CCNA SECURITY Ver 1.

1 BRIDGE COURSE
1. Amenazas modernas a la seguridad de las redes 1.4 Sistema de proteccin bsica de la Red Cisco 1.4.1 NFP El marco de trabajo de Cisco Network Foundation Protection (NFP) brinda instrucciones abarcativas para proteger la infraestructura de la red. Estas instrucciones conforman la base para una entrega constante de servicio. NFP divide lgicamente los routers y switches en tres reas funcionales: Plano de Control - Responsable de enrutar correctamente los datos. El trfico del plano de control consiste en paquetes generados por dispositivos que se requieren para la operacin de la red en s tales como intercambios de mensajes ARP o publicaciones de enrutamiento OSPF. Plano de Administracin - Responsable de administrar elementos de la red. Plano de Administracin El trfico es generado por dispositivos de red o estaciones de administracin de la red utilizando procesos y protocolos tales como Telnet, SSH, TFTP, FTP, NTP, AAA, SNMP, syslog, TACACS+, RADIUS y NetFlow. Plano de Datos (Forwarding Plane) - Responsable de forwardear los datos. El trfico del plano de datos normalmente consiste en paquetes generados por el usuario que se envan entre estaciones finales. La mayor parte del trfico viaja a travs del router, o switch, a travs del plano de datos. Los paquetes del plano de datos se procesan por lo general en la memoria cache de conmutacin rpida.

El trfico del plano de control consiste en paquetes generados por dispositivos que se requieren para la operacin de la red misma. La seguridad del plano de control puede implementarse usando las siguientes funciones:

Cisco AutoSecure - Cisco AutoSecure proporciona una funcin de trabado de un dispositivo en un solo paso para proteger el plano de control as como los planos de administracin y de datos. Es un script que se inicia desde el CLI para configurar la postura de seguridad de los routers. El script inhabilita procesos y servicios no esenciales para el sistema. Primeramente da recomendaciones a las vulnerabilidades de la seguridad de la direccin y luego modifica la configuracin del router. Autenticacin del protocolo de enrutamiento - La autenticacin del protocolo de enrutamiento, o autenticacin de colindantes, evita que un router acepte actualizaciones de enrutamiento fraudulentas. La mayor parte de los protocolos de enrutamiento soportan autenticacin de colindantes. Polticas del Plano de Control (CoPP) - es una funcin del Cisco IOS diseada para permitir a los usuarios controlar el flujo de trfico que es manipulado por el procesador del router de un dispositivo de red.

CoPP est diseado para evitar que trfico innecesario sature al procesador de rutas. La funcin CoPP trata al plano de control como entidad separada con sus propios puertos de ingreso (input) y egreso (output). Puede establecerse un conjunto de reglas y asociarlas con los puertos de ingreso y egreso del plano de control.

CoPP consta de las siguientes funciones: Polticas del Plano de Control (CoPP) - permite a los usuarios configurar un filtro QoS que administre el flujo del trfico de los paquetes del plano de control. Esto protege al plano de control de ataques de reconocimiento y DoS. Proteccin del Plano de Control (CPPr) - una extensin de CoPP pero permite la granularidad de las polticas. Por ejemplo, CPPr puede filtrar y limitar la tasa de los paquetes que se dirigen al plano de control del router y descartar paquetes maliciosos o errneos (o ambos). Logueo del Plano de Control - permite el logueo de los paquetes que CoPP o CPPr descartan o permiten. Proporciona el mecanismo de logueo necesario para implementar, monitorear, y resolver problemas de las funciones CoPP con eficiencia.

Nota: Mayores detalles acerca de la seguridad del plano de control estn ms all del alcance de este curso.

El trfico del plano de administracin es generado por dispositivos de red o estaciones de administracin de red usando procesos y protocolos tales como Telnet, SSH, TFTP y FTP, etc. El plano de administracin es un blanco muy atractivo para los hackers. Por esta razn, el mdulo de administracin tiene incorporadas varias tecnologas para mitigar tales riesgos.

El flujo de informacin entre hosts de administracin y los dispositivos administrados pueden ser fuera de banda (OOB) (la informacin fluye dentro de una red en la cual no reside ningn trfico de produccin) o en banda (la informacin fluye a travs de la red de produccin de la empresa, Internet, o ambas).

La seguridad del plano de administracin puede implementarse usando las siguientes funciones: Poltica de logueo y contrasea - Restringe la accesibilidad al dispositivo. Limita los puertos accesables y restringe los mtodos del acceso "quin" y "cmo". Notificacin legal actual - Muestra las notificaciones legales. stas a menudo son desarrolladas por el concejo legal de una corporacin. Asegurar la confidencialidad de los datos - Protege datos sensibles almacenados localmente para que no sean vistos ni copiados. Utiliza protocolos de administracin con fuerte autenticacin para mitigar ataques contra la confidencialidad que tienen como objeto exponer contraseas y configuraciones de dispositivos. Control de acceso basado en el rol (RBAC) - Asegura que el acceso slo se otorgue a usuarios, grupos y servicios autenticados. Los servicios RBAC y autenticacin, autorizacin, y cuentas (AAA) proporcionan mecanismos para administrar eficazmente el control de acceso. Acciones de autorizacin - Restringir las acciones y visualizaciones permitidos a cualquier usuario, grupo o servicio en particular. Permitir el informe de acceso a la administracin - Logueos y cuentas para todos los accesos. Registrar quin accedi al dispositivo, qu ocurri y cundo ocurri.

RBAC restringe el acceso de los usuarios segn su rol. Los roles se crean de acuerdo a las funciones de trabajo o tarea, y permisos de acceso asignados a determinados recursos. Los usuarios se asignan a los roles, y se les otorga los permisos definidos para dicho rol. En Cisco IOS, la funcin de acceso a CLI basado en el rol implementa RBAC para el acceso a la administracin de routers. La funcin crea diferentes "vistas" que definen qu comandos se aceptan y qu informacin de la configuracin es visible. Para la escalabilidad, los usuarios, permisos y roles se crean y se mantienen por lo general en un servidor de repositorio central. Esto hace que la poltica de control de acceso est disponible para varios dispositivos. El servidor repositorio central puede ser un servidor AAA, como el Sistema de Control de Acceso Seguro de Cisco (ACS), que proporciona servicios AAA a la red a los fines de la administracin.

El trfico del plano de datos consiste mayormente en paquetes generados por el usuario que se envan a travs del router mediante el plano de datos. La seguridad del plano de datos puede implementarse usando ACLs, mecanismos antispoofing, y funciones de seguridad de la Capa 2.

Las ACLs llevan a cabo el filtrado de paquetes para controlar qu paquetes se desplazan a travs de la red y dnde se permite ir a dichos paquetes. Las ACL se utilizan para asegurar el plano de datos de varias formas, incluyendo:

Bloqueo de trfico o usuarios no deseados - Las ACL pueden filtrar paquetes entrantes o salientes en una interfaz. Pueden utilizarse para controlar el acceso basndose en las direcciones del origen, direcciones de destino, o autenticacin del usuario. Reducir las oportunidades de ataques DoS - Las ACL pueden usarse para especificar si el trfico proveniente de hosts, redes o usuarios acceden a la red. La funcin interceptar de TCP tambin puede configurarse para evitar que los servidores sean saturados con solicitudes de conexin. Mitigar ataques de spoofing - Las ACL permiten a los practicantes de la seguridad el implementar prcticas para mitigar ataques de spoofing.

Proporcionar control del ancho de banda - Las ACL en un enlace lento pueden evitar el exceso de trfico. Clasificar el trfico para proteger los planos de Administracin y Control - Las ACL pueden aplicarse en la lnea VTY.

Las ACL tambin pueden usarse como mecanismo antispoofing descartando trfico que tenga una direccin de origen invlida. Esto obliga a los ataques a iniciarse desde direcciones IP vlidas y dentro del alcance, permitiendo el rastreo de los paquetes hasta el origen del ataque. Funciones tales como Envo de Rutas Inversas Unicast (uRPF) pueden utilizarse como estrategia antispoofing. Los switches Cisco Catalyst pueden usar funciones integradas para ayudar a asegurar la infraestructura de la Capa 2. Las siguientes son herramientas de seguridad de la Capa 2 integradas a los switches Cisco Catalyst: Seguridad del puerto - Evita el spoofing de la direccin MAC y los ataques de saturacin de la direccin MAC. Snooping DHCP - Evita ataques de los clientes al servidor y switch DHCP. Inspeccin de ARP Dinmico (DAI) - Agrega seguridad a ARP usando la tabla de snooping DHCP para minimizar el impacto del envenenamiento de ARP y los ataques de spoofing. IP Source Guard - Evita el spoofing de direcciones IP usando la tabla de snooping DHCP.

Este curso pone el enfoque en las diversas tecnologas y protocolos usados para asegurar los planos de Administracin y Datos.

2. Seguridad de los Dispositivos de Red 2.4 Uso de Funciones de Seguridad Automatizadas 2.4.3 Bloqueo de un Router usando CCP Bloqueo en un Solo Paso de Cisco El Bloqueo en un Solo Paso prueba la configuracin de un router en busca de cualquier problema de seguridad en potencia y efecta los cambios de configuracin necesarios para corregir cualquier problema. El Bloqueo en un Solo Paso de Cisco inhabilita: El servicio Finger El servicio PAD El servicio de pequeos servidores TCP El servicio de pequeos servidores UDP El servicio de servidor IP BOOTP El servicio de identificacin IP

El Protocolo de Descubrimiento Cisco La ruta de origen IP Los GARPs IP SNMP Redirecciones de IP ARP proxy IP Broadcast dirigido IP Servicio MOP Inalcanzables IP Respuesta de mscara IP Inalcanzables en interfaz nula IP

El Bloqueo en un Solo Paso de Cisco permite: El servicio de encriptacin de contrasea Mensajes de actividad TCP para sesiones Telnet de entrada y salida Nmeros de secuencia y marcas de tiempo en los debugs Envo Expreso de Cisco con conmutacin NetFlow integrada Envo de Ruta Inversa Unicast (RPF) en interfaces externas Firewall en todas las interfaces externas SSH para acceder al router AAA

El Bloqueo en un Solo Paso de Cisco configura: Longitud mnima de la contrasea a seis caracteres Tasa de fallo de autenticacin a menos de tres reintentos Tiempo synwait de TCP Banner de notificacin Parmetros de logueo Contrasea enable secret Intervalo de cronograma Localicacin de cronograma Usuarios Configuraciones de Telnet Clase de acceso en el servicio de servidores HTTP Clase de acceso en lneas vty

Decidir qu funcin de bloqueo automatizado usar, AutoSecure o CCP Security Audit One-Step Lockdown, es bsicamente una cuestin de preferencia. Existen diferencias respecto a cmo implementan buenas prcticas de seguridad. CCP no implementa todas las funciones de Cisco AutoSecure. Desde la versin 2.4 de CCP, las siguientes funciones de Cisco AutoSecure no son parte del Bloqueo en un Solo Paso CCP: Inhabilitacin de NTP - Basndose en la entrada, Cisco AutoSecure inhabilita NTP de no ser necesario. De otro modo, NTP se configura con autenticacin MD5. CCP no soporta inhabilitacin de NTP. Configuracin de AAA - Si el servicio de AAA no est configurado, Cisco AutoSecure configura AAA localmente y pide la configuracin de una base de datos de nombres de usuario y contraseas locales en el router. CCP no soporta la configuracin de AAA. Configuracin de valores de Descarte Selectivo de Paquetes (SPD) - CCP no configura valores SPD. Habilitacin de intercepciones TCP - CCP no habilita intercepciones TCP. Configuracin de ACLs de antispoofing en interfaces externas - Cisco AutoSecure crea tres listas de nombres para evitar el antispoofing de direcciones de origen. CCP no configura estas ACL.

Las siguientes funciones se implementan de manera diferente en Cisco AutoSecure y el Bloqueo en un Solo Paso CCP: Habilitacin de SSH para acceder al router - CCP habilita y configura a SSH en imgenes Cisco IOS que tengan configurada la funcin IPsec; no obstante, a diferencia de Cisco

AutoSecure, CCP no permite el Protocolo de Copia Segura (SCP) ni inhabilita otros servicios de acceso y transferencia de archivos, tales como FTP. Inhabilitacin de SNMP - CCP inhabilita SNMP; no obstante, a diferencia de Cisco AutoSecure, CCP no proporciona una opcin para configurar SNMPv3. La opcin SNMPv3 no est disponible en todos los routers.

Independientemente de qu funcin automatizada se prefiera, deber utilizarse como lnea base y luego alterarse para cumplir con las necesidades de la organizacin.

3. Seguridad de los Dispositivos de Red 3.2 Autenticacin AAA Local 3.2.2 Configuracin de Autenticacin AAA Local con CCP AAA puede habilitarse usando CCP. Para verificar la configuracin de AAA y para habilitar o inhabilitar AAA, elija Configure > Router > AAA > AAA Summary. El estado actual de AAA se mostrar en la ventana junto a un botn para habilitar o inhabilitar AAA dependiendo de la configuracin actual. Si AAA est inhabilitada actualmente, haga clic en el botn Enable AAA. CCP mostrar un mensaje informativo anunciando que se efectuarn cambios en la configuracin CCP para evitar la prdida de acceso al dispositivo. Haga clic en Yes para continuar.

Si se hace clic en el botn Disable AAA, CCP muestra un mensaje informativo anunciando que efectuar cambios en la configuracin para asegurar que puede accederse al router despus de inhabilitar AAA.

La primera tarea al utilizar CCP para configurar servicios AAA para la autenticacin local es crear usuarios: Paso 1. Elija Configure > Router > Router Access > User Accounts/View. Paso 2. Haga clic en Add para agregar un nuevo usuario. Paso 3. En la ventana Add an Account, introduzca el nombre de usuario y contrasea en los campos apropiados para definir la cuenta del usuario. Paso 4. Desde el men desplegable Privilege Level, elija 15, a menos que haya menos niveles de privilegios ya definidos. Paso 5. Si se han definido vistas, coloque un tilde en Associate a View with the user y elija una vista desde la lista View Name que est asociada con el mismo. Paso 6. Haga clic en OK.

El comando CLI que genera CCP es username AAAadmin privilege 15 secret 5 $1$f16u$uKOO6J/UnojZ0bCEzgnQi1 view root.

Para configurar la autenticacin AAA, un administrador debe definir primero una lista de mtodos de autenticacin para el mtodo por defecto o configurar un mtodo nombrado y aplicarlo. Diferentes listas de mtodos pueden crearse y aplicarse a diferentes interfaces o lneas. Configuracin de la lista de mtodos por defecto para autenticacin utilizando una base de datos local: Paso 1. Elija Configure > Router > AAA > Authentication Policies > Login. Se mostrar cualquier lista de mtodos de acceso definida. Paso 2. Para visualizar las opciones para una lista de mtodos, seleccione el nombre de la lista y haga clic en Edit. Paso 3. Desde la ventana Edit a Method List for Authentication Login, haga clic en Add. Paso 4. Desde la ventana Select Method List(s) for Authentication Login, elija local de la lista de mtodos si ya no est seleccionado. Paso 5. Haga clic en OK.

El comando CLI que CCP genera es aaa authentication login default local.

4. Implementacin de tecnologas de Firewall 4.1 Listas de control de acceso 4.1.4 Configuracin de ACLs Estndar y extendidas con CCP Las ACL Estndar y Extendidas pueden configurarse desde la CLI o usando CCP. Para configurar las ACL en un dispositivo de enrutamiento usando CCP, el router debe estar seleccionado desde el recuadro desplegable bajo Seleccionar Miembro de la Comunidad. Si la direccin IP del router no aparece, el router an no ha sido descubierto por CCP. Una vez seleccionado el dispositivo, haga clic en el botn Configurar en la parte superior de la ventana de la aplicacin CCP para abrir el listado de tareas. Seleccione el recuadro desplegable del Router, seguido por el recuadro desplegable ACL para acceder a las opciones de configuracin de ACL. Configurar > Router > ACL

Las reglas definen cmo responde un router a un tipo particular de trfico. Usando CCP, un administrador puede crear reglas de acceso que hagan que el router denegue ciertos tipos de trfico, y permita otros. CCP proporciona reglas por defecto que un administrador puede usar al crear reglas de acceso. Un administrador tambin puede ver reglas que no se crearon usando CCP, llamadas reglas externas, y reglas con una sintaxis no soportada por CCP, que se denominan reglas no soportadas. La ventana de Resumen de Reglas CCP (ACLs) proporciona un resumen de las reglas en la configuracin del router y el acceso a otras ventanas para crear, editar y borrar reglas. Para acceder a esta ventana, elija Configurar > Router > ACL > Resumen de ACL. stos son los tipos de reglas que administra CCP: Reglas de acceso - Gobiernan el trfico que ingresa y sale de la red. El administrador puede aplicar reglas de acceso a las interfaces y lneas vty del router. Reglas NAT - Determinan qu direcciones IP privadas son traducidas a direcciones IP vlidas de Internet. Reglas IPsec - Determinan qu trfico es cifrado en conexiones seguras. Reglas NAC - Especifican qu direcciones IP son admitidas a la red o bloqueadas de ella. Reglas de Firewall - Especifican las direcciones de origen y destino y si el trfico ser permitido o denegado. Reglas QoS - Especifican el trfico que pertenece a la clase de calidad de servicio (QoS) a la que la regla est asociada.

Reglas no soportadas - No creadas usando CCP y no soportadas por CCP. Estas reglas se leen solamente y no pueden modificarse usando CCP. Reglas definidas externamente - No creadas mediante el uso de CCP, pero soportadas por CCP. Estas reglas no pueden asociarse a ninguna interfaz. Reglas CCP por defecto - Reglas predefinidas que utilizan los asistentes de CCP.

CCP se refiere a las ACLs como reglas de acceso. Usando CCP, un administrador puede crear y aplicar reglas estndar (ACLs Estndar) y reglas extendidas (ACLs Extendidas). Estos son los pasos para configurar una regla estndar usando CCP: Paso 1. Vaya a Configurar > Router > ACL > Editor de ACLs. Paso 2. Haga clic en Agregar. Aparecer la ventana Agregar una Regla. Paso 3. En la ventana Agregar una Regla, ingrese un nombre o nmero en el campo Name/Number. Paso 4. Desde la lista desplegable Tipo, elija Regla Estndar. Opcionalmente, introduzca una descripcin en el campo Descripcin. Paso 5. Haga clic en Agregar. Aparece la ventana Agregue una Entrada de Regla Estndar. Paso 6. Desde la lista desplegable Seleccione una Accin, elija Permitir o Denegar. Paso 7. Desde la liasta desplegable Tipo, elija un tipo de direccin: Una Red - Se aplica a todas las direcciones IP de una red o subred.

Un Nombre de Host o Direccin IP - Se aplica a un host o direccin IP especficos. Cualquier direccin IP - Se aplica a cualquier direccin IP.

Paso 8. Dependiendo de qu se seleccion desde la lista desplegable Tipo, estos campos adicionales debern completarse: Direccin IP - Si en el campo Tipo, se seleccion "Una Red", introduzca su direccin IP. Mscara Wildcard - Si en el campo Tipo, se seleccion "Una Red"; especifique una mscara wildcard desde la lista desplegable Mscara Wildcard o introduzca una mscara wildcard personalizada. Nombre/IPdeHost - Si en el campo Tipo, se seleccion "Un Nombre de Host o Direccin IP"; introduzca el nombre de la direccin IP del host. Si se introduce un nombre de host, el router debe configurarse para usar un servidor DNS.

Paso 9. (Opcional) Introduzca una descripcin en el campo Descripcin. La descripcin debe tener menos de 100 caracteres. Paso 10. (Opcional) Verifique las coincidencias del Log con esta entrada. Dependiendo de cmo se configuran los valores syslog en el router, las coincidencias se registran en el buffer de logueo local, se envan a un servidor syslog, o ambas cosas. Paso 11. Haga clic en Aceptar. Paso 12. Contine agregando o editando reglas hasta completar la regla estndar. Si en cualquier momento el orden de las entradas de la regla de la lista Entradas de la Regla necesita cambiarse, use los botones Mover hacia Arriba y Mover hacia Abajo. Una vez que la lista de Entradas de la Regla est completa, el siguiente paso es aplicar la regla a una interfaz. Estos son los pasos para aplicar una regla a una interfaz: Paso 1. Desde la ventana Agregar una Regla, haga clic en Asociar. Aparece la ventana Asociar con una Interfaz. Solamente las interfaces con un estado de activa/activa aparecern en la lista desplegable. Paso 2. Desde la lista desplegable Seleccione una Interfaz, elija la interfaz a la cual se aplicar esta regla. Paso 3. Desde la seccin Especificar un Sentido, haga clic en el botn de radios Entrante o Saliente. Si el router ha de verificar los paquetes entrantes a la interfaz, haga clic en Entrante. Si el router ha de forwardear el paquete a la interfaz saliente antes de compararlo con las entradas de la regla de acceso, haga clic en Saliente. Paso 4. Si una regla ya est asociada con la interfaz designada en el sentido deseado, aparece un recuadro preguntando si le gustara continuar con la asociacin. Si se hace clic en No, reaparece la

ventana Asociar con una Interfaz para permitirle cambiar la asociacin. Si se hace clic en S, aparece otro recuadro con las siguientes opciones: Unir - combina la nueva regla de acceso con la regla existente y asocia la nueva regla combinada a la interfaz. Cualquier ACE duplicada se quitar. Reemplazar - reemplaza la regla de acceso existente con la nueva regla de acceso y asocia la nueva regla a la interfaz. Vista Preliminar - muestra preliminarmente la regla de acceso existente antes de tomar una decisin

Una vez creada la regla de acceso, haga clic en el botn Aceptar de la ventana Agregar una Regla. Aparece la ventana Entregar Configuracin al Dispositivo. Muestra los comandos de configuracin generados por la nueva regla de acceso que se enviar al router. Haga clic en el recuadro de verificacin que se encuentra junto a Guardar la configuracin actual a la configuracin de inicio del dispositivo. Luego haga clic en el botn Entregar.

4.1.10 ACLs de IPv6 En aos recientes, muchas redes han comenzado la transicin a un entorno IPv6. Parte de la necesidad de transicionar a IPv6 se halla en las debilidades inherentes a IPv4. IPv4 fue diseada sin varios de los requisitos de las redes modernas tales como: Seguridad - IPsec Roaming de dispositivos - IP Mvil Calidad de servicio - RSVP Escasez de direcciones - DHCP, NAT, CIDR, VLSM

Lamentablemente, a medida que contina la migracin a IPv6, los ataques a IPv6 se hacen ms insistentes. Esto, en parte, se debe a la naturaleza transicional de la conversin entre las dos. IPv4 no desaparecer de un da para otro. En cambio, coexistir con, y luego gradualmente ser reemplazada por, IPv6. Esto crea potencialmente "agujeros" en la seguridad. Un ejemplo de una preocupacin en cuanto a la seguridad son los atacantes que desequilibran a IPv6 para explotar a IPv4 en una pila dual. La pila dual es un mtodo de integracin en el cual un nodo tiene implementacin y conectividad con redes tanto IPv4 como IPv6. Como resultado, el nodo y sus routers correspondientes tienen dos pilas de protocolo. Combinando diversas tcnicas, los atacantes pueden lograr ataques furtivos que resulten en una explotacin de la confianza utilizando hosts apilados, mensajes del protocolo de descubrimiento de colindantes (NDP) rebeldes, y tcnicas de tunneling. El atacante obtiene acceso a la red IPv4. El host comprometido enva publicaciones malintencionadas al router, disparando a los hosts en pila

dual para obtener una direccin IPv6. El atacante tambin puede usar el encabezado de enrutamiento para pivotear en varios hosts de la red interna antes de enviar trfico hacia afuera. Es necesario desarrollar e implementar una estrategia para mitigar los ataques contra las infraestructuras y protocolos de IPv6. Esta estrategia de mitigacin deber incluir filtrado en el borde usando varias tcnicas tales como ACLs de IPv6.

