desempeo y y conexiones concurrentes es lo mas importante para checar dentro del Fw sh conn otra importatnte algoritmos de encripcion VPNs

cuantas vpn simultaneas puede hacer el fw ******************LO que se checa antes de revisar******** numero de conexiones nuevas en un segundo ************Licenciamiento******************* licencia base y security plus antess del 5510 necesitas licenciamiento despues del 10 es lo mismo comprar licencias es para hacer un closter una ctivo y miembros del closter uno administrar los licencias pero tienen que comprar la licencia de miembro mas las 1000 de ocupar ************************ Bonet tfaffic filter costo para que levante esta funcion *******VPN SSL ADVANCE********** conectarse desde internet hacia cualquier parte desde lobby abre una pagina para conectarse sin vpn client advancen poolassesment contextos son los fw virtuales *******CLI******************* tambien tienen ROMMON terminal width characteres numero de caracteres a la largo y ancho de la pantall a pager = terminal leng 0 ASDM incluida en la sh disk:? fw(config)#asdm image disk0:/asdm.645.bin fw(config)# http 10.103.100.0 255.255.255.0 outside----? aunque diga http sera https va encriptado *******FIREWALL SOLO UTILIZAN LAS MASCARAS NO WILDCARD******** (config-if) ip add dhcp setroute----------es decir que es la ruta por default level security----0 100 inside(100) con el mismo nivel de seguridad no se pueden comunicar entre ellas same-security traffic permit inter-interface.... por default, todo lo que tenga un menor nievel de seguridad hacia uno de mayo es tara negado nivel cero no se comunica con 10 o con 30 y 50, sera permitido solo con ACL show nameif ver el nivel de seguridad revision antes de colocar la lista de acceso ping (interface) X.x.x.X ---valido que es donde se encuentra dentro de la interf ace cambiar de nivel a los logging subirlos bajarlos "no recuerdo como " ***********NETFLOW************ Cierto patron de trafico 10 Mbps *************************** 514 UDP syslog y opcionalmente al puerto TCP 1470, tener cuidado se tira si no p asan los syslog en el ASDM en divice MAnagment

****************conexion embrionica********** Es peligrosa ya que envio envio y aunque lo contesto pues no abra ACK y esto hace que el server espere por 30 segundos el ACK es un DoS *******OBJECT************* object--solo un objeto una traslacion un objeto nuevo si escribimos dentro de el lo remplazamos mismo objecto con la misma IP y dif no mbres 1.-host 2.-subred 3.-rango ************NAT******************+ static NAT antes static (in, out) 10.10.10.10 1.1.1.1 object network 192.168.2.22-obj host 192.168.2.22 nat (inside2,outside) static 200.200.12.22----Esto es un NAT object network 10.10.10.0-net subnet 10.10.10.0 255.255.255.0 nat(in,out) dynamic 200.200.200.1------Esto es un PAT object network 10.10.80.0-net subnet 10.10.80.0 255.255.255.0 nat (in, out) 200.200.200.10-pool object network 200.200.200.10-pool------Este es el mismo haciendo referencia al pool de arriba range 200.200.220.10 - 200.200.200.20---------Esto es un Dynamic NAT **********LABORATORIO********** object network 172.16.22.2-obj subnet 172.16.22.2 255.255.255.0 nat (inside2,outside) dynamic 200.200.12.60-pool object network 200.200.12.60-pool range 200.200.12.60- 200.200.12.90 FLAGS iniside de la aoutside me manden el SYN sSA---ruteo nat o puerto de firewall problemas ya deje pasar la comunicacion inside sh conn UIO---three hand check sh conn add 150.10.10.21 address 123.123.121.23 sh conn port 23 --aquellas que hacen telnet sh conn add X:X:X:X port 23 EL Fw tiene que refrescar la tabla de ARP del router ya que ya la tiene banderas en las sh xlate I es dynamic **************Static PAT******************+ 100.100.100.102------cambiar el puerto del servidor de 80 ---8080 esto sirve para migrar los puertos a los que le tiran desde INternet aunque ocup e el 80 para su admon

