Documentación ACL - Firewall ASA
cyberleon95
4,760 views
28 slides
Sep 17, 2014
Slide 1 of 28
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
About This Presentation
Documentacion de Firewall ASA y ACL en router.
Slide Content
Configuración y Documentación
de ACL y Firewall ASA
GESTIÓN DE REDES DE DATOS
SERVICIO NACIONAL DE APRENDIZAJE
DIEGO LEON GIL BARRIENTOS
GELIER ESTEBAN MORENO GÓMEZ
Ficha: 464327
de ACL y Firewall ASA
GESTIÓN DE REDES DE DATOS
SERVICIO NACIONAL DE APRENDIZAJE
DIEGO LEON GIL BARRIENTOS
GELIER ESTEBAN MORENO GÓMEZ
Ficha: 464327
1
Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es un
concepto de seguridad informática usado para fomentar la separación de
privilegios. Es una forma de determinar los permisos de acceso apropiados a un
determinado objeto, dependiendo de ciertos aspectos del proceso que hace el
pedido.
Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como
routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o denegando
el tráfico de red de acuerdo a alguna condición.
Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir
“tráfico interesante” (tráfico suficientemente importante como para activar o
mantener una conexión) en ISDN.
Las listas de acceso funcionan de acuerdo a sentencias que son configuradas en
el router.
Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es un
concepto de seguridad informática usado para fomentar la separación de
privilegios. Es una forma de determinar los permisos de acceso apropiados a un
determinado objeto, dependiendo de ciertos aspectos del proceso que hace el
pedido.
Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como
routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o denegando
el tráfico de red de acuerdo a alguna condición.
Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir
“tráfico interesante” (tráfico suficientemente importante como para activar o
mantener una conexión) en ISDN.
Las listas de acceso funcionan de acuerdo a sentencias que son configuradas en
el router.
2
En redes de computadoras, ACL se refiere a una lista de reglas que detallan
puertos de servicio o nombres de dominios (de redes) que están disponibles en
una terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de
terminales y/o redes que tienen permiso para usar el servicio. Tantos servidores
individuales como routers pueden tener ACLs de redes.
Las listas de acceso de control pueden configurarse generalmente para controlar
tráfico entrante y saliente y en este contexto son similares a unos cortafuegos.
Existen dos tipos de ACL:
ACL estándar, donde solo tenemos que especificar una dirección de origen;
ACL extendida, en cuya sintaxis aparece el protocolo y una dirección de origen y
de destino.
Las Acl por defecto bloquean todo el tráfico con una linea que se conoce
como linea implícita.
Las sentencias se ejecutan línea a línea hasta que se encuentra una
coincidencia.
Cuando una linea hace match el resto de las sentencias no se revisan.
Solo se puede aplicar 1 acl por interfaz y por protocolo.
Hay que considerar el flujo del tráfico para aplicar la acl en la interfaz
correspondiente.
En redes de computadoras, ACL se refiere a una lista de reglas que detallan
puertos de servicio o nombres de dominios (de redes) que están disponibles en
una terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de
terminales y/o redes que tienen permiso para usar el servicio. Tantos servidores
individuales como routers pueden tener ACLs de redes.
Las listas de acceso de control pueden configurarse generalmente para controlar
tráfico entrante y saliente y en este contexto son similares a unos cortafuegos.
Existen dos tipos de ACL:
ACL estándar, donde solo tenemos que especificar una dirección de origen;
ACL extendida, en cuya sintaxis aparece el protocolo y una dirección de origen y
de destino.
Las Acl por defecto bloquean todo el tráfico con una linea que se conoce
como linea implícita.
Las sentencias se ejecutan línea a línea hasta que se encuentra una
coincidencia.
Cuando una linea hace match el resto de las sentencias no se revisan.
Solo se puede aplicar 1 acl por interfaz y por protocolo.
Hay que considerar el flujo del tráfico para aplicar la acl en la interfaz
correspondiente.
3
ACTIVIDAD ACL
Tenemos la siguiente topología:
Debemos cumplir los siguientes propósitos:
Las redes inalámbricas solo deben tener acceso a internet, no a las demás
redes.
Las redes cableadas solo deben tener acceso al servidor 172.16.9.2, no a
las demás máquinas de ese segmento.
Lo primero que hicimos en la topología fue realizar un correcto enrutamiento en
general de los dispositivos para probar conectividad y eficacia de la topología.
NOTA: Primero hacer el debido enrutamiento sin aplicar ACLs, por que podríamos
tener problemas de conectividad y nos podríamos confundir si es la ACL que se
está aplicando o problemas generales de la topología.
La lista que aplicamos para que las redes inalámbricas del lado izquierdo no
tengan acceso a las demás redes, pero sí a internet fue:
ACTIVIDAD ACL
Tenemos la siguiente topología:
Debemos cumplir los siguientes propósitos:
Las redes inalámbricas solo deben tener acceso a internet, no a las demás
redes.
