Vous êtes sur la page 1sur 22

REVISIÓN 1/1 Página 1 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

1. DATOS INFORMATIVOS

a. MATERIA / CÁTEDRA RELACIONADA: Redes de Comunicaciones

b. No. DE PRÁCTICA: 5

c. NÚMERO DE ESTUDIANTES POR MÓDULO: 6

d. NOMBRE INSTRUCTOR: Técnico Docente Asignado

e. TIEMPO ESTIMADO: 2 Horas

2. DATOS DE LA PRÁCTICA

a. TEMA: Configuración de Herramientas del Cisco Adaptive Security Appliance (ASA)


y Firewall, mediante Command Line Interface (CLI)

b. OBJETIVO GENERAL

• Integrar a las redes de comunicaciones servicios de seguridad mediante un


dispositivo de seguridad de red avanzado.

c. OBJETIVOS ESPECÍFICOS

• Familiarizar al estudiante con el sistema operativo y la CLI del Cisco® ASA.


• Configurar herramientas básicas y niveles de seguridad del Cisco® ASA.
• Emplear el Cisco® ASA, para la configuración de enrutamiento, traducción de
direcciones y políticas de inspección.
• Configuración de los servicios: Dynamic Host Configuration Protocol (DHCP),
Authentication, Authorization, and Accounting (AAA) y Secure Shell (SSH).
• Configuración de los servicios de seguridad: Demilitarized Zone (DMZ), Static
Network Address Translation (NAT) y Access Control List (ACLs)

d. MARCO TEÓRICO

Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 2 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

CARACTERÍSTICAS GENERALES DEL CISCO® ASA

• Se trata de un dispositivo de seguridad perimetral utilizado para conectar una pequeña


empresa o un teletrabajador a un ISP. La configuración de fábrica para el Cisco® ASA 5505
incluye lo siguiente:
• A la interfaz VLAN1 interna (inside) se le han asignado las interfaces Ethernet 0/1 a la 0/7;
a esta interfaz VLAN1 se le ha configurado con el direccionamiento IP 192.168.1.1/24
• Se asigna la interfaz física Ethernet 0 /0 a la interfaz VLAN2 externa (outside). Este interfaz
ha sido configurada de tal forma que adquiera su direccionamiento mediante DHCP
proveniente del ISP.
• La ruta predeterminada se determina utilizando DHCP de forma predeterminada.
• Todas las direcciones IP internas se traducen al acceder al exterior, utilizando la interfaz
PAT en la interfaz VLAN2.
• Por defecto, los usuarios internos pueden acceder a redes externas con una lista de
acceso y los usuarios externos no pueden acceder a la red interna.
• El servidor DHCP está habilitado en el dispositivo, por lo que si se conecta un host se
conecta a un puerto perteneciente a la VALN1 recibirá una drección dentro del rango
192.168.1.5 y 192.168.1.36 (de la licencia base) aunque el rango real puede variar.
• El servidor HTTP está habilitado para Adaptive Security Device Manager (ASDM) y es
accesible por los usuarios de la red 192.168.1.0/24.
• No se ha establecido una contraseña de consola y el hostname predeterminado es
ciscoasa.
• Nota: en caso de ejecutar el comando correspondiente para visualizar la configuración en
ejecución se visualizará algo similar a lo descrito previamente y algunas características de
seguridad adicionales del equipo.
• En el caso del Cisco® ASA 5505 cuenta con un switch integrado de 8 puertos Fast Ethernet,
de los cuales los puertos E0/6 y E0/7 tienen la capacidad PoE.
• Se puede administrar utilizando una GUI incorporada conocida como ASDM
• La configuración del dispositivo de seguridad se realiza mediante el ASA CLI (similar a IOS
CLI)
• Cisco MPF (Modular Policy Framework) se encuentra disponible para la inspección de
paquetes de la capa aplicación, de la misma forma que para otras opciones más
avanzadas. Cisco MPF utiliza tres objetos de configuración para definir políticas
modularas, orientadas a objetos y jerárquicas:

Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 3 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

o Class maps: definen un criterio de coincidencia


o Policy maps: asocian las acciones a los criterios de coincidencia.
o Service policies: vincular el policiy map a una interfaz o a el conjunto de interfaces
del dispositivo.
• El Cisco® ASA puede funcionar como cliente o servidor DHCP.
• Permite la configuración de AAA para admitir conexiones SSH.

e. MARCO PROCEDIMENTAL

En esta actividad se implementa mediante un Cisco® ASA 5505, firewall y seguridad en una red
corporativa interna para protegerla de intrusos que intenten ingresar a través de otras redes.

