Configuración de Dispositivos ASA Versión 1.1

Biblioteca de Seguridad
Configuracin de
Dispositivos ASA
Versin 1.1
Oscar Antonio Gerometta
Configuracin de dispositivos ASA

versin 1.1
Todos los derechos reservados.

Ninguna parte de este libro puede reproducirse o transmitirse bajo
ninguna forma o por ningn medio impreso, electrnico o mecnico,
ni por ningn sistema de almacenamiento y recuperacin de
informacin sin permiso por escrito del autor.
Derechos reservados 2012.
ISBN: ISBN 978-987-27966-5-5
CCNA, CCNP, CCDA, CCDP, CCIP, CCVP, CCSP, CCIE, CCDE, Cisco, Cisco IOS, Aironet, BPX,
Catalyst, Cisco Press, Cisco Unity, EtherChannel, EtherFast, EtherSwitch, Fat Step, GigaDrive,
GigaStack, HomeLink, IP/TV, LightStream, Linksys, MGX, Networking Academy, Network Registrar,
Packet, PIX, ASA, SMARTnet, StackWise, CallManager, CallManager Express, CCA, CNA, ASDM,
Cisco Systems, el logo de Cisco Systems, son marcas registradas o marcas de Cisco Systems Inc. y/o
sus afiliados en los Estados Unidos y otros pases. Toda otra marca mencionada en este documento
es propiedad de sus respectivos dueos.
2 / 128

versin 1.1
Contenidos
Introduccin
1. Implementacin de dispositivos ASA
1.0. Tecnologas de firewalling
1.1. Configuracin de conectividad bsica
12
1.2. Configuracin de funciones de administracin
23
1.3. Configuracin bsica de polticas de control de acceso
41
1.4. Features bsicos de inspeccin stateful
53
1.5. Configuracin de polticas de capa de aplicacin
62
1.6. Configuracin avanzada de polticas de control de acceso
70
1.7. Implementacin de un sistema de alta disponibilidad activo/standby
79
2. Gua de Laboratorio
91
2.0. El laboratorio
91
2.1. Configuracin de la conectividad bsica
94
99
104
2.4. Ajuste bsico de la inspeccin stateful
107
111
114
2.7. Implementacin de failover activo/standby
118
ndice
125
3 / 128

versin 1.1
Deseo expresar un agradecimiento especial a aquellos que con su aporte han

posibilitado la publicacin de esta obra:
Pablo Casalet
Elvis Nina Tinta
Angel Aberbach
Omar Eduardo Garca Bendezu
Con el aporte de todos, todos nos enriquecemos. Muchas gracias.

Oscar Gerometta
4 / 128

versin 1.1
Introduccin
Este Manual ha sido desarrollado con el objeto de servir de soporte a talleres prcticos
que brinden una introduccin a los procesos de configuracin de dispositivos Cisco
ASA.
Recoge de modo sinttico y sencillo los conceptos esenciales para la comprensin de
las tareas esenciales a desarrollar para luego proponer una serie de ejercicios que
abarcan los trabajos primarios y ms frecuentes de configuracin de estos
dispositivos. De ninguna manera pretende ser un desarrollo exhaustivo del tema o
agotar las posibilidades de implementacin de estos dispositivos.
Est compuesto de 2 secciones principales.
Una primera que recoge los conceptos tericos necesarios para la comprensin de
cada feature y los procesos de implementacin. Una segunda que es una Gua de
Laboratorio para ejercitar los conceptos desarrollados.
Espero sinceramente que sea una herramienta til para que adquiera los
conocimientos y el vocabulario bsicos de una tecnologa que es esencial en nuestras
actuales redes de datos.
Pre-requisitos
La adecuada comprensin de los temas desarrollados en el presente manual supone:
Conocimientos y adecuada comprensin de las tecnologas y operacin de las

redes de datos basadas en TCP/IP.
Conocimientos y habilidades de configuracin equivalentes a las que verifica la

certificacin CCNA Security de Cisco Systems.
Si deses hacerme llegar tus comentarios o sugerencias, las recibir con

gusto en el grupo de Facebook:
http://www.facebook.com/groups/57409609201/
Otra va para participar y acercar comentarios o sugerencias, es la Google
Page que he dedicado a estos temas:
https://plus.google.com/u/0/b/116620144384269503814/
Los contenidos de este libro se amplan y mantienen actualizados a travs de
mi blog: http://librosnetworking.blogspot.com
5 / 128

versin 1.1
6 / 128

versin 1.1

Los sistemas de defensa basados en la red son uno de los mtodos ms potentes y
efectivos para proteger la red respecto de potenciales ataques que pueden estar
dirigidos a equipos terminales y dispositivos de infraestructura.
Los sistemas de firewall (cortafuegos en Espaa) son un importante mtodo de
defensa basado en la compartimentalizacin o segmentacin de la red estableciendo
fronteras o puntos de acceso en los que se aplican polticas que procuran reducir los
riesgos que amenazan los servicios disponibles y los procesos de negocios.

En las redes corporativas es frecuente aplicar una lgica de segmentacin o
separacin de diferentes sectores de la red, minimizando la interaccin entre los
diferentes segmentos. La definicin de cada segmento se realiza tomando como
referencia la sensibilidad de los datos que se deben administrar y la confiabilidad de
los equipos terminales.
El firewall es el dispositivo que controla las interacciones que puedan tener lugar ente
segmentos o dominios adyacentes.
La separacin entre dominios puede ser:
Separacin fsica.
Se trata de redes fsicamente diferentes que por lo tanto se conectan al firewall
a travs de diferentes interfaces fsicas.
Desde la perspectiva de seguridad es el mejor mtodo de separacin de
dominios, aunque el ms costoso.
Separacin lgica.
Separa diferentes grupos de usuarios sobre la misma infraestructura fsica.
Entre las implementaciones que permiten este tipo de separacin se cuentan
las VLANs, VSANs, VPN-MPLS, etc.
Estas metodologas introducen riesgos adicionales que estn referidos al
mantenimiento de esta separacin lgica
En este contexto, el firewall es un sistema que fuerza la implementacin de polticas

de control de acceso entre 2 o ms dominios:
El firewall mismo debe ser resistente a posibles ataques.
Todo el trfico entre dominios debe pasar a travs del firewall.
El sistema firewall puede consistir en un nico dispositivo o un conjunto de

dispositivos cada uno con roles especficos.
7 / 128

versin 1.1
1.0.1. Tipos de firewall

Hay diversas tecnologas de filtrado de trfico que se utilizan en los modernos
sistemas de firewall:
Filtrado de paquetes stateless

Es la forma ms bsica de filtrado de trfico.
Usualmente se aplica en dispositivos de capa 3.
Implementa conjuntos de reglas estticas que examinan los encabezados de
cada paquete para permitir o denegar el trfico, sin ninguna relacin con los
flujos de trfico precedentes.
o Generalmente trabajan bien cuando se trata de filtrar aplicaciones
basadas en TCP que no utilizan negociacin dinmica de puertos.
o Est habitualmente presente en el software de dispositivos de nivel
corporativo.
o Generalmente es eficiente y de alta performance.
Tambin presenta varias limitaciones:
o No es una solucin ptima para la operacin de aplicaciones con
negociacin dinmica de sesiones.
o La calidad de los filtros depende de la habilidad del diseador.
o No son eficientes para evitar ataques de reconocimiento.
Filtrado de paquetes stateful

Es un mtodo de filtrado de paquetes que trabaja a nivel de flujo o conexin,
con ocasionales intervenciones a nivel de la aplicacin.
Se mantiene una tabla de estado que hace seguimiento de las sesiones que
atraviesan el firewall y en funcin de ella hace inspeccin de cada paquete que
atraviesa el dispositivo.
o El mecanismo asume que si se permite el inicio de la conexin,
cualquier conexin adicional que requiera esa aplicacin ser permitida.
o Da un mecanismo confiable para filtrar trfico de red entre dominios de
seguridad.
o Es simple de configurar.
o Es transparente para las terminales y de alta performance.
Sin embargo, tambin tiene limitaciones:
o No provee filtrado de capa de aplicacin confiable.
o Tampoco proporciona mecanismos de verificacin de operacin de
protocolos.
o No puede controlar aplicaciones dinmicas si el trfico de la aplicacin
se encuentra encriptado.
Filtrado de paquetes stateful con inspeccin y control de aplicaciones

Se trata de firewalls stateful que incorporan motores de anlisis de trfico que
suman servicios adicionales que reciben la denominacin de Application
Inspection and Control (AIC) o Deep Packet Inspection (DPI):
8 / 128

versin 1.1
Reensamble en memoria de las sesiones de capa de transporte para

realizar inspeccin de protocolos de capa de aplicacin.
Decodificacin de los protocolos de capa de aplicacin para permitir

filtrado de protocolos y contenidos.
Verificacin de los protocolos de capa de aplicacin para eliminar

paquetes que no se conformen con el funcionamiento estndar del
protocolo.
Dependiendo de las inspecciones que se requieran, estos sistemas impactan

en la performance.
Sistemas de prevencin de intrusos en la red

Network Intrusion Prevention Systems (NIPS).
Mecanismo que analiza el trfico de la red con el propsito de bloquear trfico
malicioso conocido. Se asienta en una base de datos de ataques que debe ser
actualizada peridicamente.
Sus caractersticas ms destacables son:
o
Una importante base de datos de patrones de ataque que cubre las

amenazas conocidas.
Son de operacin transparente con poco impacto en la performance.
Sus limitaciones ms importantes son:
Son mecanismos permisivos y usualmente no pueden detectar

amenazas nuevas a menos que hayan sido incluidas en las
actualizaciones.
Requieren ajustes tanto iniciales como peridicos y un administrador

con experiencia.
Gateways de aplicaciones (proxies)

Es un sistema de software diseado para actuar como intermediario y reenviar
requerimientos de capa de aplicacin y respuestas entre los clientes y los
servidores.
En trminos de control de acceso, permite un filtrado y seguimiento muy
granular tanto de las solicitudes como de las respuestas.
o
Brindan opciones de control de acceso confiables para los protocolos

soportados.
Provee normalizacin automtica de los protocolos.
Puede proveer anlisis de contenido en profundidad.
Se pueden implementar polticas tanto restrictivas como permisivas.
Las limitaciones de los proxies son:

o
No hay proxies disponibles para todas las aplicaciones corporativas.

9 / 128

versin 1.1
Pueden afectar el throughput y la latencia y no aplican a aplicaciones

de tiempo real.
En algunos casos se requiere clientes instalados en las terminales.
1.0.2. Sintetizando
Tecnologa
Performance
Complejidad
Cundo implementar
Filtrado stateless
Alta
Alta
Para control de acceso en

capas 3 y 4 con aplicaciones
que utilizan puertos TCP
estticos.
Filtrado stateful
Alta
Baja
Opcin por defecto

recomendada para control de
acceso en capas 3 y 4.
Filtrado stateful
con control e
inspeccin
Media
Media
Opcin por defecto

recomendada para control de
acceso en capas 3 a 7.
Network IPS
Media
Media
Para implementar polticas

permisivas e identificar
ataques.
Proxies
Baja
Media
Cuando no se dispone de la
posibilidad de filtrado stateful y
no hay aplicaciones de tiempo
real, o para anlisis de
contenidos en profundidad.
1.0.3. Cisco Adaptative Security Appliance (ASA)

El Cisco Adaptative Security Appliance es un firewall que realiza filtrado stateful de
paquetes con control e inspeccin de aplicaciones y un conjunto de funcionalidades
adicionales integradas.
10 / 128
Motor de filtrado de paquetes stateful.
Control e inspeccin de aplicaciones.
Control de acceso basado en el usuario.
Auditora de sesiones.
Mdulos de seguridad.
Filtrado de trfico de botnets basado en reputacin.
Filtrado de URL basado en categoras.

versin 1.1
Proxy criptogrfico para Cisco Unified Communications.
Prevencin de DoS.
Correlacin de trfico.
VPNs de acceso remoto.
VPNs site-to-site.
Failover de alta disponibilidad.
Interfaces redundantes.
Virtualizacin.
Enrutamiento IP.
NAT.
Transparent bridging.
DHCP, DDNS y PPoE integrados.
Soporte IPv6.
Soporte de multicast.
Multiplicidad de protocolos de management y control.
11 / 128

versin 1.1

1.1.1 Overview del proceso de booteo
Como en otros dispositivos Cisco, el proceso de inicializacin de un appliance Cisco
ASA puede ser observado desde una terminal conectada al puerto consola del firewall.
Algunas de sus caractersticas son:
Al inicio indica la plataforma de hardware que se est operando.
A continuacin espera por unos segundo para dar oportunidad de cortar

manualmente el proceso utilizando la tecla Break o Esc, e ingresar al modo
monitor de ROM rommon #0>
Si el tiempo pasa o se oprime la barra espaciadora, el dispositivo lee la primer

imagen de firmware vlida que encuentra en su memoria flash.
Iniciado el proceso, se pueden visualizar las licencias activadas en esa

plataforma.
Terminado el booteo del equipo hay 2 opciones:
Si el equipo conserva su configuracin de fbrica, presentar el prompt

ciscoasa>
Si se ha borrado la configuracin, se iniciar el dilogo de setup.
1.1.2. Booteo manual desde el modo monitor de ROM

Cuando por cualquier razn el ASA no puede leer la imagen de su firmware de la
memoria flash, el dispositivo arranca en modo monitor de ROM. En ese caso se puede
cargar manualmente una imagen de firmware almacenada en un servidor TFTP.
El procedimiento a seguir es el siguiente:
Ingrese a la configuracin de la interfaz que conecta al servidor TFTP.
Asigne a la interfaz una direccin IP.

Si es necesario puede definir un default Gateway.
Indique la direccin IP del servidor TFTP.
Ingrese el nombre del archivo de la imagen de firmware.
Inicie la descarga de la imagen.
En un ejemplo:
rommon
rommon
rommon
rommon
rommon
rommon
#0>interface GigabitEthernet0/2
#1>address 172.16.0.10
#2>gateway 172.16.0.1
#3>server 192.168.100.1
#4>file asa802-k8.bin
#5>tftpdnld
Una vez concluida la descarga el dispositivo cargar el sistema operativo.

Tenga presente que la imagen descargada en este procedimiento no ha sido copiada
a la memoria flash del dispositivo por lo que deber luego proceder a copiar una
12 / 128

versin 1.1
imagen vlida en la memoria flash para evitar repetir el procedimiento la prxima vez
que se reinicie el appliance.
1.1.3. La interfaz CLI del Cisco ASA

La interfaz de lnea de comando de Cisco ASA proporciona 5 modos de operacin:
Modo monitor de ROM.
Modo EXEC usuario.
Modo EXEC privilegiado.
Modo de configuracin global.
Modos de configuracin especficos.

ciscoasa>_
ciscoasa>enable
Modo EXEC usuario.
ciscoasa#_
Modo EXEC privilegiado.
ciscoasa#configure terminal
ciscoasa(config)#_
Modo de configuracin global.
ciscoasa(config)#interface
Gi0/1
ciscoasa(config-if)#_
Modo de configuracin de interfaz
La interfaz CLI de Cisco ASA es semejante a la de Cisco IOS, esta semejanza se

manifiesta tambin en las facilidades de ayuda disponibles:
Autocompleta los comandos.

Los comandos se pueden ingresar en modo abreviado o completar
automticamente utilizando la tecla Tab
Mantiene un historial de comandos de los ltimos 20 comandos ingresados.
Ayuda sensitiva al contexto que se invoca utilizando el comando ?
De estas 3 formas de ayuda, slo la ayuda sensitiva al contexto est disponible en el

modo monitor de ROM.
1.1.4. Sistema de archivos del ASA

En el sistema de archivos de la memoria flash del ASA pueden almacenarse diferentes
archivos:
Imgenes de software.
Archivo de configuracin.
Imagen de Cisco ASDM.
Imagen de software de respaldo.
Archivos de configuracin de respaldo.
Archivos de configuracin de firewall virtuales.
Datos adicionales.
13 / 128

versin 1.1
Para visualizar el contenido de la memoria flash, utilice los siguientes comandos:

ciscoasa#show flash:
ciscoasa#show disk0:
Muestra el contenido de la memoria flash interna del dispositivo.
ciscoasa#show disk1:
Muestra el contenido de una memoria flash externa
(CompactFlash).
Como ocurre en dispositivos Cisco IOS (routers y switches) el appliance utiliza 2
archivos de configuracin:
El archivo de configuracin activa.

Los cambios de configuracin que se realizan en el dispositivo se realizan
sobre este archivo de configuracin y no modifican automticamente el archivo
de configuracin de respaldo.
Este archivo se mantiene en la memoria RAM.
El archivo de configuracin de respaldo.

Este archivo se almacena en la memoria flash, y solamente es modificado por
orden explcita del operador.
Para eliminar el archivo de configuracin:

ciscoasa#clear configure all
Elimina la configuracin activa y reinicia el equipo con una
configuracin vaca.
ciscoasa#write erase
Borra el archivo de configuracin de respaldo.
ciscoasa(config)#configure factory-default
Restaura el dispositivo con los valores de configuracin de
fbrica.
1.1.5.Administracin del ASA utilizando ASDM

ASDM es una herramienta de configuracin diseada para colaborar en la
configuracin y monitoreo de dispositivos ASA sin necesidad de tener conocimientos
amplios de la CLI.
14 / 128
Puede trabajar sobre una variedad de plataformas. Est implementado en

Java.
Opera con SSL para asegurar la comunicacin.
Una nica instancia de ASDM puede administrar mltiples ASA

simultneamente y permite acceder al mismo ASDM desde mltiples
terminales diferentes (hasta 5 por contexto y 32 por appliance).
Soporta la mayora de los comando de la CLI. Los comandos no soportados

por ASDM se conservan en la configuracin activa. Estos comandos no
soportados y presentes en la configuracin se pueden revisar utilizando la
opcin Show Commands Ignored en el men de herramientas.
Si la configuracin activa incluye comandos alias, ASDM opera en mono

monitor-only.

versin 1.1
Compatibilidad de versiones de ASDM con ASA OS
Versin de ASDM
Versin de Software
5.0
7.0
5.2
7.2
6.0
8.0
6.1
8.0
6.1
8.1
6.2
8.0
6.2
8.1
6.2
8.2
6.3
8.2
6.3
8.3
6.4
8.2
6.4
8.4
6.5
8.5
6.6
8.6
Sistemas operativos soportados por ASDM:
Microsoft Windows.
Apple MAC OS X
Linux.
Navegadores de Internet soportados:
Internet Explorer.
Firefox.
Safari.
15 / 128

versin 1.1
Sistemas operativos y navegadores soportados:
Sistema Operativo
Internet Explorer
Firefox
Versin de
Java SE
Microsoft Windows
Win7 / Win Vista / Win
2008 Server / Win XP
Versin 6.0 o
posterior
Versin 1.5 o
posterior
6.0
Macintosh OS X
10.7 / 10.6 / 10.5 / 10.4
----
Versin 1.5 o
posterior
6.0
Linux Red Hat

Enterprise 5
----
Versin 1.5 o
posterior
6.0
Preparacin del ASA para utilizar ASDM

Los appliances son despachados de fbrica con una configuracin que tiene por
objetivo facilitar una rpida implementacin. Esta configuracin incluye una interfaz de
management con la cual es posible conectarse al dispositivo utilizando ASDM.
Tiene habilitado el servicio HTTPS (aunque nominalmente se muestra como

HTTP, los appliances ASA slo soportan HTTPS).
Se debe conectar la terminal a la interfaz Management 0/0.
La direccin IP por defecto es 192.168.1.1
De no contar con la configuracin de fbrica, se debe ingresar por CLI para configurar
algunos parmetros mnimos:
Configurar fecha y hora.
Definir nombre del dispositivo y nombre de dominio.
Definir una clave de acceso al modo privilegiado.
Definir como inside la interfaz a la que se conectar la terminal de

management y asignarle una direccin IP y mscara de subred.
Habilitar el servicio HTTPS.

Si bien el comando especifica el servicio HTTP, los appliances ASA no
soportan HTTP sino solamente HTTPS.
Especificar la direccin IP de la terminal desde la que se ejecutar ASDM.
Opcionalmente especificar la imagen de ASDM que desea utilizar.
En un ejemplo:
ciscoasa#clock set 13:45:00 april 19 2012
ciscoasa(config)#hostname ASA
ASA(config)#domain-name cisco.com
ASA(config)#enable password cisco
16 / 128

versin 1.1
ASA(config)#interface GigabitEthernet 0/1

ASA(config-if)#nameif inside
ASA(config-if)#ip address 172.16.1.1 255.255.255.0
ASA(config-if)#no shutdown
ASA(config-if)#exit
ASA(config)#http server enable
ASA(config)#http 172.16.1.11 255.255.255.255 inside
ASA(config)#setup
Si hay ms de una imagen de ASDM guardada en la memoria flash, ser necesario
indicar cul de esas imgenes se desea utilizar:
ciscoasa(config)#asdm image disk0:/asdm-625.bin
Acceso a ASDM
Una vez realizada la configuracin inicial, se puede iniciar una sesin de ASDM de 2
maneras:
Utilizando el launcher de ASDM que puede ser instalado en el escritorio de la

terminal de trabajo.
Este launcher puede utilizarse para acceder a diferentes appliances va SSL.
Slo est disponibles para plataformas Microsoft.
Desde un navegador de Internet, direccionndolo a la direccin habilitada para

management del ASA.
Desde el navegador se iniciar un applet de Java.
Una vez iniciado ASDM e ingresadas las credenciales de autenticacin

correspondientes se accede a la home page que permite manejar mltiples paneles de
control que reflejan diferentes aspectos de la operacin del dispositivo.
Funciones de navegacin bsica

La interfaz de ASDM incluye los siguientes componentes:
Barra de Men.
Da acceso rpido a archivos, herramientas, wizards, etc.
Barra de herramientas.
Permite navegar la interfaz e incluye algunos botones:
o
Save.
Guarda la configuracin activa en la configuracin de respaldo.
Refresh.
Vuelve a cargar el archivo de configuracin activa.
Back.
Nos regresa al panel de ASDM que se visit antes.
Forward.
Nos regresa al panel de ASDM que visitamos despus.
17 / 128

versin 1.1
Lista de dispositivos.
Muestra la lista de dispositivos que han sido agregados y se pueden acceder
desde la instancia de ASDM.
Este panel puede convertirse en flotante.
Navegacin.
(No est visible en la captura de pantalla de arriba)
Permite navegar entre los paneles de monitoreo y configuracin del dispositivo
que se ha seleccionado en la lista de dispositivos. Este panel tambin puede
convertirse en flotante.
Barra de estado.
Los wizards de ASDM

Permiten simplificar algunas tareas de configuracin del appliance:
18 / 128
Setup wizard.
Facilita la configuracin inicial de un appliance.
IPsec VPN wizard.

Permite configurar VPNs IPsec site-to-site o de acceso remoto.
SSL VPN wizard.

Para configurar conexiones de acceso remoto utilizando SSL.
High Availability and Scalability wizard.

Facilita la configuracin de failover activo/standby o activo/activo, y de un
clster VPN con balanceo de trfico.
Packet Capture wizard.

Para configurar y correr una captura de paquetes.

versin 1.1
1.1.6. Notas sobre la configuracin de interfaces y rutas estticas

Lineamientos generales:
Utilice interfaces fsicas siempre que estas sean suficientes para el propsito.
Utilice asignacin dinmica de direcciones IP (DHCP) solamente sobre las

interfaces outside, cuando el ISP utiliza ese mtodo de asignacin de
direcciones.
Utilice asignacin de direcciones estticas para todas las dems interfaces.
Utilice enrutamiento esttico a menos que el ASA se conecte a una red muy
grande en la que en las rutas estticas signifiquen una limitacin.
Niveles de seguridad de las interfaces

Para poder habilitar una interfaz en el ASA es necesario asignarle un nombre y un
nivel de seguridad.
El nivel de seguridad indica si una interfaz es ms o menos confiable (ms o

menos protegida) respecto de otra.
Se considera ms confiable la interfaz con nivel de seguridad ms alto.
El nivel de seguridad es un valor entre 0 y 100.
Las interfaces outside regularmente tienen un nivel de seguridad igual a 0.
Las interfaces inside regularmente tienen un nivel de seguridad igual a 100.
Estos niveles de seguridad aplican a las polticas de seguridad por defecto que
aplica el ASA:
NOTA: Se considera trfico saliente el que proviene de una interfaz de mayor

seguridad y se enva a una interfaz de menor seguridad (p.e. de inside 100 a
outside 0).
Regla1: Todo el trfico saliente est permitido.

