» Настройка Cisco PIX Firewall / ASA

asa5510# conf t
asa5510(config)# int e0/0
asa5510(config-if)# exit
asa5510(config)# int e0/0.100
asa5510(config-subif)# vlan 100
asa5510(config-subif)# security-level 100

так создается.
но что дальше?

asa5510(config-subif)# int e0/3.100
asa5510(config-subif)# vlan 100
ERROR: VLAN 100 has been assigned to another interface

asa5510(config-subif)# int e0/3.100
asa5510(config-subif)# vlan 200
asa5510(config-subif)# security-level 100

потом same-security-traffic permit inter-interface ?

я не знаю, что дальше =)
если нужно, чтобы пользователи могли "общаться" из разных подсетей, тогда да.
не совсем эффективное использование портов, т.к получаете ровно то же самое, что и на обычных интерфейсах.
если нужно реализовать функционал как на 5505 - несколько портов загнать в одну подсеть, то на 5510 это не получится - другое оборудование, задействуйте коммутатор. на 5510 не так много портов, как на 5505.

Цитата:

я не знаю, что дальше =)
если нужно, чтобы пользователи могли "общаться" из разных подсетей, тогда да.

все банальнее )
в dmz свиче "внезапно" кончились свободные порты, новый сервер уже приехал, а поставку свича задержали на неделю.
вот и придумывал как временное решение.

zubastiy
.... и нет ЗИПа? очень странно...
можно пойти купить простой коммутатор за 0,5- 1тыс рублей. или из дома какую-нить кошку притащить на благо любимой работы =0

ESX091

Цитата:

.... и нет ЗИПа? очень странно...
можно пойти купить простой коммутатор за 0,5- 1тыс рублей. или из дома какую-нить кошку притащить на благо любимой работы =0

Буду краток - лень )

Имеется следующая проблема с железкой.

Использую ASDM 6.1(1). ASA 8.0(3).
Захожу в Configuration > Firewall > Objects > Network Objects/Groups
Нажимаю Add > Network Object
Заполняю необходимы поля. Нажимаю OK. Затем Apply.

После этого ввожу IP адрес объекта или его имя в поле Filter. Всплывающая подсказка показывает, что есть такая запись. Выбираю ее, нажимаю кнопку Filter. Но никаких записей мне не выводится.
Данная проблема возникает довольно часто. Закономерность не могу отследить.
Помогает заходить через командную строку и удалять созданные записи, а затем повторять их создание в ASDM. Но помогает не всегда.
Может кто сталкивался с таким, что можно сделать чтобы записи добавлялись без проблем?

Что то не получается настроить асу 5505, подозреваю что нат.
С самой асы все пингуется норм, с хоста во внутр сети нифига(
Сама аса с хоста пингуется

разобрался с натом)

Добр день.

Бомбят сайт. Сайт за ASA 5510
Раньше было достаточно установить ограничение колва соединений в секунду - 10 одновременных соединений на уникальный ip и привет.
Обычные пользователи ничего не замечают, ботов тупо дропает.

Пришел ботнет ~1000 хостов и все стали генерить по 3-4 запроса. Сервер лег )

Подскажите, можно ли на ASA резать хосты которые генерят слишком много соединений за какое то колво времени?
Было бы чудесно сказать - АСА! забань всех кто соединяется чаще чем 60 раз в минуту. Можно такое?

Курю про thread-detection но что то в тупике его понимания (

zubastiy
Настройка функций threat-detection:
http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/protect.html
http://www.anticisco.ru/blogs/?p=265
ASA это хорошо, но я вам хочу так же порекомендовать посмотреть в сторону веб-сервера и произвести его "тонкую" настройку.
Например, если у вас Linux, то добиться желаемого можно так:
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 60 -j REJECT --reject-with tcp-reset
Так же посмотрите в сторону Nginx:
https://calomel.org/nginx.html

ginger
спасибо. по ссылкам и читаю, но не могу понять - каким образом можно реализовать задуманное.

thread-detection
у меня пока получилось, что это возможность управлять хостами активность с которых превысило установленный лимит по какому либо параметру активности - все параметры связанны с неуспешными соединениями, дропами - не могу понять, как это использовать в моем случае.
прибежала толпа ботов, завалила сервис, сервис перестал отвечать - все следующие соединения могут попасть под раздачу (в том числе и обычные посетители) - ибо неудачные соединения.

рук-во против линукс. ибо "не хочу".

Такой вопрос можно ли на cisco ASA настроить с помощью сертификата жесткую привязку к компу при подключению по VPN.

Andr123
можно.
только наоборот при подключении компа по vpn будет проверять сертификат acs.
+ аутентификация пользователя по сертификату

Простите не правильно сформулировал вопрос(
Есть впн по паролю,если я настрою киску на авторизацию пользователей еще и по выданому им сертификату.
Возможно ли как-то осуществить привязку впн клиента к компютеру на котором бил первий конект к асе.

