ASA 101 : Trabajando con el Cisco ASA – Parte 1

ASA 101 : Trabajando con el Cisco ASA – Parte 1

Bien estimados, decidí partir este tema de CCNP Security por el lado de Firewall, ya que es lo que más vende el mercado actualmente (Firewall y VPN ), y también por que me tienen aburrido los routers (siempre es lo mismo). Bueno, partimos con lo básico para poder interactuar con nuestra CLI y ASDM.

Usando el CLI

La interfaz de usuario CLI consiste en diferentes modos de ingreso, proveyéndonos un nivel diferente de capacidades administrativas y funcionarias.

Modo EXEC usuario: Por defecto el acceso inicial al ASA toma este modo, el cual tiene muchas limitantes.

mode-exe-user

Modo EXEC privilegiado: El modo privilegiado nos ofrece un acceso complete a la información, configuración y debug del apliance, se puede usar el comando ‘enable’ para pasar del ‘Modo EXEC usuario’, el cual solicitará una password para su ingreso, en equipos nuevos, esto ocurre de la misma forma, no se alarmen por esto ya que la password es nula.

mode-exe-priv

Modo de configuración global: Al igual que un router cisco, desde este modo se pueden ejecutar comandos para la configuración de cualquier característica disponible en el sistema operativo, se puede usar el comando ‘configure terminal’ para ingresar a este modo.

global-mode

Modo Específico de configuración: El ASA ofrece muchos modos específicos de configuración. Modos más específicos van apareciendo mediante la adición de un sufijo, por ejemplo al ingresar a la configuración de la interface Ethernet 0/0 se ingresa a un submodo ‘config-if’.

specific-mode

Al igual que en la configuración de MPF que se muestra a continuación donde se muestran 2 submodos ‘config-pmap’ y ‘config-pmap-c’

specific-mode-1

Una de las ventajas del ASA que se puede encontrar es que se puede ver la configuración desde cualquier modo excluyendo el ’modo EXEC usuario’, a diferencia de Routers y Switch en los cuales se debe de anteponer el key ‘do’, por defecto puede mantener un histórico de los últimos 19 comandos ingresados por cada sesión establecida, esto se puede ver con el comando ‘show history’ o simplemente usando las teclas up o down.

show run

Como profesionales en networking debemos poder utilizar de una forma eficiente la herramienta ‘show’ muchas ocasiones he podido notar una pérdida de tiempo innecesaria, ya que no se generan filtros con los show. En el Cisco ASA las opciones de filtro son las siguientes:

Begin: comienza con la linea que se ingresa

Exclude: excluye la línea que se ingresa

Grep: incluye/excluye la línea que se ingrea

Include: incluye la línea que se ingresa

Se puede notar que no está presente el filtro ‘section’, el cual era de mucha ayuda en un Switch por tomar de ejemplo el cual indicaba todo lo que abarcaba toda configuración de una característica específica, en el Cisco ASA esto no se  encuentra ya que el ASA presenta un gran número de filtros pre definidos seguidos del común ‘show run’ y a esto es posible aplicar aún más detalle con las opciones de filtrado y búsqueda mencionados.

show filtro

 

Usando Cisco ASDM

Cisco ASDM nos provee una interface gráfica (GUI), la cual se puede usar para todo (administrar, configurar, monitorear), si el equipo que adquirimos viene de fábrica, este trae consigo pre configuraciones cargadas para poder  tener un “rápido” acceso a él, DHCP, Smart call-home, MPF básico, ASDM cargado, son algunas de estas características pre configuradas,  sin embargo, normalmente (por no decir siempre), es recomendable generar una configuración desde cero para que nada se nos escape. A continuación el paso a paso para cargar ASDM en nuestros equipos.

 

Paso 1: Copiar la imagen al disco, usando un tftp, tener en cuenta lo siguiente, si usan un asa con una versión 9.0, las imagen del ASDM debe ser 7.0, en caso contrario no cargara la imagen por ejemplo versión 9.0, ASDM 6.x, si tiene una versión de ASA 8.0 con ASDM 7.0 cargará la imagen. Una vez la imagen cargada verificar.

disk-asdm

Paso 2: Especificar la imagen ASDM a utilizar mediante el comando ‘asdm image <path>’ en nuestro caso la imagen a usar es la asdm-711.bin

asdm path

Paso 3: Habilitar servicios necesarios, al igual que con SDM, tema que tuvieron que hacer visto en CCNA y CCNA Security, con el comando ‘http server enable’  se habilita el servicio HTTPS, el cual es el único usado por el ASA, un tema a tener en cuenta es que tanto HTTP y HTTPS son soportados.

http server

Paso 4: Especificar IP que son permitidas por el ASDM, primero es necesario tener IP en nuestros equipos ASA, acá existe algo a destacar en diferencias de modelos entre los ASA 5505 y 5510 en adelante, la diferencia radica en que el 5505 cuenta con interfaces Switch por ende es necesario generar VLANs y estas asociarlas a las interfaces, a diferencia de los otros equipos, los cuales cuentan con interfaces independientes esto no impide la generación de VLANs ojo con eso.

config interface

A continuación se muestra el rago de red que se va a permitir y por donde se va a permitir en nuestro caso se permite el rango 198.18.0.0/16  por la interface inside

http enable

Con esto estamos habilitados para poder ingresar a ASDM, es necesario abrir un navegador web y abrir el siguiente path https://198.18.100.1 y listo.

asdm-1

De ahora en adelante tenemos que proceder con el botón instalar, en cual no llevará por un wizzard hasta terminar, una vez terminada la instalación podremos ingresar al ASA sin mayor problema, referente a las credenciales, si el equipo a utilizar esta sin nada … por ende al momento de solicitar credenciales basta con poner ok y listo, sin embargo es más que recomendable configurar usuarios para la administración como también los métodos a emplear, la habilitación de AAA, etc.

web-1

Bueno con esto terminamos la primera parte de ‘ASA 101 : Trabajando con el Cisco ASA  – Parte 1 ‘, esperamos si es que se puede la segunda parte y configuración de interfaces para la siguiente semana.

 

  • Yocoima Herrera

    Hola Amigo, excelete documentacion. gracias por tu aporte. Me gustaria seguir viendo material referente al fw asa. si me puedes facilitar mas material mi correo es yocoimadejesus@gmail.com . te agradezco mucho.