Adicionalmente todo trfico saliente es inspeccionado y se permite
automticamente su retorno.
Regla 2: Todo el trfico originado en una interfaz con bajo nivel de seguridad y
que tiene como destino una interfaz con mayor nivel de seguridad, est
bloqueado a menos que una lista de acceso lo permita.
Regla 3: Si 2 interfaces tienen asignado el mismo nivel de seguridad, el trfico

ente ellas no est permitido por defecto.
Para permitir trfico entre interfaces de igual nivel de seguridad es preciso
habilitar la comunicacin entre interfaces de igual nivel (inter-interface).
Regla 4: No est permitido por defecto que un determinado trfico ingrese y

vuelva a salir por la misma interfaz.
Para permitir que el trfico entre y salga por la misma interfaz es necesario
habilitar la comunicacin dentro de una misma interfaz (intra-interface).
Regla 5: Cuando se desea acceder al ASA con propsitos de administracin,

se debe ingresar a la interfaz ms cercana.
19 / 128

versin 1.1
Un ejemplo de configuracin:
ASA#configure terminal
ASA(config-if)#nameif DMZ1
ASA(config-if)#security-level 50
ASA(config-if)#interface GigabitEthernet 0/2
ASA(config-if)#exit
ASA(config)#same-security-traffic permit intra-interface
ASA(config)#same-security-traffic permit inter-interface
Configuracin de interfaces VLAN

Cuando es necesario contar con mayor cantidad de interfaces que los puertos fsicos
con los que se cuenta en el appliance se pueden utilizar interfaces VLAN.
Para utilizar interfaces VLAN se requiere:
Conectar el puerto del appliance a un switch con soporte de 802.1Q.
Configurar VLANs en el switch y definir un puerto troncal que transporte esas

VLANs hasta el appliance.
Configurar interfaces lgicas (subinterfaces) en el appliance y asociar cada

interfaz lgica a una VLAN.
Slo se puede asignar una VLAN a cada subinterfaz.
Cuando un puerto tiene asociadas una o ms subinterfaces, automticamente

se configura como troncal 802.1Q.
Ejemplo de configuracin:
ASA(config-if)#no shutdown
ASA(config-if)#no nameif
ASA(config-if)#interface GigabitEthernet0/1.10
ASA(config-if)#vlan 10
ASA(config-if)#interface GigabitEthernet0/1.20
ASA(config-if)#vlan 20
20 / 128

versin 1.1
Configuracin de enrutamiento esttico

El Cisco ASA no es un router pero tiene capacidades de enrutamiento.
Las redes directamente conectadas son agregadas automticamente en la

tabla de enrutamiento.
Para que el appliance pueda acceder a redes remotas se debe utilizar

enrutamiento esttico o un protocolo de enrutamiento.
Para configurar una ruta esttica se debe especificar la interfaz de salida, la

red de destino y la direccin IP del prximo salto.
Ejemplo de configuracin:
ASA(config)#route inside 10.0.3.0 255.255.255.0 10.0.0.2
ASA(config)#route outside 0.0.0.0 0.0.0.0 192.168.1.10
1.1.7. Notas para la configuracin del servicio DHCP

Un ASA puede actuar como servidor DHCP para dispositivos terminales:
Se puede configurar un servicio DHCP para cada interfaz del appliance.
Cada interfaz del appliance puede tener su propio pool de direcciones.
El appliance tambin puede actuar como DHCP relay. Sin embargo, una interfaz que
tiene definido un servicio DHCP no puede ser configurada como cliente DHCP o
DHCP relay al mismo tiempo.
Para configurar el servicio DHCP utilizando ASDM:
Seleccione Configuration en la barra de herramientas.
Seleccione Device Management del panel de navegacin.
Extienda el men DHCP y en l seleccione DHCP Server.
En el panel seleccione la interfaz en la que desea habilitar el servicio.
Seleccione el botn Edit y se abrir la venta de opciones del DHCP Server.

En esta ventana seleccione el checkbox Enable DHCP server.
A continuacin y en la misma ventana, defina el pool de direcciones que debe

utilizar el servicio.
Opcionalmente puede configurar parmetros adicionales: servidor DNS,

servidor WINS, nombre de dominio, etc.
Terminado el procedimiento seleccione el botn OK y luego Apply para que la

configuracin se haga efectiva en el dispositivo.
Ejemplo de configuracin utilizando CLI:

ASA(config)#dhcpd
ASA(config)#dhcpd
ASA(config)#dhcpd
ASA(config)#dhcpd
ASA(config)#dhcpd
enable inside
address 192.168.0.16 192.168.0.31 inside
dns 192.168.0.2
lease 7200
domain edubooks.com.ar
21 / 128

versin 1.1
1.1.8. Packet Tracer

Packet Tracer es una herramienta que permite hacer el seguimiento de un paquete a
travs del appliance. Brinda informacin detallada respecto de cmo el paquete es
procesado lo que simplifica la resolucin de problemas independientemente de la
complejidad del diseo.
De esta manera es posible contar con informacin detallada respecto de la causa del
descarte de paquetes de manera rpida y sencilla. Es particularmente til cuando en la
implementacin se incluyen ACLs o NAT.
La herramienta puede utilizarse tanto por CLI como en ASDM.

Para utilizar Packet Tracer desde ASDM:
En la barra de men seleccione Tools.
En el men de herramientas seleccione Packet Tracer. Se abrir la venta de

operacin de la herramienta.
Seleccione la interfaz origen del paquete y especifique el protocolo (TCP, UDP,

ICMP, IP), IP origen y destino del paquete, puerto de origen y destino.
Si a continuacin selecciona el checkbox Show Animation obtendr una

representacin grfica del seguimiento.
A continuacin seleccin Start.
La herramienta mostrar la informacin referida al seguimiento del paquete y lo

representar grficamente.
22 / 128

versin 1.1

1.2.1. Configuracin bsica del appliance
Se puede utilizar ASDM para configurar o modificar los parmetros bsicos del
appliance:
Una vez en la interfaz de ASDM, seleccione en la barra de herramientas la

opcin Configuration.
En el panel de navegacin seleccione Device Setup.
A continuacin, en el panel de navegacin seleccione Device

Name/Password.
Puede utilizar la ventana de dilogo que se abre para ingresar un nombre para
el appliance. El nombre puede tener hasta 64 caracteres de longitud.
Opcionalmente puede incorporarse un nombre de dominio en la misma

ventana de dilogo.
Marque el checkbox Change the Privileged Mode Password.
A continuacin se habilitan las casillas para el ingreso de la clave de acceso a

modo enable. Para realizar un cambio deber ingresar la clave actual, la nueva
clave y confirmarla.
Concluidos los cambios seleccione el botn Apply.
Como en otros dispositivos Cisco, es posible configurar en el appliance un mapa de

nombres a direcciones IP. Para esto:
Seleccione en la barra de herramientas la opcin Configuration.
En el panel de navegacin seleccione Firewall.
Expanda el men Objects.
Seleccione en el men Objects la opcin Network Objects/Groups.

Aparecer el panel de configuracin de objetos y grupos.
En el panel, seleccione el botn Add y luego Network Object.
En la ventana que se abre ingrese el nombre del dispositivo, la direccin IP, y

como mscara de subred 255.255.255.255. Es posible agregar tambin una
descripcin.
Finalmente selecciones OK y luego Apply.
Tambin es posible configurar un cliente DNS en el appliance para que utilice los
servicios de servidores DNS externos especficos. Para esto:
En el panel de navegacin seleccione Device Management.
Extienda el men DNS.
Seleccione la opcin DNS client. A continuacin se abrir el panel de

configuracin del cliente DNS.
23 / 128

versin 1.1
En la seccin DNS Lookup se debe identificar la o las interfaces a travs de

las cuales se puede alcanzar el servidor DNS.
Una vez seleccionadas las interfaces, habilite la opcin Configure one DNS
server group e ingrese la direccin IP de los servidores DNS y el nombre de
dominio.
Se pueden ingresar hasta 6 servidores DNS.
Finalmente seleccione Apply.
1.2.2. Configuracin de fecha y hora

Es sumamente importante ajustar da y hora para contar con un registro horario
preciso luego en los registros de eventos.
Esta tarea se puede hacer de 2 formas:
Configurando manualmente el reloj interno del appliance.

Este reloj mantiene su configuracin cuando se reinicia o apaga el appliance.
Habilitando la sincronizacin con uno o ms servidores NTP.
Para configurar el reloj interno:
Expanda el men System Time y seleccione Clock. Se abre el panel del

reloj.
En el panel del reloj puede seleccionar o modificar la zona horaria (el reloj se
ajustar automticamente cuando corresponda al horario de verano); la fecha y
la hora (en formato de 24 hs.).
Terminada la tarea seleccione Apply.
Cuando se utiliza un servicio NTP, la informacin derivada del servidor NTP

sobrescribe la configuracin manual que acabamos de detallar. El sistema permite
utilizar mltiples servidores, y se utiliza el de menor estrato.
Para configurar la sincronizacin utilizando NTP:
24 / 128
Seleccione en la barra de herramientas la opcin Configuracin.
Expanda el men System Time y seleccione NTP. Se abre el panel

correspondiente.
Si desea asegurar la sincronizacin de NTP con autenticacin, marque el

checkbox Enable NTP Authentication. De este modo utilizar autenticacin
con MD5 para todos los servidores.
Seleccione el botn Add para acceder a la ventana de configuracin de

servidores NTP.
En la ventana de configuracin del servidor ingrese:

o
Direccin IP del servidor NTP.
Opcionalmente puede configurar la interfaz a travs de la cual desea

enviar la solicitud de sincronizacin.

versin 1.1
Si no se define una interfaz el appliance la enviar utilizando la

informacin de la tabla de enrutamiento.
o
Si se activ la autenticacin, se debe ingresar el ID de la llave de

autenticacin y la llave que puede tener hasta 32 caracteres.
Concluida la tarea seleccione Apply.
Toda respuesta NTP que no corresponda a una solicitud realizada por el appliance
ser descartada.
1.2.3. Administracin del registro de eventos y sesiones

Los mensajes de actividad del sistema del appliance pueden ser enviados a diferentes
destinos segn sea requerido:
A la consola del appliance.

Se visualizan en la sesin de CLI abierta.
A la interfaz grfica de ASDM.

ASDM incluye un visualizador de eventos que puede ser til para tareas de
resolucin de problemas o monitoreo de actividad en tiempo real.
A sesiones Telnet o SSH.

De esta forma se puede recibir tambin informacin de debugging en tiempo
real.
A un buffer de memoria interno.

Por defecto no se almacena, por lo que no persiste luego de un reinicio del
appliance. Sin embargo, puede guardarse en un FTP externo o en la memoria
flash del equipo.
A un servidor de Syslog.
Se pueden definir hasta 16 servidores, utilizando tanto TCP como UDP.
25 / 128

versin 1.1
A una consola SNMP para recibir traps.
Utilizando un sistema de correo electrnico.

Es posible enviar los mensajes de eventos utilizando SNMP a cuentas de
correo.
A un colector remoto de Netflow.
Estructura de los mensajes de logging

Los mensajes de logging son mensajes de texto contenidos en un formato
estandarizado.
La estructura del mensaje es la siguiente:
Fecha y hora (por defecto est deshabilitada).
Identificador del dispositivo que puede incluir nombre de la interfaz, direccin

IP, hostname, nombre del contexto, 16 caracteres pre-definidos.
Identificador del mensaje.
Texto del mensaje.
Un ejemplo:
%ASA-1-101003: (Primary) Failover cable not connected (this
unit).
Niveles de severidad de los mensajes
Cada mensaje est cualificado por un nivel de severidad que indica su importancia:
0 Emergencies.
1 Alerts.
2 Critical.
3 Errors.
4 Warnings.
5 Notifications.
6 Informational.
7 Debugging.
Par un mayor detalle respecto de la estructura y significado de cada uno de los
mensajes, se puede consultar el documento Cisco ASA 5500 Series System Log
Messages en el sitio web de Cisco Systems.
1.2.4. Configuracin del registro de eventos y sesiones

Para configurar el registro de eventos y sesiones es preciso, en primer lugar, habilitar
globalmente la funcin en el appliance:
26 / 128

versin 1.1
Expanda el men Logging.
Seleccione Event Lists. A continuacin se abrir el panel de configuracin del

mismo nombre.
Seleccione el checkbox Enable Logging que por defecto est deshabilitado.
En el mismo panel se define el tamao del buffer de memoria interna destinado

a los mensajes de logging. El espacio asignado por defecto es de 4 MB.
Si se desea almacenar el buffer de memoria en un servidor FTP, seleccione el

checkbox FTP Server y luego utilice el botn Configure FTP Setting para
ingresar la informacin correspondiente al servidor FTP a utilizar.
Si se desea almacenar el buffer de memoria en la memoria flash, seleccione el

checkbox Flash y luego utilice el botn Configure Flash Usage para definir
los parmetros a utilizar.
La informacin se almacenar en el directorio syslog del dispositivo.
La ltima porcin del panel est referida al buffer de memoria que utiliza
ASDM. Permite especificar el nmero de mensajes que se desea conservar en
ese buffer. El valor por defecto es 100 mensajes.
Terminada la configuracin seleccione Apply para aplicar los cambios a la

configuracin del appliance.
Tambin es posible ajustar los mensajes para suprimir algunos o cambiar su nivel de
severidad. Para esto:
Expanda el men Logging y seleccione Syslog Setup.
En el panel de configuracin que se despliega es posible todos los mensajes

con su nivel de seguridad y estado.
Seleccione el mensaje que desea modificar desde la tabla, y seleccione el

botn Edit.
Para cambiar un mensaje, seleccinelo en la lista:
Si selecciona el checkbox Disable Syslog IDs suprimir estos

mensajes.
El desplegable Logging Level permite cambiar el nivel de severidad

asignado por defecto al mensaje.
Concluida la tarea seleccione el botn Apply.
Configuracin del destino de los mensajes de eventos.

El appliance puede enviar los mensajes a una o varias posiciones. Una de ellas es el
visualizador de eventos del mismo ASDM, que es particularmente til para resolver
problemas vinculados al software o a la configuracin, o para monitorear actividad en
tiempo real.
Para utilizar este visualizador se debe especificar el mismo ASDM como el destino de
los mensajes y especificar si se desea utilizar algn filtro de eventos. El appliance
enviar esta informacin hasta la terminal utilizando la sesin HTTPS de ASDM.
27 / 128

versin 1.1
Para habilitar el envo de mensajes hacia el visualizador de ASDM siga este

procedimiento:
Expanda el men Logging y en l seleccione logging Filters. Se abrir el

panel de filtros.
En el panel de filtros seleccione ASDM en la lista de destinos.
Seleccione el botn Edit. Se abrir el editor de filtros para este destino en

particular.
En el editor de filtros elija uno de los disponibles:

o
Filtro por severidad.
Utilizar una lista de eventos.
Deshabilitar todos los mensajes
Seleccione OK.
A continuacin seleccione el botn Apply.
Para acceder al visualizador de eventos:
Seleccione en la barra de herramientas la opcin Monitoring.
Seleccione a continuacin la opcin Logging y Real-time Log Viewer.
El visualizador de eventos se abrir en una ventana dedicada.
Para agregar un servidor de syslog al appliance:
28 / 128
Expanda el men Logging y en l seleccione Syslog Servers. Se abrir el

panel de servidores de syslog.
Seleccione el botn Add para agregar un servidor en la lista de servidores. Se

abrir una ventana que permite ingresar lo informacin correspondiente al
servidor.
o
Del men desplegable Interface seleccione la interfaz que el appliance

utilizar para comunicarse con el servidor.
Agregue la direccin IP del servidor.
Seleccione el protocolo de capa de transporte (TCP o UDP) que se

utilizar para la comunicacin con el servidor.
Se puede especificar el puerto sobre el que opera el servidor. El valor

por defecto para UDP es 514, y para TCP es 1470.
Seleccione OK.

versin 1.1
Concluida la operacin el servidor aparecer en la lista de servidores.
Adicionalmente se puede especificar el nmero de mensajes que se pueden

mantener en memoria si el servidor est saturado.
Terminada la tarea selecciones Apply.
Para habilitar el envo de mensajes al servidor de syslog siga el mismo procedimiento

detallado para el visualizador de ASDM, seleccionando en este caso la opcin Syslog
Servers.
Envo de mensajes de eventos a travs de correo electrnico
Muchas veces puede ser til que determinados eventos sean reportados tambin a
travs del correo electrnico. Para enviar mensajes por correo electrnico es
necesario configurar una direccin de correo a utilizar por ASDM como origen y las
direcciones de los destinos deseados.
Para configurar la funcin de envo de correos electrnicos:
Expanda el men Logging y en l seleccione E-Mail Setup. Se abrir el

panel de configuracin de correo electrnico.
En el campo Source E-Mail Address ingrese la direccin de correo electrnico

que el appliance debe utilizar para realizar los envos.
A continuacin utilice al botn Add para ingresar las direcciones de correo

electrnico de los receptores.
o
Para cada receptor puede especificar el nivel de severidad de los

mensajes que se desean enviar.
Seleccione OK.
Seleccione Apply para que se hagan efectivos los cambios.
A continuacin deber definir el servidor SMTP que utilizar el appliance para los
envos:
Expanda el men Logging y en l seleccione SMTP. Se abrir el panel

correspondiente.
En el panel ingrese la direccin IP del servidor SMTP primario y secundario.
Luego selecciones Apply.
Concluida esta tarea puede habilitar el envo de las notificaciones por correo
electrnico siguiendo el mismo procedimiento detallado para el visualizador de ASDM
y el servidor de syslog, seleccionando en este caso la opcin E-Mail.
29 / 128

versin 1.1
Algunas guas para la implementacin

Establezca una poltica de retencin de la informacin que defina cul es el
tiempo adecuado para guardar los mensajes.
Es preferible que el almacenamiento de informacin sea excesivo antes que

escaso.
Ajuste los registros para evitar informacin duplicada.
Utilice mltiples destinos para la informacin de modo de asegurar la

informacin y poder contar con control dual si es necesario.
Asegure el trnsito de la informacin a travs de la red.
Monitoree la operacin de cada uno de los subsistemas involucrados para

detectar posible anomalas o problemas.
Sincronice fecha y hora del appliance con una fuente de sincronizacin

confiable.
Utilice NetFlow para lograr un registro ms escalable.
Proteja el almacenamiento de sus registros.
1.2.5. Sistema de archivos del appliance

La memoria flash del appliance est formateada con un file system semejante a otros
ya conocidos, y soporta las funciones habituales de cualquier sistema de archivos. Se
puede interactuar con este file system tanto desde ASDM como utilizando la CLI.
Para acceder al sistema de archivos utilizando ASDM:
Seleccione en el men de ASDM Tools.
Seleccione File Management, se abrir la ventana de administracin de

archivos mostrando el contenido de la memoria flash.
Tenga presente que la memoria flash interna del appliance es identificada como
disk0.
Comandos del sistema de archivos
ASA#dir flash:
ASA#more [archivo]
ASA#copy [origen] [destino]
ASA#delete [archivo]
ASA#pwd
ASA#cd [directorio]
ASA#mkdir [directorio]
ASA#rmdir [directorio]
30 / 128

versin 1.1
1.2.6. Configuracin del acceso para administracin

Canales para la administracin remota
Los appliances ofrecen varias posibilidades de acceso remoto a las funciones de
management:
Acceso por CLI.

o
Telnet.
SSH (Secure SHell).
Acceso por GUI.

o
HTTPS.
Utilizando SNMP.
Configuracin del acceso por Telnet

El appliance permite hasta 5 sesiones de Telnet concurrente. Su uso es
desaconsejado ya que no se trata de un protocolo seguro, a menos que se utilice
sobre una red confiable.
Para habilitar el acceso por Telnet:
Expanda el men Management Access y en l seleccione

ASDM/HTTPS/Telnet/SSH. Se abrir el panel correspondiente.
Seleccione Add para agregar una regla de acceso. Se abre una ventana de
configuracin de acceso al dispositivo.
En la ventana abierta seleccione Telnet y especifique direccin IP de origen,

mscara de subred e interfaz entrante de las sesiones permitidas.
Seleccione OK.
Puede definir el tiempo mximo (en minutos) que una sesin puede
permanecer inactiva antes de que sea dada de baja en el casillero Idle
Timeout. Por defecto las sesiones son mantenidas por 5 minutos.
Seleccione Apply para concluir la tarea.
El appliance requiere que si la interfaz de acceso para el trfico Telnet es la outside, el

trfico sea protegido con IPsec.
Configuracin del acceso por SSH
Tambin se permiten hasta 5 sesiones concurrentes de SSH en el appliance. La
implementacin de SSH en el appliance soporta nicamente funciones de servidor
SSH.
31 / 128

versin 1.1
Para habilitar el acceso por SSH:

En la ventana abierta seleccione SSH y especifique direccin IP de origen,

Seleccione OK.
Utilizando el men desplegable Allowed SSH version especifique la versin

de SSH permitida.
Puede definir el tiempo mximo (en minutos) que una sesin puede
permanecer inactiva antes de que sea dada de baja en el casillero Idle
Timeout. Por defecto las sesiones son mantenidas por 5 minutos.
Para operar con SSH es necesario tambin generar el par de llaves (pblica y privada)
RSA necesarias. Esto debe hacerse en la CLI:
ASA(config)#crypto key generate rsa modulus [longitud]
Configuracin del acceso por HTTPS
Este acceso es utilizado nicamente por ASDM.
Para habilitar el acceso por HTTPS:

En la ventana abierta seleccione HTTPS y especifique direccin IP de origen,

Seleccione OK.
Marque el checkbox denominado Enable HTTP Server.
El appliance, por defecto, genera cada vez que se reinicia un certificado X.509 para
utilizar en los procesos de autenticacin. Como el certificado se genera nuevamente
32 / 128

versin 1.1
en cada reinicio, esto provoca que al intentar acceder el navegador genera un

mensaje de alerta ya que el certificado no puede ser verificado.
Para solucionar esta situacin, se puede crear un certificado permanente que luego
sea almacenado en el cliente. Para generar este certificado permanente:
Asegrese que el hostname y nombre del dominio estn correctamente

configurados en el appliance.
Si an no lo hizo, genere el par de llaves RSA utilizando la CLI.
Seleccione en el men Device Setup la opcin Identity Certificates. Se

abrir el panel correspondiente.
Seleccione Add para crear un nuevo punto confiable PKI.
En la ventana de configuracin que se abre, asigne al punto que est creando

un nombre.
Vaya a la seccin Add a new identity certificate y seleccione un par de llaves

RSA o cree un nuevo par.
En el campo Certificate subject ingrese el nombre del appliance utilizando el

formato CN=hostname.dominio.
Marque el checkbox Generate self-signed certificate.
Seleccione Add certifcate para genera el certificado permanente.
A continuacin seleccione Apply.
A continuacin se debe adjuntar el certificado a la interfaz adecuada del appliance,

sobre la cual se espera recibir las solicitudes HTTPS.
Para esto:
En el panel de navegacin seleccione Remote Access.
Extienda la opcin Advanced, y seleccione SSL Setting en el men. Se

abre el panel correspondiente.
En el panel, seleccione la interfaz sobre la cual se desea que el appliance

acepte las conexiones HTTPS.
Seleccione Edit.
En el desplegable Primary Enrolled Certificate seleccione el certificado ya

generado.
Seleccione OK.

33 / 128

versin 1.1
Para completar el proceso, al acceder nuevamente al appliance utilizando el

navegador de Internet deber instalar el certificado en el browser. Este procedimiento
difiere de acuerdo al navegador utilizado.
Configuracin de banners
Es posible configurar mltiples mensajes para que sean visualizados antes o despus
de acceder a las interfaces de management:
Exec Banner.
Se muestra despus de loguearse en la CLI.
Login Banner.
Se muestra antes del logueo en la CLI.
MOTD Banner.
Se utiliza de modo conjunto con el login banner para mostrar mensajes
adicionales.
Cisco ASDM Banner.

Se muestra luego del logueo en ASDM.
Para definir el mensaje mostrado en cada uno de estos banners:
Expanda el men Management Access. Seleccione la opcin CLI.
Seleccione la opcin Banner del men.
Ingrese el texto deseado en la ventana correspondiente.
Seleccione Apply.
Acceso utilizando SNMP

Los appliances permiten utilizar SNMP versiones 1, 2c y 3 simultneamente. Se
soportan solamente accesos read-only; NO est permitido el acceso de tipo read
and write. Tambin es posible configurar traps.
Para permitir el acceso de clientes SNMP al appliance:
34 / 128
Expanda el men Management Access y seleccione la opcin SNMP. Se

En la parte superior se puede definir una community string por defecto. Ser
utilizada en caso de no definir un community string especfico para un cliente.
Adicionalmente puede ingresar un contacto administrativo e informacin sobre

la ubicacin del appliance.

versin 1.1
A continuacin, puede definir el nmero de puerto a utilizar en el appliance. El

puerto por defecto es 161.
En el panel SNMP Management Stations seleccione el botn Add.
Se abrir la ventana de informacin de la estacin de management. En la

ventana ingrese la informacin correspondiente:
o
Community.
Direccin IP.
Versin de SNMP.
Puerto para traps.
Autorizacin.
Seleccione OK.
Seleccione Apply.
Si se va a utilizar SNMP v3 se debe agregar la informacin correspondiente en el

panel inferior titulado SNMPv3 User, utilizando la informacin correspondiente a la
versin del protocolo.
1.2.7. AAA en el acceso de management

El appliance utiliza un subsistema AAA para suministrar seguridad basada en el
usuario para varias situaciones:
En la interfaz de administracin.
En las sesiones que atraviesan el firewall.
Para el acceso remoto de VPNs.
Con este propsito, el appliance puede utilizar mltiples bases de datos diferentes:
Una base de datos local.
Servidores externos: TACACS+, RADIUS, LDAP, Kerberos, etc.
Creacin de una base de datos local

Se aconseja crear al menos una cuenta local de administrador que pueda ser utilizada
en caso de necesidad si por algn motivo el servidor de autenticacin no es accesible.
Para crear una base de datos de usuarios localmente en el appliance, siga estos
pasos:
Expanda el men Users/AAA y seleccione la opcin User Accounts. Se

abrir el panel de cuentas de usuarios.
35 / 128

versin 1.1
Seleccione Add para agregar una cuenta de usuario, y aparecer la ventana

de creacin de cuentas de usuario.
Ingrese en los campos correspondientes el nombre de usuario y la clave

definidos.
Opcionalmente asgnele un nivel de privilegio utilizando el men desplegable.

El nivel de privilegios es un mecanismo simple para diferenciar distintos niveles
de permisos en el acceso y define los comandos y funciones disponibles para
ese usuario.
Usuarios nivel 0 no tienen acceso a las funciones de management.
Usuarios nivel 1 tienen acceso a CLI.
Usuarios nivel 2 tienen acceso a CLI y ASDM.
Seleccione OK.
Seleccione Apply para aplicar los cambios.
Configuracin de AAA con autenticacin local

Se puede aplicar AAA para el acceso por consola y a travs de los canales de
management remoto utilizando Telnet, SSH o HTTPS.
Para habilitar la autenticacin se debe:
Expanda el men Users/AAA y seleccione la opcin AAA Access. Se abrir

el panel correspondiente.
Asegrese que est seleccionada la solapa Authentication.
Seleccione el checkbox para el canal de management que desea proteger con

AAA, y luego utilice el men desplegable para seleccionar la base de datos a
utilizar. En este caso es LOCAL.
Seleccione Apply.
Configuracin de AAA utilizando un servidor externo

Para utilizar un servidor de autenticacin externo, en primer lugar es necesario
especificar el grupo de servidores a emplear. Para esto es preciso definir el nombre
del grupo y el protocolo a utilizar:
36 / 128
Expanda el men Users/AAA y seleccione la opcin AAA Server Group. Se

En la seccin superior AAA Server Groups seleccione el botn Add. Se

abrir la ventana de creacin del grupo de servidores.
Asigne al grupo un nombre nico que lo identifique.

versin 1.1
En el men desplegable Protocol seleccione el protocolo de autenticacin a

utilizar (TACACS+, RADIUS, etc.).
Seleccione OK.
A continuacin se debe agregar el servidor de autenticacin al grupo de servidores

que acabamos de crear:
Seleccione el grupo que acaba de crear en la ventana AAA Server Groups
En la ventana Servers in the Selected Group seleccione Add. Se abrir la

ventana de asociacin de servidores.
Indique la interfaz a travs de la cual se alcanza el servidor en el desplegable

Interface Name.
En los campos correspondientes indique la direccin IP o el nombre del

servidor, y la llave que protege la sesin con el servidor.
Seleccin OK.
Seleccione Apply.
Finalmente, debe habilitarse el procedimiento de autenticacin en el canal de

management correspondiente. Para esto se sigue el mismo procedimiento revisado al
implementar la autenticacin con la base de datos local.
Al elegir utilizar un servidor remoto para realizar la autenticacin, el appliance da la
opcin de habilitar el uso de la base de datos local cuando no hay acceso al servidor
remoto. Para esto se debe marcar el checkbox Use LOCAL When Server Group
Fails.
Configuracin de autorizacin.
Para poder definir autorizacin es necesario que previamente se haya configurado
autenticacin. Como en el caso anterior, es posible asignar autorizacin tanto
utilizando una base local como un servidor remoto.
Para configurar autorizacin localmente:

Seleccione la solapa Authorization.
Marque el checkbox Enable.
Opcin 1: Utilizar los roles de usuarios definidos por ASDM.

Seleccione el botn Set ASDM Defined User Roles.
Se trata de privilegios de usuarios predefinidos. Hay 3 usuarios predefinidos:
Admin: Privilegios de nivel 15 con acceso a todos los comandos CLI.
Read Only: Privilegios nivel 5 con acceso read-only.
37 / 128

versin 1.1
Monitor Only: Privilegios nivel 3 con acceso exclusivamente a la seccin de

monitoreo.
Seleccione Yes para utilizar esta modalidad.
Opcin 2: Seleccionar individualmente comandos o grupos de comandos.

Seleccione el botn Configure Command Privileges.
Permite definir niveles de privilegios con comandos principales individualmente
sin utilizar roles predefinidos. Se debe definir en qu nivel se encuentra
definido cada comando. El nivel es un valor de 0 a 15.
Concluida la asignacin de privilegios seleccione OK.
Para concluir seleccin OK.
Finalmente seleccin Apply.
Tambin se puede definir la autorizacin de comandos con un servidor TACACS+.

Slo este protocolo est soportado para autorizacin remota de comandos y funciones
de management.
Para definir el servidor que se utilizar para la autorizacin:

Seleccione la solapa Authorization.
Marque el checkbox Enable.
En el men desplegable Server Group seleccione el grupo de servidores

TACACS+.
Se aconseja que adicionalmente se seleccione el checkbox Use LOCAL When

Server Group Fails para posibilitar utilizar la autorizacin local cuando el
servidor externo no se encuentra accesible.
Seleccione Apply.
Configuracin de accounting
El appliance soporta el almacenamiento de un registro de los eventos de autenticacin
en un servidor remoto utilizando RADIUS o TACACS+.
Adicionalmente TACACS+ permite generar un registro de los comandos individuales
utilizados y puede activarse para cada comando separadamente.
Para configurar esta funcin:
38 / 128


versin 1.1
Seleccione la solapa Accounting.
Selecciones el checkbox Enable para habilitar la operacin, y en el men

desplegable seleccione el grupo de servidores que utilizar para este
propsito.
En la seccin inferior seleccione el tipo de conexiones para el cual desea

utilizar el accounting.
Concluida la tarea seleccione Apply.
1.2.8. Recuperacin de claves en Cisco ASA

Como los dems dispositivos Cisco, la implementacin de appliances Cisco ASA
incluye un procedimiento para acceder a los dispositivos en caso de prdido u olvido
de las credenciales de acceso. El procedimiento de recuperacin de claves del
appliance slo puede ejecutarse a travs de una conexin de consola.
Como en otros dispositivos, el procedimiento permite poner en funcionamiento el
appliance sin cargar la configuracin.
Para ejecutar el procedimiento:
Conctese al puerto consola del appliance.
Apague y vuelva a encender el dispositivo.
Una vez iniciado el dispositivo oprima la tecla Escape cuando se le avise,

para ingresar al modo ROMMON.
Modifique el valor del registro de configuracin.

rommon #1>confreg 0x41
Reinicie el dispositivo:
rommon #2>boot
El dispositivo se reinicia y carga la configuracin por defecto.
Ingrese al modo EXEC privilegiado:

ciscoasa>enable
Cuando se requiera una clave deje el espacio en blanco y oprima Enter.
Copie la configuracin de respaldo a la memoria RAM:

ciscoasa#copy startup-config running-config
Ingrese al modo de configuracin.
Cambie la clave.
Vuelva el valor del registro de configuracin a su valor por defecto.

ASA(config)#config-register 0x1
Guarde los cambios realizados en la configuracin.
Reinicie el appliance.
39 / 128

versin 1.1
Si por poltica de seguridad se requiere bloquear la posibilidad de este procedimiento

para asegurar de esta forma que el archivo de configuracin no ser accedido, se
puede hacer esto por lnea de comando:
ASA(config)#no service password-recovery
Este comando previene la posibilidad de ingresar al modo ROMMON lo que impide
ejecutar el procedimiento de recuperacin de claves:
40 / 128
Si durante el inicio se intenta acceder al modo ROMMON, el dispositivo solo

ofrecer la posibilidad de borrar todo el file system de la flash.
Si el usuario elige no borrar la flash, el appliance se reinicia.
Si fuera necesario recuperar el sistema, habr entonces que descargar una

nueva imagen de sistema operativo y una copia de respaldo del archivo de
configuracin que hubiera sido almacenada en otro sistema.

versin 1.1

1.3.0. Introduccin
Cisco ASA incluye varios mecanismos de control de acceso en diferentes capas.
Todas las capas
Capas 5 a 7
Capas 3 y 4
Control de acceso avanzado:
Filtrado de trfico de botnets.
SYN cookies.
Deteccin de amenazas.
Control de acceso de capa de aplicacin:
Policy maps de inspeccin.
Filtrado de URLs.
Control de acceso bsico:
Reglas de acceso por interfaz.
Listas de control de acceso.
uRPF
La tabla de conexiones y la tabla local host

Un Cisco ASA es fundamentalmente un dispositivo de filtrado de paquetes stateful.
Para esto conforma tablas de estado que operan como memorias de corto plazo.
Estas tablas de estado describen el entorno actual del dispositivo y el trfico que lo ha
atravesado, lo que le permite predecir el trfico futuro.
Tabla de conexiones.
Realiza el seguimiento de todas las conexiones que son permitidas a travs del
dispositivo. Las propiedades de todo paquete perteneciente a una sesin
existente y que llega a una interfaz del appliance debe coincidir con lo que se
espera; si no coincide con lo esperado se descarta.
Las propiedades que se analizan dependen del protocolo de transporte
utilizado:
o
TCP.
Direcciones, puertos, estado, nmero de secuencia, tiempo de
inactividad.
UDP.
Direcciones, puertos, tiempo de inactividad.
Ping ICMP.
Direcciones, tipo y cdigo de ICMP, tiempo de inactividad.
41 / 128

versin 1.1
IPsec ESP.
Direcciones, SPI, tiempo de inactividad.
Comando para examinar la tabla de conexiones: show conn

Comando para borrar una o todas las entradas en la tabla de conexiones:
clear conn
Tabla local host.

Realiza el seguimiento de todos los hosts (direcciones IP) que tienen
conexiones establecidas a travs del appliance. Proporciona estadsticas de
cada host, cantidad de conexione que mantiene, etc.
Comando para examinar la tabla local host: show local-host
Comando para borrar un objeto o grupo de objetos especficos de la tabla de
local host: clear local-host
Al borrar entradas en la tabla de local host, simultneamente se eliminan las
conexiones asociadas con ellas.
Una vez que se ha habilitado el servicio de logging en el appliance, se generar un

registro nivel 7 (debugging) de evento cuando se cree o borre un host, y un registro
nivel 6 (informational) cada vez que se cree o borre una conexin.
1.3.1. Configuracin y verificacin de reglas de acceso por interfaces

Las reglas de acceso o ACLs son el mecanismo de control de acceso ms
habitualmente utilizado.
Permiten o deniegan la posibilidad de establecer sesiones a travs del

appliance.
Inspecciona el trfico entrante o saliente a travs de la interfaz.
Aplican criterios de filtrado basados en los encabezados de capa 3 y 4.
No se aplican a trfico que termina en el appliance mismo. Para filtrar este tipo
de trfico se aplican las reglas de acceso de management.
Todo el trfico iniciado en el appliance no est sujeto a inspeccin.
Cuando un paquete llega a una interfaz del appliance:
42 / 128
Verifica si el paquete pertenece a una conexin ya existente.
Si no pertenece a una conexin establecida, compara el paquete con las reglas

de acceso de la interfaz.
Si las reglas permiten el paquete, se inicia la conexin en la tabla de

conexiones.
Si las reglas no lo permiten, el paquete y la sesin correspondiente son

denegados.

versin 1.1
Obedecen las mismas reglas generales que las ACLs sobre Cisco IOS:
Son una lista ordenada de reglas que permiten o prohben trfico, aplicadas a
una interfaz especfica.
Son analizadas secuencialmente desde el inicio.
Se ejecuta la accin que indica la primera regla que coincide con el paquete.
Cuando una regla coincide con la conexin, las reglas siguientes no se

evalan.
Hay una prohibicin implcita de todo trfico que no sea explcitamente

permitido.
NOTA: Las reglas de acceso de Cisco ASA utilizan mscara de subred, no

mscara de wildcard.
Sin embargo, como Cisco ASA es un dispositivo de filtrado de paquetes stateful,

algunas reglas de aplicacin se simplifican:
Cuando se permite el primer paquete de una sesin, si la aplicacin se maneja

de forma stateful, no es necesario generar ningn permiso adicional.
Todo flujo de trfico en sentido inverso (respuesta) est permitido

automticamente.
Todo flujo o conexin adicional que se deba establecer tambin est permitida
automticamente.
Si el protocolo no puede ser procesado de modo stateful, el appliance no

puede hacer el seguimiento de la sesin bidireccional y por lo tanto es
necesario permitir manualmente el trfico de respuesta.
Si no hay una regla de acceso configurada:

o
Todo trfico saliente (de una interfaz de menor nivel a otra de mayor
nivel de seguridad) es automticamente permitido.
Todo trfico entrante (de una interfaz de mayor nivel a otra de menor
nivel de seguridad) est prohibido.
Si la interfaz de ingreso y egreso tienen el mismo nivel de seguridad,

por defecto todo el trfico est prohibido. Esto puede modificarse al
configurar las interfaces.
Todo trfico que ingresa y egresa por la misma interfaz, tambin est
prohibido por defecto. Tambin puede modificarse al configurar las
interfaces.
Configuracin de reglas de acceso en una interfaz

Para trabajar con las reglas de acceso, ASDM cuenta con una herramienta especfica
denominada Access Rules table.
43 / 128

versin 1.1
La herramienta brinda una visin consolidada de todas las reglas de acceso que estn
configuradas y aplicadas en las interfaces del appliance. Por defecto la tabla muestra
todas las reglas de acceso IPv4 e IPv6 en todas las interfaces. Se puede utilizar el
selector Acess Rule Type para ver solamente las que corresponden a ambos
protocolos por separado.
Para acceder a la tabla de reglas de acceso:
Seleccione Access Rules en el men. Se abrir el panel correspondiente.
Por defecto muestra todas las reglas implcitas que aplica el appliance.
Para crear la primera regla en un nuevo conjunto de reglas asociado a una interfaz:
Acceda a la tabla de reglas de acceso.
Seleccione con el mouse la regla implcita asociada a la interfaz en la que va a

trabajar, y presione el botn derecho del mouse.
Seleccione la opcin Add Access Rule. Se abrir la ventana correspondiente.
Verifique la interfaz a la cual la regla va a ser agregada.
Seleccione la accin que aplicar la regla (Permit o Deny) seleccionando el

botn radial correspondiente.
En el campo Source ingrese la direccin IP de origen del trfico a filtrar.

Para especificar una red o subred utilice la direccin de red seguida por el
prefijo correspondiente (/26, por ejemplo).
Tambin puede utilizar los trminos all o any cuando corresponda.
En el campo Destination ingrese la direccin IP de destino.

Para especificar una red o subred utilice la direccin de red seguida por el
prefijo correspondiente.
Tambin puede utilizar los trminos all o any cuando corresponda.
En el campo Service indique el servicio o protocolo a considerar. Puede

utilizar el botn para seleccionar de una lista predefinida.
A continuacin puede agregarse un comentario descriptivo utilizando el campo

Description.
Por defecto est habilitada la funcin de logging (registra cada coincidencia

con esta regla). Puede ser deshabilitada.
Seleccionando More Options es posible hacer algunos ajustes adicionales:
44 / 128
Verifique que el checkbox Enable Rule est seleccionado.
Utilice los radiales de Traffic Detection para establecer si se aplica en

direccin in o out.
Para completar seleccione el botn OK.

versin 1.1
A continuacin Apply.
Para agregar una nueva regla al conjunto de reglas que ya est asociado a una
interfaz:
Acceda a la tabla de reglas de acceso.
Seleccione con el mouse la regla implcita asociada a la interfaz en la que va a

trabajar, y presione el botn derecho del mouse.
Seleccione la opcin Insert para agregar la regla en una posicin especfica.

Se abrir la ventana correspondiente.
Si selecciona Insert, agregar una regla antes de aquella que est
seleccionada.
Si selecciona Insert After, agregar la nueva regla a continuacin de la
seleccionada.
A continuacin debe definir los parmetros de la regla como en el caso

anterior.
Como resultado de la tarea debe ver las nuevas reglas de acceso en la tabla. Las
reglas de denegacin implcita que estaban por defecto an se mantienen al final de
cada conjunto de reglas.
Configuracin de reglas de acceso basadas en el horario
Tambin es posible definir reglas de acceso que se aplican en das, horarios y fechas
especficos.
Para esto es necesario cumplir 2 pasos: definir un rango de tiempo y luego aplicarlo a
una regla de acceso.
Para definir un rango de tiempo:
Extienda la opcin Objects y luego Time Ranges en el men. Se abrir el

panel correspondiente.
Seleccione Add para crear un nuevo rango de tiempo.
En la ventana que se abre, comience por asignar un nombre al objeto que se

est creando.
Opcionalmente puede definir un rango de fechas dentro de las cuales se

aplicar la regla especificando Start Time y End Time.
Si no se desea establecer un lmite de este tiempo seleccione Start Now y
Never End.
En la ventana Recurring Time Ranges se pueden especificar uno o ms

rangos de tiempo.
Para crear un rango de tiempo seleccione el botn Add.
45 / 128

versin 1.1
En la ventana Add Recurring Time Ranges se puede definir das y horarios en

los que se desea que la regla sea operativa.
Concluida la tarea, seleccione OK.
Seleccione tambin OK en la ventana Add Time Range.
Finalmente seleccione Apply para aplicar los cambios.
Para aplicar el rango de tiempo creado a una regla de acceso:
Extienda la opcin Access Rules del men Firewall. Se abrir el panel

correspondiente.
Seleccione una regla de uno de los conjuntos de reglas de los ya existentes o

cree una nueva si es necesario.
Si va a modificar una regla ya existente, seleccinela y presione el botn

derecho del mouse.
En el men que se despliega seleccione Edit. Se abrir la ventana de edicin

de la regla seleccionada.
Seleccione More Options.
Verifique que el checkbox de Enable Rule se encuentre seleccionado.
En el campo Time Range seleccione el botn y elija el objeto rango de

tiempo que ha definido previamente.
Selecciones OK.
Seleccione Apply.
A partir de este punto la regla de acceso ser operativa nicamente dentro del rango
de tiempo que se ha definido.
Como resultado, cuando se verifica la tabla de reglas de acceso, en la columna Time
aparece ahora el nombre del rango de tiempo asociado a la regla de acceso.
La tabla de reglas de acceso
La tabla de reglas de acceso contiene algunas funciones que permiten trabajar de
modo ms rpido y eficiente:
46 / 128
Botones para mover, copiar, cortar y pegar reglas.
Botn Diagram.
Muestra en la parte inferior de la tabla en un diagrama el modo en que la regla
impacta en el flujo de datos.
Botn Export.
Exporta la regla a un archivo en formato CSV o HTML.

versin 1.1
Botn Show Log.

Muestra el registro de syslog generado por una regla de acceso seleccionada.
Columna Hits.
Muestra la cantidad de paquetes que han coincidido con la regla. Esta columna
puede ser clareada a 0 utilizando el botn Clear Hits.
1.3.2. Configuracin y verificacin de grupos de objetos

La generacin de grupos de objetos es una herramienta lgica que permite generar
conjuntos arbitrarios de hosts, recursos o servicios a los que ha de aplicarse la misma
poltica.
De esta manera es posible optimizar el diseo de las reglas de acceso, reduciendo su
cantidad sin sacrificar la granularidad de las mismas.
Creacin de objetos de red
Un objeto de red es un nodo, conjunto de nodos, subred o red que es identificado con
un nombre de modo tal que sea ms amigable su identificacin en el sistema.
Para crear un objeto de red:

correspondiente.
47 / 128

versin 1.1
En el men View seleccione Addresses. Se abrir una nueva ventana de

trabajo titulada Addresses que muestra todos los objetos definidos en el
appliance.
En la ventana Addresses seleccione el botn Add y luego Network Object.

Se abrir la ventana para la creacin de un nuevo objeto.
En el campo Name ingrese el nombre del objeto (no admite el uso de

espacios).
A continuacin ingrese direccin IP o direccin de red del objeto, y mscara de

subred.
En el campo Description puede agregar una descripcin del objeto.
Una vez concluido seleccione OK.
Finalmente seleccione Apply para hacer efectivos los cambios.
Creacin de grupos de objetos de red

Los grupos de objetos de red permiten agrupar objetos de red previamente creados.
Esto permite aplicar una nica regla de acceso a mltiples objetos diferentes.
Para configurar un grupo de objetos:
48 / 128

correspondiente.
En el men View seleccione Addresses. Se abrir una nueva ventana de

trabajo titulada Addresses que muestra todos los objetos definidos en el
appliance.
En la ventana Addresses seleccione el botn Add y luego Network Object

Group. Se abrir la ventana para la creacin de un nuevo grupo de objetos.
En el campo Group Name ingrese un nombre para el grupo.

Puede tener hasta 64 caracteres de longitud. El nombre debe ser nico y no
puede coincidir con el nombre de un grupo de servicios.
La ventana de creacin de nuevos grupos de objetos contiene 2 ventanas: la

de objetos existentes y la de objetos miembros del grupo. Seleccione en la
ventana Existing Network Objects los objetos que desea agregar al grupo,
Seleccione el botn Add. Ver que los objetos pasan ahora a estar en la
ventana Members in Groups.
Cuando haya completado el grupo, seleccione el botn OK.

versin 1.1
Note que si se desea agregar al grupo un objeto que no ha sido creado, se puede
crear en el momento desde esta misma ventana activando la opcin Create new
Network Object Member.
Creacin de un grupo de servicios
Este tipo de grupos se utiliza para agrupar servicios que han de ser sometidos a una
poltica comn. Si bien Cisco ASA permite generar 6 tipos diferentes de grupos de
servicios (Grupos de servicios, Servicios TCP, Servicios UDP, Servicios TCP-UDP,
ICMP y Protocol), este procedimiento describe la creacin de grupos de servicios IP
que es la forma ms flexible que est reemplazando las otras 5.
Para crear un grupo de servicios IP:

correspondiente.
En el men View seleccione Services. Se abrir una nueva ventana de

trabajo titulada Services que muestra todos los servicios y grupos de servicios
definidos en el appliance.
En la ventana Services seleccione el botn Add y luego Service Group. Se

abrir la ventana para la creacin de un nuevo grupo de servicios.
En el campo Group Name ingrese un nombre para el grupo.