Las redes cableadas solo deben tener acceso al servidor 172.16.9.2, no a
las demás máquinas de ese segmento.
Lo primero que hicimos en la topología fue realizar un correcto enrutamiento en
general de los dispositivos para probar conectividad y eficacia de la topología.
NOTA: Primero hacer el debido enrutamiento sin aplicar ACLs, por que podríamos
tener problemas de conectividad y nos podríamos confundir si es la ACL que se
está aplicando o problemas generales de la topología.
La lista que aplicamos para que las redes inalámbricas del lado izquierdo no
tengan acceso a las demás redes, pero sí a internet fue:
4
En el siguiente requerimiento de este lado:
Las redes inalámbricas solo deben tener acceso a internet, no a las demás
redes.
Las redes cableadas solo deben tener acceso al servidor 172.16.9.2, no a
las demás máquinas de ese segmento.
En el siguiente requerimiento de este lado:
Las redes inalámbricas solo deben tener acceso a internet, no a las demás
redes.
Las redes cableadas solo deben tener acceso al servidor 172.16.9.2, no a
las demás máquinas de ese segmento.
5
En la lista de acceso la diseñamos desconociendo que podíamos tener dos listas
de acceso, por lo tanto diseñamos una sola para que cumpliéramos los
parámetros aplicando la ACL en una sola interfaz de trafico INSIDE.
Cumplimos con los parámetros pero si notamos bien la ACL estamos permitiendo
el tráfico origen desde el servidor en específico, hacia las demás redes por lo tanto
analizando; el tráfico desde las redes remotas si permite entrar al servidor pero la
ACL no permite que vaya a algunas redes, inalámbricas por ejemplo.
Las running-config de los routers son las siguientes:
En la lista de acceso la diseñamos desconociendo que podíamos tener dos listas
de acceso, por lo tanto diseñamos una sola para que cumpliéramos los
parámetros aplicando la ACL en una sola interfaz de trafico INSIDE.
Cumplimos con los parámetros pero si notamos bien la ACL estamos permitiendo
el tráfico origen desde el servidor en específico, hacia las demás redes por lo tanto
analizando; el tráfico desde las redes remotas si permite entrar al servidor pero la
ACL no permite que vaya a algunas redes, inalámbricas por ejemplo.
Las running-config de los routers son las siguientes:
6
Router 0
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router0
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 $1$boin$EYAhWq60EmH/0IdqmmFN9.
!
no aaa new-model
memory-size iomem 5
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
no ipv6 cef
!
multilink bundle-name authenticated
!
voice-card 0
!
archive
log config
hidekeys
!
!
interface FastEthernet0/0
ip address 172.16.0.1 255.255.255.0
ip access-group 101 in
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 172.16.1.129 255.255.255.128
duplex auto
speed auto
Router 0
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router0
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 $1$boin$EYAhWq60EmH/0IdqmmFN9.
!
no aaa new-model
memory-size iomem 5
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
no ipv6 cef
!
multilink bundle-name authenticated
!
voice-card 0
!
archive
log config
hidekeys
!
!
interface FastEthernet0/0
ip address 172.16.0.1 255.255.255.0
ip access-group 101 in
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 172.16.1.129 255.255.255.128
duplex auto
speed auto
7
!
interface Serial0/0/0
ip address 172.16.2.1 255.255.255.0
clock rate 64000
!
interface Serial0/0/1
no ip address
shutdown
clock rate 125000
!
interface Serial0/2/0
no ip address
shutdown
clock rate 2000000
!
interface Serial0/2/1
no ip address
shutdown
clock rate 2000000
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 172.16.2.2
ip route 172.16.8.0 255.255.255.0 172.16.2.2
ip route 192.168.10.0 255.255.255.0 172.16.2.2
no ip http server
no ip http secure-server
!
access-list 101 deny ip host 172.16.0.5 172.16.4.0 0.0.1.255
access-list 101 deny ip host 172.16.0.5 172.16.8.0 0.0.0.255
access-list 101 deny ip host 172.16.0.5 172.16.9.0 0.0.0.255
access-list 101 deny ip host 172.16.0.5 172.16.1.128 0.0.0.127
access-list 101 deny ip host 172.16.0.5 172.16.0.0 0.0.0.255
access-list 101 permit ip 172.16.0.0 0.0.0.255 any
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
!
scheduler allocate 20000 1000
end
!
interface Serial0/0/0
ip address 172.16.2.1 255.255.255.0
clock rate 64000
!
interface Serial0/0/1
no ip address
shutdown
clock rate 125000
!
interface Serial0/2/0
no ip address
shutdown
clock rate 2000000
!
interface Serial0/2/1
no ip address
shutdown
clock rate 2000000
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 172.16.2.2
ip route 172.16.8.0 255.255.255.0 172.16.2.2
ip route 192.168.10.0 255.255.255.0 172.16.2.2
no ip http server
no ip http secure-server
!
access-list 101 deny ip host 172.16.0.5 172.16.4.0 0.0.1.255
access-list 101 deny ip host 172.16.0.5 172.16.8.0 0.0.0.255
access-list 101 deny ip host 172.16.0.5 172.16.9.0 0.0.0.255
access-list 101 deny ip host 172.16.0.5 172.16.1.128 0.0.0.127
access-list 101 deny ip host 172.16.0.5 172.16.0.0 0.0.0.255
access-list 101 permit ip 172.16.0.0 0.0.0.255 any
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
!
scheduler allocate 20000 1000
end
8
Router 4
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname router4
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 $1$zisT$0aGPV.UGpI7.aMt2F8Y3T0
!
no aaa new-model
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
no ipv6 cef
!
multilink bundle-name authenticated
!
