» Настройка Cisco PIX Firewall / ASA

Доброе время суток. Может, кто подскажет, как увидеть на PIX 501 имя удаленного пользователя, который подключился по VPN, если база пользователей локальная или для этого надо обязательно аутентификация RADIUS Server. Сейчас делаю так:
show isakmp sa
а в ответ:
dst src state pending created
100.100.100.100 200.200.200.200 QM_IDLE 0 1

А как узнать имя удаленного пользователя, ведь IP c которого он подключается в 70% динамическое. Имя мне надо и для статистики да и с точки зрения безопасности тоже было бы не плохо его видеть.

Есть два PIX-525 в кластере и необходимость обновиться с 6.3(3) до 7.2(4). Документацию на сайте читал. В принципе все понятно, но промежуток времени, который необходимо потратить на обновление рекомендуемым способом, слишком велик.
В итоге есть мысль сделать следующее:
1. Убрать из схемы primary
2. Обновить primary 6.3(3) -> 6.3(5) -> 7.0(4) -> 7.2(4)
3. Сделать обмен - убрать secondary, вернуть primary
4. Обновить secondary 6.3(3) -> 6.3(5) -> 7.0(4) -> 7.2(4)
5. Вернуть secondary
Как результат - 2 перерыва в сервисе максимум по одной минуте.

Может есть более простой/правильный способ? Или так, как описано выше, тоже возможно?

Я так понял ответить на мой вопрос к сожалению никто не может, как увидеть имя пользователя подключенного по VPN

yarasha
а sh users не показывает?

slut

Показывает, но к сожалению не то, что надо. Это команда показывает, какие учетные записи существуют в конфигурации .

cisco# sh user
username remote1 password XXXX encrypted privilege 1
username remote2 password YYYYY encrypted privilege 1

А я ищу,что то типа юниксовых команд who или last
причем who в случае с PIX показывает только активные сессии Telnet. А мне очень желательно увидеть имя пользователя, создавшего VPN соединение. А в идеале еще и статистику переслать на сислогсервер.

yarasha

Цитата:

А мне очень желательно увидеть имя пользователя, создавшего VPN соединение. А в идеале еще и статистику переслать на сислогсервер.

Походу 501-й этого не умеет (точнее PIX OS 6.x), как замену можно использовать radius.

rakis

Цитата:

Походу 501-й этого не умеет (точнее PIX OS 6.x), как замену можно использовать radius.

Жаль, очень жаль. Я в принципе это уже и подозревал. Последний вопрос на эту тему. А с какого IOS есть данная фича, как это можно увидеть и могу ли проапдейтить свой старый PIX до нужной версии OS. Хотя судя по всему, таки мне нужен RADIUS

yarasha

Цитата:

А с какого IOS есть данная фича, как это можно увидеть и могу ли проапдейтить свой старый PIX до нужной версии OS

В 7.2 есть, show vpn-sessiondb ..., (есть ли в более ранних 7.х не знаю)
На 501-й стандартными способами 7-ю не поставить.

можно ли без перезагрузки обновить версию ASDM ?
кто то такое делал ? железка в продакшене просто эксперементирвать нехочу.

т.е. заливаем новую версию ASMD правим конфиг и подключаемся.
сработает ли так ?

спасибо.

если верить этому
Upgrade an ASDM Image with ASDM 6.x
то тут как раз только ASDM и обновляют, т.е. должно пройти.

Обновить ASDM без перезагрузки брэнд мауэра можно, а вот IOS нет. Обновлятей не бойтесь

Досталась мне пикса 506 (железка без бумажек), опыта с ними ноль, с иосами небольшой есть.
Пытаюсь для начала сбросить пароль и обнулить настройки. В биос зашел, пытаюсь прописать адрес из внутренней сетки для tftp

1) Не понимаю, какой из интерфейсов внутренний. Тот что ближе к консольному порту или наоборот?

2) Проверяю, вообще работает ли. Вот такие пироги:

monitor> address 10.111.112.197
address 10.111.112.197
monitor> ping 10.111.112.197
Sending 5, 100-byte 0x1304 ICMP Echoes to 10.111.112.197, timeout is 4 seconds:

Success rate is 0 percent (0/5)

Как такое может быть?

Упдате.

Вопрос решён.
Надо было в мониторе сказать

interface 1 (левый, дальний от консольного шнура)
address a.b.c.d
server a.b.c.e
ping a.b.c.e
file np63.bin файлик - сбрасыватель пароля, специфичный для версии ос (не биос)
tftp



Добавлено:
можно ли в 506E обновить софт на что-нибудь посвежее?
а железо проапгредить как-нибудь?

Hardware: PIX-506E, 32 MB RAM, CPU Pentium II 300 MHz
Flash E28F640J3 @ 0x300, 8MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB

0: ethernet0: address is 000e.8406.09a4, irq 10
1: ethernet1: address is 000e.8406.09a5, irq 11
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES-AES: Disabled
Maximum Physical Interfaces: 2
Maximum Interfaces: 2
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited

This PIX has a Restricted (R) license.

