Forskel mellem versioner af "Cisco"
Fra NørderiWiki
Freesoft (diskussion | bidrag) m (Cisco ASA 5505 flyttet til Cisco: Må indeholde mere) |
Freesoft (diskussion | bidrag) (Omkrevet lidt så alle ASA'er kan være med) |
||
| Linje 1: | Linje 1: | ||
| − | Små guides til hvordan man sætter forskellige mere eller mindre normale ting op på | + | Små guides til hvordan man sætter forskellige mere eller mindre normale ting op på Ciscos ASA (det meste er testet på 5505 og 5510), forsøges at blive skrevet på en måde så alle der lige har været inde og kigge hvordan ASDM'en ser ud, kan være med. Der kan også sniges sig enkle ting som ikke er til ASA |
= Ændre DHCP Pool = | = Ændre DHCP Pool = | ||
| Linje 21: | Linje 21: | ||
Tillader alle IP'er ude fra ind på port PPPP: | Tillader alle IP'er ude fra ind på port PPPP: | ||
access-list outside_access_in extended permit tcp any interface outside eq PPPP | access-list outside_access_in extended permit tcp any interface outside eq PPPP | ||
| − | "'''outside_access_in'''" er standard navnet på den ACL, til trafik udefra og ind (deraf navnet), som ASDM'en laver. | + | "'''outside_access_in'''" er standard navnet på den ACL, til trafik udefra og ind (deraf navnet), som ASDM'en laver. Hvis du vil have et andet navn så ret det med: |
| + | access-group outside_access_in in interface outside | ||
= Ping og traceroute = | = Ping og traceroute = | ||
| Linje 31: | Linje 32: | ||
access-list outside_access_in extended permit icmp any any time-exceeded | access-list outside_access_in extended permit icmp any any time-exceeded | ||
| − | + | Lukker for at ASAen kan pinges ude fra: | |
icmp deny 0.0.0.0 0.0.0.0 outside | icmp deny 0.0.0.0 0.0.0.0 outside | ||
= VPN = | = VPN = | ||
| − | |||
| − | |||
| + | Giver adgang til ASDM via VPN: | ||
management-access inside | management-access inside | ||
== Remote Access (Software VPN) == | == Remote Access (Software VPN) == | ||
| − | |||
| − | |||
ip local pool vpnpool 172.16.1.100-172.16.1.199 mask 255.255.255.0 | ip local pool vpnpool 172.16.1.100-172.16.1.199 mask 255.255.255.0 | ||
| Linje 81: | Linje 79: | ||
asa(config-tunnel-ipsec)#isakmp ikev1-user-authentication none | asa(config-tunnel-ipsec)#isakmp ikev1-user-authentication none | ||
| − | + | [http://cisco.com/en/US/products/ps6120/products_configuration_example09186a008060f25c.shtml PIX/ASA as a Remote VPN Server with Extended Authentication using CLI and ASDM Configuration Example] | |
| − | [http://www.cisco.com/en/US/ | + | [http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/ike.html Configuring IPSec and ISAKMP] |
| + | |||
| + | == Zyxel - Cisco (hardware) VPN == | ||
Her vil jeg give et eksempel på hvordan man laver VPN mellem en Cisco ASA 5505 og Zyxel Zywall 5. Det kan altså sagtens lade sig gøre, hvis man ellers Googler kunne man få indtrykket af det ikke kan lade sig gøre, men det kan det altså sagtens. Man skal bare være 100% sikker på at alle indstillinger er ens i begge ender. | Her vil jeg give et eksempel på hvordan man laver VPN mellem en Cisco ASA 5505 og Zyxel Zywall 5. Det kan altså sagtens lade sig gøre, hvis man ellers Googler kunne man få indtrykket af det ikke kan lade sig gøre, men det kan det altså sagtens. Man skal bare være 100% sikker på at alle indstillinger er ens i begge ender. | ||
| Linje 133: | Linje 133: | ||
isakmp keepalive disable | isakmp keepalive disable | ||
| − | Hvis det kan | + | Hvis det kan gøres kortere er du meget velkommen til at rette! |
| − | Dette kan bare sættes ind med CLI, jeg har ikke testet om det virker hvis man sætter det ind via | + | Dette kan bare sættes ind med CLI, jeg har ikke testet om det virker hvis man sætter det ind via ASDM's CLI. |
| − | = VPN klient på samme segment som router = | + | [http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00805a87f7.shtml PIX/ASA 7.x: Simple PIX-to-PIX VPN Tunnel Configuration Example] |
| − | + | ||
| − | + | == VPN klient på samme segment som router == | |
| + | Det kan give problemer hvis klienten køre samme IP segment som den man har VPN forbindelse til. | ||
| + | Jeg har endnu ikke testet hvordan man gør hvis klienten skal have adgang til sit eget net og det bag routeren. | ||
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080702999.shtml | http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080702999.shtml | ||
| − | = Bandwidth | + | = Bandwidth throttling/shaping = |
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
hostname(config)# policy-map http_traffic_policy | hostname(config)# policy-map http_traffic_policy | ||
| Linje 153: | Linje 151: | ||
hostname(config-pmap-c)# police output 250000 | hostname(config-pmap-c)# police output 250000 | ||
hostname(config)# service-policy http_traffic_policy interface outside | hostname(config)# service-policy http_traffic_policy interface outside | ||
| + | |||
| + | [http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/qos.html Applying QoS Policies] | ||
= Software updates = | = Software updates = | ||
| − | |||
| − | |||
== ASDM == | == ASDM == | ||
| − | Det lykkes mig ikke at opdatere | + | Det lykkes mig ikke at opdatere ASAen kun via ASDM (da jeg prøvede første gang), men jeg brugte den til at uploade filer med. Noget nemmere end at fedte rundt med tftp, især når man ikke lige har en tftp server installeret. Det er muligt at det er blevet lettere i de nyere versioner af ASA og ASDM, men jeg har brugt denne metode flere gange med held. |
== CLI == | == CLI == | ||
| Linje 169: | Linje 167: | ||
write mem | write mem | ||
Og så genstarte ASA'en. | Og så genstarte ASA'en. | ||
| + | reload | ||
[http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/mswlicfg.html#wp1054226 Configuring the Application Image and ASDM Image to Boot] | [http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/mswlicfg.html#wp1054226 Configuring the Application Image and ASDM Image to Boot] | ||
= IDS = | = IDS = | ||
| + | |||
| + | Siger næsten sig selv: | ||
| + | |||
| + | show threat-detection scanning-threat attacker | ||
| + | |||
| + | show threat-detection scanning-threat target | ||
| + | |||
| + | Jeg har også oplevet at scanning attacks stiger helt vildt, hvor det var et internt loop der gav de problemer. | ||
| + | |||
[http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a00807360fc.shtml#c4 Configure an ASA for IDS] | [http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a00807360fc.shtml#c4 Configure an ASA for IDS] | ||
| + | |||
| + | [http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/protect.html Preventing Network Attacks] | ||
= SSH adgang = | = SSH adgang = | ||
| Linje 185: | Linje 195: | ||
Mere behøver man ikke, men der er flere muligheder se dem her i [http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a008069bf1b.shtml guiden med ASDM og commandline]. | Mere behøver man ikke, men der er flere muligheder se dem her i [http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a008069bf1b.shtml guiden med ASDM og commandline]. | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
= Links = | = Links = | ||
[http://www.cisco.com/en/US/products/ps6120/products_installation_and_configuration_guides_list.html Cisco ASA 5500 Series Adaptive Security Appliances - Configuration Guides] | [http://www.cisco.com/en/US/products/ps6120/products_installation_and_configuration_guides_list.html Cisco ASA 5500 Series Adaptive Security Appliances - Configuration Guides] | ||
| + | |||
| + | [http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/conf_gd.html Cisco Security Appliance Command Line Configuration Guide, Version 8.0] | ||
| + | |||
| + | [http://www.cisco.com/en/US/docs/security/asdm/6_1/user/guide/usergd.html Cisco ASDM User Guide, 6.1] | ||
[http://cisco.com/en/US/products/ps6120/products_system_message_guides_list.html Error and System Messages] | [http://cisco.com/en/US/products/ps6120/products_system_message_guides_list.html Error and System Messages] | ||
| Linje 212: | Linje 212: | ||
http://www.ciscopress.com/bookstore/product.asp?isbn=1587052091 | http://www.ciscopress.com/bookstore/product.asp?isbn=1587052091 | ||
| + | |||
| + | = 5505 = | ||
| + | Gode ting på 5505'eren. | ||
| + | |||
| + | = 5510 = | ||
| + | Gode ting på 5510'eren. | ||
| + | Dual WAN | ||
| + | NAT'e forskellige public ip'er til forskellige interne | ||
| + | |||
| + | = Ikke-ASA = | ||
| + | == SDM adgang == | ||
| + | |||
| + | ip http server | ||
| + | ip http secure-server | ||
| + | ip http authentication local | ||
| + | |||
| + | line vty 0 4 | ||
| + | login local | ||
| + | transport input telnet ssh | ||
| + | |||
| + | interface fastethernet0/1 | ||
| + | ip address 192.168.10.1 255.255.255.0 | ||
| + | no shutdown | ||
Versionen fra 26. dec 2008, 16:27
Små guides til hvordan man sætter forskellige mere eller mindre normale ting op på Ciscos ASA (det meste er testet på 5505 og 5510), forsøges at blive skrevet på en måde så alle der lige har været inde og kigge hvordan ASDM'en ser ud, kan være med. Der kan også sniges sig enkle ting som ikke er til ASA
Indholdsfortegnelse
Ændre DHCP Pool
- Tillad adgang fra det nye inside IP subnet i Device Access -> ASDM.
