Este documento explica cómo utilizar Cisco Adaptive Security Device Manager (ASDM) para trabajar con listas de control de acceso. Esto incluye la creación de una nueva lista de acceso, cómo editar una lista de acceso existente y otras funcionalidades con las listas de acceso.
No hay requisitos específicos para este documento.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Cisco Adaptive Security Appliance (ASA) con versión 8.2.X
Cisco Adaptive Security Device Manager (ASDM) con versión 6.3.X
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
Las listas de acceso se utilizan principalmente para controlar el flujo de tráfico a través del firewall. Puede permitir o denegar tipos específicos de tráfico con listas de acceso. Cada lista de acceso contiene un número de entradas de lista de acceso (ACE) que controlan el flujo de tráfico desde un origen específico a un destino específico. Normalmente, esta lista de acceso está enlazada a una interfaz para notificar la dirección del flujo en el que debe mirar. Las listas de acceso se clasifican principalmente en dos tipos generales.
Listas de acceso entrantes
Listas de acceso saliente
Las listas de acceso entrantes se aplican al tráfico que entra en esa interfaz, y las listas de acceso salientes se aplican al tráfico que sale de la interfaz. La notación de entrada/salida se refiere a la dirección del tráfico en términos de esa interfaz, pero no al movimiento del tráfico entre interfaces de seguridad más alta y más baja.
Para las conexiones TCP y UDP, no necesita una lista de acceso para permitir el tráfico de retorno, ya que el dispositivo de seguridad permite todo el tráfico de retorno para las conexiones bidireccionales establecidas. Para los protocolos sin conexión como ICMP, el dispositivo de seguridad establece sesiones unidireccionales, por lo que necesita listas de acceso para aplicar listas de acceso a las interfaces de origen y destino para permitir ICMP en ambas direcciones, o necesita habilitar el motor de inspección ICMP. El motor de inspección del ICMP trata las sesiones del ICMP como conexiones bidireccionales.
A partir de la versión 6.3.X de ASDM, hay dos tipos de listas de acceso que puede configurar.
Reglas de acceso a interfaz
Reglas de acceso globales
Nota: La regla de acceso hace referencia a una entrada de lista de acceso (ACE) individual.
Las reglas de acceso a la interfaz están vinculadas a cualquier interfaz en el momento de su creación. Sin enlazarlos a una interfaz, no se pueden crear. Esto difiere del ejemplo de la línea de comandos. Con CLI, primero se crea la lista de acceso con el comando access list y, a continuación, se enlaza esta lista de acceso a una interfaz con el comando access-group. ASDM 6.3 y versiones posteriores, la lista de acceso se crea y enlaza a una interfaz como una única tarea. Esto se aplica al tráfico que fluye a través de esa interfaz específica solamente.
Las reglas de acceso globales no están enlazadas a ninguna interfaz. Se pueden configurar a través de la pestaña ACL Manager en el ASDM y se aplican al tráfico de ingreso global. Se implementan cuando hay una coincidencia basada en el origen, el destino y el tipo de protocolo. Estas reglas no se replican en cada interfaz, por lo que ahorran espacio de memoria.
Cuando se implementan estas dos reglas, las reglas de acceso a la interfaz normalmente tienen prioridad sobre las reglas de acceso globales.
En esta sección encontrará la información para configurar las funciones descritas en este documento.
En este documento, se utiliza esta configuración de red:
Complete estos pasos para crear una nueva lista de acceso con ASDM:
Elija Configuration > Firewall > Access Rules, y haga clic en el botón Add Access Rule.
Elija la interfaz a la que esta lista de acceso debe enlazarse, junto con la acción que debe realizarse en el tráfico, es decir, permitir/denegar. Luego haga clic en el botón Details para seleccionar la red de origen.
Nota: A continuación se ofrece una breve explicación de los distintos campos que se muestran en esta ventana:
Interfaz: Determina la interfaz a la que está enlazada esta lista de acceso.
Acción: determina el tipo de acción de la nueva regla. Hay dos opciones disponibles. Permitir permite todo el tráfico coincidente y Denegar bloquea todo el tráfico coincidente.
Origen: este campo especifica el origen del tráfico. Puede ser cualquier dirección entre una dirección IP única, una red, una dirección IP de interfaz del firewall o un grupo de objetos de red. Se pueden seleccionar con el botón Details.
Destino: este campo especifica el origen del tráfico. Puede ser cualquier dirección entre una dirección IP única, una red, una dirección IP de interfaz del firewall o un grupo de objetos de red. Se pueden seleccionar con el botón Details.
Servicio: este campo determina el protocolo o servicio del tráfico al que se aplica esta lista de acceso. También puede definir un grupo de servicio que contenga un conjunto de protocolos diferentes.