Puede tener hasta 64 caracteres de longitud. El nombre debe ser nico y no
puede coincidir con el nombre de un grupo de objetos de red.
La ventana de creacin de nuevos grupos de objetos contiene 2 ventanas: la

de servicios existentes y la de servicios miembros del grupo. Seleccione en la
ventana Existing Services/Service Groups los objetos que desea agregar al
grupo,
Seleccione el botn Add. Ver que los objetos pasan ahora a estar en la
ventana Members in Groups.
Cuando haya completado el grupo, seleccione el botn OK.
Note que si se desea agregar al grupo un servicio que no est en la lista de los
servicios existentes, se puede crear en el momento desde esta misma ventana
activando la opcin Create new member.
Utilizacin de grupos de objetos en las reglas de acceso
Los grupos de objetos permiten simplificar la definicin de reglas de acceso,
agrupando mltiples orgenes, destinos o servicios en una nica regla comn.
49 / 128

versin 1.1
Para esto, al momento de definir la regla de acceso cuando se encuentra en la

ventana de configuracin de la regla:
A la derecha del campo Source seleccione el botn
A la derecha del campo Destination seleccione el botn
A la derecha del campo Service seleccione el botn
En cada caso el botn abre una ventana que permite navegar los grupos creados
con ese propsito en el appliance.
Tenga presente que un grupo no puede ser borrado mientras sea parte de una regla
activa.
Verificacin de los grupos
Los objetos y grupos creados en el appliance pueden ser revisados y editados
utilizando las ventanas Addresses y Services que se utilizaron para su creacin.
Cualquier modificacin realizada en estas ventanas actualiza automticamente las
polticas que incluyen estos objetos.
1.3.3. Unicast Reverse Path Forwarding

Los ataques que utilizan tcnicas de spoofing pueden ser detectados de diferentes
formas, una de las maneras posibles en los dispositivos que operan en la capa 3 del
modelo OSI es la utilizacin de la tabla de enrutamiento para determinar qu redes
son realmente accesibles a travs de qu interfaces especficamente.
Unicast Reverse Path Forwarding (uRPF) es la utilizacin de la informacin contenida
en la tabla de enrutamiento para validar la direccin IP de origen de los paquetes
entrantes. Cisco ASA soporta el uso de uRPF estricto.
Cuando se ha activado uRPF:
El paquete entrante es examinado en la interfaz de entrada. Si el paquete

pertenece a una conexin existente, su direccin de origen es considerada
confiable y es pasado al engine de inspeccin.
La tabla de conexiones siempre hace seguimiento de las 2 interfaces que la
conexin est utilizando y deniega paquetes que arriban por una interfaz
diferente.
Si el paquete no pertenece a una conexin existente, el appliance utiliza uRPF

para analizar la direccin IP de origen. Se realiza un lookup de la tabla de
enrutamiento para determinar la interfaz sobre la cual la red de origen del
paquete es alcanzable.
Si la interfaz identificada en la tabla de enrutamiento no es la misma que la

interfaz a travs de la cul ingres el paquete, el paquete es descartado y se
registra una violacin.
Si en cambio la interfaz identificada coincide con la de ingreso del paquete, se

lo pasa al proceso de inspeccin normal.
Este feature est deshabilitado por defecto en todas las interfaces.
50 / 128

versin 1.1
Configuracin de uRPF
Extienda la opcin Advanced del men Firewall. Seleccione Anti-Spoofing

en el men. Se mostrar el panel correspondiente.
Seleccione la o las interfaces en las que desea activar uRPF.
Seleccione el botn Enable.
Par verificar la operacin de uRPF utilice el comando ip verify reverse-path

interface
1.3.4. ASDM Packet Tracer

Packet Tracer es una herramienta que permite detectar rpidamente posibles causas
de problemas de conectividad a travs del appliance.
Puede ser iniciado desde el men Tools de ASDM.
Abre una ventana emergente, en la que se pueden ingresar los parmetros de la
conexin: interfaz de ingreso, IP destino, IP origen, puerto destino y puerto origen.
Para realizar un diagnstico se debe seleccionar Start.
Como resultado la herramienta muestra en modo grfico y analtico el tratamiento que
el appliance dar al paquete en las diferentes instancias que debe atravesar hasta
salir del appliance.
La herramienta tambin puede utilizarse desde la lnea de comando:
ASA#packet tracer input [int] [protocolo] [ip origen] [puerto
origen] [ip destino] [puerto destino]
Otra herramienta de diagnstico importante es el comando capture.
Este comando permite recolectar los paquetes que son descartados por las reglas de
control de acceso aplicadas a las interfaces
ASA#capture [nombre] type asp-drop acl-drop
51 / 128

versin 1.1
52 / 128

versin 1.1

Los appliances Cisco ASA aplican mecanismos de filtrado stateful estrictos cuando el
trfico de la red atraviesa sus interfaces.
Las polticas estrictas que se aplican por defecto en el motor de filtrado stateful
pueden interferir con algunos diseos de redes inusuales o la operacin de algunas
aplicaciones. En funcin de esto Cisco ASA incluye algunas herramientas que
permiten ajustar el comportamiento del motor de anlisis stateful creando excepciones
que permiten al trfico legtimo atravesar el dispositivo.
Las 3 tareas ms importantes en este punto son:
Ajuste de las rutinas de inspeccin de capa 3 y 4 del modelo OSI.
Ajuste de las funciones de normalizacin de TCP y verificacin de protocolos

del appliance.
Configuracin para soportar aplicaciones con protocolos dinmicos a travs del

appliance.
1.4.1. Ajuste de la inspeccin de capa 3 y 4

Cisco ASA es un dispositivo de filtrado stateful de paquetes que monitorea las
aplicaciones para verificar la legitimidad y correccin del trfico que arriba a sus
interfaces.
Monitoreo de sesiones en la tabla de conexiones
Por defecto se hace seguimiento de todas las sesiones TCP y UDP utilizando la tabla
de conexiones. Opcionalmente es posible tambin hacer seguimiento del ping de
ICMP y del trfico ESP.
Cundo se retira una sesin de la tabla de conexiones del appliance?
Cuando la sesin TCP se cierra utilizando las secuencias FIN o RST.
Cuando la sesin UDP o ICMP ping alcanza su valor de idle timeout (tiempo
mximo de inactividad).
En el caso de DNS, cuando se recibe la respuesta a la solicitud original.
Cuando anticipa situaciones extraordinarias:

o
Cuando se alcanza el timeout establecido para conexiones

embrionarias. Por defecto 30 segundos.
Cuando se alcanza el timeout para conexiones half-closed. Por defecto

10 minutos.
Cuando se alcanza el timeout de conexiones idle. Por defecto 1 hora.
Estos temporizadores pueden ser ajustados por configuracin para adaptarlos a

situaciones particulares de las aplicaciones que corren en la red.
53 / 128

versin 1.1
Adicionalmente DCD (Dead Connection Detection) es un feature que permite detectar

conexiones no-operativas y cancelarlas. Para esto, una vez que la conexin queda
inactiva el appliance comienza a enviar zondas a los dispositivos terminales para
determinar la validez de la conexin. Si uno de los terminales falla en responder la
conexin se dar por terminada, si ambos terminales responden se considera una
conexin vlida
Manejo de TTL
An cuando el appliance opera en capa 3, por defecto no reduce el valor del campo
TTL de los paquetes IP que recibe en sus interfaces. Como consecuencia los
appliances no son visibles en una respuesta a un traceroute.
Si por algn motivo es necesario que el dispositivo sea visualizado en una ruta (por
ejemplo, por razones de management), es posible configurar el appliance para que
descuente el valor del campo TTL como cualquier otro dispositivo capa 3. Esto es
posible para todo el trfico o solamente para flujos especficos.
Manejo del trfico IP fragmentado
Cuando trfico IP que ha sido sometido al proceso de fragmentacin atraviesa el
appliance el dispositivo lo reensambla virtualmente lo que permite que:
El appliance realiza un buffering local de los fragmentos hasta verificar que

recibe todas las porciones.
Esto previene la posibilidad de que fragmentos que no son los iniciales sean
reenviados hacia la red protegida para realizar ataques de reconocimiento o
denegacin de servicios.
Cuando se recibe un fragmento se verifica que constituye un paquete IP

completo analizando los valores de fragmentacin, offset y otros.
Si las rutinas de inspeccin de capas superiores lo requieren, el appliance reensambla internamente el paquete para someterlo a estas rutinas.
Si la inspeccin de capa superior permite el paquete, entonces los fragmentos
originales se envan hacia el destino.
No es posible cambiar el comportamiento del algoritmo de re-ensamble de los

fragmentos. Lo que se puede ajustar es el tamao del buffer interno destinado a este
propsito.
Configuracin de inspeccin del ping ICMP
Para implementar la inspeccin stateful del ping de ICMP se puede modificar la clase
de inspeccin de trfico por defecto. Por defecto esta clase identifica las solicitudes de
ping pero no tiene asociada una poltica de inspeccin.
Para cambiar esta poltica por defecto:
54 / 128

versin 1.1
Extienda la opcin Service Policy Rules del men Firewall. Se abrir el panel
correspondiente.
Edite la poltica de servicio que aplica a la clase inspection_default.
En la solapa Rule Actions, en la seccin Protocol Inspection seleccione

ICMP.
Seleccione OK.
A continuacin seleccione Apply para hacer efectivos los cambios.
Ajuste de los temporizadores de inspeccin y DCD

correspondiente.
Seleccione el botn Add para acceder al wizard Add Service Policy Rule.
Seleccione una poltica global o por interfaz segn corresponda.
Cree una nueva clase de trfico. Asigne a esta clase un nombre nico y defina
el trfico utilizando una ACL. Los cambios se realizarn sobre los
temporizadores que afectan al trfico comprendido en esta clase.
Cuando llega al momento de la definicin del Traffic Match especifique las

direcciones de origen y destino del trfico. En el campo Service Field indique
el protocolo que se desea incluir en la clase.
Al definir Rule Action seleccione la solapa Connection Setting. All podr

modificar los temporizadores.
Para activar DCD seleccione el checkbox Dead Connection Detection.
Seleccione el checkbox Send Reset to TCP Endpoints Before Timeout para

que el appliance enve un mensaje TCP Reset a las terminales antes de borrar
una conexin de la tabla de conexiones.
Seleccione OK.
Habilitacin de la reduccin del valor del campo TTL

Es posible modificar la configuracin para que el appliance reduzca el valor del campo
TTL para todos los paquetes que atraviesan el dispositivo:
correspondiente.
55 / 128

versin 1.1
Seleccione el botn Add para acceder al wizard Add Service Policy Rule.
Seleccione una poltica global.
Elija crear una nueva clase de trfico. Asigne a esta clase un nombre nico y
seleccione Any Traffic como criterio de seleccin de trfico para esta clase.
Al definir Rule Action, seleccione la solapa Connection Setting. En la

seccin Time to Live seleccione la opcin Decrement Time to Live for a
Connection para habilitar el decremento de TTL de todos los paquetes.
Seleccione OK.
Ajuste del control de fragmentacin

El appliance utiliza una configuracin de base de datos de fragmentacin separada
para cada interfaz. Para ajustarla:
Extienda la opcin Advanced.
Seleccione Fragment para que se muestre el panel correspondiente.
Seleccione una interfaz y luego el botn Edit.
La ventana emergente que se abre le permite modificar los valores de la base

de datos de fragmentacin:
o
Size: La cantidad de fragmentos que soporta la base de datos. Por

defecto son 200.
Chain: La cantidad mxima de fragmentos en la que puede ser dividido

un paquete. Por defecto son 24.
Timeout: Nmero mximo de segundos que se espera para completar

un paquete fragmentado. Por defecto son 5 segundos.
Seleccione OK.
Guas de implementacin
Es recomendable implementar el procesamiento stateful de ICMP.
56 / 128
Ajuste los temporizadores de las conexiones solamente cuando es requerido

por alguna aplicacin, y hgalo solamente para el conjunto de terminales que
corren esa aplicacin.
Utilice DCD con conexiones de larga duracin para evitar el agotamiento de

recursos.

versin 1.1
Utilice reduccin del valor de TTL nicamente si es necesario ver el appliance

cuando se realiza un traceroute.
La fragmentacin normalmente no requiere ajustes. Es recomendable antes

intentar eliminar las causas que provocan fragmentacin.
1.4.2. Ajuste de las funciones de normalizacin de TCP

Las funciones de normalizacin de TCP del appliance permiten verificar que las
sesiones TCP que lo atraviesan se ajustan a las especificaciones del protocolo con el
propsito de prevenir la posibilidad de que paquetes TCP malformados alcancen
terminales protegidas.
Estas funciones de normalizacin de TCP son importantes tambin en otros aspectos:
Proveen una cadena de datos normalizada para las rutinas de inspeccin de

capas superiores.
Previenen la posibilidad de ataques de evasin.
Aleatorizan el valor del nmero de secuencia inicial de TCP (ISN - Initial

Sequence Number) de las terminales protegidas para prevenir ataques de
spoofing. Se da sobre la interfaces de nivel de seguridad ms alto de una
conexin.
Sin embargo, tambin es posible que estas operaciones afecten la operacin de

aplicaciones legtimas, especialmente cuando no adhieren completamente a la
operacin estndar de TCP. En este caso es posible ajustar globalmente estas
funciones de normalizacin.
Por otra parte, cuando se da el caso de escenarios de enrutamiento asimtrico o en
los que es necesario soportar modificaciones del estndar TCP, el appliance soporta
la opcin de que determinado trfico seleccionado salte la inspeccin de TCP. Pero
hay que tener presente que al deshabilitar la inspeccin stateful se pierden todas las
funciones que descansan sobre ella.
Ajuste de la normalizacin de TCP
Para crear excepciones al procedimiento de normalizacin de TCP es necesario
modificar los mapas de TCP que el appliance utiliza para esta tarea. Para modificar los
mapas TCP:
Extienda la opcin Object.
Seleccione TCP Maps en el men Object para que se muestre el panel

correspondiente.
Seleccione el botn Add para crear un nuevo mapa TCP.
En la ventana Add TCP Map asigne un nombre al nuevo mapa.
57 / 128

versin 1.1
El resto de la ventana presenta la posibilidad de habilitar o deshabilitar

diferentes opciones de verificacin de sesiones TCP. La seccin TCP Options
adicionalmente se pueden agregar excepciones para el motor de inspeccin.
Terminada la definicin, seleccione OK.
Ajuste del procedimiento de aleatorizacin de ISN

Seleccione Service Policy Rules en el men Object para que se muestre el

Seleccione el botn Add para activar el wizard Add Service Policy Rule.
Seleccione una poltica global o por interfaz. Si selecciona una poltica aplicada
a una interfaz, asegrese que ha seleccionado la interfaz a travs de la cual se
establece la sesin TCP que se desea preservar.
Seleccione la opcin de crear una nueva clase de trfico. Asigna a esta clase
de trfico un nombre nico y seleccione una ACL que seleccione el trfico al
cual quiere aplicar esta poltica.
Al llegar al paso Traffic Match del wizard, especifique las direcciones de

origen y destino del trfico, as como el servicio al cual se debe aplicar la
poltica en el campo Service.
Al llegar al paso Rule Actions del wizard, busque la solapa Connection

Settings. En la seccin TCP Normalization marque el checkbox Use TCP
Map y elija en el men desplegable el mapa TCP que acaba de configurar
para esta clase.
En la seccin Randomize Sequence Number desmarque el checkbox para
deshabilitar la funcin de aleatorizacin en esta clase.
Seleccione OK.
Implementacin de bypass del normalizador de TCP

58 / 128
Seleccione Service Policy Rules en el men Object para que se muestre el

Seleccione el botn Add para activar el wizard Add Service Policy Rule.
Seleccione una poltica global o por interfaz. Si selecciona una poltica aplicada
a una interfaz, asegrese que ha seleccionado la interfaz a travs de la cual se
establece la sesin TCP que se exceptuar de la inspeccin.

versin 1.1
Seleccione la opcin de crear una nueva clase de trfico. Asigna a esta clase
de trfico un nombre nico y seleccione una ACL que seleccione el trfico al
cual quiere aplicar esta poltica.
Al llegar al paso Traffic Match del wizard, especifique las direcciones de

origen y destino del trfico al cual se debe aplicar la poltica e incluya todo el
trfico IP.
Al llegar al paso Rule Actions del wizard, busque la solapa Connection

Settings. En la seccin Advanced Options marque el checkbox TCP State
Bypass para indicar que se excepta de la inspeccin stateful a esta clase de
trfico.
Seleccione OK.
Sea muy cuidadoso en flexibilizar la operacin del normalizador de TCP ya que
puede afectar la confiabilidad de los sistemas de inspeccin de capas
superiores que descansan en esta funcin para asegurar la integridad de las
sesiones TCP.
Es recomendable agregar las opciones de validacin del checksum de TCP y

de retransmisiones a la poltica por defecto. Esto incrementa la confiabilidad
del filtrado de aplicaciones aunque con menor performance.
Realice los mnimos cambios necesarios y aplique excepciones solamente

para terminales o redes especficos.
Haga bypass de la normalizacin de TCP solamente cuando es absolutamente

necesario.
1.4.3. Soporte para aplicaciones con protocolos dinmicos

Se trata de dar soporte a protocolos de aplicacin que establecen una sesin de
control y negocian sesiones de red adicionales utilizando puertos negociados y
determinados dinmicamente entre los equipos terminales.
Cisco ASA soporta la operacin de varios protocolos dinmicos revisando la
negociacin de puertos para permitir automticamente las sesiones adicionales.
No es necesaria ninguna configuracin adicional para activar este feature que est
operativo por defecto. Para definirlo el appliance utiliza la poltica inspection_default.
Aunque s es necesario permitir en la ACL de la interfaz inside la sesin inicial del
protocolo que se desea soportar.
Configuracin de soporte para aplicaciones dinmicas adicionales
En caso de que se deseen agregar otras aplicaciones a las soportadas por defecto,
como el feature ya est operativo slo es necesario agregar la inspeccin de los
protocolos que se desean incorporar en la clase inspection_default.
59 / 128

versin 1.1
Seleccione Service Policy Rules en el men de Firewall para que se muestre

Edite la poltica de servicios existente (default) que est aplicada a la clase

inspection_default.
En la solapa Traffic Classification seleccione el checkbox Default Inspection

Traffic para verificar que est editando la regla que se aplica a la inspeccin
de trfico por defecto.
En la solapa Rule Actions, seleccione los checkbox que corresponden a los

protocolos cuya inspeccin quiere agregarse.
Seleccione OK.
Protocolos dinmicos inspeccionados por la clase inspection_default:
Protocolo
60 / 128
Funcin
Habilitado /
Deshabilitado
FTP
Permite conexiones de datos FTP
Habilitado
H.323 (H.225)
Permite la negociacin de flujos RTP
Habilitado
H.323 (RAS)
Habilitado
RSH
Permite las conexiones RSH stderr
Habilitado
RSTP
Habilitado
SCCP
Habilitado
SIP
Habilitado
Oracle SQL*Net (TNS)
Permite conexiones dinmicas
Habilitado
UNIX RPC (SunRPC)
Permite todas las aplicaciones UNIX

RPC disponibles a travs de RPC
portmapper
Habilitado
TFTP
Permite conexiones de datos TFTP
Habilitado
XDCMP
Permite sesiones dinmicas XWindows
Habilitado
CTIQBE
Deshabilitado

versin 1.1
DCERPC
Permite DCOM dinmico y conexiones

DCE RPC
Deshabilitado
MMP
Deshabilitado
MGCP
Deshabilitado
Agregue el soporte de protocolos dinmicos sobre protocolos no-estndar

Seleccione Service Policy Rules en el men de Firewall para que se muestre

Seleccione el botn Add para utilizar el wizard Add Service Policy Rule.
Seleccione una poltica global.
Seleccione Create a New Class of Traffic y asigne un nombre nico a la clase

que est creando.
Seleccione TCP or UDP Destination Port como el criterio de seleccin para la

clase.
Cuando llegue al paso Traffic Match seleccione la opcin TCP o UDP

segn corresponda.
En el campo Service indique el puerto que desea habilitar para la aplicacin

dinmica.
Cuando llegue al paso Rule Actions, en la solapa Protocol Inspection

seleccione el checkbox que corresponda al protocolo dinmico que est
definiendo.
Seleccione OK.
61 / 128

versin 1.1

El firewall de capa de aplicacin inspecciona protocolos de capas superiores y puede
filtrar trfico tanto en funcin de los protocolos como del contenido de los paquetes.
Puede prevenir trfico malicioso a nivel de protocolos.
Puede prevenir que contenido malicioso sea entregado a los terminales.
Puede restringir o prevenir el tunelizado de un protocolo dentro de otro.
Hay 4 aproximaciones posibles para la implementacin de controles a nivel de capa de

aplicacin:
Minimizacin de protocolos.
Cuando el firewall solamente permite un conjunto mnimo requerido de
protocolos y prestaciones. De este modo se reduce la posibilidad de ataques
sobre los equipos terminales y se reduce la exposicin de vulnerabilidades.
Minimizacin de payload.
Cuando el firewall slo permite un conjunto mnimo de contenidos de las
aplicaciones. Permite prevenir la posibilidad tanto de ataques conocidos como
no.
Firmas de capa de aplicacin.

El firewall descarta contenidos especficos descriptos como maliciosos en las
firmas. De este modo en general slo se previenen ataques conocidos.
Verificacin de protocolos.
El firewall descarta sesiones que contienen informacin de protocolos de capa
de aplicacin malformada. Permite prevenir diferentes tipos de ataques y
tambin tneles.
El uso de estas funciones requiere por parte del administrador un profundo

conocimiento de la operacin de los protocolos sobre los que se quiere aplicar
inspeccin.
Si las aplicaciones de red que se utilizan son vulnerables, la implementacin de
este tipo de polticas constituye una primera lnea de defensa.
62 / 128
Si las aplicaciones estn bien protegidas y actualizadas, el filtrado es un

recurso importante para lograr defensa en profundidad y proteger de ataques
an no conocidos.
Es sumamente recomendable que se tenga un conocimiento profundo de cmo

las aplicaciones utilizan los protocolos de red, para de este modo evitar falsos
positivos y negativos.
Si las sesiones de capa de aplicacin utilizan criptografa, habra que

considerar la posibilidad de desencriptar antes de realizar la inspeccin y luego
volver a encriptar. De lo contrario no podrn ser inspeccionadas.

versin 1.1
1.5.1. Inspeccin de HTTP

Las rutinas de inspeccin de HTTP en el Cisco ASA permiten especificar reglas de
control granulares que permiten afianzar la proteccin tanto de equipos terminales
como de servidores.
Los parmetros que puede inspeccionar el Cisco ASA en los paquetes HTTP son los
siguientes:
Sobre las solicitudes
Campo de la solicitud
Tipo de coincidencia
Request Method
Valores especficos
Request URI
Regular expressions
Request Length
Numrica
Request Argument
Regular expressions
Request Header Field
Valores especfico o regular expressions
Request Header Field Count
Numrica
Request Header Field Length
Numrica
Request Header Count
Numrica
Request Header Length
Numrica
Request Header Non-ASCII
Booleana
Sobre las respuestas

Campo de la respuesta
Tipo de coincidencia
Response Status Line
Regular expressions
Response Body
Java, ActiveX, regular expressions
Response Body Length
Numrica
Response Header Field
Valores especficos o regular expressions
Response Header Field Count
Numrica
Response Header Field Length
Numrica
Response Header Count
Numrica
Response Header Length
Numrica
Response Header Non-ASCII
Booleana
Configuracin de la inspeccin de HTTP

En el appliance es posible permitir, bloquear o registrar en un log las solicitudes web
que lo atraviesan basndose en diferentes categoras que pueden ser definidas
manualmente en el appliance mismo o utilizando un servidor dedicado al filtrado de
URLs.
63 / 128

versin 1.1
Para esto, cuando una terminal realiza una solicitud HTTP, la informacin
correspondiente a la URL destino puede ser comparada con 2 bases de datos
diferentes:
La base de datos de un servidor de filtrado de URLs Websense o Secure

Computing. Para mejorar la performance en estos casos, el appliance guarda
en un cache la informacin de filtrado y la utiliza desde este cach.
Listas negra y blanca locales configuradas en el mismo appliance.
Creacin de un policy map de inspeccin de HTTP

En primer lugar es necesario crear un policy map que luego ser aplicado para hacer
efectiva la inspeccin.
Extienda la opcin Objects y luego la opcin Inspect Map.
En el men de Inspect Map seleccione HTTP.
En la ventana de configuracin que se abre seleccione el botn Add para

agregar un nuevo mapa de inspeccin de HTTP. Se abrir la ventana de
configuracin correspondiente.
En la ventana Add HTTP Inspect Map seleccione un nivel de seguridad para

el policy map.
Opcionalmente puede seleccionar el botn Details lo que le permitir

configurar detalladamente.
En la vista de detalles que se abre al elegir Details, se pueden configurar
parmetros de filtrado especficos. En esta vista, la solapa Inspections
permite definir criterios de seleccin especficos.
Cuando se definen mltiples criterios en la ventana Inspections, el trfico que
coincida con cualquiera de esos criterios ser sometido a la accin que se
defina.
Configuracin de la minimizacin de HTTP

Este feature permite habilitar nicamente el paso de funciones especficas del
protocolo. Para esto, partiendo de la ventana Add HTTP Inspect que aparece al
seleccionar el botn Add de la ventana Details de la definicin del policy map, siga
los siguientes pasos:
64 / 128
En la solapa Inspections de la vista de Details de la configuracin del policy

map de inspeccin de HTTP, seleccione el botn Add. Se abrir la ventana
Add HTTP Inspect.
En la seccin Match Criteria seleccione la opcin Single Match para

especificar una nica condicin. Se puede elegir la opcin Multiple Matches
para seleccionar trfico utilizando los class maps de HTTP predefinidos.

versin 1.1
A continuacin en Match Type seleccione No Match para descartar todo el

trfico excepto el que no coincida con un criterio especfico.
En el men desplegable Criterion especifique el campo del protocolo que

desea analizar. Por ejemplo, puede seleccionar Request Method.
En el rea Value especifique el valor que se espera en el campo antes

especificado. Por ejemplo get. De este modo la poltica se aplicar a todos los
paquetes HTTP que no utilicen el mtodo GET. Tambin se pueden utilizar
para esto regular expressions.
Finalmente, en el rea Action defina la accin que el appliance debe aplicar al

trfico que coincide con el criterio antes definido. Por ejemplo Drop
Connection.
Cuando haya concluido seleccione OK.
Para terminar el procedimiento seleccione Apply para hacer efectivos los

cambios.
Configuracin de minimizacin del payload de HTTP

Tambin es posible permitir contenidos especficos en los paquetes HTTP, como por
ejemplo, definir URLs, argumentos de solicitudes o tipos de contenido.
Para generar este tipo de definiciones, siga los siguientes pasos:

Add HTTP Inspect.

especificar una nica condicin.
A continuacin en Match Type seleccione No Match para descartar todo el

trfico excepto el que no coincida con un criterio especfico.

desea analizar. En este caso, por ejemplo, puede seleccionar Request URI.

especificado. En este caso debemos definir una URI para lo que es necesario
utilizar regular expressions.
Seleccione a continuacin el botn Manage que se encuentra a la derecha de

la ventana. Con esto ingresar a la herramienta de configuracin de regular
expressions de ASDM.
En la ventana Manage Regular Expressions seleccione el botn Add para

agregar una regular expression nueva. Se abre la ventana de configuracin de
las expresiones.
65 / 128

versin 1.1
En la ventana Add Regular Expression asigne un nombre para la expresin

que va a crear y en el campo Value ingrese la regular expression que
describe la URI que se desea filtrar. Por ejemplo: ^\/mipaginaweb
Puede probar la expresin que acaba de crear utilizando el botn Test e

ingresando luego el texto que debera coincidir. En este ejemplo: /mipaginaweb
. El botn Build tambin le permite operar en modo inverso y construir sus
propias expresiones.
Seleccione OK en la ventana Add Regular Expression.
Seleccione la expresin que acaba de crear en la ventana Manage Regular

Expressions y seleccione OK. El nombre de su expresin se debe mostrar
ahora en el men desplegable que est a la derecha de la opcin Regular
Expression.
En la seccin Actions defina la accin que el appliance debe tomar cuando el

trfico coincida con el criterio de seleccin que se defini antes. Por ejemplo,
Drop Connection.

cambios.
Configuracin de firmas de HTTP

Tambin es posible utilizar firmas de HTTP para descartar payloads de HTTP
conocidos como maliciosos, y de este modo proteger los dispositivos finales.
Para generar estas firmas, siga los siguientes pasos:
66 / 128

Add HTTP Inspect.

especificar una nica condicin.
A continuacin en Match Type seleccione Match para descartar todo el

trfico excepto el que coincida con un criterio especfico.

desea analizar. En este caso, por ejemplo, puede seleccionar Request
Arguments.

especificado. En este caso podramos detectar por ejemplo, todas las
solicitudes que inyecten el comando SQL SELECT FROM, para esto es
necesario utilizar regular expressions que describa esa cadena de caracteres.
Seleccione a continuacin el botn Manage que se encuentra a la derecha de

la ventana. Con esto ingresar a la herramienta de configuracin de regular
expressions de ASDM.

versin 1.1
En la ventana Manage Regular Expressions seleccione el botn Add para

agregar una regular expression nueva. Se abre la ventana de configuracin de
las expresiones.
En la ventana Add Regular Expression asigne un nombre para la expresin

que va a crear y en el campo Value ingrese la regular expression que
describe el conjunto de caracteres maliciosos que desea detectar. Por ejemplo
en este caso: [Ss][Ee][Ll][Ee][Cc][Tt].+[Ff][Rr][Oo][Mm]
Seleccione OK en la ventana Add Regular Expression.
Seleccione la expresin que acaba de crear en la ventana Manage Regular

Expressions y seleccione OK. El nombre de su expresin se debe mostrar
ahora en el men desplegable que est a la derecha de la opcin Regular
Expression.
En la seccin Actions defina la accin que el appliance debe tomar cuando el

trfico coincida con el criterio de seleccin que se defini antes. Por ejemplo,
Drop Connection y Log Enable para que cada evento quede registrado.

cambios.
Configuracin de la verificacin de HTTP

Este feature hace que el appliance descarte todas las sesiones HTTP que no se
conforman con las especificaciones del estndar del protocolo. Para habilitar la
inspeccin de HTTP en el policy map siga este procedimiento:
En la ventana Add HTTP Inspect Map seleccione el botn Details.