!
voice-card 0
!
archive
log config
hidekeys
!
interface Loopback1
ip address 200.200.200.200 255.255.255.0
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.4
encapsulation dot1Q 4
ip address 172.16.4.1 255.255.254.0
!
Router 4
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname router4
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable secret 5 $1$zisT$0aGPV.UGpI7.aMt2F8Y3T0
!
no aaa new-model
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
no ipv6 cef
!
multilink bundle-name authenticated
!
!
voice-card 0
!
archive
log config
hidekeys
!
interface Loopback1
ip address 200.200.200.200 255.255.255.0
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.4
encapsulation dot1Q 4
ip address 172.16.4.1 255.255.254.0
!
9
interface FastEthernet0/0.8
encapsulation dot1Q 8
ip address 172.16.8.1 255.255.255.0
!
interface FastEthernet0/1
ip address 172.16.9.1 255.255.255.0
ip access-group 101 in
duplex auto
speed auto
!
interface Serial0/0/0
ip address 172.16.2.2 255.255.255.0
!
interface Serial0/0/1
no ip address
shutdown
clock rate 125000
!
ip forward-protocol nd
ip route 172.16.0.0 255.255.255.0 172.16.2.1
ip route 172.16.1.128 255.255.255.128 172.16.2.1
no ip http server
no ip http secure-server
!
access-list 101 permit ip host 172.16.9.2 172.16.4.0 0.0.1.255
access-list 101 permit ip host 172.16.9.2 172.16.8.0 0.0.0.255
access-list 101 permit ip host 172.16.9.2 172.16.1.128 0.0.0.127
access-list 101 permit ip host 172.16.9.2 172.16.0.0 0.0.0.255
access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.4.0 0.0.1.255
access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.8.0 0.0.0.255
access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.1.128 0.0.0.127
access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.0.0 0.0.0.255
access-list 101 permit ip 172.16.9.0 0.0.0.255 any
!
!
control-plane
!
line con 0
line aux 0
line vty 0 4
login
!
scheduler allocate 20000 1000
end
interface FastEthernet0/0.8
encapsulation dot1Q 8
ip address 172.16.8.1 255.255.255.0
!
interface FastEthernet0/1
ip address 172.16.9.1 255.255.255.0
ip access-group 101 in
duplex auto
speed auto
!
interface Serial0/0/0
ip address 172.16.2.2 255.255.255.0
!
interface Serial0/0/1
no ip address
shutdown
clock rate 125000
!
ip forward-protocol nd
ip route 172.16.0.0 255.255.255.0 172.16.2.1
ip route 172.16.1.128 255.255.255.128 172.16.2.1
no ip http server
no ip http secure-server
!
access-list 101 permit ip host 172.16.9.2 172.16.4.0 0.0.1.255
access-list 101 permit ip host 172.16.9.2 172.16.8.0 0.0.0.255
access-list 101 permit ip host 172.16.9.2 172.16.1.128 0.0.0.127
access-list 101 permit ip host 172.16.9.2 172.16.0.0 0.0.0.255
access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.4.0 0.0.1.255
access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.8.0 0.0.0.255
access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.1.128 0.0.0.127
access-list 101 deny ip 172.16.9.0 0.0.0.255 172.16.0.0 0.0.0.255
access-list 101 permit ip 172.16.9.0 0.0.0.255 any
!
!
control-plane
!
line con 0
line aux 0
line vty 0 4
login
!
scheduler allocate 20000 1000
end
10
Para la lista de acceso correcta para el Router 4 es así, aplicando 2 listas de
acceso.
Router 4 # ethernet 101 out
access-list 101 permit ip 172.16.4.0 0.0.3.255 host 172.16.9.2
access-list 101 permit ip 172.16.8.0 0.0.0.255 host 172.16.9.2
access-list 101 permit ip 172.16.1.128 0.0.0.127 host 172.16.9.2
access-list 101 permit ip 172.16.0.0 0.0.0.255 host 172.16.9.2
Router 4 # ethernet 102 in
access-list 102 permit ip host 172.16.9.2 any
access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.4.0 0.0.3.255
access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.8.0 0.0.0.255
access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.1.128 0.0.0.127
access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.0.0 0.0.0.255
access-list 102 permit ip 172.16.9.0 0.0.0.255 any
Configuración y Documentación Firewall ASA
La topología planteada es la siguiente:
Para la lista de acceso correcta para el Router 4 es así, aplicando 2 listas de
acceso.