En el Cisco® ASA se crean tres interfaces de seguridad: outside, inside y DMZ; proporcionando a
los usuarios externos, acceso limitado a la DMZ y ningún acceso a los usuarios internos; en el caso
de los usuarios internos estos pueden acceder tanto a la DMZ como a recursos externos.

Figura 5-1 Topología a Implementarse

A la configuración de Cisco® ASA se añade la configuración de otros equipos de conectividad para


que puedan establecer comunicación con el dispositivo de seguridad.

El ISP ha asignado el espacio de direcciones públicas 200.100.X0.224/29, para la traducción de


direcciones en el ASA.

Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 4 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

Nombre Descripción Máscara de Gateway


Interfaz Dirección IP
Equipo Subred Subred Predeterminado
[Eth] 0/5
ASA1 [Eth] 0/6
[Eth] 0/7
SW1 VLAN 1
SVR1 NIC
PC1 NIC
[Fa/Gi] 0/0
CPE
S__ /__ /0
S__ /__ /0
ISP S__ /__ /1
Loopback33
[Fa/Gi] 0/0
MNR
S__ /__ /1
SW2 VLAN 1
PC2 NIC
Tabla 5-1 Tabla de Direccionamiento, para la Topología de la Práctica 5.

Configuración Básica de Router’s, Switch’s y PC’s

1. Conectar los dispositivos de acuerdo al diagrama de la topología


Nota: Comprobar de que los equipos de conectividad no tengan configuraciones previas.
En el caso de que los equipos presenten una configuración inicial ejecutar los comandos
correspondientes para volver a la configuración de fábrica.

2. Establecer las configuraciones básicas para switch’s y router’s: nombres de host,


configuración de interfaces (direcciones IP, descripciones), clock rate (en los equipos
adecuados), contraseñas de ingreso.

Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 5 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

3. Configurar rutas estáticas en los dispositivos


3.1. Establecer rutas por defecto hacia el ISP desde CPE y MNR.
3.2. Establecer rutas estáticas desde el ISP para alcanzar las redes 200.100.X0.224/29 y
10.20.X0.0/28.

4. Configurar el direccionamiento IP correspondiente en las PC’s.

5. Verificar conectividad.
5.1. En este punto PC2 debe alcanzar la red 200.100.X0.224/29 específicamente la
interfaz correspondiente de CPE. Los dispositivos conectados a ASA1, no tendrán
conectividad entre sí ya que de momento no se ha ejecutado ninguna configuración
en ASA1.

Acceso a la CLI del Cisco® ASA y Ejecución de Configuración Básica

1. Mediante el uso de un cable de consola, conectarse al ASA1 a través del puerto


correspondiente.

2. Apoyándose de un programa de emulación de terminal acceder a la CLI del Cisco® ASA,


establecer en la configuración de puerto: Bits por segundo: 9600, Bits de Datos: 8,
Paridad: Ninguno, Bits de Parada: 1, Control de Flujo: Ninguno.

3. Ingresar al modo Exec Privilegiado, digitar la clave correspondiente o en su defecto


presionar Enter.