La funcionalidad de las ACLs estndar en IPv6 es similar a las ACLs estndar en IPv4. Estas ACLs determinan qu trfico se bloquea y qu trfico se forwardea a las interfaces del router. Permiten el filtrado basado en las direcciones de origen y destino, entrantest y salientes a una interfaz especfica. Las ACLs IPv6 se definen usando el comando ipv6 access-list con las palabras clave deny y permit en modo de configuracin global. En el Cisco IOS Versin 12.0(23)S y 12.2(13)T o versiones posteriores, la funcionalidad de una ACL estndar IPv6 es extendida. Puede soportar filtrado de trfico basado en los encabezados de opcin IPv6 y en la informacin de tipo de protocolo de capa superior para una mejor granularidad de control, similar a las ACLs extendidas en IPv4. Para configurar una ACL IPv6, primero entre al modo de configuracin de lista de acceso IPv6: Router(config)# ipv6 access-list access-list-name A continuacin, configure cada entrada de la lista de acceso para permitir o denegar trfico especficamente. Router(config-ipv6-acl)# {permit | deny} protocol {source-ipv6-prefix/prefix-length | any | host source-ipv6-address | auth} [operator [port-number]] {destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address | auth} [operator [port-number]]

Una vez que se crean los enunciados de ACL, el administrador activa la ACL en una interfaz mediante el comando ipv6 traffic-filter especificando el nombre de la ACL y el sentido del trfico al cual se aplica la ACL. Router(config-if)# ipv6 traffic-filter access-list-name {in | out}

Cada ACL IPv6 contiene reglas de permiso implcitas para habilitar el descubrimiento de colindantes IPv6. El proceso del descubrimiento de colindantes IPv6 hace uso del servicio de Capa de Red de IPv6. Por lo tanto, por defecto, las ACLs IPv6 implcitamente permiten que se enven y reciban en una interfaz los paquetes de descubrimiento de colindantes IPv6. Las listas de acceso IPv6 implcitamente denegan todos los otros servicios no permitidos especficamente que no sean el protocolo de descubrimiento de colindantes IPv6.

Estas reglas pueden ser anuladas por el usuario colocando un enunciado deny ipv6 any any al final de la ACL. Si, no obstante, se utiliza este enunciado, el administrador debe tambin permitir especficamente el proceso de descubrimiento de colindantes de la siguiente manera: permit icmp any any nd-na permit icmp any any nd-ns deny ipv6 any any

4.1.11 Uso de grupos de Objetos en ACEs En redes grandes, las ACLs pueden ser grandes (cientos de lneas) y difciles de configurar y administrar, especialmente si cambian frecuentemente. Las ACLs basadas en grupos de objetos son ms pequeas, ms legibles y ms fcil de configurar y administrar que las ACLs convencionales. stas simplifican la implementacin de ACLs estticas y dinmicas para grandes entornos de acceso de usuarios en los routers Cisco IOS. Las ACLs tanto IPv4 como IPv6 soportan grupos de objetos. La funcin de grupos de objetos para las ACLs permite a un administrador el clasificar usuarios, dispositivos, o protocolos en grupos. Estos grupos pueden luego ser aplicados a las ACLs para crear polticas de control de acceso para un grupo de objetos. Esta funcin le permite al administrador usar grupos de objetos en lugar de direcciones IP, protocolos y puertos individuales, los cuales se usan en las ACLs convencionales. Esto resulta en menos ACEs, y mejor administrables.

Agrupando objetos similares, se puede usar el grupo de objetos en una ACE en lugar de tener que introducir un ACE para cada objeto separadamente. Es posible crear los siguientes tipos de grupos de objetos: De red De servicio Las siguientes instrucciones y limitaciones se aplican a los grupos de objetos: Los grupos de objetos deben tener nombres nicos. Aunque fuera deseable crear un grupo de objetos de red llamado "Ingeniera" y un grupo de objetos de servicio llamado "Ingeniera", es necesario agregar un identificador (o "etiqueta") al final de al menos uno de los nombres de grupo de objetos para hacerlo nico. Por ejemplo, use "Ingenieria_admins" e "Ingenieria_svcs". Una vez creado un grupo de objetos, es posible agregar objetos adicionales al grupo siguiendo simplemente el mismo procedimiento que se usa para crear un nuevo grupo de objetos; en esta instancia, especificando el nombre del grupo y luego especificando los objetos adicionales. Pueden agruparse objetos tales como hosts o servicios. Una vez que los objetos se agrupan, si ese nombre de grupo se usa en un nico comando, el comando se aplicar a cada elemento del grupo. No es posible borrar un grupo de objetos o vaciarlo si se usa en una ACE.

Al definir un grupo mediante el comando object-group y luego usar cualquier comando de aplicacin de seguridad, el comando se aplica a cada elemento de ese grupo. Esta funcin puede reducir significativamente el tamao de su configuracin.

Grupos de Objetos de Red Un grupo de objetos de red es un grupo de cualquiera de los siguientes objetos: Nombres de host, direcciones IP, o subredes Rangos de direcciones IP Grupos de objetos de red existentes

Para crear un grupo de red, introduzca los siguientes comandos: Router(config)# object-group network nw_grp_id Router(config-network-group)# description description-text | host {host-address | host-name} | network-address {/prefix-length | network-mask} | range host-address1 host-address2 | any | group-object nested-object-group-name Grupos de Objetos de Servicio Un grupo de objetos de servicio es un grupo de cualquiera de los siguientes objetos: Protocolos de nivel superior (tales como TCP, UDP, o ESP) Puertos de protocolo de origen y destino (tales como Telnet o SNMP) Tipos de ICMP (tales como eco, respuesta-de-eco, o host-inalcanzable) Grupos de objetos de servicio existentes

Para crear un grupo de servicio, introduzca los siguientes comandos: Router(config)# object-group service svc_grp_id Router(config-service-group)# protocol | [tcp | udp | tcp-udp [source {{[eq]| lt | gt} port1 | range port1 port2}] [{[eq]| lt | gt} port1 | range port1 port2]] | icmp icmp-type

Los grupos de objetos pueden usarse para todos los parmetros disponibles en el comandoaccesslist {tcp | udp}. En una ACL IPv4, aplique los grupos de objetos incluyendo el comandoobject-groupseguido de el nombre de grupo de objetos apropiado. Router(config)# ip access-list extended name_of_ACL Router(config-ext-nacl)# [line line_number] {permit | deny} {protocol | object-group protocol_obj_grp_id} {source-prefix/wildcard-mask | any | host source-address | object-group network_obj_grp_id} [operator {port [port]} | object-group service_obj_grp_id}] {destinationprefix/wildcard mask | any | host destination-address | object-group network_obj_grp_id} [operator {port [port] | object-group service_obj_grp_id}] {[log [level]]} Los grupos de objetos tambin pueden ser utilizados en la configuracin IPv6 de ACL de la siguiente manera: Router(config)# ipv6 access-list access-list-name Router(config-ipv6-acl)# {permit | deny} {protocol | object-group protocol_obj_grp_id} {sourceipv6-prefix/prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id}[operator {port [port] | object-group service_obj_grp_id}] {destination-ipv6prefix/prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id} [{operatorport [port] | object-group service_obj_grp_id}] Note que una ACE puede contener una mezcla de grupos de objetos y objetos individuales, tales como protocolos, redes o servicios especficos. Una vez que un grupo de objetos se aplica a una ACE, el grupo de objetos no puede borrarse ni vaciarse. Si se agregan al final del grupo de objetos, objetos adicionales despus de que el grupo

de objetos se haya aplicado a la ACE, no es necesario reaplicar el grupo de objetos a la ACE. La ACE se ajustar automticamente para incluir cualquier nuevo objeto agregado al final.

5. Implementacin de Prevencin de Intrusiones 5.3 Implementacin de IPS 5.3.2 Implementacin del IPS IOs de Cisco con CCP CCP proporciona controles para aplicar Cisco IOS IPS en interfaces, importando y editando archivos con la firma de Cisco.com, y configura la accin que Cisco IOS IPS toma si se detecta una amenaza. Las tareas para administrar routers y dispositivos de seguridad se muestran en un panel de tareas del lado izquierdo de la pgina home de CCP. Elija Configurar > Seguridad > Prevencin de Intrusiones para mostrar las opciones de prevencin de intrusiones en CCP. Para la computadora host CCP, un tamao de pila de memoria Java de 256MB se requiere para la configuracin de IOS IPS. Si se genera un error al intentar acceder a la ventana de Prevencin de Instrusiones, el tamao de la pila de memoria Java debe cambiarse en la computadora host. Para hacerlo, salga de CCP y abra el Panel de Control de Windows. Haga clic en la opcin Java que abre el Panel de Control de Java. Seleccione la pestaa Java y haga clic en el botn Ver debajo de Configuraciones en Tiempo de Ejecucin de la Applet Java. En el campo Parmetro de Tiempo de Ejecucin de Java introduzca exactamente lo siguiente Xmx256m y haga clic en Aceptar. Una vez que el tamao de la pila de memoria de Java se ha configurado correctamente, CCP muestra cinco pestaas en la ventana Sistemas de Prevencin de Intrusiones (IPS). Use las pestaas de la parte superior de la ventana IPS para configurar o monitorear a IPS. Crear IPS - Active el asistente de Regla IPS para crear nuevas reglas IPS en una interfaz y especifique la localizacin del archivo de definicin de firma. Editar IPS - Edite las reglas de Cisco IOS IPS y aplquelas o brrelas de las interfaces.

Tablero de Seguridad - Vea la tabla de Amenazas Ms Importantes e implemente firmas asociadas con dichas amenazas. Sensor IPS - Administre el sensor IPS, efecte configuraciones de fallo, y configure ACLs para las interfaces monitoreadas. Migracin de IPS - Migre las configuraciones de Cisco IOS IPS que se crearon usando versiones anteriores del Software Cisco IOS. La Migracin de IPS no est disponible en versiones anteriores a Cisco IOS Versin 12.4(11)T.

El administrador puede usar CCP para crear una nueva regla en un router Cisco ya sea manualmente o mediante la pestaa Editar IPS, o automticamente usando el asistente Regla IPS. La Gua de Implementacin de Cisco IOS IPS recomienda usar el asistente Regla IPS. El asistente hace ms que tan slo configurar una regla. Lleva a cabo todos los pasos de configuracin de Cisco IOS IPS.

Antes de configurar IPS con CCP, descargue el ltimo archivo de firma y clave pblica de IPS, si se la requiere, de Cisco.com. La configuracin de Cisco IOS IPS en un router o dispositivo de seguridad que usa CCP consta de varios pasos: Paso 1. Inicie CCP. Elija Configurar > Seguridad > Prevencin de Intrusiones > Crear IPS. Paso 2. Haga clic en el botn Iniciar el Asistente de Regla IPS. Si la notificacin SDEE no se habilitado en el router, aparecer una notificacin anunciando que CCP abrir un suscripcin con el router para obtener eventos SDEE. Haga clic en Aceptar. Paso 3. Lea la pantalla Bienvenido al Asistente de Polticas de IPS y haga clic en Siguiente. Paso 4. En la ventana Seleccionar Interfaces, elija las interfaces a las cuales aplicar la regla IPS y el sentido del trfico marcando uno o ambos recuadros. Marcar los recuadros de entrante y saliente aplica la regla al trfico que fluye en ambos sentidos. Haga clic en Siguiente.

Cisco IOS IPS examina el trfico comparndolo con las firmas contenidas en un archivo de definicin de firmas (SDF). El SDF puede estar ubicado en la memoria flash del router o en un sistema remoto que el router pueda alcanzar. Se pueden especificar varias ubicaciones de SDF para que si el router no puede contactar la primera ubicacin, pueda intentar contactar otras ubicaciones hasta que obtiene un SDF. Paso 5. En el panel Archivo Firma de la ventana Archivo Firma y Clave Pblica, seleccione la opcin Especificar el archivo firma que desee usar con IOS IPS o la opcin Obtener el ltimo archivo firma de Cisco.com y guardar en la PC y complete el recuadro de texto apropiado. El archivo firma es un paquete de actualizacin IOS IPS con la convencin de nombrado de IOS-Snnn-CLI.pkg, donde nnn es el nmero del equipo de firma. Paso 6. Si ya tiene una copia del archivo firma y no necesita bajarlo de Cisco.com, entonces haga clic en el botn [...] junto a la opcin Especificar el archivo firma que desee usar con IOS IPS. Aparece la ventana Especificar el Archivo Firma. En la ventana Especificar Archivo Firma, seleccione cmo desea que el router acceda al archivo. Por ejemplo, el router puede acceder al archivo firma usando un archivo flash, a travs de TFTP, o mediante una ubicacin guardada en la PC. Si no posee una copia del archivo firma y desea descargar el ltimo archivo firma de Cisco.com, seleccione la opcin Obtener el ltimo archivo firma en Cisco.com y guardar en la PC. Haga clic en el botn Buscar para especificar la ubicacin de la PC donde deber descargarse el archivo y luego haga clic en Descargar. El archivo firma Cisco IOS IPS contiene informacin de la firma por defecto. Cualquier cambio efectuado en esta configuracin no se guarda en el archivo firma sino ms bien en un archivo

especial llamado archivo delta. El archivo delta se guarda en la memoria flash del router. Por razones de seguridad, el archivo delta debe estar firmado digitalmente mediante una clave que tambin se obtiene en Cisco.com.

Paso 7. Si la clave encriptada pblica no se descarg previamente ni se la guard en la PC, descargue la clave encriptada de Cisco.com. Abra el archivo de clave pblica en un editor de texto y copie el texto despus de la frase "named-key" en el campo Nombre. Por ejemplo, si la lnea de texto es "named-key realm-cisco.pub signature" copie "realm-cisco.pub signature" en el campo Nombre. Paso 8. Copie el texto entre la frase "key-string" y la palabra "quit" en el campo Clave. El texto podra tener el siguiente aspecto: 30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101 00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16 17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128 B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E 5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35 FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85 50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36 006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE 2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3 F3020301 0001 Haga click en Siguiente.

Si usa Cisco IOS Versin 12.4(11) o posterior, puede especificarse la ubicacin para almacenar la informacin de firma y el tipo de categora de firma. Paso 9. En la ventana Ubicacin y Categora de Config, en la seccin Ubicacin de Config, haga clic en el botn de elipsis [...]junto al campo Ubicacin de Configuracin para especificar dnde almacenar los archivos firma XML, incluyendo el archivo delta que se crea cuando se efectan cambios en el archivo firma. Paso 10. Puesto que las restricciones en la memoria y recursos del router pueden limitar el uso de las firmas disponibles, elija una categora en el campo Elegir Categora, lo cual permite al Cisco IOS IPS funcionar eficientemente en el router. La categora de firma bsica es apropiada para routers con menos de 128 MB de memoria flash, y la categora de firma avanzada es apropiada para routers con ms de 128 MB de memoria flash. Haga clic en Siguiente. Paso 11. Haga clic en Finalizar. El Asistente de Polticas IPS confirma la informacin configurada en la pantalla de resumen. Use el comando show running-config para verificar la configuracin de IPS generada mediante el Asistente IPS CCP.

8. Implementacin de Redes Privadas Virtuales 8.5 Implementacin de VPNs IPsec de sitio a sitio con CCP 8.5.1 Configuracin de IPsec con CCP Adems de configurar VPNs IPsec a travs de CLI, es posible configurarlas utilizando un asistente CCP. Para seleccionar e iniciar un asistente VPN, siga los siguientes pasos: Paso 1. Haga clic sobre Configure en la barra de herramientas principal. Paso 2. Haga clic sobre el botn VPN a la izquierda para abrir la pgina de VPN. Paso 3. Seleccione un asistente en la ventana de VPN. Paso 4. Haga clic sobre el subtipo de implementacin de VPN. Paso 5. Haga clic sobre el botn Launch the selected task para iniciar el asistente.

Los asistentes VPN CCP usan dos orgenes para crear una conexin VPN: entrada del usuario durante un proceso de asistente paso a paso, y componentes VPN preconfigurados. CCP proporciona algunos componentes VPN por defecto para el asistente de Configuracin Rpida: dos polticas IKE y un conjunto de transformacin IPSec. Los asistentes VPN crean otros componentes durante el proceso de configuracin paso a paso. Algunos componentes debern configurarse antes de que puedan usarse los asistentes. Por ejemplo, los componentes de PKI debern configurarse antes de usar el asistente de PKI. La carpeta principal VPN contiene una gua de diseo VPN, los asistentes para crear una VPN de sitio a sitio, Easy VPN Remote, Easy VPN Server, y VPN dinmica multipunto. Los asistentes de VPN simplifican la configuracin de los componentes VPN individuales. La seccin de componentes IPsec individuales pueden luego usarse para modificar parmetros que podran usarse luego para modificar parmetros que podran haber estado desconfigurados durante la configuracin del asistente VPN paso a paso.. Bajo la carpeta VPN hay tres subcarpetas: La SSL VPN - Se usa para configurar parmetros SSL VPNs. La GET VPN -Se usa para configurar parmetros GET VPN. Componentes de VPN - Se usan para configurar componentes VPN tales como IPsec, IKE, polticas de grupo del Servidor Easy VPN y configuraciones proxy del navegador, y la Encriptacin de Claves VPN. La opcin de encriptacin de claves VPN aparece si la imagen del software Cisco IOS del router soporta la encriptacin tipo 6, tambin llamada

encriptacin de clave VPN. Use esta ventana para especificar una clave maestra al encriptar claves VPN, tales como PSKs, claves Cisco Easy VPN, y claves de Autenticacin Extendida (XAuth). Cuando las claves se encriptan, no son legibles por alguien que viera el archivo de configuracin del router.

Utilice un navegador web para iniciar el Cisco SDM en un router. Seleccione el asistente de VPN en Configure > VPN > Site-to-Site VPN. Para crear y configurar una clsica VPN de sitio a sitio, haga clic en la opcin Create a Site-to-Site VPN de la pestaa Create Site-to-Site VPN. Luego, haga clic en el botn Launch the selected task.

En esta instancia, una ventana muestra las opciones Quick setup y Step by step wizard. La opcin Quick setup utiliza las polticas IKE y conjuntos de transformacin IPsec por defecto del Cisco SDM. Permite a un administrador junior configurar en forma rpida una VPN IPsec utilizando los mejores parmetros de seguridad. El asistente Step by step wizard permite al administrador especificar todos los detalles finos de una VPN IPsec. Haga clic en el botn Next para configurar los parmetros de la conexin VPN.

9. Administracin de una red segura 9.2 Arquitectura de seguridad 9.2.1 Introduccin a la arquitectura Cisco SecureX En el pasado, las amenazas de origen interno o externo se desplazaban ms lentamente que lo que hacen hoy. Los empleados y recursos de datos se encontraban dentro de un permetro predefinido protegido por tecnologa de firewall. Los empleados por lo general usaban computadoras proporcionadas por la empresa conectadas a una LAN corporativa que era continuamente monitoreada y actualizada para que cumpliera con los requisitos de seguridad. La seguridad de red tradicional consista en dos componentes importantes: una fuerte suite de proteccin del punto extremo (es decir, antivirus, firewall personal, etc.) y dispositivos de escaneo de la red basados en el permetro (es decir, firewalls, proxies web, y gateways de email, etc.). Esta arquitectura funcionaba bien en un mundo de PCs de alto desempeo que se encontraban principalmente en la LAN y detrs del firewall. Hoy, los gusanos de internet y otras amenazas a la seguridad se esparcen a travs del mundo en cuestin de minutos requiriendo que el sistema de seguridad, y la red en s, reaccionen instantneamente. Adems, puntos extremos de consumidores tales como iPhones, BlackBerrys,

netbooks, y miles de otros dispositivos se estn convirtiendo en potentes sustitutoss para, o complementos de, la PC tradicional. Ms y ms gente usa estos dispositivos para acceder a informacin de las empresas. Incluso la fuerza de trabajo en s est cambiando. Una nueva fuerza de trabajo est emergiendo, acostumbrada a la conectividad siempre encendida, en cualquier momento, en cualquier lugar en su dispositivo de eleccin. Adems, el rpido advenimiento de la informtica en la nube ha introducido nuevas preocupaciones por la seguridad. La informtica en la nube permite a las organizaciones usar servicios tales como el almacenamiento de datos o las aplicaciones basadas en la nube para extender su capacidad o capacidades sin agregar infraestructura. Por su misma naturaleza, la nube est fuera del permetro de red tradicional, permitiendo que una organizacin tenga un centro de datos que puede o no residir detrs del permetro tradicional. Cisco llama a esto la Red sin Bordes. En esta nueva Red sin Bordes, el acceso a los recursos puede ser iniciado por usuarios desde muchas ubicaciones, en muchos tipos de dispositivos de punto extremo, usando diversos mtodos de conectividad. Qu significado tiene esto para la seguridad de la red? En la red de hoy de trabajadores mviles que usan dispositivos personales desde una variedad de ubicaciones, el modelo de seguridad de red tradicional no funciona. Los nuevos dispositivos de red no son buenos candidatos para la suite de punto extremo antivirus tradicional. Fueron diseados para ser livianos y porttiles. Adems, con los bordes de la red borrosos, pueden existir varias entradas a la red. Puesto que ya no hay un permetro de red, el desafo es cmo permitir que estos dispositivos heterogneos se conecten de manera segura a los recursos de la empresa. Para tratar precisamente estos problemas, Cisco ha planeado una arquitectura de seguridad llamada Cisco SecureX.

La arquitectura de seguridad SecureX para la Red sin Bordes se basa en un punto extremo liviano y omnipresente. Su papel no es el de escanear contenido o ejecutar firmas. En cambio, su nico foco est en asegurarse de que cada conexin que entre o salga del punto extremo est apuntando a un elemento de escaneo de red en algn lugar de una nube de seguridad Cisco. Estos elementos de escaneo ahora son capaces de ejecutar muchas ms capas de escaneo que lo que un nico punto extremo nunca podra: cinco capas de firmas de malware, prevencin de la prdida de datos y polticas de uso aceptables, escaneo de contenidos, y ms. Esta arquitectura est diseada para proporcionar una seguridad eficaz para cualquier usuario, usando cualquier dispositivo, desde cualquier ubicacin, en cualquier momento. Esta nueva arquitectura de seguridad usa un lenguaje de polticas de alto nivel que puede describir todo el contexto de una situacin, incluyendo quin, qu, dnde, cundo y cmo. Con una aplicacin de polticas de seguridad altamente distribuida, la seguridad se lleva ms cerca a donde el usuario final est trabajando, en cualquier lugar del planeta. Esta arquitectura est compuesta de cinco componentes importantes: Motores de escaneo : stos son la base de la aplicacin de la seguridad y puede contemplarse como los "caballos de fuerza" de la aplicacin de polticas. Son los proxies o dispositivos a nivel de la red que examinan contenido, identifican aplicaciones, y autentican usuarios. Un motor de escaneo puede ser un firewall/IPS, un proxy, o una fusin de ambos. Los motores de escaneos pueden ejecutar varias capas de firmas antimalware, anlisis de comportamiento y motores de inspeccin de contenidos.