object network object 192.168.2.50-obj host 192.168.2.50 nat (inside2,outside) static 200.200.12.52 ser tcp 23 2323 *********OBJECT-GROUP*********** 4 tipos de servicios Si se van a anidar deben ser del mismo tipo protocolos Networks servicios ICMP tipo Service (TCP | UDP | TCP-UDP) port-obj eq http port-obj eq ftp port-obj eq snmp objec-group icmp-type obj-group-id config)#icmp-obj echo config)#icmp-obj echo-reply ANIDANDO OBJECT-GROUP config)#group-object "name-object-group" **********LLAMANDO A LOS OBJECTOS********* object network 10.10.10.0-object subnet 10.10.10.0 255.255.255.0 object network SUBRED-obj network-object object 10.10.10.0-object time-range para comenzar en un dia a tal hora activar icmp permit any echo-reply outside NAT from Inside2:192.168.2.22 to outside:200.200.12.22 flags s idle 4:50:21 timeout 0:00:00 TCP PAT from Inside2:192.168.2.50 23-23 to outside:200.200.12.52 2323-2323 access-list OUT_ACL permit icmp any access-list OUT_ACL; 7 elements; name hash: 0x359b2806 access-list OUT_ACL line 1 extended permit icmp any 192.168.1.0 255.255.255.0 ec ho-reply (hitcnt=1) 0x85a1b5b5 access-list OUT_ACL line 2 extended permit icmp any 192.168.2.0 255.255.255.0 ec ho-reply (hitcnt=2) 0x84cdd70f access-list OUT_ACL line 3 extended permit icmp any 172.16.2.0 255.255.255.0 ech o-reply (hitcnt=0) 0x6248b3fa access-list OUT_ACL line 4 extended permit icmp any 172.16.1.0 255.255.255.0 ech o-reply (hitcnt=1) 0x82a10b81 access-list OUT_ACL line 5 extended permit tcp any object 192.168.1.50-obj eq te lnet log informational interval 300 (hitcnt=0) 0x5db388a8 access-list OUT_ACL line 5 extended permit tcp any host 192.168.1.50 eq telnet log informational interval 300 (hitcnt=1) 0x5db388a8 access-list OUT_ACL line 6 extended permit tcp any host 192.168.2.50 eq telnet ( hitcnt=0) 0x944c912a access-list OUT_ACL line 7 extended permit icmp any object 192.168.1.50-obj echo (hitcnt=0) 0xbdff25c8 access-list OUT_ACL line 7 extended permit icmp any host 192.168.1.50 echo (hi

tcnt=0) 0xbdff25c8 object network 172.16.22.70-obj host 172.16.22.70 nat (inside2,outside) static 200.200.12.72 object-group service HOSTD tcp port-object eq 80 port-object eq 443 port-object eq 21 GEt-put en FTP no es necesario que lo abramos para el puerto de datos en FTP el FW lo va a necgocar automaticamente TEARDOWN--termino la sesion si la realiza pero para el tiempo de espera ha termi nado ICMP es conexion less son dos conexiones no existe una conexion como tal debes p ermitir una de entrada y una de regreso puedo habilitar un echo request con ese ID *************TWICE NAT*********** Va a revisar primero los Twis nat despues revisara los object nats pero de maner a ascendente descendente NO se pueden utilizar IP solo objetos uno para el real otro para el mapeado es importantisimo el orden por que primero las mas especificas Para no hacer NAt es poner en el campo de nat la misma red y la misma mapeada nat (inside,outside) source static IP real, ip mapeada destination static ip rea l source ip destination ip nat (inside,outside) source static 10.0.0.1 100.100.100.2 destination static 200 .200.200.12 200.200.200.123 NAT ZERO es poner o repetir en ambos la misma IP "nat (inside,outside) source static 100.100.100.2 100.100.100.2 destination stat ic 200.200.200.12 200.200.200.12" puerto puerto tambien puede incluir nat (inside,outside) source static 10.0.0.1 100.100.100.2 destination static 200 .200.200.12 200.200.200.123 =======================================REALIZAR OJO============================= Laboratorio 4 1. Configurar policy NAT de tal manera que cuando la direccin 192.168.X.200 se co necte a 100.5.5.100 por el puerto 81, se realice una translacin hacia la direccin 200.200.XY.1X1 y cua ndo se conecte a 100.5.5.100 por el puerto 82 se realice una translacin hacia la direccin 200.200.X Y.1X2 3368 no access-list SERVI_DAM extended permit tcp host 192.168.2.200 host 100.5.5.100 eq 81