Después de hacer clic en el botón Details, se muestra una nueva ventana que contiene los objetos de red existentes. Seleccione la red interna y haga clic en OK.
Volverá a la ventana Agregar regla de acceso. Escriba any en el campo Destination y haga clic en OK para completar la configuración de la regla de acceso.
Agregue una regla de acceso antes de una existente:
Complete estos pasos para agregar una regla de acceso justo antes de una regla de acceso ya existente:
Seleccione la entrada de la lista de acceso existente y haga clic en Insertar en el menú desplegable Agregar
Elija el Origen y el Destino, y haga clic en el botón Details del campo Service para elegir el Protocolo.
Elija HTTP para el protocolo y haga clic en Aceptar.
Volverá a la ventana Insertar regla de acceso. El campo Service (Servicio) se rellena con tcp/http como el protocolo seleccionado. Haga clic en Aceptar para completar la configuración de la nueva entrada de la lista de acceso.
Ahora puede observar la nueva regla de acceso que se muestra justo antes de la entrada ya existente para la red interna.
Nota: El orden de las reglas de acceso es muy importante. Mientras procesa cada paquete para filtrar, el ASA examina si el paquete coincide con alguno de los criterios de la regla de acceso en un orden secuencial y si ocurre una coincidencia, implementa la acción de esa regla de acceso. Cuando una regla de acceso coincide, no continúa con otras reglas de acceso y las verifica de nuevo.
Agregar una regla de acceso después de una existente:
Complete estos pasos para crear una regla de acceso justo después de una regla de acceso ya existente.
Seleccione la regla de acceso tras la que debe tener una nueva regla de acceso y elija Insertar después en el menú desplegable Agregar.
Especifique los campos Interfaz, Acción, Origen, Destino y Servicio y haga clic en Aceptar para completar la configuración de esta regla de acceso.
Puede ver que la regla de acceso recién configurada se encuentra justo después de la ya configurada.
Complete estos pasos para crear una lista de acceso estándar con la GUI de ASDM.
Elija Configuration > Firewall > Advanced > Standard ACL > Add, y haga clic en Add ACL.
Especifique un número dentro del intervalo permitido para la lista de acceso estándar y haga clic en Aceptar.
Haga clic con el botón derecho en la lista de acceso y elija Agregar ACE para agregar una regla de acceso a esta lista de acceso.
Seleccione la Acción y especifique la Dirección de origen. Si es necesario, especifique la Descripción también. Haga clic en Aceptar para completar la configuración de la regla de acceso.
Complete estos pasos para crear una lista de acceso extendida que contenga reglas de acceso globales.
Elija Configuration > Firewall > Advanced > ACL Manager > Add, y haga clic en el botón Add ACL.
Especifique un nombre para la lista de acceso y haga clic en Aceptar.
Haga clic con el botón derecho en la lista de acceso y elija Agregar ACE para agregar una regla de acceso a esta lista de acceso.
Complete los campos Acción, Origen, Destino y Servicio, y haga clic en Aceptar para completar la configuración de la regla de acceso global.
Ahora puede ver la regla de acceso global, como se muestra.
Esta sección trata sobre cómo editar un acceso existente.
Edite el campo Protocol (Protocolo) para crear un grupo de servicios:
Complete estos pasos para crear un nuevo grupo de servicio.
Haga clic con el botón derecho en la regla de acceso que debe modificarse y elija Editar para modificar esa regla de acceso específica.
Haga clic en el botón Details para modificar el protocolo asociado con esta regla de acceso.
Si es necesario, puede seleccionar cualquier protocolo que no sea HTTP. Si sólo hay que seleccionar un protocolo, no es necesario crear el grupo de servicios. Es útil crear un grupo de servicio cuando hay un requisito para identificar numerosos protocolos no adyacentes que deben coincidir con esta regla de acceso.
Elija Add > TCP service group para crear un nuevo grupo de servicio TCP.
Nota: De la misma manera, también puede crear un nuevo grupo de servicio UDP o ICMP, etc.
Especifique un nombre para este grupo de servicio, seleccione el protocolo en el menú del lado izquierdo y haga clic en Agregar para moverlos al menú Miembros en el grupo en el lado derecho. Se pueden agregar numerosos protocolos como miembros de un grupo de servicios en función del requisito. Los protocolos se agregan uno a uno. Una vez agregados todos los miembros, haga clic en Aceptar.
El grupo de servicio recién creado se puede ver en la pestaña Grupos de servicio TCP. Haga clic en el botón Aceptar para volver a la ventana Editar regla de acceso.