Router 4 # ethernet 101 out
access-list 101 permit ip 172.16.4.0 0.0.3.255 host 172.16.9.2
access-list 101 permit ip 172.16.8.0 0.0.0.255 host 172.16.9.2
access-list 101 permit ip 172.16.1.128 0.0.0.127 host 172.16.9.2
access-list 101 permit ip 172.16.0.0 0.0.0.255 host 172.16.9.2
Router 4 # ethernet 102 in
access-list 102 permit ip host 172.16.9.2 any
access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.4.0 0.0.3.255
access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.8.0 0.0.0.255
access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.1.128 0.0.0.127
access-list 102 deny ip 172.16.9.0 0.0.0.255 172.16.0.0 0.0.0.255
access-list 102 permit ip 172.16.9.0 0.0.0.255 any
Configuración y Documentación Firewall ASA
La topología planteada es la siguiente:
11
Según los requerimientos pedidos por nuestra instructora correspondiente al 6
trimestre, nos vale como actividad de Firewall ASA la actividad planteada para el
concurso SENASOFT, los requerimientos son los siguientes:
Según los requerimientos pedidos por nuestra instructora correspondiente al 6
trimestre, nos vale como actividad de Firewall ASA la actividad planteada para el
concurso SENASOFT, los requerimientos son los siguientes:
12
Las configuraciones fueron las siguientes, en el caso de los routers:
Router PROMETEO
! Last configuration change at 16:01:05 UTC Wed Aug 20 2014
version 15.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname PROMETEO
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
!
no aaa new-model
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
voice-card 0
!
license udi pid CISCO2901/K9 sn FTX155183CS
license accept end user agreement
license boot module c2900 technology-package securityk9
license boot module c2900 technology-package uck9
license boot module c2900 technology-package datak9
redundancy
!
Las configuraciones fueron las siguientes, en el caso de los routers:
Router PROMETEO
! Last configuration change at 16:01:05 UTC Wed Aug 20 2014
version 15.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname PROMETEO
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
!
no aaa new-model
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
voice-card 0
!
license udi pid CISCO2901/K9 sn FTX155183CS
license accept end user agreement
license boot module c2900 technology-package securityk9
license boot module c2900 technology-package uck9
license boot module c2900 technology-package datak9
redundancy
!
13
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 10.0.0.2 255.0.0.0
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.1
encapsulation dot1Q 2
ip address 192.168.10.1 255.255.255.248
ip helper-address 192.168.10.26
!
interface GigabitEthernet0/1.2
encapsulation dot1Q 8
ip address 192.168.10.9 255.255.255.248
ip helper-address 192.168.10.26
!
interface GigabitEthernet0/1.3
encapsulation dot1Q 16
ip address 192.168.10.17 255.255.255.248
ip helper-address 192.168.10.26
!
interface GigabitEthernet0/1.4
encapsulation dot1Q 24
ip address 192.168.10.25 255.255.255.248
ip helper-address 192.168.10.26
!
interface GigabitEthernet0/1.5
encapsulation dot1Q 5
ip address 192.168.20.1 255.255.255.248
ip helper-address 192.168.10.26
!
interface GigabitEthernet0/1.6
encapsulation dot1Q 6
ip address 192.168.20.9 255.255.255.248
ip helper-address 192.168.10.26
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 10.0.0.2 255.0.0.0
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.1
encapsulation dot1Q 2
ip address 192.168.10.1 255.255.255.248
ip helper-address 192.168.10.26
!
interface GigabitEthernet0/1.2
encapsulation dot1Q 8
ip address 192.168.10.9 255.255.255.248
ip helper-address 192.168.10.26
!
interface GigabitEthernet0/1.3
encapsulation dot1Q 16
ip address 192.168.10.17 255.255.255.248
ip helper-address 192.168.10.26
!
interface GigabitEthernet0/1.4
encapsulation dot1Q 24
ip address 192.168.10.25 255.255.255.248
ip helper-address 192.168.10.26
!
interface GigabitEthernet0/1.5
encapsulation dot1Q 5
ip address 192.168.20.1 255.255.255.248
ip helper-address 192.168.10.26
!
interface GigabitEthernet0/1.6
encapsulation dot1Q 6
ip address 192.168.20.9 255.255.255.248
ip helper-address 192.168.10.26
!
14
interface GigabitEthernet0/1.7
encapsulation dot1Q 7
ip address 192.168.20.17 255.255.255.248
ip helper-address 192.168.10.26
!
interface Serial0/0/0
no ip address
shutdown
clock rate 2000000
!
interface Serial0/0/1
no ip address
shutdown
clock rate 2000000
!
