tradicional. Más y más gente usa estos dispositivos para acceder a
información de las empresas. Incluso la fuerza de trabajo en sí está cambiando. Una nueva fuerza
de trabajo está emergiendo, acostumbrada a la conectividad siempre encendida, en cualquier
momento, en cualquier lugar en su dispositivo de elección.
Además, el rápido advenimiento de la informática en la nube ha introducido nuevas
preocupaciones por la seguridad. La informática en la nube permite a las organizaciones usar
servicios tales como el almacenamiento de datos o las aplicaciones basadas en la nube para
extender su capacidad o capacidades sin agregar infraestructura. Por su misma naturaleza, la nube
está fuera del perímetro de red tradicional, permitiendo que una organización tenga un centro de
datos que puede o no residir detrás del perímetro tradicional.
Cisco llama a esto la Red sin Bordes. En esta nueva Red sin Bordes, el acceso a los recursos puede
ser iniciado por usuarios desde muchas ubicaciones, en muchos tipos de dispositivos de punto
extremo, usando diversos métodos de conectividad.
¿Qué significado tiene esto para la seguridad de la red? En la red de hoy de trabajadores móviles
que usan dispositivos personales desde una variedad de ubicaciones, el modelo de seguridad de
red tradicional no funciona. Los nuevos dispositivos de red no son buenos candidatos para la suite
de punto extremo antivirus tradicional. Fueron diseñados para ser livianos y portátiles. Además,
con los bordes de la red borrosos, pueden existir varias entradas a la red. Puesto que ya no hay un
perímetro de red, el desafío es cómo permitir que estos dispositivos heterogéneos se conecten de
manera segura a los recursos de la empresa. Para tratar precisamente estos problemas, Cisco ha
planeado una arquitectura de seguridad llamada Cisco SecureX.
La arquitectura de seguridad SecureX para la Red sin Bordes se basa en un punto extremo liviano y
omnipresente. Su papel no es el de escanear contenido o ejecutar firmas. En cambio, su único foco
está en asegurarse de que cada conexión que entre o salga del punto extremo esté apuntando a
un elemento de escaneo de red en algún lugar de una nube de seguridad Cisco. Estos elementos
de escaneo ahora son capaces de ejecutar muchas más capas de escaneo que lo que un único
punto extremo nunca podría: cinco capas de firmas de malware, prevención de la pérdida de datos
y políticas de uso aceptables, escaneo de contenidos, y más.
Esta arquitectura está diseñada para proporcionar una seguridad eficaz para cualquier usuario,
usando cualquier dispositivo, desde cualquier ubicación, en cualquier momento.
Esta nueva arquitectura de seguridad usa un lenguaje de políticas de alto nivel que puede describir
todo el contexto de una situación, incluyendo quién, qué, dónde, cuándo y cómo. Con una
aplicación de políticas de seguridad altamente distribuida, la seguridad se lleva más cerca a donde
el usuario final esté trabajando, en cualquier lugar del planeta. Esta arquitectura está compuesta
de cinco componentes importantes:
Motores de escaneo : Éstos son la base de la aplicación de la seguridad y puede
contemplarse como los "caballos de fuerza" de la aplicación de políticas. Son los proxies o
dispositivos a nivel de la red que examinan contenido, identifican aplicaciones, y
autentican usuarios. Un motor de escaneo puede ser un firewall/IPS, un proxy, o una
fusión de ambos. Los motores de escaneos pueden ejecutar varias capas de firmas anti-
malware, análisis de comportamiento y motores de inspección de contenidos.
Mecanismos de entrega : Éstos son los mecanismos por medio de los cuales se introducen
elementos de escaneo se introducen en la red. Esto incluye el aparato de red tradicional,
un módulo en un switch o un router, o una imagen en una nube de seguridad Cisco.
Operaciones de inteligencia de seguridad (SIO) : Éstas distinguen tráfico bueno del malo. El
Cisco SIO abarca bases de datos de monitoreo de tráfico de multi-terabytes, miles de
servidores en varios centros de datos, y cientos de ingenieros y técnicos con un único
propósito - identificar y detener el tráfico malicioso.
Consolas de administración de políticas : Estas consolas están separadas de los escáners
que aplican la política. Separando la creación y administración de políticas de su
aplicación, la arquitectura Cisco SecureX hace posible tener un punto único de definición
de políticas que abarca varios puntos de aplicación como email, mensajería instantánea y
la Web.
El punto extremo de última generación : Una ola de dispositivos para los consumidores
que están inundando la empresa, estos dispositivos deben estar equipados con la
capacidad de encontrar automáticamente el elemento de escaneo más cercano en algún
lugar del entramado de seguridad virtual y de establecer una conexión sin fisuras. El rol del
punto extremo de última generación no es escanear contenido ni ejecutar firmas, sino
más bien garantizar cada conexión entrando o saliendo del punto extremo.
El punto extremo del mañana no tendrá solamente una suite antivirus, sino un administrador de
conexión inteligente que se sitúa en el borde de cada dispositivo imaginable. En la Red sin Borde,
la seguridad debe comenzar con el punto extremo.
La Red sin Borde ha mejorado significativamente la eficiencia y flexibilidad de los negocios. Los
trabajadores pueden cumplir sus tareas desde cualquier lugar, en cualquier momento y usando
cualquier dispositivo. No obstante, la flexibilidad crea complejidades para la infraestructura IT, y
cualquier esfuerzo para mantener segura a la infraestructura.
¿Cómo hace la IT para soportar este nuevo modelo de informática de madera que escale y asegure
que los recursos son seguros? Usando un elemento de escaneo de red consciente del contexto
que use políticas centrales para aplicar la seguridad
Un elemento de escaneo consciente del contexto es un dispositivo de seguridad de red que hace
más que solamente examinar paquetes en el cable. Observa la información externa para
comprender el contexto completo de la situación. Para ser consciente del contexto, el escáner
tiene que considerar el quién, el qué, el dónde, el cuándo y el cómo de la seguridad.
Estos elementos de escaneo están disponibles como aparatos autónomos, módulos de software
ejecutándose en un router, o una imagen en la nube. Son administrados desde una consola de
políticas central que usa un lenguaje de alto nivel que refleja el lenguaje de negocios de la
organización y comprende el contexto de la situación.
Una política consciente del contexto usa un lenguaje de negocios descriptivo para definir políticas
de seguridad basándose en cinco parámetros:
La identidad de la persona
La aplicación en uso
El tipo de dispositivo que se usa para el acceso
La ubicación
El tiempo del acceso
Esta política centralizada se envía a todo el entorno de red para su aplicación distribuida. Esta
aplicación distribuida asegura una implementación de seguridad consistente a través de zonas de
red, sucursales, trabajadores remotos, dispositivos virtualizados, y servicios basados en la nube.
La arquitectura de escaneo consciente del contexto usa el contexto de la red local de la tecnoogía
Cisco TrustSec. Ésta es una tecnología de etiquetado de paquetes que permite que los elementos
de seguridad compartan información reunida a partir de los elementos de escaneo tanto como del
cliente del punto extremo. Todo está regido por una inteligencia contra amenazas global en
tiempo real de las Operaciones de Inteligencia de Seguridad (SIO) Cisco, que ayuda a distinguir el
tráfico bueno del malo.
Cisco SIO es el ecosistema de seguridad basado en la nube más grande del mundo, usando casi un
millón de alimentaciones de datos en vivo de email, web, firewall y soluciones IPS implementados
de Cisco. Cisco SIO pesa y procesa los datos, categorizando las amenazas automáticamente y
creando reglas que usan más de 200 parámetros. Las reglas se entregan dinámicamente a
dispositivos de seguridad Cisco implementados cada tres o cinco minutos. El equipo de Cisco SIO
también publica recomendaciones de mejores prácticas de seguridad y una guía táctica para evitar
ataques.
AnyConnect 3.0 agrega telemetría de amenazas basada en cliente en tiempo real a Cisco. Con una
huella de más de 150 millones de clientes AnyConnect y clientes VPN de versiones anteriores, esto
mejora la visibilidad y accionable inteligencia contra amenazas.
9.2.2 Soluciones para la Arquitectura Cisco Securex
La arquitectura Cisco SecureX se refiere a cinco familias de productos: borde y sucursal seguros,
email y web seguros, acceso seguro, movilidad segura y centro de datos y virtualización seguros.
Borde y Sucursal Seguros
El objetivo de borde y sucursal seguros Cisco es implementar dispositivos y sistemas para detectar
y bloquear ataques y explotaciones, y evitar el acceso de los intrusos. Con el firewall y la
prevención de intrusiones en opciones de implementación autónomas e integradas, las
organizaciones pueden evitar ataques y cumplir requisitos. Una cantidad de dispositivos y sistemas
funcionan juntos para asegurar la red segura.
Cisco ASA 5500 Series:
Combina firewall líder en la industria, VPN, y prevención de intrusiones en una plataforma
unificada
Proporciona protección contra amenazas en tiempo real y abarcativa y servicios de
comunicaciones altamente seguros para detener los ataques antes de que afecten la
continuidad del negocio
Reduce los costos de implementación y operativos al entregar una seguridad abarcativa
para redes de todos los tamaños
Acceso remoto siempre encendido, versátil, integrado con IPS y seguridad de web para
una movilidad altamente segura y una productividad mejorada
Sistema de Prevención de Intrusiones Cisco:
Identifica, clasifica y detiene el tráfico malicioso, incluyendo gusanos, spyware, adware,
virus y abuso de las aplicaciones
Entrega una detección de amenazas inteligente y de elevado desempeño a través de un
rango de opciones de implementación
Usa correlación de amenaza global con filtrado de reputación para prevenir amenazas con
confiabilidad
Proporciona paz mental con garantías de cobertura, tiempo de respuesta y eficacia para
vulnerabilidades de las aplicaciones Microsoft, Cisco y cruciales para la empresa
Promueve la continuidad del negocio y ayuda a que los negocios cumplan con las
necesidades
Router de Servicios Integrados Generación 2 de Cisco:
Entrega una suite de capacidades incorporadas, incluyendo firewall, prevención de
intrusiones, VPN y seguridad de la web basada en la nube
Promueve la integración de nuevas funciones de seguridad de la red en routers existentes
Proporciona protección adicional sin agregar hardware y maximiza la seguridad de la red
Disminuye los costos del soporte constante y administrabilidad reduciendo la cantidad
total de dispositivos requeridos
Cisco Security Manager:
Proporciona una solución de administración abarcativa para dispositivos de seguridad y
red de Cisco
Habilita una aplicación de políticas consistente, rápida resolución de problemas de
eventos de seguridad, e informes compilados a lo largo de la implementación
Soporta control de acceso basado en el rol y un marco de aprobación para proponer e
integrar cambios
Integra capacidades potentes, incluyendo administración de eventos, objetos y políticas;
informes; y resolución de problemas
Email y Web Seguros
Las soluciones de Cisco email y web seguros reducen el costoso tiempo sin operaciones asociado
con el spam basado en email, los virus y las amenazas de la red, y están disponibles en una
variedad de factores de forma, incluyendo aparatos en las premisas, servicios en la nube e
implementaciones de seguridad híbridas con administración centralizada.
Aparatos Cisco IronPort Email Security:
Combate el spam, los virus y las amenazas homogéneas para organizaciones de todos los
tamaños
Aplica el cumplimiento y protege la reputación y los bienes de la marca
Reduce el tiempo de inactiviad y simplifica la administración de los sistemas de mail
corporativos
Implementado por más del 40 por ciento de las empresas más grandes del mundo
Aparatos Cisco IronPort Web Security:
Integra controles de uso de la web, seguridad de datos, reputación y filtrado de malware
Aplica Operaciones de Inteligencia de Cisco Security y tecnología contra amenazas
globales
Combate sofisticadas amenazas basadas en la web con tecnología de seguridad en capas
Soporta administración incorporada para la visibilidad de actividad relacionada con las
amenazas
Cisco ScanSafe Cloud Web Security:
Analiza solicitudes de la web de contenido malicioso, inapropiado o aceptable
Ofrece un control granular sobre contenido de la web abierto y encriptado
Extiende la protección en tiempo real y aplicación de políticas a empleados remotos
Bloquea emails no deseados y maliciosos, a la vez que protege datos confidenciales
Acceso Seguro
Las tecnologías de acceso seguro se instalan para aplicar políticas de seguridad de la red, usuario
seguro y controles de acceso al host, y controlan el acceso a la red basándose en condiciones
dinámicas.
Motor Cisco Identity Services:
Aplica control de acceso basado en las políticas
Soporta mayor flexibilidad para usar dispositivos y aplicaciones elegidas
Proporciona una única interfaz IT para la creación y aplicación de políticas
Se implementa en modo standby activo para ayudar a asegurar una alta disponibilidad
Aparato de Control de Admisión a la Red:
Reconoce usuarios, sus dispositivos y sus roles en la red
Evalúa si las máquinas cumplen con las políticas de seguridad
Aplica políticas de seguridad bloqueando, aislando y reparando máquinas que no las
cumplen
Provide easy and secure guest access
Simplifica el acceso de dispositivos no autenticantes
Audita e informa quién está en la red
Sistema de Control de Acceso Cisco Secure:
Controla el acceso a la red basándose en las condiciones y atributos dinámicos
Cumple con los requisitos de acceso en evolución con políticas basadas en reglas
Incrementa el cumplimiento con capacidades de monitoreo, informes y resolución de
problemas integrados
Toma ventaja de las capacidades de integración incorporada e implementación distribuida
Oficina Virtual de Cisco:
Extiende servicios de red altamente seguros y administrables a los empleados remotos
Escala de manera eficaz en costos a través de versiones estándar o express
Incluye servicios de Cisco y socios aprobados, agregación de sitios remotos y sistemas
cabecera
Entrega servicios completos de teléfono IP, inalámbrico, datos y video
Secure Mobility
Las soluciones de movilidad segura Cisco promueven una conectividad móvil altamente segura con
VPN, seguridad inalámbrica, y soluciones de seguridad de la fuerza de trabajo remota que
extienden el acceso a la red de manera segura y fácil a un amplio rango de usuarios y dispositivos.
Las soluciones Cisco Secure Mobility ofrecen los más abarcativos y versátiles opciones de
conectividad, puntos extremos y plataformas para que cumplan las necesidades de cambio en la
movilidad de una organización.
Servicios VPN para Cisco ASA Series:
Proporciona acceso remoto para hasta 10.000 conexiones SSL o IPsec auténtica
Soporta una funcionalidad no disponible para una conexión VPN basada en navegador, sin
cliente
Conecta a los usuarios a recursos IPv6 sobre túneles de red IPv4
Facilita la creación de perfiles del usuario y la definición de nombres y direcciones de host
Software IPS Inalámbrico Adaptable Cisco:
Proporciona monitoreo de desempeño y vulnerabilidad inalámbrico automatizado
Mantiene una consciencia constante del entorno RF
Monitorea automáticamente e identifica el acceso no autorizado y los ataques RF
Colabora con los productos de seguridad de red Cisco para crear un enfoque de seguridad
en capas
Soluciones de Movilidad Segura Cisco AnyConnect:
Proporciona una experiencia de conectividad inteligente, homogénea y confiable
Da a los usuarios la opción de cómo, cuándo y dónde acceder a su información
Proporciona conectividad de acceso remoto abarcativa
Aplica una política consciente del contexto, y protección contra malware
Centro de Datos y Virtualización Seguros
Las soluciones de centro de datos y virtualización seguros de Cisco protegen datos de alto valor y
recursos de centro de datos con defensa contra las amenazas, virtualización segura, segmentación
y control de políticas.
Cisco ASA 5585-X:
Combina un firewall probado, prevención de intrusiones abarcativa y VPN
Entrega ocho veces la densidad de desempeño de firewalls de la competencia
Integra la prevención de intrusiones con la correlatividad global
Soporta capacidades de firewall conscientes del contexto
Módulo de Servicios ASA Cisco Catalyst 6500:
Combina conmutación con funciones completas y la mejor seguridad de su clase
Coloca la seguridad directamente en el backbone del centro de datos
Proporciona hasta 16 Gbps de throughput multiprotocolo para 300.000 conexiones por
segundo
Soporta hasta cuatro módulos en un único bastidor
Gateway de Seguridad Virtual (VSG) Cisco:
Se integra con el switch virtual e hipervisores Cisco Nexus 1000V
Entrega aplicación de políticas de seguridad y visibilidad a nivel de la máquina virtual
Aísla lógicamente aplicaciones en centros de datos virtuales y entornos de múltiples
inquilinos
Aplica la separación de deberes entre la seguridad y los administradores del servidor
Firewall de Nube Cisco ASA 1000V
Se integra al switch virtual Cisco Nexus 1000V
Emplea tecnología ASA probada, mainstream
Abarca y ayuda a asegurar múltiples hosts VMware ESX
Permite la consistencia a través de infraestructuras físicas, virtuales, y de la nube
9.2.3 Portfolio de Seguridad integrado de Cisco
La industria de la seguridad está en constante cambio. Los siguientes pocos años van a ser un
periodo de cambio significativo, conducido por tres tendencias importantes: la clientelización del
punto extremo, el incremento en el uso de sistemas de video conferencia de alta definición como
Cisco TelePresence, y la adopción de la informática en la nube. Estas tendencias necesitan de un
desvío en la forma en que los negocios implementan los recursos IT así como la forma en que la
información se encuentra almacenada y accedida de manera segura.
Las nuevas tecnologías de punto extremo que entran a la empresa están redefiniendo la
experiencia del lugar de trabajo. El trabajo ya no es un lugar donde la gente va y se sienta en un
cubículo durante ocho horas usando una PC proporcionada por la empresa. La fuerza de trabajo
del futuro demandará acceso en cualquier momento, desde cualquier lugar y en cualquier
dispositivo. Considerando el cambio significativo en las capacidad del punto extremo durante los
pasados pocos años, todo parece indicar que esta velocidad de cambio continuará en el futuro.
A medida que las herramientas de colaboración, como la video conferencia en video de alta
definición, se vuelen un lugar común, los trabajadores del futuro esperarán una interacción cara a
cara desde cualquier parte del mundo con los clientes, socios y colegas. Estas herramientas de
elevado ancho de banda requerirán de una infraestructura segura que cumpla con las expectativas
de los empleados.