Mecanismos de entrega : stos son los mecanismos por medio de los cuales se introducen elementos de escaneo se introducen en la red. Esto incluye el aparato de red tradicional, un mdulo en un switch o un router, o una imagen en una nube de seguridad Cisco. Operaciones de inteligencia de seguridad (SIO) : stas distinguen trfico bueno del malo. El Cisco SIO abarca bases de datos de monitoreo de trfico de multi-terabytes, miles de servidores en varios centros de datos, y cientos de ingenieros y tcnicos con un nico propsito - identificar y detener el trfico malicioso. Consolas de administracin de polticas : Estas consolas estn separadas de los escners que aplican la poltica. Separando la creacin y administracin de polticas de su aplicacin, la arquitectura Cisco SecureX hace posible tener un punto nico de definicin de polticas que abarca varios puntos de aplicacin como email, mensajera instantnea y la Web. El punto extremo de ltima generacin : Una ola de dispositivos para los consumidores que estn inundando la empresa, estos dispositivos deben estar equipados con la capacidad de encontrar automticamente el elemento de escaneo ms cercano en algn lugar del entramado de seguridad virtual y de establecer una conexin sin fisuras. El rol del punto extremo de ltima generacin no es escanear contenido ni ejecutar firmas, sino ms bien garantizar cada conexin entrando o saliendo del punto extremo.

El punto extremo del maana no tendr solamente una suite antivirus, sino un administrador de conexin inteligente que se sita en el borde de cada dispositivo imaginable. En la Red sin Borde, la seguridad debe comenzar con el punto extremo.

La Red sin Borde ha mejorado significativamente la eficiencia y flexibilidad de los negocios. Los trabajadores pueden cumplir sus tareas desde cualquier lugar, en cualquier momento y usando cualquier dispositivo. No obstante, la flexibilidad crea complejidades para la infraestructura IT, y cualquier esfuerzo para mantener segura a la infraestructura. Cmo hace la IT para soportar este nuevo modelo de informtica de madera que escale y asegure que los recursos son seguros? Usando un elemento de escaneo de red consciente del contexto que use polticas centrales para aplicar la seguridad Un elemento de escaneo consciente del contexto es un dispositivo de seguridad de red que hace ms que solamente examinar paquetes en el cable. Observa la informacin externa para comprender el contexto completo de la situacin. Para ser consciente del contexto, el escner tiene que considerar el quin, el qu, el dnde, el cundo y el cmo de la seguridad. Estos elementos de escaneo estn disponibles como aparatos autnomos, mdulos de software ejecutndose en un router, o una imagen en la nube. Son administrados desde una consola de polticas central que usa un lenguaje de alto nivel que refleja el lenguaje de negocios de la organizacin y comprende el contexto de la situacin. Una poltica consciente del contexto usa un lenguaje de negocios descriptivo para definir polticas de seguridad basndose en cinco parmetros:

La identidad de la persona La aplicacin en uso El tipo de dispositivo que se usa para el acceso La ubicacin El tiempo del acceso

Esta poltica centralizada se enva a todo el entorno de red para su aplicacin distribuida. Esta aplicacin distribuida asegura una implementacin de seguridad consistente a travs de zonas de red, sucursales, trabajadores remotos, dispositivos virtualizados, y servicios basados en la nube.

La arquitectura de escaneo consciente del contexto usa el contexto de la red local de la tecnooga Cisco TrustSec. sta es una tecnologa de etiquetado de paquetes que permite que los elementos de seguridad compartan informacin reunida a partir de los elementos de escaneo tanto como del cliente del punto extremo. Todo est regido por una inteligencia contra amenazas global en tiempo real de las Operaciones de Inteligencia de Seguridad (SIO) Cisco, que ayuda a distinguir el trfico bueno del malo.

Cisco SIO es el ecosistema de seguridad basado en la nube ms grande del mundo, usando casi un milln de alimentaciones de datos en vivo de email, web, firewall y soluciones IPS implementados de Cisco. Cisco SIO pesa y procesa los datos, categorizando las amenazas automticamente y creando reglas que usan ms de 200 parmetros. Las reglas se entregan dinmicamente a dispositivos de seguridad Cisco implementados cada tres o cinco minutos. El equipo de Cisco SIO tambin publica recomendaciones de mejores prcticas de seguridad y una gua tctica para evitar ataques.

AnyConnect 3.0 agrega telemetra de amenazas basada en cliente en tiempo real a Cisco. Con una huella de ms de 150 millones de clientes AnyConnect y clientes VPN de versiones anteriores, esto mejora la visibilidad y accionable inteligencia contra amenazas.

9.2.2 Soluciones para la Arquitectura Cisco Securex La arquitectura Cisco SecureX se refiere a cinco familias de productos: borde y sucursal seguros, email y web seguros, acceso seguro, movilidad segura y centro de datos y virtualizacin seguros. Borde y Sucursal Seguros El objetivo de borde y sucursal seguros Cisco es implementar dispositivos y sistemas para detectar y bloquear ataques y explotaciones, y evitar el acceso de los intrusos. Con el firewall y la prevencin de intrusiones en opciones de implementacin autnomas e integradas, las organizaciones pueden evitar ataques y cumplir requisitos. Una cantidad de dispositivos y sistemas funcionan juntos para asegurar la red segura. Cisco ASA 5500 Series:

Combina firewall lder en la industria, VPN, y prevencin de intrusiones en una plataforma unificada Proporciona proteccin contra amenazas en tiempo real y abarcativa y servicios de comunicaciones altamente seguros para detener los ataques antes de que afecten la continuidad del negocio Reduce los costos de implementacin y operativos al entregar una seguridad abarcativa para redes de todos los tamaos Acceso remoto siempre encendido, verstil, integrado con IPS y seguridad de web para una movilidad altamente segura y una productividad mejorada

Sistema de Prevencin de Intrusiones Cisco: Identifica, clasifica y detiene el trfico malicioso, incluyendo gusanos, spyware, adware, virus y abuso de las aplicaciones Entrega una deteccin de amenazas inteligente y de elevado desempeo a travs de un rango de opciones de implementacin Usa correlacin de amenaza global con filtrado de reputacin para prevenir amenazas con confiabilidad Proporciona paz mental con garantas de cobertura, tiempo de respuesta y eficacia para vulnerabilidades de las aplicaciones Microsoft, Cisco y cruciales para la empresa Promueve la continuidad del negocio y ayuda a que los negocios cumplan con las necesidades

Router de Servicios Integrados Generacin 2 de Cisco: Entrega una suite de capacidades incorporadas, incluyendo firewall, prevencin de intrusiones, VPN y seguridad de la web basada en la nube Promueve la integracin de nuevas funciones de seguridad de la red en routers existentes Proporciona proteccin adicional sin agregar hardware y maximiza la seguridad de la red Disminuye los costos del soporte constante y administrabilidad reduciendo la cantidad total de dispositivos requeridos

Cisco Security Manager: Proporciona una solucin de administracin abarcativa para dispositivos de seguridad y red de Cisco Habilita una aplicacin de polticas consistente, rpida resolucin de problemas de eventos de seguridad, e informes compilados a lo largo de la implementacin Soporta control de acceso basado en el rol y un marco de aprobacin para proponer e integrar cambios Integra capacidades potentes, incluyendo administracin de eventos, objetos y polticas; informes; y resolucin de problemas

Email y Web Seguros Las soluciones de Cisco email y web seguros reducen el costoso tiempo sin operaciones asociado con el spam basado en email, los virus y las amenazas de la red, y estn disponibles en una variedad de factores de forma, incluyendo aparatos en las premisas, servicios en la nube e implementaciones de seguridad hbridas con administracin centralizada. Aparatos Cisco IronPort Email Security: Combate el spam, los virus y las amenazas homogneas para organizaciones de todos los tamaos Aplica el cumplimiento y protege la reputacin y los bienes de la marca Reduce el tiempo de inactiviad y simplifica la administracin de los sistemas de mail corporativos Implementado por ms del 40 por ciento de las empresas ms grandes del mundo

Aparatos Cisco IronPort Web Security: Integra controles de uso de la web, seguridad de datos, reputacin y filtrado de malware Aplica Operaciones de Inteligencia de Cisco Security y tecnologa contra amenazas globales Combate sofisticadas amenazas basadas en la web con tecnologa de seguridad en capas Soporta administracin incorporada para la visibilidad de actividad relacionada con las amenazas

Cisco ScanSafe Cloud Web Security: Analiza solicitudes de la web de contenido malicioso, inapropiado o aceptable Ofrece un control granular sobre contenido de la web abierto y encriptado Extiende la proteccin en tiempo real y aplicacin de polticas a empleados remotos Bloquea emails no deseados y maliciosos, a la vez que protege datos confidenciales

Acceso Seguro Las tecnologas de acceso seguro se instalan para aplicar polticas de seguridad de la red, usuario seguro y controles de acceso al host, y controlan el acceso a la red basndose en condiciones dinmicas. Motor Cisco Identity Services: Aplica control de acceso basado en las polticas Soporta mayor flexibilidad para usar dispositivos y aplicaciones elegidas Proporciona una nica interfaz IT para la creacin y aplicacin de polticas Se implementa en modo standby activo para ayudar a asegurar una alta disponibilidad

Aparato de Control de Admisin a la Red: Reconoce usuarios, sus dispositivos y sus roles en la red Evala si las mquinas cumplen con las polticas de seguridad

Aplica polticas de seguridad bloqueando, aislando y reparando mquinas que no las cumplen Provide easy and secure guest access Simplifica el acceso de dispositivos no autenticantes Audita e informa quin est en la red

Sistema de Control de Acceso Cisco Secure: Controla el acceso a la red basndose en las condiciones y atributos dinmicos Cumple con los requisitos de acceso en evolucin con polticas basadas en reglas Incrementa el cumplimiento con capacidades de monitoreo, informes y resolucin de problemas integrados Toma ventaja de las capacidades de integracin incorporada e implementacin distribuida

Oficina Virtual de Cisco: Extiende servicios de red altamente seguros y administrables a los empleados remotos Escala de manera eficaz en costos a travs de versiones estndar o express Incluye servicios de Cisco y socios aprobados, agregacin de sitios remotos y sistemas cabecera Entrega servicios completos de telfono IP, inalmbrico, datos y video

Secure Mobility Las soluciones de movilidad segura Cisco promueven una conectividad mvil altamente segura con VPN, seguridad inalmbrica, y soluciones de seguridad de la fuerza de trabajo remota que extienden el acceso a la red de manera segura y fcil a un amplio rango de usuarios y dispositivos. Las soluciones Cisco Secure Mobility ofrecen los ms abarcativos y verstiles opciones de conectividad, puntos extremos y plataformas para que cumplan las necesidades de cambio en la movilidad de una organizacin. Servicios VPN para Cisco ASA Series: Proporciona acceso remoto para hasta 10.000 conexiones SSL o IPsec autntica Soporta una funcionalidad no disponible para una conexin VPN basada en navegador, sin cliente Conecta a los usuarios a recursos IPv6 sobre tneles de red IPv4 Facilita la creacin de perfiles del usuario y la definicin de nombres y direcciones de host

Software IPS Inalmbrico Adaptable Cisco: Proporciona monitoreo de desempeo y vulnerabilidad inalmbrico automatizado Mantiene una consciencia constante del entorno RF Monitorea automticamente e identifica el acceso no autorizado y los ataques RF Colabora con los productos de seguridad de red Cisco para crear un enfoque de seguridad en capas

Soluciones de Movilidad Segura Cisco AnyConnect: Proporciona una experiencia de conectividad inteligente, homognea y confiable Da a los usuarios la opcin de cmo, cundo y dnde acceder a su informacin Proporciona conectividad de acceso remoto abarcativa Aplica una poltica consciente del contexto, y proteccin contra malware

Centro de Datos y Virtualizacin Seguros

Las soluciones de centro de datos y virtualizacin seguros de Cisco protegen datos de alto valor y recursos de centro de datos con defensa contra las amenazas, virtualizacin segura, segmentacin y control de polticas. Cisco ASA 5585-X: Combina un firewall probado, prevencin de intrusiones abarcativa y VPN Entrega ocho veces la densidad de desempeo de firewalls de la competencia Integra la prevencin de intrusiones con la correlatividad global Soporta capacidades de firewall conscientes del contexto

Mdulo de Servicios ASA Cisco Catalyst 6500: Combina conmutacin con funciones completas y la mejor seguridad de su clase Coloca la seguridad directamente en el backbone del centro de datos Proporciona hasta 16 Gbps de throughput multiprotocolo para 300.000 conexiones por segundo Soporta hasta cuatro mdulos en un nico bastidor

Gateway de Seguridad Virtual (VSG) Cisco: Se integra con el switch virtual e hipervisores Cisco Nexus 1000V Entrega aplicacin de polticas de seguridad y visibilidad a nivel de la mquina virtual Asla lgicamente aplicaciones en centros de datos virtuales y entornos de mltiples inquilinos Aplica la separacin de deberes entre la seguridad y los administradores del servidor

Firewall de Nube Cisco ASA 1000V Se integra al switch virtual Cisco Nexus 1000V Emplea tecnologa ASA probada, mainstream Abarca y ayuda a asegurar mltiples hosts VMware ESX Permite la consistencia a travs de infraestructuras fsicas, virtuales, y de la nube

9.2.3 Portfolio de Seguridad integrado de Cisco La industria de la seguridad est en constante cambio. Los siguientes pocos aos van a ser un periodo de cambio significativo, conducido por tres tendencias importantes: la clientelizacin del punto extremo, el incremento en el uso de sistemas de video conferencia de alta definicin como Cisco TelePresence, y la adopcin de la informtica en la nube. Estas tendencias necesitan de un desvo en la forma en que los negocios implementan los recursos IT as como la forma en que la informacin se encuentra almacenada y accedida de manera segura.

Las nuevas tecnologas de punto extremo que entran a la empresa estn redefiniendo la experiencia del lugar de trabajo. El trabajo ya no es un lugar donde la gente va y se sienta en un cubculo durante ocho horas usando una PC proporcionada por la empresa. La fuerza de trabajo del futuro demandar acceso en cualquier momento, desde cualquier lugar y en cualquier dispositivo. Considerando el cambio significativo en las capacidad del punto extremo durante los pasados pocos aos, todo parece indicar que esta velocidad de cambio continuar en el futuro. A medida que las herramientas de colaboracin, como la video conferencia en video de alta definicin, se vuelen un lugar comn, los trabajadores del futuro esperarn una interaccin cara a cara desde cualquier parte del mundo con los clientes, socios y colegas. Estas herramientas de elevado ancho de banda requerirn de una infraestructura segura que cumpla con las expectativas de los empleados. A medida que ms empresas se pliegan a la informtica en la nube veremos aplicaciones basadas en la nube que permiten compartir y acceder a los datos fcilmente. Esto, junto con la virtualizacin del centro de datos, desafiar a los departamentos de IT a que sigan adelante de las amenazas en un entorno cada vez ms distribuido.

La mayora de las empresas no adoptan todos los componentes de la Red Autodefensiva de Cisco de una vez. Esto ocurre porque puede volverse difcil monitorear todos los subsistemas requeridos a la vez sin desestabilizar la integridad de los servicios IT. Adicionalmente, algunas empresas

dudan si confiar los controles de seguridad a un sistema automatizado hasta estar seguros de que el sistema opera de manera confiable. El diseo de Red Autodefensiva de Cisco satisface estas preocupaciones al proveer productos que se pueden desplegar independientemente unos de los otros. Ms adelante, podrn agregarse otros productos a medida que la confianza crezca en el diseo de seguridad en general.

10 Implementing the Cisco Adaptative Security (ASA) 10.0 Introduccin al captulo Durante ms de dos dcadas, las soluciones de firewall han evolucionado para cumplir los requisitos de seguridad que se van incrementando. Hoy existen muchos tipos de firewalls, incluyendo el de filtrado de paquetes, stateful, gateway de aplicaciones (proxy), de traduccin de direcciones, basados en el host, transparente e hbridos. Un diseo de red moderno debe incluir una ubicacin apropiada de uno o ms firewalls para proteger los recursos. Cisco proporciona dos soluciones de firewall: el ISR con habilitacin de firewall y el Cisco Adaptive Security Appliance (ASA). Un ASA proporciona una solucin de firewall probada y abarcativa. El Cisco serie ASA 5500 es un componente principal de la Red Sin Lmites Cisco Secure. Entrega una escalabilidad superior, un amplio rango de tecnologa y soluciones, y una seguridad siempre activa eficaz, diseada para satisfacer las necesidades de una amplia gama de implementaciones.

El Cisco serie ASA 5500 ayuda a las organizaciones a proporcionar una conectividad segura y de elevado desempeo y a proteger bienes crticos integrando lo siguiente: Probada tecnologa de firewall Sistema de prevencin de intrusiones (IPS) altamente eficaz con Cisco Global Correlation y cobertura garantizada VPNs de elevado desempeo y acceso remoto siempre activo Funcin a prueba de fallos para una tolerancia a los mismos

Este captulo proporcionar una introduccin a la plataforma ASA y a las funciones de firewall y VPN del dispositivo serie ASA 5505. Este captulo proporcionar una introduccin a la plataforma ASA y a las funciones de firewall y VPN del dispositivo serie ASA 5505. En un segundo laboratorio prctico, Configuracin de ASA Basic y Firewall usando ASDM, los alumnos configuran el ASA 5505 como firewall bsico, pero esta vez usando la interfaz GUI de ASA, ASDM. En un tercer laboratorio prctico, Configuracin de VPNs SSL de Acceso Remoto Clientless y AnyConnect usando ASDM, los alumnos usarn el Asistente VPN ASDM para configurar una VPN de acceso remoto SSL clientless y verificar el acceso usando una PC remota. A continuacin, los alumnos configurarn una VPN de acceso remoto SSL basada en el cliente AnyConnect y verificarn la conectividad. Finalmente, en un cuarto laboratorio prctico, Configuracin de una VPN IPsec Sitio a Sitio usando CCP y ASDM, los alumnos configurarn el ASA como punto extremo VPN IPsec Sitio a Sitio usando tanto el Asistente VPN CCP como el Asistente VPN ASDM.

10.1 Introduccin al ASA 10.1.1 Repaso del ASA Una solucin de firewall en router IOS es apropiada para pequeas implementaciones de sucursales y para administradores que tienen experiencia con Cisco IOS. No obstante, una solucin

de firewall IOS no escala bien y por lo general no puede cumplir con las necesidades de una empresa grande. El ASA es un dispositivo firewall autnomo que es un componente principal de la arquitectura Cisco SecureX. Hay seis modelos de ASA, desde el modelo para sucursal 5505 bsico hasta la versin 5585 para centro de datos. Todos proporcionan funciones de firewall stateful avanzadas y funcionalidad de VPN. La mayor diferencia entre los modelos es el throughput de trfico mximo manipulado por cada modelo y la cantidad y tipo de interfaces. Los dispositivos Cisco ASA son escalables para cumplir un rango de requisitos y tamaos de red. La eleccin de un modelo de ASA depender de los requisitos de la organizacin, tales como throughput mximo, conexiones mximas por segundo, y presupuesto. El software ASA combina funcionalidades de firewall, concentrador VPN, y prevencin de intrusiones en una sola imagen de software. Previamente, estas funcoines estaban disponibles en tres dispositivos separados, cada uno con su propio software y hardware. Combinar la funcionalidad en una nica imagen de software proporciona mejoras significativas en las funciones disponibles. Otras funciones avanzadas de ASA incluyen las siguientes: Virtualizacin ASA - Un nico ASA puede particionarse en varios dipositivos virtuales. Cada dispositivo virtual se denomina contexto de seguridad. Cada contexto es un dispositivo independiente, con su propia poltica de seguridad, interfaces y administradores. Varios contextos son algo similar a tener varios dispositivos autnomos. Muchas funciones son soportadas en modo de contexto mltiple, incluyendo tablas de enrutamiento, funciones de firewall, IPS y administracin. Algunas funcoines no se soportan, como VPN y protocolos de enrutamiento dinmico. Alta disponibilidad con prevencin de fallos - Dos ASAs idnticos pueden emparejarse en una configuracin a prueba de fallos activo / standby para proporcionar una redundancia de dispositivos. Un nico dispositivo fsico est diseado como principal, el otro como secundario. Uno de los ASAs se elige para que est en estado activo (forwardeando trfico) y el otro en estado hot standby (de espera). El estado del dispositivo ASA activo es monitoreado mediante la interfaz a prueba de fallos de la LAN por el ASA standby. Ambas plataformas deben ser idnticas en software, licencia, memoria e interfaces, incluyendo el Mdulo de Servicios de Seguridad (SSM). Firewall de identidad- El ASA proporciona acceso granular optativo basado en una asociacin de direcciones IP con la informacin de logueo del Directorio Activo de Windows. El ASA usa el Directorio Activo como origen para recuperar la informacin de identidad del usuario actual para direcciones IP especficas y permite la autenticacin transparente para usuarios de Directorio Activo. Servicios de firewall basados en la identidad mejoran el control de acceso existente y los mecanismos de polticas de seguridad permitiendo que usuarios o grupos se especifiquen en lugar de las direcciones IP

de origen. Las polticas de seguridad basadas en la identidad pueden intercalarse sin restriccin entre reglas basadas en direcciones IP tradicionales. Control de amenazas y servicios de contencin - Todos los modelos de ASA soportan funciones bsicas de IPS. No obstante, funciones IPS avanzadas pueden proporcionarse nicamente integrando mdulos de hardware especiales a la arquitectura ASA. La capacidad de IPS est disponible usando los mdulos de Inspeccin y Prevencin Avanzadas (AIP), mientras que las capacidades anti-malware pueden implementarse integrando el mdulo de Control y Seguridad del Contenido (CSC). El Mdulo de Servicios de Seguridad de Inspeccin y Prevencin Avanzado Cisco (AIP-SSM) y la Tarjeta de Servicios de Seguridad de Inspeccin y Prevencin Avanzada de Cisco (AIP-SSC) entregan proteccin contra decenas de miles de explotaciones conocidas. Tambin protegen contra millones de potenciales variantes de explotacin desconocidas usando motores de deteccin IPS y miles de firmas. Cisco Services para IPS proporciona actualizaciones de firmas a travs de un equipo de inteligencia global que trabaja las 24 horas del da para ayudar a asegurar la proteccin contra las ltimas amenazas.

Todos los modelos de ASA pueden configurarse y administrarse usando la interfaz de lnea de comandos o el Administrador de Dispositivos de Seguridad Adaptativo (ASDM). ASDM es una applet Java basada en navegador usada para configurar y monitorear el software del ASA. ASDM se carga desde el ASA, a la PC. ASDM se usa para configurar, monitorear y administrar el dispositivo. El foco de este captulo estar en el nivel de entrada ASA 5505 que est diseado para implementaciones de pequeos negocios, sucursales y teletrabajador de una empresa. Nota: Las cuatro funciones avanzadas citadas anteriormente estn fuera del alcance de este curso y no se explorarn en ms detalle. Para especificaciones tcnicas de cada ASA, refirase a: www.cisco.com/en/US/products/ps6120/prod_models_comparison.html

Al tratar de redes conectadas a un firewall, existen algunos trminos generales a tener en cuenta: Red externa - La red que est fuera de la proteccin del firewall. Red interna - La red que est protegida y detrs del firewall. DMZ - Zona desmilitarizada, aunque protegida por el firewall, se permite un acceso limitado a los usuarios externos.

