Cisco

Fra NørderiWiki
Version fra 27. dec 2008, 19:04 af Freesoft (diskussion | bidrag) Freesoft (diskussion | bidrag) (IDS: Protecting Against SYN Attack)

Skift til: Navigation, Søgning

Små guides til hvordan man sætter forskellige mere eller mindre normale ting op på Ciscos ASA (det meste er testet på 5505 og 5510), forsøges at blive skrevet på en måde så alle der lige har været inde og kigge hvordan ASDM'en ser ud, kan være med. Der kan også sniges sig enkle ting som ikke er til ASA

Ændre DHCP Pool

    1. Tillad adgang fra det nye inside IP subnet i Device Access -> ASDM.
    2. Disable DHCP server.
    3. Ændre inside interface IP.
    4. Ændre PC'en til en IP i det nye subnet (DHCP virker jo ikke).
    5. Sæt DHCP server til med det nye subnet.

Åbne porte ind ad (port forward)

Serverens IP = 192.168.XXX.XXX.

Port nr. = PPPP

Laver NAT fra outside interface på port PPPP til IP 192.168.XXX.XXX: 

static (inside,outside) tcp interface PPPP 192.168.XXX.XXX PPPP netmask 255.255.255.255

Tillader alle IP'er ude fra ind på port PPPP: 

access-list outside_access_in extended permit tcp any interface outside eq PPPP

"outside_access_in" er standard navnet på den ACL, til trafik udefra og ind (deraf navnet), som ASDM'en laver. Hvis du vil have et andet navn så ret det med: 

access-group outside_access_in in interface outside

Ping og traceroute

Tillade ping ud/ind: 

access-list outside_access_in extended permit icmp any any echo-reply

Tillade traceroute ud/ind: 

access-list outside_access_in extended permit icmp any any time-exceeded

Lukker for at ASAen kan pinges ude fra: 

icmp deny 0.0.0.0 0.0.0.0 outside

VPN

Giver adgang til ASDM via VPN: 

management-access inside

Remote Access (Software VPN)

ip local pool vpnpool 172.16.1.100-172.16.1.199 mask 255.255.255.0

username marty password 12345678

isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash sha
isakmp policy 1 group 2
isakmp policy 1 lifetime 43200
isakmp enable outside
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 10 set transform-set ESP-3DES-SHA
crypto dynamic-map Outside_dyn_map 10 set reverse-route
crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 288000
crypto map Outside_map 10 ipsec-isakmp dynamic Outside_dyn_map
crypto map outside_map interface outside
crypto isakmp nat-traversal
sysopt connection permit-ipsec

group-policy hillvalleyvpn1 internal
group-policy hillvalleyvpn1 attributes
dns-server value 172.16.1.11
vpn-tunnel-protocol IPSec 
default-domain value test.com

tunnel-group hillvalleyvpn ipsec-ra
tunnel-group hillvalleyvpn ipsec-attributes
pre-shared-key cisco123
tunnel-group hillvalleyvpn general-attributes
authentication-server-group LOCAL
default-group-policy hillvalleyvpn
address-pool vpnpool

asa(config)#tunnel-group client ipsec-attributes
asa(config-tunnel-ipsec)#isakmp ikev1-user-authentication none

PIX/ASA as a Remote VPN Server with Extended Authentication using CLI and ASDM Configuration Example

Configuring IPSec and ISAKMP

Zyxel - Cisco (hardware) VPN

Her vil jeg give et eksempel på hvordan man laver VPN mellem en Cisco ASA 5505 og Zyxel Zywall 5. Det kan altså sagtens lade sig gøre, hvis man ellers Googler kunne man få indtrykket af det ikke kan lade sig gøre, men det kan det altså sagtens. Man skal bare være 100% sikker på at alle indstillinger er ens i begge ender. Herunder er vist CLI conf af Ciscoen, men det kan også sættes op via VPN guiden i ASDMen og lidt tilretning bagefter.