4. Determinar la versión del sistema operativo del Cisco® ASA, características de sus
interfaces y parámetros de su licencia. .
4.1. Digitar show version en el modo de configuración Exec Privilegiado para responder
a las siguientes preguntas:
¿Cuál es la versión del software presente en el dispositivo?
__________________________________________________________
¿Cuál el nombre de la imagen del archivo del sistema y desde qué espacio se ha
cargado?
__________________________________________________________
¿Qué versión de ASDM (Adaptive Security Device Manager) se ejecuta en el
dispositivo?
Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 6 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

__________________________________________________________
¿Cuál es la capacidad de memoria RAM del equipo?
__________________________________________________________
¿Cuál es la capacidad de memoria Flash del equipo?
__________________________________________________________
¿Cuántos puertos Ethernet tiene el equipo ?
__________________________________________________________
¿Qué tipo de licencia tiene el equipo dispositivo?
__________________________________________________________
¿Cuántas VLAN se pueden crear? (Esto en función de la licencia que posee el
equipo)
__________________________________________________________

5. Determinar el sistema de archivos y el contenido de la flash, del Cisco® ASA,


características de sus interfaces y parámetros de su licencia.
5.1. Mostrar el contenido del sistema de archivos, ejecutando el comando show file
system en el modo de configuración Exec Privilegiado, con dicha información
conteste las siguientes interrogantes:
¿Con qué otro nombre se determina a la memoria Flash?
__________________________________________________________
5.2. Visualizar el contenido de la memoria Flash:, digitando el comando show flash,
show disk0, dir flash: o dir disk0: en el modo de configuración Exec Privilegiado,
con este resultado puede responder a:
¿Cuál es el nombre del archivo ASDM en la Flash:?
__________________________________________________________

6. Determinar el contenido de la configuración en ejecución

6.1. Desplegar la configuración en ejecución, digitando show runing-config en el modo


de configuración Exec Privilegiado
6.2. Se puede restaurar la configuración de fábrica utilizando el siguiente comando:

nombre-equipo(config)# configure factory-default

6.2.1. De acuerdo al resultado obtenido mediante la ejecución del comando


anterior tome las capturas de la sección NAT y DHCP.
Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 7 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

6.2.2. Copiar el resultado de la ejecución de “configure factory-


default” y guárdelo en un documento de texto.

7. Borrar la configuración previa del Cisco® ASA.

7.1. Utilice el siguiente procedimiento para remover la configuración de inicio de la


Flash.

ciscoasa# write erase


Erase configuration in flash memory? [confirm]
[OK]
ciscoasa# reload

8. Configuración básica del Cisco® ASA mediante la ASA CLI

8.1. Una vez que se haya completado el proceso de reinicio, el Cisco® ASA detectará la
ausencia del archivo de configuración de inicio (startup-config) por lo que el
sistema operativo realizará una serie de solicitudes interactivas para llevar a cabo
la configuración básica del dispositivo. A lo cual deberá responder:

Pre-configure Firewall now through interactive prompts


[yes]? <Enter>
Firewall Mode [Routed]: <Enter>
Enable password [<use current password>]: execp
Allow password recovery [yes]? <Enter>
Clock (UTC):
Year [2018]: <Enter>
Month [Jul]: <Enter>
Day [03]: <Enter>
Time [9: 10: 19]: <Enter>
Management IP address: 172.31.1X.1
Management network mask: 255.255.255.128
Host name: ASA-Init
Domain name: generic.com
IP address of host running Device Manager: <Enter>

Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 8 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

The following configuration will be used:

Enable password: execp


Allow password recovery: yes
Clock (UTC): 9:10:19 Jun 3 2018
Firewall Mode: Routed
Management IP address: 172.31.1X.1
Management network mask: 255.255.255.128
Host name: ASA-Init
Domain name: generic.com

Use this configuration and save to flash? [yes] yes


INFO: Security level for "management" set to 0 by
default.
Cryptochecksum: c8a535f0 e273d49e 5bddfd19 e12566b1
2070 bytes copied in 0.940 secs
Type help or '?' for a list of available commands.
ASA-Init>

8.2. Ingresar al modo de configuración Exec Privilegiado, luego mostrar la


configuración en ejecución para visualizar la configuración adicional insertada por
el sistema operático del Cisco® ASA y que está relacionada con la seguridad.
8.3. Guardar la configuración en ejecución a la configuración de inicio para conservar
las opciones de seguridad integradas por el sistema operativo del Cisco® ASA, para
lo cual utilice:

