» Настройка Cisco PIX Firewall / ASA

Всем привет! У меня к вам дело!
Нужно настроить PIX Firewall вот в этой сети с комментариями:
http://депозитточкаком/files/b0pjq4yg5
С меня огромное спасибо! Плюс могу денег на баланс мобилы подкинуть, просто очень срочно нужно для учебы!
Моя аська: 403911729

Коллеги, перед кем-нибудь вставала задача настроить на Cisco ASA 55xx Remote Access VPN, в частности Clientless SSL VPN Access (ну и за компанию Client Access (AnyConnect)) с использованием одноразовых паролей (one-time password, OTP).
Как я себе вижу себе эту картину.
1) Поднимается сервер аутентификации.
2) На сервере работает служба генерации одноразовых паролей, которая позволяет сгенерировать определенное список паролей для передачи пользователю.
3) На сервере работает служба изменения паролей, которая после каждого входа пользователя в систему меняет пароль в соответствии с созданным заранее списком сгенерированных паролей для пользователя.
Что-то подобное используется в различных банках при использовании on-line сервисов.
Прошу помощи. Уже несколько недель бьюсь, но не могу не за что зацепиться

beseda2408
Документации на сайте производителя достаточно. Можно и погуглить.
Если и то и другое неохота, зацепитесь за хорошего спеца.
Больше пока посоветовать нечего, картину в целом представляете правильно =)

всем доброго времени суток

помогите кто чем может )))

в наличии: CISCO ASA 5505 k9 (прошивка 8.2.3)

пытаюсь настроить через ASDM VPN канал к Cisco VPN 3000 - пока результат нулевой.

в наличии 5505 и две пары логин-пароль для создания VPN-a в сторону VPN 3000

(первая пара - ipsec id и ipsec secret, вторая - xauth username и xauth password)

при гуевой внастойке канала никак не могу потять куда нужно вбивать xauth пару (может идеолошически чего-то не понимаю)

буду признателен, если кто-то сможет ткнуть носом в явный пример, не важно с использованием гуи или комм. строки.

ps
в vpnc соединение поднимается 'на раз'
пока опыта общения с циской мало, добился от нее стабильной работы в качестве внешнего шлюза-файервола

slaj1
могу порекомендовать вбивать ручками через консоль.
как это делать можно посмотреть здесь:
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00805c5ad9.shtml#t2

ESX091
спасибо большое, взлетело с полтыка
правда это настройка easy vpn client - в ГУЕ есть отдельное окошко для ввода тех же параметров
теперь бум разбираться с аксесс листами

а вот вопрос - а как создать два канала к разным серверам с парами vpn group/password и user/password ?

slaj1

Цитата:

а вот вопрос - а как создать два канала к разным серверам с парами vpn group/password и user/password ?

два канала - это как понять? два 2vpn-a? если да, то привязываете пользователя к определенной group-policy, которую вешаете на нужную tunnel-group

ESX091


Цитата:

два канала - это как понять? два 2vpn-a? если да, то привязываете пользователя к определенной group-policy, которую вешаете на нужную tunnel-group

спасибо, вы правилльно поняли, буду пробовать

Как 871-й сиске
в EASY VPN
в клиент моде указать сеть для криптования ?


crypto ipsec client ezvpn ASA
connect auto
mode client

interface FastEthernet4
ip address 192.168.1.105 255.255.255.0
crypto ipsec client ezvpn ASA inside
!
interface Vlan1
ip address 10.10.10.5 255.255.255.0
crypto ipsec client ezvpn ASA

ip route 192.168.38.0 255.255.255.0 192.168.1.101

Проблема в том что криптуется только трафик 192.168.1.0 255.255.255.0
А трафик остальных сетей приходящих через этот интефес нет !

Всем привет.
Есть рутинная работа по бану некоторых IP, сейчас она выполняется вот так:
ssh admin@xx.xx.xx.xx

Цитата:

sh running-config | grep network-object host Blocked_
configure terminal
object-group network Blocked
network-object yy.yy.yy.yy 255.255.255.255
exit
name yy.yy.yy.yy Blocked_0087 description 2011-02-17_15-17_from_boss
exit
write

кто как автоматизирует такие задачи ?
или как например раз в неделю бэкапить конфиг ? или бэкапить выполнением одного командного файла ?
спасибо.