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 10.0.0.1
!
control-plane
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
gatekeeper
shutdown
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
interface GigabitEthernet0/1.7
encapsulation dot1Q 7
ip address 192.168.20.17 255.255.255.248
ip helper-address 192.168.10.26
!
interface Serial0/0/0
no ip address
shutdown
clock rate 2000000
!
interface Serial0/0/1
no ip address
shutdown
clock rate 2000000
!
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 10.0.0.1
!
control-plane
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
gatekeeper
shutdown
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
15
line vty 0 4
login
transport input all
!
scheduler allocate 20000 1000
!
end
Router ATLAS
Building configuration...
Current configuration : 1630 bytes
!
! Last configuration change at 15:32:27 UTC Wed Aug 20 2014
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ATLAS
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
no ipv6 cef
ip source-route
ip cef
!
multilink bundle-name authenticated
!
crypto pki token default removal timeout 0
!
!
voice-card 0
!
license udi pid CISCO2901/K9 sn FTX155183DR
license accept end user agreement
license boot module c2900 technology-package securityk9
license boot module c2900 technology-package uck9
license boot module c2900 technology-package datak9
!
!
line vty 0 4
login
transport input all
!
scheduler allocate 20000 1000
!
end
Router ATLAS
Building configuration...
Current configuration : 1630 bytes
!
! Last configuration change at 15:32:27 UTC Wed Aug 20 2014
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ATLAS
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
no ipv6 cef
ip source-route
ip cef
!
multilink bundle-name authenticated
!
crypto pki token default removal timeout 0
!
!
voice-card 0
!
license udi pid CISCO2901/K9 sn FTX155183DR
license accept end user agreement
license boot module c2900 technology-package securityk9
license boot module c2900 technology-package uck9
license boot module c2900 technology-package datak9
!
!
16
username cisco privilege 15 secret 5 $1$uEPV$m2c2Y6nAfqpn5QWx2BgMJ.
!
redundancy
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 30.0.0.2 255.0.0.0
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 40.0.0.1 255.0.0.0
duplex auto
speed auto
!
interface Serial0/0/0
no ip address
shutdown
clock rate 2000000
!
interface Serial0/0/1
no ip address
shutdown
clock rate 2000000
!
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 30.0.0.1
!
control-plane
!
!
mgcp profile default
!
gatekeeper
shutdown
username cisco privilege 15 secret 5 $1$uEPV$m2c2Y6nAfqpn5QWx2BgMJ.
!
redundancy
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 30.0.0.2 255.0.0.0
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 40.0.0.1 255.0.0.0
duplex auto
speed auto
!
interface Serial0/0/0
no ip address
shutdown
clock rate 2000000
!
interface Serial0/0/1
no ip address
shutdown
clock rate 2000000
!
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 30.0.0.1
!
control-plane
!
!
mgcp profile default
!
gatekeeper
shutdown
17
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
exec-timeout 5 0
login
transport input ssh
!
scheduler allocate 20000 1000
end
SWITCH DE LAS VLANs LOCALES
Current configuration : 4102 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SWITCH_SENASOFT
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
system mtu routing 1500
ip subnet-zero
!
crypto pki trustpoint TP-self-signed-2674122752
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2674122752
revocation-check none
rsakeypair TP-self-signed-2674122752
!
spanning-tree mode pvst
spanning-tree extend system-id
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
exec-timeout 5 0
login
transport input ssh
!
scheduler allocate 20000 1000
end
SWITCH DE LAS VLANs LOCALES
Current configuration : 4102 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SWITCH_SENASOFT
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
system mtu routing 1500
ip subnet-zero
!
crypto pki trustpoint TP-self-signed-2674122752
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2674122752
revocation-check none
rsakeypair TP-self-signed-2674122752
!
spanning-tree mode pvst
spanning-tree extend system-id
!
18
vlan internal allocation policy ascending
!
interface FastEthernet0/1
switchport mode trunk
!
interface FastEthernet0/2
!
interface FastEthernet0/3
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/4
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/5
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/6
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/7
switchport access vlan 8
switchport mode access
!
interface FastEthernet0/8
switchport access vlan 8
switchport mode access
!
interface FastEthernet0/9
switchport access vlan 8
switchport mode access
!
interface FastEthernet0/10
switchport access vlan 8
switchport mode access
!
interface FastEthernet0/11
switchport access vlan 16
switchport mode access
!
interface FastEthernet0/12
switchport access vlan 16
switchport mode access
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
switchport mode trunk
!
interface FastEthernet0/2
!
interface FastEthernet0/3
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/4
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/5
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/6
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/7
switchport access vlan 8
switchport mode access
!
interface FastEthernet0/8
switchport access vlan 8
switchport mode access
!
interface FastEthernet0/9
switchport access vlan 8
switchport mode access
!
interface FastEthernet0/10
switchport access vlan 8
switchport mode access
!
interface FastEthernet0/11
switchport access vlan 16
switchport mode access
!
interface FastEthernet0/12
switchport access vlan 16
switchport mode access
!