En la vista de detalles que se abre al elegir Details, se pueden configurar
parmetros de filtrado especficos.
En esta vista, seleccione la solapa Parameters.
Seleccione el checkbox que corresponde a Check for Protocol Violations para

habilitar la verificacin de HTTP.
En la seccin Actions defina que el appliance debe aplicar en caso de

detectar una violacin.

cambios.
Aplicacin del policy map de inspeccin de HTTP

Finalmente se debe aplicar el policy map que define las polticas de inspeccin del
protocolo a una clase que describa el trfico que se desea controlar.
67 / 128

versin 1.1
Para aplicar el policy map siga este procedimiento:
Seleccione Service Policy Rules del men Firewall. Se abrir el panel

correspondiente.
Seleccione Add para agregar una nueva regla o poltica al appliance. Se

iniciar el wizard Add Service Policy Rule.
En el paso Service del wizard seleccione una service policy global o basada
en una interfaz, dependiendo de cmo se desea realizar la implementacin. En
caso de duda seleccione una regla global.
Seleccione Next.
En el paso Traffic Classification Criteria del wizard seleccione la opcin

Create a New Traffic Class, y asigne a la nueva clase un nombre. Seleccione
Source and Destination IP Address (Uses ACL) como Traffic Class Match
Criteria.
Seleccione Next.
En el paso Traffic Match del wizard especifique como Action Match. En los
campos correspondientes indique la direccin o red de origen (Source), de
destino (Destination) y especifique tcp/http como Service.
Seleccione Next.
En el paso Rule Actions del wizard, seleccione la pestaa Protocol

Inspection seleccione el checkbox HTTP. Luego seleccione el botn
Configure para abrir la ventana Select HTTP Inspect Map.
En la nueva ventana seleccione el policy map de inspeccin ya creado antes.
Seleccione OK.
Seleccione Finish para terminar con la definicin del service policy.
Seleccione Apply para aplicar los cambios realizados y luego Save para
guardar los cambios de configuracin.
Respecto de los niveles de seguridad pre-configurados

Al detallar el proceso de creacin de un policy map para realizar inspeccin de
protocolos, me refer a la posibilidad de configurar niveles de seguridad como un
procedimiento ms simple.
Estos niveles de seguridad pre-configurados permiten utilizar polticas por defecto que
estn pre-definidas en el appliance cuando no es necesario configurar polticas ms
especficas. El wizard presenta 3 niveles de seguridad:
68 / 128

versin 1.1
Low
Slo habilita la verificacin del protocolo y descarta todas las conexiones que
violan las especificaciones del estndar. Se pueden agregar reglas de filtrado
de URIs utilizando el botn URI Filtering.
Medium
A la seguridad de nivel Low le agrega que solamente permite los mtodos
HTTP GET, HEAD y POST.
High
Extiende el nivel de seguridad descartando conexiones que contengan
encabezados HTTP no-ASCII.
Tambin es posible iniciar la tarea utilizando los niveles pre-configurados y luego

ingresar a la vista detallada y modificar las polticas segn sea necesario.
69 / 128

versin 1.1

El appliance Cisco ASA incluye funciones de control de acceso que van ms all de
los mecanismos de filtrado clsicos. Entre estos mecanismos se puede mencionar:
TCP Intercept.
Permite proteger los servidores de ataques de inundacin de TCP SYN
interceptando solicitudes de conexin y validndolas antes de pasarlas al
servidor.
Botnet Traffic Filter.

Detecta y previene conexiones entrantes o salientes de terminales infectadas
con bots. Para esto utiliza un sistema de filtrado basado en reputacin para
detectar y descartar el trfico malicioso.
Threat detection.
Permite detectar y prevenir amenazas adicionales, basndose en estadsticas
provistas por otros mecanismos de control de acceso.
1.6.1. Configuracin de TCP Intercept

El ataque de inundacin de trfico utilizando paquetes TCP-SYN explota el
mecanismo de negociacin de las sesiones TCP entre 2 dispositivos terminales. La
terminal atacante inunda al servidor con solicitudes de conexin (paquetes SYN)
utilizando como origen una direccin IP inexistente o inalcanzable (spoofing de IP). De
esta manera el servidor responde a la solicitud (paquete SYN-ACK) a una direccin
que no puede responderle y como consecuencia nunca recibe la confirmacin
(paquete ACK) necesaria para que se establezca la conexin. Si la tasa de recepcin
de paquetes SYN es suficientemente alta, la tabla de conexiones del servidor se ver
desbordada y consecuentemente no podr responder a solicitudes legtimas.
TCP Intercept previene este tipo de ataques. Para esto:
Intercepta las solicitudes SYN.
Completa la negociacin con los clientes en nombre del servidor.
Si la negociacin se completa y valida, el appliance realiza la negociacin con
el servidor en nombre del cliente, se establece la sesin entre cliente y
servidor y se crea una entrada de conexin en la tabla de conexiones.
Este feature permite configurar un lmite para la cantidad de conexiones embrinicas
(conexiones que an no se han establecido), de 2 formas:
Limitando la cantidad de conexiones embrinicas para una clase de trfico.
De esta manera cuando se alcanza el nmero mximo de conexiones
embrinicas el appliance aplica TCP Intercep a toda conexin nueva que est
dentro de la clase hasta tanto el total de conexiones vuelva a estar por debajo
del umbral que se ha definido.
Limitando la cantidad de conexiones embrinicas para cada terminal dentro de
una clase.
70 / 128

versin 1.1
Cuando ese cliente en particular alcanza el mximo, el appliance aplica TCP

Intercept a las nuevas conexiones que intente establecer ese cliente.
Dado que la mayor parte de los ataques utiliza mltiples direcciones de origen, se
recomienda aplicar umbrales por clase y no por terminal.
Configuracin de TCP Intercept
Seleccione en la barra de herramientas de ASDM la opcin Configuration.
Seleccione Service Policy Rules del men Firewall. Se abrir el panel

correspondiente.
Seleccione Add.
Seleccione en el men desplegable la opcin Add Service Policy Rule, con lo

que se accede al wizard correspondiente.
Seleccione la opcin Interface para crear una service policy para una interfaz
especfica. Si lo que se desea es crear una service policy global seleccione
Global Applies to All Interfaces.
En el campo Policy Name ingrese un nombre para la service policy.
Seleccione Next, se mostrar la pgina Traffic Classification Criteria.
Seleccione uno de las siguientes opciones para identificar el trfico al que se

aplicar la poltica:
o
Create a New Traffic Class

En este caso deber ingresar el nombre de la nueva clase y definir el
criterio de seleccin (traffic match criteria).
Use an Existing Traffic Class

En esta opcin se debe elegir un class map ya existente de la lista
desplegable que se presenta. Para que esta opcin est disponible
debe existir ya class maps configurados.
Use Class-Default as the Traffic Class

Utiliza la class default que selecciona todo el trfico.
Seleccione Next.
Seleccione la solapa Connetion Setting.
En el campo Maximum Embryonic Connections ingrese el umbral elegido

para conexiones embrinicas para la clase.
En el campo Maximum Per Client Embryonic Connections ingrese el umbral

de conexiones embrinicas por cliente.
Seleccione el botn Finish.
Seleccione el botn Apply para aplicar los cambios.
71 / 128

versin 1.1
1.6.2. Configuracin del filtro de trfico de botnet

Este feature est disponible a partir de Cisco ASA versin 8.2 y requiere una licencia
Botnet Traffic Filter para que pueda ser habilitado.
Su implementacin permite detectar y prevenir el trfico que se genera desde
terminales infectadas por un bot hacia sus servidores de control, utilizando un
mecanismo basado en reputacin.
Para esto se comparan las direcciones de origen y destino de cada conexin con 2
bases de datos:
Una base de datos dinmica que es mantenida y actualizada por Cisco, y que
se descarga al appliance peridicamente.
Una base de datos esttica que se puede completar manualmente agregando

direcciones IPs y nombres de dominios buenos y malos.
Cuando el trfico que atraviesa el appliance coincide con lo reportado en alguna de

estas dos bases de datos se genera un mensaje de syslog y opcionalmente se puede
bloquear la conexin.
Es importante tener presente que para utilizar estas bases de datos es necesario
configurar un servidor DNS en el appliance.
Para habilitar este feature utilizando la base de datos dinmica, siga este
procedimiento:
Extienda la opcin Botnet Traffic Filter y seleccione la opcin Botnet

Database. Se abrir el panel correspondiente.
Habilite la descarga de la base de datos dinmica seleccionando el checkbox

Enable Botnet Updater Client. El servidor de actualizacin determinar la
frecuencia con la que el appliance consulte al servidor. Tpicamente se realiza
cada hora.
La base de datos se almacena en la memoria RAM, no en la flash. En caso de
ser necesario borrar esta base de datos se deber utilizar la herramienta
Purge Botnet Database.
Habilite el uso de la base de datos dinmica seleccionando el checkbox Use

Data Dynamically Downloaded from Updater Server.
Seleccione Apply para aplicar los cambios a la configuracin.
Si se desea agregar entradas estticas en la base de datos, siga este procedimiento:
72 / 128
Extienda la opcin Botnet Traffic Filter y seleccione la opcin Black and

White List. Se abrir el panel correspondiente.

versin 1.1
Seleccione el botn Add en el rea White List para agregar un nombre o

direccin IP a la lista blanca. Seleccione el botn Add en el rea Black List
para agregar un nombre o direccin IP a la lista negra. Ambas listas se
muestran en las respectivas ventanas.
Cuando el trfico coincide con una direccin declarada en la lista blanca,
genera un mensaje de syslog.
Cuando el trfico coincide con una direccin declarada en la lista negra, genera
un mensaje de syslog y es descartado.
Seleccione el botn Apply para aplicar los cambios a la configuracin.
Adicionalmente, para habilitar el componente de inspeccin y almacenamiento de

respuestas de DNS, complete los siguientes pasos:
Extienda la opcin Botnet Traffic Filter y seleccione la opcin DNS

Snooping. Se abrir el panel correspondiente.
Esta ventana muestra todas las polticas configuradas que incluyen inspeccin
de DNS.
Seleccione el checkbox DNS Snooping Enabled.
Como ya mencion antes, el trfico detectado por este filtro puede ser registrado en el
servidor de Syslog y/o ser descartado.
Para registrar las coincidencias con la base de datos:
Extienda la opcin Botnet Traffic Filter y seleccione la opcin Traffic Setting.

Se abrir el panel correspondiente.
En el rea Traffic Classification seleccione el checkbox Traffic Classified

para cada interfaz en la que se desea habilitar el filtrado de trfico de botnets.
La recomendacin es monitorear todas las interfaces que miran hacia Internet.
Para cada interfaz se puede especificar una ACL para definir el trfico que se
desea monitorear. La opcin por defecto es All Traffic. Para seleccionar la
ACL seleccione el botn Manage ACL para crear o editar ACLs existentes.
Para habilitar la opcin de descartar el trfico malicioso detectado, complete los

siguientes pasos:
73 / 128

versin 1.1
Extienda la opcin Botnet Traffic Filter y seleccione la opcin Traffic Setting.

En la seccin Blacklisted Traffic Actions seleccione Add.
En la lista desplegable de interfaces, seleccione la interfaz sobre la cual se

desea descartar trfico. Solo las interfaces sobre las cuales se habilit Botnet
Traffic Filter antes se muestran en esta lista.
En el rea Threat Level seleccione una de las opciones que se muestran:

o
Default
Tiene un rango entre Moderate y Very High.
Value
Se debe especificar el nivel de amenaza del trfico que se desea
descartar: Very Low, Low, Moderate, High, Very High.
Las entradas estticas son tratadas siempre como Very High.
Range
Especifique el rango de nivel de amenazas.
En el rea ACL Used, de la lista desplegable seleccione la lista de acceso

que permita seleccionar el trfico al cual desea aplicar esta poltica. El botn
Manage le permite crear o editar una lista de acceso existente.
1.6.3. Deteccin bsica de amenazas.

La funcin de deteccin bsica de amenazas provee estadsticas del descarte de
trfico mediante el monitoreo de la tasa de paquetes que son descartados por
segundo y otros eventos de seguridad.
Cuando esta tasa de descarte supera umbrales configurados se pueden generar
mensajes de syslog que notifiquen la situacin. Estos mensajes permiten detectar
actividad relacionada con algunas amenazas tales como ataques DoS o de
reconocimiento.
Las estadsticas que se pueden monitorear utilizando este feature son las que
corresponden a los siguientes eventos:
74 / 128
Denegacin de trfico por listas de acceso.
Paquetes mal formados.
Superacin del lmite de conexiones.
Deteccin de ataques DoS.
Deteccin de paquetes ICMP defectuosos.
Paquetes que fallan la inspeccin de aplicaciones.
Sobrecarga de interfaces.

versin 1.1
Ataques de reconocimiento.
Sesiones TCP incompletas o sesiones UDP sin datos.
Para cada uno de estos eventos se define una tasa lmite de eventos por segundo,
cuando el appliance detecta que ese lmite se supera se genera un mensaje de syslog
con ID 733100.
Hay 2 tipos de mediciones diferentes:
1. La tasa promedio de eventos sobre un intervalo de tiempo establecido.
2. Las rfagas que se producen en un perodo ms corto de tiempo que es igual a
1/30 del intervalo usado para el promedio o 10 segundos (el valor ms alto)
Cada una de estas mediciones, en caso de superar el lmite, genera un mensaje de
syslog diferente. Los valores por defecto pueden ser ajustados por configuracin.
Los valores por defecto son los siguientes:
Evento
Ataque de DoS
Tasa Promedio
Rfaga
100 descartes/seg. en 600

seg.
seg.
seg.
seg.
5 descartes/seg. en 600 seg.

seg.
seg.
seg.
seg.

seg.
seg.
320 descartes/seg en 3600

seg.
seg.
Verificacin bsica del

firewall

seg.
seg.
Descarte por inspeccin de

aplicacin

seg.
seg.

seg.
seg.

seg
seg.
Paquetes mal formados

Lmite de conexiones
excedido
Paquetes ICMP sospechosos
Ataque de reconocimiento
Sesiones TCP incompletas
Sesiones UDP sin datos
Descartes por ACLs
Sobrecarga de la interfaz
75 / 128

versin 1.1
Los valores se pueden revisar con el comando show running-config all

threat-detection
Configuracin de deteccin bsica de amenazas
Para habilitar la deteccin bsica de amenazas complete los siguientes pasos:
Seleccione la opcin Threat Detection. Se abrir el panel correspondiente.
Habilite el feature seleccionando el checkbox Enable Basic Threat Detection.

De esta manera se active la deteccin bsica de amenazas utilizando los
valores por defecto.
Si se desea modificar el valor de los umbrales definidos por defecto, es necesario

realizar la operacin desde la CLI.
Se puede habilitar el feature por CLI utilizando los valores por defecto.
ASA(config)#threat-detection basic-threat
Se puede habilitar modificando los valores de los temporizadores por defecto

para cada tipo de evento. Por ejemplo, para cambiar los valores por defecto
que reflejan una amenaza que se detecta a travs de un exceso de paquetes
descartados por una ACL:
ASA(config)#threat-detection rate acl-drop rate-interval 600

average-rate 50 burst-rate 100
o
rate-interval: establece el lapso de tiempo (en segundos) para el

clculo de la tasa promedio.
average-rate: define el promedio de eventos por segundo.
burst-rate: define el tamao de la rfaga en eventos por segundo. El

tiempo para la medicin de la rfaga es el valor ms alto que surja de
comparar 1/30 del rate-interval y 10 segundos.
Para revisar las estadsticas de deteccin de amenazas utilice el siguiente comando:

ASA#show threat-detection rate
1.6.4. Deteccin avanzada de amenazas.

La deteccin avanzada de amenazas recoge estadsticas de paquetes denegados y
permitidos por terminales, protocolos, puertos y ACLs. Adicionalmente provee una lista
de los Top 10 terminales, protocolos o ACLs.
Tambin genera estadsticas de TCP Intercept, pudiendo generar mensajes de syslog
estn identificados como 733104 y 733105 cuando se exceden los umbrales
configurados.
76 / 128

versin 1.1
Configuracin de la deteccin avanzada de amenazas

Para habilitar la recoleccin de todas las estadsticas disponibles seleccione la

opcin Enable All Statistics.
Si desea habilitar solamente algunas estadsticas, seleccione la opcin Enable
Only Following Statistics y a continuacin el checkbox correspondiente al
objeto cuyas estadsticas desea recoger: Host, Access Rules o TCP Intercept.
En la seccin Rate interval seleccione el intervalo de tiempo para el cual

desea mantener las estadsticas de terminales utilizando el men desplegable.
Tenga presente que las estadsticas por terminal pueden afectar seriamente la
performance de appliance, por lo que se sugiere operar con el intervalo de
tiempo ms pequeo posible.
Opcionalmente, tambin es posible ajustar los umbrales para la generacin de

mensajes de TCP Intercept.
Asegrese que se encuentra habilitada la recoleccin de estadsticas.
En la seccin CTP Intercept Threat Detection:
En el campo Monitoring Windows Size defina el tamao de la ventana

de tiempo en minutos. Las estadsticas se recogen cada 1/30 el valor de
esta ventana.
En el campo Burst Threshold Rate defina el umbral de cantidad de

eventos por segundo a partir del cual se genera el mensaje de syslog
(733105) de rfaga excedente.
En el campo Average Threshold Rate defina el umbral del promedio

de eventos por segundo a partir del cual se genera el mensaje de
syslog (733105) correspondiente.
Para observar las estadsticas recogidas para una terminal, utilice el comando
ASA#show threat-detection statistics host
Otras variantes de este comando son:
ASA#show threat-detection statistics port
ASA#show threat-detection statistics protocol
ASA#show threat-detection statistics top
77 / 128

versin 1.1
1.6.5. Deteccin de amenazas de exploracin

Esta funcin del appliance permite detectar terminales que realizan barrido de redes, o
equipos terminales y que consecuentemente sospechamos que estn sometiendo a la
red a ataques de reconocimiento.
Los sistemas IPS tambin detectan este tipo de amenazas, pero a diferencia de los
IPSs (que realizan un anlisis basado en firmas), el Cisco ASA detecta este tipo de
ataques en base a una extensa base de datos que contiene las estadsticas de cada
terminal.
Para detectar este tipo de actividades el appliance utiliza la misma lgica de umbrales
que para la deteccin de otras amenazas. Si el umbral es superado, entonces se
genera un mensaje de syslog 733101 que indica que una terminal ha sido identificada
como atacante o vctima de este tipo de ataques.
Si el umbral es excedido por el trfico enviado desde una terminal, entonces esa
terminal es considerada un atacante. En cambio, si el umbral es superado por el
trfico recibido por una terminal, esa terminal es identificada como objetivo del ataque.
Adicionalmente el appliance puede ser configurado para que automticamente evada
esta amenaza (shunning) terminando la conexin del dispositivo que se identifica
como atacante. Cuando se bloquea un atacante, adems se genera un mensaje de
syslog 733102.
Configuracin de deteccin de amenazas de exploracin
78 / 128
Marque el checkbox titulado Enable Scanning Threat Detection.
Si adems desea terminar las conexiones de un host que es identificado como

atacante, seleccione el checkbox Shun Hosts Detected by Scanning Threat.
El campo Network Excluded from Shun le permite definir direcciones IP que

sern exceptuadas de la poltica de restriccin de las terminales atacantes. Se
pueden ingresar mltiples direcciones IP separadas por comas.
Adicionalmente se puede especificar un perodo de duracin para la poltica de

restriccin de atacantes. Para esto seleccione el checkbox Set Shun Duration
e ingrese la duracin en segundos de la poltica. El valor por defecto es 3600
segundos.

versin 1.1
1.7. Implementacin de un sistema de alta disponibilidad

activo/standby
La posibilidad de configurar un sistema de alta disponibilidad activo/standby provee
redundancia de dispositivos en caso de que un appliance o alguno de sus
componentes falle.
En este esquema de trabajo, un dispositivo est permanentemente designado y
configurado como primario, y el otro como secundario. Ambos roles no cambian y se
utilizan para determinar la prioridad del dispositivo durante los procesos de eleccin. A
partir de esto hay 2 estados operativos: uno de los dispositivos ser elegido como
activo (el que reenva trfico), y el otro como standby (espera y monitorea al
dispositivo activo).
Si el dispositivo activo falla, el dispositivo standby inmediatamente cambia su estado
convirtindose en el nuevo dispositivo activo.
Los dispositivos primario y secundario deben estar interconectados utilizando una
interfaz que denominamos interfaz LAN failover. Ambos dispositivos utilizan esa
interfaz para replicar la configuracin y monitorearse recprocamente intercambiando
paquetes hello.
El estado de activo o standby de ambos appliances se determina en el momento en
que ambos dispositivos arrancan de acuerdo al siguiente proceso:
Si la interfaz LAN failover est up, y si el appliance detecta un dispositivo

negociando sobre esa interfaz; el dispositivo primario, por defecto, queda como
activo y el secundario queda como standby.
Si el dispositivo detecta sobre la interfaz LAN failover que el otro dispositivo

est reportando estado activo, el appliance pasa a estado standby.
Si no se detecta otro dispositivo sobre la interfaz LAN failover, el appliance

pasa a estado activo.
Si luego de estar como activo, el appliance detecta otro dispositivo activo sobre
la interfaz LAN failover, renegocia los roles con el otro dispositivo.
Una vez que el sistema est operativo, si el dispositivo activo falla, el dispositivo
standby lo detecta y pasa a estado activo:
La prioridad o rol de las unidades no cambia: el primario permanece primario y

el secundario permanece secundario.
Cambian los estados: el dispositivo standby pasa a estado activo. Cuando se

recupere el dispositivo que fall, se integrar al sistema como unidad standby.
El nuevo dispositivo activo asume completamente la identidad del anterior

reconfigurando las direcciones IP y MAC de todas las interfaces excepto la
interfaz LAN failover.
Adicionalmente, el dispositivo secundario que ha pasado a estado activo enva

un GARP (Gratuitous ARP) para actualizar la tabla CAM de los switches.
79 / 128

versin 1.1
Los dispositivos activo y standby son administrados como una nica unidad. La unidad
activa es la que provee la interfaz y la IP de management, y automticamente replica
todos los cambios a la unidad standby. An as, la unidad standby tambin puede ser
accedida para realizar monitoreo y tareas de administracin; tambin puede ser
configurada para enviar mensajes de syslog.
1.7.1. Opciones de implementacin de failover

Un failover activo/pasivo puede implementarse en 2 formas diferentes:
Stateless failover.
Solo prove redundancia de hardware.
Si el dispositivo activo falla, el standby pasa a estado activo.
Toda la informacin de las conexiones que estaban en la unidad que
inicialmente estaba como activa se pierde y consecuentemente las
aplicaciones deben reiniciar la comunicacin.
Stateful failover.
Hay una continua copia de la informacin de estado de las conexiones desde
la unidad activa a la standby. Si ocurre un fallo, toda la informacin relevante
ya est disponible en la nueva unidad activa. De esta manera la mayor parte
de las aplicaciones no debern reiniciar sus conexiones.
Para poder operar en modo stateful failover se requiere la asignacin de una interfaz
link stateful sobre la cual los dispositivos intercambien esta informacin. De esa
manera, las 2 unidades as configuradas deben estar conectadas entre s por 2
enlaces lgicos:
80 / 128
Interfaz LAN failover.