A medida que más empresas se pliegan a la informática en la nube veremos aplicaciones basadas
en la nube que permiten compartir y acceder a los datos fácilmente. Esto, junto con la
virtualización del centro de datos, desafiará a los departamentos de IT a que sigan adelante de las
amenazas en un entorno cada vez más distribuido.
La mayoría de las empresas no adoptan todos los componentes de la Red Autodefensiva de Cisco
de una vez. Esto ocurre porque puede volverse difícil monitorear todos los subsistemas requeridos
a la vez sin desestabilizar la integridad de los servicios IT. Adicionalmente, algunas empresas
dudan si confiar los controles de seguridad a un sistema automatizado hasta estar seguros de que
el sistema opera de manera confiable. El diseño de Red Autodefensiva de Cisco satisface estas
preocupaciones al proveer productos que se pueden desplegar independientemente unos de los
otros. Más adelante, podrán agregarse otros productos a medida que la confianza crezca en el
diseño de seguridad en general.
10 Implementing the Cisco Adaptative Security (ASA)
10.0 Introducción al capítulo
Durante más de dos décadas, las soluciones de firewall han evolucionado para cumplir los
requisitos de seguridad que se van incrementando. Hoy existen muchos tipos de firewalls,
incluyendo el de filtrado de paquetes, stateful, gateway de aplicaciones (proxy), de traducción de
direcciones, basados en el host, transparente e híbridos. Un diseño de red moderno debe incluir
una ubicación apropiada de uno o más firewalls para proteger los recursos. Cisco proporciona dos
soluciones de firewall: el ISR con habilitación de firewall y el Cisco Adaptive Security Appliance
(ASA).
Un ASA proporciona una solución de firewall probada y abarcativa. El Cisco serie ASA 5500 es un
componente principal de la Red Sin Límites Cisco Secure. Entrega una escalabilidad superior, un
amplio rango de tecnología y soluciones, y una seguridad siempre activa eficaz, diseñada para
satisfacer las necesidades de una amplia gama de implementaciones.
El Cisco serie ASA 5500 ayuda a las organizaciones a proporcionar una conectividad segura y de
elevado desempeño y a proteger bienes críticos integrando lo siguiente:
Probada tecnología de firewall
Sistema de prevención de intrusiones (IPS) altamente eficaz con Cisco Global Correlation y
cobertura garantizada
VPNs de elevado desempeño y acceso remoto siempre activo
Función a prueba de fallos para una tolerancia a los mismos
Este capítulo proporcionará una introducción a la plataforma ASA y a las funciones de firewall y
VPN del dispositivo serie ASA 5505.
Este capítulo proporcionará una introducción a la plataforma ASA y a las funciones de firewall y
VPN del dispositivo serie ASA 5505.
En un segundo laboratorio práctico, Configuración de ASA Basic y Firewall usando ASDM, los
alumnos configuran el ASA 5505 como firewall básico, pero esta vez usando la interfaz GUI de ASA,
ASDM.
En un tercer laboratorio práctico, Configuración de VPNs SSL de Acceso Remoto Clientless y
AnyConnect usando ASDM, los alumnos usarán el Asistente VPN ASDM para configurar una VPN
de acceso remoto SSL clientless y verificar el acceso usando una PC remota. A continuación, los
alumnos configurarán una VPN de acceso remoto SSL basada en el cliente AnyConnect y
verificarán la conectividad.
Finalmente, en un cuarto laboratorio práctico, Configuración de una VPN IPsec Sitio a Sitio usando
CCP y ASDM, los alumnos configurarán el ASA como punto extremo VPN IPsec Sitio a Sitio usando
tanto el Asistente VPN CCP como el Asistente VPN ASDM.
10.1 Introducción al ASA
10.1.1 Repaso del ASA
Una solución de firewall en router IOS es apropiada para pequeñas implementaciones de
sucursales y para administradores que tienen experiencia con Cisco IOS. No obstante, una solución
de firewall IOS no escala bien y por lo general no puede cumplir con las necesidades de una
empresa grande.
El ASA es un dispositivo firewall autónomo que es un componente principal de la arquitectura
Cisco SecureX. Hay seis modelos de ASA, desde el modelo para sucursal 5505 básico hasta la
versión 5585 para centro de datos. Todos proporcionan funciones de firewall stateful avanzadas y
funcionalidad de VPN. La mayor diferencia entre los modelos es el throughput de tráfico máximo
manipulado por cada modelo y la cantidad y tipo de interfaces. Los dispositivos Cisco ASA son
escalables para cumplir un rango de requisitos y tamaños de red. La elección de un modelo de ASA
dependerá de los requisitos de la organización, tales como throughput máximo, conexiones
máximas por segundo, y presupuesto.
El software ASA combina funcionalidades de firewall, concentrador VPN, y prevención de
intrusiones en una sola imagen de software. Previamente, estas funcoines estaban disponibles en
tres dispositivos separados, cada uno con su propio software y hardware. Combinar la
funcionalidad en una única imagen de software proporciona mejoras significativas en las funciones
disponibles.
Otras funciones avanzadas de ASA incluyen las siguientes:
Virtualización ASA - Un único ASA puede particionarse en varios dipositivos virtuales. Cada
dispositivo virtual se denomina contexto de seguridad. Cada contexto es un dispositivo
independiente, con su propia política de seguridad, interfaces y administradores. Varios
contextos son algo similar a tener varios dispositivos autónomos. Muchas funciones son
soportadas en modo de contexto múltiple, incluyendo tablas de enrutamiento, funciones
de firewall, IPS y administración. Algunas funcoines no se soportan, como VPN y
protocolos de enrutamiento dinámico.
Alta disponibilidad con prevención de fallos - Dos ASAs idénticos pueden emparejarse en
una configuración a prueba de fallos activo / standby para proporcionar una redundancia
de dispositivos. Un único dispositivo físico está diseñado como principal, el otro como
secundario. Uno de los ASAs se elige para que esté en estado activo (forwardeando
tráfico) y el otro en estado hot standby (de espera). El estado del dispositivo ASA activo es
monitoreado mediante la interfaz a prueba de fallos de la LAN por el ASA standby. Ambas
plataformas deben ser idénticas en software, licencia, memoria e interfaces, incluyendo el
Módulo de Servicios de Seguridad (SSM).
Firewall de identidad- El ASA proporciona acceso granular optativo basado en una
asociación de direcciones IP con la información de logueo del Directorio Activo de
Windows. El ASA usa el Directorio Activo como origen para recuperar la información de
identidad del usuario actual para direcciones IP específicas y permite la autenticación
transparente para usuarios de Directorio Activo. Servicios de firewall basados en la
identidad mejoran el control de acceso existente y los mecanismos de políticas de
seguridad permitiendo que usuarios o grupos se especifiquen en lugar de las direcciones IP
de origen. Las políticas de seguridad basadas en la identidad pueden intercalarse sin
restricción entre reglas basadas en direcciones IP tradicionales.
Control de amenazas y servicios de contención - Todos los modelos de ASA soportan
funciones básicas de IPS. No obstante, funciones IPS avanzadas pueden proporcionarse
únicamente integrando módulos de hardware especiales a la arquitectura ASA. La
capacidad de IPS está disponible usando los módulos de Inspección y Prevención
Avanzadas (AIP), mientras que las capacidades anti-malware pueden implementarse
integrando el módulo de Control y Seguridad del Contenido (CSC). El Módulo de Servicios
de Seguridad de Inspección y Prevención Avanzado Cisco (AIP-SSM) y la Tarjeta de
Servicios de Seguridad de Inspección y Prevención Avanzada de Cisco (AIP-SSC) entregan
protección contra decenas de miles de explotaciones conocidas. También protegen contra
millones de potenciales variantes de explotación desconocidas usando motores de
detección IPS y miles de firmas. Cisco Services para IPS proporciona actualizaciones de
firmas a través de un equipo de inteligencia global que trabaja las 24 horas del día para
ayudar a asegurar la protección contra las últimas amenazas.
Todos los modelos de ASA pueden configurarse y administrarse usando la interfaz de línea de
comandos o el Administrador de Dispositivos de Seguridad Adaptativo (ASDM). ASDM es una
applet Java basada en navegador usada para configurar y monitorear el software del ASA.
ASDM se carga desde el ASA, a la PC. ASDM se usa para configurar, monitorear y administrar el
dispositivo.
El foco de este capítulo estará en el nivel de entrada ASA 5505 que está diseñado para
implementaciones de pequeños negocios, sucursales y teletrabajador de una empresa.
Nota: Las cuatro funciones avanzadas citadas anteriormente están fuera del alcance de este
curso y no se explorarán en más detalle. Para especificaciones técnicas de cada ASA, refiérase
a: www.cisco.com/en/US/products/ps6120/prod_models_comparison.html
Al tratar de redes conectadas a un firewall, existen algunos términos generales a tener en
cuenta:
Red externa - La red que está fuera de la protección del firewall.
Red interna - La red que está protegida y detrás del firewall.
DMZ - Zona desmilitarizada, aunque protegida por el firewall, se permite un acceso
limitado a los usuarios externos.
Los firewalls protegen las redes internas del acceso no autorizada de usuarios de una red
externa. También protegen a los usuarios de la red interna uno del otro. Por ejemplo al crear
zonas, un administrador puede mantener a la red que hospeda a los servicios de contaduría
separada de otras redes de la organización.
Los ISRs de Cisco pueden proporcionar funciones de firewall usando un firewall de políticas
basado en zonas (ZPF) o usando la función anterior control de acceso basado en el contexto
(CBAC). Un ASA proporciona las mismas funciones pero la configuración difiere marcadamente
de la configuración del router IOS de ZPF.
El ASA es un aparato de firewall dedicado. Por defecto, trata a una interfaz interna definida
como a la red confiable, y cualquier interfaz definida como externa como redes no confiables.
Cada interfaz tiene un nivel de seguridad asociado. Estos niveles de confianza permite al ASA
implementar políticas de seguridad. Por ejemplo, los usuarios internos pueden acceder a las
redes externas basándose en determinadas direcciones, requiriendo autenticación o
autorización, o coordinando con un servidor de filtrado de una URL externa.
Los recursos de red que son necesarios para los usuarios externos, como un servidor web o
FTP, pueden ubicarse en una DMZ. El firewall permite un acceso limitado a la DMZ, a la vez
que protege la red interna de usuarios externos.
Un firewall stateful, como el ASA, rastrea el estado de las conexiones de red TCP o UDP que la
atraviesan. El firewall está programado para determinar paquetes legítimos para diferentes
tipos de conexiones. Solamente los paquetes que conocen una conexión activa serán
permitidos por el firewall; otros serán rechazados.
Todo el tráfico forwardeado a través de un ASA se inspecciona usando el Algoritmo de
Seguridad Adaptativo y se permite su paso o se descarta. El algoritmo tiene en consideración
el estado, si lo hay, de una conexión asociada al paquete.
Si el paquete crea una nueva conexión, el ASA tiene que verificar el paquete comparándolo
con listas de acceso y realizar otras tareas para determinar si el paquete se permite o denega.
Para efectuar esta verificación, el primer paquete de la sesión atraviesa la "ruta de
administración de la sesión", que es parte del plano de administración. Dependiendo del tipo
de tráfico, también podría atravesar la "ruta del plano de control".
La ruta de administración de la sesión es responsable de las siguientes tareas:
Efectuar las verificaciones contra listas de acceso
Efectuar búsquedas en la ruta
Adjudicar traducciones NAT (xlates)
Establecer sesiones en la "ruta rápida"
Algunos paquetes requieren inspección de Capa 7. Los motores de inspección de Capa 7 se
requieren para protocolos que tienen dos o más canales: un canal de datos (que usa números
de puerto bien conocidos), y un canal de control (que usa diferentes números de puerto para
cada sesión). Cuando un paquete requiere inspección de Capa 7, el payload del paquete debe
inspeccionarse o alterarse y los paquetes se pasan a la ruta del plano de control. Los
protocolos que requieren inspección de la Capa 7 incluyen a FTP, H.323, y SNMP. Para
soportar estos protocolos, el filtro de paquetes observa la sesión inicial y analiza los datos de
la aplicación para aprender acerca de los canales negociados adicionales. Luego el filtro de
paquetes aplica la política que enuncia que si la sesión inicial fue permitida, entonces los
canales adicionales de esa aplicación deberán permitirse también.
Si la conexión ya está establecida, el ASA no necesita volver a verificar paquetes. La mayoría
de los paquetes coincidentes pueden pasar por la ruta "rápida" en ambos sentidos. La ruta
rápida es responsable de las siguientes tareas:
Verificación de la checksum IP
Observación de la sesión
Verificación del número de secuencia TCP
Las traducciones NAT basadas en sesiones existentes
Ajustes de encabezados de Capa 3 y Capa 4
Para UDP u otros protocolos sin conexión, el ASA crea una información de estado de la
conexión para poder usar también la ruta rápida.
Existen dos modos de operación del firewall disponible en dispositivos ASA: modo enrutado y
modo transparente.
Modo Enrutado
El modo enrutado es el modo tradicional de aplicar un firewall donde hay dos más interfaces
que separan redes de Capa 3. El ASA es considerado un salto de router en la red y puede
efectuar NAT entre redes conectadas. El modo enrutado soporta varias interfaces. Cada
interfaz se encuentra en una subred diferente y requiere una dirección IP en esa subred.
Modo Transparente
En modo transparente el ASA funciona como un dispositivo de Capa 2. El modo transparente a
menudo se denomina "salto en el cable" o "firewall furtivo". En modo transparente, el ASA no
se considera un salto de router. De manera similar a un switch de Capa 2, el ASA requiere
solamente una dirección IP de administración configurada en modo de configuración global.
Esta dirección tiene como propósito la administración remota y se requiere antes de que el
dispositivo forwardee tráfico. Una vez que se asigne la dirección, todas las interfaces
comienzan a "escuchar" en esta dirección para asegurarse de que el dispositivo responde a su
administrador. Esta dirección IP global asignada al dispositivo debe estar en la misma subred
en la que participan las interfaces forwardeantes. Un firewall transparente puede utilizarse
para simplificar la configuración de una red o implementarlo donde el direccionamiento IP
existente no puede alterarse. El modo transparente también es útil para hacer el firewall
invisible a los atacantes. No obstante, los inconvenientes de usar el modo transparente
incluyen la falta de soporte de protocolos de enrutamiento dinámico, VPN, QoS, o Relay DHCP.
El foco de este capítulo estará en el modo enrutado.
Una licencia especifica las opciones que se habilitan en un ASA determinado. La mayoría de los
aparatos ASA vienen pre-instalados con una licencia Base o una licencia Security Plus. Por
ejemplo, el modelo Cisco ASA 5505 viene con una licencia base y la opción de actualizar a la
licencia Security Plus. La licencia de actualización Security Plus permite al Cisco ASA 5505 ser
escalable para soportar una conexión más alta y hasta 25 usuarios VPN IPsec. Agrega soporte
DMZ total, y se integra a entornos de red conmutados mediante el soporte al entroncamiento
VLAN. Además, la licencia de Security Plus maximiza la continuidad de los negocios habilitando
un soporte para conexiones ISP redundantes y servicios de alta disponibilidad activo/standby
stateless.
Para proporcionar funciones adicionales al ASA, pueden adquirirse licencias adicionales con
base temporal u optativas. Por ejemplo, un administrador puede instalar una licencia con base
temporal Botnet Traffic Filter que es válida por un año. Otro ejemplo sería si el ASA debe
manejar un pico por un breve periodo de usuarios VPN SSL concurrentes. En este caso, puede
adquirirse una licencia opcional AnyConnect Premium.
La combinación de estas licencias adicionales con las licencias pre-instaladas crea una licencia
permanente. La licencia permanente se activa a continuación instalando una clave de
activación permanente usando el comando activation-key. La clave de activación permanente
incluye todas las funciones licenciadas en una única clave. Una clave de activación del
producto puede adquirirse a partir de un representante de cuenta de Cisco.
Note que solamente una única licencia permanente puede instalarse y una vez instalada, se
denomina licencia activa.
Para verificar la información de licencia en un dispositivo ASA, use el comando show version o
el comando show activation-key.
Para más información sobre licencias, refiérase a:
www.cisco.com/en/US/docs/security/asa/asa84/license/license_management/license.html
10.1.2 Canfiguración Básica de ASA
El Cisco ASA 5505 es un aparato de seguridad con funciones completas para pequeños negocios,
sucursales y entornos de teletrabajadores de una empresa. Brinda un firewall de alto rendimiento,
VPN SSL, VPN IPsec y ricos servicios de networking en un aparato modular y plug-and-play.
El panel frontal del ASA 5505 consta de:
Puerto USB - Reservado para uso futuro.
LEDs de velocidad y de actividad del enlace - Un indicador de velocidad verde sólido indica
100 Mb/s. Si el LED está apagado, esto indica 10 Mb/s. Cuando el LED indicador de
actividad en el enlace está encendido, esto indica que se estableció un enlace de red.
Cuando parpadea, indica actividad en la red.
LED de Energía - Verde sólido indica que el aparato está encendido.
LED de Estado - Verde parpadeante indica que el sistema está arrancando y que se están
efectuando pruebas de encendido. Verde sólido indica que se pasaron las pruebas del
sistema y el sistema está operativo. Ámbar sólido indica que las pruebas de sistema
fallaron.
LED Activo - Verde indica que este Cisco ASA está activo cuando se lo configura como a
prueba de fallos.
LED VPN - Verde sólido indica que uno o más túneles VPN están activos.
LED de la Tarjeta de Servicios de Seguridad (SSC) -Verde sólido indica que una tarjeta SSC
está presente en la ranura SSC.
El panel trasero del Cisco ASA 5505 consta de:
Un switch Fast Ethernet 10/100 de 8 puertos. Cada puerto puede agruparse
dinámicamente para crear hasta tres VLANs o zonas separadas para soportar la
segmentación y seguridad de la red. Los puertos 6 y 7 son puertos Energía sobre Ethernet
(PoE) para simplificar la implementación de teléfonos IP de Cisco y puntos de acceso
inalámbricos externos.
