Prévia do material em texto
© 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 1 de 6 www.netacad.com Packet Tracer - Configurar ajustes básicos ASA e o Firewall usando o CLI Tabela de Endereçamento Dispositivo Interface Endereço IP Máscara de Sub-Rede Gateway padrão R1 G0/0 209.165.200.225 255.255.255.248 N/D R1 S0/0/0 (DCE) 10.1.1.1 255.255.255.252 N/D R2 S0/0/0 10.1.1.2 255.255.255.252 N/D R2 S0/0/1 (DCE) 10.2.2.2 255.255.255.252 N/D R3 G0/1 172.16.3.1 255.255.255.0 N/D R3 S0/0/1 10.2.2.1 255.255.255.252 N/D ASA G1/1 209.165.200.226 255.255.255.248 NA ASA G1/2 192.168.1.1 255.255.255.0 NA ASA G1/3 192.168.2.1 255.255.255.0 NA Servidor DMZ Placa de rede 192.168.2.3 255.255.255.0 192.168.2.1 PC-B NIC 192.168.1.3 255.255.255.0 192.168.1.1 PC-C Placa de rede 172.16.3.3 255.255.255.0 172.16.3.1 Linha em branco, sem informações adicionais Objetivos Verifique a conectividade e explore o ASA Configurar ajustes ASA básicos e níveis de segurança da relação usando o CLI Configurar o roteamento, a conversão de endereço, e a política de inspeção usando o CLI Configure DHCP, AAA, and SSH Configurar um DMZ, um NAT estático, e ACLs Cenário Sua empresa tem um local conectado a um ISP. O R1 representa um dispositivo CPE controlado pelo ISP. R2 representa um roteador de Internet intermediário. O R3 representa um ISP que conecta um administrador de uma empresa de gerenciamento de rede, que foi contratada para gerenciar remotamente sua rede. O ASA é um dispositivo de segurança CPE da borda que conecte a rede corporativa interna e o DMZ ao ISP ao fornecer serviços NAT e DHCP aos anfitriões internos. O ASA será configurado para o gerenciamento por um administrador na rede interna e pelo administrador remoto. O ISP atribuiu o espaço de endereço IP público de 209.165.200.224/29, que será usado para a tradução de endereço no ASA. Todos os roteadores e dispositivos de switch foram pré-configurados com o seguinte: o Senha do enable: ciscoenpa55 o Senha do console: ciscoconpa55 Packet Tracer - Configurar ajustes básicos ASA e o Firewall usando o CLI © 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 2 de 6 www.netacad.com o Nome de usuário e senha do administrador: admin/adminpa55 Nota: Esta atividade do Packet Tracer não é um substituto para os laboratórios ASA. Esta atividade fornece a prática adicional e simula a maioria das configurações ASA 5506-X. Quando comparado a um ASA 5506-X físico, pode haver pequenas diferenças na saída do comando ou nos comandos que ainda não são apoiados no rastreador de pacotes. Instruções Parte 1: Verifique a conectividade e explore o ASA Etapa 1: Verifique a conectividade. O ASA não é configurado atualmente. No entanto, todos os roteadores, PCs e o servidor DMZ são configurados. Verifique se o PC-C pode executar ping em qualquer interface de roteador. O PC-C é incapaz de executar o ping para o ASA, PC-B, ou o servidor DMZ. Etapa 2: Determine a versão, interfaces e licença ASA. Use o comando show version para determinar vários aspectos deste dispositivo ASA. Etapa 3: Determine o sistema de arquivos e conteúdos da memória flash. a. Entre no modo EXEC privilegiado. Uma senha não foi definida. Pressione Enter quando solicitado uma senha. b. Use o comando show file system para exibir o sistema de arquivos ASA e determinar quais prefixos são apoiados. c. Use o comando show flash: ou show disk0: para exibir o conteúdo da memória flash. Parte 2: Configurar ajustes ASA e a segurança da relação usando o CLI Dica: Muitos comandos ASA CLI são semelhantes, senão iguais, aos usados com o Cisco IOS CLI. Além disso, o processo de movimentação entre modos de configuração e submodos é essencialmente o mesmo. Etapa 1: Configure o nome do host e o nome do domínio. a. Configure o nome de host ASA como NETSEC-ASA. b. Configure o nome de domínio como netsec.com. Etapa 2: Configure a senha do modo de enable. Use o comando enable password para mudar a senha privilegiada do modo EXEC para ciscoenpa55. Etapa 3: Configure data e hora. Use o comando clock set definir para manualmente a data e a hora (esta etapa não é avaliada). Etapa 4: Configure as interfaces internas e externas. Você só irá configurar as interfaces G1/1 (FORA) e G1/2 (DENTRO) neste momento. A interface G1/3 (DMZ) será configurada na parte 5 da atividade. a. Crie a interface G1/1 para a rede externa (209.165.200.224/29), defina o nível de segurança para a configuração mais baixa de 0 e habilite a interface. NETSEC-ASA(config-if)# interface g1/1 NETSEC-ASA(config-if)# nameif OUTSIDE Packet Tracer - Configurar ajustes básicos ASA e o Firewall usando o CLI © 