есть железка ASA 5510
Untrust = Real IP - connected to ISP
DMZ = Multiple Real IP

сейчас всё работает в режиме routing
задача перевести на NAT. варианты такие:
1. Static NAT

Цитата:

static (DMZ,Untrust) ext_Ip int_IP netmask 255.255.255.255 0 0

на серверах пропишем внутриние адреса, сменим адреса шлюзов
на ASA сменим адрес на интерфейсе на внутрений и пропишем трансляцию
я так понрмаю нужно всё равно создавать входящее правило для хостов ?
т.е.

Цитата:

access-list Untrust_access_in extended permit ip any host ext_IP

2. Static PAT

Цитата:

static (inside,outside) tcp ext_IP www int_IP www netmask 255.255.255.255

Цитата:

access-list Untrust_access_in extended permit tcp any host ext_IP eq www

так же
на серверах пропишем внутриние адреса, сменим адреса шлюзов
на ASA сменим адрес на интерфейсе на внутрений и пропишем трансляцию

т.е. в обоих случая придётся делать теже операции и на серверах и на интерфейсах ?


как во втором случае хост будет появляться наснаружи ? тоже под ext_IP ?
в первом случае судя по всему да.

Можно ли на пиксе 506E сменить мак-адрес?
У моего провайдера DHCP выдает (статический) адрес жестко по маку... Мак тот я специально выдумал менять привязку гиморно.

LevT
На физических интерфейсах пиксов поменять нельзя, в отличие от роутеров.

в моей ситуации судя по всему нужен будет Statiс NAT так как важно что бы хосты могли сами выходить наружу под заданными адресами.
Static PAT этого не обеспечивает.
правила для дуступа снаружи нужны будут в обоих случаях.

есть другой важный вопрос

будет ли возможность с усерверов общаться по реальным IP ?
т.е. срабатывает NAT - потом на этом же стройстве возвращаемся обратно

slut
По тфтп удалось загрузить 7.2.2.
Там сменить мак оказалось можно.

В 7.1.1 нельзя.

7.2.3 уже не работает ("software assertion failed").

--
Всё это для 506E

А нельзя ли ASDM расположить на файловой системе, скажем, ftp: ?

slech
неа, пикс сам на себя не бачит почему-то (6.2, 7.2, 8.0(4) - pix525 enterprise)
т.е. реальный пример, если у мну на Пате висит сервер на том же пиксе, откуда юзеры уходят в инет (натятся), то по внешним адресам у них ничче не работает
если при этом внешние адреса на NAT и PAT разные, то просто не ходит трафик (вышеописано) , а если 1 IP пытался юзать в PAT и NAT, то вообще ниче никуда не ходило. (global, nat, permit'ы в нужных направлениях, это все иммеется)

в принципе можно и конфиги показать, кому чего интересно. но тока в мылы/аськи (9060705)

Добавлено:
8.0(4) - это прям ASA софт для пикса весь из себя, функционал, орфография
хотя я не юзал ASA сам по себе если честно.

Добавлено:
ппц, накарябал, тут все такие серьезные, умные железки изучают, один я, как заправский быдла.

2slech
: мой пост надо читать только вместе с твой картинкой, иначе не понятно. ну и понимать где там у тебя Пат, а где Нат. будет.

з.ы.

я зачем сюда залез
обновили пикс до 8.0(4) софта unrestricted, и чет не хочет snmp работать нормально. zenoss пишет "SNMP agent down"
при этом на пиксе с новым софтом(там где не работает):

pix0-gts# sh run | i snmp
snmp-server host inside pp.rr.iv.ate community онасамая version 2c
snmp-server host outside glo.bbb.aaa.lll community онасамая version 2c
snmp-server location xxx
snmp-server contact d.barablin@xxx
snmp-server community онасамая
snmp-server enable traps snmp authentication linkup linkdown coldstart
snmp-server enable traps syslog
snmp-server enable traps ipsec start stop
snmp-server enable traps entity config-change fru-insert fru-remove
snmp-server enable traps remote-access session-threshold-exceeded


(тут пытался и с внешки (через другой пикс пролезть) и через инсайд, поэтому 2 хост строчки)

и отнюдь на 7.2софте, аналогично unrestricted все прекрасно работает

pix1-gts# sh run | i snmp
snmp-server host inside pp.rr.iv.ate community онасамая
no snmp-server location
no snmp-server contact
snmp-server community онасамая
snmp-server enable traps snmp authentication linkup linkdown coldstart

все это ради мониторинга zenoss( уж больно он приятный в плане потыкивания мышкой


и блин, чет я не нашел дебаг snmp в 8.0 ) мб плохо искал((

Всем доброго времени суток!
Подскажите, пожалуйста, в чем может быть проблема?

2x pix 501
У каждого белый ip, находятся в сети провайдера, в разных зданиях, со своего пикса я пингую другой, а вот через свой, изнутри, не могу, в чем может быть причина?

Дебаг пишет ответ для пикса, если с него пинг слать, а изнутри только запрос, ответа нет, с того же ip.

torchock
для того, который "изнутри" и "не может" - разрешить icmp

bazarected
есть такая фича как DNS Doctoring

Цитата:

DNS rewrite performs two functions:
Translates a public address (the routable or mapped address) in a DNS reply to a private address (the real address) when the DNS client is on a private interface.
Translates a private address to a public address when the DNS client is on the public interface.

