Curso y Ciclo: 2 ASIR

Mdulo: SEG

Alumno/a: Moiss Pedrajas Olmo

[Cortafuegos ASA]
1 EJERCICIO:

1. Configure the Asa:

ciscoasa(config)# object network inside-net
ciscoasa(config)# host 192.168.1.3
ciscoasa(config)# nat (inside,outside) dynamic interface
ciscoasa(config)# Access-list icmpAcl permit icmp any any
ciscoasa(config)# Access-group icmpAcl in interface outside
2. From Internal_Host, ping External_Host and verify that ping is successful.
3. Show nat and show xlate on ASA to verify the translation record.
4. In Simulation mode, observe how the destination address get translated at the ASA.

Curso y Ciclo: 2 ASIR

Mdulo: SEG
Lo primero que tenemos que hacer es entrar en la configuracin del router, para ello ponemos estas lneas:

Y despus, no disponemos a meter las siguiente lneas para la configuracin ASA,introducimos lo siguiente:

Ahora haremos ping desde Internal_Host, a External_Host y verificaremos que el ping sea exitoso.
Aqu vemos como estamos haciendo ping desde Internal_host a External_host:

Curso y Ciclo: 2 ASIR

Mdulo: SEG
Y aqu he la pestraa de la simulacin, vemos como ha llegado el paquete desde el internal al external y
tambin podemos observar como vuelve ese paquete:

Ahora mostraremos show nat y show xlate en ASA para verificar el registro de la traduccin:
Al poner el comando show nat en la terminal del router nos muestra una estadstica de reglas nat que se
han aplicado, y show xlate, que muestra las tablas de traducciones NAT:

En el modo de simulacin, observamos cmo la direccin de destino sean traducidas en el ASA.

Lo primero que tenemos que hacer, ser enviar un paquete de un host a otro y ahora veremos la
informacin del paquete ASA:

Curso y Ciclo: 2 ASIR

Mdulo: SEG

1. La tabla CEF tiene una entrada para la direccin IP de destino.

2. El dispositivo decrementa el TTL en el paquete.
3. El paquete va desde el interior a una red externa. El dispositivo busca su tabla de NAT para
traducciones necesarias.
4. El paquete coincide con una lista de fuentes dentro y crea una nueva entrada para la direccin local
de origen.
5. El dispositivo traduce el paquete de local a direcciones globales con la entrada coincidente.

Curso y Ciclo: 2 ASIR

Mdulo: SEG

2 EJERCICIO:

1. desde PC0 o PC1, abra el navegador y escriba https://10.0.0.1 ASA0 no responde con una pgina HTML

2. Habilitar servicio web de ASA

> conf t
> WebVPN
> enable outside
Volver a la PC y realizar solicitud https nuevo. Este ASA0 tiempo debera haber vuelto una pgina web
estndar PT HTML ASA a la PC.
Primero configuramos el router ASA:

Curso y Ciclo: 2 ASIR

Mdulo: SEG
Luego nos volvemos al pc y volvemos a introducir esa direccin:

Ponemos la contrasea cisco/cisco y:

3. Configuracin de un marcador en ASA

> Ir a la ficha Configuracin y haga clic en Administrador de marcadores
> Introduzca un ttulo del marcador y la URL correspondiente.
Utilice marca pginas 1 para el ttulo y http://192.168.1.2 de URL

Curso y Ciclo: 2 ASIR

Mdulo: SEG

4.Asigna el marcador y una poltica de grupo a un usuario de ASA

> Ir a la ficha Configuracin y haga clic en Administrador de usuarios (dos usuarios ya deben haber sido
creados: cisco y la clase).
> Seleccionar cisco usuario
> Seleccione un favorito
> Introduzca el nombre de la directiva (poltica1)
> Introduzca un nombre de perfil (perfil1)
> Haga clic en el set

Curso y Ciclo: 2 ASIR

Mdulo: SEG
5. Vuelva a la PC y busque https://10.0.0.1 nuevo.
Utilizando el usuario cisco, la pgina principal debe tener ahora el bookmark.

Desde el otro PC, vaya a https://10.0.0.1 e inicie sesin utilizando el usuario class.
Ahora no debera de tener bookmark.

Curso y Ciclo: 2 ASIR

Mdulo: SEG

3 EJERCICIO:
1. Prueba de ping desde Internal_Host a External_Host
Esperar al que el ping falle:
Aqu estamos haciendole ping desde la internal_host a external_host;

En el modo de simulacin, seguir el flujo y verifique que la respuesta ICMP se detuvo en la ASA

Aqu vemos como se detiene en el ASA:

Curso y Ciclo: 2 ASIR

Mdulo: SEG
2. Configure the Asa:
ciscoasa(config)# class-map testMap
ciscoasa(config)# match any
ciscoasa(config)# policy-map testPolicy
ciscoasa(config)# class testMap
ciscoasa(config)# inspect icmp
ciscoasa(config)# service-policy testPolicy interface inside

From Internal_Host, ping External_Host and verify that ping is successful.

Curso y Ciclo: 2 ASIR

Mdulo: SEG

4 EJERCICIO:
1. Desde Internal_Router, telnet para External_Router
(password is cisco)
Debe de dejarte conectarte:

3. De External_Router, telnet para Internal_Router

(password is cisco)
No debe dejarte conectarte:

5. A partir de ASA, configure la lista de acceso para permitir telnet:

access-list 101 extended permit tcp any any eq telnet
access-group 101 in interface outside

Y ahora s debera dejar hacer telnet desde el external_router al internal_router:

Curso y Ciclo: 2 ASIR

Mdulo: SEG
Vemos como antes no dejaba, y despus de configurarla, si: