Académique Documents
Professionnel Documents
Culture Documents
Firewalls
1
11/03/2017
2
11/03/2017
3
11/03/2017
Basado en Host
Basado en Redes y
de Negocio (Enterprise)
Hardware Firewall.
Software Firewall.
4
11/03/2017
5
11/03/2017
Packet Filters.
6
11/03/2017
7
11/03/2017
Stateless.
Stateful.
8
11/03/2017
Alternativas.
9
11/03/2017
Signature-Based
Behavior-Based
10
11/03/2017
Limita la exposicin.
11
11/03/2017
12
11/03/2017
4) Configurando IP de Administracion
Firewall(config)# ip address ip_address subnet_mask
13
11/03/2017
Ejemplo:
14
11/03/2017
Outbound Access
15
11/03/2017
-Address translation.
-Outbound access.
Inbound Access.
Se define como las conexiones que se inician a partir de una interfaz de
seguridad ms bajo hacia una interfaz de mayor seguridad. En otras
palabras, los usuarios de una red menos segura desea conectarse a un
Host de una red ms segura.
Same-Security Access
16
11/03/2017
Los Firewalls no suelen permitir que el trfico Hairpin, es decir que entre
y salga por la misma interfaz. A partir de ASA 7.2 (1) y FWSM 2.3 (1),
puede utilizar el siguiente comando de configuracin global para
permitir el trfico Hairpin:
-PAT.
Firewall# show xlate
22499 in use, 24492 most used
Global 10.1.1.17 Local 192.168.1.11
Global 10.1.1.16 Local 192.168.1.10
PAT Global 10.1.2.1(10476) Local 192.168.40.251(4705)
PAT Global 10.1.2.1(10382) Local 192.168.48.11(3134)
PAT Global 10.1.2.1(10372) Local 192.168.236.69(1716)
17
11/03/2017
18
11/03/2017
19
11/03/2017
Static
Firewall(config)# access-
access-list hostApolicy10 permit ip host 192.168.100.100 10.10.0.0
255.255.0.0
Firewall(config)# static (inside,outside) 192.168.254.10 access-
access-list hostApolicy10 0 0
Firewall(config)# access-
access-list hostApolicy50 permit ip host 192.168.100.100 10.50.0.0
255.255.0.0
Firewall(config)# static (inside,outside) 192.168.254.50 access-
access-list hostApolicy50 0 0
Firewall(config)# static (inside,outside) 192.168.254.100 192.168.100.100 netmask
255.255.255.255 0 0
Nat
Firewall(config)# access-
access-list hostApolicy10 permit ip host 192.168.100.100 10.10.0.0
255.255.0.0 Firewall(config)# global (outside) 1 192.168.254.10 255.255.255.255
Firewall(config)# nat (inside) 1 access-
access-list hostApolicy10
Firewall(config)# access-
access-list hostApolicy50 permit ip host 192.168.100.100 10.50.0.0
255.255.0.0 Firewall(config)# global (outside) 2 192.168.254.50 255.255.255.255
Firewall(config)# nat (inside) 2 access-
access-list hostApolicy50
Firewall(config)# access-
access-list hostApolicy100 permit ip host 192.168.100.100 any
Firewall(config)# global (outside) 3 192.168.254.100 255.255.255.255
Firewall(config)# nat (inside) 3 access-
access-list hostApolicy100
20
11/03/2017
Firewall(config)# access-
access-list ExemptList permit ip 128.163.89.0
255.255.255.0 any
Firewall(config)# nat (outside) 0 access-
access-list ExemptList
21
11/03/2017
22
11/03/2017
-Dynamic PAT
-Dynamic NAT
23
11/03/2017
24
11/03/2017
25
11/03/2017
Firewall(config)# object-
object-group network Accounting_addrs
Firewall(config-network)# description List of Accounting Dept IP addresses
Firewall(config-network)# network-
network-object host 192.168.1.10
Firewall(config-network)# network-
network-object host 192.168.1.20
Firewall(config-network)# network-
network-object host 192.168.1.30
Firewall(config-network)# network-
network-object 192.168.2.0 255.255.255.0
Firewall(config-network)# exit
Supongo que la lista de direcciones es parte de una lista mas grande conteniendo
Los hosts de un lado remoto. Un nuevo object group debera ser
configurado para el sitio remoto, conteniendo otros object groups definidos
para otros departamentos. Ejemplo
Firewall(config)# object-
object-group network RemoteSite_addrs
Firewall(config-network)# description List of IP addresses used in the
Remote Site
Firewall(config-network)# group-
group-object Accounting_addrs
Firewall(config)# object-
object-group protocol Tunnels_proto
Firewall(config-protocol)# description Tunneling Protocols
Firewall(config-protocol)# protocol-
protocol-object gre
Firewall(config-protocol)# protocol-
protocol-object ipinip
Firewall(config-protocol)# protocol-
protocol-object esp
Firewall(config-protocol)# protocol-
protocol-object ah
Firewall(config-protocol)# exit
!
