Versionen fra 1. mar 2008, 18:04

Små guides til hvordan man sætter forskellige mere eller mindre normale ting op på Cisco's ASA 5505 (og sikkert også 5510), forsøges at blive skrevet på en måde så alle der lige har været inde og kigge hvordan ASDM'en ser ud, kan være med.

Ændre DHCP Pool

1. Tillad adgang fra det nye inside IP subnet i Device Access -> ASDM.
2. Disable DHCP server.
3. Ændre inside interface IP.
4. Ændre PC'en til en IP i det nye subnet (DHCP virker jo ikke).
5. Sæt DHCP server til med det nye subnet.

Åbne porte ind ad (port forward)

Serverens IP = 192.168.XXX.XXX.

Port nr. = PPPP

Laver NAT fra outside interface på port PPPP til IP 192.168.XXX.XXX:

static (inside,outside) tcp interface PPPP 192.168.XXX.XXX PPPP netmask 255.255.255.255

Tillader alle IP'er ude fra ind på port PPPP:

access-list outside_access_in extended permit tcp any interface outside eq PPPP

"outside_access_in" er standard navnet på den ACL, til trafik udefra og ind (deraf navnet), som ASDM'en laver.

Ping og traceroute

Tillade ping ud/ind:

access-list outside_access_in extended permit icmp any any echo-reply

Tillade traceroute ud/ind:

access-list outside_access_in extended permit icmp any any time-exceeded

Blocker/foryder ping ude fra:

icmp deny 0.0.0.0 0.0.0.0 outside

VPN

Todo: Få skrevet CLI conf her ind, så det er bare er og rette til med ip'er/navne og så sætte ind i ASA'en, og så køre det.

PIX/ASA as a Remote VPN Server with Extended Authentication using CLI and ASDM Configuration Example

Zyxel - Cisco (hardware) VPN

Kan lade sig gøre... bare vær sikker på alle indstillinger er ens, kan også lade sig gøre at sætte op via ASDM, men vil i første omgang vise CLI, da det er nemmere (at vise) :)

PP.PP.PP.PP = den anden endes IP

192.168.25.0/255.255.255.0 = Cisco LAN

10.10.1.0/255.255.255.0 = Zyxel LAN

crypto ipsec transform-set zyxell esp-des esp-sha-hmac
crypto map outside_map 1 match address outside_1_cryptomap
crypto map outside_map 1 set pfs - Slettes?
crypto map outside_map 1 set peer PP.PP.PP.PP
crypto map outside_map 1 set transform-set zyxell
crypto map outside_map 1 set security-association lifetime seconds 3600 - Slettes?

crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 3600

group-policy zyxel internal
group-policy zyxel attributes
 vpn-filter none
 vpn-tunnel-protocol IPSec l2tp-ipsec

tunnel-group PP.PP.PP.PP type ipsec-l2l
tunnel-group PP.PP.PP.PP general-attributes
 default-group-policy zyxel
tunnel-group PP.PP.PP.PP ipsec-attributes
 pre-shared-key *
 isakmp keepalive disable

!--- Her sætte det trafik der skal sendes via VPN
access-list inside_nat0_outbound extended permit ip 192.168.25.0 255.255.255.0 10.10.1.0 255.255.255.0 
access-list outside_1_cryptomap extended permit ip 192.168.25.0 255.255.255.0 10.10.1.0 255.255.255.0 

!---  Skal måske bruges nat (inside) 0 access-list inside_nat0_outbound

VPN klient på samme segment som router

Dette kan kun lade sig gøre rigtigt hvis der køres med split tunneling. Eller hvad?

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080702999.shtml

Bandwidth Throttling

Applying QoS Policies

Fx:

hostname(config)# policy-map http_traffic_policy
hostname(config-pmap)# class http_traffic
hostname(config-pmap-c)# inspect http
hostname(config-pmap-c)# police output 250000
hostname(config)# service-policy http_traffic_policy interface outside

Software updates

Hvordan man opdatere software

ASDM

Det lykkes mig ikke at opdatere ASA'en kun via ASDM'en, men jeg brugte den til at uploade filer med. Noget nemmere end at fedte rundt med tftp, især når man ikke lige har en tftp server installeret.

CLI

Husk altid backup af conf fil!! ASA'en husker opsætningen under opdatering, men det kan jo gå galt.

Når filer er uploadet til ASA'en er det bare at køre:

boot system disk0:/fileASA.bin
asdm image disk0:/fileASDM.bin
write mem

Og så genstarte ASA'en.

Configuring the Application Image and ASDM Image to Boot

IDS

Configure an ASA for IDS

SSH adgang

(config)#username username password password
(config)#aaa authentication ssh console LOCAL
#crypto key generate rsa modulus modulus_size
(config)#ssh 172.16.1.1 255.255.255.255 inside

modulus_size kan være 512, 768, 1024, eller 2048.

Mere behøver man ikke, men der er flere muligheder se dem her i guiden med ASDM og commandline.

Links

Cisco ASA 5500 Series Adaptive Security Appliances - Configuration Guides