Cisco Systems refuerza la seguridad en las redes con Cisco ASA 5505 y 5550

Los nuevos modelos de seguridad adaptable mejoran la seguridad en oficinas remotas y en entornos de grandes
empresas
18 de septiembre de 2006. - Cisco Systems ha anunciado hoy dos nuevos modelos de su familia de dispositivos de
seguridad adaptable Cisco ASA 5500: la solucin Cisco ASA 5505, una solucin de nueva generacin diseada para
mejorar la defensa de las redes en Pymes, oficinas remotas y teletrabajadores de la empresa; y el Cisco ASA 5550,
que extiende la proteccin de clase gigabit contra amenazas e incluye servicios de gran escalabilidad IPsec y Secure
Sockets Layer para redes privadas virtuales (SSL VPN) para los sitios web de grandes empresas. Cisco ha
anunciado tambin numerosas mejoras para el software ya existente de la familia Cisco ASA que, al combinarse con
las ventajas de una cartera de dispositivos ms amplia, puede ampliar los beneficios de una seguridad integrada en
toda la organizacin.
Los dispositivos Cisco ASA 5505 y 5550 son componentes centrales de la estrategia Self-Defending Network de
Cisco Systems. Ambos dispositivos forman parte de una familia de dispositivos de seguridad de red multifuncin que
ofrece la amplitud y profundidad necesarias para proteger empresas de cualquier tamao. Su defensa proactiva
frente a amenazas evita que los ataques se extiendan por toda la red de la empresa, permitiendo a las empresas
proteger varios segmentos de una red al mismo tiempo, lo que consolida la inversin en seguridad y minimiza la
complejidad de las instalaciones y reduce los costes operativos.
Diseado para proporcionar servicios de seguridad de alto rendimiento para entornos de ancho de banda de nueva
generacin, Cisco ASA 5505 ofrece una rendimiento de firewall de 150 Megabits por segundo (Mbps) y una
rendimiento de VPN encriptado de 100 Mbps. Tambin ofrece flexibilidad y proteccin de la inversin significativa
mediante su diseo modular nico, ofreciendo una ranura de expansin para capacidades futuras. Adems, el Cisco
ASA 5505 puede funcionar como un cliente VPN de hardware para simplificar la gestin. Ofrece servicios VPN SSL
acelerados a travs de hardware, un switch de 8 puertos 10/100 integrado compatible con la creacin de mltiples
zonas de seguridad y dos puertos integrados de Power-over-Ethernet (PoE). Entre sus diversos usos, dichos
puertos PoE ofrecen una instalacin intuitiva y sencilla para telfonos Cisco IP y puede proporcionar energa a
puntos de acceso Cisco con la que se mejora la movilidad del usuario.
El Cisco ASA 5550 incluye el firewall de Cisco, lder del sector y los servicios IPsec/SSL VPN dirigidos a entornos de
red para grandes empresas. Puede proporcionar ms de 1,2 gigabits por segundo (Gbps) de rendimiento de firewall
y da soporte a 200 redes de rea local virtuales (VLAN), de modo que las empresas pueden segmentar su red en
numerosas zonas de alto rendimiento para mejorar la seguridad. Tambin ofrece servicios VPN escalables, que
soportan hasta 5.000 clientes IPsec y SSL VPN por aplicacin. Mediante sus capacidades de agrupacin de VPN y
de balanceo de carga, las empresas pueden agrupar hasta 10 dispositivos Cisco ASA 5550, dando servicio a 50.000
usuarios simultneos de IPsec y SSL VPN.
Al ampliar el alcance de la familia Cisco ASA y aprovecharse de los nuevos servicios Cisco ASA Software 7.2, las
empresas pueden ampliar la aplicacin de seguridad a travs de su red. Ofrece ms de 50 nuevas opciones de
seguridad que refuerzan el firewall de capa de aplicaciones de la familia Cisco ASA, VPN de acceso remoto, alta
disponibilidad, integracin de redes y capacidades de gestin.
De estas mejoras, algunas de las ms significativas son los servicios de firewall en la capa de aplicaciones y la
integracin de servicios con Cisco Network Admission Control (NAC). Los servicios de firewall en la capa de
aplicaciones de Cisco proporcionan a las empresas un mayor control sobre sus dispositivos y ayudan a prevenir que
las amenazas accedan a las redes empresariales. Adems, mejoran la proteccin de protocolos de aplicaciones
como web, correo electrnico, voz sobre Protocolo Internet (VoIP), mensajera instantnea, transferencia de archivos
y protocolos de red Microsoft. El soporte de Cisco ASA para las soluciones NAC de Cisco administra evaluaciones
integrales para usuarios y dispositivos que accedan a la red mediante conexiones IPsec y SSL VPN. Esta evaluacin
incluye la comprobacin de las actualizaciones correspondientes de software de seguridad y sistemas operativos
antes de conceder acceso a los privilegios en red.
Una cartera de dispositivos de seguridad adaptable de Cisco ms amplia y unas capacidades de seguridad ms
ricas nos ayudan a proteger nuestras inversiones en tecnologa, desde la red hasta los dispositivos dispersos,
explica Tom Lewis, director de red de rea extensa global en Oakley, Inc. La serie Cisco ASA 5500 nos da una
plataforma de seguridad polifactica para minimizar el riesgo operativo y mejorar la eficacia. Con las adiciones de los
dispositivos Cisco ASA 5505 y 5550, podemos extender con facilidad este valor desde grandes oficinas
empresariales hasta nuestras sucursales ms pequeas y alejadas.
Las soluciones Cisco ASA 5500 ofrecen una gestin flexible mediante el Cisco Adaptive Security Device Manager
(ASDM). Cisco ASDM 5.2 da soporte a todas las nuevas caractersticas de Cisco ASA Software 7.2 y ofrece
numerosas mejoras por s mismo, como una nueva opcin de rastreo de paquetes que mejora significativamente la
eficacia en la solucin de problemas. El rastreador de paquetes proporciona un anlisis paso a paso de cmo se
procesan los paquetes en una aplicacin de la serie Cisco ASA 5500 y puede ayudar a identificar y remediar errores
de configuracin con rapidez.

