标签:asa

ASA5505密码破解

No Comments CISCO

 

1. Power-cycle your security appliance by removing and re-inserting the power plug at the power strip.

重新插拔电源线
2. When prompted, press Esc to interrupt the boot process and enter ROM Monitor mode. You should immediately see a rommon prompt (rommon #0>).
按ESC键进入ROM Monitor模式,可以看到提示符rommon #0>
3. At the rommon prompt, enter the confreg command to view the current configuration register setting: rommon #0>confreg
输入命令confreg回车,查看当前的寄存器的值
4. The current configuration register should be the default of 0x01 (it will actually display as 0x00000001). The security appliance will ask if you want to make changes to the configuration register. Answer no when prompted.
寄存器的初始值为0x01,ASA会出现询问是否改变寄存器的设置,输入no回车
5. You must change the configuration register to 0x41, which tells the appliance to ignore its saved (startup) configuration upon boot:

改变寄存器的值为0x41

rommon #1>confreg 0x41
6. Reset the appliance with the boot command:

重启设备

rommon #2>boot
7. Notice that the security appliance ignores its startup configuration during the boot process. When it finishes booting, you should see a generic User Mode prompt:

此时,ASA会跳过startup配置,启动完成后直接进入用户模式

ciscoasa>
8. Enter the enable command to enter Privileged Mode. When the appliance prompts you for a password, simply press (at this point, the password is blank):

进入特权模式,密码为空

ciscoasa>enable

Password:

ciscoasa#
9. Copy the startup configuration file into the running configuration with the following command:

------中间广告---------

将startup配置保存至running配置中

ciscoasa#copy startup-config running-config

Destination filename [running-config]?
10. The previously saved configuration is now the active configuration, but since the security appliance is already in Privileged Mode, privileged access is not disabled. Next, in configuration mode, enter the following command to change the Privileged Mode password to a known value (in this case, we’ll use the password system):

重新设置特权模式的密码为system

asa#conf t

asa(config)#enable password system
11. While still in Configuration Mode, reset the configuration register to the default of 0x01 to force the security appliance to read its startup configuration on boot:

改回寄存器的值,强制ASA从startup读取配置启动

asa(config)#config-register 0x01
12. Use the following commands to view the configuration register setting:

查看当前寄存器的值

asa(config)#exit

asa#show version
13. At bottom of the output of the show version command, you should see the following statement: Configuration register is 0x41 (will be 0x1 at next reload)
在输出的最后会看到寄存器的值会在重启设备后由0x41变成0x1
14. Save the current configuration with the copy run start command to make the above changes persistent:

保存配置

asa#copy run start

Source filename [running-config]
15. Reload the security appliance: asa# reload System config has been modified. Save? [Y]es/[N]o:yes
输入reload命令重启设备,询问是否保存配置,输入yes回车
Cryptochecksum: e87f1433 54896e6b 4e21d072 d71a9cbf
2149 bytes copied in 1.480 secs (2149 bytes/sec) Proceed with reload? [confirm]
When your security appliance reloads, you should be able to use your newly reset password to enter privileged mode.
设备重启后,你可以使用重置后的密码进入特权模式

查看ASA会话数及连接数

No Comments 网络技术 ,

 

在网络上查了下,查看ASA会话数及连接数的查看命令,先与大家分享下:
查看所有的转换表数
sohw xlate count
查看连接数
show conn count
查看所有IP地址的连接数和半连接数
show local-host | incl host|count|embryonic

ciscoasa# show local-host 192.168.1.100 brief conn

http://www.netyourlife.net/bbs/forum.php?mod=viewthread&tid=22060

cisco ASA 限制连接数配置,速率限制

No Comments 网络技术 ,

第一种:

hostname(config)# access-list allip permit ip any any设置需限制的访问列表
hostname(config)# class-map c_all_ip设置类别图
hostname(config-cmap)# match access-list allip匹配访问列表allip
hostname(config)# policy-map p_all_ip设置策略图p_all_ip
hostname(config-pmap)# class c_all_ip使用类别c_all_ip

hostname(config-pmap-c)# set connection per-client-max 50(限制每客户端连接数最大50)
hostname(config-pmap-c)# police output 250000限制此类别速率bit/s
hostname(config)# service-policy p_all_ip interface outside(将策略应用到接口,每个接口只能用一个策略图policy-map)

第二种

nat (inside) 1 172.16.0.0 255.255.0.0 tcp 50 50 udp 50 con enb限连接数tcp50,udp50

ASA与PIX的区别

No Comments CISCO , ,

很多年来,Cisco PIX一直都是Cisco确定的防火墙。但是在2005年5月,Cisco推出了一个新的产品——适应性安全产品(ASA,Adaptive Security Appliance)。不过,PIX还依旧可用。我已听到很多人在多次询问这两个产品线之间的差异到底是什么。让我们来看一看。

Cisco PIX是什么?

Cisco PIX是一种专用的硬件防火墙。所有版本的Cisco PIX都有500系列的产品号码。最常见的家用和小型网络用产品是PIX 501;而许多中型企业则使用PIX 515作为企业防火墙。

PIX防火墙使用PIX操作系统。虽然PIX操作系统和Cisco IOS看起来非常的接近,但是对那些非常熟悉IOS的用户来说,还是有足够的差异性弄得他们头昏脑胀。

PIX系列的防火墙使用PDM(PIX设备管理器,PIX Device Manager)作为图形接口。该图形界面系统是一个通过网页浏览器下载的Java程序。

一般情况下,一台PIX防火墙有个外向接口,用来连到一台Internet路由器中,这台路由器再连到Internet上。同时,PIX也有一个内向接口,用来连到一台局域网交换机上,该交换机连入内部网络。

Cisco ASA是什么?

而ASA是Cisco系列中全新的防火墙和反恶意软件安全用具。(不要把这个产品和用于静态数据包过滤的PIX搞混了)

ASA系列产品都是5500系列。企业版包括4种:Firewall,IPS,Anti-X,以及VPN.而对小型和中型公司来说,还有商业版本。

总体来说,Cisco一共有5种型号。所有型号均使用ASA 7.2.2版本的软件,接口也非常近似Cisco PIX.Cisco PIX和ASA在性能方面有很大的差异,但是,即使是ASA最低的型号,其所提供的性能也比基础的PIX高得多。

和PIX类似,ASA也提供诸如入侵防护系统(IPS,intrusion prevention system),以及VPN集中器。实际上,ASA可以取代三种独立设备——Cisco PIX防火墙,Cisco VPN 3000系列集中器,以及Cisco IPS 4000系列传感器。

现在,我们已经看过了两种安全工具各自的基本情况,下面我们来看看他们互相比较的结果。

PIX对ASA

虽然PIX是一款非常优秀的防火墙,但是安全方面的情况却在日新月异。仅仅使用一台静态数据包过滤防火墙来对你的网络进行保护已远远不够了。对网络而言,新的威胁层出不穷——包括病毒,蠕虫,多余软件(比如P2P软件,游戏,即时通讯软件),网络欺诈,以及应用程序层面的攻击等等。

如果一台设备可以应付多种威胁,我们就称其提供了“anti-X”能力,或者说它提供了“多重威胁(multi-threat)”防护。但PIX恰恰无法提供这种层次的防护。

绝大多数公司不希望采用安装一台PIX进行静态防火墙过滤,同时再使用一些其他的工具来防护其他威胁的办法。他们更希望采用一台“集所有功能于一身”的设备——或是采用一台UTM(统一威胁管理)设备。

而ASA恰好针对这些不同类型的攻击提供了防护。它甚至比一台UTM设备更厉害——不过,要成为一台真正的UTM,它还需要装一个CSC-SSM模块(CSC-SSM,内容安全以及控制安全服务,Content Security and Control Security Service)才行。该模块在ASA中提供anti-X功能。如果没有CSC-SSM,那ASA的功能看起来会更像一台PIX.