Добавлено:
есть ещё один вопросик:
Используется DST NAT

Цитата:

static (DMZ,Untrust) Ext.xx.xx.xx Int.yy.yy.yy netmask 255.255.255.255 http

если мне например нужно перевести сайт на другой сервер, то сейчас я перевожу IP так же на другой сервер.
как бы мне просто изменить запись трансляции Cisco на другой внутренний IP ?

Цитата:

static (DMZ,Untrust) Ext.xx.xx.xx IntBK.yy.yy.yy netmask 255.255.255.255 http

Через ASDM Cisco не давала мне такого сделать.

slech

Цитата:

как например раз в неделю бэкапить конфиг ? или бэкапить выполнением одного командного файла ?

дык как обычно - по tftp серверу. Если хочешь автоматизацию типа кликом на ярлык на рабочем столе, то поставь Secure crt в нем можно написать скрипт с командами циски. Вообще банить внешние айпи на цисках эт не есть гуд, всех не забанишь. Китаёзов да можно забанить, но целые сети, а не так как ты - отдельные ипы.

to Elric72

есть определенные ограничения по созданию vpn при использовании технологии easy vpn.
на днях попробую - отпишусь точнее.

to slech


Цитата:

Добавлено:
есть ещё один вопросик:
Используется DST NAT

Цитата:
static (DMZ,Untrust) Ext.xx.xx.xx Int.yy.yy.yy netmask 255.255.255.255 http

если мне например нужно перевести сайт на другой сервер, то сейчас я перевожу IP так же на другой сервер.
как бы мне просто изменить запись трансляции Cisco на другой внутренний IP ?

Цитата:
static (DMZ,Untrust) Ext.xx.xx.xx IntBK.yy.yy.yy netmask 255.255.255.255 http

Через ASDM Cisco не давала мне такого сделать.

вопроса так и не понял, но если есть доступ по web на внутренний ip 1.1.1.1 и его необходимо перенести на 1.1.1.2
делаете это спокойно через cli
no static (DMZ,Untrust) Ext.xx.xx.xx 1.1.1.1 netmask 255.255.255.255 http
static (DMZ,Untrust) Ext.xx.xx.xx 1.1.1.2 netmask 255.255.255.255 http

можно еще проще через те же самые object-группы.
тогда даже acl править не потребуется, достаточно будет изменить ip адрес сервера и все)

ESX091

Цитата:

to Elric72

есть определенные ограничения по созданию vpn при использовании технологии easy vpn.
на днях попробую - отпишусь точнее.

доброго времени суток

подскажите пожалуйста, на основе easy vpn можно создать несколько подлючений ?
в гуе в разделе easy vpn можно сделать только одно ...

ESX091

Цитата:

вопроса так и не понял, но если есть доступ по web на внутренний ip 1.1.1.1 и его необходимо перенести на 1.1.1.2
делаете это спокойно через cli
no static (DMZ,Untrust) Ext.xx.xx.xx 1.1.1.1 netmask 255.255.255.255 http
static (DMZ,Untrust) Ext.xx.xx.xx 1.1.1.2 netmask 255.255.255.255 http

Да, так как ты и сказал

to slaj1
пример приведите, а то не понятно для чего нужно изобретать велосипед.

to slech
вопрос решен?

ipmanyak

Цитата:

Вообще банить внешние айпи на цисках эт не есть гуд, всех не забанишь. Китаёзов да можно забанить, но целые сети, а не так как ты - отдельные ипы.

тогда вариаант банить на каждом сайте злодеев.
пока использует подход с cisco.
ESX091

Цитата:

вопрос решен?

решён, спасибо.

Elric72
по поводу ezvpn.
обычно easy vpn не поддерживает транзитный трафик.
варианты как обычно есть - от использования динамики, ната, других технологий построения vpn, до смены оборудования...