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 3 de 6 www.netacad.com NETSEC-ASA(config-if)# ip address 209.165.200.226 255.255.255.248 NETSEC-ASA(config-if)# security-level 0 NETSEC-ASA(config-if)# no shutdown b. Configure a interface G1/2 para a rede interna (192.168.1.0/24) e defina o nível de segurança para a configuração mais alta de 100 e habilite a interface. NETSEC-ASA(config)# interface g1/2 NETSEC-ASA(config-if)# nameif INSIDE NETSEC-ASA(config-if)# ip address 192.168.1.1 255.255.255.0 NETSEC-ASA(config-if)# security-level 100 NETSEC-ASA(config-if)# no shutdown c. Use os seguintes comandos de verificação para verificar suas configurações: 1) Use o comando show interface ip brief para exibir o status de todas as interfaces ASA. Nota: Este comando é diferente do resumo da interface IP da mostra do comando IOS . Se alguma das interfaces físicas ou lógicas configuradas anteriormente não estiver funcionando, solucione o problema conforme necessário antes de continuar. Dica: A maioria de comandos da mostra ASA , incluindo o ping, o copy, e outro, podem ser emitidos de dentro de qualquer modo de configuração sem o comando do. 2) Use o comando show ip address exibir as informações da interface. Etapa 5: Teste a conectividade com o ASA. a. Você deve poder executar o comando ping do PC-B ao endereço de interface interna ASA (192.168.1.1). Se os pings falharem, solucione defeitos a configuração conforme necessário. b. Do PC-B, execute o comando ping da interface G1/1 (EXTERNA) no endereço IP 209.165.200.226. Você não deve ser capaz de executar o comando ping deste endereço. Parte 3: Configurar o roteamento, a tradução de endereço, e a política da inspeção usando o CLI Etapa 1: Configure uma rota padrão estática para o ASA. Configurar uma rota estática padrão na interface EXTERNA ASA para permitir o ASA de alcançar redes externas. a. Crie uma rota padrão do “quad zero” usando o comando route, associe-o com a interface EXTERNA ASA, e aponte ao endereço IP de Um ou Mais Servidores Cisco ICM NT R1 G0/0 (209.165.200.225) como o gateway do último recurso. NETSEC-ASA(config)# route OUTSIDE 0.0.0.0 0.0.0.0 209.165.200.225 b. Execute o comando show route para verificar se a rota padrão estática está na tabela de roteamento ASA. c. Verifique que o ASA pode executar o comando ping para o endereço IP 10.1.1.1 R1 S0/0/0. Se o ping é mal sucedido, pesquise defeitos conforme necessário. Etapa 2: Configure a tradução de endereços usando PAT e objetos de rede. a. Crie o objeto de rede INSIDE-NET e atribua atributos a ele usando os comandos de sub-rede e nat. NETSEC-ASA(config)# object network INSIDE-NET NETSEC-ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0 NETSEC-ASA(config-network-object)# nat (INSIDE,OUTSIDE) dynamic interface Packet Tracer - Configurar ajustes básicos ASA e o Firewall usando o CLI © 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 4 de 6 www.netacad.com NETSEC-ASA(config-network-object)# exit b. O ASA divide a configuração na parte do objeto que define a rede a ser traduzida e os parâmetrosreais do comando nat. Eles aparecem em dois lugares diferentes na configuração de execução. Exiba a configuração do objeto NAT usando o comando show run . c. Da tentativa PC-B de sibilar a relação R1 G0/0 no endereço IP de um ou mais Servidores Cisco ICM NT 209.165.200.225. Os pings devem falhar. d. Emita o comando show nat no ASA para ver as batidas traduzidas e não traduzidas. Observe que, dos pings do PC-B, quatro foram traduzidos e quatro não foram. Os pings de saída (ecos) foram traduzidos e enviados para o destino. As respostas de ping de retorno foram bloqueadas pela política de firewall. Parte 4: Configure DHCP, AAA, e SSH Etapa 1: Configure o ASA como um servidor DHCP. a. Configure um pool de endereços DHCP e habilite-o na interface ASA INSIDE. NETSEC-ASA(config)# dhcpd address 192.168.1.5-192.168.1.36 INSIDE b. (Opcional) Especifique o endereço IP do servidor DNS a ser fornecido aos clientes. NETSEC-ASA(config)# dhcpd dns 209.165.201.2 interface INSIDE c. Habilite o daemon DHCP dentro do ASA para escutar as solicitações do cliente DHCP na interface habilitada (DENTRO). NETSEC-ASA(config)# dhcpd enable INSIDE d. Mude PC-B de um endereço IP estático para um cliente DHCP e verifique se recebe informações de endereçamento IP. Solucione problemas, conforme necessário para resolver todos os problemas. Etapa 2: Configure o AAA para usar o banco de dados local para autenticação. a. Defina um usuário local chamado admin, digitando o comando username. Especifique uma senha de adminpa55. NETSEC-ASA(config)# username admin password adminpa55 