那么,到底哪一个才适合你的企业呢?正如我们通常所说的,这要看你企业的需求而定。不过,我还是倾向于优先选择ASA,而后才是PIX.首先,一台ASA的价格要比同样功能的PIX要低。除去成本的原因不谈,至少从逻辑上来说,选择ASA就意味着选择了更新更好的技术。

对于那些已经在使用Cisco PIX的人来说,Cisco已经提供了一个迁移指南,以解决如何从Cisco PIX迁移到ASA上的问题。就我观点而言,我觉得这起码预示了一点,就是Cisco终止PIX的日子正离我们越来越近。虽然Cisco公司尚未明确宣布这一点,但是我认为这只是一个时间问题罢了。

ASA防火墙配置笔记

No Comments CISCO ,

序言:
              Cisco新的防火墙ASA系列已经面市了,将逐步取代PIX防火墙,网上关于ASA配置资料很少,现把我积累的ASA配置技术编写一个文档,供大家参考。如有问题,可发邮件给我。
1.    常用技巧…………………………………………………………………………… 1
2.    故障倒换…………………………………………………………………………… 1
3.    配置telnet、ssh及http管理…………………………………………………… 3
4.    vpn常用管理命令……………………………………………………………….. 3
5.    配置访问权限…………………………………………………………………….. 3
6.    配置sitetosite之VPN……………………………………………………………. 4
7.    webvpn配置(ssl vpn)……………………………………………………….. 4
8.    远程拨入VPN…………………………………………………………………….. 5
9.    日志服务器配置………………………………………………………………….. 6
10.    Snmp网管配置………………………………………………………………….. 7
11.    ACS配置………………………………………………………………………….. 7
12.    AAA配置…………………………………………………………………………. 7
13.    升级IOS………………………………………………………………………….. 8
14.    疑难杂症………………………………………………………………………….. 8
1.       常用技巧
Sh ru ntp查看与ntp有关的
Sh ru crypto 查看与vpn有关的
Sh ru | inc crypto 只是关健字过滤而已
2.       故障倒换
failover
failover lan unit primary
failover lan interface testint Ethernet0/3
failover link testint Ethernet0/3
failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001
failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001
failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001
failover mac address Management0/0 0018.1900.7000 0018.1900.7001
failover interface ip testint .1 255.255.255.0 standby 10.3.3.2
注:最好配置虚拟MAC地址
sh failover显示配置信息
write standby写入到备用的防火墙中
failover命令集如下:
configure mode commands/options:
  interface         Configure the IP address and mask to be used for failover
                    and/or stateful update information
  interface-policy  Set the policy for failover due to interface failures
  key               Configure the failover shared secret or key
  lan               Specify the unit as primary or secondary or configure the
                    interface and vlan to be used for failover communication
  link              Configure the interface and vlan to be used as a link for
                    stateful update information
  mac               Specify the virtual mac address for a physical interface
  polltime          Configure failover poll interval
  replication       Enable HTTP (port 80) connection replication
  timeout           Specify the failover reconnect timeout value for
                    asymmetrically routed sessions
sh failover 命令集如下:
  history     Show failover switching history
  interface   Show failover command interface information
  state       Show failover internal state information
  statistics  Show failover command interface statistics information
  |           Output modifiers
  <cr>
3.       配置telnet、ssh及http管理
username jiang password Csmep3VzvPQPCbkx encrypted privilege 15
aaa authentication enable console LOCAL
aaa authentication telnet console LOCAL
aaa authentication ssh console LOCAL
aaa authorization command LOCAL
http 192.168.40.0 255.255.255.0 management
ssh 192.168.40.0 255.255.255.0 inside

 

 

4.       vpn常用管理命令
sh vpn-sessiondb full l 显示site to site 之vpn通道情况
sh ipsec stats 显示ipsec通道情况
sh vpn-sessiondb summary 显示vpn汇总信息
sh vpn-sessiondb detail l 显示ipsec详细信息
sh vpn-sessiondb detail svc 查看ssl client信息
sh vpn-sessiondb detail webvpn 查看webvpn信息
sh vpn-sessiondb detail full l 相当于linux下的ipsec whack –status 如果没有建立连接,则表示ipsec通道还没有建立起来。
5.       配置访问权限
可以建立对象组,设定不同的权限,如:
    object-group network testgroup
           description test
           network-object 192.168.100.34 255.255.255.255
       access-list inside_access_in line 2 extended permit ip object-group all any
       access-group inside_access_in in interface inside
6.       配置sitetosite之VPN
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map outside_map 20 match address outside_cryptomap_20_1
crypto map outside_map 20 set pfs
crypto map outside_map 20 set peer 218.16.105.48
crypto map outside_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
isakmp identity address
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
tunnel-group 218.16.105.48 type ipsec-l
tunnel-group 218.16.105.48 ipsec-attributes
pre-shared-key *
peer-id-validate nocheck
tunnel-group-map enable rules
注:打打PFS并设定以IP地址作为peer名,一个接口只能有一个加密图

