1. Practica con firewall ASAEn la prctica que observaremos a continuacin, se establecer unaconexin con el fin de poner a prueba los parmetros funcionales delos dispositivos activos enfocados a la seguridad y el filtrado deservicios y paquetesProseguimos con al configuracin previa de la interfaces de red ydems detalles importantes para la conectividad.

2. Aqu podemos observar parmetros configurados tales como laasignacin de la ip a cada interfas,nivel de seguridad.todo esto fueefectuados en el ASAPodremos observar la configuracin de interfaces tambin en losroutersAcontinuacion les explicare la configuracin previa de algunosparmetros un poco desconocios para algunos 3. Asiganaremos el security-level o nivel de seguridadPara que sea un poco ms claro , como cada interfaz tiene unsecurity-level asignado , de la forma:-Inside: security-level 100-dmz: security-level 50-outside: security-level 0De esta forma, asignamos, en forma jerrquica, el nmero ms alto, esel que tiene ms seguridad en comparacion de las restantes, aunquela dmz, es donde estn todos nuestros servicios/servidores estos,tambin son vistos algunos en la internet, como la pgina web de laorg, concluyendo, de forma predeterminada, la inside podra ver a lasdems redes, pero no de forma inversa.En primer lugar verificaremos la conectividad realizando un ping desdelos router ala puerta de enlace del ASA 4. Ping desde el dmz ala puerta de enlace 5. Del asa al R1Del asa al dmz 6. En este caso nuestro servidor web es un router entonces necesitamosuna ruta para poder realizar la conexin entre redes diferentesHaora tenermos que relizar n acces-list para poder permitir la conexindesde el cliente asia el servidor webASA(config)# access-list pingc permit icmp any any echo-replyASA(config)# access-list pingc permit icmp any any unreachableASA(config)# access-list pingc deny icmp any any 7. Asiganaremos al acces-list a la interfaz dmzEfectuamos el ping desde el cliente hasta la webPodemos apreciar que fue exitoso 8. Habilitaremos la administracin por webASA (config)# ip http serverASA (config)# ip http secure-serverCreamos un access-list para ingresar desde la inside al servidor webASA(config)# access-list web permit tcp 192.168.1.0 255.255.255.0host 192.168.2.2 eq 80Luego denegamos el trafico restante para evitar problemas deseguridadASA(config)# access-list web deny ip any anyAsignamos la acceslist a la interfaz correspondienteASA(config-if)# access-group WEB in interface inside 9. Aqui podemos observer como accedemos a via webcrearemos una ruta por defecto, para que todo el trfico entrante ysaliente hacia y desde el internet sea por la ruta que definamos, quecasi siempre ser una ruta que la ISP nos asigna 10. tendremos que asignar una ruta por defecto para que el trfico queque haya conectividad entre el cliente de la lan y el servidor WEB einternet una ruta estatica.syo(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2Tambin tendremos que asignar una ruta por defecto para que eltrfico que viene desde internet pueda comunicarse con nuestro ASA.dmz(config)#ip route 0.0.0.0 0.0.0.0 200.200.1.1 11. ahora, asignaremos una IP pblica que rentaremos para poder ver elservidor Web desde internet usando NATdmz(config)# static (dmz,outside) 200.200.1.15 192.168.2.2 netmask255.255.255.255tenemos que crear una access-list para poder permitir las peticioneshttp en nuestra red, desde la outside.ASA(config)# access-list publica permit tcp any 200.200.1.15255.255.255.0 eq 80ASA(config)# access-list public deny ip any anyASA(config)# interface ethernet 0/2ASA(config-if)# access-group publica in interface outsideHagamos una prueba lo anterior simulando un cliente de internet 12. Crearemos un POOL de direcciones pblicas para que nuestrosusuarios de nuestra inside (LAN), puedan salir a internetPara que los usuarios de la inside LAN, puedan realizar una peticinde nuestro servidor Web local y no tengan que recorrer internet paraencontrarlo, hacemos un nat0 en el ASA y como global, asignaremosun rango de direcciones pblicas para que nuestros clientes puedansalir a internetASA(config)# nat (inside) 0 192.168.1.0 255.255.255.0ASAconfig)# global (outside) 1 200.200.1.3-200.200.1.10Tenemos que agregar una access-list para poder permitir que la lanpueda hacer peticiones web hacia todas las redes, es decir, la internet.Como ya tenemos una acces-list asignada ala interfaz inside lo queharemos ser aditarla para agregar un nueva lneaASA(config)# access-list web permit tcp 192.168.1.0 255.255.255.0any eq 80ASA(config)# access-list web permit tcp 192.168.1.0 255.255.255.0any eq 443 Estas 2 lineas la agregamos con el fin de permitir la conexionesseguras y las conexiones no seguras. 13. Haora veremos la utilidad de algunos comandos ala hora de verificarconectividad y disponibilidad en la red.el packet-tracer, su uso es fundamental para el reconocimiento deerrores en nuestra redASA# packet-tracer input inside tcp 192.168.1.2 1234 5 192.168.2.2httpinput = decimos si es trfico entrante o salienteinside = nombre de la interfaz, como en nuestro caso, inside, outside,dmztcp = protocolo a hacer el trazado192.168.1.2 = direccin IP de origen1234 = puerto origen172.16.0.2 = direccin IP de destinohttp = protocolo de destinotodo tiene que salir Allow para que este bienresult=allowtambien podemos haser una busqueda especifica con la herramientagreepASA(config)# show running-config | grep nat 14. Tambien cuando queremos ver la configuracion de una acces-listUsamos el comandoASA#show access-listOtra de las herramientas es la captura de paquetes por medio deuna access-list. primero hacemos una access-list y permitimos todo eltrfico ip del host o red que queremos capturar.ASA(config)# capture cap0 access-list cap0 interface outside