То есть чтоб к примеру аса у себя привязывала етот сертификат к конкретному компу, и при переносе на другой комп етого сертификата не возможно было поднять клиентом впн тунель?

Andr123 ответить конкретно на Ваш вопрос не смогу. Но могу сказать в общем, что в Windows есть возможность сделать сертификат не экспортируемым, те человек не сможет его переместить на другой ПК. тем самым получиться Ваше решение, умеет ли так VPN client не скажу, с сертификатами его не пользовал.

Добр день.

Есть ISA 2006 стоящая за ASA 5505
Запросы от ISA nat в пул ip
Но по факту все запросы выходят с одного ip (как я понимаю, пока не будет исчерпана таблица PAT использовать второй и третий ip из пула не будет)
Можно каким то образом сделать принудительную ротацию?
Первое соединение - PAT в первый ip , второе во второй и тд.

подскажите подалуйста можно ли завернуть траффик Skype при помощи ASA5505 в VPN тунель ?

slech
Не совсем ясно, что именно нужно.
Исходя из текущего вопроса, ответ: нельзя.
ASA не умеет PBR

slut
есть два офиса и между ними тунель.
один из провайдеров рубит траффик VoIP-->Skype.
Хотелось бы добиться что бы сотрудники этого проблемного офиса выходили в мир Skype'ом через другой офис.

Я пробовал настраивать во втором офисе proxy, но скайп как P2P приложение как-то странно его использовал, вроде и есть записи в логах прокси, но при вызове, соединение устанавливается c непонятно какими хостами - это видно по сниферу.

Если ASA не поддерживает PBR, то есть ещё вариант полной блокировки Skype трафика - может тогда он станет правильно использовать прокси, а так есть NAT и он его использует видимо.

Значит остаётся вопрос - как заблокировать Skype трафик на ASA 5505?

Skype использует динамические порты + шифрование.
Выловить этот тип трафик и заблокировать на асе нельзя.
// если есть другая информация - сообщите.
Как вариант можете сделать это со скайпом на маршрутизаторе (выловить, перекрасить, отправить в отдельный vpn/заблокировать).

ESX091
а почему маршрутизатор это сможет сделать ?

slech

наверное правильнее этот вопрос задать производителю, почему данный функционал не реализован на асах

slech
Именно из-за наличия на роутерах policy based routing.

slut
не вводите в заблуждение
slech
из-за функционала fpm

может не сильно ошибусь если скажу что благодаря и тому и другому:

FPM
Цитата:

выловить, перекрасить

PBR
Цитата:

отправить в отдельный vpn/заблокировать

ESX091
Честно говоря, я мыслил в сторону nbar

slut
=)))
slech
на асе этот трафик не выцепить. поэтому как вариант, отлавливаете на маршрутизаторе, перекрашиваете, а на асе отправляете в отдельный vpn.

ESX091
Я, конечно, уже скоро как пять лет как не практикую, всё больше на руководящей работе, но, тем не менее, хотелось бы разобраться в деталях.
Задача: выцепить skype-трафик и отправить в нужный маршрут.
Сразу на ум: match protocol skype (благо, nbar в voice-группе это умеет) и дальше понятно PBR.
Вы упоминаете FPM... Если подразумевается Flexible Packet Matching - сталкивался только при использовании IDS, т.е. это инструмент скорее для предотвращения неких инсинуаций.
Можно ли уточнить, что именно Вы имели ввиду при упоминании FPM?

slut
в теории может быть...

вы попробуйте =)
тогда будут понятны плюсы/минусы каждого из вариантов
ограничения nbar:
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6558/ps6612/ps6653/prod_qas09186a00800a3ded_ps6616_Products_Q_and_A_Item.html

>>Можно ли уточнить, что именно Вы имели ввиду при упоминании FPM?
уточняю - учитывая регулярные изменения в протоколах, используемых скайпом, fpm остается единственным инструментом, который позволяет выуживать желаемый трафик.
как это можно реализовать на fpm:
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6723/prod_white_paper0900aecd80633b0a.html

причем здесь ids так и не понял...

Цитата:

уточняю - учитывая регулярные изменения в протоколах, используемых скайпом, fpm остается единственным инструментом, который позволяет выуживать желаемый трафик.

ESX091 А где можно "добыть" PHDF файлы (они наверняка регулярно обновляются)?

Valery12

Взять можно на сайте производителя или вот здесь:
R1(config)#load protocol system:fpm/phdf/?
system:fpm/phdf/ether.phdf system:fpm/phdf/icmp.phdf
system:fpm/phdf/ip.phdf system:fpm/phdf/tcp.phdf
system:fpm/phdf/udp.phdf

им не надо регулярно обновляться.