19
interface FastEthernet0/13
switchport access vlan 16
switchport mode access
!
interface FastEthernet0/14
switchport access vlan 16
switchport mode access
!
interface FastEthernet0/15
switchport access vlan 24
switchport mode access
!
interface FastEthernet0/16
switchport access vlan 24
switchport mode access
!
interface FastEthernet0/17
switchport access vlan 24
switchport mode access
!
interface FastEthernet0/18
switchport access vlan 24
switchport mode access
!
interface FastEthernet0/19
switchport access vlan 5
switchport mode access
!
interface FastEthernet0/20
switchport access vlan 5
switchport mode access
!
interface FastEthernet0/21
switchport access vlan 6
switchport mode access
!
interface FastEthernet0/22
switchport access vlan 6
switchport mode access
!
interface FastEthernet0/23
switchport access vlan 7
switchport mode access
!
interface FastEthernet0/24
switchport access vlan 7
switchport mode access
interface FastEthernet0/13
switchport access vlan 16
switchport mode access
!
interface FastEthernet0/14
switchport access vlan 16
switchport mode access
!
interface FastEthernet0/15
switchport access vlan 24
switchport mode access
!
interface FastEthernet0/16
switchport access vlan 24
switchport mode access
!
interface FastEthernet0/17
switchport access vlan 24
switchport mode access
!
interface FastEthernet0/18
switchport access vlan 24
switchport mode access
!
interface FastEthernet0/19
switchport access vlan 5
switchport mode access
!
interface FastEthernet0/20
switchport access vlan 5
switchport mode access
!
interface FastEthernet0/21
switchport access vlan 6
switchport mode access
!
interface FastEthernet0/22
switchport access vlan 6
switchport mode access
!
interface FastEthernet0/23
switchport access vlan 7
switchport mode access
!
interface FastEthernet0/24
switchport access vlan 7
switchport mode access
20
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
ip http server
ip http secure-server
!
control-plane
!
!
line con 0
line vty 0 4
login
line vty 5 15
login
!
End
FIREWALL ASA
ASA Version 9.1(3)
!
hostname FIREWALL
enable password 8Ry2YjIyt7RRXU24 encrypted
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
names
!
interface Ethernet0/0
nameif inside
security-level 100
ip address 10.0.0.1 255.0.0.0
!
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
ip http server
ip http secure-server
!
control-plane
!
!
line con 0
line vty 0 4
login
line vty 5 15
login
!
End
FIREWALL ASA
ASA Version 9.1(3)
!
hostname FIREWALL
enable password 8Ry2YjIyt7RRXU24 encrypted
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
names
!
interface Ethernet0/0
nameif inside
security-level 100
ip address 10.0.0.1 255.0.0.0
!
21
interface Ethernet0/1
nameif DMZ
security-level 50
ip address 20.0.0.1 255.0.0.0
!
interface Ethernet0/2
nameif outside
security-level 0
ip address 30.0.0.1 255.0.0.0
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
object network dmz-internet
subnet 20.0.0.0 255.0.0.0
object network inside-internet
subnet 0.0.0.0 0.0.0.0
object network webserver-external-ip
host 30.0.0.4
object network webserver
host 20.0.0.2
access-list outside_acl extended permit tcp any object webserver eq www
pager lines 24
mtu inside 1500
mtu DMZ 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside,outside) source dynamic inside-internet interface
nat (DMZ,outside) source dynamic dmz-internet interface
!
object network webserver
nat (DMZ,outside) static webserver-external-ip service tcp www www
access-group outside_acl in interface outside
interface Ethernet0/1
nameif DMZ
security-level 50
ip address 20.0.0.1 255.0.0.0
!
interface Ethernet0/2
nameif outside
security-level 0
ip address 30.0.0.1 255.0.0.0
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
object network dmz-internet
subnet 20.0.0.0 255.0.0.0
object network inside-internet
subnet 0.0.0.0 0.0.0.0
object network webserver-external-ip
host 30.0.0.4
object network webserver
host 20.0.0.2
access-list outside_acl extended permit tcp any object webserver eq www
pager lines 24
mtu inside 1500
mtu DMZ 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside,outside) source dynamic inside-internet interface
nat (DMZ,outside) source dynamic dmz-internet interface
!