 

7.             webvpn配置(ssl vpn)
webvpn
enable outside
character-encoding gb2312
csd image disk0:/securedesktop-asa-.16.pkg
svc image disk0:/sslclient-win-.154.pkg 1
svc enable
customization customization1
  title text TEST WebVPN system
  title style background-color:white;color: rgb(51,153,0);border-bottom:5px groo
ve #669999;font-size:larger;vertical-align:middle;text-align:left;font-weight:bold
tunnel-group-list enable
注:也可通过ASDM图形界面进行配置
登录后,可访问内部资源,如下例:(客户端首先要安装Java插件jre-1_5_0-windows-i586.exe,并打开浏览器的ActiveX)
1) https://sslvpn.test.com.cn 输入用户名和密码
2) 出现工具条
3) 在Enter Web Address内输入192.168.40.8即可访问内部网站
4)在browse network输入192.168.40.8即可访问共享文件
5)点击application access,即可查看端口转发设置,如使用putty访问本机的2023端口,则即可通过ssh登录192.168.40.8
8.       远程拨入VPN
相关的ASA配置命令如下:
access-list inside_access_in extended permit ip object-group remotegroup any
access-list inside_access_in extended permit icmp object-group remotegroup any
access-list remotevpn_splitTunnelAcl standard permit 192.168.100.0 255.255.255.0
access-list vpnclient_splitTunnelAcl standard permit 192.168.100.0 255.255.255.0
ip local pool dialuserIP 192.168.101.1-192.168.101.254 mask 255.255.255.0
group-policy remotevpn attributes
dns-server value 202.96.128.68 192.168.40.16
default-domain value test.com.cn
username jiang password Csmep3VzvPQPCbkx encrypted privilege 15
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 set pfs
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 20 set reverse-route
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
tunnel-group remotevpn type ipsec-ra
tunnel-group remotevpn general-attributes
address-pool dialuserIP
default-group-policy remotevpn
tunnel-group remotevpn ipsec-attributes
pre-shared-key *
客户端设置如下:
9.       日志服务器配置
logging enable
logging timestamp
logging emblem
logging trap informational
logging asdm warnings
logging host inside 192.168.40.115 format emblem
logging permit-hostdown
vpn-simultaneous-logins 3
10.  Snmp网管配置
snmp-server host inside 192.168.40.47 community testsnmp
snmp-server location DG-GTEST
snmp-server contact jiangdaoyou:6162
snmp-server community testsnmp
snmp-server enable traps snmp authentication linkup linkdown coldstart
注:指定主机后,192.168.40.47才可能进行管理
11.  ACS配置
    安装后管理:http://ip:2002 通过ACS可以进行授权、认证等等很多功能
       因内容太多,暂省略
12.  AAA配置
Aaa服务器配置:
aaa-server radius_dg host dc03.xxxx.com
key dfdfdfdf146**U
authentication-port 1812
accounting-port 1813
radius-common-pw dfdfdfdf146**U
对于拨入vpn的配置
tunnel-group vg_testerp general-attributes
address-pool ciscovpnuser
authentication-server-group radius_dg
default-group-policy vg_testerp
13.  升级IOS
copy tftp://192.168.40.180/asa/asa721-k8.bin disk0:/asa721-k8.bin
boot system disk0:/asa721-k8.bin (多个Image时使用)
14.  疑难杂症
1)        在远程子网不能ping通过对方的网关,如在无锡格兰不能ping 192.168.40.251
输入命令:management-access inside (通过ASDM不能设置这一项)
2)        NAT有时不能快速启作用
使用命令:clear xlate即可