Los firewalls protegen las redes internas del acceso no autorizada de usuarios de una red externa. Tambin protegen a los usuarios de la red interna uno del otro. Por ejemplo al crear zonas, un administrador puede mantener a la red que hospeda a los servicios de contadura separada de otras redes de la organizacin. Los ISRs de Cisco pueden proporcionar funciones de firewall usando un firewall de polticas basado en zonas (ZPF) o usando la funcin anterior control de acceso basado en el contexto (CBAC). Un ASA proporciona las mismas funciones pero la configuracin difiere marcadamente de la configuracin del router IOS de ZPF. El ASA es un aparato de firewall dedicado. Por defecto, trata a una interfaz interna definida como a la red confiable, y cualquier interfaz definida como externa como redes no confiables. Cada interfaz tiene un nivel de seguridad asociado. Estos niveles de confianza permite al ASA implementar polticas de seguridad. Por ejemplo, los usuarios internos pueden acceder a las redes externas basndose en determinadas direcciones, requiriendo autenticacin o autorizacin, o coordinando con un servidor de filtrado de una URL externa.

Los recursos de red que son necesarios para los usuarios externos, como un servidor web o FTP, pueden ubicarse en una DMZ. El firewall permite un acceso limitado a la DMZ, a la vez que protege la red interna de usuarios externos.

Un firewall stateful, como el ASA, rastrea el estado de las conexiones de red TCP o UDP que la atraviesan. El firewall est programado para determinar paquetes legtimos para diferentes tipos de conexiones. Solamente los paquetes que conocen una conexin activa sern permitidos por el firewall; otros sern rechazados.

Todo el trfico forwardeado a travs de un ASA se inspecciona usando el Algoritmo de Seguridad Adaptativo y se permite su paso o se descarta. El algoritmo tiene en consideracin el estado, si lo hay, de una conexin asociada al paquete. Si el paquete crea una nueva conexin, el ASA tiene que verificar el paquete comparndolo con listas de acceso y realizar otras tareas para determinar si el paquete se permite o denega. Para efectuar esta verificacin, el primer paquete de la sesin atraviesa la "ruta de administracin de la sesin", que es parte del plano de administracin. Dependiendo del tipo de trfico, tambin podra atravesar la "ruta del plano de control". La ruta de administracin de la sesin es responsable de las siguientes tareas: Efectuar las verificaciones contra listas de acceso Efectuar bsquedas en la ruta Adjudicar traducciones NAT (xlates) Establecer sesiones en la "ruta rpida"

Algunos paquetes requieren inspeccin de Capa 7. Los motores de inspeccin de Capa 7 se requieren para protocolos que tienen dos o ms canales: un canal de datos (que usa nmeros de puerto bien conocidos), y un canal de control (que usa diferentes nmeros de puerto para cada sesin). Cuando un paquete requiere inspeccin de Capa 7, el payload del paquete debe inspeccionarse o alterarse y los paquetes se pasan a la ruta del plano de control. Los protocolos que requieren inspeccin de la Capa 7 incluyen a FTP, H.323, y SNMP. Para soportar estos protocolos, el filtro de paquetes observa la sesin inicial y analiza los datos de la aplicacin para aprender acerca de los canales negociados adicionales. Luego el filtro de paquetes aplica la poltica que enuncia que si la sesin inicial fue permitida, entonces los canales adicionales de esa aplicacin debern permitirse tambin. Si la conexin ya est establecida, el ASA no necesita volver a verificar paquetes. La mayora de los paquetes coincidentes pueden pasar por la ruta "rpida" en ambos sentidos. La ruta rpida es responsable de las siguientes tareas: Verificacin de la checksum IP Observacin de la sesin Verificacin del nmero de secuencia TCP Las traducciones NAT basadas en sesiones existentes Ajustes de encabezados de Capa 3 y Capa 4

Para UDP u otros protocolos sin conexin, el ASA crea una informacin de estado de la conexin para poder usar tambin la ruta rpida.

Existen dos modos de operacin del firewall disponible en dispositivos ASA: modo enrutado y modo transparente. Modo Enrutado El modo enrutado es el modo tradicional de aplicar un firewall donde hay dos ms interfaces que separan redes de Capa 3. El ASA es considerado un salto de router en la red y puede efectuar NAT entre redes conectadas. El modo enrutado soporta varias interfaces. Cada interfaz se encuentra en una subred diferente y requiere una direccin IP en esa subred.

Modo Transparente En modo transparente el ASA funciona como un dispositivo de Capa 2. El modo transparente a menudo se denomina "salto en el cable" o "firewall furtivo". En modo transparente, el ASA no se considera un salto de router. De manera similar a un switch de Capa 2, el ASA requiere solamente una direccin IP de administracin configurada en modo de configuracin global. Esta direccin tiene como propsito la administracin remota y se requiere antes de que el dispositivo forwardee trfico. Una vez que se asigne la direccin, todas las interfaces comienzan a "escuchar" en esta direccin para asegurarse de que el dispositivo responde a su administrador. Esta direccin IP global asignada al dispositivo debe estar en la misma subred en la que participan las interfaces forwardeantes. Un firewall transparente puede utilizarse para simplificar la configuracin de una red o implementarlo donde el direccionamiento IP existente no puede alterarse. El modo transparente tambin es til para hacer el firewall invisible a los atacantes. No obstante, los inconvenientes de usar el modo transparente incluyen la falta de soporte de protocolos de enrutamiento dinmico, VPN, QoS, o Relay DHCP. El foco de este captulo estar en el modo enrutado.

Una licencia especifica las opciones que se habilitan en un ASA determinado. La mayora de los aparatos ASA vienen pre-instalados con una licencia Base o una licencia Security Plus. Por ejemplo, el modelo Cisco ASA 5505 viene con una licencia base y la opcin de actualizar a la licencia Security Plus. La licencia de actualizacin Security Plus permite al Cisco ASA 5505 ser

escalable para soportar una conexin ms alta y hasta 25 usuarios VPN IPsec. Agrega soporte DMZ total, y se integra a entornos de red conmutados mediante el soporte al entroncamiento VLAN. Adems, la licencia de Security Plus maximiza la continuidad de los negocios habilitando un soporte para conexiones ISP redundantes y servicios de alta disponibilidad activo/standby stateless. Para proporcionar funciones adicionales al ASA, pueden adquirirse licencias adicionales con base temporal u optativas. Por ejemplo, un administrador puede instalar una licencia con base temporal Botnet Traffic Filter que es vlida por un ao. Otro ejemplo sera si el ASA debe manejar un pico por un breve periodo de usuarios VPN SSL concurrentes. En este caso, puede adquirirse una licencia opcional AnyConnect Premium. La combinacin de estas licencias adicionales con las licencias pre-instaladas crea una licencia permanente. La licencia permanente se activa a continuacin instalando una clave de activacin permanente usando el comando activation-key. La clave de activacin permanente incluye todas las funciones licenciadas en una nica clave. Una clave de activacin del producto puede adquirirse a partir de un representante de cuenta de Cisco. Note que solamente una nica licencia permanente puede instalarse y una vez instalada, se denomina licencia activa. Para verificar la informacin de licencia en un dispositivo ASA, use el comando show version o el comando show activation-key. Para ms informacin sobre licencias, refirase a: www.cisco.com/en/US/docs/security/asa/asa84/license/license_management/license.html

10.1.2 Canfiguracin Bsica de ASA

El Cisco ASA 5505 es un aparato de seguridad con funciones completas para pequeos negocios, sucursales y entornos de teletrabajadores de una empresa. Brinda un firewall de alto rendimiento, VPN SSL, VPN IPsec y ricos servicios de networking en un aparato modular y plug-and-play. El panel frontal del ASA 5505 consta de: Puerto USB - Reservado para uso futuro. LEDs de velocidad y de actividad del enlace - Un indicador de velocidad verde slido indica 100 Mb/s. Si el LED est apagado, esto indica 10 Mb/s. Cuando el LED indicador de actividad en el enlace est encendido, esto indica que se estableci un enlace de red. Cuando parpadea, indica actividad en la red. LED de Energa - Verde slido indica que el aparato est encendido. LED de Estado - Verde parpadeante indica que el sistema est arrancando y que se estn efectuando pruebas de encendido. Verde slido indica que se pasaron las pruebas del sistema y el sistema est operativo. mbar slido indica que las pruebas de sistema fallaron. LED Activo - Verde indica que este Cisco ASA est activo cuando se lo configura como a prueba de fallos. LED VPN - Verde slido indica que uno o ms tneles VPN estn activos. LED de la Tarjeta de Servicios de Seguridad (SSC) -Verde slido indica que una tarjeta SSC est presente en la ranura SSC.

El panel trasero del Cisco ASA 5505 consta de: Un switch Fast Ethernet 10/100 de 8 puertos. Cada puerto puede agruparse dinmicamente para crear hasta tres VLANs o zonas separadas para soportar la segmentacin y seguridad de la red. Los puertos 6 y 7 son puertos Energa sobre Ethernet (PoE) para simplificar la implementacin de telfonos IP de Cisco y puntos de acceso inalmbricos externos. Tres puertos USB. Estos puertos (uno en la parte frontal y dos en la parte trasera) pueden utilizarse para habilitar servicios y capacidades adicionales. Una ranura para expansin de la Tarjeta de Servicio de Seguridad (SSC). La ranura puede utilizarse para agregar la Tarjeta de Servicios de Prevencin de Seguridad y de Inspeccin Avanzada de Cisco (AIP-SSC). La tarjeta AIP-SSC permite que el Cisco ASA 5500 proporcione servicios de prevencin de intrusiones para detener el trfico malicioso antes de que pueda afectar a una red. Cisco IPS con Correlacin Global incrementa la eficacia del IPS tradicional. Con actualizaciones cada cinco minutos, Cisco IPS con Correlacin Global proporciona una proteccin contra amenazas rpida y precisa con inteligencia global en tiempo real de Cisco IPS, firewall, e-mail y aparatos de la web.

La memoria DRAM por defecto es de 256 MB (actualizable a 512 MB) y la memoria flash interna por defecto es de 128 MB para el Cisco ASA 5505. En una configuracin a prueba de fallos, las dos

unidades deben ser modelos idnticos con la misma configuracin de hardware, la misma cantidad y tipos de interfaces y la misma cantidad de RAM. Para visualizar un modelo interactivo del Cisco ASA 5505, refirase a: www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/ps6913/prod_presentati on0900aecd805ac1dd.html

El ASA asigna niveles de seguridad para distinguir entre redes internas y externas. Los niveles de seguridad definen el nivel de confiabilidad de una interfaz. Cuanto ms alto es el nivel, ms confiable es la interfaz. Los nmeros de nivel de seguridad van desde 0 (no confiable) hasta 100 (muy confiable). Cada interfaz operativa debe tener asignados un nombre y un nivel de seguridad desde 0 (el ms bajo) hasta 100 (el ms alto). Por ejemplo, asigne el nivel 100 a la red ms segura, como la red host interna, mientras que a la red externa conectada a Internet puede asignrsele el nivel 0. A las DMZs y otras redes puede

asignrseles un nivel de seguridad entre 0 y 100. Cuando el trfico se desplaza desde una interfaz con un alto nivel de seguridad a una interfaz con un nivel de seguridad bajo, se considera trfico saliente. Inversamente, el trfico que se desplaza desde una interfaz con un bajo nivel de seguridad a una interfaz con un nivel de seguridad mayor se considera trfico entrante. Los niveles de seguridad ayudan a controlar: El acceso a la red - Por defecto, existe un permit implcito desde una interfaz de seguridad ms alta a una interfaz de seguridad ms baja (saliente). Los hosts de la interfaz de seguridad ms alta pueden acceder a los hosts de una interfaz de seguridad ms baja. Varias interfaces pueden asignarse al mismo nivel de seguridad. Si se habilita la comunicacin para las mismas interfaces de seguridad, hay un permit implcito para que las interfaces accedan a otras interfaces al mismo nivel de seguridad o ms bajo. Motores de inspeccin - Algunos motores de inspeccin de las aplicaciones dependen del nivel de seguridad. Cuando las interfaces tienen el mismo nivel de seguridad, el ASA inspecciona el trfico en cualquier sentido. Filtrado - entido. Filtrado - El filtrado se aplica solamente para conexiones salientes (de un nivel ms alto a un nivel ms bajo). Si est habilitada la comunicacin para dichas interfaces de seguridad, el trfico puede filtrarse en cualquier sentido.

El trfico saliente se permite e inspecciona por defecto. El trfico de retorno se permite a causa de la inspeccin de paquetes stateful. Por ejemplo, los usuarios internos en la interfaz interna pueden acceder a los recursos de la DMZ libremente. Tambin pueden iniciarse conexiones a Internet sin restricciones y sin la necesidad de una poltica adicional ni comandos adicionales. No obstante, el trfico que tiene origen en la red externa y que se dirige a la DMZ o a la red interna, se denega por defecto. El trfico de retorno, con origen en la red interna y que vuelve a travs de la interfaz externa, se permitira. Cualquier excepcin a este comportamiento por defecto requiere una configuracin de una ACL para permitir trfico explcitamente desde una interfaz con un nivel de seguridad ms bajo a una interfaz con un nivel de seguridad ms alto (por ejemplo, de una red externa a la interna). El ASA 5505 es diferente a otros modelos ASA serie 5500. Con los otros ASAs, al puerto fsico puede asignarse una direccin IP de Capa 3, de manera muy similar a un router Cisco. Con el ASA 5505, los ocho puertos de switch integrados son puertos de Capa 2, y por lo tanto no puede asignrseles direcciones IP directamente. En un ASA 5505, los parmetros de Capa 3 se configuran en una interfaz virtual de switch (SVI). Una SVI, una interfaz VLAN lgica, requiere un nombre, un nivel de seguridad de interfaz, y una direccin IP. Se asignan luego los puertos del switch de Capa 2 a una VLAN especfica. Los puertos de switch de la misma VLAN pueden comunicarse entre s usando conmutacin de hardware. Pero cuando un puerto de switch en la VLAN 1 desea comunicarse con un puerto de switch en la VLAN 2, entonces el ASA aplica la poltica de seguridad al trfico y las rutas entre las dos VLANs.

El ASA 5505 se usa comnmente como dispositivo de seguridad de borde que conecta un negocio pequeo a un dispositivo ISP, como una DSL o cable mdem, para acceder a la Internet. Puede implementarse para interconectar y proteger varias estaciones de trabajo, impresoras de red y telfonos IP.

En una implementacin de sucursal, una implementacin comn incluira una red interna (VLAN 1) con un nivel de seguridad 100 a una rd externa (VLAN 2) con un nivel de seguridad 0. Los puertos de switch Fast Ethernet 6 y 7 son puertos PoE. Pueden asignarse a la VLAN 1 y se usan para conectar telfonos IP.

En un pequeo negocio, el ASA 5505 puede implementarse con dos diferentes segmentos de red protegidos: la red interna (VLAN 1) para conectar estaciones de trabajo y telfonos IP, y la DMZ (VLAN 3) para conectar un servidor web de la compaa. La interfaz externa (VLAN 2) se usa para conectarse a la Internet.

En una implementacin empresarial, el ASA 5505 puede ser usando por los teleconmutadores y usuarios en su hogar para conectarse a una locacin centralizada usando una VPN. EMPRENDIMIENTO

PEQUEA EMPRESA

CORPORACIN

ASA 5510 estn diseados para brindar servicios de seguridad avanzados para negocios de tamao medio y sucursales de la empresa. El ASA 5510 soporta un throughput de 300 Mb/s y una capacidad de 9.000 conexiones de firewall por segundo. Esto hace del ASA 5510 muy apto para la mayora de las implementaciones de oficina. El Cisco ASA 5510, el 5520, el 5540, y el 5550 son todas unidades de un solo rack (1RU). Cada uno de ellos tiene una ranura de expansin para los mdulos de servicios de seguridad. El panel frontal del ASA 5510 cuenta con LEDs de Energa, Estado, Activo, VPN y Flash. El panel trasero del Cisco ASA 5510 consta de: Una ranura para Mdulo de Servicios de Seguridad (SSM) para expansin Dos puertos USB que pueden usarse para habilitar servicios y capacidades adicionales Una interfaz de administracin Fast Ethernet fuera de banda (OOB) Cuatro interfaces Fast Ethernet Una ranura para tarjeta Flash para proporcionar almacenamiento para las imgenes del sistema y los archivos de configuracin Indicadores LED de energa, estado, activo, VPN y flash Un puerto de consola serie

Un puerto auxiliar para conectar un mdem externo para la administracin OOB

Las cuatro interfaces de red Fast Ethernet 10/100 y la OOB se combinan para crear 5 interfaces posibles. Tres de estos cinco puertos Fast Ethernet se habilitan por defecto (0 a 2). El cuarto est inhabilitado por defecto y el quinto est reservado para la administracin OOB. Dependiendo de la versin de software ASA, las restricciones del puerto OOB pueden eliminarse. Por lo tanto, las cinco interfaces Fast Ethernet pueden usarse para el trnsito del trfico y pueden tener aplicados niveles de seguridad. La ranura para el Mdulo de Servicios de Seguridad (SSM) puede usarse para agregar lo siguiente: Un Mdulo de Servicios de Seguridad Ethernet de un Gigabit de 4 Puertos (4GE SSM) para segmentar mejor el trfico de la red en zonas de seguridad separads. Este mdulo de elevado desempeo tiene cuatro puertos 10/100/1000 RJ-45 y cuatro puertos Conectables de Pequeo Factor de Forma (SFP) para soportar tanto conexiones de cobre como pticas. El Mdulo de Servicios de Inspeccin y Prevencin de Seguridad Avanzado (AIP-SSM) para proporcionar servicios de prevencin de intrusiones completos en funcionalidad para detener el trfico malicioso, incluyendo gusanos y virus de la red, antes de que puedan afectar a una red. La Serie Mdulo de Servicios de Seguridad de Control y Seguridad de Contenidos (CSCSSM) para proporcionar proteccin contra las amenazas lder en la industria y control de contenidos en el borde de Internet. Proporciona antivirus, anti-spyware, bloqueo de archivos, anti-spam, anti-phishing, bloqueo y filtrado de URLs y filtrado de contenidos, abarcativos.

Para ms informacin, dirjase a: www.cisco.com/en/US/docs/security/asa/quick_start/5500/inst5500.html

La configuracin por defecto de fbrica para el ASA 5510 y superiores incluye la configuracin de la interfaz de administracin, el soporte a servidores DHCP, y soporte ASDM. La configuracin por defecto de fbrica incluye lo siguiente: La interfaz de administracin, Management 0/0, est preconfigurada con la direccin IP 192.168.1.1 y la mscara 255.255.255.0. El servidor DHCP est habilitado en el ASA, as que una PC que se conecta a la interfaz recibe una direccin entre 192.168.1.2 y 192.168.1.254. El servidor HTTP est habilitado para ASDM y es accesible a los usuarios de la red 192.168.1.0.

Nota: la configuracin de ASA 5510 y modelos superiores est ms all del alcance de este captulo.

10.2 ASA Firewall Configuration 10.2.1 Introduccin a la configuracin de Firewall ASA Los dispositivos ASA pueden configurarse y administrarse usando la interfaz de lnea de comandos (CLI) o la GUI Administrador de Dispositivos de Seguridad Adaptables (ASDM). La CLI del ASA es un OS propietario que tiene un aspecto similar al IOS de router. Existen muchos comandos similares entre la CLI del ASA y la CLI del IOS. Tambin hay muchos comandos diferentes. El Cisco ASA contiene una estructura de conjunto de comandos similar a la del router Cisco IOS y ofrece los siguientes modos de acceso: Modo EXEC del usuario - ciscoasa> en Modo EXEC privilegiado - ciscoasa# config t Modo de configuracin global - ciscoasa(config)# Varios modos de sub-configuracin, por ejemplo - ciscoasa(config-if)# ROMMON mode - ROMMON>

Al igual que un router Cisco IOS, el ASA tambin reconoce lo siguiente: Abreviatura de comandos y palabras clave Tecla tab para completar un comando parcial La tecla ayuda (?) despus del comando

A diferencia de un ISR, el ASA funciona de la siguiente manera: Ejecuta cualquier comando ASA CLI independientemente del prompt del modo de configuracin actual. El comando do de IOS no se requiere ni reconoce.

Proporciona una breve descripcin y sintaxis de comando cuando se introduce help seguido del comando. Por ejemplo, tipear help reload mostrar la sintaxis de comandos para reload, una descripcin y argumentos soportados. Interrumpa la salida del comando show usando Q. El IOS requiere el uso de Ctrl+C (^C).

Nota: el aparato de seguridad usa el modo ROMMON(modo Monitor de Memoria Slo Lectura) cuando no encuentra una imagen booteable o cuando un administrador lo hace a entrar a ese modo. En modo ROMMON, un administrador puede usar un servidor TFTP para cargar una imagen del sistema al aparato de seguridad. El modo ROMMON tambin se usa para recuperar la contrasea del sistema. Comandos IOS y ASA

Modos de Acceso ASA:

El ASA 5505 se entrega con una configuracin por defecto que, en la mayora de los casos, es suficiente para una implementacin SOHO bsica. La configuracin incluye dos redes VLAN preconfiguradas: VLAN1 y VLAN2. VLAN 1 es para la red interna y VLAN 2 es para la red externa. La interfaz interna tambin proporciona funciones de direccionamiento DHCP y NAT. Los clientes de la red interna obtienen una direccin IP dinmica del ASA para que puedan comunicarse entre s y con los dispositivos de Internet. Especficamente, la configuracin de fbrica por defecto para el ASA 5505 configura lo siguiente: Un nombre de host por defecto ciscoasa. Contraseas de consola o enable en blanco. AUna interfaz interna VLAN 1 que incluye los puertos de switch Ethernet 0/1 a 0/7. La direccin IP de la VLAN 1 y mscara son192.168.1.1 y 255.255.255.0. Una interfaz VLAN 2 externa que incluye el puerto de switch Ethernet 0/0. La VLAN 2 deriva su direccin IP del ISP que usa DHCP. La ruta por defecto que se deriva del DHCP. Todas las direcciones IP internas a ser traducidas al acceder al exterior usando la interfaz PAT. El servidor HTTP para soportar el acceso a ASDM.

Un servidor DHCP interno para proporcionar direcciones entre 192.168.1.5 y 192.168.1.36 para hosts que se conectan a la interfaz VLAN 1.