object network webserver
nat (DMZ,outside) static webserver-external-ip service tcp www www
access-group outside_acl in interface outside
22
route outside 0.0.0.0 0.0.0.0 30.0.0.2 1
route inside 192.168.10.0 255.255.255.248 10.0.0.2 1
route inside 192.168.10.8 255.255.255.248 10.0.0.2 1
route inside 192.168.10.16 255.255.255.248 10.0.0.2 1
route inside 192.168.10.24 255.255.255.248 10.0.0.2 1
route inside 192.168.20.0 255.255.255.248 10.0.0.2 1
route inside 192.168.20.8 255.255.255.248 10.0.0.2 1
route inside 192.168.20.16 255.255.255.248 10.0.0.2 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 5
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
route outside 0.0.0.0 0.0.0.0 30.0.0.2 1
route inside 192.168.10.0 255.255.255.248 10.0.0.2 1
route inside 192.168.10.8 255.255.255.248 10.0.0.2 1
route inside 192.168.10.16 255.255.255.248 10.0.0.2 1
route inside 192.168.10.24 255.255.255.248 10.0.0.2 1
route inside 192.168.20.0 255.255.255.248 10.0.0.2 1
route inside 192.168.20.8 255.255.255.248 10.0.0.2 1
route inside 192.168.20.16 255.255.255.248 10.0.0.2 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 5
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
23
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
inspect icmp error
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/De
destination address email [email protected]
destination address http https://tools.cisco.com/its/service/oddce/servicese
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:00fa3483af8f26e1d526ed07e09d2127
: end
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
inspect icmp error
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/De
destination address email [email protected]
destination address http https://tools.cisco.com/its/service/oddce/servicese
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:00fa3483af8f26e1d526ed07e09d2127
: end
24
Resumen Configuración Firewall ASA
Interfaces INSIDE, DMZ Y OUTSIDE
interface Ethernet0/0
nameif inside
security-level 100
ip address 10.0.0.1 255.0.0.0
!
interface Ethernet0/1
nameif DMZ
security-level 50
ip address 20.0.0.1 255.0.0.0
!
interface Ethernet0/2
nameif outside
security-level 0
ip address 30.0.0.1 255.0.0.0
Creación de Objetos
object network dmz-internet
subnet 20.0.0.0 255.0.0.0
object network inside-internet
subnet 0.0.0.0 0.0.0.0
object network webserver-external-ip
host 30.0.0.4
object network webserver
host 20.0.0.2
Lista de acceso permitiendo trafico web
access-list outside_acl extended permit tcp any object webserver eq www
Configuración de NAT en Firewall
nat (inside,outside) source dynamic inside-internet interface
nat (DMZ,outside) source dynamic dmz-internet interface
object network webserver
nat (DMZ,outside) static webserver-external-ip service tcp www www
Resumen Configuración Firewall ASA
Interfaces INSIDE, DMZ Y OUTSIDE
interface Ethernet0/0
nameif inside
security-level 100
ip address 10.0.0.1 255.0.0.0
!
interface Ethernet0/1
nameif DMZ
security-level 50
ip address 20.0.0.1 255.0.0.0
!
interface Ethernet0/2
nameif outside
security-level 0
ip address 30.0.0.1 255.0.0.0
Creación de Objetos
object network dmz-internet
subnet 20.0.0.0 255.0.0.0
object network inside-internet
subnet 0.0.0.0 0.0.0.0
object network webserver-external-ip
host 30.0.0.4
object network webserver
host 20.0.0.2
Lista de acceso permitiendo trafico web
access-list outside_acl extended permit tcp any object webserver eq www
Configuración de NAT en Firewall
nat (inside,outside) source dynamic inside-internet interface
nat (DMZ,outside) source dynamic dmz-internet interface
object network webserver
nat (DMZ,outside) static webserver-external-ip service tcp www www
25
Aplicación de ACL
access-group outside_acl in interface outside
Enrutamiento en el Firewall
route outside 0.0.0.0 0.0.0.0 30.0.0.2 1
route inside 192.168.10.0 255.255.255.248 10.0.0.2 1
route inside 192.168.10.8 255.255.255.248 10.0.0.2 1
route inside 192.168.10.16 255.255.255.248 10.0.0.2 1
route inside 192.168.10.24 255.255.255.248 10.0.0.2 1
route inside 192.168.20.0 255.255.255.248 10.0.0.2 1
route inside 192.168.20.8 255.255.255.248 10.0.0.2 1
route inside 192.168.20.16 255.255.255.248 10.0.0.2 1
Políticas de Acceso
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
inspect icmp error
Aplicación de ACL
access-group outside_acl in interface outside
Enrutamiento en el Firewall
route outside 0.0.0.0 0.0.0.0 30.0.0.2 1
route inside 192.168.10.0 255.255.255.248 10.0.0.2 1
route inside 192.168.10.8 255.255.255.248 10.0.0.2 1
route inside 192.168.10.16 255.255.255.248 10.0.0.2 1
route inside 192.168.10.24 255.255.255.248 10.0.0.2 1
route inside 192.168.20.0 255.255.255.248 10.0.0.2 1
route inside 192.168.20.8 255.255.255.248 10.0.0.2 1
route inside 192.168.20.16 255.255.255.248 10.0.0.2 1
Políticas de Acceso
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
inspect icmp error
26
Permitir Tráficos mediante ACL en la VlAN´s
access-list 101 permit udp any any eq bootps
access-list 101 permit udp 192.168.10.0 0.0.0.7 192.168.10.24 0.0.0.7 eq domain
access-list 101 permit ip 192.168.10.0 0.0.0.7 192.168.10.24 0.0.0.7
access-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq www
access-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq smtp
access-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq 143
access-list 102 permit udp any any eq bootps
access-list 102 permit udp 192.168.20.8 0.0.0.7 192.168.10.24 0.0.0.7 eq domain
access-list 102 permit ip 192.168.20.8 0.0.0.7 192.168.10.24 0.0.0.7
access-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq www
access-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq smtp
access-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq 143
Asignación de listas de acceso
int g0/1.1
ip access-group 101 in
exit
int g0/1.4
ip access-group 101 out
exit
int g0/1.6
ip access-group 101 in
exit
Mediante la lista de acceso mostrada y planteada anteriormente se está diciendo
que cualquier red puede solicitar mediante trafico UDP una dirección por DHCP.