Cisco ASA 防火墙密码恢复

Cisco ASA 防火墙密码恢复

==================

      Cisco ASA的密码恢复过程很像路由器了,也是通过修改配置寄存器的值来实现。就不要密码恢复文件了。

1,密码恢复准备东东

A,PC机

B,cisco Console线

C TFTP软件,直通和交叉线各一根

我们需要通过配置线把PC机的COM口与ASA的控制接口相连。

2,密码恢复程序

首先,我们打开PC机的超级终端,然后启动ASA后迅速按ESC或CTRL+BREAK 键进入Rommon状态。

You can press the Esc (Escape) key after "Use BREAK or ESC to interrupt boot" is shown. This will take you into ROMMON mode, as follows:

rommon #0>

然后我们打入命令confreg,进行配置寄存器值的修改,有两种方法,一种是通过输入ConfReg命令一步一步回答菜单如下:

rommon #1> confreg

Current Configuration Register: 0x00000011

Configuration Summary:

boot TFTP image, boot default image from Flash on netboot failure

Do you wish to change this configuration? y/n [n]: y

所有都按照默认回答,在问"disable system configuration?" 的时候,选择y.

这里将0X11启动模式转变到0X41模式.

第二种方法就是直接使用命令ConfReg 0x41修改配置寄存器的值。如下:

rommon #1> confreg 0x41

Update Config Register (0x41) in NVRAM…

修改后,就可以重启

rommon #2> boot

启动成功进入ASA以后,enable密码为空.

ciscoasa> enable

Password:<cr>

ciscoasa# copy startup-config running-config

ciscoasa# configure terminal

设置新的密码

ciscoasa(config)# password PIXPa55

ciscoasa(config)# enable password PIXp455

ciscoasa(config)# username BluShin password Goodp455

修改会原来的配置寄存器的值

ciscoasa(config)# config-register 0x11

保存配置文件,切记,否则新密码无效

ciscoasa(config)# copy running-config startup-config

后记

====================

     有时候我们为了加强安全性,打入了no service password-recovery命令。这时候进行密码恢复时,就不能通过修改配置寄存器的值来实现了,而只能删除所有文件来实现,当然删除的文件会包括配置文件和OS文件。

ciscoasa(config)# no service password-recovery

WARNING: Saving "no service password-recovery" in the startup-config will disable password recovery via the PIX Password Lockout Utility. The only means of recovering from lost or forgotten passwords will be for the PIX Password Lockout Utility to erase all file systems including configuration files and images.You should make a backup of your configuration and have a mechanism to restore images from the Monitor Mode command line.

提示两点:

1、恢复的时候会清除所有配置

2、需要保存配置文件,并有一种方式从Monitor Mode command line得到恢复的IMAGES

密码恢复过程:建立物理CONSOLE连接和带外管理接口连接(Management口),RELOAD设备

press the Esc (Escape) key after "Use BREAK or ESC to interrupt boot" is shown

提示:

a new image must be downloaded via ROMMON.

Erase all file systems? y/n [n]: yes

Disk1: is not present.

Enabling password recovery…

rommon #0>

rommon #0> ADDRESS=192.168.10.1

rommon #1> SERVER=192.168.10.250

rommon #3>GATEWAY=192.168.10.250

rommon #4> PORT=Management0/0

MAC Address: 000f.f775.4b54

rommon #5> file asa702.bin

rommon #6> tftpdnld

tftp !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Note

The security appliance downloads the system image file in memory and boots up the device. However, the downloaded system image is not stored in flash.

这里提示只在MEMORY而不保存到FLASH中。

此时可以进入:

ciscoasa> enable

ciscoasa# copy tftp: running-config

Address or name of remote host []? 192.168.10.250

Source filename []? CiscoASA.conf

需要将以前保存的配置文件载入到设备中然后重设密码,并保存即可

这里有两个安全提高:

1、IMEGE保存在TFTP、备份文件也保存在另外的位置

2、擦除了使用的配置文件

注意:如果TFTP不在同一网段,则:

rommon #2> GATEWAY 192.168.10.100

注意:TFTP的参数是需要预先配置好的,为密码恢复做准备,示例如下:是在rommon中完成的

Example 4-49. Setting Up TFTP Parameters

rommon #0> ADDRESS 192.168.10.1

rommon #1> SERVER 192.168.10.250

rommon #2> interface GigabitEthernet0/0

GigabitEthernet0/0

MAC Address: 000f.f775.4b54

rommon #3> file ASA702.bin

rommon #4> set 检查参数

rommon #5> tftpdnld   开始下载

tftp !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

网上都可以找到有关ASA防火墙配置SSH的文章,但经测试后发现都有不少问题

No Comments CISCO , ,

 