Es la utilizada para determinar el estado operativo de cada unidad, replicar y
sincronizar la configuracin.
La comunicacin entre estas interfaces puede estar protegida con
autenticacin y encriptacin utilizando pre-shared key.
Esta interfaz se requiere en cualquiera de las modalidades de failover, y
necesita de una interfaz Ethernet en cada unidad exclusivamente con este
propsito.
Las interfaces de ambas unidades deben estar en la misma subred, y no se
pueden colocar terminales o routers sobre la misma.
Interfaz stateful failover.

Por esta interfaz se pasa la informacin stateful de cada conexin hacia la
unidad standby.
No requiere de una interfaz fsica dedicada por lo que puede compartir la
interfaz LAN failover, aunque no se recomienda que se comparta con
interfaces por la que circula trfico de datos.
Las interfaces de ambas unidades deben estar en la misma subred.

versin 1.1
Informacin que se comunica en una configuracin stateful failover

El dispositivo activo pasa al dispositivo standby la siguiente informacin:
La tabla NAT.
La tabla de conexiones TCP, excepto las conexiones HTTP.
La tabla de conexiones UDP.
La tabla ARP.
La tabla de direcciones MAC (en appliances que operan en modo

transparente).
Las sesiones ISAKMP, IPsec Saz y SSL de las VPNs.
La base de datos de conexiones GTP PDP.
Las sesiones de sealizacin SIP.
Por defecto NO se pasa la siguiente informacin:
Tabla de conexiones HTTP.
Tabla de autenticacin de usuarios del proxy cut-through.
Tablas de enrutamiento.
Informacin de estado de los mdulos SSM.
Tabla del servidor DHCP.
Sesiones de proxy de telefona.
1.7.2. Monitoreo del estado de ambas unidades

Ambas unidades (activo y standby) intercambian entre s paquetes hello a travs de la
interfaz LAN failover una vez por segundo a fin de comunicar a su contraparte que se
encuentran operacionales.
Estos paquetes hello se envan tambin a travs de todas las interfaces monitoreadas,
de modo que cada appliance puede determinar el estado de cada interfaz de red al
recibir los paquetes hello de su par. Por defecto se monitorean todas las interfaces
fsicas, no las subinterfaces o las interfaces redundantes.
Monitoreo del estado de las unidades
Cada unidad establece el estado de su contraparte monitoreando la interfaz LAN
failover:
Cuando no se reciben 3 hellos consecutivos en la interfaz failover, se enva un

hello adicional a travs de todas las interfaces monitoreadas incluyendo la
interfaz LAN failover.
Si se recibe una respuesta en la interfaz LAN failover, no cambia el estado.
81 / 128

versin 1.1
Si no se recibe respuesta en la interfaz LAN failover, pero si sobre otra interfaz

monitoreada, no cambia el estado.
Se marca la interfaz LAN failover como en falla y se debe proceder lo antes
posible a recuperar esa interfaz para que la implementacin opere
correctamente.
Si no se recibe respuesta en ninguna interfaz, la unidad standby pasa a estado

activo una vez que haya expirado el temporizador de tiempo de espera y
clasifica a su contraparte como en falla.
Los temporizadores por defecto son de 1 segundo para el envo de hello, y 15

segundos para el tiempo de espera.
Monitoreo del estado de las interfaces

Adicionalmente es posible monitorear hasta 250 interfaces.
Para esto las interfaces de ambas unidades intercambian paquetes hello entre s con
un intervalo de 5 segundos por defecto y un tiempo de espera de 25 segundos.
Cuando un dispositivo no recibe mensajes hello sobre una interfaz monitoreada por la
mitad del tiempo de espera, entonces las interfaces de ambos dispositivos (activo y
standby) ponen sus contadores de paquetes recibidos en cero y corren un conjunto de
pruebas:
82 / 128
Estado de la interfaz up o down.

Verifica el estado de la interfaz fsica.
Actividad de red.
Verifica que est recibiendo trfico dentro de un perodo de 5 segundos. Si en
dentro de ese perodo de tiempo recibe cualquier paquete, considera la interfaz
operacional y se detienen las pruebas. Si no se recibe trfico, pasa a la prueba
siguiente.
ARP.
Se revisa la tabla ARP para determinar las 10 entradas ms recientes. Se
enva una solicitud ARP a la primera de las entradas, si se recibe respuesta
dentro de los 5 segundos se considera la interfaz operacional y se detiene la
prueba; si no se recibe trfico, se repite el proceso con la entrada siguiente. As
se contina hasta probar con la dcima entrada. Si no se recibe respuesta, se
pasa a la prueba siguiente.
Ping de broadcast.
Se enva una solicitud de ping a la direccin de broadcast de la red o subred a
travs de la interfaz en anlisis. Si se recibe cualquier paquete dentro de los 5
segundos la interfaz es considerada operacional si no se recibe, la interfaz se
considera en estado de falla.

versin 1.1
Una vez realizada todas las pruebas, pueden darse 2 situaciones:
Que las pruebas para una interfaz hayan fallado, pero la interfaz de la otra
unidad est operacional. En consecuencia el estado de la interfaz es marcado
como failed y se procede al cambio de estado activo/standby.
Que las pruebas de la interfaz de la otra unidad tambin hayan fallado, en

consecuencia el estado de la interfaz es marcado como unknown y no se
produce cambio de estado.
La interfaz volver a ser operacional si recibe cualquier tipo de trfico.
1.7.3. Anotaciones para la implementacin

Requerimientos de hardware y software
Todos los appliances Cisco ASA pueden ser configurados para operar en modo
failover activo/standby, pero para que esto sea posible se deben tener en cuenta las
siguientes consideraciones:
Ambos dispositivos deben ser del mismo modelo de hardware.
Ambos deben tener igual nmero y tipo de interfaces.
Si hay mdulos SSM instalados, deben ser los mismos en ambos.
Se recomienda que ambos tengan la misma capacidad de memoria RAM.
Ambos dispositivos deben estar corriendo la misma versin de software.

Esto no es condicin necesaria para poder operar ya que desde ASA versin
7.0 es posible que las 2 unidades utilicen diferente versin de software.
Pero esta posibilidad est dada en funcin de permitir realizar upgrades de
sistema operativo sin tiempos cados. De esta manera se actualiza el sistema
operativo del dispositivo standby, se fuerza el cambio activo/standby y se
actualiza el sistema operativo de la otra unidad sin salir de operacin.
La recomendacin de igual versin de software es importante para asegurar
que ambos appliances puedan soportar los mismos features.
Ambos dispositivos deben contar con licencias similares e incluir licencias para
el feature active/standby failover.
Ambos dispositivos deben estar en el mismo modo operativo (ruteando o

transparente, nico o mltiples contextos).
Asegure la comunicacin sobre las interfaces LAN failover y stateful failover
con una clave. De otra forma toda la informacin se enva en texto plano y se
trata de informacin sensitiva, por lo que constituye un riesgo de seguridad.
Si las interfaces LAN failover y stateful failover van a compartir el mismo

enlace, utilice la interfaz ms rpida disponible.
83 / 128

versin 1.1
NO comparta el enlace de la interfaz stateful failover con otra interfaz de datos

regulares.
Utilizando los temporizadores por defecto el cambio de standby a activo puede

requerir hasta 25 segundos. Esto se puede mejorar considerablemente
ajustando los temporizadores, pero tenga presente que timer muy bajos
pueden provocar falsas detecciones de fallos en caso de congestin de la red.
Considere la implementacin de PortFast en todos los puertos de switch que

estn conectados a las interfaces de los appliances.
1.7.4. Configuracin de failover activo/standby

Para completar la implementacin del sistema failover, es preciso completar 4 etapas:
Cableado de las interfaces.
Configuracin de failover en el dispositivo primario.
Configuracin de failover en el dispositivo secundario.
Configuracin de las direcciones IP en el dispositivo primario.
Cableado de las interfaces

Un punto sumamente importante es cablear correctamente las interfaces del clster
failover.
Ambos dispositivos deben estar conectados a la misma red (dominio de

broadcast) utilizando las mismas interfaces en ambos dispositivos. Cada
interfaz debe ser capaz de recibir los paquetes hellos de la interfaz espejo de la
contraparte, por lo que no debe haber ningn tipo de filtro entre las interfaces
de ambos dispositivos.
INSIDE
OUTSIDE
PRIMARIO
10.0.1.1/24
172.16.100.1/24
10.10.10.1/30
10.10.10.2/30
Terminal
10.0.x.11
10.0.1.2/24
172.16.100.2/24
SECUNDARIO
84 / 128

versin 1.1
Las interfaces LAN failover y opcionalmente las interfaces stateful failover

deben corresponder a una subred especfica que no ha de ser ruteada ms all
de los dispositivos.
Se puede considerar utilizar un par de interfaces redundantes para la interfaz

LAN failover a fin de brindar un nivel de proteccin adicional. En este caso
entre ambos appliances debe colocarse un switch LAN.
Configuracin de failover en el dispositivo primario

A continuacin se deben habilitar las funciones de failover y la interfaz LAN failover en
el dispositivo primario:
Extienda la opcin High Availability y selecciones Failover desde el men.

En el panel Failover seleccione la solapa Setup.
Habilite la funcin de failover marcando el checkbox Enable Failover.
En el campo Shared Key puede especificar una la clave pre compartida para
habilitar autenticacin y encriptacin de la informacin que se intercambiar
sobre la interfaz LAN failover.
En el rea LAN Failover utilice el men desplegable para indicar la interfaz

fsica que utilizar como interfaz LAN failover.
En el campo Logical Name asigne un nombre a la interfaz.
En el campo Active IP ingrese la direccin IP utilizada por el

dispositivo primario.
En el campo Subnet Mask ingrese la mscara de subred.
En el campo Standby IP ingrese la direccin IP del dispositivo

secundario.
Asegrese que la prioridad est configurada como Primary.
Si se va a operar en modo stateful failover, entonces debe utilizar el rea State

Failover. Utilice el men desplegable para indicar la interfaz fsica que utilizar
para esta tarea.
o
Si se utiliza la misma interfaz fsica que para LAN Failover, entonces no

es necesario definir nombre, direcciones IP y mscara.
Si se utiliza una interfaz fsica diferente de la LAN Failover, es

necesario completar la misma informacin que se complet para la
interfaz LAN Failover.
Se puede activar la funcin HTTP Replication seleccionando el

checkbox correspondiente.
Seleccione Apply para aplicar los cambios en la configuracin.

85 / 128

versin 1.1
Configuracin de failover en el dispositivo secundario

Una vez que concluye la configuracin de failover en el dispositivo primario, al aplicar
los cambios, ASDM despliega una ventana emergente preguntando por la direccin IP
del dispositivo secundario.
Si se ingresa la direccin IP del appliance secundario y luego se selecciona Yes,
ASDM automticamente configurar el appliance secundario con la misma
configuracin utilizada en el appliance primario excepto los tems especficos que
hacen a su rol de appliance secundario.
Par a esto es necesario que la interfaz que se va a utilizar est habilitada en el
dispositivo secundario y configurada con los parmetros de nombre, nivel de
seguridad y direccin IP correspondientes.
Alternativamente tambin es posible configurar manualmente el dispositivo secundario
siguiendo el mismo procedimiento utilizado para el primario, con la nica diferencia
que se debe configurar la interfaz LAN Failover como Secondary.
Configuracin de las direcciones IP
Finalmente se debe configurar las direcciones IP activa y standby de todas las
interfaces que van a participar del flujo de trfico a travs del sistema failover. La tarea
se realiza en el appliance primario que luego replica la configuracin en el secundario.

En el panel Failover seleccione la solapa Interfaces.
En la ventana podr observar una tabla en la que se encuentran las interfaces

habilitadas y configuradas en el appliance. La segunda columna de la tabla
contiene la direccin IP de la interfaz en el appliance primario (Active IP
Address), a continuacin la mscara de subred y luego la direccin IP del
appliance secundario (Standby IP Address).
Con el puntero del mouse haga doble clic en al campo Standby IP Address e
ingrese la direccin correspondiente de la interfaz correspondiente en el
appliance secundario. Repita esta accin para cada interfaz habilitada y
configurada.
Concluida la operacin seleccione el botn Apply para aplicar los cambios y

concluir la operacin.
Configuration replication
Es el proceso por el cual se enva una copia de la configuracin del dispositivo activo
al dispositivo standby.
Este proceso genera por parte del dispositivo activo dos mensajes de syslog:
86 / 128
Beginning configuration replication: Sending to mate.

versin 1.1
End Configuration Replication to mate.
Esta copia de la configuracin se realiza:
Cuando se configura inicialmente failover en ambos appliances.
Cuando el appliance que est en standby completa su proceso de booteo, el

dispositivo activo replica la configuracin completa y se guarda en la memoria
flash del dispositivo standby.
Cuando se ingresa un comando en la dispositivo activo, se enva al dispositivo

standby y se guarda en la configuracin en la flash.
Utilizando el comando write standby en el dispositivo activo.
La configuracin de los mdulos SSM no se replica automticamente, sino que debe

ser copiada manualmente desde la unidad activa a la standby.
Comandos vinculados a la operacin
Luego de la replicacin de la configuracin, ambos appliance tienen el mismo
hostname, lo cual es una complicacin para el management. Por este motivo es
conveniente modificar el prompt de ambos dispositivos de modo que indique la
prioridad y el estado. Con este propsito utilice el comando:
ASA(config)#prompt hostname priority state
Para verificar el estado del sistema completo de failover, se puede utilizar el siguiente
comando:
ASA#show failover
El sistema failover no es preemptive. Esto quiere decir que si el appliance primario
regresa a estar operativo luego de un fallo, no recuperar automticamente su estado
activo sino que el estado activo es retenido por el appliance secundario que lo
reemplaz durante el fallo.
Para forzar una unidad a pasar a estado activo, se debe utilizar el siguiente comando:
ASA(config)#failover active
Esto fuera al dispositivo en el que se ejecut el comando a pasar a estado activo. Si lo
que se desea es que el dispositivo que se encuentra activo pasa a estado standby:
ASA(config)#no failover active
Cuando una unidad se encuentra en estado Failed, quizs a causa de problemas en
una interfaz, y luego de resuelto el problema se la desea sacar de ese estado, se
puede ingresar el siguiente comando en la unidad activa:
ASA#failover reset
Ajuste del failover activo/standby
En la operacin de un sistema de failover hay varios aspectos que pueden requerir un
ajuste al modo de operacin por defecto de Cisco ASA:
87 / 128

versin 1.1
Cuando es necesario mejorar los tiempos de deteccin de fallo y conmutacin

de la operacin activo/failover, es posible ajustar tanto los temporizadores que
rigen la operacin como tambin la cantidad de interfaces que deben fallar
antes de que se produzca el cambio.
Otro punto a considerar son las direcciones MAC de las interfaces.

Normalmente cuando el dispositivo primario falla, el segundo asume la
operacin y al hacerlo reemplaza sus propias direcciones MAC por las del
dispositivo primario lo que asegura la continuidad de la operacin.
Sin embargo, si por un error de procedimiento booteo primero el appliance
secundario, al bootear el dispositivo primario se realizar un cambio de
direcciones MAC y esto provocar una interrupcin en el servicio de la red.
Para evitar esto es posible configurar manualmente direcciones MAC activas y
standby virtuales.
Para cambiar el criterio con el que se determina la necesidad del cambio

activo/standby, siga los siguientes pasos:
88 / 128

En el panel Failover seleccione la solapa Criteria.
El campo Number of Failed Interfaces That Triggers Failover permite indicar

la cantidad de interfaces que deben fallar para provocar el cambio.
Esto tambin puede especificarse como un porcentaje del total de interfaces
monitoreadas utilizando el campo Percentage of Failed Interfaces That
Triggers Failover.
Para modificar los temporizadores se puede utilizar la seccin Failover Poll

Time de la pantalla:
o
Los mens desplegables a la derecha de los campos permiten alternar

la unidad de medicin de tiempos entre milisegundos y segundos.
El campo Unit Failover define el lapso de tiempo entre paquetes hello

que enviarn los appliances.
El campo Unit Hold Time define el lapso de tiempo que el appliance

esperar antes de declarar la unidad que es contraparte del sistema
como failed y realizar el cambio standby/activo.
El campo Monitored Interfaces especifica el intervalo de tiempo para

el sondeo de las interfaces.
El campo Interface Hold Time especifica el lapso de tiempo (no menor

de 5 segundos) que se esperar antes de que la falla de una interfaz (o
un grupo) provoca el cambio standby/activo.

versin 1.1
Concluida la tarea seleccione Apply para hacer efectivos los cambios.
Para fijar las direcciones MAC activa y standby:

En el panel Failover seleccione la solapa MAC Address.
Seleccione el botn Add y se abrir una ventana de configuracin.
Utilice el men desplegable de Physical Interfaces para seleccionar la interfaz

para la cual ha de configurar una MAC virtual.
En el campo Active Interface ingrese la MAC que se asignar a la interfaz en

el appliance activo utilizando el formato xxxx.xxxx.xxxx
En el campo Standby Interface ingrese la MAC que se utilizar en el

appliance standby utilizando el mismo formato.
Concluido, seleccione OK.
Repita la operacin para cada interfaz de los dispositivos.
Seleccione Apply cuando haya concluido la tarea para hacer efectivos los
cambios.
89 / 128

versin 1.1
90 / 128

versin 1.1
Los ejercicios presentados en esta gua de laboratorio han sido diseados y
desarrollados con el objetivo de permitir la realizacin de ejercicios que permitan
verificar y practicar los procedimientos descriptos en la primera seccin del Manual.
2.0. El laboratorio
El laboratorio diseado para estos ejercicios permite reproducir una arquitectura
bsica compuesta por un firewall Cisco ASA 5520, un servidor con mltiples servicios
que desempea las veces de una DMZ y un segundo servidor representando un
servicio externo representando los servicios de una Extranet. Para poder realizar las
prcticas de failover (el ltimo captulo de este manual), es necesario armar al menos
2 PODs como el que se muestra a continuacin.
El laboratorio puede ser montado utilizando dispositivos reales o completamente
virtualizado.
2.0.1. Topologa del laboratorio

Cada POD est compuesto de la siguiente forma:
POD X
Servidor
DMZ
192.168.x.2
Terminal
10.0.x.11
ASA
Servidor
Extranet
172.16.1.100
2.0.2. Listado de equipos

Cada POD est compuesto por:
1 firewall ASA 5520
Software Cisco ASA 8.2 (1).

91 / 128

versin 1.1
1 Terminal para trabajo conteniendo:

Cliente SSH de Putty.
1 Servidor corriendo Windows 2003 Server Standard Edition con las siguientes
aplicaciones instaladas:
Directorio C:\Curso\ conteniendo: Instalador de ASDM (asdm-625.bin).
Cisco ACS 4.2.
Servidor HTTP.
Servidor FTP.
Servidor Telnet.
Scanner NMAP.
Kiwi Syslog.
2.0.3. Cableado del laboratorio

PODx
Dispositivo
Interfaz
Conecta a...
Interfaz
Cable
ASA
Gi 0/0
Switch compartido
--
Derecho
Gi0/1
Terminal
--
Derecho
Gi0/2
Servidor DMZ
--
Derecho
x representa el nmero de POD asignado por el

Instructor para su tarea.
2.0.4. Esquema de direccionamiento IP

PODx
Dispositivo
Interfaz
Red
IP
Mscara de Subred
ASA
Gi 0/0
172.16.1.0/24
172.16.1.x
255.255.255.0
Gi 0/1
10.0.x.0/24
10.0.x.1
255.255.255.0
Gi 0/2
192.168.x.1/24
192.168.x.1
255.255.255.0
Terminal
--
10.0.x.0/24
10.0.x.11
255.255.255.0
Servidor DMZ
--
192.168.x.0/24
192.168.x.2
255.255.255.0
Servidor Extranet
--
172.16.1.0/24
172.16.1.100
255.255.255.0
x representa el nmero de POD asignado por el

Instructor para su tarea.
92 / 128

versin 1.1
2.0.5. Informacin de acceso

Utilice la siguiente tabla para documentar la informacin de acceso a los diferentes
equipos terminales con los que se desarrollarn los laboratorios.
Parmetro
Valor
Nmero de POD
Clave de acceso a modo enable en el appliance
cisco1234
Nombre de usuario de la Terminal

Clave de acceso a la Terminal
Nombre de usuario del Servidor en la DMZ
Clave de acceso al Servidor en la DMZ
Nombre de usuario del Servidor de Extranet
Administrator
Clave de acceso del Servidor de Extranet
admin
Nombre de usuario 1 de ASDM
estudiante
Clave de acceso usuario 1 de ASDM
cisco
Nombre de usuario 2 de ASDM
estudiante 1
Clave de acceso usuario 2 de ASDM
cisco
93 / 128

versin 1.1

2.1.0. Lista de comandos a utilizar
configure terminal
copy running-config startup-config
enable
exit
interface [interfaz]
nameif
ping
reload
setup
show dhcpd binding
show dhcpd state
show flash:
show interface ip brief
show nameif
show route
show running-config
show version
write erase
2.1.1. Inicializacin del appliance de seguridad

1. Acceda a la CLI del Cisco ASA desde su Terminal.
En la pantalla de su terminal deber aparecer el prompt del dispositivo.
2. Borre la configuracin por defecto del dispositivo utilizando el comando write
erase.
3. Reinicie el dispositivo con el comando reload.
Cuando se le pregunte si desea guardar la configuracin responda No. Luego
confirme ingresando Enter.
4. Una vez que el dispositivo haya concluido el proceso de arranque le mostrar
en pantalla la invitacin a configurarlo utilizando el dilogo interactivo de
configuracin (setup).
Interrumpa el dilogo interactivo respondiendo No.
Aparecer el prompt del modo EXEC usuario.
5. Ingrese al modo EXEC privilegiado utilizando el comando enable. No hay
clave configurada, por lo que cuando se le pida la clave solamente ingrese un
Enter.
6. Examine el contenido de la memoria flash utilizando el comando show flash.
94 / 128

versin 1.1
7. Verifique la configuracin activa del dispositivo con el comando show

running-config.
8. Verifique el hardware, versin de la imagen de software y licencias del
dispositivo en su POD (show version).
2.1.2. Preparacin del ASA para Cisco ASDM

1. Desde el prompt de la CLI del Cisco ASA ingrese al modo de configuracin
global utilizando el comando configure terminal.
2. Defina la interfaz GigabitEthernet 0/1 como interfaz inside y acepte el nivel de
seguridad por defecto. Para esto ingrese la siguiente secuencia de comandos:
interface gigabitethernet0/1
nameif inside
exit
3. Regrese al modo de configuracin global e ingrese al dilogo de configuracin
interactivo (setup). Para ello ejecute en el modo de configuracin el comando
setup.
4. Utilice el modo setup para definir los siguientes parmetros:
Nombre del dispositivo: ASA
Nombre de dominio: edubooks.com
Clave de acceso a modo privilegiado: cisco1234
Direccin IP de la interfaz GigabitEthernet 0/1: 10.0.x.1/24
Habilite el servicio HTTP.
Habilite la IP 10.0.x.11/24 para acceder al servicio HTTP a travs de la
interfaz inside.
5. Finalizada la tarea, grabe la configuracin.
6. Verifique los cambios en la configuracin utilizando el comando show
running-config
2.1.3. Inicio de Cisco ASDM

1. Acceda a la terminal de trabajo que le ha sido asignada y abra una instancia
del navegador de Internet.
2. Inicie ASDM ingresando en la barra de navegacin de su navegador la
direccin IP que acaba de configurar en la interfaz Gi 0/1 del appliance:
https://10.0.x.1
3. Acepte las advertencias de seguridad que aparecern al abrir la pgina web de
inicio de ASDM.
Se abrir la ventana de ASDM.
4. Inicie ASDM.
5. Acepte nuevamente las advertencias de seguridad.
95 / 128

versin 1.1
6. A continuacin ASDM le requerir que ingrese las credenciales de seguridad.