Добавлено:
to slech
по поводу бекапов. зависит от того, на чем реализовать. вариантов много:
ручками, системы управления cisco/сторонние/самописные/скрипты/tcl-tk.

на основе чего принимается решение по бану ip?
на вскидку ips/ids аплайенсы или же средствами самой асы.

Цитата:

на основе чего принимается решение по бану ip?
на вскидку ips/ids аплайенсы или же средствами самой асы.

на основании жалоб пользователей и изучения логов посетителей - так мы щас получаем IP.
и вот его хотелось бы максимально просто внести в бан - одним кликом

Добрый день.

Помогите плз с проблемой.

В центре PIX 515, в филиалах asa5505
IPSec тоннели.
vpn клиенты.

Внезапно отвалились впн клиенты.
Восстановился на бэкап недельной давности, перестроил тоннель который был создан за эту неделю. И вроде все нормально.

Но на пиксе полезли сообщения типа

4    Feb 19 2011    14:57:44    419002    192.168.47.150    192.168.2.103     Duplicate TCP SYN from outside:192.168.47.150/1292 to inside:192.168.2.103/37395 with different initial sequence number

где 192.168.47.0/24 сеть это удаленная сеть, а 192.168.2.0/24

При этом, это сетки тоннелей которые ранее работали.
В принципе пакеты бегают, сетки общаются, но как то тревожно )

to slech

Цитата:

на основании жалоб пользователей и изучения логов посетителей - так мы щас получаем IP.

на рынке сейчас достаточно решений для защиты, думаю, что обязательно найдете искомое...
хотя у каждого свой способ =)

Добрый день.

Есть asa5505 (сетка 192.168.49.0/24) и pix515 (сетка 192.168.2.0/24)
IPsec тоннель между ними.

Есть хост 192.168.49.2 в сети 49 и хост 192.168.2.2 в сети 2.

На хосте (железка специфичиская) нет возможности использовать ip из сети 192.168.2.0/24 (зарезервированно для внутреннего использования железки)
Тобишь прописываю я что нужный мне хост это 192.168.2.2 - не могу использовать такой адрес в виду ограничений прошивки.

Можно ли на asa5505 реализовать подмену такого вида.

Если пакет от 192.168.49.2 к 172.16.16.5 тогда поменять дестинейшен адрес на 192.168.2.2
И если пакет от 192.168.2.2 к 192.168.49.2 тогда поменять дестинейшен адрес на 172.16.16.5

?

zubastiy
можно

ESX091
zubastiy

Приветствую...
Если не напряжет, могли бы пример выложить...

Заранее благодарен.

Добрый день,
Натолкнулся на http://habrahabr.ru/blogs/cisconetworks/93233/ как там написано "создатели которого достаточно успешно перенесли функционал Cisco ASA 5500 на обычный PC..."
Кто нибудь пробовал?

Принципы защиты от ddos атак(в т.ч. с помощью CiscoASA).Как?
С Сisco столкнулся впервые и с сайтами, которые ddos-ят тоже не приходилось работать. Опишу схему:
Есть веб сервисы, которые располагаются на площадке датацентра. Датацентр предоставляет канал в 100M и пул внешних IP.
Веб сайты крутятся в ЛВС на MS IIS 7 + MS SQL 2008. ЛВС отделена от внешнего мира Cisco ASA 5510 (IOS 8.x).

Как защититься от ddos (организационные меры)?
1. Взять резервный канал у датацентра с другой магистрали(с другим IP пулом) и подключить его к этой же cisco и в случае ddos переключать веб сервисы на другой канал? (Но если ddos-ят, то будет ли доступ к cisco? или cisco тоже "повиснет"?)
2. Выяснить у датацентра использует ли он методы защиты от ddos (системы мониторинга трафика+системы очистки трафика)?