Estas configuraciones pueden cambiarse manualmente usando la CLI o interactivamente usado el asistente de Inicializacin de la Configuracin de la CLI o usando el asistente de Inicio ASDM. El ASA puede restaurarse a su configuracin de fbrica por defecto usando el comando configure factory-default global configuration Para ms informacin, refirase a: www.cisco.com/en/US/docs/security/asa/quick_start/5505/5505-poster.html Configuracin por defecto

Introduccin a la configuracin por defecto

La configuracin de inicio del ASA puede borrarse escribiendo los comandos write erase y reload. Nota: A diferencia del router IOS, el ASA no reconoce el comando erase startup-config. Una vez reiniciado, el ASA muestra el siguiente prompt "Pre-configure Firewall now through interactive prompts [yes]?"(Preconfigurar el Firewall ahora a travs de prompts interactivos [s]?

Al introducir no, se cancela el asistente de Inicializacin de la Configuracin y el ASA mostrar su prompt por defecto. Presionar Enter acepta el valor por defecto [yes] y el ASA guiar interactivamente al administrador para configurar lo siguiente: Modo de Firewall Contrasea enable Recuperacin de la contrasea enable Configuraciones de hora y fecha Direccin IP y mscara internas Nombre de host del dispositivo ASA Nombre de dominio

El aparato de seguridad muestra los valores por defecto entre corchetes ([ ]) antes de pedirle al usuario que los acepte o cambie. Para aceptar la entrada por defecto, presione Enter. Una vez que la porcin interactiva del asistente de Inicializacin de la Configuracin se ha completado, el aparato de seguridad muestra el resumen de la nueva configuracin y pide al usuario que guarde o rechace las configuraciones. Responder s guarda la configuracin en la flash y muestra el prompt configured hostname. Responder no reinicia el asistente de Inicializacin de la Configuracin desde el principio con cualquier cambio que se haya efectuado como las nuevas configuraciones por defecto. Esto permite al administrador corregir una configuracin con errores. El asistente de Inicializacin de la Configuracin es un mtodo opcional para configurar inicialmente un ASA. Tambin proporciona la mayora de las configuraciones necesarias para acceder al ASA usando ASDM.

10.2.2 Configuracin, Administracin Ajustes y Servicios Al igual que el router IOS, las configuraciones bsicas del ASA pueden establecerse usando la CLI. Si el usuario introdujo no en el prompt del asistente de Inicializacin de la Configuracin, las configuraciones de administracin bsicas deben configurarse manualmente usando la CLI del OS ASA. Configuracin Bsica Las configuraciones de administracin bsicas se configuran en modo de configuracin global. La primera vez que se accede al modo de configuracin global, aparece un mensaje pidindole que habilite la funcin Smart Call Phone. Esta funcin ofrece diagnsticos proactivos y alertas en tiempo real en dispositivos Cisco selectos, lo cual proporciona una ms alta disponibilidad en la red y un incremento de la eficacia operativa. Para participar, se requiere una ID CCO y el dispositivo ASA debe registrarse bajo un contrato de Servicio Cisco SMARTnet.

Para ms informacin sobre Smart Call Home, refirase a: www.cisco.com/go/smartcall En modo de configuracin global, configure el nombre de host, nombre de dominio y contrasea de modo privilegiado EXEC del ASA usando los siguientes comandos: hostnamename - Cambia el nombre del ASA. domain-namename - Cambia el nombre del dominio. enable passwordpassword - Configura la contrasea del modo privilegiado EXEC. Note que no hay opcin secret. passwdpassword - Configura la contrasea Telnet / SSH.

Opcionalmente, puede crearse una frase de paso para encriptar todas las contraseas. Esta funcin es similar al servicio del comando del IOS password-encryption. La frase de paso maestra almacena de manera segura contraseas en texto plano en formato encriptado. La frase de paso maestra proporciona una clave que se usa para encriptar universalmente o poner mscara a todas las contraseas, sin cambiar ninguna funcionalidad.Para configurar una frase de paso maestra, use los siguientes comandos: key config-key password-encryption [nueva-frase-de-paso [antigua-frase-de-paso]] - Crea o cambia una frase de paso maestra ya existente. La frase de paso debe tener de 8 a 128 caracteres de longitud y se aceptan todos los caracteres excepto el retroceso y las comillas dobles. Si no se incluye una nueva frase de paso en el comando, el ASA la pedir. Para cambiar la frase de paso, primero tendr que introducirse la frase de paso antigua. password encryption aes - Habilita la encriptacin de contraseas. Tan pronto como se activa la encriptacin de contraseas y la frase de paso maestra est disponible, todas las otras contraseas se encriptarn.La configuracin actual mostrar las contraseas en el formato encriptado. Si la frase de paso config-key password-encryption no se configura en el momento de habilitar la encriptacin de contraseas, el comando se aceptar de todos modos y las contraseas se encriptarn tan pronto como se configure la frase de paso.

Para determinar si est habilitada la encriptacin de contraseas, use el comando show password encryption. Configuracin de las Interfaces A continuacin debern configurarse las interfaces. Recuerde que el ASA 5505 tiene 8 puertos para switch de Capa 2. Por lo tanto, dos tipos de interfaces deben configurarse: la interfaz VLAN lgica que tambin se conoce como interfaz virtual del switch (SVI), y los puertos de Capa 2 que se asignan a las VLANs. Use los siguientes comandos para configurar la interfaz VLAN lgica: interface vlan vlan-number - Crea una interfaz virtual del switch (SVI). nameif name - Asigna una nombre a la interfaz SVI.

security-level value - Asigna un nivel de seguridad a la interfaz SVI.

Los valores de seguridad por defecto se asignan a la interfaz interna y a la interfaz externa. Por lo tanto, el comando security-level se requiere solamente si un administrador elige cambiar esos valores. A cualquier otra interfaz deber asignrsele un valor de nivel de seguridad. La direccin IP de una interfaz puede configurarse usando tres opciones: Manualmente Usando DHCP Usando PPPoE

Para configurar manualmente una direccin IP, use lo siguiente: ip address ip-address netmask - Comando para asignar una direccin IP y mscara a la SVI.

Si la interfaz se conecta a un dispositivo upstream proporcionando servicios DHCP, entonces la interfaz puede ser un cliente DHCP y puede descubrir su direccin IP e informacin relativa a DHCP usando lo siguiente: ip address dhcp - comando de configuracin de la interfaz que solicita una direccin IP desde el dispositivo upstream.

ip address dhcp setroute - el mismo comando pero que tambin solicita e instala una ruta por defecto para el dispositivo upstream.

Si la interfaz se est conectando a un dispositivo DSL upstream que proporcoina punto-a-punto sobre servicios Ethernet, entonces puede descubrir su direccin IP usando lo siguiente: ip address pppoe - comando de configuracin de la interfaz que solicita una direccin IP al dispositivo upstream. ip address pppoe setroute - el mismo comando pero tambin solicita e instala una ruta por defecto al dispositivo upstream.

PRECAUCIN: Un ASA 5505 con una licencia Bsica no permite la creacin de tres interfaces de VLAN completamente funcionales. No obstante, una tercera interfaz de VLAN "limitada" puede crearse si primero se la configura mediante el comando no forward interface vlan. Este comando limita la interfaz para que no inicie contacto con otra VLAN. Por lo tanto, cuando se configuran las interfaces VLAN interna y externa, el comando no forward interface vlan number debe introducirse antes de que el comando nameif se introduzca en la tercera interfaz. El argumento number especifica la ID de la VLAN a la cual esta interfaz de VLAN no puede iniciar trfico. La licencia Security Plus se requiere para que pueda lograrse una funcionalidad completa. Los puertos de Capa 2 deben asignarse a una VLAN. Por defecto, todos los puertos de switch de Capa 2 se asignan a la VLAN 1. Por lo tanto, para cambiar la asignacin de la VLAN por defecto, el puerto de Capa 2 debe configurarse mediante los siguientes comandos: switchport access vlan vlan-id - cambia la asignacin de la VLAN al puerto desde el punto por defecto de la VLAN 1. no shutdown - habilita el puerto de Capa 2.

Nota: La configuracin actual mostrar nicamente el comando switchport access vlan en el caso de las interfaces cuya membresa VLAN haya cambiado de la VLAN 1 por defecto. Las interfaces en la VLAN 1 por defecto no mostrarn el comando switchport access vlan 1. Para verificar las configuraciones de la VLAN, use el comando show switch vlan. Para verificar las configuraciones de la interfaz use los comandos show interface o show int ip brief. Configuracin de una Ruta por Defecto Si un ASA se configura como cliente DHCP, puede recibir e instalar una ruta por defecto desde el dispositivo upstream. De otro modo, habr que configurar una ruta esttica por defecto usando el comando route interface-name 0.0.0.0 0.0.0.0 next-hop-ip-address. Para verificar la introduccin de la ruta, use el comando show route. Nota: Se requieren comandos HTTP adicionales para permitir la conexin de ASDM con el ASA.

Verificar la configuracin bsica

Configurar una ruta esttica por defecto

Configurar el Acceso por Telnet El ASA puede configurarse para aceptar conexiones Telnet desde un host nico o un rango de hosts en la red interna. Para habilitar el servicio Telnet, use los siguientes comandos: passwd password - Configura la contrasea Telnet / SSH. telnet - Identifica qu host interno puede hacer telnet al ASA. telnet timeout minutes - Altera el tiempo de inactividad exec por defecto de 5 minutos.

Tambin se soporta SSH pero requiere autenticacin AAA para ser habilitado. Use los siguientes comandos para habilitar el soporte a SSH: username nombre password contrasea - Crea una entrada en la base de datos local. aaa authentication ssh console LOCAL - Configura SSH para que se refiera a la base de datos local para la autenticacin. La palabra clave LOCAL es sensible al uso de maysculas/minsculas y es una etiqueta del servidor predefinida. crypto key generate rsa modulus 1024 - Genera la clave RSA requerida para la encriptacin SSH. ssh ip-addresssubnet-maskinterface-nombre - Identifica qu host interno puede usar SSH hacia el ASA. ssh timeout minutos - Altera el tiempo de inactividad exec por defecto de 5 minutos.

Para verificar la configuracin de SSH, use el comando show ssh. Configuracin de Servicios de NTP Los servicios del Protocolo de Tiempo de Red (NTP) pueden configurarse en un ASA. Use los siguientes comandos de configuracin global para habilitar y configurar NTP: ntp server direccin-ip Identifica la direccin del servidor NTP. ntp clave-autenticacin - - Configura la clave y la contrasea de autenticacin. ntp trusted-keyvale - Identifica qu clave configurada es confiable. ntp authenticate - Habilita la autenticacin NTP. Para verificar la configuracin y el estado de NTP, use loas comandos show ntp status y show ntp associations. Configuracin Telnet y SSH

Configuracin NTP

Configuracin de los Servicios de DHCP Un ASA puede configurarse para que sea un cliente DHCP y un servidor DHCP. Como cliente DHCP, se configura una interfaz para recibir su direccin IP e informacin relativa a DHCP desde un dispositivo upstream. Para configurar una interfaz ASA como cliente DHCP, use el comando para configuracin de la interfaz ip address dhcp [setroute]. La opcin setroute puede agregarse para solicitar e instalar una ruta por defecto desde el dispositivo upstream. Como servidor DHCP, el ASA proporciona direcciones IP e informacin relativa a DHCP a los hosts internos. Para habilitar un ASA como servidor DHCP y proporcionar servicios DHCP a hosts internos, configure lo siguiente: dhcpd enable inside - Habilita el servicio de servidor DHCP (daemon) en la interfaz interna del ASA. dhcpd address[inicio-de-pool]-[fin-de-pool]inside - Define el conjunto o pool de direcciones IP y asigna el pool a los usuarios internos. Note que las direcciones IP de iniciode-pool y fin-de-pool van separadas por un guin.

Nota: La licencia Bsica para el ASA 5505 es una licencia para 10 usuarios y por lo tanto la cantidad mxima de clientes DHCP soportados es 32. Para una licencia de 50 usuarios, el mximo es 128 clientes. Para una licencia de usuario sin lmites, el mximo es 250 (que es lo mismo que para todos los otros modelos de ASA). Opciones de DHCP tales como DNS, nombre de dominio, WINS y tiempo de DHCP options such as DNS, domain name, WINS, y tiempo de arrendamiento pueden configurarse todas manualmente de la siguiente manera: dhcpd domainnombre-dominio - Configura el nombre de dominio DNS. dhcpd dnsdireccin-ip-dns - Configura la direccin IP del servidor DNS. dhcpd winsdireccin-ip-wins - Comando para configurar la direccin del servidor WINS.

dhcpd leasesegundos - Configura el tiempo del arrendamiento en segundos. El valor por defecto es de 3600 segundos (1 hora). dhcpd optionvalor - Configura el cdigo de opcin DHCP. El cdigo de opcin se encuentra en el rango 0 - 250.

Si la interfaz externa del ASA se configur como cliente DHCP, puede usarse el comando de configuracin global dhcp auto_config outside para pasar informacin sobre DNS, WINS y del dominio obtenida del cliente DHCP en la interfaz externa a los clientes DHCP de la interfaz interna. Para verificar las configuraciones de DHCP, use los siguientes comandos: show dhcpd state - Muestra el estado DHCP actual para las interfaces interna y externa. show dhcpd binding - Muestra las uniones DHCP actuales de los usuarios internos. show dhcpd statistics - Muestra las estadsticas actuales de DHCP.

Para borrar las uniones DHCP o las estadsticas, use los comandos clear dhcpd binding o clear dhcpd statistics. Nota: El servicio NAT se trata posteriormente en este captulo. Configuracin DHCP

Verificacin de DHCP

10.2.3 Introduccin a ASDM Cisco ASDM es una herramienta de GUI basada en Java que facilita la configuracin, el monitoreo y la resolucin de problemas de los ASA de Cisco. La aplicacin oculta la complejidad de los comandos a los administradores, y permite configuraciones racionales sin requerir un conocimiento extenso de la CLI del ASA. Funciona con SSL para garantizar una comunicacin segura con el ASA. Puede usarse Cisco ASDM para monitorear y configurar varios ASA que corren la misma versin de ASDM. ASDM ahora est precargado en la memoria flash de cualquier ASA versiones 7.0 y posteriores. ASDM puede correrse como aplicacin de Inicio de la Web Java que se descarga dinmicamente desde la flash del ASA. Esto permite que un administrador pueda configurar y monitorear el dispositivo ASA. De otro modo ASDM puede descargarse de la flash e instalarse localmente en un host como si fuera una aplicacin. Esto permite que un administrador use ASDM para configurar y administrar varios dispositivos ASA. El acceso a ASDM requiere algunas configuraciones mnimas para comunicarse a travs de la red con una interfaz de administracin. La interfaz de administracin depende del modelo de ASA:

Cisco ASA 5505 - El puerto de switch de administracin puede ser cualquier puerto, excepto Ethernet 0/0. Cisco ASA 5510 y posteriores - La interfaz para la conexin es Management 0/0. Para permitir el acceso a ASDM, configure el ASA para que permita conexiones HTTPS desde cualquier host de la red interna. Use estos comandos: http server enable - Habilita el servidor HTTP de ASA. httpdireccin-ip mscara-subred nombre-interfaz- Especifica a un host o hosts que pueden acceder al servidor HTTP de ASA usando ASDM. Nota: Para eliminar e inhabilitar el servicio de servidor HTTP de ASA, use el comando de configuracin global clear configure http.

Puede accederse a la interfaz ASDM desde cualquier estacin de trabajo con una direccin IP incluida en la lista de redes confiables HTTP. Antes de intentar establecer una conexin segura al ASA, verifique si existe conectividad IP entre la estacin de trabajo y el Cisco ASA.

Con una configuracin por defecto de fbrica, un host de la red 192.168.1.0/24 puede conectarse a la direccin IP de administracin por defecto del ASA de 192.168.1.1 usando ASDM. El host debe establecer una conexin a travs de un navegador a la direccin IP de la interfaz interna usando el protocolo HTTPS. Dependiendo de las configuraciones del navegador, puede aparecer una ventana de certificado de seguridad. Seleccione S para continuar a la ventana del lanzamiento de ASDM.

La ventana de lanzamiento de ASDM proporciona tres opciones:

Instalar el Lanzador de ASDM y Ejecutar ASDM - Instala ASDM como aplicacin en el host. La ventaja de hacerlo as es que una aplicacin puede usarse para administrar varios dispositivos ASA. Un navegador de Internet ya no se requerir para iniciar ASDM. Ejecutar ASDM - Ejecuta ASDM como aplicacin de inicio en Web de Java. La ventaja es que la aplicacin ASDM no se instana en el host local. Un navegador de Internet se requiere para establecer una conexin.

Ejecutar el Asistente de Inicio - Ejecuta el Asistente de Inicio de ASDM. Esta opcin es similar al asistente de Inicializacin de la Configuracin y proporciona ventanas paso-a-paso para ayudar a configurar inicialmente el ASA.

La pgina Home de Cisco ASDM muestra informacin importante sobre el ASA. La informacin de estado de la pgina Home se actualiza cada 10 segundos. Aunque muchos de los detalles

disponibles en la pgina Home estn disponibles en otro lugar en el ASDM, esta pgina proporciona una vista rpida del estado operativo del ASA.

La interfaz de usuario del Cisco ASDM est diseada para que proporcione un fcil acceso a las muchas funciones soportadas por el ASA. Todas las pginas incluyen los siguientes elementos:

Barra de Men - Proporciona un rpido acceso a archivos, herramientas, asistentes y la ayuda. Barra de Herramientas - Proporciona una fcil navegacin del Cisco ASDM. Desde la barra de herramientas un administrador puede acceder a las vistas Home, Configuracin y Monitoreo, as como tambin guardar, actualizar, navegar entre vistas, y acceder a la Ayuda. Botn Lista de Dispositivos - Abre una pgina atracable que ofrece una lista de todos los otros dispositivos ASA. Use esta pgina para conmutar a otro dispositivo que corra la misma versin de ASDM. Al administrar un nico dispositivo ASA, la pgina Lista de Dispositivos se oculta y debe abrirse usando el botn Lista de Dispositivos. Barra de estado - Muestra la hora, estado de conexin, usuario, estado de la memoria, estado de la configuracin actual, nivel de privilegio y estado de SSL en la parte inferior de la ventana de la aplicacin. Por defecto, la pgina Home tambin muestra dos pestaas: Tablero del Dispositivo - Proporciona una vista de informacin importante acerca del ASA, tal como el estado de las interfaces, la versin del OS, informacin sobre la licencia, e informacin relativa al desempeo. Tablero del Firewall - Proporciona informacin relativa a la seguridad acerca del trfico que pasa a travs del ASA, tal como estadsticas de la conexin, paquetes descartados, escaneo y deteccin de ataques syn. Otras pestaas que la pgina Home puede mostrar incluyen: Prevencin de Intrusiones - Aparece nicamente si se instal un mdulo o tarjeta IPS. La pestaa adicional muestra informacin de estado acerca del software IPS. Seguridad de Contenidos - Aparece nicamente si se instal un CSC-SSM en el ASA. La pestaa Seguridad de Contenidos muestra informacin de estado acerca del software CSC-SSM. Configuracin del Dispositivo Firewall VPN de Acceso Remoto VPN Sitio-a-Sitio

Administracin de Dispositivos

El panel de navegacin de la vista Monitoreo muestra las siguientes pestaas:

Interfaces VPN Enrutamiento Propiedades Logueo

Las opciones que aparecen en el panel de navegacin variarn dependiendo de la vista y pestaa seleccionadas.

La vista Configuracin ASDM se requiere para configurar configuraciones de administracin del dispositivo bsicas a travs de la pestaa Configuracin del Dispositivo. Las configuraciones que pueden establecerse incluyen la hora del sistema, el nombre de host, las contraseas, las configuraciones de la interfaz y el enrutamiento. Haga clic en el botn Aplicar para guardar cualquier cambio efectuado.

La pestaa Configuracin del Dispositivo tambin cuenta con el asistente de Inicio, que es similar al asistente de Inicializacin de la Configuracin. Arrancar el asistente guiar al administrador a travs de la creacin de una configuracin bsica para el ASA. Cualquier valor previamente configurado se usa como valor actual.

Para configurar el nombre de host, nombre de dominio, contraseas enable y Telnet, elija Configuracin > Configuracin del Dispositivo > Nombre/Contrasea del Dispositivo. El nombre de host aparece en el prompt de lnea de comandos y tambin se usa en los mensajes del sistema. El ASA agrega el nombre de dominio en forma de sufijo a los nombres no calificados. La contrasea Telnet configura la contrasea de logueo que por defecto se configura como "cisco". La contrasea Telnet se aplica al acceso a Telnet y a SSH.

Opcionalmente, puede crearse una frase de paso para encriptar todas las contraseas. Para ello, elija Configuracin > Administracin de Dispositivos > Avanzado > Frase de Paso Maestra. Para cambiar la hora del sistema, elija Configuracin > Configuracin del Dispositivo > Hora del Sistema > Reloj. Desde esta pantalla, la zona horaria, fecha y hora pueden configurarse manualmente. La fecha y hoara tambin pueden configurarse dinmicamente usando un servidor NTP. La hora se muestra en la barra de estado, en el extremo derecho inferior.

Para configurar las interfaces de Capa 3, elija Configuracin > Configuracin del Dispositivo > Interfaces. En esta ventana, las interfaces interna y externa del ASA pueden crearse o editarse.

Para configurar los puertos de Capa 2, elija Configuracin > Configuracin del Dispositivo > Interfaces > Puertos del Switch. En esta ventana, los puertos de Capa 2 pueden habilitarse y asociarse con una interfaz VLAN especfica.

Para configurar una ruta por defecto, elija Configuracin > Configuracin del Dispositivo > Enrutamiento > Rutas Estticas. En esta ventana, pueden introducirse o editarse las rutas esttica y esttica por defecto.

Para configurar NTP, elija Configuracin > Configuracin del Dispositivo > Hora del Sistema > NTP. En esta ventana, el administrador puede agregar, editar o borrar un servidor NTP. Al agregar un servidor, pueden configurarse la direccin IP y los parmetros de autenticacin. La hora que se deriva de un servidor NTP reemplaza a cualquier hora configurada manualmente. Para configurar el acceso del administrador a los servicios Telnet y SSH, elija Configuracin > Administracin de Dispositivos > Acceso a Administracin > ASDM/HTTPS/Telnet/SSH. En esta ventana, un administrador puede identificar qu host o redes pueden tener acceso al ASA a travs de ASDM/HTTPS, Telnet, o SSH. Para habilitar los servicios de servidor DHCP, elija Configuracin > Administracin de Dispositivos > DHCP > Servidor DHCP. En esta ventana, pueden modificarse las configuraciones DHCP generales. Las configuraciones DHCP interna y externa pueden editarse haciendo clic en el botn Editar. Asegrese de hacer clic en el botn Aplicar cada vez que se efecta un cambio.

10.2.4 ASDM Wizards Cisco ASDM ofrece varios asistentes que ayudan a simplificar la configuracin de este aparato: Asistente de Inicio Asistentes VPN Asistente de Alta Disponibilidad y Escalabilidad Asistente de Comunicacin Unificada Asistente para la Captura de Paquetes

El asistente de Inicio gua al administrador a travs de la configuracin inicial del ASA y ayuda a definir las configuraciones bsicas. El asistente de Inicio puede activarse eligiendo Asistentes > Asistente de Inicio, o Configuracin > Configuracin del Dispositivo > Asistente de Inicio. Una vez que aparece la pgina del asistente de Inicio, haga clic en el botn Arrancar el Asistente de Inicio. La cantidad real de pasos del asistente puede variar dependiendo de modelo de ASA especfico y de los mdulos instalados. No obstante, la mayora de los modelos de ASA pueden configurarse en un proceso de nueve pasos. Una vez que se ha arrancado el asistente de Inicio, siga estos pasos: Paso 1. La ventana de Punto de Inicio (tambin denominada ventana de Bienvenida) se muestra y proporciona una opcin de Modificar una Configuracin Existente o de Reiniciar la Configuracin con los Valores por Defecto de Fbrica. Seleccione una opcin y haga clic en Siguiente para continuar.

