Scribd Logo
Upload

Welcome to Scribd!

  • Sec - Object Groups

    Uploaded by

    ronal120
    9 views3 pages
    Seguridad

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    Seguridad

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    9 views3 pages

    Sec - Object Groups

    Uploaded by

    ronal120
    Seguridad

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 3

    Uso de los object-group en ASA

    Los object-group agrupan objetos similares permitiendo manejarlos como un


    solo objeto. Esto hace mucho ms ordenado el cdigo y mas simple el debug.
    De esta manera si, por ejemplo, tengo un grupo de PCs agrupadas en un object
    group al cual les doy salida irrestricta a internet, cuando necesite dar salida a
    otra PC simplemente la agrego al grupo y hereda todos sus permisos.
    Se pueden crear los siguientes tipos de object-group:
    Protocol
    Network
    Service
    ICMP type
    El set de comandos para object-group es:
    object-group grp_id
    object-group description description_text
    group-object object_grp_name
    object-group icmp-type grp_id
    icmp-object icmp_type
    object-group network grp_id
    network-object host host_addr
    network-object net_addr netmask
    object-group protocol grp_id
    protocol-object protocol
    object-group service grp_id {tcp|udp|tcp-udp}
    port-object eq service
    port-object range begin_service end_service
    Por ejemplo, para permitir a determinadas IPs salir libremente a internet se
    pueden agrupar en un object-group y permitir la salida de este sin necesidad
    de permitirlas una a una en una ACL.
    (config)#object-group icmp-type icmp_allowed
    (config-icmp-type)#icmp-object echo
    (config-icmp-type)#icmp-object time-exceeded
    (config-icmp-type)#exit
    (config)#access-list acl_icmp permit icmp any any object-group icmp_allowed
    Para crear grupos de servicio que incluyan DNS (TCP/UDP), LDAP (TCP), and
    RADIUS (UDP) pueden configurar lo siguiente:
    hostname(config)# object-group service services1 tcp-udp
    hostname(config-service)# description DNS Group
    hostname(config-service)# port-object eq domain

    hostname(config)# object-group service services2 udp


    hostname(config-service)# description RADIUS Group
    hostname(config-service)# port-object eq radius
    hostname(config-service)# port-object eq radius-acct
    hostname(config)# object-group service services3 tcp
    hostname(config-service)# description LDAP Group
    hostname(config-service)# port-object eq ldap
    Tambien se pueden agrupar objet-groups para por ejemplo permisos
    compartidos por distintas areas de una empresa.
    hostname(config)# object-group network Area-Marketing
    hostname(config-network)# network-object host 192.168.1.5
    hostname(config-network)# network-object host 192.168.1.9
    hostname(config-network)# network-object host 192.168.1.89
    hostname(config)# object-group network Area-Pagos
    hostname(config-network)# network-object host 192.168.2.8
    hostname(config-network)# network-object host 192.168.2.12
    hostname(config)# object-group network Area-Jefes
    hostname(config-network)# network-object host 192.168.4.89
    hostname(config-network)# network-object host 192.168.4.100
    Con esto puede agrupar los 3 grupos correspondientes a las areas citadas:
    hostname(config)# object-group network permisos-compartidos
    hostname(config-network)# group-object Area-Marketing
    hostname(config-network)# group-object Area-Pagos
    hostname(config-network)# group-object Area-Jefes

    You might also like