Tres puertos USB. Estos puertos (uno en la parte frontal y dos en la parte trasera) pueden
utilizarse para habilitar servicios y capacidades adicionales.
Una ranura para expansión de la Tarjeta de Servicio de Seguridad (SSC). La ranura puede
utilizarse para agregar la Tarjeta de Servicios de Prevención de Seguridad y de Inspección
Avanzada de Cisco (AIP-SSC). La tarjeta AIP-SSC permite que el Cisco ASA 5500
proporcione servicios de prevención de intrusiones para detener el tráfico malicioso antes
de que pueda afectar a una red. Cisco IPS con Correlación Global incrementa la eficacia del
IPS tradicional. Con actualizaciones cada cinco minutos, Cisco IPS con Correlación Global
proporciona una protección contra amenazas rápida y precisa con inteligencia global en
tiempo real de Cisco IPS, firewall, e-mail y aparatos de la web.
La memoria DRAM por defecto es de 256 MB (actualizable a 512 MB) y la memoria flash interna
por defecto es de 128 MB para el Cisco ASA 5505. En una configuración a prueba de fallos, las dos
unidades deben ser modelos idénticos con la misma configuración de hardware, la misma cantidad
y tipos de interfaces y la misma cantidad de RAM.
Para visualizar un modelo interactivo del Cisco ASA 5505, refiérase a:
www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/ps6913/prod_presentati
on0900aecd805ac1dd.html
El ASA asigna niveles de seguridad para distinguir entre redes internas y externas. Los niveles de
seguridad definen el nivel de confiabilidad de una interfaz. Cuanto más alto es el nivel, más
confiable es la interfaz. Los números de nivel de seguridad van desde 0 (no confiable) hasta 100
(muy confiable). Cada interfaz operativa debe tener asignados un nombre y un nivel de seguridad
desde 0 (el más bajo) hasta 100 (el más alto).
Por ejemplo, asigne el nivel 100 a la red más segura, como la red host interna, mientras que a la
red externa conectada a Internet puede asignársele el nivel 0. A las DMZs y otras redes puede
asignárseles un nivel de seguridad entre 0 y 100. Cuando el tráfico se desplaza desde una interfaz
con un alto nivel de seguridad a una interfaz con un nivel de seguridad bajo, se considera tráfico
saliente. Inversamente, el tráfico que se desplaza desde una interfaz con un bajo nivel de
seguridad a una interfaz con un nivel de seguridad mayor se considera tráfico entrante.
Los niveles de seguridad ayudan a controlar:
El acceso a la red - Por defecto, existe un permit implícito desde una interfaz de
seguridad más alta a una interfaz de seguridad más baja (saliente). Los hosts de la
interfaz de seguridad más alta pueden acceder a los hosts de una interfaz de seguridad
más baja. Varias interfaces pueden asignarse al mismo nivel de seguridad. Si se
habilita la comunicación para las mismas interfaces de seguridad, hay un permit
implícito para que las interfaces accedan a otras interfaces al mismo nivel de
seguridad o más bajo.
Motores de inspección - Algunos motores de inspección de las aplicaciones dependen
del nivel de seguridad. Cuando las interfaces tienen el mismo nivel de seguridad, el
ASA inspecciona el tráfico en cualquier sentido.
Filtrado - entido. Filtrado - El filtrado se aplica solamente para conexiones salientes (de
un nivel más alto a un nivel más bajo). Si está habilitada la comunicación para dichas
interfaces de seguridad, el tráfico puede filtrarse en cualquier sentido.
El tráfico saliente se permite e inspecciona por defecto. El tráfico de retorno se permite a causa de
la inspección de paquetes stateful. Por ejemplo, los usuarios internos en la interfaz interna pueden
acceder a los recursos de la DMZ libremente. También pueden iniciarse conexiones a Internet sin
restricciones y sin la necesidad de una política adicional ni comandos adicionales. No obstante, el
tráfico que tiene origen en la red externa y que se dirige a la DMZ o a la red interna, se denega por
defecto. El tráfico de retorno, con origen en la red interna y que vuelve a través de la interfaz
externa, se permitiría. Cualquier excepción a este comportamiento por defecto requiere una
configuración de una ACL para permitir tráfico explícitamente desde una interfaz con un nivel de
seguridad más bajo a una interfaz con un nivel de seguridad más alto (por ejemplo, de una red
externa a la interna).
El ASA 5505 es diferente a otros modelos ASA serie 5500. Con los otros ASAs, al puerto físico
puede asignarse una dirección IP de Capa 3, de manera muy similar a un router Cisco. Con el ASA
5505, los ocho puertos de switch integrados son puertos de Capa 2, y por lo tanto no puede
asignárseles direcciones IP directamente.
En un ASA 5505, los parámetros de Capa 3 se configuran en una interfaz virtual de switch (SVI).
Una SVI, una interfaz VLAN lógica, requiere un nombre, un nivel de seguridad de interfaz, y una
dirección IP. Se asignan luego los puertos del switch de Capa 2 a una VLAN específica. Los puertos
de switch de la misma VLAN pueden comunicarse entre sí usando conmutación de hardware. Pero
cuando un puerto de switch en la VLAN 1 desea comunicarse con un puerto de switch en la VLAN
2, entonces el ASA aplica la política de seguridad al tráfico y las rutas entre las dos VLANs.
El ASA 5505 se usa comúnmente como dispositivo de seguridad de borde que conecta un negocio
pequeño a un dispositivo ISP, como una DSL o cable módem, para acceder a la Internet. Puede
implementarse para interconectar y proteger varias estaciones de trabajo, impresoras de red y
teléfonos IP.
En una implementación de sucursal, una implementación común incluiría una red interna (VLAN 1)
con un nivel de seguridad 100 a una rd externa (VLAN 2) con un nivel de seguridad 0. Los puertos
de switch Fast Ethernet 6 y 7 son puertos PoE. Pueden asignarse a la VLAN 1 y se usan para
conectar teléfonos IP.
En un pequeño negocio, el ASA 5505 puede implementarse con dos diferentes segmentos de red
protegidos: la red interna (VLAN 1) para conectar estaciones de trabajo y teléfonos IP, y la DMZ
(VLAN 3) para conectar un servidor web de la compañía. La interfaz externa (VLAN 2) se usa para
conectarse a la Internet.
En una implementación empresarial, el ASA 5505 puede ser usando por los teleconmutadores y
usuarios en su hogar para conectarse a una locación centralizada usando una VPN.
EMPRENDIMIENTO
PEQUEÑA EMPRESA
CORPORACIÓN
ASA 5510 están diseñados para brindar servicios de seguridad avanzados para negocios de tamaño
medio y sucursales de la empresa. El ASA 5510 soporta un throughput de 300 Mb/s y una
capacidad de 9.000 conexiones de firewall por segundo. Esto hace del ASA 5510 muy apto para la
mayoría de las implementaciones de oficina.
El Cisco ASA 5510, el 5520, el 5540, y el 5550 son todas unidades de un solo rack (1RU). Cada uno
de ellos tiene una ranura de expansión para los módulos de servicios de seguridad.
El panel frontal del ASA 5510 cuenta con LEDs de Energía, Estado, Activo, VPN y Flash.
El panel trasero del Cisco ASA 5510 consta de:
Una ranura para Módulo de Servicios de Seguridad (SSM) para expansión
Dos puertos USB que pueden usarse para habilitar servicios y capacidades adicionales
Una interfaz de administración Fast Ethernet fuera de banda (OOB)
Cuatro interfaces Fast Ethernet
Una ranura para tarjeta Flash para proporcionar almacenamiento para las imágenes del
sistema y los archivos de configuración
Indicadores LED de energía, estado, activo, VPN y flash
Un puerto de consola serie
Un puerto auxiliar para conectar un módem externo para la administración OOB
Las cuatro interfaces de red Fast Ethernet 10/100 y la OOB se combinan para crear 5 interfaces
posibles. Tres de estos cinco puertos Fast Ethernet se habilitan por defecto (0 a 2). El cuarto está
inhabilitado por defecto y el quinto está reservado para la administración OOB. Dependiendo de la
versión de software ASA, las restricciones del puerto OOB pueden eliminarse. Por lo tanto, las
cinco interfaces Fast Ethernet pueden usarse para el tránsito del tráfico y pueden tener aplicados
niveles de seguridad.
La ranura para el Módulo de Servicios de Seguridad (SSM) puede usarse para agregar lo siguiente:
Un Módulo de Servicios de Seguridad Ethernet de un Gigabit de 4 Puertos (4GE SSM) para
segmentar mejor el tráfico de la red en zonas de seguridad separads. Este módulo de
elevado desempeño tiene cuatro puertos 10/100/1000 RJ-45 y cuatro puertos Conectables
de Pequeño Factor de Forma (SFP) para soportar tanto conexiones de cobre como ópticas.
El Módulo de Servicios de Inspección y Prevención de Seguridad Avanzado (AIP-SSM) para
proporcionar servicios de prevención de intrusiones completos en funcionalidad para
detener el tráfico malicioso, incluyendo gusanos y virus de la red, antes de que puedan
afectar a una red.
La Serie Módulo de Servicios de Seguridad de Control y Seguridad de Contenidos (CSC-
SSM) para proporcionar protección contra las amenazas líder en la industria y control de
contenidos en el borde de Internet. Proporciona antivirus, anti-spyware, bloqueo de
archivos, anti-spam, anti-phishing, bloqueo y filtrado de URLs y filtrado de contenidos,
abarcativos.
Para más información, diríjase a:
www.cisco.com/en/US/docs/security/asa/quick_start/5500/inst5500.html
La configuración por defecto de fábrica para el ASA 5510 y superiores incluye la configuración de
la interfaz de administración, el soporte a servidores DHCP, y soporte ASDM. La configuración por
defecto de fábrica incluye lo siguiente:
La interfaz de administración, Management 0/0, está preconfigurada con la dirección IP
192.168.1.1 y la máscara 255.255.255.0.
El servidor DHCP está habilitado en el ASA, así que una PC que se conecta a la interfaz
recibe una dirección entre 192.168.1.2 y 192.168.1.254.
El servidor HTTP está habilitado para ASDM y es accesible a los usuarios de la red
192.168.1.0.
Nota: la configuración de ASA 5510 y modelos superiores está más allá del alcance de este
capítulo.
10.2 ASA Firewall Configuration
10.2.1 Introducción a la configuración de Firewall ASA
Los dispositivos ASA pueden configurarse y administrarse usando la interfaz de línea de comandos
(CLI) o la GUI Administrador de Dispositivos de Seguridad Adaptables (ASDM).
La CLI del ASA es un OS propietario que tiene un aspecto similar al IOS de router. Existen muchos
comandos similares entre la CLI del ASA y la CLI del IOS. También hay muchos comandos
diferentes.
El Cisco ASA contiene una estructura de conjunto de comandos similar a la del router Cisco IOS y
ofrece los siguientes modos de acceso:
Modo EXEC del usuario - ciscoasa> en
Modo EXEC privilegiado - ciscoasa# config t
Modo de configuración global - ciscoasa(config)#
Varios modos de sub-configuración, por ejemplo - ciscoasa(config-if)#
ROMMON mode - ROMMON>
Al igual que un router Cisco IOS, el ASA también reconoce lo siguiente:
Abreviatura de comandos y palabras clave
Tecla tab para completar un comando parcial
La tecla ayuda (?) después del comando
A diferencia de un ISR, el ASA funciona de la siguiente manera:
Ejecuta cualquier comando ASA CLI independientemente del prompt del modo de
configuración actual. El comando do de IOS no se requiere ni reconoce.
Proporciona una breve descripción y sintaxis de comando cuando se introduce help
seguido del comando. Por ejemplo, tipear help reload mostrará la sintaxis de comandos
para reload, una descripción y argumentos soportados.
Interrumpa la salida del comando show usando Q. El IOS requiere el uso de Ctrl+C (^C).
Nota: el aparato de seguridad usa el modo ROMMON(modo Monitor de Memoria Sólo Lectura)
cuando no encuentra una imagen booteable o cuando un administrador lo hace a entrar a ese
modo. En modo ROMMON, un administrador puede usar un servidor TFTP para cargar una imagen
del sistema al aparato de seguridad. El modo ROMMON también se usa para recuperar la
contraseña del sistema.
Comandos IOS y ASA
Modos de Acceso ASA:
El ASA 5505 se entrega con una configuración por defecto que, en la mayoría de los casos, es
suficiente para una implementación SOHO básica. La configuración incluye dos redes VLAN
preconfiguradas: VLAN1 y VLAN2. VLAN 1 es para la red interna y VLAN 2 es para la red externa.
La interfaz interna también proporciona funciones de direccionamiento DHCP y NAT. Los clientes
de la red interna obtienen una dirección IP dinámica del ASA para que puedan comunicarse entre
sí y con los dispositivos de Internet.
Específicamente, la configuración de fábrica por defecto para el ASA 5505 configura lo siguiente:
Un nombre de host por defecto ciscoasa.
Contraseñas de consola o enable en blanco.
AUna interfaz interna VLAN 1 que incluye los puertos de switch Ethernet 0/1 a 0/7. La
dirección IP de la VLAN 1 y máscara son192.168.1.1 y 255.255.255.0.
Una interfaz VLAN 2 externa que incluye el puerto de switch Ethernet 0/0. La VLAN 2
deriva su dirección IP del ISP que usa DHCP.
La ruta por defecto que se deriva del DHCP.
Todas las direcciones IP internas a ser traducidas al acceder al exterior usando la interfaz
PAT.
El servidor HTTP para soportar el acceso a ASDM.
Un servidor DHCP interno para proporcionar direcciones entre 192.168.1.5 y 192.168.1.36
para hosts que se conectan a la interfaz VLAN 1.
Estas configuraciones pueden cambiarse manualmente usando la CLI o interactivamente usado el
asistente de Inicialización de la Configuración de la CLI o usando el asistente de Inicio ASDM.
El ASA puede restaurarse a su configuración de fábrica por defecto usando el comando configure
factory-default global configuration
Para más información, refiérase a:
www.cisco.com/en/US/docs/security/asa/quick_start/5505/5505-poster.html
Configuración por defecto
Introducción a la configuración por defecto
La configuración de inicio del ASA puede borrarse escribiendo los comandos write erase y reload.
Nota: A diferencia del router IOS, el ASA no reconoce el comando erase startup-config.
Una vez reiniciado, el ASA muestra el siguiente prompt "Pre-configure Firewall now through
interactive prompts [yes]?"(¿Preconfigurar el Firewall ahora a través de prompts interactivos [sí]?
Al introducir no, se cancela el asistente de Inicialización de la Configuración y el ASA mostrará su
prompt por defecto. Presionar Enter acepta el valor por defecto [yes] y el ASA guiará
interactivamente al administrador para configurar lo siguiente:
Modo de Firewall
Contraseña enable
Recuperación de la contraseña enable
Configuraciones de hora y fecha
Dirección IP y máscara internas
Nombre de host del dispositivo ASA
Nombre de dominio
El aparato de seguridad muestra los valores por defecto entre corchetes ([ ]) antes de pedirle al
usuario que los acepte o cambie. Para aceptar la entrada por defecto, presione Enter.
Una vez que la porción interactiva del asistente de Inicialización de la Configuración se ha
completado, el aparato de seguridad muestra el resumen de la nueva configuración y pide al
usuario que guarde o rechace las configuraciones. Responder sí guarda la configuración en la flash
y muestra el prompt configured hostname. Responder no reinicia el asistente de Inicialización de
la Configuración desde el principio con cualquier cambio que se haya efectuado como las nuevas
configuraciones por defecto. Esto permite al administrador corregir una configuración con errores.
El asistente de Inicialización de la Configuración es un método opcional para configurar
inicialmente un ASA. También proporciona la mayoría de las configuraciones necesarias para
acceder al ASA usando ASDM.
10.2.2 Configuración, Administración Ajustes y Servicios
Al igual que el router IOS, las configuraciones básicas del ASA pueden establecerse usando la CLI.
Si el usuario introdujo no en el prompt del asistente de Inicialización de la Configuración, las
configuraciones de administración básicas deben configurarse manualmente usando la CLI del OS
ASA.
Configuración Básica
Las configuraciones de administración básicas se configuran en modo de configuración global. La
primera vez que se accede al modo de configuración global, aparece un mensaje pidiéndole que
habilite la función Smart Call Phone. Esta función ofrece diagnósticos proactivos y alertas en
tiempo real en dispositivos Cisco selectos, lo cual proporciona una más alta disponibilidad en la
red y un incremento de la eficacia operativa. Para participar, se requiere una ID CCO y el
dispositivo ASA debe registrarse bajo un contrato de Servicio Cisco SMARTnet.
Para más información sobre Smart Call Home, refiérase a: www.cisco.com/go/smartcall
En modo de configuración global, configure el nombre de host, nombre de dominio y contraseña
de modo privilegiado EXEC del ASA usando los siguientes comandos:
hostnamename - Cambia el nombre del ASA.
domain-namename - Cambia el nombre del dominio.
enable passwordpassword - Configura la contraseña del modo privilegiado EXEC. Note que
no hay opción secret.
passwdpassword - Configura la contraseña Telnet / SSH.
Opcionalmente, puede crearse una frase de paso para encriptar todas las contraseñas. Esta
función es similar al servicio del comando del IOS password-encryption. La frase de paso maestra
almacena de manera segura contraseñas en texto plano en formato encriptado. La frase de paso
maestra proporciona una clave que se usa para encriptar universalmente o poner máscara a todas
las contraseñas, sin cambiar ninguna funcionalidad.Para configurar una frase de paso maestra, use
los siguientes comandos:
key config-key password-encryption [nueva-frase-de-paso [antigua-frase-de-paso]] - Crea
o cambia una frase de paso maestra ya existente. La frase de paso debe tener de 8 a 128
caracteres de longitud y se aceptan todos los caracteres excepto el retroceso y las comillas
dobles. Si no se incluye una nueva frase de paso en el comando, el ASA la pedirá. Para
cambiar la frase de paso, primero tendrá que introducirse la frase de paso antigua.
password encryption aes - Habilita la encriptación de contraseñas. Tan pronto como se
activa la encriptación de contraseñas y la frase de paso maestra está disponible, todas las
otras contraseñas se encriptarán.La configuración actual mostrará las contraseñas en el
formato encriptado. Si la frase de paso config-key password-encryption no se configura en
el momento de habilitar la encriptación de contraseñas, el comando se aceptará de todos
modos y las contraseñas se encriptarán tan pronto como se configure la frase de paso.