ASA-Init#copy running-config startup-config

9. Configurar el hostname y el nombre de dominio.

9.1. Ingresar al modo de configuración global, al igual que en la CLI de switchs y


routers, utilizar el comando configure terminal; pero en este dispositivo deberá
tener en cuenta lo siguiente:

ASA-Init# configure terminal


ASA-Init(config)#
**********************NOTICE**************************
Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 9 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

Help to improve the ASA platform by enabling anonymous


reporting, which allows Cisco to securely receive
minimal error and health information from the device. To
learn more about this feature, please visit:
http://www.cisco.com/go/smartcall

Would you like to enable anonymous error reporting to


help improve the product? [Y]es, [N]o, [A]sk later: n

In the future, if you would like to enable this feature,


issue the command "call-home reporting anonymous".

Please remember to save your configuration.

¿Cuál es la razón de haber respondido ‘no’?


__________________________________________________________

9.2. Establecer el hostname en ASA1

ASA-Init(config)# hostname ASA1

9.3. Configurar el nombre de dominio que ha establecido en su servidor DNS

ASA1(config) # domain-name [su-dominio-DNS]

10. Establecer las contraseñas de inicio de sesión Telnet y acceso al modo exec privilegiado

10.1. Para configurar la contraseña de inicio de sesión vía Telnet digitar:

ASA1(config)# password cisco

10.2. Mediante los comandos de uso común del IOS de Cisco; la contraseña de
ingreso al modo de configuración exec privilegiado en execp

Configuración de las interfaces inside y outside

Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 10 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

Recuerde que los 8 puertos del switch son capa 2, por lo que para asignarles parámetros capa 3
debe crear una SVI y a esta asignarle uno o más puertos físicos de capa 2. Tomar en cuenta que
los 8 puertos se asignan inicialmente a la VLAN1 y en el caso de la configuración de fábrica el
puerto E0/0 se asigna a la VLAN2.

1. ¿Cuál es la configuración establecida para a la VLAN1? (evidenciar este numeral mediante


una captura de pantalla).

1.1. ¿Qué interfaces pertenecen a la VLAN1, VLAN2? (evidenciar este numeral


mediante una captura de pantalla).

Para ejecutar con éxito el presente numeral utilice los comandos:

ASA1# show running-config interface [tipo/número]


ASA1# show interface ip brief

2. Configuración de las interfaces lógicas VLAN.

2.1. Asignar a la SVI VLAN1 la IP correspondiente de la Tabla 5-1 , establecer su nombre


(nameif) en inside y configurar el nivel de seguridad en el nivel más alto (100).
Utilizar como guía los comandos que se especifican a continuación:

ASA1(config)# interface vlan [número-interfaz-vlan]


ASA1(config-if)# nameif [nombre-vlan]
ASA1(config-if)# ip address [Dirección-IP] [máscara]
ASA1(config-if)# security-level 100
ASA1(config-if)# no shutdown

2.2. Configurar la SVI VLAN2 con la IP correspondiente de la Tabla 5-1, asignar el


nombre en outside y configurar el nivel de seguridad en el nivel más bajo (0).

2.3. Asignar los puertos de capa 2 Ethernet0/6 a la VLAN1 y el puerto Ethernet 0/5 a
la VLAN2, para lo cual se basará en los siguientes comandos.

ASA1(config)# interface Eth[número-interfaz-eth]

Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 11 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

ASA1(config-if)# switchport access vlan [número-interfaz-vlan]


ASA1(config-if)# no shutdown

3. Verificar la configuración establecida:

3.1. Desplegar la información de las interfaces VLAN de capa 3 utilizando el siguiente


comando:

ASA1# show ip address

3.2. A través del commando que se muestra a continuación, comprobar la


configuración de las VLAN inside y outside y sus puertos asignados:

ASA1# show switch vlan

4. Prueba de conectividad al Cisco® ASA

4.1. Comprobar la configuración de PC1 (evidenciar este numeral mediante una


captura de pantalla).