En este punto ingrese la clave que acaba de configurar en el paso anterior:
cisco1234.
7. Se cargar ASDM y le mostrar la ventana inicial.
8. Tomando en cuenta la informacin que le muestra ASDM, complete la
siguiente informacin:
Cul es el hostname?
Cul es la versin del appliance?
Cul es la versin de ASDM?
Cul es el modo de firewall?
Cul es el total de memoria flash?
Cul es el modo de contexto?
Cul es el total de memoria?
9. Seleccione ahora la solapa License del rea Device Information. Con la
informacin contenida en esta solapa complete la siguiente informacin:
Cul es el tipo de licencia?
Cul es el nmero de interfaces fsicas?
Qu tipo de failover es soportado?
Cul es el nmero de VLANs?
Cuntos contextos se soportan?
Qu tipo de encriptacin est soportado?
Cuntos peers de VPN estn
soportados?
Cuntos peers de VPN SSL?
10. Aproveche a revisar el contenido de las otras reas de esta pgina inicial de
ASDM.
2.1.4. Configuracin de las interfaces de red

1. Desde ASDM habilite la interfaz Gi0/2. Se trata de la interfaz que conecta el
appliance con el servidor de la DMS. Configure la interfaz con los siguientes
parmetros:
96 / 128
Nombre: dmz
Nivel de seguridad: 50

versin 1.1
Direccin IP: 192.168.x.1/24
2. Complete la siguiente informacin:

Cul es la configuracin de dplex?
Cul es la configuracin de velocidad?
3. Habilite la interfaz Gi0/0. Esta es la interfaz que conecta hacia el core del
laboratorio. Para esta tarea utilice los siguientes parmetros:
Nombre: outside
Nivel de seguridad: 0
Direccin IP: 172.16.1.x/24
4. Aplique los cambios y guarde la configuracin.

5. Acceda al appliance a travs de CLI y verifique la configuracin y estado de las
interfaces utilizando los comandos show interface ip brief, show
nameif y ejecutando ping a la Terminal, el Servidor y el Servidor de Extranet.
6. En su Terminal de trabajo abra una instancia del navegador web y acceda a la
pgina web del Servidor de Extranet ingresando http://172.16.1.100 en la barra
de navegacin para verificar la conectividad.
2.1.5. Configuracin del servicio DHCP en el appliance

1. Regrese a su sesin de ASDM.
2. Habilite el servidor DHCP sobre la interfaz inside del appliance utilizando los
siguientes parmetros:
Pool de direcciones IP: 10.0.x.10 a 10.0.x.30/24
Servidor DNS: 192.168.x.2
Lease time: 1 da

4. Modifique la configuracin de su Terminal para obtener la configuracin IP del
servidor DHCP.
5. Verifique y complete la siguiente informacin para referencia futura:
Direccin IP
Mscara de subred
Default gateway
97 / 128

versin 1.1
6. Verifique el status del servidor DHCP en el appliance utilizando CLI con los
comandos show dhcpd state, show dhcpd binding, show dhcpd
statistics
98 / 128

versin 1.1

asdm image [imagen]
boot system [imagen]
configure terminal
crypto key generate rsa module [tamao]
ping
reload
show aaa-server
[nombre]
show bootvar
show clock
show flash:
show logging
show ntp associations
show version
2.2.1. Actualizacin del appliance y de ASDM

1. Acceda al servidor colocado en la DMZ.
2. Inicie el servidor TFTP seleccionando el cono del servicio en el escritorio.
3. Dentro del servidor TFTP configure el directorio raz a C:\Firewall.
4. Acceda a su terminal de trabajo e inicie ASDM para acceder a su appliance.
5. Ya en ASDM, acceda a la herramienta File Management. Utilizando esta
herramienta copie los siguientes archivos desde el Servidor en la DMZ a la
memoria flash de appliance, utilizando TFTP:
asa822-k8.bin
asdm-625.bin
6. Acceda a la CLI del appliance y verifique el contenido de la memoria flash
utilizando el comando show flash:
7. Acceda al modo de configuracin global del appliance y configure una variable
de booteo que cargue la nueva imagen (asa822-k8.bin) de sistema operativo
que est presente en la memoria flash.
8. Configure tambin la variable necesaria para que se utilice la nueva imagen de
ASDM (asdm-625.bin).
9. Guarde con configuracin.
10. Reinicie el appliance.
11. Una vez que haya concluido el arranque del appliance ingrese nuevamente al
mismo y verifique la imagen de software que est utilizando con el comando
show version
99 / 128

versin 1.1
12. Verifique tambin las variables de booteo que acaba de configurar con el
comando show bootvar
2.2.2. Configuracin del registro de incidentes del ASA

1. Regrese a la sesin ASDM en su Terminal de trabajo.
2. Habilite la funcin de logging globalmente.
3. Agregue el Servidor de su DMZ (192.168.x.2) como servidor de syslog de su
appliance. Utilice los valores por defecto para los parmetros requeridos.
4. Configure los siguientes destinos de logging:
Habilite logging al ASDM para los mensajes con severidad

Informational y superiores solamente.
Habilite logging al servidor de syslog para registrar todos los mensajes.
Deshabilite los mensajes de loggin a la consola.
5. Aplique la configuracin.
6. Guarde la configuracin.
7. Ingrese a la CLI del appliance y verifique la configuracin de logging en el
mismo utilizando el comando show logging.
8. Verifique la conexin con el Servidor en la DMZ utilizando el comando ping.
9. Acceda el Servidor en la DMZ e inicie el Kiwi Syslog Server seleccionando el
cono en el escritorio.
10. Desde la terminal de trabajo, abra una ventana de DOS y ejecute un ping al
Servidor (192.168.x.2) El resultado deber ser un error ya que el appliance no
habilita las respuestas de ping por defecto.
11. Observe los mensajes de ping fallido en la consola de Kiwi en el Servidor.
2.2.3. Configuracin de SNMPv2c en el appliance

1. Regrese a su sesin de ASDM en la Terminal de Trabajo.
2. Agregue el Servidor de la DMZ (192.168.x.2) al appliance como estacin de
management SNMP. Utilice los siguientes parmetros:
Interfaz: dmz
Direccin IP: 192.168.x.2
Community: nonpublic
SNMP versin: 2c
Deje los dems parmetros con los valores por defecto.
3. Aplique los cambios.

100 / 128

versin 1.1
5. Acceda al servidor en la DMZ.

6. Abra el navegador de MIBs (HillSoft MIB browser) utilizando el cono en el
escritorio.
7. Asegrese de seleccionar el appliance ASA del primer men desplegable.
8. Seleccione la opcin ccitt de la estructura de rbol que se encuentra en el
lado izquierdo del MIB browser. Automticamente se completar el campo OID
con el valor 0 (cero).
9. Seleccione la opcin GetBulk del men desplegable que est en el extremo
derecho y luego seleccione la flecha verde.
Usualmente Ud. Debera primero ingresar en el MIB browser los objetos

que pueden ser censados desde el appliance. Sin embargo, de acuerdo
a los objetivos de esta prctica hemos de censar objetos generales que
ya se encuentran incluidos en el MIB browser.
10. Observe la salida que obtiene como resultado del sondeo del appliance.
2.2.4. Habilite del acceso por SSH en el appliance

1. Regrese a la sesin de ASDM en su Terminal de Trabajo.
2. Habilite el acceso de management por SSH, permitiendo el acceso
exclusivamente desde la Terminal de Trabajo.
3. Aplique la configuracin.
101 / 128

versin 1.1
5. Desde la Terminal de Trabajo acceda a la CLI del appliance y genere una llave
RSA para que sea utilizada por la conexin SSH. Utilice una llave de 2048 bits.
2.2.5. Configuracin de autenticacin y accounting

1. Regrese a la sesin de ASDM en su Terminal de Trabajo.
2. Cree un usuario en la base de datos de usuarios local, del appliance, utilizando
los siguientes parmetros:
Usuario:
estudiante
Password:
cisco
3. Cree un grupo de servidores AAA llamado MNGM_AUT que utilice TACACS+

como protocolo de autenticacin. Deje los dems parmetros con sus valores
por defecto.
4. Agregue el Servidor de la DMZ (192.168.x.2) al grupo de servidores
MNGM_AUT utilizando los siguientes parmetros:
Interfaz:
Direccin IP: 192.168.x.2
Llave:
dmz
cisco

7. Configure autenticacin para las sesiones de management HTTP y SSH
utilizando el grupo de servidores MNGM_AUT. Utilice la base de datos local
como respaldo en ambos casos.
9. Configure accounting para las sesiones de management SSH utilizando el
grupo de servidores MNGM_AUT.
11. Guarde la configuracin y cierre ASDM.
12. Abra y acceda nuevamente a ASDM. Para ingresar utiliza ahora el usuario
estudiante que acaba de crear.
13. Inicie Putty haciendo doble clic sobre el cono en el escritorio de su Terminal de
Trabajo. Utilice la aplicacin para iniciar una sesin SSH a la interfaz inside del
appliance: 10.0.x.1. Seleccione Open.
14. Cuando la sesin le requiera usuario y clave utilice las siguientes credenciales:
102 / 128
Nombre de usuario:
estudiante1
Clave:
cisco

versin 1.1
15. Utilizando la sesin SSH que acaba de establecer, verifica las estadsticas
correspondientes al grupo de servidores MNGM_AUT utilizando el comando
show aaa-server MNGM_AUT.
Debe visualizar el intercambio de solicitudes y respuestas entre el appliance y
el servidor ACS que se encuentra en la DMZ.
16. Acceda al Servidor en la DMZ. Abra el Cisco ACS seleccionando el cono ACS
admin en el escritorio. Seleccione Reports and Activity > TACACS+ Accounting
> TACACS+ Accounting active.csv.
Debe visualizar el registro de los mensajes del acceso de estudiante1 en el
appliance.
103 / 128

versin 1.1

capture [nombre] type asp-drop acl-drop
show capture [nombre]
show conn
show local-host
2.3.1. Diagnstico bsico de conectividad

1. Acceda a la CLI del appliance utilizando la clave de modo privilegiado.
2. Inicie una captura de paquetes que son descartados por una lista de acceso
para que pueda, ms tarde, ver la informacin detallada respecto de ese
trfico.
3. Acceda al Servidor de Extranet utilizando las siguientes credenciales:
Usuario: Administrator
Clave: admin
4. Intente establecer una sesin HTTP desde el servidor hacia el Servidor en la
DMZ (192.168.x.2). El intento debera fallar debido a la poltica de seguridad
por defecto del appliance que slo permite conexiones desde interfaces con
nivel de seguridad ms alto hacia interfaces con menor nivel de seguridad.
5. Regrese a la CLI del appliance y revise la informacin de los paquetes que han
sido capturados. Debe ver descartados los paquetes HTTP que estaban
dirigidos al Servidor en la DMZ.
2.3.2. Configuracin de grupos de objetos

1. Acceda a la sesin ASDM en su terminal de trabajo utilizando las credenciales
usuario estudiante clave cisco.
2. Cree un grupo de servicios llamado Servicios_DMZ que incluya los siguientes
servicios:
tcp/http
tcp/ftp
udp/tftp
icmp/icmp
3. Aplique y guarde los cambios.
4. Cree un segundo grupo de servicios llamado Servicios_OUTSIDE que incluya
los siguientes servicio:
icmp/echo
tcp/http
104 / 128

versin 1.1
udp/dns
tcp/ftp
6. Cree un grupo de objetos de red llamado Servidores que incluya los siguientes:
Servidor DMZ (192.168.x.2)
Servidor (172.16.1.100)
2.3.3. Configuracin de reglas de acceso

1. Regrese a su sesin de ASDM en la Terminal de Trabajo.
2. Configure una regla de acceso para el trfico entrante sobre la interfaz outside
para permitir que ingresen los servicios HTTP, FTP, TFTP e ICMP desde la red
172.17.1.0/24 hacia la red 192.168.x.0/24. Para esta tarea tenga en cuenta el
grupo de servicios Servicios_DMZ creado antes.
3. Acceda al Servidor de Extranet e intente establecer una sesin HTTP desde el
Servidor de Extranet hacia el Servidor en la DMZ.
4. Regrese a la sesin de ASDM y diagnostique la conexin utilizando la
herramienta Packet Tracer.
Debera encontrar que la regla implcita que est al final de la regla descarta
los paquetes.
5. Reformule la regla de acceso en la interfaz outside corrigiendo la direccin IP
de origen de modo que ahora sea la direccin IP del Servidor de Extranet
(172.16.1.100).
6. Regrese al Servidor de Extranet e intente establecer una conexin HTTP
desde el Servidor hacia el Servidor en la DMZ nuevamente (192.168.x.2).
Ahora debiera tener xito.
7. Acceda la CLI del appliance y verifique el contenido de la tabla de conexiones.
8. Verifique la tabla de local host.
9. Abra Putty en el Servidor e intente establecer una sesin de Telnet para
conectarse desde el Servidor de Extranet hacia el Servidor en la DMZ. El
intento debiera fallar debido a que la lista de permisos descarta todo trfico
salvo el de HTTP, FTP, TFTP e ICMP.
10. Configure una regla de acceso entrante sobre la interfaz inside para permitir el
trfico saliente de los servicios ICMP echo, HTTP, DNS y FTP desde la red
inside hacia el Servidor en la DMZ y al Servidor de Extranet. Utilice el servicio
de grupos Servicios_OUTSIDE y el grupo de objetos de red Servidores que
cre previamente.
11. Abra una ventana del navegador web en la Terminal de Trabajo.
12. Intente establecer una conexin HTTP desde la terminal de trabajo hacia el
Servidor en la DMZ. El intento debiera ser exitoso.
105 / 128

versin 1.1
13. Regrese a la CLI del appliance y verifique el contenido de la tabla de

conexiones y la tabla de local host.
14. Regrese a la Terminal de Trabajo y abra una ventana de comandos DOS.
Intente conectarse utilizando Telnet desde la Terminal de Trabajo hacia el
Servidor de Extranet. El intento debe fallar debido a que la regla de acceso
descarta todo trfico salvo ICMP echo, HTTP, DNS y FTP.
15. Intente establecer una conexin HTTP desde la Terminal de Trabajo hacia el
Servidor en la DMZ. El intento debe ser exitoso.
16. Verifique el contenido actual de la tabla de conexiones y la tabla de local host.
17. Intente utilizar Telnet para conectarse desde la Terminal de Trabajo al Servidor
en la DMZ.; el intento debe fracasar en este caso, debido a que la regla de
acceso descarta todo trfico excepto el trfico ICMP echo, HTTP, DNS y FTP.
2.3.4. Configuracin de uRPF

1. Regrese a su sesin de ASDM en la Terminal de Trabajo. Habilite uRPF en las
siguientes interfaces del appliance:
inside
outside
dmz
2. Abra el visualizados de eventos de ASDM para ver los mensajes de logging.

3. Acceda el Servidor en la DMZ y abra una ventana de comandos de DOS en
Windows. Haga spoof de la direccin IP utilizando Nmap. Ingrese el comando:
nmap sS p 80 D 10.0.x.11 172.16.1.100
De esta forma el Servidor en la DMZ comenzar a enviar segmentos TCP SYN
con la direccin origen 10.0.x.11 hacia el destino 172.16.1.100.
4. Verifique los mensajes de loggin de los paquetes descargados en el
visualizador en tiempo real.
106 / 128

versin 1.1

show running-config
show service-policy
2.4.1. Configuracin de inspeccin de ICMP y FTP

1. Acceda a la CLI del appliance e ingrese al modo privilegiado.
2. Verifique la service policy por defecto y responda las siguientes preguntas:
Cul es el nombre del class map por
defecto?
Cul es el criterio de seleccin de la
clase?
Cul es el nombre del policy map por
defecto?
Qu clase est asociada al policy map?
3. Utilizando la siguiente tabla, indique qu protocolos son inspeccionados por
defecto:
Protocolo
Si/No
FTP
H.323 (H.225)
H.323 (RAS)
RSH
RTSP
SCCP
SIP
Oracle SQL* Net (TNS)
UNIX RPC (SUNRPC)
TFTP
XDCMP
CTIQBE
DCERPC
ICMP
107 / 128

versin 1.1
MMP
MGCP
4. Acceda a la Terminal de Trabajo utilizando las siguientes credenciales:

Usuario:
Administrator
Clave:
admin
5. Abra una ventana de comandos de DOS en Windows en la Terminal de

Trabajo y ejecute un ping al Servidor de Extranet 172.16.1.100. La ejecucin
debiera tener una respuesta time out porque ICMP no es inspeccionado por
defecto.
C:\>ping 172.16.1.100
6. Abra una sesin FTP hacia el Servidor 172.16.1.100 e ingrese utilizando las
credenciales:
Usuario:
anonymous
Clave:
cisco
Haga una lista de los archivos que estn disponibles en el servidor FTP. La
tarea debe poder completarse porque la inspeccin FTP est habilitada por
defecto.
C:\>ftp 172.16.1.100
Connected to 172.16.1.100
220 Microsoft FTP Service
User: anonymous
...
...
ftp>ls
7. Inicie nuevamente la sesin de ASDM utilizando las siguientes credenciales:
Usuario:
estudiante
Clave:
cisco
8. Habilite la inspeccin de ICMP y deshabilite la inspeccin de FTP editando la

poltica de inspeccin por defecto.
9. Aplique y guarde la configuracin.
10. Ejecute nuevamente un ping al Servidor de Extranet (172.16.1.100). Esta vez
el ejercicio debe ser exitoso ya que se ha habilitado la inspeccin de ICMP.
11. Abra nuevamente una sesin FTP hacia el Servidor 172.16.1.100 utilizando las
mismas credenciales:
Haga una lista de los archivos que estn disponibles en el servidor FTP. Esta
vez su solicitud debe ser rechazada porque la inspeccin de FTP fue
deshabilitada y el appliance no debe permitir la negociacin dinmica de la
sesin para pasar de una interfaz menos segura a una ms segura.
108 / 128

versin 1.1
12. Regrese a la sesin de ASDM y rehabilite la inspeccin de FTP nuevamente.

13. Acceda a la CLI del appliance y revise las estadsticas de la poltica global por
defecto utilizando el comando show service-policy
2.4.2. Habilitacin de la reduccin de TTL y deshabilitacin de la

aleatorizacin de la secuencia inicial de TCP
1. Abra una ventana de comandos de DOS en Windows en la Terminal de
Trabajo y ejecute un ping al Servidor de Extranet 172.16.1.100. La ejecucin
debiera tener una respuesta exitosa. Revise el valor de TTL que es reportado
por el ping.
C:\>ping 172.16.1.100
Pinging 172.16.1.100 with 32 bytes of data:
Reply for 172.16.1.100: bytes=32 time=5 ms TTL=128
... ...
2. Regrese a la sesin de ASDM en la Terminal de Trabajo.
3. Configure una nueva service policy y aplquela a la interfaz inside. Esta service
policy debe habilitar la reduccin de TTL y deshabilitar la aleatorizacin del ISN
de TCP. Para la tarea utilice los siguientes parmetros:
Nombre de la service policy: INSIDE-POLICY
Nombre de la traffic class:
IN-TO-OUT-TRAFFIC
Clasificacin de trfico:
HTTP, FTP e ICMP echo desde la red

10.0.x.0/24 hacia el Servidor 172.16.1.100
Acciones:
Reducir TTL para los flujos de trfico.

Deshabilitar la aleatorizacin de ISN de
TCP.

5. Ejecute nuevamente un ping a la 172.16.1.100. La respuesta debiera ser
nuevamente exitosa, solo que en este caso el valor de TTL debiera reducir en
1 por el cambio en la configuracin del appliance.
C:\>ping 172.16.1.100
Pinging 172.16.1.100 with 32 bytes of data:
Reply for 172.16.1.100: bytes=32 time=5 ms TTL=127
6. Examine la service policy creada utilizando el comando show servicepolicy
2.4.3. Ajuste de los temporizadores de TCP, habilitacin de DCD y

configuracin de la normalizacin de TCP
2. Cree un mapa TCP con los siguientes parmetros:
Nombre del mapa TCP: OUT-TO-DMZ-TCP-MAP
Habilite el descarte de paquetes TCP SYN con datos.
109 / 128

versin 1.1
Habilite la verificacin para comprobar que los datos retransmitidos son

los mismos que los originales.
Habilite la verificacin del checksum de TCP.
4. Configure un nuevo service policy y aplquelo a la interfaz outside. En el nuevo
service policy debe cambiar los temporizadores de TCP y habilitar DCD y
normalizacin de TCP. Utilice los siguientes parmetros para el service policy:
Nombre del service policy: OUTSIDE-POLICY
Nombre del traffic class: OUT-TO-DMZ-TRAFFIC
Trfico a clasificar:
HTTP, FTP, TFTP e ICMP desde el Servidor de

Autenticacin (172.16.1.100) al Servidor en la
DMZ (192.168.x.2).
Acciones:
Temporizador para conexiones embrinicas: 10 segundos.
Temporizador para conexiones half-closed: 5 minutos.
Timeout para conexiones: 10 minutos.
Habilite DCD con parmetros por defecto.
Habilite normalizacin de TCP utilizando el mapa TCP creado

antes (OUT-TO-DMZ-TCP-MAP).

6. Examine el service policy que ha creado utilizando el comando show
service-policy
110 / 128

versin 1.1

clear service-policy
show service-policy global inspect
2.5.1. Configuracin de inspeccin de HTTP para proteger el Servidor en

la DMZ
1. Acceda a la sesin de ASDM en la Terminal de Trabajo utilizando las
credenciales:
Usuario:
estudiante
Clave:
cisco
2. Cree un policy map de inspeccin de HTTP con el nombre MY-HTTP-POLICY.