Para determinar si está habilitada la encriptación de contraseñas, use el comando show password
encryption.
Configuración de las Interfaces
A continuación deberán configurarse las interfaces. Recuerde que el ASA 5505 tiene 8 puertos
para switch de Capa 2. Por lo tanto, dos tipos de interfaces deben configurarse: la interfaz VLAN
lógica que también se conoce como interfaz virtual del switch (SVI), y los puertos de Capa 2 que se
asignan a las VLANs.
Use los siguientes comandos para configurar la interfaz VLAN lógica:
interface vlan vlan-number - Crea una interfaz virtual del switch (SVI).
nameif name - Asigna una nombre a la interfaz SVI.
security-level value - Asigna un nivel de seguridad a la interfaz SVI.
Los valores de seguridad por defecto se asignan a la interfaz interna y a la interfaz externa. Por lo
tanto, el comando security-level se requiere solamente si un administrador elige cambiar esos
valores. A cualquier otra interfaz deberá asignársele un valor de nivel de seguridad.
La dirección IP de una interfaz puede configurarse usando tres opciones:
Manualmente
Usando DHCP
Usando PPPoE
Para configurar manualmente una dirección IP, use lo siguiente:
ip address ip-address netmask - Comando para asignar una dirección IP y máscara a la SVI.
Si la interfaz se conecta a un dispositivo upstream proporcionando servicios DHCP, entonces la
interfaz puede ser un cliente DHCP y puede descubrir su dirección IP e información relativa a DHCP
usando lo siguiente:
ip address dhcp - comando de configuración de la interfaz que solicita una dirección IP
desde el dispositivo upstream.
ip address dhcp setroute - el mismo comando pero que también solicita e instala una ruta
por defecto para el dispositivo upstream.
Si la interfaz se está conectando a un dispositivo DSL upstream que proporcoina punto-a-punto
sobre servicios Ethernet, entonces puede descubrir su dirección IP usando lo siguiente:
ip address pppoe - comando de configuración de la interfaz que solicita una dirección IP al
dispositivo upstream.
ip address pppoe setroute - el mismo comando pero también solicita e instala una ruta por
defecto al dispositivo upstream.
PRECAUCIÓN: Un ASA 5505 con una licencia Básica no permite la creación de tres interfaces de
VLAN completamente funcionales. No obstante, una tercera interfaz de VLAN "limitada" puede
crearse si primero se la configura mediante el comando no forward interface vlan. Este comando
limita la interfaz para que no inicie contacto con otra VLAN. Por lo tanto, cuando se configuran las
interfaces VLAN interna y externa, el comando no forward interface vlan number debe
introducirse antes de que el comando nameif se introduzca en la tercera interfaz. El argumento
number especifica la ID de la VLAN a la cual esta interfaz de VLAN no puede iniciar tráfico. La
licencia Security Plus se requiere para que pueda lograrse una funcionalidad completa.
Los puertos de Capa 2 deben asignarse a una VLAN. Por defecto, todos los puertos de switch de
Capa 2 se asignan a la VLAN 1. Por lo tanto, para cambiar la asignación de la VLAN por defecto, el
puerto de Capa 2 debe configurarse mediante los siguientes comandos:
switchport access vlan vlan-id - cambia la asignación de la VLAN al puerto desde el punto
por defecto de la VLAN 1.
no shutdown - habilita el puerto de Capa 2.
Nota: La configuración actual mostrará únicamente el comando switchport access vlan en el caso
de las interfaces cuya membresía VLAN haya cambiado de la VLAN 1 por defecto. Las interfaces en
la VLAN 1 por defecto no mostrarán el comando switchport access vlan 1.
Para verificar las configuraciones de la VLAN, use el comando show switch vlan. Para verificar las
configuraciones de la interfaz use los comandos show interface o show int ip brief.
Configuración de una Ruta por Defecto
Si un ASA se configura como cliente DHCP, puede recibir e instalar una ruta por defecto desde el
dispositivo upstream. De otro modo, habrá que configurar una ruta estática por defecto usando el
comando route interface-name 0.0.0.0 0.0.0.0 next-hop-ip-address. Para verificar la introducción
de la ruta, use el comando show route.
Nota: Se requieren comandos HTTP adicionales para permitir la conexión de ASDM con el ASA.
Verificar la configuración básica
Configurar una ruta estática por defecto
Configurar el Acceso por Telnet
El ASA puede configurarse para aceptar conexiones Telnet desde un host único o un rango de
hosts en la red interna. Para habilitar el servicio Telnet, use los siguientes comandos:
passwd password - Configura la contraseña Telnet / SSH.
telnet - Identifica qué host interno puede hacer telnet al ASA.
telnet timeout minutes - Altera el tiempo de inactividad exec por defecto de 5 minutos.
También se soporta SSH pero requiere autenticación AAA para ser habilitado. Use los siguientes
comandos para habilitar el soporte a SSH:
username nombre password contraseña - Crea una entrada en la base de datos local.
aaa authentication ssh console LOCAL - Configura SSH para que se refiera a la base de
datos local para la autenticación. La palabra clave LOCAL es sensible al uso de
mayúsculas/minúsculas y es una etiqueta del servidor predefinida.
crypto key generate rsa modulus 1024 - Genera la clave RSA requerida para la encriptación
SSH.
ssh ip-addresssubnet-maskinterface-nombre - Identifica qué host interno puede usar SSH
hacia el ASA.
ssh timeout minutos - Altera el tiempo de inactividad exec por defecto de 5 minutos.
Para verificar la configuración de SSH, use el comando show ssh.
Configuración de Servicios de NTP
Los servicios del Protocolo de Tiempo de Red (NTP) pueden configurarse en un ASA. Use los
siguientes comandos de configuración global para habilitar y configurar NTP:
ntp server dirección-ip Identifica la dirección del servidor NTP.
ntp clave-autenticación - - Configura la clave y la contraseña de autenticación.
ntp trusted-keyvale - Identifica qué clave configurada es confiable.
ntp authenticate - Habilita la autenticación NTP.
Para verificar la configuración y el estado de NTP, use loas comandos show ntp status y
show ntp associations.
Configuración Telnet y SSH
Configuración NTP
Configuración de los Servicios de DHCP
Un ASA puede configurarse para que sea un cliente DHCP y un servidor DHCP.
Como cliente DHCP, se configura una interfaz para recibir su dirección IP e información relativa a
DHCP desde un dispositivo upstream. Para configurar una interfaz ASA como cliente DHCP, use el
comando para configuración de la interfaz ip address dhcp [setroute]. La opción setroute puede
agregarse para solicitar e instalar una ruta por defecto desde el dispositivo upstream.
Como servidor DHCP, el ASA proporciona direcciones IP e información relativa a DHCP a los hosts
internos. Para habilitar un ASA como servidor DHCP y proporcionar servicios DHCP a hosts
internos, configure lo siguiente:
dhcpd enable inside - Habilita el servicio de servidor DHCP (daemon) en la interfaz interna
del ASA.
dhcpd address[inicio-de-pool]-[fin-de-pool]inside - Define el conjunto o pool de
direcciones IP y asigna el pool a los usuarios internos. Note que las direcciones IP de inicio-
de-pool y fin-de-pool van separadas por un guión.
Nota: La licencia Básica para el ASA 5505 es una licencia para 10 usuarios y por lo tanto la cantidad
máxima de clientes DHCP soportados es 32. Para una licencia de 50 usuarios, el máximo es 128
clientes. Para una licencia de usuario sin límites, el máximo es 250 (que es lo mismo que para
todos los otros modelos de ASA).
Opciones de DHCP tales como DNS, nombre de dominio, WINS y tiempo de DHCP options such as
DNS, domain name, WINS, y tiempo de arrendamiento pueden configurarse todas manualmente
de la siguiente manera:
dhcpd domainnombre-dominio - Configura el nombre de dominio DNS.
dhcpd dnsdirección-ip-dns - Configura la dirección IP del servidor DNS.
dhcpd winsdirección-ip-wins - Comando para configurar la dirección del servidor WINS.
dhcpd leasesegundos - Configura el tiempo del arrendamiento en segundos. El valor por
defecto es de 3600 segundos (1 hora).
dhcpd optionvalor - Configura el código de opción DHCP. El código de opción se encuentra
en el rango 0 - 250.
Si la interfaz externa del ASA se configuró como cliente DHCP, puede usarse el comando de
configuración global dhcp auto_config outside para pasar información sobre DNS, WINS y del
dominio obtenida del cliente DHCP en la interfaz externa a los clientes DHCP de la interfaz interna.
Para verificar las configuraciones de DHCP, use los siguientes comandos:
show dhcpd state - Muestra el estado DHCP actual para las interfaces interna y externa.
show dhcpd binding - Muestra las uniones DHCP actuales de los usuarios internos.
show dhcpd statistics - Muestra las estadísticas actuales de DHCP.
Para borrar las uniones DHCP o las estadísticas, use los comandos clear dhcpd binding o clear
dhcpd statistics.
Nota: El servicio NAT se trata posteriormente en este capítulo.
Configuración DHCP
Verificación de DHCP
10.2.3 Introducción a ASDM
Cisco ASDM es una herramienta de GUI basada en Java que facilita la configuración, el monitoreo y
la resolución de problemas de los ASA de Cisco. La aplicación oculta la complejidad de los
comandos a los administradores, y permite configuraciones racionales sin requerir un
conocimiento extenso de la CLI del ASA. Funciona con SSL para garantizar una comunicación
segura con el ASA. Puede usarse Cisco ASDM para monitorear y configurar varios ASA que corren
la misma versión de ASDM.
ASDM ahora está precargado en la memoria flash de cualquier ASA versiones 7.0 y posteriores.
ASDM puede correrse como aplicación de Inicio de la Web Java que se descarga dinámicamente
desde la flash del ASA. Esto permite que un administrador pueda configurar y monitorear el
dispositivo ASA. De otro modo ASDM puede descargarse de la flash e instalarse localmente en un
host como si fuera una aplicación. Esto permite que un administrador use ASDM para configurar y
administrar varios dispositivos ASA.
El acceso a ASDM requiere algunas configuraciones mínimas para comunicarse a través de la red
con una interfaz de administración. La interfaz de administración depende del modelo de ASA:
Cisco ASA 5505 - El puerto de switch de administración puede ser cualquier puerto, excepto
Ethernet 0/0.
Cisco ASA 5510 y posteriores - La interfaz para la conexión es Management 0/0.
Para permitir el acceso a ASDM, configure el ASA para que permita conexiones HTTPS desde
cualquier host de la red interna. Use estos comandos:
http server enable - Habilita el servidor HTTP de ASA.
httpdirección-ip máscara-subred nombre-interfaz- Especifica a un host o hosts que pueden
acceder al servidor HTTP de ASA usando ASDM.
Nota: Para eliminar e inhabilitar el servicio de servidor HTTP de ASA, use el comando de
configuración global clear configure http.
Puede accederse a la interfaz ASDM desde cualquier estación de trabajo con una dirección IP
incluida en la lista de redes confiables HTTP. Antes de intentar establecer una conexión segura al
ASA, verifique si existe conectividad IP entre la estación de trabajo y el Cisco ASA.
Con una configuración por defecto de fábrica, un host de la red 192.168.1.0/24 puede conectarse
a la dirección IP de administración por defecto del ASA de 192.168.1.1 usando ASDM. El host debe
establecer una conexión a través de un navegador a la dirección IP de la interfaz interna usando el
protocolo HTTPS. Dependiendo de las configuraciones del navegador, puede aparecer una ventana
de certificado de seguridad. Seleccione Sí para continuar a la ventana del lanzamiento de ASDM.
La ventana de lanzamiento de ASDM proporciona tres opciones:
Instalar el Lanzador de ASDM y Ejecutar ASDM - Instala ASDM como aplicación en el host. La
ventaja de hacerlo así es que una aplicación puede usarse para administrar varios dispositivos ASA.
Un navegador de Internet ya no se requerirá para iniciar ASDM.
Ejecutar ASDM - Ejecuta ASDM como aplicación de inicio en Web de Java. La ventaja es que la
aplicación ASDM no se instana en el host local. Un navegador de Internet se requiere para
establecer una conexión.
Ejecutar el Asistente de Inicio - Ejecuta el Asistente de Inicio de ASDM. Esta opción es similar al
asistente de Inicialización de la Configuración y proporciona ventanas paso-a-paso para ayudar a
configurar inicialmente el ASA.
La página Home de Cisco ASDM muestra información importante sobre el ASA. La información de
estado de la página Home se actualiza cada 10 segundos. Aunque muchos de los detalles
disponibles en la página Home están disponibles en otro lugar en el ASDM, esta página
proporciona una vista rápida del estado operativo del ASA.
La interfaz de usuario del Cisco ASDM está diseñada para que proporcione un fácil acceso a las
muchas funciones soportadas por el ASA. Todas las páginas incluyen los siguientes elementos:
Barra de Menú - Proporciona un rápido acceso a archivos, herramientas, asistentes y la ayuda.
Barra de Herramientas - Proporciona una fácil navegación del Cisco ASDM. Desde la barra de
herramientas un administrador puede acceder a las vistas Home, Configuración y Monitoreo, así
como también guardar, actualizar, navegar entre vistas, y acceder a la Ayuda.
Botón Lista de Dispositivos - Abre una página atracable que ofrece una lista de todos los otros
dispositivos ASA. Use esta página para conmutar a otro dispositivo que corra la misma versión de
ASDM. Al administrar un único dispositivo ASA, la página Lista de Dispositivos se oculta y debe
abrirse usando el botón Lista de Dispositivos.
Barra de estado - Muestra la hora, estado de conexión, usuario, estado de la memoria, estado de
la configuración actual, nivel de privilegio y estado de SSL en la parte inferior de la ventana de la
aplicación.
Por defecto, la página Home también muestra dos pestañas:
Tablero del Dispositivo - Proporciona una vista de información importante acerca del ASA, tal
como el estado de las interfaces, la versión del OS, información sobre la licencia, e información
relativa al desempeño.
Tablero del Firewall - Proporciona información relativa a la seguridad acerca del tráfico que pasa a
través del ASA, tal como estadísticas de la conexión, paquetes descartados, escaneo y detección
de ataques syn.
Otras pestañas que la página Home puede mostrar incluyen:
Prevención de Intrusiones - Aparece únicamente si se instaló un módulo o tarjeta IPS. La pestaña
adicional muestra información de estado acerca del software IPS.
Seguridad de Contenidos - Aparece únicamente si se instaló un CSC-SSM en el ASA. La pestaña
Seguridad de Contenidos muestra información de estado acerca del software CSC-SSM.
Configuración del Dispositivo
Firewall
VPN de Acceso Remoto
VPN Sitio-a-Sitio
Administración de Dispositivos
El panel de navegación de la vista Monitoreo muestra las siguientes pestañas:
Interfaces
VPN
Enrutamiento
Propiedades
Logueo
Las opciones que aparecen en el panel de navegación variarán dependiendo de la vista y pestaña
seleccionadas.
La vista Configuración ASDM se requiere para configurar configuraciones de administración del
dispositivo básicas a través de la pestaña Configuración del Dispositivo. Las configuraciones que
pueden establecerse incluyen la hora del sistema, el nombre de host, las contraseñas, las
configuraciones de la interfaz y el enrutamiento. Haga clic en el botón Aplicar para guardar
cualquier cambio efectuado.
La pestaña Configuración del Dispositivo también cuenta con el asistente de Inicio, que es similar
al asistente de Inicialización de la Configuración. Arrancar el asistente guiará al administrador a
través de la creación de una configuración básica para el ASA. Cualquier valor previamente
configurado se usa como valor actual.
Para configurar el nombre de host, nombre de dominio, contraseñas enable y Telnet, elija
Configuración > Configuración del Dispositivo > Nombre/Contraseña del Dispositivo. El nombre de
host aparece en el prompt de línea de comandos y también se usa en los mensajes del sistema. El
ASA agrega el nombre de dominio en forma de sufijo a los nombres no calificados. La contraseña
Telnet configura la contraseña de logueo que por defecto se configura como "cisco". La contraseña
Telnet se aplica al acceso a Telnet y a SSH.
Opcionalmente, puede crearse una frase de paso para encriptar todas las contraseñas. Para ello,
elija Configuración > Administración de Dispositivos > Avanzado > Frase de Paso Maestra.
Para cambiar la hora del sistema, elija Configuración > Configuración del Dispositivo > Hora del
Sistema > Reloj. Desde esta pantalla, la zona horaria, fecha y hora pueden configurarse
manualmente. La fecha y hoara también pueden configurarse dinámicamente usando un servidor
NTP. La hora se muestra en la barra de estado, en el extremo derecho inferior.
Para configurar las interfaces de Capa 3, elija Configuración > Configuración del Dispositivo >
Interfaces. En esta ventana, las interfaces interna y externa del ASA pueden crearse o editarse.
Para configurar los puertos de Capa 2, elija Configuración > Configuración del Dispositivo >
Interfaces > Puertos del Switch. En esta ventana, los puertos de Capa 2 pueden habilitarse y
asociarse con una interfaz VLAN específica.
Para configurar una ruta por defecto, elija Configuración > Configuración del Dispositivo >
Enrutamiento > Rutas Estáticas. En esta ventana, pueden introducirse o editarse las rutas estática
y estática por defecto.
Para configurar NTP, elija Configuración > Configuración del Dispositivo > Hora del Sistema > NTP.
En esta ventana, el administrador puede agregar, editar o borrar un servidor NTP. Al agregar un
servidor, pueden configurarse la dirección IP y los parámetros de autenticación. La hora que se
deriva de un servidor NTP reemplaza a cualquier hora configurada manualmente.
