CONFUIGURACION DE FIREWALL CISCO ASA 5505

Para Resetear y Restablecer la configuración de fábrica:

Este procedimiento requiere acceso físico al dispositivo. Se necesita un "cable de

consola" (un cable de serie a RJ45 específico de Cisco) para conectar el puerto de
consola de Cisco al puerto serie de una computadora que se ejecuta en 9600,8,1,
ninguno. Luego, se necesita ejecutar un emulador de terminal en la computadora y
comenzar en el paso 1 anterior. Apagará y encenderá su dispositivo desconectándolo
de la regleta y enchufándolo nuevamente. Interrumpirá el proceso de inicio y cambiará
el valor del registro de configuración para evitar que el dispositivo lea su configuración
almacenada durante el inicio. Dado que el dispositivo ignora su configuración
guardada en el arranque, puede acceder a sus modos de configuración sin
contraseñas. Una vez que esté en el modo de configuración, cargará la configuración
guardada desde la memoria flash, cambiará las contraseñas a un valor conocido,
cambiará el valor del registro de configuración para indicarle al dispositivo que cargue
su configuración guardada en el arranque y volverá a cargar el dispositivo.
1. Apague y vuelva a encender su dispositivo de seguridad quitando y volviendo a
insertar el enchufe en la regleta.
2. Cuando se le solicite, presione Esc para interrumpir el proceso de arranque e
ingresar al modo Monitor de ROM. Debería ver inmediatamente un indicador de
rommon (rommon # 0>)
3. En el indicador de rommon, ingrese el comando confreg para ver la
configuración actual del registro de configuración: rommon # 0>
4. devicename> enable
devicename# conf t
devicename(config)# config factory-default
devicename(config)# no enable password

Para Restablecer la contraseña:

Este procedimiento requiere acceso físico al dispositivo. Apagará y encenderá su

dispositivo desconectándolo de la regleta y enchufándolo nuevamente. Interrumpirá el
proceso de inicio y cambiará el valor del registro de configuración para evitar que el
dispositivo lea su configuración almacenada durante el inicio. Dado que el dispositivo
ignora su configuración guardada en el arranque, puede acceder a sus modos de
configuración sin contraseñas. Una vez que esté en el modo de configuración, cargará
la configuración guardada desde la memoria flash, cambiará las contraseñas a un
valor conocido, cambiará el valor del registro de configuración para indicarle al
dispositivo que cargue su configuración guardada en el arranque y volverá a cargar el
dispositivo.
1. Apague y vuelva a encender su dispositivo de seguridad quitando y volviendo a
insertar el enchufe en la regleta.
2. Cuando se le solicite, presione Esc para interrumpir el proceso de arranque e
ingresar al modo Monitor de ROM. Debería ver inmediatamente un indicador de
rommon (rommon # 0>)
3. En el indicador de rommon, ingrese el comando confreg para ver la
configuración actual del registro de configuración: rommon # 0> confreg
4. El registro de configuración actual debe ser el predeterminado de 0x01 (en
realidad se mostrará como 0x00000001). El dispositivo de seguridad le
preguntará si desea realizar cambios en el registro de configuración. Responda
no cuando se le solicite.
5. Debe cambiar el registro de configuración a 0x41, que le dice al dispositivo que
ignore su configuración guardada (inicio) al iniciar: rommon # 1> confreg 0x41
6. Restablezca el dispositivo con el comando de inicio: rommon # 2> boot
7. Aviso que el dispositivo de seguridad ignora su configuración de inicio durante
el proceso de arranque. Cuando finalice el arranque, debería ver un mensaje
genérico de Modo de usuario prompt: ciscoasa>
8. Ingrese el comando de habilitación para ingresar al Modo privilegiado. Cuando
el dispositivo le solicite una contraseña, simplemente presione (en este punto,
la contraseña está en blanco):
ciscoasa> enable
Password: (Solo presione Enter)
ciscoasa #

9. Copie el archivo de configuración de inicio en la configuración en ejecución con

el siguiente comando:
ciscoasa# copy startup-config running-config
Destination filename [running-config]? (Presione enter)
10. La configuración guardada anteriormente es ahora la configuración activa, pero
como el dispositivo de seguridad ya está en modo privilegiado, el acceso
privilegiado no está deshabilitado. Luego, en el modo de configuración, ingrese
el siguiente comando para cambiar la contraseña del modo privilegiado a un
valor conocido (en este caso, usaremos el sistema de contraseña):
asa # conf t
asa (config) # enable password system
11. Mientras todavía está en el Modo de configuración, restablezca el registro de
configuración al valor predeterminado de 0x01 para forzar al dispositivo de
seguridad a leer su configuración de inicio en el arranque:
asa(config)# config-register 0x01
12. Use los siguientes comandos para ver el registro de configuración
configuración:
asa(config)# exit
asa# show version
13. En la parte inferior de la salida del comando show version, debería ver la
siguiente declaración: El registro de configuración es 0x41 (será 0x1 en la
próxima recarga)
14. Guarde la configuración actual con el comando copy run start para hacer que
los cambios anteriores sean persistentes:
asa# copy run start Source
Destination filename [running-config]? (Presione enter)
15. Vuelva a cargar el dispositivo de seguridad:
asa# reload
 System config has been modified. Save? [Y]es/[N]o: yes
Cryptochecksum: e87f1433 54896e6b 4e21d072 d71a9cbf
2149 bytes copied in 1.480 secs (2149 bytes/sec) Proceed with reload? [confirm]
16. Cuando se recargue su dispositivo de seguridad, debería poder usar su
contraseña recién restablecida para ingresar al modo privilegiado.

Configuración Inicial luego del Reseteo:

Un nuevo dispositivo de seguridad adaptable de Cisco (ASA) ingresa automáticamente

a la configuración inicial cuando se inicia por primera vez o si borra la configuración. Si
su ASA no ingresa al modo de configuración, puede configurarlo desde el modo EXEC
privilegiado. El siguiente código muestra el proceso de configuración básica, con las
respuestas que debe agregar en negrita. En solo unos minutos, puede tener su ASA
en funcionamiento:

Pre-configure Firewall now through interactive prompts [yes]?

Firewall Mode [Routed]: (Solo Enter para el Modo Router)

Enable password [<use current password>]: enable

Allow password recovery [yes]?

Clock (UTC):

Year [2011]:

Month [Apr]:

Day [16]:

Time [13:16:14]:

Inside IP address: 192.168.1.12

Inside network mask: 255.255.255.0

Host name: ASAFirewall1

Domain name: edtetz.net

IP address of host running Device Manager: 192.168.1.123

The following configuration will be used:

Enable password: enable

Allow password recovery: yes

Clock (UTC): 13:16:14 Apr 16 2011

Firewall Mode: Routed

Inside IP address: 192.168.1.12

Inside network mask: 255.255.255.0

Host name: ASAFirewall1

Domain name: edtetz.net

IP address of host running Device Manager: 192.168.1.123

Use this configuration and write to flash? yes

INFO: Security level for "inside" set to 100 by default.

WARNING: http server is not yet enabled to allow ASDM access.

Cryptochecksum: 23d86fb3 f78f728a cd7f48cd 9faf22c0

1417 bytes copied in 2.40 secs (708 bytes/sec)

Type help or '?' for a list of available commands.

Observe la poca información que necesita ingresar para obtener acceso básico de
administración a su ASA a través de la red (bueno, casi). El proceso de configuración
configuró la dirección IP interna y configuró una entrada de la Lista de control de
acceso (ACL) para permitir que solo la dirección IP de la computadora que ejecutó la
configuración administre el ASA desde un host en su red, pero en realidad no se ha
habilitado acceso.

El mensaje en la configuración realmente le dice que el servidor HTTP no ha sido

habilitado. Entonces, antes de cerrar esta conexión, desea habilitar el servidor HTTP
utilizando los siguientes comandos:

ASAFirewall1> enable

Password: ******

ASAFirewall1# configure terminal

ASAFirewall1(config)# http server enable

ASAFirewall1(config)# copy running-config startup-config

Source filename [running-config]?

Cryptochecksum: 6431b60b a26d0b05 941fa189 e3edf475

1913 bytes copied in 1.740 secs (1913 bytes/sec)

ASAFirewall1(config)# end

Desde este punto, puede conectar su ASA a un conmutador y administrarlo desde un

dispositivo con la dirección IP que especificó en la configuración inicial del dispositivo.

Debe habilitar un usuario para el entorno Web:

username admin password admin123 privilege 15

El ASA 5505 coloca todos los puertos del conmutador en la VLAN 1 (su VLAN interna)
de forma predeterminada, mientras que los dispositivos ASA grandes tienen una
interfaz o puerto de administración dedicado. La función de gestión se puede
configurar para operar sobre las otras interfaces en el ASA. Después de configurar la
interfaz de administración para el Administrador de dispositivos de seguridad
adaptable de Cisco (ASDM), puede ejecutar el Asistente de inicio a través del ASDM
(incluso si ya configuró el ASA en la línea de comandos).
El beneficio de ejecutar el Asistente de inicio es que puede ir a la computadora que
identificó como su computadora de administración y apuntar su navegador web a la
dirección de interfaz de su ASA. ( Nota: debe tener Java instalado en esta
computadora). A menos que instale un certificado válido que coincida con el nombre
del ASA, se le presentará un error de certificado.
Modelo OSI para Cisco Networking
Si bien es posible que no use el modelo OSI todos los días, debe estar
familiarizado con él, específicamente cuando trabaje con conmutadores y
enrutadores Cisco (que operan en la capa 2 y la capa 3,
respectivamente). Estos son algunos de los elementos que funcionan en
cada nivel del modelo OSI:

Capa Descripción Ejemplos

7. Solicitud Responsable de iniciar o atender la solicitud. SMTP, DNS, HTTP y Telnet

6. Presentación Formatea la información para que el Compresión y encriptación dependiend

sistema receptor la entienda . la implementación

5. Sesión Responsable de establecer, administrar y NetBIOS

finalizar la
sesión.

4. Transporte Rompe la información en segmentos y es TCP y UDP

responsable de la
conexión y la comunicación sin conexión.

3. Red Responsable de direccionamiento lógico y IP, ICMP, ARP, RIP, IGRP y enrutado
enrutamiento

2. Enlace de Responsable de direccionamiento físico, Dirección MAC, CSMA / CD,

datos corrección de errores y conmutadores y puentes
preparación de la información para los
medios

1. físico Se ocupa de la señal eléctrica. Cables, conectores, concentradores y

repetidores.
Modos de configuración para redes
Cisco
Al moverse en Cisco IOS, verá muchas indicaciones. Estas indicaciones
cambian a medida que pasa de un modo de configuración a otro. Aquí
hay un resumen de los principales modos de configuración:

 Modo EXEC de usuario: cuando se conecta a un dispositivo

Cisco, el modo de configuración predeterminado es el modo exec
de usuario. Con el modo de usuario exec puede ver la
configuración en el dispositivo pero no realizar ningún
cambio. Usted sabe que está en modo EXEC de usuario porque el
mensaje IOS muestra un ">".
 Modo EXEC privilegiado: para realizar cambios en el dispositivo,
debe navegar al modo EXEC privilegiado, donde es posible que
deba ingresar una contraseña. El modo EXEC privilegiado se
muestra con un "#" en la solicitud.
 Modo de configuración global: el modo de configuración global
es donde debe realizar cambios globales en el enrutador, como el
nombre de host. Para navegar al modo de configuración global
desde el modo EXEC privilegiado, escriba "configurar terminal" o
"conf t", donde se le colocará en el indicador "(config) #".
 Solicitudes secundarias: hay varias solicitudes secundarias
diferentes del modo de configuración global a las que puede
navegar, como las indicaciones de la interfaz para modificar la
configuración en una interfaz específica o las indicaciones de línea
para modificar los diferentes puertos del dispositivo.

Configurar una interfaz para redes

Cisco
Cuando trabaje con enrutadores en particular, pero también cuando
maneje la interfaz de administración en los conmutadores, a menudo
necesitará configurar interfaces de red que coincidan con los puertos de
la interfaz física o las interfaces virtuales en forma de una interfaz LAN
virtual (VLAN) (cuando se trata de interruptores).

Para las interfaces de su enrutador, el siguiente ejemplo establecerá la

información de configuración de velocidad, dúplex e IP para la interfaz
FastEthernet 0/0 (observe la referencia de la interfaz como ranura /
puerto). En el caso del enrutador, la interfaz se habilita utilizando el
comando no shutdown en el paso final; Las interfaces en los
conmutadores están habilitadas de forma predeterminada.

Router1>enable
Router1#configure terminal
Router1(config)#interface FastEthernet0/0
Router1(config-if)#description Private LAN
Router1(config-if)#speed 100
Router1(config-if)#duplex full
Router1(config-if)#ip address 192.168.1.1 255.255.255.0
Router1(config-if)#no shutdown

Configure una interfaz de

administración de conmutadores para
las redes de Cisco
Para sus conmutadores, para habilitar una dirección IP en su interfaz de
administración, usará algo similar a este ejemplo. En este ejemplo, la
administración se realiza a través de la VLAN 1, la VLAN
predeterminada.

Switch1>enable
Switch1#configure terminal
Switch1#interface VLAN 1
Switch1(config-if)#ip address 192.168.1.241 255.255.255.0

Configure una interfaz para usar DHCP

para redes Cisco
Si desea configurar un enrutador o un conmutador para recuperar su
información de configuración de IP de un servidor de protocolo de
configuración dinámica de host (DHCP) de la red, puede ejecutar
comandos como el siguiente ejemplo.

Router1>enable
Router1#configure terminal
Router1(config)#interface FastEthernet0/0
Router1(config-if)#ip dhcp

Crear una VLAN para redes de Cisco

Cuando trabaje con su red Cisco, es posible que desee separar a los
usuarios en diferentes dominios de transmisión para la seguridad o la
reducción del tráfico. Puede hacer esto implementando VLAN. El
siguiente ejemplo creará VLAN (VLAN2) y colocará los puertos en un
conmutador (de 1 a 12) en VLAN2.