no access-list OUT_ACL extended permit tcp host 200.200.121 host 100.5.5.100 eq 82 object network 192.168.2.200-obj host 192.168.2.200 object network 100.5.5.100-obj host 100.5.5.100 object network 200.200.12.121-obj host 200.200.12.121 object network 200.200.12.122-obj host 200.200.12.122 object network service port-81 service tcp eq 81 object network service port-82 service tcp eq 82 nat (Inside2,outside) source static 192.168.2.200-obj 200.200.12.122-obj destina tion static 100.5.5.100-obj 100.5.5.100-obj service port-82 port-82 ====================================================================0 TACACS + Radius 49 TCP 1645 y 1646 Radius 1812 y 1813 new Radius Un ACS en appliance o en VMware aaa-server X protocol aaa-server x (if_name) host x.x.x.x (cisco123) timeout 10 aaa authentication match 110 outside MY_ACS ************INSPECT*************** get post parameters mask banners mask syst- banner msdos ==quote syst para revisar que sistema operatico tiene el servidor con esto sabe el hacker sobre que trabaja **********IPSEc************** confidencialidad data integrity data authentication anty -reply-----recibido una sola vez

es un Estandar un conjunto de protocolos funciona en capa 3 con identificador para ordenar como secuencia IPSec dos vertientes ESP y AH ESp solo ahuthentication y DES algoritmo de 56 bits y 3DES es un procesamiento de 168 que hace una encripcion en hardware El ASA lo hace con llaves mas grandes y es 2^168 o que es unbuen encripta DES lu ego lo vuelve a encriptar y encriptar AES = Advance Encryption Estandar Algoritmos de Hash esto para la integridad no es reversible una vez que yo la cifro no hay forma de ver la forma originl algoritmo simetrico utiliza una sola llave con esta encrypto y desencripto un asimetrico usa una llave para encryptar y otra para desencriptar 1 llave es la llve publica y la 2 es la llave privada DES. 3DES y AES = Son simetricos Un algoritm de Hash Datos Hash datos + hash -> desencryto y reviso al desencriptarlo debe tener los mismo ese h ash lo manda desencrypta envia esta llave y revisa el hash el cual debe ser el mismo de ahi lo que no sea reversible simplemente debe ser igual al hacer el hash Authentication Firmas digitales deben tener confianza conocer a las autoridades certificadoras en ambas puntas d el enlace para poder transmitir entre Verizion y banca segura Preshare-key un password en comun Diffie-Hellman un numero primo de 256 mas un llave dando como resultado una variable K es el que se genera cuando iniciamos la VPn y se comparte la llave

fase 1 de I-key se lleva cabo la authentication y se prepara el camino un tunnel encriptado para llevar acabo la fase 2 fase 2 Ipsec ********VPN site-to-Site****************** 10.1.1.0/24---------->[Fw]100.1.1.1------->{Internet}----------->200.2.2.2[FW2]-----10.2.2.0/24

*****Fase 1 ********** crypto ikev1 policy 10 encryption 3DES--------------->default 3DES hash sha---------------------->MD5 group 2----------------------->Diffie-Hellman 2 authentication pre-share------>default certificados digitales lo de arriba debe ser lo mismo en el sitio remoto despues para el tunnel-group d ebe contener la ip del sitio remoto tunnel-group 200.2.2.2 type ipsec_L2L -------->damos enter solo para meter este comando despues tunnel-group 200.2.2.2 ipsec_attributes-------> ikev pre-share cisco-------------------->debe ser la misma y es solo para este t unnel crypto ikev1 enable outside-------->el if name en cualquier interface del FW comando para verificar que la fse 1 este arriba sh crypto isakmp *********Fase 2********* Identificar los tres elementos antes de crear la politica (transform-set,lista d e acceso(interesante), crypto ipsec ikev1 transform-set AES128-SHA esp-aes esp-shs-hmac ---->es el tra nsform set tienen que coincidir es el nombre mas la manera de despues la lista de acceso con objecto o de manera tradicional. object network 10.1.1.0-net sub 10.1.1.0 255.255.255.0 object network 10.2.2.0-net sub 10.2.2.0 255.255.255.0 access-list VPN-test permit ip object 10.1.1.0-net object 10.2.2.0-net del otro lado la acl en el sitio remoto***** access-list REVPN permit ip object 10.2.2.0-net object 10.1.1.0-net Revisar el life-time = a nosotros y levanta revisar el life-time tiene sentido 2 0, al mas pequeo para que ambos intercambien las llaves el modo de diffie-hellman en juniper al parecer lo hace en fase 2 tambien o otra vez, en el data sheet viene el maximo de 3des que soporta el equipo Cualquier cosa mas segura genera mas procesamiento"--->ojo estar siempre revisand o por ultimo amarramos las acl con el tunnel crypto-map outside-map 5 match address VPN-testcrypto-map outside-map 5 set peer 200.2.2.2_______>>> cypto map outside-map 5 set ikev1 transform-set AES128_SHA