4.2. Debería alcanzar al Cisco® ASA desde PC1. Si no cumple con este objetivo resuelva
los posibles problemas en su topología (evidenciar este numeral mediante una
captura de pantalla).

4.3. Ejecutar la misma prueba de conectividad desde PC2, ¿cuál es el resultado?

Configurar el acceso ASDM al Cisco® ASA

1. Es posible configurar al Cisco® ASA para que acepte conexiones HTTPS, mediante este
entorno puede acceder a la GUI del dispositivo. Digitar los siguientes comandos para
habilitar esta funcionalidad:

ASA1(config)# http server enable


ASA1(config)# http 172.31.1X.0 255.255.255.128 inside

Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 12 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

2. Abrir un navegador en PC1 e ingrese al Cisco® ASA digitando https://172.31.1X.1. Se


mostrará un certificado de advertencia de seguridad, haga clic en Continue y Yes a otras
advertencias. En este punto ya debe visualizar la pantalla de “Bienvenida de Cisco ASDM”
la cual le permitirá: Instalar ASDM Launche, ejecutar ASDM o ejecutar el asistente de
inicio.

3. En caso de no poder acceder al entorno ASDM, deberá agregarla IP a la lista permitida de


direcciones IP.

3.1. Acceder al Panel de Control de Windows y hacer clic en Java.


3.2. En el Panel de Control de Java, seleccionar Security y luego clic en Edit Site List.
3.3. En la lista Exception Site hacer clic en Add. En el campo Location, digitar
https://172.31.1X.1
3.4. Clic en OK para añadir la dirección IP. Verificar que la dirección se haya añadido.
Finalmente, clic e OK para aceptar los cambios

Configuración del Enrutamiento, Traducción de Direcciones y Política de Inspección.

1. Para permitir que Cisco® ASA acceda a redes externas se configurará una ruta estática
predeterminada en la interfaz outside.

1.1. Realizar una prueba de conectividad entre el ASA1 y la interfaz Gigabit Ethernet
X/0 del CPE. ¿Fue exitosa? (evidenciar este numeral mediante una captura de
pantalla).

1.2. Realizar una prueba de conectividad entre el ASA1 y la interfaz Serial X/X/0 del
CPE. ¿Fue exitosa? (evidenciar este numeral mediante una captura de pantalla).

1.3. En el Cisco® ASA crear una ruta predeterminada “quad zero”, asociándola con la
interfaz outside y apunte a la IP de la interfaz Gigabit Ethernet X/0 del CPE; para
lo cual debe emplear el siguiente comando:

ASA1(config)# route outside 0.0.0.0 0.0.0.0 [ip_int_GigaEthX/0]


Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 13 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

1.4. Verificar la correcta configuración de la ruta estática configurada en el numeral


anterior, desplegando la tabla de enrutamiento del dispositivo, utilizando el
comando que se muestra a continuación:

ASA1# show route

De acuerdo con el resultado desplegado, ¿Cuál es el gateway de último recurso?

¿Cómo se muestra la entrada de la ruta estática predeterminada? (evidenciar su


respuesta mediante una captura de pantalla).

1.5. Realizar nuevamente una prueba de conectividad entre el ASA1 y la interfaz Serial
X/X/0 del CPE. ¿Fue exitosa? (evidenciar este numeral mediante una captura de
pantalla).

2. Configurar la traducción de direcciones mediante PAT y objetos de red.

2.1. Crear un objeto de red RED-INSIDE y establecer algunas características utilizando


los comandos subnet y nat

ASA1(config)# object network INSIDE-NET


ASA1(config-network-object)# subnet 172.31.1X.0 255.255.255.128
ASA1(config-network-object)# nat (inside,outside) dynamic
interface
ASA1(config-network-object)# end

2.2. La configuración del Cisco® ASA se divide en la parte del objeto NAT y los
parámetros de configuración NAT; por lo que aparecen en dos lugares diferentes
de la configuración en ejecución. Así pues, para mostrar el objeto NAT utilizar el
comando show run object y show run nat para visualizar los parámetros
de configuración nat. (evidenciar este numeral mediante capturas de pantalla).

Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 14 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

2.3. Realizar una prueba de conectividad entre el PC-1 y la interfaz Gigabit Ethernet
X/0 del CPE. ¿Fue exitosa? (evidenciar este numeral mediante una captura de
pantalla).

2.4. Verificar las traducciones realizadas en el ASA1 mediante show nat.


¿Cuántas traducciones fueron exitosas y cuántas no?
__________________________________________________________

2.5. Esta respuesta se debe a que ICMP no se está inspeccionado por la política de
inspección global. Hay que considerar que los echo request se tradujeron y los
echo replies fueron bloqueados por la política de contrafuegos. En consecuencia,
se configurará una política e inspección predeterminada para permitir el paso de
ICMP.

2.6. Realizar una prueba de conectividad entre el PC-1 y la interfaz Gigabit Ethernet
X/0 del CPE. Inmediatamente ejecutar el comando show xlate para visualizar
las direcciones que se están traduciendo. (evidenciar este numeral mediante una
captura de pantalla).

2.7. Abrir un navegador en PC-1 y digitar la IP de la interfaz Gigabit Ethernet X/0 del
CPE. Debido a que el tráfico HTTP basado en TCP se encuentra permitido de forma
predeterminada, se abrirá una ventana emergente indicando que para ingresar al
CPE se requiere autenticación. (evidenciar este numeral mediante una captura de
pantalla).

2.8. Verificar las direcciones que se están traduciendo para las conexiones HTTP; para
ello ejecutar los comandos show nat y show xlate. (evidenciar este numeral
mediante una captura de pantalla).

3. Modificar la política de servicio global de aplicaciones MPF (Modular Policy Framework)


predeterminado.

Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 15 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

3.1. Desplegar el policy map MPF predeterminado que realiza la inspección del tráfico
inside-outside. Ha de considerar que solo el tráfico que se generó desde inside
puede volver a la interfaz outside. Para cumplir con este objetivo digite el siguiente
comando:

ASA1# show run | begin class

¿Qué protocolo, tratado en numerales anteriores no se encuentra en el policy-


map global_policy?
__________________________________________________________

3.2. Agregar al policy map la inspección del tráfico ICMP, a través de los siguientes
comandos.

ASA1(config)# policy-map global_policy


ASA1(config-pmap)# class inspection_default
ASA1(config-pmap-c)# inspect icmp

3.3. Constatar que al policy map de MPF predeterminado en el espacio de reglas de


inspección se ha añadido ICMP. (evidenciar este numeral mediante una captura
de pantalla). Emplear el comando:

ASA1(config-pmap-c)# show run policy-map

3.4. Efectuar una prueba de conectividad entre el PC-1 y la interfaz Gigabit Ethernet
X/0 del CPE. Esta prueba debe tener éxito debido a que ahora se está
inspeccionando el tráfico ICMP y se permite el tráfico de retorno (evidenciar este
numeral mediante una captura de pantalla).

4. Configurar DHCP, AAA y SSH en el Cisco® ASA

4.1. En este punto se configurará al ASA1 como un servidor DHCP que asigna
direcciones dinámicamente a sus clientes en la red inside (interna).
4.1.1. Configurar el pool de direcciones del servidor y habilitarlo en la interfaz
inside del dispositivo. (Para el rango de direcciones usar las 40 primeras a

Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 16 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

partir de la quinta dirección válida del espacio 172.31.1X.0/25). Utilizar el


comando que se despliega subsecuentemente:

ASA1(config)# dhcpd address [primera_dirección-


última_dirección] inside
¿Fue posible ejecutar la configuración?
__________________________________________________________
¿Cuál es la razón para que dicha configuración no se haya ejecutado?
__________________________________________________________
4.1.2. Repita el procedimiento anterior, pero para el rango de direcciones usar
las 20 primeras a partir de la quinta dirección válida del espacio
172.31.1X.0/25

4.1.3. Especificar la IP del DNS digitando el siguiente comando (Utilizar la IP de su


servidor DNS)

ASA(config)# dhcpd dns [ip_servidor_DNS]

4.1.4. El Cisco® ASA deforma predeterminada establece su dirección IP como


puerta de enlace predeterminada del servidor DHCP, por lo que su
configuración no es necesaria. Pero en el caso de que se necesite
configurar manualmente este parámetro, ejecutar el siguiente comando:

ASA1(config)# dhcpd option 3 ip [ip_default_gateway]

4.1.5. Habilitar, utilizando el siguiente comando, el demonio DHCP dentro del


ASA1 para escuchar las solicitudes del cliente DHCP en la interfaz inside.