Para configurar el acceso del administrador a los servicios Telnet y SSH, elija Configuración >
Administración de Dispositivos > Acceso a Administración > ASDM/HTTPS/Telnet/SSH. En esta
ventana, un administrador puede identificar qué host o redes pueden tener acceso al ASA a través
de ASDM/HTTPS, Telnet, o SSH.
Para habilitar los servicios de servidor DHCP, elija Configuración > Administración de Dispositivos >
DHCP > Servidor DHCP. En esta ventana, pueden modificarse las configuraciones DHCP generales.
Las configuraciones DHCP interna y externa pueden editarse haciendo clic en el botón Editar.
Asegúrese de hacer clic en el botón Aplicar cada vez que se efectúa un cambio.
10.2.4 ASDM Wizards
Cisco ASDM ofrece varios asistentes que ayudan a simplificar la configuración de este aparato:
Asistente de Inicio
Asistentes VPN
Asistente de Alta Disponibilidad y Escalabilidad
Asistente de Comunicación Unificada
Asistente para la Captura de Paquetes
El asistente de Inicio guía al administrador a través de la configuración inicial del ASA y ayuda a
definir las configuraciones básicas. El asistente de Inicio puede activarse eligiendo Asistentes >
Asistente de Inicio, o Configuración > Configuración del Dispositivo > Asistente de Inicio. Una vez
que aparece la página del asistente de Inicio, haga clic en el botón Arrancar el Asistente de Inicio.
La cantidad real de pasos del asistente puede variar dependiendo de modelo de ASA específico y
de los módulos instalados. No obstante, la mayoría de los modelos de ASA pueden configurarse en
un proceso de nueve pasos.
Una vez que se ha arrancado el asistente de Inicio, siga estos pasos:
Paso 1. La ventana de Punto de Inicio (también denominada ventana de Bienvenida) se muestra y
proporciona una opción de Modificar una Configuración Existente o de Reiniciar la Configuración
con los Valores por Defecto de Fábrica. Seleccione una opción y haga clic en Siguiente para
continuar.
Paso 2. En la ventana de Configuración Básica, complete la configuración de administración básica
del ASA que consiste en un nombre de host, nombre de dominio, y contraseña EXEC privilegiada.
Opcionalmente, este paso también permite al administrador implementar el ASA para un
trabajador remoto. Complete las opciones y haga clic en Siguiente para continuar.
Paso 3. En la ventana Selección de la Interfaz, cree interfaces de switch VLAN. Este paso es
específico del ASA modelo 5505. Complete las opciones y haga clic en Siguiente para continuar.
Paso 4. En la ventana Adjudicación del Puerto del Switch, mapee los puertos físicos de switch de
Capa 2 a las VLANs nombradas lógicamente en el paso anterior. Por defecto, todos los puertos de
switch se asignan a la VLAN1 (Externa). Haga clic en Siguiente para continuar.
Paso 5. En la ventana Configuración de la Dirección IP de la Interfaz, identifique las direcciones IP
interna y externa para las VLANs definidas. Note que estas direcciones también podrían crearse
usando DHCP o PPPoE. Complete las opciones y haga clic en Siguiente para continuar.
Paso 6. La ventana DHCP permite al administrador habilitar el servicio de DHCP para los hosts
internos. Todas las opciones relacionadas con DHCP se definen en esta ventana. Complete las
opciones ya haga clic en Siguiente para continuar.
Paso 7. La ventana de Traducción de Direcciones (NAT/PAT) permite al administrador habilitar PAT
o NAT. Complete las opciones y haga clic en Siguiente para continuar.
Paso 8. En la ventana de Acceso Administrativo, especifique qué host o hosts se permite que
accedan al ASA usando HTTPS/ASDM, SSH, o Telnet. Complete las opciones y haga clic en Siguiente
para continuar.
Paso 9. La ventana final es el Resumen del Asistente de Inicio. Repase la configuración propuesta.
Los cambios pueden efectuarse haciendo clic en el botón Atrás o guardarse haciendo clic en el
botón Finalizar.
El asistente VPN permite al administrador configurar conexiones VPN básicas de sitio-a-sitio y de
acceso-remoto y asignar claves pre-compartidas o certificados digitales para la autenticación.
Para arrancar el asistente VPN desde la Barra de Menúes, haga clic en Asistentes y elija Asistentes
VPN.
Los asistentes VPN incluyen a:
El asistente VPN sitio-a-sitio
El asistente VPN AnyConnect
El asistente VPN SSL sin clientes
El asistente VPN de Acceso Remoto IPsec (IKEv1)
Como complemento de los asistentes, ASDM también proporciona el Asistente ASDM. Por ejemplo
para visualizar el Asistente ASDM de acceso remoto, elija Configuraciones > VPN de Acceso
Remoto > Introducción.
Después de una configuración inicial, ASDM puede usarse para editar y configurar funciones
avanzadas.
Otros tres asistentes están disponibles en ASDM: el asistente de Alta Disponibilidad y
Escalabilidad, el asistente de Comunicaciones Unificadas, y el asistente de Captura de Paquetes.
El asistente de Alta Disponibilidad y Escalabilidad puede guiar al administrador para que configure
la función a prueba de fallos con alta disponibilidad y el equilibrio de carga de clusters VPN. El
modo de clusters VPN requiere dos dispositivos ASA que establezcan sesiones VPN a la misma red
de destino y que lleven a cabo equilibrio de carga. Note que el ASA 5505 con licencia Básica no
puede soportar este asistente.
Existen dos métodos para acceder al asistente:
Elija Asistentes > Asistente de Alta Disponibilidad y Escalabilidad..
Elija Configuration > Administración de Dispositivos > Alta Disponibilidad > Asistente
AD/Escalabilidad, y luego haga clic en Iniciar el Asistente de Alta Disponibilidad y Escalabilidad..
El asistente para Comunicaciones Unificadas puede usarse para configurar el ASA para que soporte
la función Proxy de Comunicaciones Unificadas de Cisco. Existen dos métodos para acceder al
asistente:
Elija Asistentes > Asistente para Comunicaciones Unificadas..
Elija Configuración > Firewall > Comunicaciones Unificadas seguido de Asistente para
Comunicaciones Unificadas..
Finalmente, el asistente de Captura de Paquetes es útil para configurar y ejecutar capturas para
solucionar problemas. También es útil para validar una política NAT. Las capturas pueden usar
listas de acceso para limitar el tipo de tráfico capturado, las direcciones y puertos de origen y
destino y una o más interfaces. El asistente ejecuta una captura en cada una de las interfaces de
ingreso y egreso. Las capturas pueden guardarse en un host y examinarse en un analizador de
paquetes.
Para iniciar el asistente de Captura de Paquetes, elija Asistentes > Asistente de Captura de
Paquetes..
Nota: Los tres asistentes nombrados más arriba están fuera del alcance de este capítulo y no se
explorarán en más detalle.
El ASA soporta objetos y grupos de objetos. Los objetos son creados y usados por el ASA en lugar
de una dirección IP en espera en cualquier configuración dada. Un objeto puede definirse
mediante un par de dirección IP en particular y máscara de red o un protocolo (y opcionalmente,
un puerto) y puede reusarse en varias configuraciones. La ventaja es que cuando se modifica un
objeto, el cambio se aplica automáticamente a todas las reglas que usan el objeto especificado.
Por lo tanto, los objetos hacen fácil el mantener configuraciones.
Los objetos pueden conectarse o desconectarse a uno o más grupos de objetos cuando sea
necesario, asegurando que los objetos no se dupliquen pero puedan reusarse donde sea
necesario. Estos objetos pueden usarse en NAT, listas de acceso y grupos de objetos.
Específicamente, los objetos de red son una parte vital de la configuración de NAT.
Existen dos tipos de objetos que pueden configurarse:
Objeto de red - Contiene un único par dirección IP/máscara. Los objetos de red pueden ser de tres
tipos: de host, de subred o de rango.
Objeto de servicio - Contiene un protocolo y un puerto de origen y/o destino opcional.
Nota: Un objeto de red se requiere para configurar NAT en una imagen ASA versiones 8.3 y
posteriores.
Para crear un objeto de red, use el comando de configuración global object networknombre-de-
objeto. El prompt cambiará al modo de configuración de objetos de red.
El nombre de un objeto puede contener solamente un par dirección IP y máscara. Por lo tanto,
puede haber solamente un enunciado en el objeto de red. Introducir un segundo par dirección
IP/máscara reemplazará la configuración existente.
Los objetos de la red pueden definirse usando uno de los siguientes tres métodos:
hostip-addr - Asigna una dirección IP al objeto nombrado.
subnetnet-address net-mask - Asigna una subred de la red al objeto nombrado.
rangeip-addr-1 ip-addr-n - Asigna direcciones IP en un rango.
Use la forma no de cualquiera de estos tres comandos para eliminar un objeto de la red. Para
borrar todos los objetos de la red, use el comando clear config object network. Note que este
comando borra todos los objetos de la red.
Para crear un objeto de servicio, use el comando de configuración global nombre-objeto. El
prompt cambiará al modo de configuración de objeto de servicio. El objeto de servicio puede
contener un puerto o rangos de puerto de protocolo, ICMP, ICMPv6, TCP o UDP.
Un nombre de objeto de servicio puede asociarse únicamente con un protocolo y puerto (o
puertos). Si un objeto de servicio existente se configura con un protocolo y puerto (o puertos)
diferentes, la nueva configuración reemplaza al protocolo y puerto (o puertos) existentes por los
nuevos.
Existen cinco opciones de servicio:
service protocol [source [operator port]] [destination [operator port]] - Especifica un nombre o
número de protocolo IP.
service tcp [source [operator port]] [destination [operator port]] - Especifica que el objeto de
servicio es para el protocolo TCP.
service udp [source [operator port]] [destination [operator port]] - Especifica que el objeto de
servicio es para el protocolo UDP.
service icmp icmp-type - Especifica que el objeto de servicio es para el protocolo ICMP.
service icmp6 icmp6-type - Especifica que el objeto de servicio es para el protocolo ICMPv6.
Se usan palabras clave opcionales para identificar el puerto de origen o el puerto de destino o
ambos. Los operadores, tales como eq, neq, lt, gt y range soportan la configuración de un puerto
para un protocolo dado. Si no se especifica ningún operador, el operador por defecto es eq.
Use la forma no del comando para eliminar un objeto de servicio. Para borrar todos los objetos de
servicio, use el comando clear config object service. Este comando borra todos los objetos de
servicio.
Para verificar, use el comando show running-config object.
Los objetos pueden agruparse para crear un grupo de objetos. Agrupando objetos similares, un
grupo de objetos puede usarse en una entrada de control de acceso (ACE) en lugar de tener que
introducir una ACE para cada objeto separadamente.
Las siguientes instrucciones y limitaciones se aplican a los grupos de objetos:
Los objetos y grupos de objetos comparten el mismo espacio de nombre.
Los grupos de objetos deben tener nombres únicos.
Un grupo de objetos no puede eliminarse ni vaciarse si se usa en un comando.
El ASA no soporta grupos de objetos anidados IPv6
El ASA soporta los siguientes tipos de grupos de objetos:
De Red
De Protocolo
Tipo ICMP
De Servicio
Para configurar un grupo de objetos de red, use el comando de configuración global object-group
network grp-name. Una vez introducido el comando, agregue objetos de red al grupo de la red
mediante los siguientes comandos:
network-object
group-object
Nota: Un grupo de objetos de red no puede usarse para implementar NAT. Un objeto de red se
requiere para implementar NAT.
Para configurar un grupo de objetos de protocolo, use el comando de configuración global grupo-
objetos protocologrp-name. Una vez introducido el comando, defina un grupo de protocolos tales
como TCP y UDP. Agregue objetos de red al grupo de protocolos mediante los siguientes
comandos:
protocol-object
group-object
Para configurar un grupo de objetos ICMP, use el comando de configuración global object-group
icmp-typegrp-name. Después de introducir el comando, agregue objetos ICMP mediante los
siguientes comandos:
icmp-object
group-object
Para configurar un grupo de objetos de servicio, use el comando de configuración global object-
group servicegrp-name. El grupo de objetos de servicio puede definir una mezcla de servicios TCP,
servicios UDP, servicios de tipo ICMP y cualquier protocolo. Una vez introducido el comando
object-group service, agrega objetos de servicio a los grupos de servicio con los siguientes
comandos:
service-object
group-object
Para configurar un grupo de objetos de servicio para TCP, UDP, o TCP y UDP, especifique la opción
en el comando de configuración global object-group servicegrp-name[tcp | udp | tcp-udp].
Cuando tcp, udp, o tcp-udp se especifican opcionalmente en la línea de comandos, service define
un grupo de objetos de servicio estándar de especificaciones de puertos TCP/UDP tales como "eq
smtp" y "range 2000 2010." Una vez introducido el comando, agregue objetos de puerto al grupo
de servicio mediante los siguientes comandos:
port-object
group-object
Para borrar todos los grupos de objetos de la configuración, use el comando de configuración
global clear configure object-group.
Para verificar las configuraciones de objetos de grupo, use el comando show running-config
object-group.
Ejemplos prácticos de grupos de objetos se presentarán al configurar ACLs y NAT.
Para configurar un objeto de red o un grupo de objetos de red en ASDM, elija Configuración >
Firewall > Objetos > Objetos/Grupos de Red. Desde esta ventana, el administrador puede agregar,
editar o borrar un objeto de red o un grupo de objetos de red.
Para configurar objetos de servicio, grupos de objetos de servicio, grupos de objetos ICMP, o
grupos de objetos de protocolo, elija Configuración > Firewall > Objetos > Objetos/Grupos de
Servicio. Desde esta ventana, el administrador puede agregar, editar o borrar un objeto de servicio
o grupos de objetos de servicios, grupos de objetos ICMP, y/o grupos de objetos de protocolo.
10.2.6 ACLs
El Cisco ASA 5500 proporciona capacidades básicas de filtrado de tráfico con ACLs. Las ACLs
controlan el acceso en una red evitando que el tráfico definido entre o salga.
Existen muchas similitudes entre las ACLs ASA y las ACLs IOS. Por ejemplo, ambas están
compuestas por ACEs, se procesan secuencialmente de arriba hacia abajo, y hay un denegar todo
implícito. Además, la regla de solamente una ACL por interfaz, por protocolo, por dirección se
sigue aplicando.
Las ACLs ASA difieren de las ACLs IOS en que usan una máscara de red (por ejemplo,
255.255.255.0) en lugar de una máscara wildcard (por ejemplo 0.0.0.255). Además las mayoría de
las ACLs ASA se nombran en lugar de numerarse.
Otra diferencia se debe a los niveles de seguridad de la interfaz de un ASA. Por defecto, los niveles
de seguridad aplican el control de acceso sin que se haya configurado una ACL. Por ejemplo, el
tráfico desde una interfaz más segura (como con nivel de seguridad 100) se permite hacia
interfaces menos seguras (como con nivel 0). El tráfico desde una interfaz menos segura se
bloquea para que no acceda a interfaces más seguras.
Por ejemplo, un host de la interfaz interna con un nivel de seguridad de 100 puede acceder a la
interfaz externa con un nivel de seguridad 0. Pero un host externo proveniente de una interfaz
externa con un nivel de seguridad 0 no puede acceder a una interfaz de nivel más alto. Por lo tanto
se requerirá una ACL para permitir el tráfico desde un nivel de seguridad más bajo a un nivel de
seguridad más alto.
Nota: Para permitir la conectividad entre interfaces con los mismos niveles de seguridad, se
requiere el comando de configuración global same-security-traffic permit inter-interface. Para que
sea posible que el tráfico entre y salga por la misma interfaz, como cuando tráfico encriptado
entre a una interfaz y luego es enrutado fuera de la misma interfaz desencriptado, use el comando
de configuración global same-security-traffic permit intra-interface. Estos comandos están más
allá del alcance de este capítulo.
Las ACLs de un aparato de seguridad pueden usarse no sólo para filtrar paquetes salientes que
pasan por el aparato sino también para filtrar paquetes salientes destinados al aparato.
Filtrado a través del tráfico - Tráfico que pasa a través del aparato de seguridad de una
interfaz a otra. La configuración se completa en dos pasos; configurar una ACL y aplicar
dicha ACL a una interfaz.
Filtrado de tráfico to-the-box - También conocido como regla de acceso de administración,
se aplica al tráfico que termina en el ASA. Introducida en la versión 8.0 para filtrar el
tráfico destinado al plano de control del ASA. Se completa en un paso pero requiere un
conjunto adicional de reglas para implementar control de acceso.
El ASA soporta cinco tipos de listas de acceso:
Listas de acceso extendidas - El tipo más común de ACL. Contiene una o más ACEs para
especificar direcciones y protocolo de origen y destino, puertos (para TCP o UDP), o el tipo
de ICMP (para ICMP).
Listas de acceso estándar - A diferencia de IOS donde una ACL estándar identifica host/red
de origen, las ACLs estándar del ASA se usan para identificar las direcciones IP de destino.
Por lo común se usan solamente en rutas OSPF y pueden usarse en un mapa de rutas para
la redistribución OSPF. Las listas de acceso estándar no pueden aplicarse a las interfaces
para controlar el tráfico.
Listas de acceso EtherType - Una ACL EtherType puede configurarse solamente si el
aparato de seguridad está funcionando en modo transparente.
Listas de acceso Webtype - Se usan en una configuración que soporta el filtrado para la
VPN SSL sin clientes.
Listas de acceso IPv6 - Se usan para determinar qué tráfico IPv6 bloquear y qué tráfico
forwardear a interfaces de router.
Use el comando privilegiado EXEC help access-list para mostrar la sintaxis para todas las ACLs
soportadas en la plataforma ASA.
Nota: El foco de este capítulo estará en las ACLs extendidas.
Las opciones de sintaxis de configuración de la ACL para el ASA pueden ser un poco abrumadoras
considerando la cantidad de parámetros soportados. Estos parámetros no sólo dan a un
administrador control completo sobre qué inspeccionar, sino también capacidades de logueo
completo para analizar los flujos de tráfico en un momento posterior.
Las ACLs IOS y ASA tienen elementos similares, pero algunas opciones varían en el ASA. Por
ejemplo:
Nombre de la ACL - Puede ser cualquier nombre alfanumérico de hasta 241 caracteres.