Что настроить на cisco asa (технические меры)?
3. Закрыть все неиспользуемые порты (используется только 80, 443 и 25 наружу)
4. Отключить все неиспользуемые службы.
5. Заблокировать все неиспользуемые протоколы (в т.ч. и ICMP)
6. На входящий трафик c 10.0.0.0; 172.16.0.0 - 172.31.0.0; 192.168.0.0 - 192.168.255.0 установить deny
7. На входящий трафик с IP-шников равных моим установить deny.
8. Читал, что cisco может фильтровать на уровне полуоткрытых соединений (при борьбе с TCP SYN-атаками). Для SSL cisco сможет фильтровать? Какими командами это настраивается на cisco asa?
9. Что ещё подскажите?

vicwanderer

Обязательно обновляйтесь. Ибо уязвимостей много, могут положить сайты парой запросов.

Для экстренного доступа лучше взять тощий канал (1мб) + доп рутер (исключительно для резервного входа)

Тема ddos оч обширна. Имхо если проект важный (критичный к простою) и нет опыта - лучше заоутсорсите разработку плана по антиддос защите.


Цитата:

9. Что ещё подскажите?

из полезного в ASA

ограничить колво tcp сессий с одного ip
__static (inside,outside) 192.168.2.231 192.168.100.5 netmask 255.255.255.255 tcp 50 250

50 одновременных и 250 полуоткрытых

когда к нам прибежала толпа ботов, одно время успешно отбивались выставлением ограничений tcp 15 50

настроить threat detection + shun (в исключения для shun обязательно занесите свои веб сервера) если кратко, это подсчет статистики активности хостов и настройка триггеров для внесения слишком активных хостов в автобан.

хочу так же отметить, что во время ддос атаки вебинтерфейс асы нещадно тормозит. так что cli - в обязательном порядке к изучению.

подскажите пожалуйста про Cisco ASA 5505 - каким типом кабеля её подключать ?
Т.е. если у неё порты свитчёвые - то к компу её нужно подключать прямым кабелем, а к свитчу кросс.
Всё верно ?

Добавлено:

Цитата:

By default, the speed and duplex for switch ports are set to auto-negotiate. The default auto-negotiation
setting also includes the Auto-MDI/MDIX feature. Auto-MDI/MDIX eliminates the need for crossover
cabling by performing an internal crossover when a straight cable is detected during the auto-negotiation
phase. You cannot disable Auto-MDI/MDIX for the interface.

это хорошо но не рабоает всё же что-то.

Добавлено:

Цитата:

The ASA 5505 supports a built-in switch

значит это Switch:
Cisco ASA(Switch) <-- Cross --> Switch

возможно мои догадки были верны - мы вставили свитч(не совсем свитч - файервол со свитчёвыми портами) и crossover.
заработало только после сброса натсроек этого самого файервола на дефолтные.

Цитата:

Что настроить на cisco asa (технические меры)?
3. Закрыть все неиспользуемые порты (используется только 80, 443 и 25 наружу)
4. Отключить все неиспользуемые службы.
5. Заблокировать все неиспользуемые протоколы (в т.ч. и ICMP)
6. На входящий трафик c 10.0.0.0; 172.16.0.0 - 172.31.0.0; 192.168.0.0 - 192.168.255.0 установить deny
7. На входящий трафик с IP-шников равных моим установить deny.
8. Читал, что cisco может фильтровать на уровне полуоткрытых соединений (при борьбе с TCP SYN-атаками). Для SSL cisco сможет фильтровать? Какими командами это настраивается на cisco asa?
9. Что ещё подскажите?

3,4,5 на асе по умолчанию все закрыто и отключено. это не маршрутизатор
6. - rfc 1918, а еще лучше 3330
7. - rfc 2827. можно команду verify unicast source
но для 6 и 7 есть оператор связи.
И проблему ddos правильнее решать именно на уровне оператора


Цитата:

Обязательно обновляйтесь. Ибо уязвимостей много, могут положить сайты парой запросов.

угу, а асу положить парой пингов)

Цитата:

угу, а асу положить парой пингов)

к сожалению факт.
сайт сделанный на IIS +ASP какой то там + net.framework у нас ложился от пары специфических запросов. если у программеров остались, выложу на посмотреть.
проц молотил 100 процентов и IIS переставал отвечать.
вышла заплатка - помогло.