Adems de estas caractersticas, Cisco ha anunciado mejoras en la seguridad de contenidos de la serie Cisco ASA
5500 y el Mdulo de Servicios de Seguridad de Control (Control Security Services Module, CSC SSM). CSC SSM
6.1 proporciona proteccin contra software malicioso desarrollado por Trend Micro e incorpora una opcin mejorada
contra correo electrnico no deseado mediante Network Reputation Services (NRS), un servicio de Trend Micro que
puede detener hasta el 80% del correo no deseado antes de que invada la red de la empresa. Este nuevo software
tambin permite un control centralizado del mdulo CSC para conseguir una seguridad coordinada en toda la red de
empresa, basado en Trend Micro Control Manager.
Mejoras de Cisco IOS Software
Cisco Systems ha anunciado tambin la disponibilidad de Cisco IOS 12.4(9)T, que incorpora un firewall de
aplicaciones adicional y capacidades de VPN en los routers de seguridad de Cisco, ampliando el liderazgo de Cisco
Systems proporcionando enrutamiento, seguridad, voz y servicios inalmbricos convergentes en una nica
plataforma.
Las nuevas mejoras de firewall permiten a los departamentos tcnicos detectar y controlar aplicaciones no
empresariales, reducir la proliferacin de gusanos y proteger el ancho de banda de WAN. Las mejoras de firewall
para aplicaciones de punto a punto incluyen definiciones de protocolos para controlar BitTorrent, eDonkey,
FastTrack, KaZaA y Gnutella y la posibilidad de instalar definiciones sin tener que actualizar la imagen del software.
Adems, la integracin de Cisco con los servicios IP y con las funciones de seguridad en el router permite al firewall
establecer sesiones con lmite de ancho de banda, lo que supone un control sin precedentes sobre el uso del ancho
de banda WAN.
Otras mejoras se destinan a las capacidades de supervisin para Dynamic Multipoint VPN, la solucin de Cisco lder
del sector para VPN de sitio a sitio, as como autenticacin adicional y registro para accesos remotos a SSL VPN.