3. Habilite la verificacin de HTTP de modo que se descarte y registro toda sesin
HTTP que no se conforme con las especificaciones estndar del protocolo.
4. Cree una nueva service policy y aplquela globalmente. Cree una nueva clase
de trfico en esta poltica global, con los siguientes parmetros:
Nombre:
WEB-SERVER-PROTECTION
Trfico que selecciona:
HTTP desde el Servidor (172.16.1.100)

hacia el Servidor en la DMZ (192.168.x.2)
Accin:
Aplique el policy map MY-HTTP-POLICY

6. Acceda al Servidor de Extranet utilizando estas credenciales:
Usuario:
Administrator
Clave:
admin
7. Inicie una sesin de Putty y simule una violacin del protocolo utilizando Telnet
para conectarse desde el Servidor de Extranet al Servidor en la DMZ
(192.168.x.2) utilizando el puerto 80.
8. Acceda al Servidor en la DMZ y observe los mensajes de logging que indican
el descarte de paquetes en el servidor Kiwi. Los mensajes relevantes son los
identificados como 415011 y 507003.
9. Acceda a la CLI del appliance. Verifique las estadsticas del service policy
utilizando el comando show service-policy global inspect http.
Verifique el contador de paquetes para ver los paquetes que han sido
inspeccionados y descartados por el proceso de inspeccin.
10. Reinicie a cero las estadsticas del service policy.
11. Regrese al Servidor de Extranet. Verifique la conectividad HTTP del Servidor
hacia el Servidor de la DMZ iniciando una sesin http://192.168.x.2/iisstart.htm
que es la pgina web por defecto del servidor.
La sesin debe ser exitosa.
111 / 128

versin 1.1
12. Verifique nuevamente la conectividad HTTP al Servidor en la DMZ iniciando

una sesin http://192.168.x.2/watever.htm
La pgina no ser mostrada ya que no existe. Sin embargo, debe recibir el
mensaje de error del Servidor en la DMZ.
14. Cree una clase que incluya las siguientes regular expressions:
Expresiones que coincidan con /iisstart.htm (^\/iisstart\.htm)
Expresiones que coincidan con /welcome.png (^\/welcome\.png)
15. Edite el policy map de inspeccin MY-HTTP-POLICY para permitir solo las
expresiones antes definidas en las URI contenidas en solicitudes HTTP. El
intento de acceso a cualquier otra URI debe ser denegado y registrado.
16. Regrese al Servidor de Extranet. Verifique la conectividad HTTP desde el
servidor al Servidor en la DMZ a http://192.168.x.2/iisstart.htm que es la pgina
web por defecto.
El intento debe ser exitoso.
17. Verifique la conectividad HTTP desde el Servidor al Servidor en la DMZ a la
direccin http://192.168.x.2/whatever.htm
Esta vez no debe recibir ninguna respuesta del Servidor en la DMZ porque el
appliance debi bloquear esta sesin.
18. Observe el registro de mensajes en el Syslog (Kiwi) en el Servidor en la DMZ.
Los mensajes relevantes son los identificados como 415006 y 507003.
19. Regrese a la CLI del appliance. Verifique una vez ms las estadsticas del
service policy. Observe el contador de paquetes para constatar los paquetes
que han sido inspeccionados y descartados por la inspeccin.
21. Regrese a la sesin de ASDM en la Terminal de Trabajo y quite la service
policy que aplica el policy map MY-HTTP-POLICY.
2.5.2. Configuracin de inspeccin de HTTP para proteger el cliente

1. Regrese a la sesin ASDM que est corriendo en la Terminal de Trabajo.
2. Cree un nuevo policy map de inspeccin de HTTP llamado CLIENT-HTTPPOLICY.
3. Configure minimizacin del tipo de contenido HTTP que descarte y registre
todos los paquetes con contenido tipo image/png que estn especificados en el
encabezado de la respuesta HTTP en el campo content-type. Utilice regular
expressions para seleccionar el valor del campo mencionado.
4. Cree una nueva service policy y aplquela globalmente. Cree una nueva clase
de trfico en la poltica global con los siguientes parmetros:
112 / 128
Nombre:
CLIENT-PROTECTION
Trfico que selecciona:
Trfico HTTP desde la Terminal de

Trabajo

versin 1.1
(10.0.x.11) al Servidor de Extranet

(172.16.1.100).
Accin:
Aplique el policy map CLIENT-HTTPPOLICY

6. Abra el navegador de Internet en la Terminal de Trabajo y borre el historial de
navegacin.
7. Verifique la conectividad HTTP desde la Terminal al Servidor iniciando una
sesin http://172.16.1.100/iisstart.htm
La pgina web debe mostrarse, pero no se debe visualizar la imagen embebida
en la misma.
8. Observe los mensajes de syslog en el Servidor Kiwi, donde debe ver el
descarte de paquetes. Los mensajes relevante tienen el identificador 415008 y
507003.
9. Regrese a la CLI del appliance y verifique las estadsticas del service policy.
Observe el contador de paquetes inspeccionados y descartados por la poltica.
11. Regrese a la sesin de ASDM en la Terminal de Trabajo y remueva el service
policy que est aplicando el policy map CLIENT-HTTP-POLICY.
12. Verifique la conectividad HTTP nuevamente, desde la Terminal de Trabajo al
Servidor iniciando nuevamente una sesin http://172.16.1.100/iisstart.htm
Ahora la imagen debe ser mostrada pues se removi la poltica.
113 / 128

versin 1.1

clear threat-detection shun
show dynamic-filter reports top
show dynamic-filter statistics
show logging
show logging messages
show running-config all
show service-policy
show threat-detection rate
show threat-detection scanning-threat
show threat-detection shun
threat-detection rate acl-drop rate-interval [int] average-rate
[rate] burst-rate [rate]
threat-detection rate scanning-threat rate-interval [int]
average-rate [rate] burst-rate [rate]
2.6.1. Ajuste de los mensajes de logging al syslog server

1. Acceda a la Terminal de Trabaja e inicia nuevamente su sesin de ASDM al
appliance.
2. Acceda al appliance utilizando las siguientes credenciales:
Usuario:
estudiante
Clave:
cisco
3. Cambie el nivel de los mensajes enviado al servidor de syslog que se

encuentra en la DMZ al nivel de Alerts.
4. Cambie al nivel de Alerts los siguientes mensajes de logging:
338002
338006
733100
733101
733102
5. Acceda a la CLI del appliance.
6. Verifique la configuracin general y de los mensajes de logging utilizando los
comandos show logging y show logging message.
114 / 128

versin 1.1
2.6.2. Ajuste de la deteccin de amenazas bsica

1. Acceda a la CLI del appliance e ingrese el modo EXEC privilegiado.
2. Verifique la configuracin por defecto de la deteccin de amenazas y responda
las siguientes preguntas:
La deteccin bsica de amenazas est
habilitada por defecto?
Para cuntos intervalos hay umbrales
configurados para eventos de ACLs?
Cul es la tasa promedio y la rfaga para cada intervalo de eventos de ACLs?
Rate interval
Average rate
Burst Size
Rate interval
Average rate
Burst Size
3. Ingrese al modo de configuracin global y remueva los umbrales por defecto

configurados para el descarte de paquetes por ACLs utilizando el comando
no threat-detection rate acl-drop ...
4. Configure nuevos umbrales para el descarte de paquetes por ACLs, utilizando
los siguientes parmetros:
Rate interval: 600 segundos
Average rate: 1
Burst rate:
6. Acceda al Servidor de Extranet y abra una ventana de comandos DOS. Inicie la
aplicacin Nmap con el comando nmap sU n 192.168.x.2
Este comando inicia un barrido de UDP en el servidor de la DMZ.
7. Acceda al Servidor en la DMZ y verifique los mensajes de logging en el
servidor Kiwi. Debera ver mensajes indicando que se excedieron los umbrales
que se configuraron antes para el descarte de paquetes por parte de la ACL.
Los mensajes de inters en este caso llevan el ID 7333100.
8. Acceda a la CLI del appliance y verifique que se han detectado eventos de
seguridad. Usted debiera ver el nmero de eventos de descarte de paquetes
por la ACL que provoc los mensajes de logging.
2.6.3. Habilitacin de la deteccin de amenazas de exploracin con

shunning
2. Habilite la deteccin de amenazas de exploracin con shunning.
3. Acceda a la CLI del appliance
115 / 128

versin 1.1
4. Verifique la configuracin por defecto de este feature y responda las siguientes

preguntas:
Para cuntos intervalos hay umbrales
configurados para eventos de exploracin?
Cul es la tasa promedio y la rfaga para cada intervalo de eventos de exploracin?
Rate interval
Average rate
Burst Size
Rate interval
Average rate
Burst Size
5. Ingrese al modo de configuracin global y borre los umbrales por defecto para
los eventos de exploracin.
6. Configure nuevos umbrales para los eventos de exploracin. Utilice los
siguientes parmetros:
Rate interval: 600 segundos
Average rate: 1
Burst rate:
8. Acceda al Servidor de Extranet y abra cuatro ventanas de comandos DOS.
9. Inicie la aplicacin Nmap en cada una de las ventanas abiertas con el comando
nmap sP 192.168.x.1-254
10. Repita rpidamente el comando al menos 3 veces en cada una de las ventanas
de comandos DOS.
11. Ingrese al Servidor en la DMZ y verifique los mensajes de syslog en Kiwi. Debe
ver mensajes indicando que la tasa de eventos de exploracin exceden los
umbrales configurados y que se ha detectado al atacante y se ha bloqueado la
conexin. Los mensajes de syslog relevantes son los identificados como
733100, 733101 y 733102.
12. Acceda a la CLI del appliance y verifique las tasas de deteccin de eventos de
seguridad utilizando el comando show threat-detection rate. Usted
debe ver un cierto nmero de eventos de descarte de paquetes por exploracin
que dispararon los mensajes de syslog.
13. Verifique los atacantes que han sido detectados por el sistema de deteccin de
exploraciones utilizando el comando show threat-detection scanningthreat.
14. Verifique las terminales que han sido bloqueadas por el sistema de deteccin
de exploraciones utilizando el comando show threat-detection shun.
15. Vuelva a cero la lista de terminales bloqueadas.
16. Deshabilite la funcin de deteccin de amenazas de exploracin con shunning.
116 / 128

versin 1.1
2.6.4. Habilitacin de TCP Intercept

1. Acceda a la sesin ASDM corriendo en la Terminal de Trabajo.
2. Habilite TCP Intercept para proteger el servidor de la DMZ editando la service
policy que est aplicada en la interfaz outside. En la service policy configure el
nmero mximo de conexiones embrinicas hacia el Servidor en la DMZ y el
mximo de conexiones embrinicas por cliente hacia el Servidor en la DMZ de
acuerdo a los siguientes criterios:
Mximo de conexiones embrinicas: 100.
Mximo de conexiones embrinicas por cliente: 10
3. Habilite la deteccin avanzada de amenazas para monitorear la tasa de TCP
Intercepts. Utilice los parmetros por defecto.
4. Revise la service policy que acaba de editar utilizando el comando show
service-policy
117 / 128

versin 1.1

2.7.0 Elementos preliminares
Topologa
Para realizar este laboratorio es preciso modificar la topologa utilizada hasta este
momento, conectando entre si los appliances de 2 PODs. El esquema de cableado a
utilizar es el siguiente.
POD X
PRIMARIO
Gi0/1
10.0.x.1
Gi0/2
192.168.x.1
Terminal
10.0.x.11
Gi0/0
172.16.1.1
Gi0/3
1.1.1.1
Servidor
DMZ
192.168.x.2
Servidor de
Autenticacin
172.16.1.100
Gi0/2
192.168.x.3
Gi0/1
10.0.x.3
Gi0/3
1.1.1.3
Gi0/0
172.16.1.3
SECUNDARIO
Lista de comandos a utilizar

clear configure failover
failover active
http [ip] [mascara] [interfaz]
http server enable
ip address [ip] [mascara]
name [nombre]
prompt [hostname] [prioridad] [estado]
reload
show failover
118 / 128

versin 1.1
2.7.1. Preparacin del appliance secundario

1. Acceda a la CLI del appliance secundario y pase a modo EXEC privilegiado.
2. Habilite la interfaz GigabitEthernet0/1 que lo conecta con la Terminal de
Trabajo.
3. Configure la interfaz GigabitEthernet0/1 con los siguientes parmetros:
Nombre:
inside
Nivel de Seguridad:
100
Direccin IP:
10.0.x.3/24
4. Permita el acceso utilizando ASDM al appliance desde la Terminal de Trabajo

cuya direccin IP es 10.0.x.11
5. Acceda a la Terminal de Trabajo. Verifique la conectividad de ASDM desde la
Terminal al appliance secundario utilizando el navegador de Internet:
https://10.0.x.3
6. Regrese a la CLI del appliance secundario y verifique la conectividad con el
appliance primario realizando un ping a la interfaz inside del dispositivo
primario (10.0.x.1).
2.7.2. Configuracin del appliance primario

1. Acceda por CLI a ambos appliances (primario y secundario) y mantenga
ambas sesiones de lnea de comandos abierta.
2. Regrese a la Terminal de Trabajo e inicie una sesin ASDM al appliance
primario (https://10.0.x.1). Utilice las siguientes credenciales de acceso:
Usuario:
estudiante
Clave:
cisco
3. Habilite failover en el dispositivo primario utilizando como shared key cisco1234

para la autenticacin y encriptacin de los mensajes que intercambiarn los
dispositivos.
4. Habilite solamente failover de hardware utilizando los siguientes parmetros
para la interfaz LAN failover:
Interfaz:
GigabitEthernet0/3
IP activa:
1.1.1.1
IP standby:
1.1.1.3
Mscara de Subred: 255.255.255.0

Logical Name:
FAILOVER
5. Asigne el rol primario al dispositivo.

7. Cuando se le pregunte si desea configurar el dispositivo que es contraparte
ingrese la direccin IP de la interfaz inside del appliance secundario (10.0.0.3)
y luego seleccione Yes.
Cuando se le requiera usuario y clave para el appliance secundario, deje los
campos en blanco.
119 / 128

versin 1.1
8. Observe la CLI de ambos appliances.

Debe ver que ambos dispositivos se detectan entre si y que la configuracin se
replica del appliance primario al secundario.
9. Acceda a la CLI del appliance primario y configure el nuevo prompt para que
muestra nombre, estado y prioridad.
11. Examine el estado de failover en el appliance primario y responda las
siguientes preguntas:
Est operacional la configuracin de
failover de hardware?
Si la respuesta es no. Qu es lo que est
faltando en la configuracin?
2.7.3. Configure direcciones IP standby y pruebe el sistema

1. Regrese a la sesin ASDM del appliance primario que est corriendo en la
Terminal de Trabajo.
2. Configure las direcciones IP standby para las siguientes interfaces:
inside:
10.0.x.3
outside:
172.16.1.3
dmz:
192.168.x.3

4. Acceda a la interfaz CLI del appliance activo (el primario).
5. Examine el estado de failover. Debiera ver que el appliance primario est
activo y el secundario standby. Todas las interfaces debieran estar con estado
Normal, y el failover de hardware operacional.
6. En la Terminal de Trabajo abra una ventana de comandos DOS e inicie un ping
continuo al Servidor de Extranet que debiera ser exitoso.
ping 172.16.1.100 -t
Deje la ventana abierta.
7. Abra una nueva ventana de comandos DOS e inicie una sesin FTP al
Servidor de Extranet utilizando nombre de usuario anonymous y clave cisco.
Verifique la lista de archivos utilizando el comando ls
8. Asegrese de guardar la configuracin del appliance primario.
9. Acceda a la interfaz CLI del appliance standby y deje la ventana abierta.
10. Acceda a la interfaz CLI del appliance activo y ejecute el comando
reload
120 / 128

versin 1.1
11. Acceda nuevamente a la ventana que contiene la CLI del appliance standby.
Cuando expire el tiempo de espera, el dispositivo mostrar el mensaje
Switching to Active
y a continuacin cambiar el prompt.
Cunto tiempo requiri al appliance
secundario realizar el cambio?
12. Regrese a la terminal de Trabajo y observe el ping continuo que dej corriendo
antes.
Debe verse que cuando se reinici el appliance primario el ping se interrumpi,
para reiniciarse en el momento en que el appliance secundario pas a estar
activo.
13. Regrese a la sesin FTP que abri previamente e intente nuevamente el
comando ls
Se puede ver la lista de archivos?
Por qu?
14. Acceda a la CLI del appliance secundario (ahora el activo) y verifica el status
de failover ejecutando el comando show failover
Debe mostrarle que el appliance secundario es ahora el activo y que el
primario es el standby. Todas las interfaces deben mostrarse con estado
Normal.
15. Regrese a la CLI del appliance primario y fuerce que el appliance primario
vuelva a ser el dispositivo activo utilizando el comando failover active
16. Verifique que todo haya regresado al estado inicial.
17. Cierre las sesiones de comandos DOS que tiene abiertas en la Terminal de
Trabajo.
2.7.4. Ajuste de la configuracin de failover

1. Regrese a la sesin ASDM que tiene corriendo en la Terminal de Trabajo.
2. Cambie los criterios de operacin del sistema de failover para que operen en
nivel de milisegundos utilizando los siguientes valores:
Unit failover:
300 mseg.
Unit Holdtime: 900 mseg.

4. En la Terminal de Trabajo abra una ventana de comandos DOS e inicie un ping
continuo al Servidor de Extranet que debiera ser exitoso.
ping 172.16.1.100 -t
121 / 128

versin 1.1
5. Ingrese a la CLI del appliance primario y verifique el estado de failover. Debe

ver que esta unidad es la activa y que han cambiado los temporizadores.
6. Asegrese de guardar la configuracin del appliance.
reload
Switching to Active
Cunto tiempo requiri al appliance
secundario realizar el cambio?
10. Regrese a la terminal de Trabajo y observe el ping continuo que dej corriendo
antes.
Debe verse que cuando se reinici el appliance primario el ping se interrumpi,
para reiniciarse en el momento en que el appliance secundario pas a estar
activo. Sin embargo, esta vez se deben haber perdido como mximo un nico
paquete de ping.
11. Cierre la sesin de comandos DOS que tiene abierta en la Terminal de Trabajo
2.7.5. Habilitacin de failover activo/standby stateful

1. Regrese a la sesin ASDM que tiene corriendo en la Terminal de Trabajo.
2. Habilite stateful failover. Utilice la interfaz LAN failover como interfaz de link
stateful.
4. Acceda a la CLI del appliance activo y verifique el estado de failover.
Debe ver las estadsticas de failover actualizadas que indican el intercambio de
informacin de estado entre ambos appliances.
5. En la terminal de trabajo abra una nueva ventana de comandos DOS e inicie
una sesin FTP al Servidor de Extranet utilizando nombre de usuario
anonymous y clave cisco.
Verifique la lista de archivos utilizando el comando ls
6. Asegrese de guardar la configuracin del appliance primario.
reload
122 / 128

versin 1.1

Switching to Active
10. Regrese a la terminal de Trabajo y observe la sesin FTP que abri
previamente e intente nuevamente el comando ls
Se puede ver la lista de archivos?
Por qu?
11. Cierre la sesin de comandos DOS que tiene abierta en la Terminal de Trabajo
123 / 128

versin 1.1
124 / 128

versin 1.1
ndice
Introduccin
5
Pre-requisitos ................................................................................................................................................. 5

7
1.0.1. Tipos de firewall ................................................................................................................................... 8
1.0.2. Sintetizando ....................................................................................................................................... 10
1.0.3. Cisco Adaptative Security Appliance (ASA) ........................................................................................ 10
12
1.1.1 Overview del proceso de booteo ........................................................................................................ 12
1.1.2. Booteo manual desde el modo monitor de ROM .............................................................................. 12
1.1.3. La interfaz CLI del Cisco ASA .............................................................................................................. 13
1.1.4. Sistema de archivos del ASA .............................................................................................................. 13
1.1.5.Administracin del ASA utilizando ASDM ........................................................................................... 14
1.1.6. Notas sobre la configuracin de interfaces y rutas estticas ............................................................ 19
1.1.7. Notas para la configuracin del servicio DHCP .................................................................................. 21
1.1.8. Packet Tracer ..................................................................................................................................... 22
23
1.2.1. Configuracin bsica del appliance .................................................................................................... 23
1.2.2. Configuracin de fecha y hora ........................................................................................................... 24
1.2.3. Administracin del registro de eventos y sesiones ............................................................................ 25
1.2.4. Configuracin del registro de eventos y sesiones .............................................................................. 26
1.2.5. Sistema de archivos del appliance ..................................................................................................... 30
1.2.6. Configuracin del acceso para administracin .................................................................................. 31
1.2.7. AAA en el acceso de management..................................................................................................... 35
1.2.8. Recuperacin de claves en Cisco ASA ................................................................................................ 39
41
1.3.0. Introduccin ....................................................................................................................................... 41
1.3.1. Configuracin y verificacin de reglas de acceso por interfaces ....................................................... 42
1.3.2. Configuracin y verificacin de grupos de objetos ............................................................................ 47
1.3.3. Unicast Reverse Path Forwarding ..................................................................................................... 50
1.3.4. ASDM Packet Tracer........................................................................................................................... 51
53
1.4.1. Ajuste de la inspeccin de capa 3 y 4................................................................................................. 53
1.4.2. Ajuste de las funciones de normalizacin de TCP .............................................................................. 57
1.4.3. Soporte para aplicaciones con protocolos dinmicos ....................................................................... 59
62
1.5.1. Inspeccin de HTTP ............................................................................................................................ 63
125 / 128

versin 1.1

70
1.6.1. Configuracin de TCP Intercept ......................................................................................................... 70
1.6.2. Configuracin del filtro de trfico de botnet ..................................................................................... 72
1.6.3. Deteccin bsica de amenazas. ......................................................................................................... 74
1.6.4. Deteccin avanzada de amenazas. .................................................................................................... 76
1.6.5. Deteccin de amenazas de exploracin............................................................................................. 78
1.7. Implementacin de un sistema de alta disponibilidad activo/standby
79
1.7.1. Opciones de implementacin de failover .......................................................................................... 80
1.7.2. Monitoreo del estado de ambas unidades ........................................................................................ 81
1.7.3. Anotaciones para la implementacin ................................................................................................ 83
1.7.4. Configuracin de failover activo/standby .......................................................................................... 84
91
2.0. El laboratorio
91
2.0.1. Topologa del laboratorio................................................................................................................... 91
2.0.2. Listado de equipos ............................................................................................................................. 91
2.0.3. Cableado del laboratorio ................................................................................................................... 92
2.0.4. Esquema de direccionamiento IP ...................................................................................................... 92
2.0.5. Informacin de acceso ....................................................................................................................... 93
94
2.1.0. Lista de comandos a utilizar ............................................................................................................... 94
2.1.1. Inicializacin del appliance de seguridad ........................................................................................... 94
2.1.2. Preparacin del ASA para Cisco ASDM .............................................................................................. 95
2.1.3. Inicio de Cisco ASDM.......................................................................................................................... 95
2.1.4. Configuracin de las interfaces de red .............................................................................................. 96
2.1.5. Configuracin del servicio DHCP en el appliance ............................................................................... 97
99
2.2.0. Lista de comandos a utilizar ............................................................................................................... 99
2.2.1. Actualizacin del appliance y de ASDM ............................................................................................ 99
2.2.2. Configuracin del registro de incidentes del ASA ............................................................................ 100
2.2.3. Configuracin de SNMPv2c en el appliance .................................................................................... 100
2.2.4. Habilite del acceso por SSH en el appliance .................................................................................... 101
2.2.5. Configuracin de autenticacin y accounting .................................................................................. 102
104
2.3.0. Lista de comandos a utilizar ............................................................................................................. 104
2.3.1. Diagnstico bsico de conectividad ................................................................................................. 104
2.3.2. Configuracin de grupos de objetos ................................................................................................ 104
2.3.3. Configuracin de reglas de acceso ................................................................................................... 105
2.3.4. Configuracin de uRPF ..................................................................................................................... 106
107
2.4.1. Configuracin de inspeccin de ICMP y FTP .................................................................................... 107
126 / 128

versin 1.1
2.4.2. Habilitacin del decremento de TTL y deshabilitacin de la aleatorizacin de la secuencia inicial de TCP
................................................................................................................................................................... 109
2.4.3. Ajuste de los temporizadores de TCP, habilitacin de DCD y configuracin de la normalizacin de TCP
................................................................................................................................................................... 109
111
2.5.1. Configuracin de inspeccin de HTTP para proteger el Servidor en la DMZ ................................... 111
2.5.2. Configuracin de inspeccin de HTTP para proteger el cliente ....................................................... 112
114
2.6.1. Ajuste de los mensajes de logging al syslog server .......................................................................... 114
2.6.2. Ajuste de la deteccin de amenazas bsica ..................................................................................... 115
2.6.3. Habilitacin de la deteccin de amenazas de exploracin con shunning ........................................ 115
2.6.4. Habilitacin de TCP Intercept .......................................................................................................... 117
118
2.7.0 Elementos preliminares .................................................................................................................... 118
2.7.1. Preparacin del appliance secundario ............................................................................................. 119
2.7.2. Configuracin del appliance primario .............................................................................................. 119
2.7.3. Configure direcciones IP standby y pruebe el sistema .................................................................... 120
2.7.4. Ajuste de la configuracin de failover.............................................................................................. 121
2.7.5. Habilitacin de failover activo/standby stateful .............................................................................. 122
ndice
125
127 / 128

versin 1.1
128 / 128

Configuración de Dispositivos ASA Versión 1.1

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Configuración de Dispositivos ASA Versión 1.1

Uploaded by

Copyright:

Available Formats

Biblioteca de Seguridad

Oscar Antonio Gerometta

Configuracin de dispositivos ASA

Todos los derechos reservados.

Configuracin de dispositivos ASA

1. Implementacin de dispositivos ASA

1.0. Tecnologas de firewalling

1.1. Configuracin de conectividad bsica

1.2. Configuracin de funciones de administracin

1.3. Configuracin bsica de polticas de control de acceso

1.4. Features bsicos de inspeccin stateful

1.5. Configuracin de polticas de capa de aplicacin

1.6. Configuracin avanzada de polticas de control de acceso

1.7. Implementacin de un sistema de alta disponibilidad activo/standby

2.1. Configuracin de la conectividad bsica

2.2. Configuracin de funciones de administracin

2.3. Configuracin bsica de polticas de control de acceso

2.4. Ajuste bsico de la inspeccin stateful

2.5. Configuracin de polticas de capa de aplicacin

2.6. Configuracin avanzada de polticas de control de acceso

2.7. Implementacin de failover activo/standby

Configuracin de dispositivos ASA

Deseo expresar un agradecimiento especial a aquellos que con su aporte han

Con el aporte de todos, todos nos enriquecemos. Muchas gracias.

Configuracin de dispositivos ASA

Conocimientos y adecuada comprensin de las tecnologas y operacin de las

Conocimientos y habilidades de configuracin equivalentes a las que verifica la

Si deses hacerme llegar tus comentarios o sugerencias, las recibir con

Configuracin de dispositivos ASA

Configuracin de dispositivos ASA

1. Implementacin de dispositivos ASA

1.0. Tecnologas de firewalling

En este contexto, el firewall es un sistema que fuerza la implementacin de polticas

El firewall mismo debe ser resistente a posibles ataques.

Todo el trfico entre dominios debe pasar a travs del firewall.

El sistema firewall puede consistir en un nico dispositivo o un conjunto de

Configuracin de dispositivos ASA

1.0.1. Tipos de firewall

Filtrado de paquetes stateless

Filtrado de paquetes stateful

Filtrado de paquetes stateful con inspeccin y control de aplicaciones

Configuracin de dispositivos ASA

Reensamble en memoria de las sesiones de capa de transporte para

Decodificacin de los protocolos de capa de aplicacin para permitir

Verificacin de los protocolos de capa de aplicacin para eliminar

Dependiendo de las inspecciones que se requieran, estos sistemas impactan

Sistemas de prevencin de intrusos en la red

Una importante base de datos de patrones de ataque que cubre las

Son de operacin transparente con poco impacto en la performance.

Sus limitaciones ms importantes son:

Son mecanismos permisivos y usualmente no pueden detectar

Requieren ajustes tanto iniciales como peridicos y un administrador

Gateways de aplicaciones (proxies)

Brindan opciones de control de acceso confiables para los protocolos

Provee normalizacin automtica de los protocolos.

Puede proveer anlisis de contenido en profundidad.

Se pueden implementar polticas tanto restrictivas como permisivas.

Las limitaciones de los proxies son:

No hay proxies disponibles para todas las aplicaciones corporativas.

Configuracin de dispositivos ASA

Pueden afectar el throughput y la latencia y no aplican a aplicaciones

En algunos casos se requiere clientes instalados en las terminales.

Para control de acceso en