Puede ver que el campo Servicio se rellena con el grupo de servicios recién creado. Haga clic en Aceptar para completar la edición.
Pase el ratón sobre ese grupo de servicio específico para ver todos los protocolos asociados.
Edite los campos Origen/Destino para crear un grupo de objetos Red:
Los grupos de objetos se utilizan para simplificar la creación y el mantenimiento de las listas de acceso. Al agrupar objetos similares, puede utilizar el grupo de objetos en una única ACE en lugar de tener que introducir una ACE para cada objeto por separado. Antes de crear el grupo de objetos, debe crear los objetos. En la terminología ASDM, el objeto se denomina objeto de red y el grupo de objetos se denomina grupo de objetos de red.
Complete estos pasos:
Elija Configuration > Firewall > Objects > Network Objects/Groups > Add, y haga clic en Network Object para crear un nuevo objeto de red.
Rellene los campos Name, IP Address y Netmask y haga clic en OK.
El objeto de red recién creado se puede ver en la lista de objetos. Click OK.
Elija Configuration > Firewall > Objects > Network Objects/Groups > Add, y haga clic en Network Object Group para crear un nuevo grupo de objetos de red.
La lista disponible de todos los objetos de red se encuentra en el panel izquierdo de la ventana. Seleccione objetos de red individuales y haga clic en el botón Add para hacerlos miembros del grupo de objetos de red recién creado. El nombre de grupo debe especificarse en el campo asignado al mismo.
Haga clic en Aceptar después de agregar todos los miembros al grupo.
Ahora puede ver el grupo de objetos de red.
Para modificar cualquier campo de origen/destino de una lista de acceso existente con un objeto de grupo de red, haga clic con el botón derecho en la regla de acceso específica y elija Editar.
Aparecerá la ventana Editar regla de acceso. Haga clic en el botón Details del campo Source para modificarlo.
Seleccione el grupo de objetos de red All-Internal-Hosts y haga clic en el botón OK.
Click OK.
Pase el ratón sobre el campo Origen de la regla de acceso para ver los miembros del grupo.
Edite el puerto de origen:
Complete estos pasos para modificar el puerto de origen de una regla de acceso.
Para modificar el puerto de origen de una regla de acceso existente, haga clic con el botón derecho en él y elija Edit.
Aparecerá la ventana Editar regla de acceso.
Haga clic en el botón desplegable Más opciones para modificar el campo Servicio de origen y haga clic en Aceptar.
Puede ver la regla de acceso modificada, como se muestra.
Complete estos pasos para eliminar una lista de acceso:
Antes de eliminar una lista de acceso existente, debe eliminar las entradas de la lista de acceso (las reglas de acceso). No es posible eliminar la lista de acceso a menos que primero elimine todas las reglas de acceso.
Haga clic con el botón secundario en la regla de acceso que desea eliminar y seleccione Eliminar.
Complete la misma operación Delete en todas las reglas de acceso existentes, y luego seleccione la lista de acceso y elija Delete para eliminarla.
Las reglas de acceso de ASDM enlazan la lista de acceso con la interfaz respectiva, mientras que el administrador ACL hace un seguimiento de todas las listas de acceso extendidas. Las reglas de acceso que se crean con el administrador ACL no se enlazan a ninguna interfaz. Estas listas de acceso se utilizan generalmente para el propósito de NAT-Exempt, VPN-Filter y otras funciones similares donde no hay asociación con la interfaz. El administrador ACL contiene todas las entradas que tiene en la sección Configuration > Firewall > Access Rules. Además, ACL Manager también contiene las reglas de acceso globales que no están asociadas a ninguna interfaz. ASDM está organizado de tal manera que usted puede exportar una regla de acceso de cualquier lista de acceso a otra con facilidad.
Por ejemplo, si necesita que una regla de acceso que ya forma parte de una regla de acceso global se asocie a una interfaz, no necesita volver a configurarla. En su lugar, puede realizar una operación de cortar y pegar para conseguirlo.
Haga clic con el botón secundario en la regla de acceso especificada y seleccione Cortar.
Seleccione la lista de acceso necesaria en la que debe insertar esta regla de acceso. Puede utilizar Pegar en la barra de herramientas para insertar la regla de acceso.
Puede exportar la información de la lista de acceso a otro archivo. Se admiten dos formatos para exportar esta información.
Formato de valores separados por comas (CSV)
Formato HTML
Haga clic con el botón derecho en cualquiera de las reglas de acceso y elija Exportar para enviar la información de la lista de acceso a un archivo.
Aquí se muestra la información de la lista de acceso en formato HTML.
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
Actualmente, no hay información específica de troubleshooting disponible para esta configuración.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
24-Mar-2011 |
Versión inicial |