También permitimos desde las diversas subredes el trafico al servidor local que
provee DNS y DHCP pueda resolver nombres de dominio localmente.
Por ultimo les permitimos a nuestras a subredes el acceso al servidor de la DMZ,
el tráfico WEB y el tráfico necesario para que el servicio de correo sea funcional n
este caso el protocolo SMTP y el puerto 143 correspondiente al IMAP, que es el
protocolo entrante a los diversos clientes.
Esta lista de acceso con el fin de cumplir el requerimiento de que la S1 y S6
(Subred) solo tengan acceso a los servicios locales y la DMZ sin tener acceso a
internet.
Permitir Tráficos mediante ACL en la VlAN´s
access-list 101 permit udp any any eq bootps
access-list 101 permit udp 192.168.10.0 0.0.0.7 192.168.10.24 0.0.0.7 eq domain
access-list 101 permit ip 192.168.10.0 0.0.0.7 192.168.10.24 0.0.0.7
access-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq www
access-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq smtp
access-list 101 permit tcp 192.168.10.0 0.0.0.7 20.0.0.0 0.255.255.255 eq 143
access-list 102 permit udp any any eq bootps
access-list 102 permit udp 192.168.20.8 0.0.0.7 192.168.10.24 0.0.0.7 eq domain
access-list 102 permit ip 192.168.20.8 0.0.0.7 192.168.10.24 0.0.0.7
access-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq www
access-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq smtp
access-list 102 permit tcp 192.168.20.8 0.0.0.7 20.0.0.0 0.255.255.255 eq 143
Asignación de listas de acceso
int g0/1.1
ip access-group 101 in
exit
int g0/1.4
ip access-group 101 out
exit
int g0/1.6
ip access-group 101 in
exit
Mediante la lista de acceso mostrada y planteada anteriormente se está diciendo
que cualquier red puede solicitar mediante trafico UDP una dirección por DHCP.
También permitimos desde las diversas subredes el trafico al servidor local que
provee DNS y DHCP pueda resolver nombres de dominio localmente.
Por ultimo les permitimos a nuestras a subredes el acceso al servidor de la DMZ,
el tráfico WEB y el tráfico necesario para que el servicio de correo sea funcional n
este caso el protocolo SMTP y el puerto 143 correspondiente al IMAP, que es el
protocolo entrante a los diversos clientes.
Esta lista de acceso con el fin de cumplir el requerimiento de que la S1 y S6
(Subred) solo tengan acceso a los servicios locales y la DMZ sin tener acceso a
internet.
27
WEBGRAFIA
http://www.redescisco.net/v2/art/como-configurar-un-firewall-asa-8-4-en-gns3/
http://es.slideshare.net/websyo/practica-con-firewall-asa-14114092
http://aprenderedes.com/2012/12/configuracion-de-asdm-en-cisco-asa-con-gns3/
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-
generation-firewalls/115904-asa-config-dmz-00.html
http://www.cisco.com/cisco/web/support/LA/111/1118/1118174_asa-config-dmz-
00.html
WEBGRAFIA
http://www.redescisco.net/v2/art/como-configurar-un-firewall-asa-8-4-en-gns3/
http://es.slideshare.net/websyo/practica-con-firewall-asa-14114092
http://aprenderedes.com/2012/12/configuracion-de-asdm-en-cisco-asa-con-gns3/
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-
generation-firewalls/115904-asa-config-dmz-00.html
http://www.cisco.com/cisco/web/support/LA/111/1118/1118174_asa-config-dmz-
00.html
Tags
Categories
GeneralDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 4,760
- Slides 28
- Favorites 1
- Age 4093 days
Related Slideshows
22
Pray For The Peace Of Jerusalem and You Will Prosper
RodolfoMoralesMarcuc
30 views
26
Don_t_Waste_Your_Life_God.....powerpoint
chalobrido8
32 views
31
VILLASUR_FACTORS_TO_CONSIDER_IN_PLATING_SALAD_10-13.pdf
JaiJai148317
30 views
14
Fertility awareness methods for women in the society
Isaiah47
29 views
35
Chapter 5 Arithmetic Functions Computer Organisation and Architecture
RitikSharma297999
26 views
5
syakira bhasa inggris (1) (1).pptx.......
ourcommunity56
28 views