Configurar VPN L2L - ASA con IOS 8.0 y/o IOS 8.4

Hubo pocos cambios de sintaxis en los comandos necesarios para configurar VPN L2L en los
equipos Cisco ASA de la versin IOS 8.0 a la IOS 8.4; sin embargo, los "viejos comandos
"son reconocidos an en la nueva versin, detallo en este documento los cambios de sintaxis
a los que se actualizan.
Para el ejemplo, utilice la siguiente topologa de red:

I PARTE: ENRUTAMIENTOS
Primero configuramos las redes de las 4 zonas en las interfaces correspondientes de los 5
equipos (router ISP, ASA-A, PC-A, ASA-B y PC-B)
1. ROUTER ISP
En el router que hace de ISP (Internet Service Provider), es un Cisco 3700 con IOS 12.4
R2#sh ver
Cisco IOS Software, 3700 Software (C3725-ADVENTERPRISEK9-M), Version
12.4(15)T14, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport

Configurando nombre e Interfaces en equipo ISP

R2#conf t
R2(config)#hostname ISP
ISP(config)#int f0/0
ISP(config-if)#ip add 200.87.100.1 255.255.255.0
ISP(config-if)#no shut
ISP(config-if)#int f0/1
ISP(config-if)#ip add 200.90.200.1 255.255.255.0
ISP(config-if)#no shutdown
2. CISCO ASA-A
El equipo ASA-A es un Cisco ASA-5520 con IOS 8.4(2)
ciscoasa# sh ver
Cisco Adaptive Security Appliance Software Version 8.4(2)
Compiled on Wed 15-Jun-11 18:17 by builders
System image file is "Unknown, monitor mode tftp booted image"
Config file at boot was "startup-config"
ciscoasa up 14 secs
Hardware:
ASA 5520, 1024 MB RAM, CPU Pentium II 1000 MHz
Internal ATA Compact Flash, 256MB
BIOS Flash unknown @ 0x0, 0KB

0:
1:
2:
3:
4:

Ext:
Ext:
Ext:
Ext:
Ext:

GigabitEthernet0
GigabitEthernet1
GigabitEthernet2
GigabitEthernet3
GigabitEthernet4

:
:
:
:
:

address
address
address
address
address

is
is
is
is
is

00ab.f9d5.e200,
00ab.f9d5.e201,
0000.abed.5d02,
0000.ab93.b804,
0000.ab36.2805,

Licensed features for this platform:

Maximum Physical Interfaces
: Unlimited
Maximum VLANs
: 100
Inside Hosts
: Unlimited
Failover
: Active/Active
VPN-DES
: Enabled
VPN-3DES-AES
: Enabled
Security Contexts
: 5
GTP/GPRS
: Disabled

irq
irq
irq
irq
irq

perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual

0
0
0
0
0

AnyConnect Premium Peers

AnyConnect Essentials
Other VPN Peers
Total VPN Peers
Shared License
AnyConnect for Mobile
AnyConnect for Cisco VPN Phone
Advanced Endpoint Assessment
UC Phone Proxy Sessions
Total UC Proxy Sessions
Botnet Traffic Filter
Intercompany Media Engine

:
:
:
:
:
:
:
:
:
:
:
:

25
Disabled
5000
0
Enabled
Disabled
Disabled
Enabled
10
10
Enabled
Enabled

perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual

This platform has an ASA 5520 VPN Plus license.

Configurando nombre y la interfaz Outside del equipo ASA-A
ciscoasa# conf t
ciscoasa(config)# hostname ASA-A
ASA-A(config)# interface G0
ASA-A(config-if)# ip address 200.87.100.10 255.255.255.0
ASA-A(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ASA-A(config-if)# no shut
ASA-A(config)# route outside 0.0.0.0 0.0.0.0 200.87.100.1(definimos la ruta
por defecto hacia el ISP para todo trafico saliente)
ASA-A(config)# ping 200.87.100.1 (para validar que llegamos al router del ISP)
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.87.100.1, timeout is 2 seconds:
?!!!!
ASA-A(config)# ping 200.90.200.10 (intentamos ver si llegamos hacia la IP publica del
otro ASA, claro est que aun no esta configurado por lo que no llegaremos por ahora)
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.90.200.10, timeout is 2 seconds:
?????
Success rate is 0 percent (0/5)

Configurando la interfaz Inside del equipo ASA-A

ASA-A(config)# interface G1
ASA-A(config-if)# ip address 192.168.100.1 255.255.255.0
ASA-A(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ASA-A(config-if)# no shutdown
3. PC-A
Ahora configuramos la PC-A, utilic un cliente Linux Quemu
tc@box:~$ sudo su
root@box:~#ifconfig
eth0 192.168.100.2 netmask 255.255.255.0root@box:~#ifconfig eth0 (para
ver la configuracin de la interfaz)
root@box:~#route add default gw 192.168.100.1 eth0 (para configurarle
Gateway)
root@box:~#ping 192.168.100.1 (para validar comunicacin hacia ASA-A)
PING 192.168.100.1 (192.168.100.1): 56 data bytes
64 bytes from 192.168.100.1: seq=0 ttl=255 time=103.803ms
64 bytes from 192.168.100.1: seq=1 ttl=255 time=4.198ms
^C (CTRL+C para cancelar salida)