- Disable DHCP server.
- Ændre inside interface IP.
- Ændre PC'en til en IP i det nye subnet (DHCP virker jo ikke).
- Sæt DHCP server til med det nye subnet.
Åbne porte ind ad (port forward)
Serverens IP = 192.168.XXX.XXX.
Port nr. = PPPP
Laver NAT fra outside interface på port PPPP til IP 192.168.XXX.XXX:
static (inside,outside) tcp interface PPPP 192.168.XXX.XXX PPPP netmask 255.255.255.255
Tillader alle IP'er ude fra ind på port PPPP:
access-list outside_access_in extended permit tcp any interface outside eq PPPP
"outside_access_in" er standard navnet på den ACL, til trafik udefra og ind (deraf navnet), som ASDM'en laver. Hvis du vil have et andet navn så ret det med:
access-group outside_access_in in interface outside
Ping og traceroute
Tillade ping ud/ind:
access-list outside_access_in extended permit icmp any any echo-reply
Tillade traceroute ud/ind:
access-list outside_access_in extended permit icmp any any time-exceeded
Lukker for at ASAen kan pinges ude fra:
icmp deny 0.0.0.0 0.0.0.0 outside
VPN
Giver adgang til ASDM via VPN:
management-access inside
Remote Access (Software VPN)
ip local pool vpnpool 172.16.1.100-172.16.1.199 mask 255.255.255.0 username marty password 12345678 isakmp policy 1 authentication pre-share isakmp policy 1 encryption 3des isakmp policy 1 hash sha isakmp policy 1 group 2 isakmp policy 1 lifetime 43200 isakmp enable outside crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map outside_dyn_map 10 set transform-set ESP-3DES-SHA crypto dynamic-map Outside_dyn_map 10 set reverse-route crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 288000 crypto map Outside_map 10 ipsec-isakmp dynamic Outside_dyn_map crypto map outside_map interface outside crypto isakmp nat-traversal sysopt connection permit-ipsec group-policy hillvalleyvpn1 internal group-policy hillvalleyvpn1 attributes dns-server value 172.16.1.11 vpn-tunnel-protocol IPSec default-domain value test.com tunnel-group hillvalleyvpn ipsec-ra tunnel-group hillvalleyvpn ipsec-attributes pre-shared-key cisco123 tunnel-group hillvalleyvpn general-attributes authentication-server-group LOCAL default-group-policy hillvalleyvpn address-pool vpnpool asa(config)#tunnel-group client ipsec-attributes asa(config-tunnel-ipsec)#isakmp ikev1-user-authentication none
PIX/ASA as a Remote VPN Server with Extended Authentication using CLI and ASDM Configuration Example
Zyxel - Cisco (hardware) VPN
Her vil jeg give et eksempel på hvordan man laver VPN mellem en Cisco ASA 5505 og Zyxel Zywall 5. Det kan altså sagtens lade sig gøre, hvis man ellers Googler kunne man få indtrykket af det ikke kan lade sig gøre, men det kan det altså sagtens. Man skal bare være 100% sikker på at alle indstillinger er ens i begge ender. Herunder er vist CLI conf af Ciscoen, men det kan også sættes op via VPN guiden i ASDMen og lidt tilretning bagefter.