Tipo - Puede ser extendido, estándar o tipo web.
Acción - Puede ser permitir o denegar.
Número de protocolo - Puede ser ip para todo el tráfico, o el nombre / número de
protocolo IP (0-250) incluyendo icmp (1), tcp (6), udp (17). También puede ser un grupo de
objetos de protocolo.
Origen - Identifica el origen y puede ser cualquiera, un host, una red, o un grupo de
objetos de red. Para el filtrado de tráfico to-the-box, la palabra clave de la interfaz se usa
para especificar la interfaz de origen del ASA.
Operador de puerto de origen - (Opcional) El operando se usa en conjunción con el puerto
de origen. Los operandos válidos incluyen lt (menos que), gt (más grande que), eq (igual),
neq (no igual) y range para un rango inclusivo.
Puerto de origen - (Opcional) Puede ser el número de puerto TCP o UDP real, nombre
puerto seleccionado o grupo de objetos de servicio.
Destino - Identifica el destino y como el origen, puede ser any (cualquiera), un host, una
red o un grupo de objetos de red. Para el filtrado de tráfico to-the-box, la palabra clave
interface se usa para especificar la interfaz de destino del ASA.
Operador del puerto de destino - (Opcional) El operando se usa en conjunción con el
puerto de destino. Los operandos válidos son los mismos que los operandos del puerto
origen.
Puerto de destino - (Opcional) Puede ser el número de puerto TCP o UDP, nombre de
puerto seleccionado, o grupo de objetos de servicio.
Log - Puede configurar elementos para syslog. Las opciones incluyen la configuración del
número o nombre del nivel de severidad, el intervalo de logueo desde el valor por defecto
de 300 segundos. El logueo también puede reconfigurarse al valor por defecto, o
inhabilitarse para esta ACE.
Rango temporal - (Opcional) Especifica un rango temporal para esta ACE.
Nota: la explicación de toda la sintaxis de las ACLs está más allá del alcance de este capítulo y no
se seguirá explorando.
Existen muchas opciones que pueden usarse con las ACLs. No obstante, para la mayor parte de las
necesidades, una versión más útil y condensada de la sintaxis es la siguiente:
access-list id extended {deny | permit} protocol {source-addr source-mask} | any | host src-host
interface src-if-name [operator port [port]] {dest-addr dest-mask} | any | host dst-host | interface
dst-if-name [operator port [port]]
Después de configurar una ACL para identificar el tráfico permitido o denegado por el ASA, el
siguiente paso es aplicar la ACL a una interfaz en sentido ya sea entrante o saliente. Aplique la ACL
de la siguiente manera:
access-group access-list {in | out} interface interface-name [per-user-override | control-plane]
Para verificar las ACLs, use los comandos show access-list y show running-config access-list.
Para borrar una ACL configurada, use el comando clear configure access-list id.
Considere una situación que requiera acceso desde dos hosts externos a dos servidores internos
proporcionando servicios de web e e-mail. Todo el otro tráfico que intente pasar a través del ASA
se descartará y registrará.
La ACL requeriría dos ACEs por cada PC. El deny all implícito descartará y registrará cualquier
paquete que no coincida con los servicios de email o web. Las ACLs deberán estar siempre bien
documentadas usando el comando remark.
Para verificar la sintaxis de la ACL, use los comandos show running-config access-list y show
access-list.
La agrupación de los objetos es una forma de agrupar elementos similares para reducir la cantidad
de ACEs. Agrupando objetos, los grupos de objetos pueden usarse en una ACL en lugar de tener
que introducir una ACE por cada objeto separadamente. Sin la agrupación de objetos, la
configuración del aparato de seguridad puede contener miles de líneas de ACEs, lo que lo vuelve
difícil de administrar.
La siguiente es una versión condensada del comando access-list que destaca los parámetros de
grupo de objeto configurable:
access-list id [line line-num] [extended] {deny | permit} object-group protocol-obj-grp-id object-
group network-obj-grp-id object-group service-obj-grp-id] object-group network-obj-grp-id object-
group service-obj-grp-id] [log level] [interval secs] [[disable | default] | [time-range time-range-
ID]] | [inactive]
El aparato de seguridad sigue la regla del factor de multiplicación al definir las ACEs. Por ejemplo,
si dos hosts externos necesitan acceder a dos servidores internos que usan servicios HTTP y SMTP,
el ASA tendrá 8 ACEs basados en hosts. Deberán calcularse de la siguiente manera:
Cantidad de ACEs = (2 servidores internos) x (2 hosts externos) x (2 servicios) = 8
El agrupamiento de objetos puede agrupar objetos de red tales como servidores internos en un
solo grupo y los hosts externos en otro. El aparato de seguridad también puede combiar ambos
servicios TCP en un grupo de objetos de servicio.
Por ejemplo, consideremos el ejemplo anterior de la ACL extendida, tenía un total de 9 ACEs (8
ACEs de permiso más el ACE de deny implícito). Crear los siguientes objetos puede ayudar a
simplificar la ACL ACL-IN en un solo ACE. Por ejemplo, se crean los siguientes grupos de objetos:
Grupo de objetos de protocolo llamado TCP - Identifica a todos los protocolos TCP.
Grupo de objetos de red llamado Internet-Hosts - Identifica dos hosts externos.
Grupo de objetos de red llamado Internal-Servers - Identifica a los servidores que
proporcionan servicios de e-mail y web.
Grupo de objetos de servicio HTTP-SMTP - Identifica a protocolos SMTP y HTTP.
Una vez que se han configurado los grupos de objetos, pueden usarse en cualquier ACL y en varias
ACLs. Una ACE única podría usarse para permitir a los hosts confiables el hacer solicitudes de
servicio específicas a un grupo de servidores internos.
Aunque la configuración de los grupos de objetos puede parecer tediosa, la ventaja es que estos
objetos pueden reutilizarse en otros comandos ASA y pueden alterarse fácilmente. Por ejemplo, si
es necesario agregar un nuevo servidor de mail interno, todo lo que se requiere es la edición del
grupo de objetos Internal-Servers.
Nota: los grupos de objetos también anidarse en otros grupos de objetos.
En ASDM, las reglas de acceso pueden crearse y mantenerse usando la ventana Reglas de Acceso.
Para abrir la ventana, elija Configuración > Firewall > Reglas de Acceso. .
Desde esta página, aparece una nueva barra de herramientas proporcionando opciones de
agregar, editar o borrar reglas. Estas opciones también están disponibles haciendo clic con el
botón derecho en una regla en particular.
Otras herramientas están disponibles para simplificar el proceso de administración de las reglas.
La edición en el panel está disponible para componentes específicos de cada regla, por ejemplo al
cambiar las direcciones IP o puertos de origen o destino en cada línea, sin tener que introducir las
opciones de edición de reglas. Las reglas también pueden moverse hacia arriba o abajo, ser
copiadas y clonadas, o inhabilitarse y rehabilitarse temporalmente.
Se muestra un diagrama en la parte inferior del conjunto de reglas, proporcionando un enunciado
más visual para comprender y resolver problemas de redes específicas.
10.2.7 Servicios de NAT en el ASA
Al igual que los routers IOS, el ASA soporta NAT y PAT y estas direcciones también pueden
proporcionarse estática o dinámicamente.
NAT y PAT pueden implementarse usando uno de estos métodos:
NAT Interno - El método usual de implementación de NAT sucede cuando un host
proveniente de una interfaz de más alta seguridad tiene tráfico destinado a una interfaz
de menor seguridad y el ASA traduce la dirección del host interno a una dirección global. El
ASA restaura luego la dirección IP interna original para el tráfico de retorno.
NAT Externo - Este método se usa cuando se traduce el tráfico desde una interfaz de
menor seguridad está destinado a un host de más alta seguridad. Este método puede ser
útil para hacer que un host externo aparezca desde una dirección IP interna conocida.
NAT bidireccional - Indica que NAT interno y NAT externo se usan juntos.
Por defecto, Cisco ASA no requiere la creación de una política de traducción de direcciones cuando
las interfaces de seguridad de más alto nivel necesitan acceder a recursos en interfaces de nivel de
seguridad más bajo. No obstante, si un paquete coincide con una política NAT/PAT, el ASA traduce
la dirección.
Tradicionalmente, NAT se configuró usando los comandos nat, global, and static . No obstante,
Auto-NAT es una nueva función introducida en ASA versión 8.3 que ha reemplazado a ese método
de configuración de NAT. Los comandos global y static ya no son soportados. Auto-NAT ha
simplificado considerablemente la configuración y resolución de problemas de NAT.
Auto-NAT saca ventaja del uso de objetos de red como bloques constructores para configurar
todas las variantes de NAT. Se crea un objeto de red y es dentro de este objeto donde se configura
NAT. Recuerde que los objetos de red pueden usarse para identificar a un host, una subred, o un
rango de direcciones IP usando uno de tres métodos:
host ip-addr - Este comando asigna una dirección IP al objeto nombrado.
subnet net-address net-mask - Asigna una subred de la red al objeto nombrado.
range ip-addr-1 ip-addr-n - Asigna una dirección IP en un rango.
Adicionalmente deben especificarse los parámetros del comando nat en el objeto usando el
siguiente comando:
nat [(real-ifc,mapped-ifc)] dynamic {mapped-inline-host-ip [interface] | [mapped-obj] [pat-
pool mapped-obj [round-robin]] [interface]} [dns]
La opción de parámetros de donde elegir está directamente relacionada con el tipo de NAT
requerido.
El ASA divide la configuración de NAT en dos secciones. La primera sección define la red a ser
traducida usando un objeto de red. La segunda sección define los parámetros reales del comando
nat. Éstos aparecen en dos lugares diferentes en running-config.
Por lo tanto, se requieren dos comandos para mostrar la configuración de NAT. Use el comando
show run object para mostrar el objeto de la red y use el comando show run nat para mostrar la
configuración actual de NAT.
Cisco ASA soporta los siguientes tipos comunes de traducción de direcciones de red:
NAT dinámica - Traducción de muchos-a-muchos. Usualmente un pool interno de
direcciones privadas que requieren direcciones de otro pool.
PAT dinámica - Traducción de muchos-a-uno. Usualmente un pool interno de direcciones
privadas que sobrecargan una interfaz externa o dirección externa.
NAT estática - Una tradución de uno-a-uno. Usualmente una dirección externa que se
mapea a un servidor interno.
Otra función de ASA versión 8.3 se denomina Twice-NAT. Twice-NAT identifica tanto la dirección
de origen como la de destino en una única regla (el comando nat). Nota: Twice-NAT está más allá
del alcance de este capítulo y no se explorará en más detalle.
Para configurar NAT dinámica, se requieren dos objetos de red. El primer objeto de red identifica
el pool de direcciones IP públicas al que serán traducidas las direcciones internas. El segundo
objeto de red conecta los dos objetos. Use los siguientes comandos:
object network mapped-obj - Nombra el objeto de red que identifica el pool de
direcciones públicas.
range ip-addr-1 ip-addr-n - Asigna direcciones IP en un rango.
object network nat-object-name - Nombra el objeto NAT.
subnet net-address net-mask - Asigna una subred de la red al objeto nombrado. De
manera alternativa podría utilizarse el comando range.
nat (real-ifc,mapped-ifc) dynamic mapped-obj - Mapea una dirección estática a una
dirección mapped-inline-host-ip.
Para configurar PAT dinámica, use los siguientes comandos:
object network nat-object-name - Nombra el objeto PAT.
subnet net-address net-mask - Asigna una subred de la red al objeto nombrado. De
manera alternativa podría utilizarse el comando range.
nat (real-ifc,mapped-ifc) dynamic interface - Proporciona hosts internos en real-ifc para
sobrecargar la dirección externa de la interfaz mapped-ifc.
Una variante de esta configuración se denomina PAT dinámica. Esto es cuando una dirección IP
externa real se configura y sobrecarga en lugar de la dirección IP de la interfaz ASA.
Para configurar NAT estática, donde una dirección interna se mapea a una dirección externa, use
los siguientes comandos:
object network nat-object-name - Nombra el objeto NAT estático.
host ip-addr - Identifica la dirección IP interna del host.
nat (real-ifc,mapped-ifc) static mapped-inline-host-ip - Mapea estáticamente una dirección
interna a una dirección externa.
Nota: la palabra clave any puede usarse en lugar del parámetro mapped-ifc. Esto permite la
traducción de un objeto entre varias interfaces con un único comando en la CLI. Por ejemplo, nat
(dmz, any) static 209.165.200.227 permitiría cualquier dispositivo en cualquier acceso a la red
interna al servidor DMZ usando la dirección IP externa.
Se requiere una ACL para que la traducción tenga éxito. A diferencia de las ACLs IOS, el ASA debe
permitir el acceso a la dirección DMZ privada interna desde el exterior. Los hosts externos acceden
al servidor usando su dirección NAT estática pública y el ASA lo traduce a la dirección IP del host
interno y aplica la ACL.
Use los comandos show nat y show xlate para verificar las traducciones. Puede que sea necesario
usar el comando clear nat counters al probar NAT.
Configuración de NAT dinámica
Para configurar NAT dinámica en una ASDM, elija Configuraciones > Firewall > Objetos >
Objetos/Grupos de Red y luego haga clic en Agregar > Objeto de Red. Aparecerá la ventana
Agregar Objeto de Red. Complete lo siguiente:
Nombre - Introduzca un nombre de objeto de red.
Tipo - Elija Red o Rango.
Dirección IP - Introduzca la dirección de red de los hosts internos.
Máscara de Red - Introduzca la máscara de red.
Descripción - Introduzca una descripción opcional.
Si la sección NAT está oculta, haga clic en NAT para expandir la sección y continúe:
Marque el recuadro de verificación Agregar Reglas de Traducción de Direcciones
Automática.
Tipo - Elija Dinámico.
Dirección Traducida - A la derecha del campo, haga clic en el botón navegar y elija un
objeto de red existente y un nuevo objeto desde el recuadro de diálogo Navegar por la
Dirección Traducida.
Si la sección NAT está oculta, haga clic en NAT para expandir la sección y continúe:
Marque el recuadro de verificación Agregar Reglas de Traducción de Direcciones
Automática.
Tipo - Elija Dinámico.
Dirección Traducida - Déjela vacía
Marque el recuadro de verificación Dirección Traducida por PAT y haga clic en el botón
Navegar y elija un objeto de red existente o cree un nuevo objeto.
Si la sección NAT está oculta, haga clic en NAT para expandir la sección y continúe:
Marque el recuadro de verificación Agregar Reglas de Traducción de Direcciones
Automática.
Tipo - Elija Dinámico.
Dirección Traducida - Introduzca la dirección IP a la cual traducir.
Para verificar las reglas de NAT, elija Configuraciones > Firewall > Reglas de NAT para abrir la
ventana Reglas de NAT.
10.2.8 Control de Acceso en un ASA
Autenticación, Autorización y Manejo de Cuentas (AAA) proporciona un nivel extra de protección y
control del usuario. Usando AAA solamente, puede permitirse a los usuarios autenticados y
autorizados conectarse a través del ASA. La autenticación puede usarse sola o con autorización y
manejo de cuentas. La autorización siempre requiere primero la autenticación de un usuario. El
manejo de cuentas puede usarse solo, o con autenticación y autorización.
La autenticación controla el acceso requiriendo credenciales del usuario válidas, que son
usualmente un nombre de usuario y contraseña. El ASA puede autenticar todas las conexiones
administrativas al ASA, incluyendo Telnet, SSH, consola, ASDM usando HTTPS y EXEC privilegiado.
La autorización controla el acceso, por usuario, una vez autenticados los usuarios. La autorización
controla los servicios y comandos disponibles para cada usuario autenticado. Sin que autorización
esté habilitada, la autenticación por sí sola proporcionaría el mismo acceso a los servicios para
todos los usuarios autenticados. El ASA puede autorizar los siguientes elementos:
Comandos de administración
Acceso a la red
Acceso a VPN
El ASA pone en la cache las primeras 16 solicitudes de autorización por usuario. Por lo tanto, si el
usuario accede a los mismos servicios durante la sesión de autenticación actual, el ASA no reenvía
la solicitud al servidor de autorización.
Manejo de cuentas rastrea el tráfico que pasa a través del ASA, permitiendo a los administradores
tener un registro de la actividad de los usuarios. La información de manejo de cuentas incluye hora
de inicio y detención de la sesión, nombres de usuarios, la cantidad de bytes que pasan a través
del ASA para la sesión, el servicio usado, y la duración de cada sesión.
El Cisco ASA puede configurarse para autenticar usando una base de datos de usuarios local o un
servidor externo de autenticación o ambos.
AAA local usa una base de datos para la autenticación. Este método almacena los nombres de
usuario y contraseñas localmente en el ASA, y los usuarios se autentican contra la base de datos
local. AAA local es ideal para pequeñas redes que no necesitan un servidor AAA dedicado.
Nota: a diferencia del ISR, los dispositivos ASA no soportan autenticación local sin usar AAA.
Use el comando username name password password [privilege priv-level] para crear cuentas de
usuario locales.
Para borrar a un usuario de la base de datos local, use el comando clear config username [name].
Para visualizar todas las cuentas de usuarios, use el comando show running-conf username .
La autenticación AAA basada en servidor es un método mucho más escalable que la autenticación
AAA local. La autenticación AAA basada en servidor usa un recurso de servidor de base de datos
externo que impulsa los protocolos RADIUS o TACACS+. Ejemplos de esto incluyen al Servidor de
Control de Acceso Cisco Secure (ACS) para Windows Server, el Motor Solución ACS Cisco Secure, o
ACS Express para Cisco Secure. Si hay varios dispositivos de networking, AAA basada en servidor es
más apropiado.
Para coanfigurar un servidor TACACS+ o RADIUS, use los siguientes comandos:
aaa-server server-tag protocol protocol - Crea un grupo de servidores AAA TACACS+ o
RADIUS.
aaa-server server-tag [(interface-name)] host {server-ip | name} [key] - Configura un
servidor AAA como parte de un grupo de servidores AAA. También configura los
parámetros del servidor AAA que sean específicos del host.
