• Nome:Ricardo L0gan
  • Especialidade:Network Security and Security Researcher Enthusiast
  • E-mail:ricardologanbrøgmail·com·br
  • Contato:About-me | Github: Loganbr | Twitter:l0ganbr | Localização:::1
Indice
============
0x00 - Introdução
0x01 - Exemplo de Configuração Básica
0x02 - Conclusão

0x00 - Introdução
O firewall ASA 5505 é um Appliance modular da família de firewalls 5500 da Cisco. Esta caixa oferece 8 placas de rede sendo 2 com portas PoE. Nativamente ela possui as seguintes características na licença based:

- Suporte a 3DES / DES;
- Firewall Transparente Layer 2;
- Licença Based com Suporte a 2 Vlans
- IPsec VPN



Este produto é recomendado para empresas de pequeno a médio porte, que precisem de um gateway VPN ou para segurança de uma pequena parte da sua rede.
Features da Licença Based (Exemplo via Interface Grafica ASDM)



Features da Licença Based (Exemplo via Interface Texto Acesso SSH)



0x01 - Exemplo de configuração básica

Configuração testada nas versões: ASA 8.2(3) Device Manager 6.3(4) 
! Hostname
hostname LabRDefault
! Dominio ao qual faz parte o Firewall
domain-name rotadefault.com.br
! Criando Usuario Local com privilegio FULL (15)
username labuser password ciscoadmin privilege 15
enable password ciscoadmin level 15
! Definindo nome de hosts/redes
name 192.168.1.0 rede_inside
! Habilitando acesso SSH para a vlan inside 
ssh version 2
ssh timeout 15
crypto key generate rsa
ssh rede_inside 255.255.255.0 INSIDE
! Habilitando acesso ao ASDM para a vlan inside 
http server enable
http rede_inside 255.255.255.0 inside
! Definindo Autenticação Local 
aaa authentication ssh console LOCAL
aaa authentication enable console LOCAL
aaa authentication http console LOCAL
! Ajustando o timezone do seu pais
clock timezone BRST -3
! Banner que será exibido no login do usuario no firewall
banner exec      ===================================================================
banner exec       VOCE ACABA DE ACESSAR UM EQUIPAMENTO MONITORADO. QUALQUER OPERACAO
banner exec       INADEQUADA ESTARA SUJEITA AS PENALIDADES PREVISTAS POR LEI.
banner exec 				Equipe de Seguranca - Rota Default
banner exec      ==================================================================
! Configurando as interfaces do seu Firewall>
interface Ethernet0/0
description outside
switchport access vlan 2
!
interface Ethernet0/1
description INSIDE
switchport access vlan 1
! Criando as Vlans que deverão ser associadas as interfaces
interface Vlan1
description INSIDE
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
description OUTSIDE
nameif outside
security-level 0
ip address dhcp setroute
! Permitindo PING via interface inside
icmp permit any inside
! ACL Permitindo Tracert / ping.
object-group icmp-type portas_ping_tracert
icmp-object echo
icmp-object echo-reply
icmp-object time-exceeded
access-list rede_inside extended permit ip any any
! ACL / NAT (Nat control) para acesso a Internet da inside para a outside
access-list rede_inside extended permit ip any any
global (outside) 1 interface
nat (inside) 1 access-list rede_inside
! Liberando acesso via SSH pela interface Outside (Acesso Remoto SSH)
ssh 0.0.0.0 0.0.0.0 outside
0x02 - Conclusão
As configurações acima servem como base para uma ativação básica de um firewall ASA, já prevendo alguns parâmetros necessários para administração no dia a dia, lembrando que, algumas configurações como acesso ssh via interface outside não é recomendado, o exemplo demonstra nesse caso, apenas por questões de entendimento técnico.