Phase 1:
Phase 2:
PP.PP.PP.PP = den anden endes IP
192.168.25.0/255.255.255.0 = Cisco LAN
10.10.1.0/255.255.255.0 = Zyxel LAN
access-list inside_nat0_outbound extended permit ip 192.168.25.0 255.255.255.0 10.10.1.0 255.255.255.0 access-list outside_1_cryptomap extended permit ip 192.168.25.0 255.255.255.0 10.10.1.0 255.255.255.0 nat (inside) 0 access-list inside_nat0_outbound access-group outside_access_in in interface outside crypto ipsec transform-set zyxel esp-des esp-sha-hmac crypto map outside_map 1 match address outside_1_cryptomap crypto map outside_map 1 set pfs crypto map outside_map 1 set peer PP.PP.PP.PP crypto map outside_map 1 set transform-set zyxel crypto map outside_map 1 set security-association lifetime seconds 3600 crypto map outside_map interface outside crypto isakmp nat-traversal 20 crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash md5 group 2 lifetime 3600 group-policy zyxel internal group-policy zyxel attributes vpn-tunnel-protocol IPSec tunnel-group PP.PP.PP.PP type ipsec-l2l tunnel-group PP.PP.PP.PP ipsec-attributes pre-shared-key **** peer-id-validate nocheck isakmp keepalive disable
Hvis det kan gøres kortere er du meget velkommen til at rette! Dette kan bare sættes ind med CLI, jeg har ikke testet om det virker hvis man sætter det ind via ASDM's CLI.
PIX/ASA 7.x: Simple PIX-to-PIX VPN Tunnel Configuration Example
VPN klient på samme segment som router
Det kan give problemer hvis klienten køre samme IP segment som den man har VPN forbindelse til. Jeg har endnu ikke testet hvordan man gør hvis klienten skal have adgang til sit eget net og det bag routeren.
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080702999.shtml
Bandwidth throttling/shaping
hostname(config)# policy-map http_traffic_policy hostname(config-pmap)# class http_traffic hostname(config-pmap-c)# inspect http hostname(config-pmap-c)# police output 250000 hostname(config)# service-policy http_traffic_policy interface outside
Software updates
ASDM
Det lykkes mig ikke at opdatere ASAen kun via ASDM (da jeg prøvede første gang), men jeg brugte den til at uploade filer med. Noget nemmere end at fedte rundt med tftp, især når man ikke lige har en tftp server installeret. Det er muligt at det er blevet lettere i de nyere versioner af ASA og ASDM, men jeg har brugt denne metode flere gange med held.
CLI
Husk altid backup af conf fil!! ASA'en husker opsætningen under opdatering, men det kan jo gå galt.
Når filer er uploadet til ASA'en er det bare at køre:
boot system disk0:/fileASA.bin asdm image disk0:/fileASDM.bin write mem
Og så genstarte ASA'en.
reload
Configuring the Application Image and ASDM Image to Boot
IDS
Siger næsten sig selv:
show threat-detection scanning-threat attacker
show threat-detection scanning-threat target
Jeg har også oplevet at scanning attacks stiger helt vildt, hvor det var et internt loop der gav de problemer.
SSH adgang
(config)#username username password password (config)#aaa authentication ssh console LOCAL #crypto key generate rsa modulus modulus_size (config)#ssh 172.16.1.1 255.255.255.255 inside
modulus_size kan være 512, 768, 1024, eller 2048.
Mere behøver man ikke, men der er flere muligheder se dem her i guiden med ASDM og commandline.
Links
Cisco ASA 5500 Series Adaptive Security Appliances - Configuration Guides
Cisco Security Appliance Command Line Configuration Guide, Version 8.0
http://www.pyeung.com/pages/cisco/cisco-asa-vpn-asdm.html
Bøger
http://www.ciscopress.com/bookstore/product.asp?isbn=1587052148
http://www.ciscopress.com/bookstore/product.asp?isbn=1587052091
5505
Gode ting på 5505'eren.
5510
Gode ting på 5510'eren. Dual WAN NAT'e forskellige public ip'er til forskellige interne
Ikke-ASA
SDM adgang
ip http server ip http secure-server ip http authentication local line vty 0 4 login local transport input telnet ssh interface fastethernet0/1 ip address 192.168.10.1 255.255.255.0 no shutdown
