Aquí hay una publicación de invitado que me envió Don Crawley, autor de la serie de libros Administrador Accidental. Es un extracto de su último: The Accidental Administrator: Cisco ASA Security Appliance: A Step-by-Step Configuration Guide
Hay literalmente miles de comandos y sub-comandos disponibles para configurar un dispositivo de seguridad Cisco. A medida que adquiera conocimiento del dispositivo, usará más y más comandos. Sin embargo, inicialmente solo se requieren unos pocos comandos para configurar la funcionalidad básica en el dispositivo. La funcionalidad básica se define como permitir que los hosts internos accedan a los hosts externos, pero no permitir que los hosts externos accedan a los hosts internos. Además, se debe permitir la administración desde al menos un host interno. Para habilitar la funcionalidad básica, hay ocho comandos básicos(estos comandos se basan en la versión de software 8.3 (1) o superior):
- interfaz
- nameif
- nivel de seguridad
- dirección ip
- acceso al puerto de conmutación
- red de objetos
- nat
- ruta
interfaz
El comando interfaz identifica la interfaz de hardware o la Interfaz Virtual del conmutador (interfaz VLAN) que se configurará. Una vez en el modo de configuración de interfaz, puede asignar interfaces físicas a puertos de conmutación y habilitarlos (activarlos) o puede asignar nombres y niveles de seguridad a interfaces VLAN.
nameif
El comando nameif da un nombre a la interfaz y asigna un nivel de seguridad. Los nombres típicos son outside, inside o DMZ.
nivel de seguridad
Los niveles de seguridad son valores numéricos, que van de 0 a 100, utilizados por el dispositivo para controlar el flujo de tráfico. Se permite que el tráfico fluya de interfaces con niveles de seguridad más altos a interfaces con niveles de seguridad más bajos, pero no al revés. Las listas de acceso deben utilizarse para permitir que el tráfico fluya de niveles de seguridad más bajos a niveles de seguridad más altos. El nivel de seguridad predeterminado para una interfaz externa es 0. Para una interfaz interna, el nivel de seguridad predeterminado es 100. En la siguiente configuración de ejemplo, el comando interfaz se usa primero para nombrar las interfaces VLAN internas y externas, luego se nombra la interfaz DMZ y se le asigna un nivel de seguridad de 50. nombre de interfaz vlan1 si interfaz interna nombre vlan2 si interfaz externa nombre vlan3 si dmz nivel de seguridad 50
ciscoasa(config)#
ciscoasa (config-if)#
INFO: Nivel de seguridad para «inside» establecido en 100 de forma predeterminada.
ciscoasa(config-if)#
ciscoasa(config-if)#
INFO: Nivel de seguridad para «outside» establecido en 0 de forma predeterminada.
ciscoasa (config-if)#
ciscoasa(config-if)#
ciscoasa (config-if)#
dirección ip
El comando dirección IP asigna una dirección IP a una interfaz VLAN de forma estática o convirtiéndola en un cliente DHCP. Con las versiones modernas de software de dispositivos de seguridad, no es necesario configurar explícitamente máscaras de subred predeterminadas. Si está utilizando máscaras no estándar, debe configurar explícitamente la máscara, de lo contrario, no es necesario. interfaz vlan 1 dirección IP 192.168.1.1
En la siguiente configuración de ejemplo, se asigna una dirección IP a VLAN 1, la interfaz interna.