4. CISCO ASA-B
El equipo ASA-B tambin es un Cisco ASA-5520 con IOS 8.4(2)
ciscoasa# sh ver
Cisco Adaptive Security Appliance Software Version 8.4(2)
Compiled on Wed 15-Jun-11 18:17 by builders
System image file is "Unknown, monitor mode tftp booted image"
Config file at boot was "startup-config"
ciscoasa up 14 secs
Hardware:
ASA 5520, 1024 MB RAM, CPU Pentium II 1000 MHz
Internal ATA Compact Flash, 256MB
BIOS Flash unknown @ 0x0, 0KB

0: Ext: GigabitEthernet0
1: Ext: GigabitEthernet1

: address is 00ab.55ae.1e00, irq 0

: address is 00ab.55ae.1e01, irq 0

2:
3:
4:
5:

Ext:
Ext:
Ext:
Ext:

GigabitEthernet2
GigabitEthernet3
GigabitEthernet4
GigabitEthernet5

:
:
:
:

address
address
address
address

is
is
is
is

0000.ab4b.8c02,
0000.ab6f.b303,
0000.ab77.db04,
0000.ab9c.e405,

Licensed features for this platform:

Maximum Physical Interfaces
: Unlimited
Maximum VLANs
: 100
Inside Hosts
: Unlimited
Failover
: Active/Active
VPN-DES
: Enabled
VPN-3DES-AES
: Enabled
Security Contexts
: 5
GTP/GPRS
: Disabled
AnyConnect Premium Peers
: 25
AnyConnect Essentials
: Disabled
Other VPN Peers
: 5000
Total VPN Peers
: 0
Shared License
: Enabled
AnyConnect for Mobile
: Disabled
AnyConnect for Cisco VPN Phone
: Disabled
Advanced Endpoint Assessment
: Enabled
UC Phone Proxy Sessions
: 10
Total UC Proxy Sessions
: 10
Botnet Traffic Filter
: Enabled
Intercompany Media Engine
: Enabled

irq
irq
irq
irq

0
0
0
0

perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual

This platform has an ASA 5520 VPN Plus license.

Configurando nombre y la interfaz Outside del equipo ASA-B
ciscoasa# conf t
ciscoasa(config)# hostname ASA-B
ASA-B(config)# interface G0
ASA-B(config-if)# ip address 200.90.200.10 255.255.255.0
ASA-B(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ASA-B(config-if)# no shut
ASA-B(config)# route outside 0.0.0.0 0.0.0.0 200.90.200.1 (definimos la ruta
por defecto hacia el ISP para todo trafico saliente)
ASA-B(config)# ping 200.90.200.1 (para validar que llegamos al router del ISP)
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.90.200.1, timeout is 2 seconds:

?!!!!
ASA-B(config)# ping 200.87.100.10(para validar que llegamos a la IP publica del otro
ASA-A, desde el otro extremo ahora tambin ya podramos llegar a la IP publica del ASA-B)
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.87.100.10, timeout is 2 seconds:
!!!!!
Configurando la interfaz Inside del equipo ASA-B
ASA-B(config)# interface G1
ASA-B(config-if)# ip address 192.168.200.1 255.255.255.0
ASA-B(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ASA-B(config-if)# no shutdown
5. PC-B
Ahora configuramos la PC-B, utilic un cliente Linux Quemu
tc@box:~$ sudo su
root@box:~#ifconfig eth0 192.168.200.2 netmask 255.255.255.0
root@box:~#ifconfig eth0 (para ver la configuracin de la interfaz)
root@box:~#route add default gw 192.168.200.1 eth0 (para configurarle
Gateway)
root@box:~#ping 192.168.200.1 (para validar comunicacin hacia ASA-B)
PING 192.168.200.1 (192.168.200.1): 56 data bytes
64 bytes from 192.168.200.1: seq=0 ttl=255 time=171.327ms
64 bytes from 192.168.200.1: seq=1 ttl=255 time=19.643ms
^C (CTRL+C para cancelar salida)

II CONFIGURAR VPN
1. Validad comunicacin entre IPS pblicas
Validar que hay comunicacin entre IPs publicas de ambos ASAS, que
no estn bloqueados trficos IPSEC o IKE para establecer vpns no deben estar bloqueados
los puertos:

ESP tiene asignado el nmero de protocolo IP 50.