ASA1(config)# dhcpd enable inside

4.1.6. Verificar la configuración del demonio utilizando show run dhcpd


(evidenciar este numeral mediante una captura de pantalla).

4.1.7. Acceder a las propiedades IP de la conexión de red de PC-1 y cambie la


asignación IP a dinámica.
Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 17 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

5. Configuración de AAA para usar la base de datos de autenticación local.

5.1. Definir el nombre de usuario local como RDC y el password como Redes3.

ASA1(config)# username [nombre_usuario] password [contraseña]

5.2. Configurar AAA para usar la base de datos local del ASA, para la correspondiente
autenticación del usuario SSH. Emplear el comando que se muestra a
continuación, para cumplir con ésta propósito.

ASA1(config)# aaa authentication ssh console LOCAL

6. Configuración de SSH para el acceso remoto al Cisco® ASA.

Se puede permitir el acceso por SHH al Cisco® ASA a un host o un conjunto de hosts, de
la red inside u outside (interna o externa)

6.1. Para admitir las conexiones SSH, generar un par de claves RSA con un módulo de
1024, para lo cual debe ejecutar:

ASA1(config)# crypto key generate rsa modulus 1024

Nota: En caso de recibir un mensaje de que un par de claves RSA ya están


definidas; ingrese Si para reemplazar el par de claves RSA.

6.2. Permita que todos los dispositivos de la red inside (172.31.1X.0/25) y la LAN de
MNR (10.20.X0.0/28) se puedan conectar por SSH al ASA, además se fijará el
tiempo de espera de SSH en 5 minutos, para lo cual debe establecer la siguiente
configuración:

ASA1(config)# ssh 172.31.1X.0 255.255.255.128 inside


ASA1(config)# ssh 10.20.X0.0 255.255.255.240 outside
ASA1(config)# ssh timeout 5

Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 18 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

6.3. Guardar la configuración ejecutada hasta el momento en el equipo mediante el


comando copy running-config startup-config. Ejecutando este
comando guardará también las claves de forma persistente en la flash.

6.4. Conectarse a la interfaz outside del ASA1 a través de PC-2. (evidenciar este
numeral mediante una captura de pantalla)

6.5. Conectarse a la interfaz inside del ASA1 a través de PC-1. (evidenciar este numeral
mediante una captura de pantalla)

Configurar la DMZ, NAT estático y ACLs.

1. Configurar la interfaz DMZ en el ASA.

1.1. Basándose en los comandos del numeral 2.1. del apartado “Configuración de las
interfaces inside y outside” configurar la DMZ en la VLAN3 que es donde se
encontrarán sus servidores para el acceso público. Asignar la última dirección
válida de su rango a la interfaz VLAN3 con un nivel de seguridad de 70.
Ya que para la presente práctica los servidores no tendrán acceso a la red inside
deshabilitar el reenvío a la VLAN1. Para ejecutar este procedimiento deberá
digitar los siguientes comandos después de haber asignado la dirección IP.

ASA1(config-if)# no forward interface vlan [número-vlan]


ASA1(config-if)# nameif nameif [nombre-vlan]

1.2. Asignar la interfaz física Ethernet0/7 a la VLAN3 y habilitar la interfaz.

1.3. Desplegar el resumen del estado de las interfaces, la asignación de direcciones ip


y su máscara, la asignación de interfaces físicas a las diferentes VLAN. (evidenciar
este numeral mediante capturas de pantalla).