Firewall(config)# object-
object-group protocol Routing_proto
Firewall(config-protocol)# description Routing Protocols
Firewall(config-protocol)# protocol-
protocol-object igrp
Firewall(config-protocol)# protocol-
protocol-object eigrp
Firewall(config-protocol)# protocol-
protocol-object ospf
Firewall(config-protocol)# exit
!
Firewall(config)# object-
object-group protocol Group1_proto
Firewall(config-protocol)# description Group1 list of protocols
Firewall(config-protocol)# group-
group-object Tunnels_proto
Firewall(config-protocol)# group-
group-object Routing_proto
26
11/03/2017
Firewall(config)# object-
object-group icmp-
icmp-type Ping_icmp
Firewall(config-icmp)# icmp-
icmp-object echo
Firewall(config-icmp)# icmp-
icmp-object echo-
echo-reply
Firewall(config-icmp)# exit
!
Firewall(config)# object-
object-group icmp-
icmp-type BiggerList_icmp
Firewall(config-icmp)# group-
group-object Ping_icmp
Firewall(config-icmp)# icmp-
icmp-object unreachable
Firewall(config-icmp)# icmp-
icmp-object redirect
Firewall(config-icmp)# icmp-
icmp-object time-
time-exceeded
Firewall(config)# object-
object-group service Web_ports tcp
Firewall(config-service)# description TCP ports used by web browsers
Firewall(config-service)# port-
port-object eq www
Firewall(config-service)# port-
port-object eq https
Firewall(config-service)# exit
!
Firewall(config)# object-
object-group service Mail_ports tcp
Firewall(config-service)# description TCP ports used for email
Firewall(config-service)# port-
port-object eq smtp
Firewall(config-service)# port-
port-object eq pop3
Firewall(config-service)# port-
port-object eq imap4
Firewall(config-service)# exit
!
Firewall(config)# object-
object-group service Example_ports tcp
Firewall(config-service)# description A bunch of TCP ports
Firewall(config-service)# group-
group-object Web_ports
Firewall(config-service)# group-
group-object Mail_ports
Firewall(config-service)# port-
port-object range 2000 2002
27
11/03/2017
28
11/03/2017
N2H2 (http://www.n2h2.com)
Websense (http://www.websense.com)
29
11/03/2017
30
11/03/2017
31
11/03/2017
32
11/03/2017
A partir de la version ASA 7.2 (1), una plataforma ASA puede redirigir
conexiones HTTP entrantes a un servidor web cach externa
cuando el usuario quiere acceder a un URL. El protocolo de
comunicacin web cache versin 2 (WCCP v2) se utiliza para
identificar una solicitud de una pgina web para redirigir el cliente
al servidor Web cach.
1) Enable WCCP:
33
11/03/2017
34