crypto map outside-map interface outside object 10.1.1.0-net nat (inside,outsi) dynamic interface ant (in,out) source static 10.1.1.0-net 10.1.1.0-net destination static 10.2.2.0 -net 10.2.2.0-net crypto map outside-map **********EXAMPLE VPN******* crypto ikev1 policy 1 authentication pre-share encryption 3des hash md5 group 2 lifetime 86400 tunnel-group 200.200.34.100 type ipsec-l2l tunnel-group 200.200.34.100 ipsec-attributes ikev1 pre-shared-key ***** crypto crypto crypto crypto crypto crypto ipsec ikev1 transform-set 3DES_SHA esp-3des esp-sha-hmac map outside_map 10 match address VPN-TO-ASA2_acl map outside_map 10 set peer 200.200.34.100 map outside_map 10 set ikev1 transform-set 3DES_SHA map outside_map interface outside ikev1 enable outside extended permit ip object 192.168.1.0-net 192.168.3. extended permit ip object 192.168.2.0-obj 192.168.3. extended permit ip object 192.168.1.0-net 192.168.4. extended permit ip object 192.168.2.0-obj 192.168.4. extended permit icmp object 192.168.2.0-obj 192.168.

access-list VPN-TO-ASA2_acl 0 255.255.255.0 access-list VPN-TO-ASA2_acl 0 255.255.255.0 access-list VPN-TO-ASA2_acl 0 255.255.255.0 access-list VPN-TO-ASA2_acl 0 255.255.255.0 access-list VPN-TO-ASA2_acl 3.0 255.255.255.0 ******TSHOOT___VPN *****

Si vemos packetes desencryptados es problema de nosotros trafico interesante o proxys es el trafico a enviar por medio del spi identifica el Fw de que VPn es por el encabezado ok clear crypto ipsec sa peer X:X:X:X ---------____>Reinicio de la VPN ***********REMOTE--VPN************** seme-security traffic intra-interface esto para el concentrador, debido a que no permite hacer un ping de un sitio remoto a otro sitio remoto pasando por un concentrador ya qu

e sale por la outside y llega por ella.

crypto ikev1 policy 1 authentication pre-shareir encryption 3des hash md5 group 2 lifetime 86400 tunnel-group VPN_REMOTE type ipsec-ra tunnel-group VPN_REMOTE ipsec-attributes ikev1 pre-shared-key CISCO FASE 1.5********* Para defilos atributos saosadmmas ASDSA A

access-list VPN_RA_acl permit ip 10.1.1.0 255.255.255.0 any----------Recursos do nde dara acceso mas de una remote acces o poner any ip local pool POOL 172.16.251.1-172.16.251.255 group-policy VPN_REMOTE-policy internal-------Enter al igual que en el anterior group-policy VPN_REMOTE-policy attributes dns-server value 10.1.1.100 default-domain value getro.com----------aumentarle el sufijo una vez conectado b uscar split-tunnel-policy tunnel specified split-tunnel-network-list value VPN_RA_acl-------------va a encriptar todo el t rafico que este en esta lista de acceso tunnel-group VPN_REMOTE general-attributes authentication-server-group ACS---------------Para tener los nombres y lista de acceso de que hicieron (user y pass) default-group-policy VPN_RA_ACL-policy--------Cada uno amarrar FASE 2*************** crypto ikev1 ipsec transform-set 3DESMD5 esp-3des esp-md5-type crypto dynamic-map DYN_MAP 10 set ikev1 transform-set 3DESMD5 crypto map outside-map 65535 ipsec-isakmp dynamic DYN_MAP---------el 65535 es el mas bajo de prioridad y nunca se van establecer debido a que acepta to das las direcciones y va a matchear con cualquiera ********************* DEntro del VPN client el nombre es el tunnel-group y la pre-sharekey es la CISCO que definimos des pues nos pedira un user y password esa parte es el auhtentication-server-group LOCAL por default ********************************************************EXAMPLE******+ crypto ikev1 policy authentication pre-shar encryption 3des hash md5 group 2 lifetime 86400