b. Configure AAA para usar o banco de dados ASA local para autenticação de usuário SSH. NETSEC-ASA(config)# aaa authentication ssh console LOCAL Etapa 3: Configure o acesso remoto ao ASA. O ASA pode ser configurado para aceitar conexões de um único host ou de uma escala dos hosts na rede INTERNA ou EXTERNA. Nesta etapa, os hosts da rede EXTERIOR podem somente usar o SSH para comunicar-se com o ASA. As sessões SSH podem ser usadas para alcançar o ASA da rede interna. a. Gere um par de chaves RSA, que é necessário para oferecer suporte a conexões SSH. Como o dispositivo ASA já tem chaves RSA instaladas, digite no quando solicitado para substituí-las. NETSEC-ASA(config)# crypto key generate rsa modulus 1024 WARNING: You have a RSA keypair already defined named <Default-RSA-Key>. Do you really want to replace them? [yes/no]: no ERROR: Failed to create new RSA keys named <Default-RSA-Key> b. Configurar o ASA para permitir conexões SSH de todo o host na rede INTERNA (192.168.1.0/24) e do host de gerenciamento remoto na filial (172.16.3.3) na rede EXTERNA. Defina o tempo limite de SSH para 10 minutos (o padrão é 5 minutos). NETSEC-ASA(config)# ssh 192.168.1.0 255.255.255.0 INSIDE Packet Tracer - Configurar ajustes básicos ASA e o Firewall usando o CLI © 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 5 de 6 www.netacad.com NETSEC-ASA(config)# ssh 172.16.3.3 255.255.255.255 OUTSIDE NETSEC-ASA(config)# ssh timeout 10 c. Estabeleça uma sessão SSH do PC-C ao ASA (209.165.200.226). Solucione o problema se não for bem-sucedido. C:\> ssh -l admin 209.165.200.226 d. Estabeleça uma sessão SSH do PC-B ao ASA (192.168.1.1). Solucione o problema se não for bem- sucedido. C:\> ssh -l admin 192.168.1.1 Parte 5: Configurar um DMZ, um NAT estático, e ACLs R1 G0/0 e a interface EXTERNA ASA já usam 209.165.200.225 e .226, respectivamente. Você usará o endereço público 209.165.200.227 e o NAT estático para fornecer acesso de tradução de endereço ao servidor. Etapa 1: Configurar a interface DMZ VLAN 3 no ASA. a. Configurar DMZ VLAN 3, que é onde o servidor de Web de acesso público residirá. Atribua-lhe o endereço IP 192.168.2.1/24, nomeie-o DMZ, e atribua-lhe um nível de segurança de 70. Porque o servidor não precisa de iniciar uma comunicação com os usuários internos, desabilite o encaminhamento para interface VLAN 1. NETSEC-ASA(config)# interface g1/3 NETSEC-ASA(config-if)# ip address 192.168.2.1 255.255.255.0 NETSEC-ASA(config-if)# nameif DMZ INFO: Security level for "DMZ" set to 0 by default. NETSEC-ASA(config-if)# security-level 70 NETSEC-ASA(config-if)# no shutdown b. Use os seguintes comandos de verificação para verificar suas configurações: Use o comando show interface ip brief para exibir o status para as interfaces ASA. Use o comando show ip address indicar a informação para as relações ASA. Etapa 2: Configure o NAT estático para o servidor DMZ usando um objeto de rede. Configure um objeto de rede denominado DMZ-SERVER e atribua a ele o endereço IP estático do servidor DMZ (192.168.2.3). Enquanto estiver no modo de definição de objeto, use o comando nat especificar que este objeto é usado para traduzir um endereço DMZ para um endereço EXTERNO usando NAT estático e especifique um endereço traduzido público de 209.165.200.227. NETSEC-ASA(config)# object network DMZ-SERVER NETSEC-ASA(config-network-object)# host 192.168.2.3 NETSEC-ASA(config-network-object)# nat (DMZ,OUTSIDE) static 209.165.200.227 NETSEC-ASA(config-network-object)# exit Etapa 3: Configure uma ACL para permitir o acesso ao servidor DMZ da Internet. Configurar uma lista de acesso nomeada OUTSIDE-DMZ que permita o protocolo TCP na porta 80 de todo o host externo ao endereço IP interno do servidor DMZ. Aplique a lista de acessos à interface EXTERNA ASA no sentido “IN”. NETSEC-ASA(config)# access-list OUTSIDE-DMZ permit icmp any host 192.168.2.3 NETSEC-ASA(config)# access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3 eq 80 Packet Tracer - Configurar ajustes básicos ASA e o Firewall usando o CLI © 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 6 de 6 www.netacad.com NETSEC-ASA(config)# access-group OUTSIDE-DMZ in interface OUTSIDE Nota: Ao contrário de IOS ACLs, a declaração de permissão ASA ACL deve permitir o acesso ao endereço DMZ privado interno. Os hosts externos acessam o servidor usando seu endereço NAT estático público, o ASA o traduz para o endereço IP do host interno e, a seguir, aplica o ACL. Etapa 4: Teste o acesso ao servidor DMZ. De um navegador da Web no PC-C, navegue ao servidor DMZ (209.165.200.227). Solucione o problema se não for bem-sucedido.