ciscoasa (config-if)#
ciscoasa (config-if)#
acceso a switchport
El comando acceso a switchport del dispositivo de seguridad ASA 5505 asigna una interfaz física a una interfaz lógica (VLAN). En el siguiente ejemplo, el comando interfaz se utiliza para identificar interfaces físicas, asignarlas a puertos de conmutación en el dispositivo y habilitarlas (activarlas). Este comando no se utiliza en los dispositivos ASA 55×0. interfaz ethernet 0/0 switchport access vlan 2 no cierre la interfaz de ethernet 0/1 switchport access vlan 1 no shutdown
ciscoasa(config-si)#
ciscoasa(config-si)#
ciscoasa(config-si)#
ciscoasa(config-si)#
ciscoasa(config-si)#
ciscoasa(config-si)#
objeto de la red obj_any
El objeto de la red obj_any instrucción crea un objeto llamado «obj_any». (No tiene que nombrar el objeto «obj_any»; es un nombre descriptivo, pero podría nombrarlo con la misma facilidad»Juan».) La opción de red indica que este objeto en particular se basará en direcciones IP. El comando subred 0.0.0.0 0.0.0.0 indica que obj_any afectará a cualquier dirección IP no configurada en ningún otro objeto.object network subred obj_any 0.0.0.0 0.0.0.0
ciscoasa(config-if)#
ciscoasa(config-network-object)#
nat
La instrucción nat, como se muestra a continuación, le dice al firewall que permita que todo el tráfico que fluye desde el interior a la interfaz exterior use cualquier dirección configurada dinámicamente (DHCP) en la interfaz exterior.interfaz dinámica nat(interior,exterior)
ciscoasa (config)#
route
El comando route, en su forma más básica, asigna una ruta predeterminada para el tráfico, normalmente al enrutador de un ISP. También se puede usar junto con listas de acceso para enviar tipos específicos de tráfico a hosts específicos en subredes específicas. outside identifica la interfaz a través de la cual fluirá el tráfico para llegar a la ruta predeterminada. ruta fuera de 0 0 12.3.4.6
En esta configuración de ejemplo, el comando route se usa para configurar una ruta predeterminada al enrutador del ISP en 12.3.4.6. Los dos ceros antes de la dirección del enrutador del ISP son una abreviatura de una dirección IP de 0.0.0.0 y una máscara de 0.0.0.0. La instrucción
ciscoasa (config-if) #
Los comandos anteriores crean un firewall muy básico, sin embargo, usar un dispositivo sofisticado como un dispositivo de seguridad Cisco PIX o ASA para realizar dichas funciones básicas de firewall es excesivo. nombre de host para identificar el firewall, telnet o SSH para permitir la administración remota, comandos DHCPD para permitir que el firewall asigne direcciones IP a los hosts internos, y comandos de ruta estática y lista de acceso para permitir que los hosts internos, como servidores web DMZ o servidores de correo DMZ, sean accesibles para los hosts de Internet.
Otros comandos a usar incluyen
Aquí hay una configuración de base de muestra:
Configuración de base de muestra
ciscoasa(config)# interfaz vlan1
ciscoasa(config-if)# nameif inside
INFO: Nivel de seguridad para «inside» establecido en 100 por defecto.
ciscoasa(config-if)# interfaz vlan2
ciscoasa(config-if) # nameif outside
INFO: Nivel de seguridad para «outside» establecido en 0 de forma predeterminada.
ciscoasa(config-if)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# switchport access vlan 1
ciscoasa(config-si)# no shutdown
ciscoasa(config-if)# interface vlan 2
ciscoasa(config-if)# ip address 12.3.4.5
ciscoasa(config-if)# interfaz vlan 1
ciscoasa(config-if)# dirección ip 192.168.1.1
ciscoasa(config-if)# ruta fuera de 0 0 12.3.4.6
ciscoasa(config-if)#red de objetos obj_any
ciscoasa(config-network-object)#subred 0.0.0.0 0.0.0.0
ciscoasa(config)#nat (dentro,fuera) interfaz dinámica
ciscoasa(config)#exit
Extraído del Administrador accidental: Dispositivo de seguridad Cisco ASA: Una Guía de Configuración Paso a paso de Don R. Crawley
Utilizado con permiso.
Acerca del autor
El Administrador accidental: Dispositivo de Seguridad Cisco ASA: Una Guía de Configuración Paso a Paso y Presidente de soundtraining.net una empresa de capacitación en TI con sede en Seattle, Washington. Es un veterano informático con más de 35 años de experiencia en tecnología para el lugar de trabajo. Posee múltiples certificaciones en productos de Microsoft, Cisco y Linux. Puede comunicarse con Don al (206) 988-5858 www.soundtraining.net [email protected]
Don R. Crawley autor de la serie de libros Accidentales Administrator para profesionales de TI, que incluye