Los parámetros disponibles variarán dependiendo del tipo de servidor elegido.
Para borrar todas las configuraciones del servidor AAA, use el comando clear config aaa-server .
Para visualizar todas las cuentas de usuario, use el comando show running-conf aaa-server .
Para autenticar a los usuarios que acceden a la CLI ASA por una consola, SSH, HTTPS (ASDM) o
conexión Telnet, o para autenticar usuarios que acceden al modo privilegiado EXEC usando el
comandoenable , use el comando aaa authentication console en modo de configuración global.
La sintaxis del comando es la siguiente:
aaa authentication {serial | enable | telnet | ssh | http} console {LOCAL | server-group
[LOCAL]}
Para borrar todos los parámetros de AAA, use el comando clear config aaa .Para ver todas las
cuentas de usuario, use el show running-conf username .
Para habilitar AAA en ASA:
Paso 1. Cree las entradas de la base de datos local.
Para agregar o editar entradas de la base de datos locales, elija Configuración > Administración de
Dispositivo > Usuarios/AAA > Cuentas del Usuario. Para agregar un usuario, haga clic en Agregar.
Complete las ventanas Agregar Cuenta de Usuario.
Paso 2. Cree los grupos de servidores AAA.
Para crear o editar un grupo de servidores AAA, elija Configuración > Administración de
Dispositivos > Usuarios/AAA > Grupos de Servidores AAA .Para agregar un servidor, haga clic en el
botón Agregar en el lado derecho de la ventana Grupos de Servidores AAA. Complete la ventana
Agregar Grupo de Servidores AAA.
Paso 3. Agregue los servidores AAA a los grupos de servidores.
Para agregar AAA al grupo de servidores, elija Configuración > Administración de Dispositivos >
Usuarios/AAA > Grupos de Servidores AAA. Para agregar un servidor a un Grupo de Servidores
específico, seleccione un servidor en la ventana Grupo de Servidores AAA y luego haga clic en el
botón Agregar a la derecha de los Servidores en la ventana Grupo Seleccionado. Complete la
ventana Agregar Servidor AAA.
Paso 4. Haga clic en Aplicar para que se asignen los cambios.
Para unir la autenticación con los Grupos de Servidores AAA y la base de datos local, elija
Configuración > Administración de Dispositivos > Usuarios/AAA > Acceso AAA.
Desde esta ventana, un administrador puede elegir configurar Autenticacion, Autorización y
Manejo de Cuentas.
10.2.9 Service Policies en un ASA
La configuración de Marco de Política Modular (MPF) define un conjunto de reglas para aplicar
funciones de firewall, tal como la inspección de tráfico y QoS, al tráfico que atraviesa el ASA. MPF
permite una clasificación granular de los flujos de tráfico, para aplicar diferentes políticas
avanzadas a diferentes flujos. MPF se usa con módulos de hardware para redirigir el tráfico
granularmente desde el ASA a los módulos que usan Cisco MPF. MPF puede usarse para la
inspección de tráfico de Capa de Aplicación avanzada clasificando en las Capas 5 a 7. Las funciones
de limitación de tasa y QoS también pueden implementarse usando MPF.
Cisco MPF usa estos tres objetos de configuración para definir políticas jerárquicas modulares,
orientadas al objeto:
Mapas de clase - Definen criterios de coincidencia usando el comando de configuración
class-map.
Mapas de políticas - Asocian acciones a los criterios de coincidencia de map match usando
el comando de configuración global policy-map.
Políticas de servicio -Habilitan la política adjuntándola a una interfaz, o globalmente a
todas las interfaces usando el comando de configuración de interfaz service-policy.
Aunque la sintaxis de MPF es similar a la sintaxis de la CLI QoS Cisco Modular (MQC), y a la sintaxis
del Lenguaje de Políticas de Clasificación Cisco Common (C3PL), usada en los routers IOS, los
parámetros configurables difieren. La plataforma ASA proporciona más acciones configurables en
comparación con una ISR para Cisco IOS ZPF. El ASA soporta inspecciones de la Capa 5 a la 7
usando un conjunto de criterios más rico para los parámetros específicos de la aplicación. Por
ejemplo, la función MPF de ASA puede usarse para hacer lo siguiente:
Hacer coincidir URLs HTTP y métodos de solicitud.
Evitar que los usuarios naveguen a determinados sitios durante horas específicas.
Evitar que los usuarios descarguen música (MP3) y archivos de video a través de HTTP/FTP
o HTTPS/SFTP.
Existen cuatro pasos para configurar MPF en un ASA:
Paso 1. Configurar ACLs extendidas para identificar tráfico granular específico. Este paso puede ser
opcional.
Paso 2.Configurar el mapa de clases para identificar tráfico.
Paso 3. Configurar un mapa de políticas para aplicar acciones a dichos mapas de clases.
Paso 4 Configurar una política de servicios para adjuntar el mapa de políticas a una interfaz.
Configurar ACL
Las ACLs extendidas se usan por lo general para definir flujos de tráfico. Estas ACLs pueden
referenciarse específicamente en el mapa de clases. Por ejemplo, las ACLs pueden usarse para
cotejar:
Todo el tráfico TCP
Todo el tráfico UDP
Todo el tráfico HTTP
Todo el tráfico a un servidor específico
Configurar el Mapa de Clases
Los mapas de clase se configuran para identificar el tráfico de Capa 3/4. Para crear un mapa de
clases e introducir el modo de configuración class-map, use el comando de configuración global
class-map class-map-name. Los nombres "class-default" y cualquier nombre que comience con
"_internal" o "_default" están reservados. El nombre de mapa de clases debe ser único y puede
tener hasta 40 caracteres de longitud. El nombre también debería ser descriptivo.
Nota: Una variación del comando class-map se usa para el tráfico de administración que está
destinado al ASA. En este caso, use el comando class-map type management class-map-name.
En modo de configuración class-map, ciscoasa(config-cmap)#, define el tráfico a incluir en la clase
haciendo coincidir una de las siguientes características.
description - Agrega un texto de descripción.
match any - Class map coteja todo el tráfico.
match access-list access-list-name - Class map coteja el tráfico especificado por una lista de acceso
extendida.
Nota: A menos que se lo especifique de otra forma, incluye únicamente un solo comando match
en el mapa de clases.
Política Global por Defecto
La configuración del mapa de clases también incluye un mapa de clases de Capas 3/4 que el ASA
usa en la política global por defecto. Se denomina inspection_default y coteja todo el tráfico de
inspección por defecto. Por ejemplo:
class-map inspection_default
match default-inspection-traffic
The match default-inspection-traffic es un acceso directo CLI especial que coteja todos los puertos
por defecto para todas las inspecciones. Cuando se usa en un mapa de políticas, este mapa de
clases asegura que la inspección correcta se aplique a cada paquete, basándose en el puerto de
destino del tráfico. Por ejemplo, cuando el tráfico UDP hacia el puerto 69 llega al ASA, el ASA
aplica la inspección TFTP. En este caso únicamente, pueden configurarse varias inspecciones para
el mismo mapa de clases. Normalmente, el ASA no usa el número de puerto para determinar qué
inspección aplicar. Esto proporciona flexibilidad para aplicar inspecciones a puertos no estándar.
Para mostrar información acreca de la configuración del mapa de clases, use el comando show
running-config class-map .
Para eliminar todos los mapas de clases, use el comando clear configure class-map en modo de
configuración global.
Configurar el Mapa de Políticas
Los mapas de políticas se usan para conectar mapas de clases con acciones. Para aplicar acciones
al tráfico de Capas 3 y 4, use el comando de policy-map policy-map-name global configuración
global. El nombre del mapa de políticas debe ser único y tener hasta 40 caracteres de longitud. El
nombre también debería ser descriptivo.
En el modo de configuración policy-map (config-pmap), use los siguientes comandos:
Description - Agrega texto descriptivo.
class class-map-name - Identifica un mapa de clases específico en el cual llevar a cabo
acciones.
La cantidad máxima de mapas de políticas es 64. Pueden existir varios mapas de clase de Capa 3/4
en un único mapa de políticas, y varias acciones pueden asignarse desde uno o más tipos de
funciones a cada mapa de clases.
Nota: la configuración incluye un mapa de políticas de Capa 3/4 que el ASA usa en la política global
por defecto. Se denomina global_policy y lleva a cabo una inspección en el tráfico de inspección
por defecto. Solamente puede existir una única política global. Por lo tanto, para alterar la política
global, hay que editarla o reemplazarla.
Aunque existe una variedad de diferentes comandos disponibles en este modo de sub
configuración, los más comunes son:
set connection - configura valores de conexión.
Inspect - proporciona servidores de inspección del protocolo.
Police - configura límites de tasa para el tráfico en esta clase.
Las acciones se aplican al tráfico de manera bidireccional o unidireccional dependiendo de la
función.
Para mostrar información acerca de la configuración del mapa de políticas, use el comando show
running-config policy-map .
Para eliminar todos los mapas de políticas, use el comando clear configure policy-map en modo de
configuración global.
Configure la Política de Servicio
Para activar un mapa de políticas globalmente en todas las interfaces o en una interfaz objetivo,
use el comando de configuración global service-policy . Use el comando para habilitar un conjunto
de políticas en una interfaz. La sintaxis del comando es la siguiente:
service-policy policy-map-name [global | interface intf]
La configuración por defecto del ASA incluye una política global que coincide con todo el tráfico de
inspección de aplicaciones por defecto y aplica la inspección al tráfico globalmente. De no ser el
caso, la política de servicios puede aplicarse a una interfaz o globalmente.
Las políticas de servicio de una interfaz tienen precedencia sobre la política de servicio global para
una función dada. Por ejemplo, si hay una política global con inspecciones, y una política de
interfaz con inspecciones, solamente las inspecciones de políticas se aplican a esa interfaz.
Para alterar la política global, un administrador necesita editar la política por defecto, o inhabilitar
la política por defecto y aplicar una nueva política.
Para mostrar información acerca de la configuración de políticas de servicio, use el comando show
service-policy o el comando show running-config service-policy .
Para eliminar todas las políticas de servicio, use el comando clear configure service-policy
command en modo de configuración global. El comando clear service-policy limpia las estadísticas
de políticas de servicio.
Para configurar una política de servicio usando ASDM, elija Configuración > Firewall > Reglas de
Políticas de Servicio , y haga clic en Agregar.
Complete lo siguiente:
Nombre - Introduzca un nombre de objeto de red
Tipo - Elija Red o Rango.
Dirección IP - Introduzca la dirección de red de los hosts internos.
Máscara de Red - Introduzca la máscara de red.
10.3.Configuración ASA VPN
10.3.1 Configuración ASA Remot Access VPN
Las organizaciones deben soporar las necesidades de los usuarios móviles a la vez que garantizan
la seguridad de los recursos corporativos. La IT Empresarial está evolucionando desde las
computadoras de escritorio a usuarios móviles que acceden a la información desde cualquier
lugar, en cualquier dispositivo. Los usuarios de la empresa están solicitando soporte para sus
dispositivos móviles incluyendo smart phones, tablets, notebooks y un más amplio rango de
fabricantes de laptop y sistemas operativos.
Este cambio ha creado un desafío para la seguridad IT.
Una solución para asegurar el acceso remoto es el uso de VPNs SSL que ayudan a proporcionar la
flexibilidad para soportar acceso seguro para todos los usuarios, independientemente del punto
extremo desde el cual establecen una conexión.
Los ISRs Cisco proporcionan capacidades de IPsec y VPN SSL. Específicamente, los ISRs son capaces
de soportar hasta 200 usuarios concurrentes. El Cisco ASA serie 5500 proporciona también
capacidades de IPsec y VPN SSL. No obstante, son la solución VPN SSL más avanzada de Cisco
capaces de soportar una escalabilidad de usuarios concurrentes de 10 a 10.000 sesiones por
dispositivo. Por esta razón, el ASA es a menudo la opción al soportar una implementación de
networking remota a gran escala.
El ASA soporta tres tipos de VPNs de acceso remoto:
Acceso Remoto Clientless SSL VPN (usando un navegador de la web)
Acceso Remoto SSL o IPsec (IKEv2) VPN (usando un cliente Cisco AnyConnect)
Acceso Remoto IPsec (IKEv1) VPN (usando un cliente Cisco VPN)
El ASA soporta IKEv1 para conexiones desde el cliente Cisco VPN de legado. IKEv2 se requiere para
el cliente VPN AnyConnect. Para IKEv2, es posible configurar varios tipos de encriptación y
autenticación, y varios algoritmos de integridad para una única política. Con IKEv1 para cada
parámetro, puede configurarse solamente un único valor por política de seguridad.
Cuando el problema es la seguridad, IPsec es la opción superior ya que excede a SSL en:
Soporte de aplicación IP
Fortaleza de encriptación
Fortaleza de autenticación
Si el soporte y facilidad de implementación son los problemas principales, entonces considere SSL.
Los beneficios de SSL son fáciles de usar y fáciles de implementar. SSL es apropiado para las
poblaciones de usuarios que requieren control de acceso por aplicación o por servidor o acceso
desde hosts que no son propiedad de la empresa.
SSL es un criptosistema creado por Netscape a mediados de los noventa y fue diseñado para
habilitar comunicaciones seguras en una red insegura como Internet. Proporciona encriptación e
integridad de comunicaciones junto con una fuerte autenticación usando certificados digitales.
La solución convencional para el acceso remoto de un teletrabajador es IPsec VPN que requiere un
cliente VPN pre-instalado en el host. Una ventaja de SSL es que no requiere ningún software del
cliente pre-instalado con un propósito especial. Las VPNs SSL permiten a los usuarios acceder a
páginas web, acceder a servicios, acceder a archivos, enviar y recibir e-mail, y ejecutar aplicaciones
basadas en TCP que usan un navegador.
Esto significa que las VPNs SSL son capaces de una conectividad "en cualquier lugar" desde
escritorios administrados y no administrados por la empresa. Esto puede incluir PCs propiedad del
empleado, escritorios de contratistas o socios de negocios, locutorios, e incluso dispositivos
handheld.
En muchos casos, las VPNs IPsec y SSL son complementarias porque resuelven diferentes
problemas. Este enfoque complementario permite a un único dispositivo tratar todos los
requisitos de los usuarios de acceso remoto.
El foco de esta sección es las VPNs SSL.
El ASA proporciona dos modos de implementación principales que se encuentran en las soluciones
Cisco VPN SSL:
VPN SSL Clientless - VPN sin clientes, basada en navegador que permite a los usuarios
establecer un túnel VPN al ASA de acceso remoto y seguro, usando un navegador web.
Después de la autenticación, los usuarios acceden a una página portal y pueden acceder a
recursos internos soportados específicos.
VPN SSL Basada en el Cliente -Proporciona una conexión VPN SSL túnel pero requiere la
instalación de aplicación del cliente VPN en el host remoto.
VPN SSL Clientless
El modelo de implementación VPN SSL clientless permite a las empresas tener la flexibilidad
adicional de proporcionar acceso a recursos de la empresa incluso cuando el dispositivo remoto no
está administrado por la empresa. En este modelo de implementación, el Cisco ASA se usa como
dispositivo proxy a los recursos de la red y proporciona una interfaz portal web para dispositivos
remotos para navegar la red usando las capacidades de forwardeo de puertos. El dispositivo
remoto del sistema requiere un navegador web soportado con funcionalidad SSL incorporada para
acceder a la red VPN SSL. Aunque es más fácil de implementar y más flexible que las VPNs SSL
basadas en clientes, las VPNs SSL clientless proporcionan solamente una aplicación de red o
acceso a los recursos limitados e incluye riesgos de seguridad adicionales al usar clientes
administrados que no pertenecen a la empresa.
VPN SSL Basada en el Cliente
Las VPNs SSL Basadas en el Cliente proporcionan a los usuarios autenticados con acceso completo
a la red, tipo LAN a recursos de la empresa tales como Microsoft Outlook, Cisco Unified Personal
Communicator, Lotus Notes, Lotus Sametime, Meeting Maker, Telnet, Secure Shell (SSH), and X-
Windows. No obstante, los dispositivos remotos requieren una aplicación de clientes tal como
Cisco VPN Client o el más moderno cliente AnyConnect que se instale en el dispositivo del usuario
extremo.
Una VPN SSL de túnel completo requiere más planificación para la implementación de la red
debido al hecho de que debe instalarse un cliente en los sistemas remotos. El cliente VPN puede
pre-instalarse manualmente o puede descargarse segThe VPN client can be manually pre- installed
on a host or it can be downloaded as needed by initially establishing a clientless SSL VPN.
La VPN SSL basada en el cliente soporta una variedad más amplia de aplicaciones, pero no
presenta desafíos operativos adicionales al descargar y mantener el software del cliente en hosts
remotos. Este requisito hará difícil la implementación en sistemas administrados no corporativos
puesto que la mayoría de los clientes VPN SSL requieren privilegios de administrador para ser
instalados.
El foco de esta sección está en la VPN SSL clientless usando un navegador Web y VPN SSL usando
el cliente Cisco AnyConnect.
La VPN SSL basada en el cliente requiere un cliente, tal como el cliente VPN Cisco AnyConnect para
ser instalada en el host. El cliente AnyConnect puede estar manualmente pre-instalado en el host,
o descargarse on-demand a un host a través de un navegador.
Cuando el cliente AnyConnect se pre-instala en el host, la conexión VPN puede iniciarse al arrancar
la aplicación. Una vez que el usuario se autentica, el ASA examina la revisión del cliente y actualiza
como sea necesario.
Sin un cliente pre-instalado, los usuarios remotos pueden conectarse al ASA usando una conexión
de navegador HTTPS, y autenticarse al ASA. Una vez autenticado, el ASA sube el cliente
AnyConnect al host. Los sistemas operativos de host soportados incluyen a Microsoft Windows,
Mac OS y Linux. El cliente AnyConnect luego se instala y configura a sí mismo y finalmente
establece una conexión VPN SSL.
Dependiendo de la política VPN SSL ASA configurada, cuando la conexión se termina la aplicación
cliente AnyConnect seguirá instalada o se desinstalará sola.
Para soportar la demanda IT, el cliente Cisco AnyConnect está disponible sin costo en plataformas
seleccionadas tales como dispositivos iPhone, iPad, Android y BlackBerry. Cada aplicación está
calificada para su uso solamente en determinados modelos de smart phone o (en algunos casos)
se proporciona como aplicación nativa que es incluida por el fabricante.
Cisco AnyConnect está disponible para las siguientes plataformas:
Dispositivos iOS devices (iPhone, iPad y iPod Touch)
Android OS (modelos seleccionados)
BlackBerry
Windows Mobile 6.1
HP webOS
Nokia Symbian
Para más información, diríjase a www.cisco.com/go/asm..
ASDM proporciona dos herramientas para configurar inicialmente una VPN SSL clientless en un
ASA:
Asistente ASDMEsta función guía a un administrador a través de la configuración de la VPN
SSL.
Asistente VPN - Éste es un asistente ASDM que simplifica la configuración de la VPN SSL.
Para usar el asistente ASDM para configurar una VPN SSL clientless, elija Configuraciones > VPN de
Acceso Remoto > Introducción y luego Acceso Remoto VPN SSL Clientless (usando Navegador
Web).
Para usar el asistente VPN, desde la Barra de Menúes, haga clic en Asistentes y luego elija
Asistentes VPN > Asistente VPN SSL Clientless.
Este tema usará el asistente VPN para configurar una VPN SSL clientless de acceso remoto.
La topología de este ejemplo es la que sigue:
Una red interna con un nivel de seguridad 100
Una DMZ con un nivel de seguridad 50
Una red externa con un nivel de seguridad de 0
El acceso al servidor de la DMZ ya se ha proporcionado usando NAT estática.
Supongamos que el host externo requiere acceso a aplicaciones específicas que no necesitan una
VPN SSL con túnel completo. Por esta razón, el host remoto usará una conexión de navegador web
segura para acceder a recursos de la empresa seleccionados.
10.3.3 Configuración de clientes SSL VPN
Para crear una configuración de VPN SSL clientless, use el asistente VPN y complete los siguientes
pasos:
Paso 1. Arranque el asistente VPN SSL Clientless.
Desde la barra de menú, seleccione el menú Asistentes VPN > Asistente para VPN SSL Clientless. Se
muestra la ventana Introducción del asistente VPN. Haga clic en Siguiente para continuar.
Paso 2. Configure la interfaz VPN SSL.
Configure un nombre de perfil de conexión para la conexión e identifique la interfaz a la que se
conectarán los usuarios externos.
Por defecto, el ASA usará un certificado auto-firmado para enviar al cliente en busca de
autenticación. Opcionalmente, el ASA puede configurarse para usar un certificado de terceros que
se adquiere de una autoridad de certificación bien conocida, como VeriSign, para conectar
clientes. En el caso de que se adquiera un certificado, puede seleccionarse en el menú desplegable
Certificado Digital.
La pantalla de la Interfaz VPN SSL proporciona enlaces en la sección Información. Estos enlaces
identifican a las URLs que es necesario utilizar para el acceso al servicio de VPN SSL (login) y para el
acceso a Cisco ASDM (para acceder a la descarga de software de Cisco ASDM). Haga clic en
Siguiente para continuar.
Paso 3. Configurar la autenticación del usuario.
En esta ventana, puede definirse el método de autenticación. La autenticación usando un servidor
AAA puede configurarse marcando el botón radio. Haga clic en Nuevo para introducir la ubicación
del Servidor AAA.
De manera alternativa puede usarse la base de datos local. Para agregar un nuevo usuario,
introduzca el nombre de usuario y contraseña y luego haga clic en Agregar. Haga clic en Siguiente
para continuar.
Paso 4. Cree una política de grupo.
En esta ventana, puede crearse y modificarse una política de grupo personalizada para la conexión
VPN SSL clientless.
Si se configura una política nueva, el nombre de la política no puede contener ningún espacio.
Por defecto, la política del grupo de usuarios creada heredará sus configuraciones de
DfltGrpPolicy. Estas configuraciones pueden modificarse una vez que se haya completado el
asistente navegando al submenú Configuración > VPN de Acceso Remoto > Acceso a la VPN SSL
Clientless > Políticas de Grupo. Haga clic en Siguiente para continuar.
Paso 5. Configure una lista de favoritos para las conexiones clientless únicamente.
Una lista de favoritos es un conjunto de URLs que se configura para ser usado en el portal de la
web VPN SSL clientless. Si los favoritos ya estaban en una lista, use el menú desplegable Lista de
Favoritos, seleccione el favorito de su elección y haga clic en Siguiente para continuar con el
asistente VPN SSL.
No obstante, no hay listas de favoritos configuradas por defecto y por lo tanto deben ser
configuradas por el administrador de la red. Para crear un favorito para el servidor HTTP en la lista
de favoritos, elija Administrar y se abrirá la ventana Administrar y Configurar Objetos de
Configuración en la GUI. Elija Agregar para abrir la ventana Agregar Lista de Favoritos. Finalmente,
elija Agregar una vez más para abrir la ventana Agregar Favorito.
Las especificaciones a introducir incluyen a las siguientes:
Introduzca un nombre para el favorito en el campo Título del Favorito. El nombre no
puede contener espacios..
Introduzca el valor de la URL HTTP.
Introduzca la dirección IP de destino o nombre de host a usarse con la entrada del
favorito.
(Opcional) Introduzca el nombre en el campo Subtítulo. El subtítulo aparecerá bajo la
entrada favorito en el portal web.
(Opcional) Introduzca el nombre de la imagen en miniatura a ser usada con esta entrada
de favorito en el campo Miniatura. Para usar las miniaturas con los favoritos, las imágenes
deben subirse primero al ASA.
Cuando estén configuradas las especificaciones, haga clic en OK en la ventana Agregar Favorito
para volver a la ventana Editar el Listado de Favoritos. Seleccione el favorito deseado y haga clic en
Aceptar para volver a la ventana Configurar Objetos de Personalización de la GUI. Seleccione la
lista de favoritos que se mostrará en la página Web del portal y haga clic Aceptar. Haga clic en
Siguiente para continuar.
Paso 6. Verifique y asigne la configuración.
A continuación se muestra la página de resumen. Verifique que la información configurada en el
asistente VPN SSL sea correcta. Use el botón Atrás para alterar cualquiera de los parámetros de la
configuración. Haga clic en Finalizar para finalizar el asistente y enviar los comandos al ASA.
Para verificar la configuración VPN SSL Clientless, complete cuatro pasos:
Paso 1 Abra la ventana de Acceso a la VPN SSL Clientless ASDM.
En ASDM, abra la ventana Acceso de los Clientes de la Red. Elija Configuraciones > VPN de Acceso
Remoto > Acceso a la VPN SSL Clientless > Perfiles de Conexión. Desde esta ventana la
configuración VPN puede verificarse y editarse.
Paso 2. Loguéese desde el host remoto.
Abra un navegador web que cumpla con las características e introduzca la URL de logueo para la
VPN SSL en el campo dirección. Asegúrese de usar HTTP seguro (HTTPS) cuando se requiere que la
SSL se conecte al ASA.
Debería aparecer la ventana de logueo. Introduzca un nombre de usuario y contraseña
previamente configurado y haga clic Logon para continuar.
Paso 3. Vea los favoritos del portal web.
Una vez que el usuario se autentica, la página web del portal Web SSL ASA se mostrará y
aparecerá una lista de los diferentes favoritos previamente asignados al perfil.
Paso 4. Haga Logout.
El usuario debería hacer log out de la ventana del portal web cuando esté listo. No obstante, el
portal web llegará a tiempo de inactividad si no hay actividad. En cualquiera de los casos se
mostrará una ventana de logout informando a los usuarios que por seguridad adicional, deberían
limpiar la caché del navegador, borrar los archivos descargados y cerrar la ventana del navegador.
El asistente VPN SSL genera configuraciones para:
WebVPN
Política de grupos
Usuario remoto
Grupo de Túnel
Nota: la explicación detallada de los comandos está más allá del alcance de este curso y no se
explorará en mayor detalle.
10.3.4 AnyConnect SSL VPN
La VPN SSL Cisco AnyConnect para acceso remoto proporcciona a los usuarios remotos un acceso
seguro a las redes corporativas. El Cisco ASA debe configurarse para soportar la conexión VPN SSL.
ASDM proporciona dos herramientas para configurar inicialmente una VPN SSL en ASA:
Asistente ASDM - Esta función guía al administrador a través de la configuración VPN SSL.
Asistente VPN - Un asistente de ASDM es el que simplifica la configuración de SSL VPN.
- Para usar el asistente ASDM, elija Configuraciones > Remote-Access VPN > Introducción y luego
haga clic en Acceso Remoto VPN SSL o IPsec (IKEv2) (usando el Cliente Cisco AnyConnect)..
Para usar el asistente VPN, desde la Barra de Menúes, haga clic en Asistentes y luego elija
Asistentes para VPN > Asistente para VPN AnyConnect.
Este tópico usará el asistente para VPN para configurar una VPN SSL de acceso remoto.
La topología de este ejemplo es la que sigue:
Una red interna con nivel de seguridad 100
Una DMZ con nivel de seguridad 50
Una red externa con nivel de seguridad 0
El host externo requiere una conexión VPN SSL a la red interna. El acceso externo al servidor DMZ
ya se proporcionó a través de NAT estática.
El host externo no tiene el cliente Cisco AnyConnect pre-instalado. Por lo tanto, el usuario remoto
tendrá que iniciar una conexión VPN SSL usando un navegador web, y después descargar e instalar
el cliente AnyConnect en el host remoto.
Una vez instalado, el host puede intercambiar tráfico con el ASA usando una conexión VPN SSL de
túnel completo.
10.3.5 Configuring AnyConnect SSL VPN
Para crear un configuración VPN SSL de túnel completo, use el asistente para VPN y complete los
siguientes pasos:
Paso 1. Inicie el Asistente para VPN AnyConnect.
Desde la barra de menúes, elija el menú Asistentes y elija Asistentes VPN > Asistente para VPN
AnyConnect.. Se muestra la ventana Introducción del asistente VPN. Haga clic en Siguiente para
continuar.
Paso 2. Configure una identificación de perfil para la conexión.
Configure un nombre de perfil de conexión para la conexión e identifique la interfaz a la que se
conectarán los usuarios externos. Haga clic en Siguiente para continuar.
Paso 3. Seleccione el/los protocolo(s) VPN.
Seleccione cómo se protegerá al tráfico. Las opciones son SSL y/o IPsec. También puede
configurarse un certificado de terceros. Desmarque IPsec y luego haga clic en Siguiente para
continuar.
Paso 4 Agregue las imágenes de clientes AnyConnect.
Para que los sistemas de clientes puedan descargar el Cliente VPN SSL Cisco AnyConnect
automáticamente desde el ASA, la ubicación del Cliente VPN SSL debe especificarse en la
configuración. Para configurar la ubicación del Cliente VPN SSL Cisco AnyConnect, haga clic en
Agregar para identificar la ubicación de la imagen y abrir la ventana Agregar Imagen del Cliente
AnyConnect. Ahora haga clic en el botón Navegar por la Flash si la imagen ya está ubicada en el
Cisco ASA. Navegue hasta la ubicación del Cliente VPN SSL Cisco AnyConnect en la memoria flash y
haga clic en Aceptar. Note que hay imágenes para hosts Linux, MAC OS y Windows.
Nota: si no hay un archivo de imagen en el ASA, haga clic en Subir para subir una copia desde la
máquina local.
Haga clic en Aceptar nuevamente para aceptar la ubicación del Cliente VPN SSL Cisco AnyConnect
y luego haga clic en Siguiente para continuar.
Paso 5. Configure los métodos de autenticación.
En esta ventana, puede definirse el método de autenticación. Puede agregarse la ubicación del
servidor de autenticación AAA. Haga clic en Nuevo para introducir la ubicación del Servidor AAA. Si
no se identifica a un servidor, se usará entonces la base de datos local. Para agregar un nuevo
usuario, introduzca el nombre de usuario y contraseña y luego haga clic en Agregar. Haga clic en
Siguiente para continuar.
Paso 6. Cree y asigne el pool de direcciones IP del cliente.
La configuración del pool de direcciones IP se requiere para una conectividad exitosa VPN SSL
basada en el cliente. Sin un pool de direcciones IP disponible, la conexión con el aparato de
seguridad fallará.
Un pool de direcciones IP preconfigurado puede seleccionarse desde el menú desplegable Pool de
Direcciones. De otro modo, haga clic en Nuevo para crear uno nuevo. Los siguientes elementos
deben incluirse en la configuración del pool de direcciones IP:
Nombre - Un nombre a asociar con el pool de direcciones IP. Este nombre no puede
contener ningún espacio
Dirección IP de Inicio - Dirección IP de Inicio del rango a ser asignado a conexiones VPN SSL
del cliente.
Dirección IP de Fin - Dirección IP de Fin del rango a ser asignado a conexiones VPN SSL del
cliente.
Subnet Mask - Seleccione la máscara de subred deseada del pool de direcciones IP desde
el menú desplegable.
Haga clic en Siguiente para continuar.
Paso 7. Specify the network name resolution servers.
Specify the DNS server and WINS server locations (if any) and provide the Domain Name. Click
Next to continue.
Paso 8. Enable NAT exemption for VPN traffic.
If NAT is configured on the ASA, then a NAT exemption rule must be for the configured IP address
pool. Like IPsec, SSL client address pools must be exempt from the NAT process because NAT
translation occurs before encryption functions. Click Next to continue.
Paso 9. Vea los métodos de implementación del cliente AnyConnect.
Se muestra una página informativa que explica cómo se implementa el cliente AnyConnect.
Existen dos métodos de implementar AnyConnect:
Iniciado desde la web, lo cual significa que se requiere una conexión AnyConnect clientless usando
un navegador para acceder inicialmente al ASA e instalar el cliente en el host.
Descargue la aplicación e instálela manualmente.
Haga clic en Siguiente para continuar.
Paso 10. Verifique y asigne la configuración.
A continuación se muestra la página de resumen. Verifique que la información configurada en el
asistente VPN SSL sea correcta. Use el botón Atrás para alterar cualquiera de los parámetros de la
configuración. Haga clic en Finalizar para finalizar el asistente y enviar los comandos al ASA.
Varios pasos deben llevarse a cabo para verificar la configuración VPN. Algunos de estos pasos
pueden ser opcionales dependiendo de si el cliente AnyConnect ya está instalado en el host
remoto o no.
Para verificar la configuración VPN de AnyConnect en el ASA, complete los siguientes pasos:
Paso 1. (Opcional) Abra la Ventana de Acceso (al Cliente) de la Red ASDM.
La configuración VPN puede alterarse, personalizarse, y verificarse en la página de Perfil de
Conexiones AnyConnect. Para abrir la ventana de Acceso al Cliente de Red, elija Configuraciones >
VPN de Acceso Remoto > Acceso a la Red (Cliente) > Perfiles de Conexión AnyConnect.
Paso 2. Loguéese desde el host remoto.
Establezca una conexión VPN SSL clientless al ASA. Abra un navegador compatible e introduzca la
URL de login para la VPN SSL en el campo dirección. Asegúrese de usar HTTP seguro (HTTPS)
cuando se requiere que el SSL se conecte al ASA. Introduzca un nombre de usuario y contraseña
previamente configurados y haga clic en Logon para continuar.
Paso 3. Acepte el certificado de seguridad (si esto se requiere).
El ASA puede solicitar confirmación de que se trata de un sitio confiable. Si se le pregunta haga clic
en Sí para proceder.
Paso 4. Inicie la detección de plataformas.
El ASA comenzará un proceso de auto-descarga del software que consiste en una serie de
verificaciones de compatibilidad hacia el sistema de destino. El ASA lleva a cabo la detección de
plataformas interrogando al sistema cliente en un intento por identificar el tipo de cliente que se
conecta al aparato de seguridad. Basándose en la plataforma que se identificó, puede auto-
descargarse el paquete de software apropiado.
Paso 5. Instale AnyConnect (si se lo requiere).
Si el cliente AnyConnect debe descargarse, entonces se mostrará una advertencia de seguridad en
el host remoto. Para continuar, elija Instalar.
Paso 6. Detecte ActiveX (si se lo requiere).
Si el cliente AnyConnect debe descargarse, el host requiere que ActiveX esté instalado. Para que
ActiveX opere apropiadamente con el Cisco ASA, es importante que el aparato de seguridad se
agregue como sitio de red confiable. ActiveX se usará para la descarga del cliente en el caso de que
un portal web no esté en uso. Si se lo piden, haga clic en Sí.
Paso 7. Acepte el certificado de seguridad (si esto se requiere).
El Instalador del Cliente VPN iniciará y puede aparecer otra ventana de alerta de seguridad. De ser
así, haga clic en Sí para continuar.
Paso 8. Una vez que el cliente completa la auto-descarga del Cliente VPN SSL Cisco AnyConnect, la
sesión web iniciará automáticamente el Cliente VPN SSL Cisco AnyConnect. Éste intentará loguear
al usuario a la red usando las mismas credenciales que se otorgaron al loguearse al portal de la
web.
Paso 9. Confirme la conectividad.
Una vez establecida la conexión de túnel completo VPN SSL, aparecerá un ícono en la bandeja del
sistema identificando que el cliente se ha conectado exitosamente a la red VPN SSL. Estadísticas
de conexión e información adicionales pueden mostrarse haciendo doble clic en el ícono de la
bandeja del sistema. Esta interfaz de cliente también puede usarse para que el usuario haga
logout.
Finalmente, verifique la dirección IP en el host remoto usando el comando ipconfig . Deberían
haber dos direcciones en la lista: una para la dirección IP local del host y la otra es la dirección IP
asignada para el túnel VPN SSL. Haga ping a un host interno para verificar la conectividad.
Las sesiones VPN SSL futuras pueden iniciarse a través del portal de la web o a través del Cliente
VPN SSL Cisco AnyConnect instalado.
El asistente VPN SSL AnyConnect genera configuraciones para lo siguiente:
NAT
WebVPN
Política de grupos
Grupo de túneles
Nota: la explicación detallada de los comandos está más allá del alcance de este curso y no se
explorará en mayor detalle.