Phase 1:
Cisco-Zyxel_VPN_gateway_web.png

Phase 2:
Cisco-Zyxel_VPN_network_web.png


PP.PP.PP.PP = den anden endes IP

192.168.25.0/255.255.255.0 = Cisco LAN

10.10.1.0/255.255.255.0 = Zyxel LAN 

access-list inside_nat0_outbound extended permit ip 192.168.25.0 255.255.255.0 10.10.1.0 255.255.255.0 
access-list outside_1_cryptomap extended permit ip 192.168.25.0 255.255.255.0 10.10.1.0 255.255.255.0

nat (inside) 0 access-list inside_nat0_outbound
access-group outside_access_in in interface outside
crypto ipsec transform-set zyxel esp-des esp-sha-hmac 

crypto map outside_map 1 match address outside_1_cryptomap
crypto map outside_map 1 set pfs 
crypto map outside_map 1 set peer PP.PP.PP.PP 
crypto map outside_map 1 set transform-set zyxel
crypto map outside_map 1 set security-association lifetime seconds 3600
crypto map outside_map interface outside

crypto isakmp nat-traversal 20
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 3600

group-policy zyxel internal
group-policy zyxel attributes
 vpn-tunnel-protocol IPSec
tunnel-group PP.PP.PP.PP type ipsec-l2l
tunnel-group PP.PP.PP.PP ipsec-attributes
 pre-shared-key ****
 peer-id-validate nocheck
 isakmp keepalive disable

Hvis det kan gøres kortere er du meget velkommen til at rette! Dette kan bare sættes ind med CLI, jeg har ikke testet om det virker hvis man sætter det ind via ASDM's CLI.

PIX/ASA 7.x: Simple PIX-to-PIX VPN Tunnel Configuration Example

VPN klient på samme segment som router

Det kan give problemer hvis klienten køre samme IP segment som den man har VPN forbindelse til. Jeg har endnu ikke testet hvordan man gør hvis klienten skal have adgang til sit eget net og det bag routeren.

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080702999.shtml

Bandwidth throttling/shaping

hostname(config)# policy-map http_traffic_policy
hostname(config-pmap)# class http_traffic
hostname(config-pmap-c)# inspect http
hostname(config-pmap-c)# police output 250000
hostname(config)# service-policy http_traffic_policy interface outside

Applying QoS Policies

Software updates

ASDM

Det lykkes mig ikke at opdatere ASAen kun via ASDM (da jeg prøvede første gang), men jeg brugte den til at uploade filer med. Noget nemmere end at fedte rundt med tftp, især når man ikke lige har en tftp server installeret. Det er muligt at det er blevet lettere i de nyere versioner af ASA og ASDM, men jeg har brugt denne metode flere gange med held.

CLI

Husk altid backup af conf fil!! ASA'en husker opsætningen under opdatering, men det kan jo gå galt.

Når filer er uploadet til ASA'en er det bare at køre: 

boot system disk0:/fileASA.bin
asdm image disk0:/fileASDM.bin
write mem

Og så genstarte ASA'en. 

reload

Configuring the Application Image and ASDM Image to Boot

IDS

Siger næsten sig selv: 

show threat-detection scanning-threat attacker

show threat-detection scanning-threat target

Jeg har også oplevet at scanning attacks stiger helt vildt, hvor det var et internt loop der gav de problemer. 

threat-detection scanning-threat shun except ip-address 192.168.XXX.0 255.255.255.0
threat-detection scanning-threat shun duration 3600

Configure an ASA for IDS

Preventing Network Attacks

Protecting Against SYN Attacks

SSH adgang

(config)#username username password password
(config)#aaa authentication ssh console LOCAL
#crypto key generate rsa modulus modulus_size
(config)#ssh 172.16.1.1 255.255.255.255 inside

modulus_size kan være 512, 768, 1024, eller 2048.

Mere behøver man ikke, men der er flere muligheder se dem her i guiden med ASDM og commandline.

Links

Cisco ASA 5500 Series Adaptive Security Appliances - Configuration Guides

Cisco Security Appliance Command Line Configuration Guide, Version 8.0

Cisco ASDM User Guide, 6.1

Error and System Messages

http://www.pyeung.com/pages/cisco/cisco-asa-vpn-asdm.html

Bøger

http://www.ciscopress.com/bookstore/product.asp?isbn=1587052148

http://www.ciscopress.com/bookstore/product.asp?isbn=1587052091

5505

Gode ting på 5505'eren.

5510

Gode ting på 5510'eren. Dual WAN NAT'e forskellige public ip'er til forskellige interne

Ikke-ASA

SDM adgang

ip http server
ip http secure-server
ip http authentication local 

line vty 0 4
login local
transport input telnet ssh

interface fastethernet0/1
ip address 192.168.10.1 255.255.255.0
no shutdown
Hentet fra "https://wiki.kvig.dk/index.php?title=Cisco&oldid=2617"