Paso 2. En la ventana de Configuracin Bsica, complete la configuracin de administracin bsica del ASA que consiste en un nombre de host, nombre de dominio, y contrasea EXEC privilegiada. Opcionalmente, este paso tambin permite al administrador implementar el ASA para un trabajador remoto. Complete las opciones y haga clic en Siguiente para continuar.

Paso 3. En la ventana Seleccin de la Interfaz, cree interfaces de switch VLAN. Este paso es especfico del ASA modelo 5505. Complete las opciones y haga clic en Siguiente para continuar.

Paso 4. En la ventana Adjudicacin del Puerto del Switch, mapee los puertos fsicos de switch de Capa 2 a las VLANs nombradas lgicamente en el paso anterior. Por defecto, todos los puertos de switch se asignan a la VLAN1 (Externa). Haga clic en Siguiente para continuar.

Paso 5. En la ventana Configuracin de la Direccin IP de la Interfaz, identifique las direcciones IP interna y externa para las VLANs definidas. Note que estas direcciones tambin podran crearse usando DHCP o PPPoE. Complete las opciones y haga clic en Siguiente para continuar.

Paso 6. La ventana DHCP permite al administrador habilitar el servicio de DHCP para los hosts internos. Todas las opciones relacionadas con DHCP se definen en esta ventana. Complete las opciones ya haga clic en Siguiente para continuar.

Paso 7. La ventana de Traduccin de Direcciones (NAT/PAT) permite al administrador habilitar PAT o NAT. Complete las opciones y haga clic en Siguiente para continuar.

Paso 8. En la ventana de Acceso Administrativo, especifique qu host o hosts se permite que accedan al ASA usando HTTPS/ASDM, SSH, o Telnet. Complete las opciones y haga clic en Siguiente para continuar.

Paso 9. La ventana final es el Resumen del Asistente de Inicio. Repase la configuracin propuesta. Los cambios pueden efectuarse haciendo clic en el botn Atrs o guardarse haciendo clic en el botn Finalizar.

El asistente VPN permite al administrador configurar conexiones VPN bsicas de sitio-a-sitio y de acceso-remoto y asignar claves pre-compartidas o certificados digitales para la autenticacin. Para arrancar el asistente VPN desde la Barra de Menes, haga clic en Asistentes y elija Asistentes VPN. Los asistentes VPN incluyen a: El asistente VPN sitio-a-sitio El asistente VPN AnyConnect El asistente VPN SSL sin clientes El asistente VPN de Acceso Remoto IPsec (IKEv1)

Como complemento de los asistentes, ASDM tambin proporciona el Asistente ASDM. Por ejemplo para visualizar el Asistente ASDM de acceso remoto, elija Configuraciones > VPN de Acceso Remoto > Introduccin. Despus de una configuracin inicial, ASDM puede usarse para editar y configurar funciones avanzadas.

Otros tres asistentes estn disponibles en ASDM: el asistente de Alta Disponibilidad y Escalabilidad, el asistente de Comunicaciones Unificadas, y el asistente de Captura de Paquetes. El asistente de Alta Disponibilidad y Escalabilidad puede guiar al administrador para que configure la funcin a prueba de fallos con alta disponibilidad y el equilibrio de carga de clusters VPN. El modo de clusters VPN requiere dos dispositivos ASA que establezcan sesiones VPN a la misma red de destino y que lleven a cabo equilibrio de carga. Note que el ASA 5505 con licencia Bsica no puede soportar este asistente. Existen dos mtodos para acceder al asistente: Elija Asistentes > Asistente de Alta Disponibilidad y Escalabilidad.. Elija Configuration > Administracin de Dispositivos > Alta Disponibilidad > Asistente AD/Escalabilidad, y luego haga clic en Iniciar el Asistente de Alta Disponibilidad y Escalabilidad.. El asistente para Comunicaciones Unificadas puede usarse para configurar el ASA para que soporte la funcin Proxy de Comunicaciones Unificadas de Cisco. Existen dos mtodos para acceder al asistente: Elija Asistentes > Asistente para Comunicaciones Unificadas.. Elija Configuracin > Firewall > Comunicaciones Unificadas seguido de Asistente para Comunicaciones Unificadas..

Finalmente, el asistente de Captura de Paquetes es til para configurar y ejecutar capturas para solucionar problemas. Tambin es til para validar una poltica NAT. Las capturas pueden usar listas de acceso para limitar el tipo de trfico capturado, las direcciones y puertos de origen y destino y una o ms interfaces. El asistente ejecuta una captura en cada una de las interfaces de ingreso y egreso. Las capturas pueden guardarse en un host y examinarse en un analizador de paquetes. Para iniciar el asistente de Captura de Paquetes, elija Asistentes > Asistente de Captura de Paquetes.. Nota: Los tres asistentes nombrados ms arriba estn fuera del alcance de este captulo y no se explorarn en ms detalle.

El ASA soporta objetos y grupos de objetos. Los objetos son creados y usados por el ASA en lugar de una direccin IP en espera en cualquier configuracin dada. Un objeto puede definirse mediante un par de direccin IP en particular y mscara de red o un protocolo (y opcionalmente, un puerto) y puede reusarse en varias configuraciones. La ventaja es que cuando se modifica un objeto, el cambio se aplica automticamente a todas las reglas que usan el objeto especificado. Por lo tanto, los objetos hacen fcil el mantener configuraciones. Los objetos pueden conectarse o desconectarse a uno o ms grupos de objetos cuando sea necesario, asegurando que los objetos no se dupliquen pero puedan reusarse donde sea necesario. Estos objetos pueden usarse en NAT, listas de acceso y grupos de objetos. Especficamente, los objetos de red son una parte vital de la configuracin de NAT. Existen dos tipos de objetos que pueden configurarse: Objeto de red - Contiene un nico par direccin IP/mscara. Los objetos de red pueden ser de tres tipos: de host, de subred o de rango. Objeto de servicio - Contiene un protocolo y un puerto de origen y/o destino opcional. Nota: Un objeto de red se requiere para configurar NAT en una imagen ASA versiones 8.3 y posteriores.

Para crear un objeto de red, use el comando de configuracin global object networknombre-deobjeto. El prompt cambiar al modo de configuracin de objetos de red. El nombre de un objeto puede contener solamente un par direccin IP y mscara. Por lo tanto, puede haber solamente un enunciado en el objeto de red. Introducir un segundo par direccin IP/mscara reemplazar la configuracin existente. Los objetos de la red pueden definirse usando uno de los siguientes tres mtodos: hostip-addr - Asigna una direccin IP al objeto nombrado. subnetnet-address net-mask - Asigna una subred de la red al objeto nombrado. rangeip-addr-1 ip-addr-n - Asigna direcciones IP en un rango. Use la forma no de cualquiera de estos tres comandos para eliminar un objeto de la red. Para borrar todos los objetos de la red, use el comando clear config object network. Note que este comando borra todos los objetos de la red. Para crear un objeto de servicio, use el comando de configuracin global nombre-objeto. El prompt cambiar al modo de configuracin de objeto de servicio. El objeto de servicio puede contener un puerto o rangos de puerto de protocolo, ICMP, ICMPv6, TCP o UDP. Un nombre de objeto de servicio puede asociarse nicamente con un protocolo y puerto (o puertos). Si un objeto de servicio existente se configura con un protocolo y puerto (o puertos) diferentes, la nueva configuracin reemplaza al protocolo y puerto (o puertos) existentes por los nuevos. Existen cinco opciones de servicio:

service protocol [source [operator port]] [destination [operator port]] - Especifica un nombre o nmero de protocolo IP. service tcp [source [operator port]] [destination [operator port]] - Especifica que el objeto de servicio es para el protocolo TCP. service udp [source [operator port]] [destination [operator port]] - Especifica que el objeto de servicio es para el protocolo UDP. service icmp icmp-type - Especifica que el objeto de servicio es para el protocolo ICMP. service icmp6 icmp6-type - Especifica que el objeto de servicio es para el protocolo ICMPv6. Se usan palabras clave opcionales para identificar el puerto de origen o el puerto de destino o ambos. Los operadores, tales como eq, neq, lt, gt y range soportan la configuracin de un puerto para un protocolo dado. Si no se especifica ningn operador, el operador por defecto es eq. Use la forma no del comando para eliminar un objeto de servicio. Para borrar todos los objetos de servicio, use el comando clear config object service. Este comando borra todos los objetos de servicio. Para verificar, use el comando show running-config object.

Los objetos pueden agruparse para crear un grupo de objetos. Agrupando objetos similares, un grupo de objetos puede usarse en una entrada de control de acceso (ACE) en lugar de tener que introducir una ACE para cada objeto separadamente. Las siguientes instrucciones y limitaciones se aplican a los grupos de objetos: Los objetos y grupos de objetos comparten el mismo espacio de nombre. Los grupos de objetos deben tener nombres nicos. Un grupo de objetos no puede eliminarse ni vaciarse si se usa en un comando. El ASA no soporta grupos de objetos anidados IPv6

El ASA soporta los siguientes tipos de grupos de objetos: De Red De Protocolo Tipo ICMP De Servicio

Para configurar un grupo de objetos de red, use el comando de configuracin global object-group network grp-name. Una vez introducido el comando, agregue objetos de red al grupo de la red mediante los siguientes comandos: network-object group-object

Nota: Un grupo de objetos de red no puede usarse para implementar NAT. Un objeto de red se requiere para implementar NAT. Para configurar un grupo de objetos de protocolo, use el comando de configuracin global grupoobjetos protocologrp-name. Una vez introducido el comando, defina un grupo de protocolos tales como TCP y UDP. Agregue objetos de red al grupo de protocolos mediante los siguientes comandos: protocol-object group-object

Para configurar un grupo de objetos ICMP, use el comando de configuracin global object-group icmp-typegrp-name. Despus de introducir el comando, agregue objetos ICMP mediante los siguientes comandos:

icmp-object group-object

Para configurar un grupo de objetos de servicio, use el comando de configuracin global objectgroup servicegrp-name. El grupo de objetos de servicio puede definir una mezcla de servicios TCP, servicios UDP, servicios de tipo ICMP y cualquier protocolo. Una vez introducido el comando object-group service, agrega objetos de servicio a los grupos de servicio con los siguientes comandos: service-object group-object

Para configurar un grupo de objetos de servicio para TCP, UDP, o TCP y UDP, especifique la opcin en el comando de configuracin global object-group servicegrp-name[tcp | udp | tcp-udp]. Cuando tcp, udp, o tcp-udp se especifican opcionalmente en la lnea de comandos, service define un grupo de objetos de servicio estndar de especificaciones de puertos TCP/UDP tales como "eq smtp" y "range 2000 2010." Una vez introducido el comando, agregue objetos de puerto al grupo de servicio mediante los siguientes comandos: port-object group-object

Para borrar todos los grupos de objetos de la configuracin, use el comando de configuracin global clear configure object-group. Para verificar las configuraciones de objetos de grupo, use el comando show running-config object-group. Ejemplos prcticos de grupos de objetos se presentarn al configurar ACLs y NAT.

Para configurar un objeto de red o un grupo de objetos de red en ASDM, elija Configuracin > Firewall > Objetos > Objetos/Grupos de Red. Desde esta ventana, el administrador puede agregar, editar o borrar un objeto de red o un grupo de objetos de red. Para configurar objetos de servicio, grupos de objetos de servicio, grupos de objetos ICMP, o grupos de objetos de protocolo, elija Configuracin > Firewall > Objetos > Objetos/Grupos de Servicio. Desde esta ventana, el administrador puede agregar, editar o borrar un objeto de servicio o grupos de objetos de servicios, grupos de objetos ICMP, y/o grupos de objetos de protocolo.

10.2.6 ACLs El Cisco ASA 5500 proporciona capacidades bsicas de filtrado de trfico con ACLs. Las ACLs controlan el acceso en una red evitando que el trfico definido entre o salga. Existen muchas similitudes entre las ACLs ASA y las ACLs IOS. Por ejemplo, ambas estn compuestas por ACEs, se procesan secuencialmente de arriba hacia abajo, y hay un denegar todo implcito. Adems, la regla de solamente una ACL por interfaz, por protocolo, por direccin se sigue aplicando. Las ACLs ASA difieren de las ACLs IOS en que usan una mscara de red (por ejemplo, 255.255.255.0) en lugar de una mscara wildcard (por ejemplo 0.0.0.255). Adems las mayora de las ACLs ASA se nombran en lugar de numerarse. Otra diferencia se debe a los niveles de seguridad de la interfaz de un ASA. Por defecto, los niveles de seguridad aplican el control de acceso sin que se haya configurado una ACL. Por ejemplo, el trfico desde una interfaz ms segura (como con nivel de seguridad 100) se permite hacia interfaces menos seguras (como con nivel 0). El trfico desde una interfaz menos segura se bloquea para que no acceda a interfaces ms seguras.

Por ejemplo, un host de la interfaz interna con un nivel de seguridad de 100 puede acceder a la interfaz externa con un nivel de seguridad 0. Pero un host externo proveniente de una interfaz externa con un nivel de seguridad 0 no puede acceder a una interfaz de nivel ms alto. Por lo tanto se requerir una ACL para permitir el trfico desde un nivel de seguridad ms bajo a un nivel de seguridad ms alto. Nota: Para permitir la conectividad entre interfaces con los mismos niveles de seguridad, se requiere el comando de configuracin global same-security-traffic permit inter-interface. Para que sea posible que el trfico entre y salga por la misma interfaz, como cuando trfico encriptado entre a una interfaz y luego es enrutado fuera de la misma interfaz desencriptado, use el comando de configuracin global same-security-traffic permit intra-interface. Estos comandos estn ms all del alcance de este captulo. Las ACLs de un aparato de seguridad pueden usarse no slo para filtrar paquetes salientes que pasan por el aparato sino tambin para filtrar paquetes salientes destinados al aparato. Filtrado a travs del trfico - Trfico que pasa a travs del aparato de seguridad de una interfaz a otra. La configuracin se completa en dos pasos; configurar una ACL y aplicar dicha ACL a una interfaz. Filtrado de trfico to-the-box - Tambin conocido como regla de acceso de administracin, se aplica al trfico que termina en el ASA. Introducida en la versin 8.0 para filtrar el trfico destinado al plano de control del ASA. Se completa en un paso pero requiere un conjunto adicional de reglas para implementar control de acceso.

El ASA soporta cinco tipos de listas de acceso: Listas de acceso extendidas - El tipo ms comn de ACL. Contiene una o ms ACEs para especificar direcciones y protocolo de origen y destino, puertos (para TCP o UDP), o el tipo de ICMP (para ICMP). Listas de acceso estndar - A diferencia de IOS donde una ACL estndar identifica host/red de origen, las ACLs estndar del ASA se usan para identificar las direcciones IP de destino. Por lo comn se usan solamente en rutas OSPF y pueden usarse en un mapa de rutas para la redistribucin OSPF. Las listas de acceso estndar no pueden aplicarse a las interfaces para controlar el trfico. Listas de acceso EtherType - Una ACL EtherType puede configurarse solamente si el aparato de seguridad est funcionando en modo transparente. Listas de acceso Webtype - Se usan en una configuracin que soporta el filtrado para la VPN SSL sin clientes. Listas de acceso IPv6 - Se usan para determinar qu trfico IPv6 bloquear y qu trfico forwardear a interfaces de router.

Use el comando privilegiado EXEC help access-list para mostrar la sintaxis para todas las ACLs soportadas en la plataforma ASA.

Nota: El foco de este captulo estar en las ACLs extendidas.

Las opciones de sintaxis de configuracin de la ACL para el ASA pueden ser un poco abrumadoras considerando la cantidad de parmetros soportados. Estos parmetros no slo dan a un administrador control completo sobre qu inspeccionar, sino tambin capacidades de logueo completo para analizar los flujos de trfico en un momento posterior. Las ACLs IOS y ASA tienen elementos similares, pero algunas opciones varan en el ASA. Por ejemplo: Nombre de la ACL - Puede ser cualquier nombre alfanumrico de hasta 241 caracteres. Tipo - Puede ser extendido, estndar o tipo web. Accin - Puede ser permitir o denegar. Nmero de protocolo - Puede ser ip para todo el trfico, o el nombre / nmero de protocolo IP (0-250) incluyendo icmp (1), tcp (6), udp (17). Tambin puede ser un grupo de objetos de protocolo. Origen - Identifica el origen y puede ser cualquiera, un host, una red, o un grupo de objetos de red. Para el filtrado de trfico to-the-box, la palabra clave de la interfaz se usa para especificar la interfaz de origen del ASA. Operador de puerto de origen - (Opcional) El operando se usa en conjuncin con el puerto de origen. Los operandos vlidos incluyen lt (menos que), gt (ms grande que), eq (igual), neq (no igual) y range para un rango inclusivo. Puerto de origen - (Opcional) Puede ser el nmero de puerto TCP o UDP real, nombre puerto seleccionado o grupo de objetos de servicio. Destino - Identifica el destino y como el origen, puede ser any (cualquiera), un host, una red o un grupo de objetos de red. Para el filtrado de trfico to-the-box, la palabra clave interface se usa para especificar la interfaz de destino del ASA. Operador del puerto de destino - (Opcional) El operando se usa en conjuncin con el puerto de destino. Los operandos vlidos son los mismos que los operandos del puerto origen. Puerto de destino - (Opcional) Puede ser el nmero de puerto TCP o UDP, nombre de puerto seleccionado, o grupo de objetos de servicio. Log - Puede configurar elementos para syslog. Las opciones incluyen la configuracin del nmero o nombre del nivel de severidad, el intervalo de logueo desde el valor por defecto de 300 segundos. El logueo tambin puede reconfigurarse al valor por defecto, o inhabilitarse para esta ACE. Rango temporal - (Opcional) Especifica un rango temporal para esta ACE.

Nota: la explicacin de toda la sintaxis de las ACLs est ms all del alcance de este captulo y no se seguir explorando. Existen muchas opciones que pueden usarse con las ACLs. No obstante, para la mayor parte de las necesidades, una versin ms til y condensada de la sintaxis es la siguiente:

access-list id extended {deny | permit} protocol {source-addr source-mask} | any | host src-host interface src-if-name [operator port [port]] {dest-addr dest-mask} | any | host dst-host | interface dst-if-name [operator port [port]] Despus de configurar una ACL para identificar el trfico permitido o denegado por el ASA, el siguiente paso es aplicar la ACL a una interfaz en sentido ya sea entrante o saliente. Aplique la ACL de la siguiente manera: access-group access-list {in | out} interface interface-name [per-user-override | control-plane] Para verificar las ACLs, use los comandos show access-list y show running-config access-list. Para borrar una ACL configurada, use el comando clear configure access-list id.

Considere una situacin que requiera acceso desde dos hosts externos a dos servidores internos proporcionando servicios de web e e-mail. Todo el otro trfico que intente pasar a travs del ASA se descartar y registrar. La ACL requerira dos ACEs por cada PC. El deny all implcito descartar y registrar cualquier paquete que no coincida con los servicios de email o web. Las ACLs debern estar siempre bien documentadas usando el comando remark. Para verificar la sintaxis de la ACL, use los comandos show running-config access-list y show access-list.

La agrupacin de los objetos es una forma de agrupar elementos similares para reducir la cantidad de ACEs. Agrupando objetos, los grupos de objetos pueden usarse en una ACL en lugar de tener que introducir una ACE por cada objeto separadamente. Sin la agrupacin de objetos, la configuracin del aparato de seguridad puede contener miles de lneas de ACEs, lo que lo vuelve difcil de administrar. La siguiente es una versin condensada del comando access-list que destaca los parmetros de grupo de objeto configurable: access-list id [line line-num] [extended] {deny | permit} object-group protocol-obj-grp-id objectgroup network-obj-grp-id object-group service-obj-grp-id] object-group network-obj-grp-id objectgroup service-obj-grp-id] [log level] [interval secs] [[disable | default] | [time-range time-rangeID]] | [inactive]

El aparato de seguridad sigue la regla del factor de multiplicacin al definir las ACEs. Por ejemplo, si dos hosts externos necesitan acceder a dos servidores internos que usan servicios HTTP y SMTP, el ASA tendr 8 ACEs basados en hosts. Debern calcularse de la siguiente manera: Cantidad de ACEs = (2 servidores internos) x (2 hosts externos) x (2 servicios) = 8 El agrupamiento de objetos puede agrupar objetos de red tales como servidores internos en un solo grupo y los hosts externos en otro. El aparato de seguridad tambin puede combiar ambos servicios TCP en un grupo de objetos de servicio. Por ejemplo, consideremos el ejemplo anterior de la ACL extendida, tena un total de 9 ACEs (8 ACEs de permiso ms el ACE de deny implcito). Crear los siguientes objetos puede ayudar a simplificar la ACL ACL-IN en un solo ACE. Por ejemplo, se crean los siguientes grupos de objetos: Grupo de objetos de protocolo llamado TCP - Identifica a todos los protocolos TCP. Grupo de objetos de red llamado Internet-Hosts - Identifica dos hosts externos. Grupo de objetos de red llamado Internal-Servers - Identifica a los servidores que proporcionan servicios de e-mail y web. Grupo de objetos de servicio HTTP-SMTP - Identifica a protocolos SMTP y HTTP.

Una vez que se han configurado los grupos de objetos, pueden usarse en cualquier ACL y en varias ACLs. Una ACE nica podra usarse para permitir a los hosts confiables el hacer solicitudes de servicio especficas a un grupo de servidores internos. Aunque la configuracin de los grupos de objetos puede parecer tediosa, la ventaja es que estos objetos pueden reutilizarse en otros comandos ASA y pueden alterarse fcilmente. Por ejemplo, si es necesario agregar un nuevo servidor de mail interno, todo lo que se requiere es la edicin del grupo de objetos Internal-Servers. Nota: los grupos de objetos tambin anidarse en otros grupos de objetos.

En ASDM, las reglas de acceso pueden crearse y mantenerse usando la ventana Reglas de Acceso. Para abrir la ventana, elija Configuracin > Firewall > Reglas de Acceso. . Desde esta pgina, aparece una nueva barra de herramientas proporcionando opciones de agregar, editar o borrar reglas. Estas opciones tambin estn disponibles haciendo clic con el botn derecho en una regla en particular. Otras herramientas estn disponibles para simplificar el proceso de administracin de las reglas. La edicin en el panel est disponible para componentes especficos de cada regla, por ejemplo al cambiar las direcciones IP o puertos de origen o destino en cada lnea, sin tener que introducir las opciones de edicin de reglas. Las reglas tambin pueden moverse hacia arriba o abajo, ser copiadas y clonadas, o inhabilitarse y rehabilitarse temporalmente. Se muestra un diagrama en la parte inferior del conjunto de reglas, proporcionando un enunciado ms visual para comprender y resolver problemas de redes especficas.