2. Configurar NAT estático a la DMZ de servidores utilizando un objeto de red.


Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 19 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

2.1. Configurar el objeto de red servidores-dmz y asignar la dirección IP estática de su


servidor. En el modo de configuración específico del objeto de red mediante el
comando nat para especificar que se utiliza ese objeto de red para traducir una
dirección DMZ a una dirección externa la cual deberá ser la última del rango
público (outside)

ASA(config)# object network dmz-server


ASA1(config-network-object)# host [IP_SU_Servidor]
ASA1(config-network-object)# nat (dmz,outside) static
[IP_pública]

3. Configurar una ACL para permitir que los servidores tengan acceso desde Internet.

3.1. Establecer una lista de acceso nombrada (DMZ-OUTSIDE) que permita a cualquier
host externo acceder al la IP de su servidor web. Aplicar esta lista de control de
acceso a la interfaz outside del ASA1 en dirección IN

ASA1(config)# access-list DMZ-OUTSIDE permit ip any host


[IP_SU_Servidor]
ASA1(config)# access-group DMZ-OUTSIDE in interface
outside

4. Probar el acceso a la DMZ.

4.1. Crear una interfaz loopback88 en ISP que sea un host externo asignarle la última
dirección dentro del rango 172.30.10/24. Luego ejecutar un pinq a la dirección
pública asignada al servidor desde la interfaz loopback del ISP, estas pruebas
deberían tener éxito (evidenciar este numeral mediante una captura de pantalla).

4.2. Borrar el conteo de traducciones de NAT mediante:

ASA# clear nat counters

Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 20 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

4.3. Ejecutar una prueba de conectividad desde PC2 al servidor mediante su IP pública,
esta prueba debería tener éxito (evidenciar este numeral mediante una captura
de pantalla).

4.4. Para visualizar las políticas PAT y NAT, digitar los comandos show nat y show
xlate. (Comentar el resultado y evidenciar este numeral mediante capturas de
pantalla). ¿Qué indica s en la respuesta obtenida?
__________________________________________________________

4.5. Desplegar la configuración de la VLAN3 con show run y su respectivo filtro


(evidenciar este numeral mediante una captura de pantalla).
4.6. .

4.7. De acuerdo con el nivel de seguridad configurado se puede acceder desde la PC1
a su servidor. Ejecute esta prueba y comente el porqué de este resultado.
__________________________________________________________

4.8. Comprobar si desde el Servidor se puede realizar una prueba de conectividad con
PC1. Ejecute esta prueba y comente el porqué de este resultado.
__________________________________________________________

f. RECURSOS UTILIZADOS (EQUIPOS, ACCESORIOS Y MATERIAL CONSUMIBLE)

3 PCs

2 Switch Cisco

Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 21 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

3 Routers Cisco 1941

Cisco® ASA 5505

Patch Cords

Cables Cisco Smart Serial (CAB-SS-V.35MT)

Cables de Consola
3

1
Fuente: http://bit.ly/1RmvZpo
2
Fuente: https://amzn.to/2GiJgBW
3
Fuente: http://bit.ly/1Nqm8wY
Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera:
REVISIÓN 1/1 Página 22 de 22

MANUAL DE PROCEDIMIENTOS DE PRÁCTICAS

LABORATORIO REDES DE COMUNICACIONES


CARRERA ELECTRÓNICA
SEDE QUITO – SUR

Adaptadores RS-232 a USB

g. REGISTRO DE RESULTADOS

Requerimientos para el Informe

Registrar las respuestas a las preguntas planteadas en el Marco Procedimental (Incluir la


redacción de la pregunta correspondiente y capturas de pantalla específicas para justificar su
respuesta).

h. BIBLIOGRAFÍA UTILIZADA

• Redes de computadoras, Andrew S. Tanenbaum, Quinta edición.


• Apartado ayuda de Packet Tracer, Cisco® Systems.
• https://www.techopedia.com/definition/25292/protocol-data-unit-pdu

4
Fuente: http://bit.ly/1HGvOTZ
Elaborado por: Revisado por: Aprobado por:

Fecha de Elaboración Fecha de Revisión Número de Resolución Consejo de


Carrera: