ASA
En está ocasión, haremos una práctica interesante, donde utilizaremos un firewall ASA de Cisco, para poder permitir o denegar tráfico determinado, presentamos nuestra topología
Un poquito enredada, pero con el pasar de este tutorial iremos abordando cada uno de los puntos, simplemente, familiaricémonos con lo que es, direccionamiento, lo que es la LAN, DMZ y outside, que seránnuestros pilares para esta práctica, imprimamos un “write terminal”, de nuestro ASA
ciscoasa(config)# write terminal
: Saved
ASA Version 8.0(2)
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
no shutdown
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/1
no shutdown
nameif dmz
security-level 50
ip address172.16.0.1 255.255.0.0
!
interface Ethernet0/2
no shutdown
nameif outside
security-level 0
ip address 200.200.200.1 255.255.255.0
He omitido, demasiadas cosas, pero lo que pretendo mostrar, es como están configuradas las interfaces en nuestro ASA, ya que con el “nameif”, asignamos “la función” de nuestra interfaz, para luego asignarle un “security-level”, para ya luego asignar permisos odenegaciones desde cada interfaz hacia cada una de las demás interfaces.
Para que sea un poco más entendible lo anterior, como cada interfaz tiene un “security-level” designado, de la forma:
Inside: security-level 100
dmz: security-level 50
outside: security-level 0
De esta forma, decimos, que en forma jerárquica, el número más elevado, es quien tiene más seguridad en frente de las restantes, aunque ladmz, es donde están nuestros servicios/servidores estos, también son vistos algunos en la internet, como la página WEB de la organización, concluyendo, de forma predeterminada, la “inside” podría “ver” a las demás redes, pero no de forma inversa.
Teniendo claro lo anterior, podríamos empezar a trabajar en nuestra topología y hacer unos ejercicios que son utilizados comúnmente en producción.
¿Quéharemos?
1. Permitiremos el acceso WEB al Router que está en la DMZ, desde la inside (LAN)
2. Haremos una publicación de nuestro Router (que hace función de servidor WEB) de la dmz en internet.
3. Haremos un POOL de direcciones públicas para que nuestros usuarios de nuestra inside (LAN), puedan salir a internet y haremos peticiones a un servidor en la “Internet”
4. Configuraremos para que desde laoutside (Internet) vea solamente nuestro Router que hace función de servidor web por solamente HTTPS y que desde la inside (LAN) pueda verlo por HTTP y HTTPS.
Bueno empecemos en este mismo orden, pero cada vez que avancemos, no eliminaremos lo que ya hemos hecho para poder hacer una práctica sólida.
1. Permitir acceso WEB al router que está en la DMZ, desde la inside (LAN)
Retomando nuestratopología, he eliminado la outside de la imagen por el momento, ya que no la tocaremos para nada en este punto, bueno, ¿qué necesitamos?, primero que todo, verificar, que haya un ping exitoso, entre nuestros clientes en la inside (LAN) y la puerta de enlace.
Del cliente al ASA
Del ASA al cliente
Como nuestro “Servidor WEB” es un Router, ¿qué necesitamos?, si, una ruta en el para poder comunicarnosentre redes diferentes.
acme(config)# ip route 0.0.0.0 0.0.0.0 172.16.0.1
Ahora, para verificar conexión desde nuestro cliente en la inside (LAN), hacia nuestro Servidor Web, tenemos que hacer una Access-list, para que nuestro ASA lo permita.
ciscoasa(config)# access-list pingc permit icmp any any echo-reply
ciscoasa(config)# access-list pingc permit icmp any any unreachableciscoasa(config)# access-list pingc deny icmp any any
Y asignamos dicha access-list a la interfaz, donde está conectada la dmz
ciscoasa(config)# interface ethernet 0/1
ciscoasa(config-if)# access-group pingc in interface dmz
Verificamos que nuestro cliente en la inside (LAN) pueda hacer ping a nuestro Servidor Web
Ahora, en nuestro Router, permitiremos la administración por Web
acme(config)# ip http...
Regístrate para leer el documento completo.