PIX/ASA: Perform DNS Doctoring with the static Command and Three NAT Interfaces Configuration Example
PIX/ASA: Perform DNS Doctoring with the static Command and Two NAT Interfaces Configuration Example

с PAT оно не работает.

slut
Изнутри - значит с внутреннего интерфейса моего пикса (грубо, с моего компа) на другой, который через внешний интерфейс моего и через шлюз провайдера.

Nat Exemption - когда нужен ?
Используеться для исключения сетей из процеса NAT.

Если скажем у меня 3-и интерфейса
Untust =0
Trust =100 - NAT overload - в мир через одни IP
DMZ =50 - Static NAT - в мир каждый со своим IP

а как будет общение между Trust и DMZ ?
для этого случая надо указывать NAT Exemption ?
По идее NAT будет происходить на Untrust инетерфейсе и общение Trust DMZ будет происходить просто по Routing.

кто подскажет прав я или нет ?

спасибо.

Можно между двумя асами настроить тунель типа ipsecl2l при условии что на одной асе инсайд пул 192.168.0.1-192.168.0.50 (mask 255.255.255.0) а на второй 192.168.0.51-192.168.0.250 (mask 255.255.255.0) ?

PIX-515E, PIX OS 7.2(4)

Пробую залить образ по tftp/ftp, в итоге получаю "No memory available"

guard# sh memory
Free memory: 794280 bytes ( 1%)
Used memory: 66314584 bytes (99%)
------------- ----------------
Total memory: 67108864 bytes (100%)

Существует ли способ освободить память без перезагрузки?

adminvencona
Нельзя.
Мне видится два решения.
1. сменить маски сетей так чтобы уменьшить размеры сетей и сделать эти сети не пересекаемыми.
2. поднять Static NAT на внутренних интерфейсах обоих асей, т.е. выполнить трансляцию адресов с одной стороны например на 192.168.10.1-192.168.10.50 (mask 255.255.255.0), а с другой на 192.168.20.51-192.168.20.250 (mask 255.255.255.0). Тунель поднять уже между этими сетями.

Господа, всем привет!
Настраиваю сейчас тонко Cisco ASA 5505.
Задача: полностью запретить даунлоад файлов с расширениями mp3, avi, exe.
Подскажите темплейт конфига под это дело..

Нашел на сайте циски пример конфига где блокируются домены и файлы. Домены - работает, файлы - нет =(
Может я что пропустил?

[more=Код]
Код:
# Configuring DOMAIN Blocking
regex DOMAINBLOCK1 "\.vkontakte\.ru"
regex DOMAINBLOCK2 "\.youtube\.com"
regex DOMAINBLOCK3 "\.icq\.com"
regex DOMAINBLOCK4 "\.aol\.com"
regex DOMAINBLOCK5 "\.odnoklassniki\.ru"
regex DOMAINBLOCK6 "\.rapidshare\.de"
regex DOMAINBLOCK7 "\.rapidshare\.com"
regex DOMAINBLOCK8 "\.youtube\.ru"
regex DOMAINBLOCK9 "\.youtube\.com"
class-map type regex match-any DOMAINBLOCKLIST
match regex DOMAINBLOCK1
match regex DOMAINBLOCK2
match regex DOMAINBLOCK3
match regex DOMAINBLOCK4
match regex DOMAINBLOCK5
match regex DOMAINBLOCK6
match regex DOMAINBLOCK7
match regex DOMAINBLOCK8
match regex DOMAINBLOCK9
class-map type inspect http match-all DOMAINBLOCKCLASS
match request header host regex class DOMAINBLOCKLIST
!
class-map HTTP_TRAFFIC
match port tcp eq www
!
policy-map type inspect http HTTP_INSPECT_POLICY
parameters
protocol-violation action drop-connection
match request method connect
drop-connection log
class DOMAINBLOCKCLASS
drop-connection log
!
policy-map LAN-policy
class HTTP_TRAFFIC
inspect http HTTP_INSPECT_POLICY
!
service-policy LAN-policy interface LAN
# EOL Configuration DOMAIN Blocking


# Configuring FILES Blocking
regex FILEBLOCK1 ".*\.([Mm][Pp][3]|[Aa][Vv][Ii]|[Mm][Pp][Gg]|[Ww][Aa][Vv]) HTTP/1.[01]"
regex FILEBLOCK2 ".*\.([Ee][Xx][Ee]|[Cc][Oo][Mm]|[Bb][Aa][Tt]|[Mm][Ss][Ii]) HTTP/1.[01]"
class-map type regex match-any FILEBLOCKLIST
match regex FILEBLOCK1
match regex FILEBLOCK2
class-map type inspect http match-all FILEBLOCKCLASS
match request uri regex class FILEBLOCKLIST
policy-map type inspect http HTTP_INSPECT_POLICY
class FILEBLOCKCLASS
drop-connection log
# EOL Configuration FILES Blocking