Switch1>enable
Switch1#configure terminal
Switch1(config)#interface vlan 2
Switch1(config-if)#description Finance VLAN
Switch1(config-if)#exit
Switch1(config)#interface range FastEthernet 0/1 , FastEthernet 0/12
Switch1(config-if-range)#switchport mode access
Switch1(config-if-range)#switchport access vlan 2

Si está conectando dos conmutadores juntos, entonces querrá permitir

que todas las VLAN configuradas pasen entre los dos
conmutadores. Esto se logra mediante la implementación de un puerto
troncal. Para configurar el puerto 24 en su switch para que sea un puerto
troncal, usará el siguiente código:

Switch1>enable
Switch1#configure terminal
Switch1(config)#interface FastEthernet 0/24
Switch1(config-if-range)#switchport mode trunk
CONFIGURACION DE EJEMPLO

tomando en cuenta los datos proporcionados:

IP PUBLICA: 190.21.29.69 / 255.255.255.252

Puerta de enlace: 190.210.29.70
IP FIREWALL (interna): 172.16.110.254/24

La configuracion de las interfaces (recordar que el ASA5505 contiene un switch

interno, por lo que maneja interfaces Fisicas e Interfaces VLAN) seria la
siguiente:

1) Crear las interfaces VLAN:

(Las VLANs utilizadas en el ejemplo pueden ser modificadas acorde a la

configuracion local del sitio o se pueden usar las del ejemplo si asi se desea
tambien)

hostname(config)# interface vlan 100

hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 190.21.29.69 255.255.255.252
hostname(config-if)# no shutdown

hostname(config-if)# interface vlan 200

hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 172.16.110.254 255.255.255.0
hostname(config-if)# no shutdown

2) Asignar las VLANs a las interfaces fisicas:

(En este ejemplo, Ethernet0/0 es la red interna y Ethernet0/1 es la salida al

exterior)

hostname(config)# interface ethernet 0/0

hostname(config-if)# switchport access vlan 100
hostname(config-if)# no shutdown

hostname(config-if)# interface ethernet 0/1

hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown
3) Configurar la ruta por defecto:

ciscoasa(config)# route outside 0 0 190.210.29.70

4) Configurar el NAT (PAT) para que la red interna pueda salir a Internet
utilizando la direccion IP de la interfaz outside:

Si el ASA5505 tiene una version menor a 8.3:

ciscoasa(config)# nat (inside) 1 172.16.110.0 255.255.255.0

ciscoasa(config)# global (outside) 1 interface

Si el ASA5505 tiene version 8.3 o mayor:

ciscoasa(config)# object network obj_inside

ciscoasa(config-network-object)# subnet 172.16.110.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface

5) No es necesario crear listas de acceso para el trafico de inside (red interna)

a outside (internet) ya que la interfaz inside tiene un nivel de seguridad de 100
y la interfaz outside tiene 0 (y por defecto, de mayor nivel a menor, el trafico
esta permitido).

Sin embargo, para el trafico de outside (internet) a inside (red interna) si

requerimos configurar access-list y tambien NAT, pero debemos conocer las
IPs internas a las que deseamos enviar el trafico, por ejemplo:

Como ejemplo, queremos accesar a 172.16.110.10 en el puerto 80 y 135 desde

Internet.

a) Configurar NAT (Static PAT):

Si el ASA5505 tiene una version menor a 8.3:

static (inside,outside) TCP interface 80 172.16.110.10 80 netmask

255.255.255.255
static (inside,outside) TCP interface 135 172.16.110.10 135 netmask
255.255.255.255

Si el ASA5505 tiene version 8.3 o mayor:

ciscoasa(config)# object network obj-172.16.110.10

ciscoasa(config-network-object)# host 172.16.110.10

ciscoasa(config)# object service 80

ciscoasa(config-service-object)# service tcp destination eq 80

ciscoasa(config)# object service 135

ciscoasa(config-service-object)# service tcp destination eq 135
ciscoasa(config)# nat (outside,inside) source static any any destination static
interface obj-172.16.110.10 service 80 80
ciscoasa(config)# nat (outside,inside) source static any any destination static
interface obj-172.16.110.10 service 135 135

b) Configurar las listas de acceso:

Si el ASA5505 tiene una version menor a 8.3 (aqui se usa la IP 'nateada'):

access-list entrada extended permit tcp any host 190.210.29.69 eq 80

access-list entrada extended permit tcp any host 190.210.29.69 eq 135

Si el ASA5505 tiene version 8.3 o mayor (aqui se usa la IP real):

access-list entrada extended permit tcp any host 172.16.110.10 eq 80

access-list entrada extended permit tcp any host 172.16.110.10 eq 135

c) Aplicar la lista de acceso a la interfaz outside:

access-group entrada in interface outside

Con esta configuracion es suficiente para que el ASA5505 funcione