Upload
alvines1992
View
51
Download
6
Embed Size (px)
Citation preview
Jhonatan Reyes
Julian Cardenas
Configuración de firewall ASA en GNS3
Configuración de firewall ASA en gns3
Topologia
El primer paso para empezar a configurar los equipos es subir los IOS de el router
3600 y del firewall ASA con su kernel. Seguimos los pasos en las imaganes
En el menú Qemu vamos a la pestaña ASA y subimos el kernel, asa802-k8.initrd y
vmlinuz.bin
Guardamos los cambios y damos aceptar
Ahora subiremos el IOS del router 3600 que en este caso actuara como servidor web
Subimos el IOS c3640-jk9s-mz.124-16.image, guardamos cambios y aceptamos
Damos click derecho sobre el firewall ASA y prendemos el dispositivo, y abriremos la
consola del mismo, digitaremos los siguientes comandos para iniciarlo.
Cd /mnt/disk0
/mnt/disk0/lina_monitor
Ahora configuraremos los interfaces INSIDE, DMZ y OUTSIDE
Este es el router que esta en la DMZ
Ahora vamos a los dos routers que actuaran como servidores web y configuramos sus
interfaces y los servicios HTTP y HTTPS
http con el comando: ip http server
https con el comando: ip http secure-server
hacemos los mismo en el router que se encuentra en la OUTSIDE, con su respectiva
dirección IP y los mismos servicios
volvemos a el firewall ASA y configuramos las listas de acceso
permitiremos que el cliente que se encuentra en la interfaz INSIDE pueda acceder a los
servicios del servidor web de la interfaz DMZ además del servicio SSH, y permitiremos
que pueda consultar el servidor web de la interfaz OUTSIDE
Con los siguientes comandos en modo de configuración global
Access-list 101 extended permit tcp 192.168.10.0 255.255.255.0 host 192.168.20.20 eq www
Access-list 101 extended permit tcp 192.168.10.0 255.255.255.0 host 192.168.20.20 eq https
Access-list 101 extended permit tcp 192.168.10.0 255.255.255.0 host 192.168.20.20 eq ssh
Access-list 101 extended permit tcp 192.168.10.0 255.255.255.0 any eq www
Access-list 101 extended deny ip any any
Después de haber permitido todos los servicios a este cliente denegamos todo lo
demás
Aquí se muestra el resultado del comando show Access-list
despues aplicamos la lista de acceso en la interfaz INSIDE con el comando
access-group 101 in interface inside
este es el resultado del comando show running-config access-group
en la segunda lista de acceso permitiremos el acceso de cualquier host desde la
interfaz OUTSIDE hasta el servidor https ubicado en la interfaz DMZ
Access-list 102 extended permit tcp any host 1.1.1.1 eq https
Access-list 102 extended deny ip any any
aplicamos la lista de acceso sobre la interfaz OUTSIDE
access-group 102 in interface outside
ahora configuraremos NAT para que el servidor web de la DMZ sea visto desde la
interfaz OUTSIDE con una ip publica y además para que los clientes de la interfaz
INSIDE salgan a la interfaz OUTSIDE o internet con un rango de ip’s publicas
comando para que el servidor web sea visto con la ip 1.1.1.1
Static (dmz,outside) 1.1.1.1 192.168.20.20 netmask 255.255.255.255
Dmz es la interfaz donde está el servidor y outside donde se recibirán las peticiones para la ip
1.1.1.1
resultado del comando show nat
comando para que los clientes salgan a la interfaz con el rango de ip’s 2.2.2.2 hasta
2.2.2.10
global (outside) 1 2.2.2.2-2.2.2.10 netmask 255.255.255.0