10.2.7 Servicios de NAT en el ASA

Al igual que los routers IOS, el ASA soporta NAT y PAT y estas direcciones tambin pueden proporcionarse esttica o dinmicamente. NAT y PAT pueden implementarse usando uno de estos mtodos: NAT Interno - El mtodo usual de implementacin de NAT sucede cuando un host proveniente de una interfaz de ms alta seguridad tiene trfico destinado a una interfaz de menor seguridad y el ASA traduce la direccin del host interno a una direccin global. El ASA restaura luego la direccin IP interna original para el trfico de retorno. NAT Externo - Este mtodo se usa cuando se traduce el trfico desde una interfaz de menor seguridad est destinado a un host de ms alta seguridad. Este mtodo puede ser til para hacer que un host externo aparezca desde una direccin IP interna conocida. NAT bidireccional - Indica que NAT interno y NAT externo se usan juntos.

Por defecto, Cisco ASA no requiere la creacin de una poltica de traduccin de direcciones cuando las interfaces de seguridad de ms alto nivel necesitan acceder a recursos en interfaces de nivel de seguridad ms bajo. No obstante, si un paquete coincide con una poltica NAT/PAT, el ASA traduce la direccin.

Tradicionalmente, NAT se configur usando los comandos nat, global, and static . No obstante, Auto-NAT es una nueva funcin introducida en ASA versin 8.3 que ha reemplazado a ese mtodo de configuracin de NAT. Los comandos global y static ya no son soportados. Auto-NAT ha simplificado considerablemente la configuracin y resolucin de problemas de NAT. Auto-NAT saca ventaja del uso de objetos de red como bloques constructores para configurar todas las variantes de NAT. Se crea un objeto de red y es dentro de este objeto donde se configura NAT. Recuerde que los objetos de red pueden usarse para identificar a un host, una subred, o un rango de direcciones IP usando uno de tres mtodos: host ip-addr - Este comando asigna una direccin IP al objeto nombrado. subnet net-address net-mask - Asigna una subred de la red al objeto nombrado. range ip-addr-1 ip-addr-n - Asigna una direccin IP en un rango.

Adicionalmente deben especificarse los parmetros del comando nat en el objeto usando el siguiente comando: nat [(real-ifc,mapped-ifc)] dynamic {mapped-inline-host-ip [interface] | [mapped-obj] [patpool mapped-obj [round-robin]] [interface]} [dns]

La opcin de parmetros de donde elegir est directamente relacionada con el tipo de NAT requerido.

El ASA divide la configuracin de NAT en dos secciones. La primera seccin define la red a ser traducida usando un objeto de red. La segunda seccin define los parmetros reales del comando nat. stos aparecen en dos lugares diferentes en running-config. Por lo tanto, se requieren dos comandos para mostrar la configuracin de NAT. Use el comando show run object para mostrar el objeto de la red y use el comando show run nat para mostrar la configuracin actual de NAT. Cisco ASA soporta los siguientes tipos comunes de traduccin de direcciones de red: NAT dinmica - Traduccin de muchos-a-muchos. Usualmente un pool interno de direcciones privadas que requieren direcciones de otro pool. PAT dinmica - Traduccin de muchos-a-uno. Usualmente un pool interno de direcciones privadas que sobrecargan una interfaz externa o direccin externa. NAT esttica - Una traducin de uno-a-uno. Usualmente una direccin externa que se mapea a un servidor interno.

Otra funcin de ASA versin 8.3 se denomina Twice-NAT. Twice-NAT identifica tanto la direccin de origen como la de destino en una nica regla (el comando nat). Nota: Twice-NAT est ms all del alcance de este captulo y no se explorar en ms detalle.

Para configurar NAT dinmica, se requieren dos objetos de red. El primer objeto de red identifica el pool de direcciones IP pblicas al que sern traducidas las direcciones internas. El segundo objeto de red conecta los dos objetos. Use los siguientes comandos: object network mapped-obj - Nombra el objeto de red que identifica el pool de direcciones pblicas. range ip-addr-1 ip-addr-n - Asigna direcciones IP en un rango.

object network nat-object-name - Nombra el objeto NAT. subnet net-address net-mask - Asigna una subred de la red al objeto nombrado. De manera alternativa podra utilizarse el comando range. nat (real-ifc,mapped-ifc) dynamic mapped-obj - Mapea una direccin esttica a una direccin mapped-inline-host-ip.

Para configurar PAT dinmica, use los siguientes comandos: object network nat-object-name - Nombra el objeto PAT. subnet net-address net-mask - Asigna una subred de la red al objeto nombrado. De manera alternativa podra utilizarse el comando range. nat (real-ifc,mapped-ifc) dynamic interface - Proporciona hosts internos en real-ifc para sobrecargar la direccin externa de la interfaz mapped-ifc.

Una variante de esta configuracin se denomina PAT dinmica. Esto es cuando una direccin IP externa real se configura y sobrecarga en lugar de la direccin IP de la interfaz ASA. Para configurar NAT esttica, donde una direccin interna se mapea a una direccin externa, use los siguientes comandos: object network nat-object-name - Nombra el objeto NAT esttico. host ip-addr - Identifica la direccin IP interna del host. nat (real-ifc,mapped-ifc) static mapped-inline-host-ip - Mapea estticamente una direccin interna a una direccin externa.

Nota: la palabra clave any puede usarse en lugar del parmetro mapped-ifc. Esto permite la traduccin de un objeto entre varias interfaces con un nico comando en la CLI. Por ejemplo, nat (dmz, any) static 209.165.200.227 permitira cualquier dispositivo en cualquier acceso a la red interna al servidor DMZ usando la direccin IP externa. Se requiere una ACL para que la traduccin tenga xito. A diferencia de las ACLs IOS, el ASA debe permitir el acceso a la direccin DMZ privada interna desde el exterior. Los hosts externos acceden al servidor usando su direccin NAT esttica pblica y el ASA lo traduce a la direccin IP del host interno y aplica la ACL. Use los comandos show nat y show xlate para verificar las traducciones. Puede que sea necesario usar el comando clear nat counters al probar NAT.

Configuracin de NAT dinmica Para configurar NAT dinmica en una ASDM, elija Configuraciones > Firewall > Objetos > Objetos/Grupos de Red y luego haga clic en Agregar > Objeto de Red. Aparecer la ventana Agregar Objeto de Red. Complete lo siguiente: Nombre - Introduzca un nombre de objeto de red. Tipo - Elija Red o Rango. Direccin IP - Introduzca la direccin de red de los hosts internos. Mscara de Red - Introduzca la mscara de red. Descripcin - Introduzca una descripcin opcional.

Si la seccin NAT est oculta, haga clic en NAT para expandir la seccin y contine: Marque el recuadro de verificacin Agregar Reglas de Traduccin de Direcciones Automtica. Tipo - Elija Dinmico. Direccin Traducida - A la derecha del campo, haga clic en el botn navegar y elija un objeto de red existente y un nuevo objeto desde el recuadro de dilogo Navegar por la Direccin Traducida.

Si la seccin NAT est oculta, haga clic en NAT para expandir la seccin y contine: Marque el recuadro de verificacin Agregar Reglas de Traduccin de Direcciones Automtica. Tipo - Elija Dinmico. Direccin Traducida - Djela vaca Marque el recuadro de verificacin Direccin Traducida por PAT y haga clic en el botn Navegar y elija un objeto de red existente o cree un nuevo objeto.

Si la seccin NAT est oculta, haga clic en NAT para expandir la seccin y contine:

Marque el recuadro de verificacin Agregar Reglas de Traduccin de Direcciones Automtica. Tipo - Elija Dinmico. Direccin Traducida - Introduzca la direccin IP a la cual traducir.

Para verificar las reglas de NAT, elija Configuraciones > Firewall > Reglas de NAT para abrir la ventana Reglas de NAT.

10.2.8 Control de Acceso en un ASA Autenticacin, Autorizacin y Manejo de Cuentas (AAA) proporciona un nivel extra de proteccin y control del usuario. Usando AAA solamente, puede permitirse a los usuarios autenticados y autorizados conectarse a travs del ASA. La autenticacin puede usarse sola o con autorizacin y manejo de cuentas. La autorizacin siempre requiere primero la autenticacin de un usuario. El manejo de cuentas puede usarse solo, o con autenticacin y autorizacin. La autenticacin controla el acceso requiriendo credenciales del usuario vlidas, que son usualmente un nombre de usuario y contrasea. El ASA puede autenticar todas las conexiones administrativas al ASA, incluyendo Telnet, SSH, consola, ASDM usando HTTPS y EXEC privilegiado. La autorizacin controla el acceso, por usuario, una vez autenticados los usuarios. La autorizacin controla los servicios y comandos disponibles para cada usuario autenticado. Sin que autorizacin est habilitada, la autenticacin por s sola proporcionara el mismo acceso a los servicios para todos los usuarios autenticados. El ASA puede autorizar los siguientes elementos: Comandos de administracin Acceso a la red Acceso a VPN

El ASA pone en la cache las primeras 16 solicitudes de autorizacin por usuario. Por lo tanto, si el usuario accede a los mismos servicios durante la sesin de autenticacin actual, el ASA no reenva la solicitud al servidor de autorizacin. Manejo de cuentas rastrea el trfico que pasa a travs del ASA, permitiendo a los administradores tener un registro de la actividad de los usuarios. La informacin de manejo de cuentas incluye hora de inicio y detencin de la sesin, nombres de usuarios, la cantidad de bytes que pasan a travs del ASA para la sesin, el servicio usado, y la duracin de cada sesin.

El Cisco ASA puede configurarse para autenticar usando una base de datos de usuarios local o un servidor externo de autenticacin o ambos. AAA local usa una base de datos para la autenticacin. Este mtodo almacena los nombres de usuario y contraseas localmente en el ASA, y los usuarios se autentican contra la base de datos local. AAA local es ideal para pequeas redes que no necesitan un servidor AAA dedicado. Nota: a diferencia del ISR, los dispositivos ASA no soportan autenticacin local sin usar AAA. Use el comando username name password password [privilege priv-level] para crear cuentas de usuario locales. Para borrar a un usuario de la base de datos local, use el comando clear config username [name]. Para visualizar todas las cuentas de usuarios, use el comando show running-conf username .

La autenticacin AAA basada en servidor es un mtodo mucho ms escalable que la autenticacin AAA local. La autenticacin AAA basada en servidor usa un recurso de servidor de base de datos externo que impulsa los protocolos RADIUS o TACACS+. Ejemplos de esto incluyen al Servidor de Control de Acceso Cisco Secure (ACS) para Windows Server, el Motor Solucin ACS Cisco Secure, o ACS Express para Cisco Secure. Si hay varios dispositivos de networking, AAA basada en servidor es ms apropiado. Para coanfigurar un servidor TACACS+ o RADIUS, use los siguientes comandos: aaa-server server-tag protocol protocol - Crea un grupo de servidores AAA TACACS+ o RADIUS. aaa-server server-tag [(interface-name)] host {server-ip | name} [key] - Configura un servidor AAA como parte de un grupo de servidores AAA. Tambin configura los parmetros del servidor AAA que sean especficos del host.

Los parmetros disponibles variarn dependiendo del tipo de servidor elegido. Para borrar todas las configuraciones del servidor AAA, use el comando clear config aaa-server . Para visualizar todas las cuentas de usuario, use el comando show running-conf aaa-server .

Para autenticar a los usuarios que acceden a la CLI ASA por una consola, SSH, HTTPS (ASDM) o conexin Telnet, o para autenticar usuarios que acceden al modo privilegiado EXEC usando el comandoenable , use el comando aaa authentication console en modo de configuracin global. La sintaxis del comando es la siguiente: aaa authentication {serial | enable | telnet | ssh | http} console {LOCAL | server-group [LOCAL]}

Para borrar todos los parmetros de AAA, use el comando clear config aaa .Para ver todas las cuentas de usuario, use el show running-conf username .

Para habilitar AAA en ASA: Paso 1. Cree las entradas de la base de datos local. Para agregar o editar entradas de la base de datos locales, elija Configuracin > Administracin de Dispositivo > Usuarios/AAA > Cuentas del Usuario. Para agregar un usuario, haga clic en Agregar. Complete las ventanas Agregar Cuenta de Usuario. Paso 2. Cree los grupos de servidores AAA. Para crear o editar un grupo de servidores AAA, elija Configuracin > Administracin de Dispositivos > Usuarios/AAA > Grupos de Servidores AAA .Para agregar un servidor, haga clic en el botn Agregar en el lado derecho de la ventana Grupos de Servidores AAA. Complete la ventana Agregar Grupo de Servidores AAA. Paso 3. Agregue los servidores AAA a los grupos de servidores. Para agregar AAA al grupo de servidores, elija Configuracin > Administracin de Dispositivos > Usuarios/AAA > Grupos de Servidores AAA. Para agregar un servidor a un Grupo de Servidores especfico, seleccione un servidor en la ventana Grupo de Servidores AAA y luego haga clic en el botn Agregar a la derecha de los Servidores en la ventana Grupo Seleccionado. Complete la ventana Agregar Servidor AAA. Paso 4. Haga clic en Aplicar para que se asignen los cambios.

Para unir la autenticacin con los Grupos de Servidores AAA y la base de datos local, elija Configuracin > Administracin de Dispositivos > Usuarios/AAA > Acceso AAA. Desde esta ventana, un administrador puede elegir configurar Autenticacion, Autorizacin y Manejo de Cuentas.

10.2.9 Service Policies en un ASA La configuracin de Marco de Poltica Modular (MPF) define un conjunto de reglas para aplicar funciones de firewall, tal como la inspeccin de trfico y QoS, al trfico que atraviesa el ASA. MPF permite una clasificacin granular de los flujos de trfico, para aplicar diferentes polticas avanzadas a diferentes flujos. MPF se usa con mdulos de hardware para redirigir el trfico granularmente desde el ASA a los mdulos que usan Cisco MPF. MPF puede usarse para la inspeccin de trfico de Capa de Aplicacin avanzada clasificando en las Capas 5 a 7. Las funciones de limitacin de tasa y QoS tambin pueden implementarse usando MPF. Cisco MPF usa estos tres objetos de configuracin para definir polticas jerrquicas modulares, orientadas al objeto: Mapas de clase - Definen criterios de coincidencia usando el comando de configuracin class-map. Mapas de polticas - Asocian acciones a los criterios de coincidencia de map match usando el comando de configuracin global policy-map. Polticas de servicio -Habilitan la poltica adjuntndola a una interfaz, o globalmente a todas las interfaces usando el comando de configuracin de interfaz service-policy.

Aunque la sintaxis de MPF es similar a la sintaxis de la CLI QoS Cisco Modular (MQC), y a la sintaxis del Lenguaje de Polticas de Clasificacin Cisco Common (C3PL), usada en los routers IOS, los parmetros configurables difieren. La plataforma ASA proporciona ms acciones configurables en comparacin con una ISR para Cisco IOS ZPF. El ASA soporta inspecciones de la Capa 5 a la 7 usando un conjunto de criterios ms rico para los parmetros especficos de la aplicacin. Por ejemplo, la funcin MPF de ASA puede usarse para hacer lo siguiente: Hacer coincidir URLs HTTP y mtodos de solicitud. Evitar que los usuarios naveguen a determinados sitios durante horas especficas. Evitar que los usuarios descarguen msica (MP3) y archivos de video a travs de HTTP/FTP o HTTPS/SFTP.

Existen cuatro pasos para configurar MPF en un ASA: Paso 1. Configurar ACLs extendidas para identificar trfico granular especfico. Este paso puede ser opcional. Paso 2.Configurar el mapa de clases para identificar trfico. Paso 3. Configurar un mapa de polticas para aplicar acciones a dichos mapas de clases. Paso 4 Configurar una poltica de servicios para adjuntar el mapa de polticas a una interfaz. Configurar ACL Las ACLs extendidas se usan por lo general para definir flujos de trfico. Estas ACLs pueden referenciarse especficamente en el mapa de clases. Por ejemplo, las ACLs pueden usarse para cotejar:

Todo el trfico TCP Todo el trfico UDP Todo el trfico HTTP Todo el trfico a un servidor especfico

Configurar el Mapa de Clases Los mapas de clase se configuran para identificar el trfico de Capa 3/4. Para crear un mapa de clases e introducir el modo de configuracin class-map, use el comando de configuracin global class-map class-map-name. Los nombres "class-default" y cualquier nombre que comience con "_internal" o "_default" estn reservados. El nombre de mapa de clases debe ser nico y puede tener hasta 40 caracteres de longitud. El nombre tambin debera ser descriptivo. Nota: Una variacin del comando class-map se usa para el trfico de administracin que est destinado al ASA. En este caso, use el comando class-map type management class-map-name. En modo de configuracin class-map, ciscoasa(config-cmap)#, define el trfico a incluir en la clase haciendo coincidir una de las siguientes caractersticas. description - Agrega un texto de descripcin. match any - Class map coteja todo el trfico. match access-list access-list-name - Class map coteja el trfico especificado por una lista de acceso extendida. Nota: A menos que se lo especifique de otra forma, incluye nicamente un solo comando match en el mapa de clases. Poltica Global por Defecto La configuracin del mapa de clases tambin incluye un mapa de clases de Capas 3/4 que el ASA usa en la poltica global por defecto. Se denomina inspection_default y coteja todo el trfico de inspeccin por defecto. Por ejemplo: class-map inspection_default match default-inspection-traffic The match default-inspection-traffic es un acceso directo CLI especial que coteja todos los puertos por defecto para todas las inspecciones. Cuando se usa en un mapa de polticas, este mapa de clases asegura que la inspeccin correcta se aplique a cada paquete, basndose en el puerto de destino del trfico. Por ejemplo, cuando el trfico UDP hacia el puerto 69 llega al ASA, el ASA aplica la inspeccin TFTP. En este caso nicamente, pueden configurarse varias inspecciones para el mismo mapa de clases. Normalmente, el ASA no usa el nmero de puerto para determinar qu inspeccin aplicar. Esto proporciona flexibilidad para aplicar inspecciones a puertos no estndar.

Para mostrar informacin acreca de la configuracin del mapa de clases, use el comando show running-config class-map . Para eliminar todos los mapas de clases, use el comando clear configure class-map en modo de configuracin global.

Configurar el Mapa de Polticas Los mapas de polticas se usan para conectar mapas de clases con acciones. Para aplicar acciones al trfico de Capas 3 y 4, use el comando de policy-map policy-map-name global configuracin global. El nombre del mapa de polticas debe ser nico y tener hasta 40 caracteres de longitud. El nombre tambin debera ser descriptivo. En el modo de configuracin policy-map (config-pmap), use los siguientes comandos: Description - Agrega texto descriptivo. class class-map-name - Identifica un mapa de clases especfico en el cual llevar a cabo acciones.

La cantidad mxima de mapas de polticas es 64. Pueden existir varios mapas de clase de Capa 3/4 en un nico mapa de polticas, y varias acciones pueden asignarse desde uno o ms tipos de funciones a cada mapa de clases.

Nota: la configuracin incluye un mapa de polticas de Capa 3/4 que el ASA usa en la poltica global por defecto. Se denomina global_policy y lleva a cabo una inspeccin en el trfico de inspeccin por defecto. Solamente puede existir una nica poltica global. Por lo tanto, para alterar la poltica global, hay que editarla o reemplazarla. Aunque existe una variedad de diferentes comandos disponibles en este modo de sub configuracin, los ms comunes son: set connection - configura valores de conexin. Inspect - proporciona servidores de inspeccin del protocolo. Police - configura lmites de tasa para el trfico en esta clase. Las acciones se aplican al trfico de manera bidireccional o unidireccional dependiendo de la funcin. Para mostrar informacin acerca de la configuracin del mapa de polticas, use el comando show running-config policy-map . Para eliminar todos los mapas de polticas, use el comando clear configure policy-map en modo de configuracin global. Configure la Poltica de Servicio Para activar un mapa de polticas globalmente en todas las interfaces o en una interfaz objetivo, use el comando de configuracin global service-policy . Use el comando para habilitar un conjunto de polticas en una interfaz. La sintaxis del comando es la siguiente: service-policy policy-map-name [global | interface intf]

La configuracin por defecto del ASA incluye una poltica global que coincide con todo el trfico de inspeccin de aplicaciones por defecto y aplica la inspeccin al trfico globalmente. De no ser el caso, la poltica de servicios puede aplicarse a una interfaz o globalmente.

Las polticas de servicio de una interfaz tienen precedencia sobre la poltica de servicio global para una funcin dada. Por ejemplo, si hay una poltica global con inspecciones, y una poltica de interfaz con inspecciones, solamente las inspecciones de polticas se aplican a esa interfaz. Para alterar la poltica global, un administrador necesita editar la poltica por defecto, o inhabilitar la poltica por defecto y aplicar una nueva poltica. Para mostrar informacin acerca de la configuracin de polticas de servicio, use el comando show service-policy o el comando show running-config service-policy . Para eliminar todas las polticas de servicio, use el comando clear configure service-policy command en modo de configuracin global. El comando clear service-policy limpia las estadsticas de polticas de servicio.

Para configurar una poltica de servicio usando ASDM, elija Configuracin > Firewall > Reglas de Polticas de Servicio , y haga clic en Agregar. Complete lo siguiente: Nombre - Introduzca un nombre de objeto de red Tipo - Elija Red o Rango. Direccin IP - Introduzca la direccin de red de los hosts internos. Mscara de Red - Introduzca la mscara de red.

10.3.Configuracin ASA VPN 10.3.1 Configuracin ASA Remot Access VPN Las organizaciones deben soporar las necesidades de los usuarios mviles a la vez que garantizan la seguridad de los recursos corporativos. La IT Empresarial est evolucionando desde las computadoras de escritorio a usuarios mviles que acceden a la informacin desde cualquier lugar, en cualquier dispositivo. Los usuarios de la empresa estn solicitando soporte para sus dispositivos mviles incluyendo smart phones, tablets, notebooks y un ms amplio rango de fabricantes de laptop y sistemas operativos. Este cambio ha creado un desafo para la seguridad IT. Una solucin para asegurar el acceso remoto es el uso de VPNs SSL que ayudan a proporcionar la flexibilidad para soportar acceso seguro para todos los usuarios, independientemente del punto extremo desde el cual establecen una conexin.