tunnel-group VPN_REMOTE type ipsec-ra tunnel-group VPN_REMOTE ipsec-attributes ikev1 pre-shared-key cisco username ipseuser password cisco123 privilege 2 FASE 1.5********* Para defilos atributos saosadmmas ASDSA A

nat (Inside2,outside) source static 192.168.2.0-obj 192.168.2.0-obj destination static 10.10.10-pool 10.10.10-pool nat (Inside1,outside) source static 192.168.1.0-net 192.168.1.0-net destination static 10.10.10-pool 10.10.10-pool nat (Inside1,outside) source static IP_PERMIT IP_PERMIT destination static 10.10 .10-pool 10.10.10-pool

access-list VPN_RA_acl permit ip host 172.16.1.251 object 10.10.10-pool access-list VPN_RA_acl permit ip host 172.16.2.252 object 10.10.10-pool ip local pool REMOTE_POOL 10.10.10.1-10.10.10.100 group-policy VPN_REMOTE-policy internal group-policy VPN_REMOTE-policy attributes dns-server value 192.168.1.100 wins value 192.168.1.100 default-domain value getro.com split-tunnel-policy tunnelspecified split-tunnel-network-list value VPN_RA_acl address-pool value REMOTE_POOL tunnel-group VPN_REMOTE general-attributes authentication-server-group LOCAL default-group-policy VPN_REMOTE-policy--------Cada uno amarrar FASE 2*************** crypto ipsec ikev1 transform-set 3DES_SHA esp-3des esp-sha-hmac crypto dynamic-map DYN_MAP 10 set ikev1 transform-set 3DES_SHA crypto map outside_map 65535 ipsec-isakmp dynamic DYN_MAP ********==========*********************?????=========== VPN SSL basada en anyconnect ipsec l2l Websecurityaplliance WebVPN no asigna Ip solo es un portal donde dependiendo de tus credenciales te o frece los servicios, como plus tiene un url pero debe esta permitidos Como ocupa la misma i de outside debe diferenciarse cambiando el puerto de https para admin y para vpn client todod sobre SSL, para hacer la customizacion es por ASDM NO por linea de comando s

hhtp enable webvpn enable outside tunnel-group-list enable url-lisr URLs ntranethttp://10.10.10.10 port-forward Aplications 2323 10.0.1.10 23----------cuando le haga el usuario un telnet debe ser al puerto local 127.0.0.1 2323 ASDM por ASDM Client para ipsec client vpn client less es WEB VPN clietn profile-------es un tunnel group cada uno tiene un nombre para AASDM es u n profile ok Path forwarding el local port es el que usara el usuario 2323 remote server 192.168.1 group-policy va heredar o no eredar y que ocupe el login settings para darle que descargue automaticamente el cliente de anyconnect Nextel tiene concentrados vpn 7.2 vienen los bookmaps son las listas de acceso que teniamos sumar sus bookmaps necesitas instalar en el asa un complemento de java para corr erlo un plug-in

==========CONTEXTOS*******************+ 5510 soportan contextos en los Fw depende del datasheet licencia de contxtos SP servicios de hosteo cada compaia tiene su propio Fw y podrian compartir la out side pero minimo necesitan 5 cada contexto tiene su propia config y existe un contexto System que dice cuales son y como se llama cada contexto single mode para poder usar contexto para el modo multiple hara 3 admin context el system no tiene IP tengo los privilegios el contexto system solamente para crear contextos admin para administrarlos sh mode para saber si es modo multiple y single fw(config)#mode multiple lo reiniciamos y reinicia me manda al system context_name en el system crear los port-channel las vlan allocate-interface gi0/1.100

config-url disk0:name_archivo:/context.cfg en el admin o system podemos guardar la config de todos los contextos para borrar un contexto se elimina el contexto por default-podemos cambiar el contexto de administracion desde sytem cambiar a: cambiar con change to (system|context name) en el system sus interfaces y subinterfaces name if dentro de los contextos sh context:--un summary de los contextos politicas para definir los alcances del contexto ya que tienen recursos infinito s deben declararse politicas para este caso

==========CONTEXTOS*******************+ 5510 soportan contextos en los Fw depende del datasheet licencia de contxtos SP servicios de hosteo cada compaia tiene su propio Fw y podrian compartir la out side pero minimo necesitan 5 cada contexto tiene su propia config y existe un contexto System que dice cuales son y como se llama cada contexto single mode para poder usar contexto para el modo multiple hara 3 admin context more system-running config sh runn all

context FirewallA context FirewallB allocate-interface giga0/0 allocate-interface giga0/0