AH tiene asignado el nmero de protocolo 51.
ISAKMP utiliza el puerto UDP 500.
(En nuestro caso no tenemos ACLs que bloqueen trafico alguno al respecto.)
ASA-A(config)# ping 200.90.200.10
Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 200.90.200.10, timeout is

!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
ms
ASA-B(config)# ping 200.87.100.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.87.100.10, timeout is
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
ms

2 seconds:
30/148/600

2 seconds:
30/108/390

2. Configurar poltica ISAKMP para IOS 8.0 politica IKEv1 para IOS 8.4(2)
ASA-A con IOS 8.0:
ASA-A(config)# crypto isakmp policy 1
ASA-A(config-ikev1-policy)# authentication pre-share
ASA-A(config-ikev1-policy)# encryption aes-256
ASA-A(config-ikev1-policy)# hash sha
ASA-A(config-ikev1-policy)# group 2
ASA-A(config-ikev1-policy)# lifetime 86400
ASA-B con IOS 8.4(2)
ASA-B(config)# crypto ikev1
ASA-B(config-ikev1-policy)#
ASA-B(config-ikev1-policy)#
ASA-B(config-ikev1-policy)#
ASA-B(config-ikev1-policy)#
ASA-B(config-ikev1-policy)#

policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400

3. Configurar set o conjunto de transformacion

ASA-A con IOS 8.0:
ASA-A(config)# crypto ipsec transform-set TRANSFORMACIONSETesp-aes-256
esp-sha-hmac
ASA-B con IOS 8.4(2)
ASA-B(config)# crypto ipsec ikev1 transform-set TRANSFORMACIONSET espaes-256 esp-sha-hmac
4. Configurar Listas de Acceso para permitir trafico cifrado entre LAN-A y LAN-B
ASA-A con IOS 8.0:
ASA-A(config)# access-list CIFRADO_ACL extended permit ip192.168.100.0
255.255.255.0 192.168.200.0 255.255.255.0
ASA-B con IOS 8.4(2)
ASA-B(config)# access-list CIFRADO_ACL extended permit
ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0

5. Configurar Grupo de tunel

ASA-A con IOS 8.0:
ASA-A(config)# tunnel-group 200.90.200.10 type ipsec-l2l
ASA-A(config)# tunnel-group 200.90.200.10 ipsec-attributes
ASA-A(config-tunnel-ipsec)# pre-shared-key MI_CLAVE_SECRETA
ASA-B con IOS 8.4(2)
ASA-B(config)# tunnel-group 200.87.100.10 type ipsec-l2l
ASA-B(config)# tunnel-group 200.87.100.10 ipsec-attributes
ASA-B(config-tunnel-ipsec)# ikev1 pre-shared-keyMI_CLAVE_SECRETA
6. Configurar y aplicar Crypto Maps
ASA-A con IOS 8.0:
ASA-A(config)# crypto
ASA-A(config)# crypto
ASA-A(config)# crypto
setTRANSFORMACIONSET
ASA-A(config)# crypto
ASA-B con IOS 8.4(2)
ASA-B(config)# crypto
ASA-B(config)# crypto
ASA-B(config)# crypto
set TRANSFORMACIONSET
ASA-B(config)# crypto

map IPSEC_MAP 10 match addressCIFRADO_ACL

map IPSEC_MAP 10 set peer200.90.200.10
map IPSEC_MAP 10 set transformmap IPSEC_MAP interface outside

map IPSEC_MAP 10 match addressCIFRADO_ACL

map IPSEC_MAP 10 set peer200.87.100.10
map IPSEC_MAP 10 set ikev1 transformmap IPSEC_MAP interface outside

7. Habilitar ISAKMP o IKE (segn la versin de IOS)

ASA-A con IOS 8.0:
ASA-A(config)# crypto isakmp enable outside
ASA-B con IOS 8.4(2)
ASA-B(config)# crypto ikev1 enable outside
Algunos comandos pra Troubleshooting.
sh crypto isakmp sa detail
sh crypto ipsec sa

debug crypto engine 127

debug crypto isakmp 127
debug crypto ipsesc 127