Los ISRs Cisco proporcionan capacidades de IPsec y VPN SSL. Especficamente, los ISRs son capaces de soportar hasta 200 usuarios concurrentes. El Cisco ASA serie 5500 proporciona tambin capacidades de IPsec y VPN SSL. No obstante, son la solucin VPN SSL ms avanzada de Cisco capaces de soportar una escalabilidad de usuarios concurrentes de 10 a 10.000 sesiones por dispositivo. Por esta razn, el ASA es a menudo la opcin al soportar una implementacin de networking remota a gran escala. El ASA soporta tres tipos de VPNs de acceso remoto: Acceso Remoto Clientless SSL VPN (usando un navegador de la web) Acceso Remoto SSL o IPsec (IKEv2) VPN (usando un cliente Cisco AnyConnect) Acceso Remoto IPsec (IKEv1) VPN (usando un cliente Cisco VPN)

El ASA soporta IKEv1 para conexiones desde el cliente Cisco VPN de legado. IKEv2 se requiere para el cliente VPN AnyConnect. Para IKEv2, es posible configurar varios tipos de encriptacin y autenticacin, y varios algoritmos de integridad para una nica poltica. Con IKEv1 para cada parmetro, puede configurarse solamente un nico valor por poltica de seguridad. Cuando el problema es la seguridad, IPsec es la opcin superior ya que excede a SSL en: Soporte de aplicacin IP

Fortaleza de encriptacin Fortaleza de autenticacin

Si el soporte y facilidad de implementacin son los problemas principales, entonces considere SSL. Los beneficios de SSL son fciles de usar y fciles de implementar. SSL es apropiado para las poblaciones de usuarios que requieren control de acceso por aplicacin o por servidor o acceso desde hosts que no son propiedad de la empresa. SSL es un criptosistema creado por Netscape a mediados de los noventa y fue diseado para habilitar comunicaciones seguras en una red insegura como Internet. Proporciona encriptacin e integridad de comunicaciones junto con una fuerte autenticacin usando certificados digitales. La solucin convencional para el acceso remoto de un teletrabajador es IPsec VPN que requiere un cliente VPN pre-instalado en el host. Una ventaja de SSL es que no requiere ningn software del cliente pre-instalado con un propsito especial. Las VPNs SSL permiten a los usuarios acceder a pginas web, acceder a servicios, acceder a archivos, enviar y recibir e-mail, y ejecutar aplicaciones basadas en TCP que usan un navegador. Esto significa que las VPNs SSL son capaces de una conectividad "en cualquier lugar" desde escritorios administrados y no administrados por la empresa. Esto puede incluir PCs propiedad del empleado, escritorios de contratistas o socios de negocios, locutorios, e incluso dispositivos handheld. En muchos casos, las VPNs IPsec y SSL son complementarias porque resuelven diferentes problemas. Este enfoque complementario permite a un nico dispositivo tratar todos los requisitos de los usuarios de acceso remoto. El foco de esta seccin es las VPNs SSL.

El ASA proporciona dos modos de implementacin principales que se encuentran en las soluciones Cisco VPN SSL:

VPN SSL Clientless - VPN sin clientes, basada en navegador que permite a los usuarios establecer un tnel VPN al ASA de acceso remoto y seguro, usando un navegador web. Despus de la autenticacin, los usuarios acceden a una pgina portal y pueden acceder a recursos internos soportados especficos. VPN SSL Basada en el Cliente -Proporciona una conexin VPN SSL tnel pero requiere la instalacin de aplicacin del cliente VPN en el host remoto.

VPN SSL Clientless El modelo de implementacin VPN SSL clientless permite a las empresas tener la flexibilidad adicional de proporcionar acceso a recursos de la empresa incluso cuando el dispositivo remoto no est administrado por la empresa. En este modelo de implementacin, el Cisco ASA se usa como dispositivo proxy a los recursos de la red y proporciona una interfaz portal web para dispositivos remotos para navegar la red usando las capacidades de forwardeo de puertos. El dispositivo remoto del sistema requiere un navegador web soportado con funcionalidad SSL incorporada para acceder a la red VPN SSL. Aunque es ms fcil de implementar y ms flexible que las VPNs SSL basadas en clientes, las VPNs SSL clientless proporcionan solamente una aplicacin de red o acceso a los recursos limitados e incluye riesgos de seguridad adicionales al usar clientes administrados que no pertenecen a la empresa. VPN SSL Basada en el Cliente Las VPNs SSL Basadas en el Cliente proporcionan a los usuarios autenticados con acceso completo a la red, tipo LAN a recursos de la empresa tales como Microsoft Outlook, Cisco Unified Personal Communicator, Lotus Notes, Lotus Sametime, Meeting Maker, Telnet, Secure Shell (SSH), and XWindows. No obstante, los dispositivos remotos requieren una aplicacin de clientes tal como Cisco VPN Client o el ms moderno cliente AnyConnect que se instale en el dispositivo del usuario extremo. Una VPN SSL de tnel completo requiere ms planificacin para la implementacin de la red debido al hecho de que debe instalarse un cliente en los sistemas remotos. El cliente VPN puede pre-instalarse manualmente o puede descargarse segThe VPN client can be manually pre- installed on a host or it can be downloaded as needed by initially establishing a clientless SSL VPN. La VPN SSL basada en el cliente soporta una variedad ms amplia de aplicaciones, pero no presenta desafos operativos adicionales al descargar y mantener el software del cliente en hosts remotos. Este requisito har difcil la implementacin en sistemas administrados no corporativos puesto que la mayora de los clientes VPN SSL requieren privilegios de administrador para ser instalados. El foco de esta seccin est en la VPN SSL clientless usando un navegador Web y VPN SSL usando el cliente Cisco AnyConnect.

La VPN SSL basada en el cliente requiere un cliente, tal como el cliente VPN Cisco AnyConnect para ser instalada en el host. El cliente AnyConnect puede estar manualmente pre-instalado en el host, o descargarse on-demand a un host a travs de un navegador. Cuando el cliente AnyConnect se pre-instala en el host, la conexin VPN puede iniciarse al arrancar la aplicacin. Una vez que el usuario se autentica, el ASA examina la revisin del cliente y actualiza como sea necesario. Sin un cliente pre-instalado, los usuarios remotos pueden conectarse al ASA usando una conexin de navegador HTTPS, y autenticarse al ASA. Una vez autenticado, el ASA sube el cliente AnyConnect al host. Los sistemas operativos de host soportados incluyen a Microsoft Windows,

Mac OS y Linux. El cliente AnyConnect luego se instala y configura a s mismo y finalmente establece una conexin VPN SSL. Dependiendo de la poltica VPN SSL ASA configurada, cuando la conexin se termina la aplicacin cliente AnyConnect seguir instalada o se desinstalar sola.

Para soportar la demanda IT, el cliente Cisco AnyConnect est disponible sin costo en plataformas seleccionadas tales como dispositivos iPhone, iPad, Android y BlackBerry. Cada aplicacin est calificada para su uso solamente en determinados modelos de smart phone o (en algunos casos) se proporciona como aplicacin nativa que es incluida por el fabricante. Cisco AnyConnect est disponible para las siguientes plataformas: Dispositivos iOS devices (iPhone, iPad y iPod Touch) Android OS (modelos seleccionados) BlackBerry Windows Mobile 6.1 HP webOS Nokia Symbian

Para ms informacin, dirjase a www.cisco.com/go/asm..

ASDM proporciona dos herramientas para configurar inicialmente una VPN SSL clientless en un ASA: Asistente ASDMEsta funcin gua a un administrador a travs de la configuracin de la VPN SSL. Asistente VPN - ste es un asistente ASDM que simplifica la configuracin de la VPN SSL.

Para usar el asistente ASDM para configurar una VPN SSL clientless, elija Configuraciones > VPN de Acceso Remoto > Introduccin y luego Acceso Remoto VPN SSL Clientless (usando Navegador Web). Para usar el asistente VPN, desde la Barra de Menes, haga clic en Asistentes y luego elija Asistentes VPN > Asistente VPN SSL Clientless. Este tema usar el asistente VPN para configurar una VPN SSL clientless de acceso remoto.

La topologa de este ejemplo es la que sigue: Una red interna con un nivel de seguridad 100 Una DMZ con un nivel de seguridad 50 Una red externa con un nivel de seguridad de 0

El acceso al servidor de la DMZ ya se ha proporcionado usando NAT esttica. Supongamos que el host externo requiere acceso a aplicaciones especficas que no necesitan una VPN SSL con tnel completo. Por esta razn, el host remoto usar una conexin de navegador web segura para acceder a recursos de la empresa seleccionados.

10.3.3 Configuracin de clientes SSL VPN Para crear una configuracin de VPN SSL clientless, use el asistente VPN y complete los siguientes pasos: Paso 1. Arranque el asistente VPN SSL Clientless.

Desde la barra de men, seleccione el men Asistentes VPN > Asistente para VPN SSL Clientless. Se muestra la ventana Introduccin del asistente VPN. Haga clic en Siguiente para continuar. Paso 2. Configure la interfaz VPN SSL.

Configure un nombre de perfil de conexin para la conexin e identifique la interfaz a la que se conectarn los usuarios externos. Por defecto, el ASA usar un certificado auto-firmado para enviar al cliente en busca de autenticacin. Opcionalmente, el ASA puede configurarse para usar un certificado de terceros que se adquiere de una autoridad de certificacin bien conocida, como VeriSign, para conectar clientes. En el caso de que se adquiera un certificado, puede seleccionarse en el men desplegable Certificado Digital. La pantalla de la Interfaz VPN SSL proporciona enlaces en la seccin Informacin. Estos enlaces identifican a las URLs que es necesario utilizar para el acceso al servicio de VPN SSL (login) y para el acceso a Cisco ASDM (para acceder a la descarga de software de Cisco ASDM). Haga clic en Siguiente para continuar. Paso 3. Configurar la autenticacin del usuario.

En esta ventana, puede definirse el mtodo de autenticacin. La autenticacin usando un servidor AAA puede configurarse marcando el botn radio. Haga clic en Nuevo para introducir la ubicacin del Servidor AAA. De manera alternativa puede usarse la base de datos local. Para agregar un nuevo usuario, introduzca el nombre de usuario y contrasea y luego haga clic en Agregar. Haga clic en Siguiente para continuar. Paso 4. Cree una poltica de grupo.

En esta ventana, puede crearse y modificarse una poltica de grupo personalizada para la conexin VPN SSL clientless. Si se configura una poltica nueva, el nombre de la poltica no puede contener ningn espacio. Por defecto, la poltica del grupo de usuarios creada heredar sus configuraciones de DfltGrpPolicy. Estas configuraciones pueden modificarse una vez que se haya completado el asistente navegando al submen Configuracin > VPN de Acceso Remoto > Acceso a la VPN SSL Clientless > Polticas de Grupo. Haga clic en Siguiente para continuar. Paso 5. Configure una lista de favoritos para las conexiones clientless nicamente.

Una lista de favoritos es un conjunto de URLs que se configura para ser usado en el portal de la web VPN SSL clientless. Si los favoritos ya estaban en una lista, use el men desplegable Lista de Favoritos, seleccione el favorito de su eleccin y haga clic en Siguiente para continuar con el asistente VPN SSL. No obstante, no hay listas de favoritos configuradas por defecto y por lo tanto deben ser configuradas por el administrador de la red. Para crear un favorito para el servidor HTTP en la lista de favoritos, elija Administrar y se abrir la ventana Administrar y Configurar Objetos de Configuracin en la GUI. Elija Agregar para abrir la ventana Agregar Lista de Favoritos. Finalmente, elija Agregar una vez ms para abrir la ventana Agregar Favorito. Las especificaciones a introducir incluyen a las siguientes: Introduzca un nombre para el favorito en el campo Ttulo del Favorito. El nombre no puede contener espacios.. Introduzca el valor de la URL HTTP. Introduzca la direccin IP de destino o nombre de host a usarse con la entrada del favorito. (Opcional) Introduzca el nombre en el campo Subttulo. El subttulo aparecer bajo la entrada favorito en el portal web. (Opcional) Introduzca el nombre de la imagen en miniatura a ser usada con esta entrada de favorito en el campo Miniatura. Para usar las miniaturas con los favoritos, las imgenes deben subirse primero al ASA.

Cuando estn configuradas las especificaciones, haga clic en OK en la ventana Agregar Favorito para volver a la ventana Editar el Listado de Favoritos. Seleccione el favorito deseado y haga clic en Aceptar para volver a la ventana Configurar Objetos de Personalizacin de la GUI. Seleccione la lista de favoritos que se mostrar en la pgina Web del portal y haga clic Aceptar. Haga clic en Siguiente para continuar. Paso 6. Verifique y asigne la configuracin.

A continuacin se muestra la pgina de resumen. Verifique que la informacin configurada en el asistente VPN SSL sea correcta. Use el botn Atrs para alterar cualquiera de los parmetros de la configuracin. Haga clic en Finalizar para finalizar el asistente y enviar los comandos al ASA. Para verificar la configuracin VPN SSL Clientless, complete cuatro pasos:

Paso 1 Abra la ventana de Acceso a la VPN SSL Clientless ASDM.

En ASDM, abra la ventana Acceso de los Clientes de la Red. Elija Configuraciones > VPN de Acceso Remoto > Acceso a la VPN SSL Clientless > Perfiles de Conexin. Desde esta ventana la configuracin VPN puede verificarse y editarse. Paso 2. Loguese desde el host remoto.

Abra un navegador web que cumpla con las caractersticas e introduzca la URL de logueo para la VPN SSL en el campo direccin. Asegrese de usar HTTP seguro (HTTPS) cuando se requiere que la SSL se conecte al ASA. Debera aparecer la ventana de logueo. Introduzca un nombre de usuario y contrasea previamente configurado y haga clic Logon para continuar. Paso 3. Vea los favoritos del portal web.

Una vez que el usuario se autentica, la pgina web del portal Web SSL ASA se mostrar y aparecer una lista de los diferentes favoritos previamente asignados al perfil. Paso 4. Haga Logout.

El usuario debera hacer log out de la ventana del portal web cuando est listo. No obstante, el portal web llegar a tiempo de inactividad si no hay actividad. En cualquiera de los casos se mostrar una ventana de logout informando a los usuarios que por seguridad adicional, deberan limpiar la cach del navegador, borrar los archivos descargados y cerrar la ventana del navegador. El asistente VPN SSL genera configuraciones para: WebVPN Poltica de grupos Usuario remoto Grupo de Tnel

Nota: la explicacin detallada de los comandos est ms all del alcance de este curso y no se explorar en mayor detalle.

10.3.4 AnyConnect SSL VPN La VPN SSL Cisco AnyConnect para acceso remoto proporcciona a los usuarios remotos un acceso seguro a las redes corporativas. El Cisco ASA debe configurarse para soportar la conexin VPN SSL. ASDM proporciona dos herramientas para configurar inicialmente una VPN SSL en ASA: Asistente ASDM - Esta funcin gua al administrador a travs de la configuracin VPN SSL. Asistente VPN - Un asistente de ASDM es el que simplifica la configuracin de SSL VPN.

- Para usar el asistente ASDM, elija Configuraciones > Remote-Access VPN > Introduccin y luego haga clic en Acceso Remoto VPN SSL o IPsec (IKEv2) (usando el Cliente Cisco AnyConnect)..

Para usar el asistente VPN, desde la Barra de Menes, haga clic en Asistentes y luego elija Asistentes para VPN > Asistente para VPN AnyConnect. Este tpico usar el asistente para VPN para configurar una VPN SSL de acceso remoto.

La topologa de este ejemplo es la que sigue: Una red interna con nivel de seguridad 100 Una DMZ con nivel de seguridad 50 Una red externa con nivel de seguridad 0

El host externo requiere una conexin VPN SSL a la red interna. El acceso externo al servidor DMZ ya se proporcion a travs de NAT esttica. El host externo no tiene el cliente Cisco AnyConnect pre-instalado. Por lo tanto, el usuario remoto tendr que iniciar una conexin VPN SSL usando un navegador web, y despus descargar e instalar el cliente AnyConnect en el host remoto. Una vez instalado, el host puede intercambiar trfico con el ASA usando una conexin VPN SSL de tnel completo.

10.3.5 Configuring AnyConnect SSL VPN Para crear un configuracin VPN SSL de tnel completo, use el asistente para VPN y complete los siguientes pasos: Paso 1. Inicie el Asistente para VPN AnyConnect.

Desde la barra de menes, elija el men Asistentes y elija Asistentes VPN > Asistente para VPN AnyConnect.. Se muestra la ventana Introduccin del asistente VPN. Haga clic en Siguiente para continuar. Paso 2. Configure una identificacin de perfil para la conexin.

Configure un nombre de perfil de conexin para la conexin e identifique la interfaz a la que se conectarn los usuarios externos. Haga clic en Siguiente para continuar. Paso 3. Seleccione el/los protocolo(s) VPN.

Seleccione cmo se proteger al trfico. Las opciones son SSL y/o IPsec. Tambin puede configurarse un certificado de terceros. Desmarque IPsec y luego haga clic en Siguiente para continuar. Paso 4 Agregue las imgenes de clientes AnyConnect.

Para que los sistemas de clientes puedan descargar el Cliente VPN SSL Cisco AnyConnect automticamente desde el ASA, la ubicacin del Cliente VPN SSL debe especificarse en la configuracin. Para configurar la ubicacin del Cliente VPN SSL Cisco AnyConnect, haga clic en Agregar para identificar la ubicacin de la imagen y abrir la ventana Agregar Imagen del Cliente AnyConnect. Ahora haga clic en el botn Navegar por la Flash si la imagen ya est ubicada en el Cisco ASA. Navegue hasta la ubicacin del Cliente VPN SSL Cisco AnyConnect en la memoria flash y haga clic en Aceptar. Note que hay imgenes para hosts Linux, MAC OS y Windows. Nota: si no hay un archivo de imagen en el ASA, haga clic en Subir para subir una copia desde la mquina local. Haga clic en Aceptar nuevamente para aceptar la ubicacin del Cliente VPN SSL Cisco AnyConnect y luego haga clic en Siguiente para continuar. Paso 5. Configure los mtodos de autenticacin.

En esta ventana, puede definirse el mtodo de autenticacin. Puede agregarse la ubicacin del servidor de autenticacin AAA. Haga clic en Nuevo para introducir la ubicacin del Servidor AAA. Si no se identifica a un servidor, se usar entonces la base de datos local. Para agregar un nuevo usuario, introduzca el nombre de usuario y contrasea y luego haga clic en Agregar. Haga clic en Siguiente para continuar. Paso 6. Cree y asigne el pool de direcciones IP del cliente.

La configuracin del pool de direcciones IP se requiere para una conectividad exitosa VPN SSL basada en el cliente. Sin un pool de direcciones IP disponible, la conexin con el aparato de seguridad fallar. Un pool de direcciones IP preconfigurado puede seleccionarse desde el men desplegable Pool de Direcciones. De otro modo, haga clic en Nuevo para crear uno nuevo. Los siguientes elementos deben incluirse en la configuracin del pool de direcciones IP: Nombre - Un nombre a asociar con el pool de direcciones IP. Este nombre no puede contener ningn espacio Direccin IP de Inicio - Direccin IP de Inicio del rango a ser asignado a conexiones VPN SSL del cliente. Direccin IP de Fin - Direccin IP de Fin del rango a ser asignado a conexiones VPN SSL del cliente. Subnet Mask - Seleccione la mscara de subred deseada del pool de direcciones IP desde el men desplegable.

Haga clic en Siguiente para continuar. Paso 7. Specify the network name resolution servers.

Specify the DNS server and WINS server locations (if any) and provide the Domain Name. Click Next to continue. Paso 8. Enable NAT exemption for VPN traffic.

If NAT is configured on the ASA, then a NAT exemption rule must be for the configured IP address pool. Like IPsec, SSL client address pools must be exempt from the NAT process because NAT translation occurs before encryption functions. Click Next to continue. Paso 9. Vea los mtodos de implementacin del cliente AnyConnect.

Se muestra una pgina informativa que explica cmo se implementa el cliente AnyConnect. Existen dos mtodos de implementar AnyConnect: Iniciado desde la web, lo cual significa que se requiere una conexin AnyConnect clientless usando un navegador para acceder inicialmente al ASA e instalar el cliente en el host. Descargue la aplicacin e instlela manualmente. Haga clic en Siguiente para continuar. Paso 10. Verifique y asigne la configuracin.

A continuacin se muestra la pgina de resumen. Verifique que la informacin configurada en el asistente VPN SSL sea correcta. Use el botn Atrs para alterar cualquiera de los parmetros de la configuracin. Haga clic en Finalizar para finalizar el asistente y enviar los comandos al ASA. Varios pasos deben llevarse a cabo para verificar la configuracin VPN. Algunos de estos pasos pueden ser opcionales dependiendo de si el cliente AnyConnect ya est instalado en el host remoto o no. Para verificar la configuracin VPN de AnyConnect en el ASA, complete los siguientes pasos: Paso 1. (Opcional) Abra la Ventana de Acceso (al Cliente) de la Red ASDM.

La configuracin VPN puede alterarse, personalizarse, y verificarse en la pgina de Perfil de Conexiones AnyConnect. Para abrir la ventana de Acceso al Cliente de Red, elija Configuraciones > VPN de Acceso Remoto > Acceso a la Red (Cliente) > Perfiles de Conexin AnyConnect. Paso 2. Loguese desde el host remoto.

Establezca una conexin VPN SSL clientless al ASA. Abra un navegador compatible e introduzca la URL de login para la VPN SSL en el campo direccin. Asegrese de usar HTTP seguro (HTTPS) cuando se requiere que el SSL se conecte al ASA. Introduzca un nombre de usuario y contrasea previamente configurados y haga clic en Logon para continuar. Paso 3. Acepte el certificado de seguridad (si esto se requiere).

El ASA puede solicitar confirmacin de que se trata de un sitio confiable. Si se le pregunta haga clic en S para proceder. Paso 4. Inicie la deteccin de plataformas.

El ASA comenzar un proceso de auto-descarga del software que consiste en una serie de verificaciones de compatibilidad hacia el sistema de destino. El ASA lleva a cabo la deteccin de plataformas interrogando al sistema cliente en un intento por identificar el tipo de cliente que se conecta al aparato de seguridad. Basndose en la plataforma que se identific, puede autodescargarse el paquete de software apropiado. Paso 5. Instale AnyConnect (si se lo requiere).

Si el cliente AnyConnect debe descargarse, entonces se mostrar una advertencia de seguridad en el host remoto. Para continuar, elija Instalar. Paso 6. Detecte ActiveX (si se lo requiere).

Si el cliente AnyConnect debe descargarse, el host requiere que ActiveX est instalado. Para que ActiveX opere apropiadamente con el Cisco ASA, es importante que el aparato de seguridad se agregue como sitio de red confiable. ActiveX se usar para la descarga del cliente en el caso de que un portal web no est en uso. Si se lo piden, haga clic en S. Paso 7. Acepte el certificado de seguridad (si esto se requiere).

El Instalador del Cliente VPN iniciar y puede aparecer otra ventana de alerta de seguridad. De ser as, haga clic en S para continuar. Paso 8. Una vez que el cliente completa la auto-descarga del Cliente VPN SSL Cisco AnyConnect, la sesin web iniciar automticamente el Cliente VPN SSL Cisco AnyConnect. ste intentar loguear al usuario a la red usando las mismas credenciales que se otorgaron al loguearse al portal de la web.

Paso 9. Confirme la conectividad.

Una vez establecida la conexin de tnel completo VPN SSL, aparecer un cono en la bandeja del sistema identificando que el cliente se ha conectado exitosamente a la red VPN SSL. Estadsticas

de conexin e informacin adicionales pueden mostrarse haciendo doble clic en el cono de la bandeja del sistema. Esta interfaz de cliente tambin puede usarse para que el usuario haga logout. Finalmente, verifique la direccin IP en el host remoto usando el comando ipconfig . Deberan haber dos direcciones en la lista: una para la direccin IP local del host y la otra es la direccin IP asignada para el tnel VPN SSL. Haga ping a un host interno para verificar la conectividad. Las sesiones VPN SSL futuras pueden iniciarse a travs del portal de la web o a travs del Cliente VPN SSL Cisco AnyConnect instalado. El asistente VPN SSL AnyConnect genera configuraciones para lo siguiente: NAT WebVPN Poltica de grupos Grupo de tneles

Nota: la explicacin detallada de los comandos est ms all del alcance de este curso y no se explorar en mayor detalle.