ASA5500系列命令,我发现的软件版本7.0以上的正确配置方法如下:

//配置服务器端

ciscoasa(config)#crypto key generate   rsa modulus 1024 //指定rsa系数的大小,这个值越大,产生rsa的时间越长,cisco推荐使用1024.
ciscoasa(config)#write mem //保存刚刚产生的密钥
ciscoasa(config)#ssh0.0.0.0 0.0.0.0 outside //0.0.0.0 0.0.0.0表示任何外部主机都能通过SSH访问outside接口,当然你可以指定具体的主机或网络来进行访问,outside也可以改为inside即表示内部通过SSH访问防火墙
ciscoasa(config)#ssh timeout 30   //设置超时时间,单位为分钟
ciscoasa(config)#ssh version 1 //指定SSH版本,可以选择版本2
//配置客户端
ciscoasa(config)#passwd 密码   //passwd命令所指定的密码为远程访问密码,同样适用于telnet

所有7.0版本以上的用户名默认为pix,其它的版本我不知道。这里可以看出ASA还有PIX的影子的,呵呵,网上说的ASA防火墙配置SSH通过命令"username 用户名 password密码"来创建帐号,我测试了n次都说帐号错误.由此看出软件版本7.0上的用户名都是pix.不信大家可以试试.

//相关命令
show ssh                         //参看SSH配置信息
show crypto key mypubkey rsa //查看产生的rsa密钥值
crypto key zeroize             //清空所有产生的密钥

以上命令资料都是来自ASA5500系列防火墙官方配置指南和实际测试通过.

cisco AAA服务器配置和充备配置

No Comments CISCO , ,

AAA代表AuthenticationAuthorizationAccounting,意为认证、授权、记帐,其主要目的是管理哪些用户可以访问服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记帐。
1
认证:验证用户是否可以获得访问权限——“你是谁?
2
授权:授权用户可以使用哪些资源——“你能干什么?
3
记帐:记录用户使用网络资源的情况——“你干了些什么?
好的,简单的了解理论知识后,接下来我们还是以实验的方式来进行讲解:
为网络提供AAA服务的,主要有TACACS+RADIUS协议,我们主要介绍是TACACS+协议,因为它运行在TCP协议基础之上,更适合大型网络,特别是融合型网络
一、 实验拓扑介绍
clip_image001
该实验主要完成R1路由通过ACS服务器实现AAA认证,包括验证、授权和记帐,同时还包括PPP验证和计时通过cisco ACS实验
二、 安装cisco ACS
1
硬软件要求
硬件:Pentium IV 处理器, 1.8 GHz 或者更高
操作系统:Windows 2000 Server
Windows 2000 Advanced Server (Service Pack 4)
Windows Server 2003
Enterprise Edition or Standard
Edition (Service Pack 1)
内存:最小1GB
虚拟内存:最小1GB
硬盘空间:最小1GB可用空间,实际大小根据日志文件的增长,复制和备份的需求而定。
浏览器:Microsoft Internet Explorer 6 或者更高版本
JAVA
运行环境:Sun JRE 1.4.2_04 或更高版本
网络要求:
CISCO IOS 设备上为了全面的支持TACACS+ RADIUSAAA 客户端必须运行Cisco IOS 11.1 或者更高的版本。
CISCO IOS 设备上必须用TACACS+RADIUS或者两者一起配置。
运行ACS的主机必须能ping通所有的AAA客户端。
2
安装方法(我们用的版本是4.0版本)
打开ACS安装程序文件夹,选中setup 双击。进入安装向导,根据提示进行安装,基本为默认设置
3
安装完成后的访问
在运行ACS的主机上,通过桌面上的ACS Admin 网页图标,可以访问ACSweb格式的管理台。也可以通过网页浏览器输入地址:http://127.0.0.1:2002 来访问ACS
注:
l Windows Xp不支持cisco ACS,在此笔者是在虚机中的windows2003sever下安装的
l ACS安装完成后,一定要安装JAVA平台,否则该ACS将不能正常使用,笔者在此安装的是jre-6u12-windows-i586-p-s.exe,版本为JRE 版本 1.6.0_12 Java HotSpot(TM)
三、 ACS的配置
1
设置ACS管理员帐号
Step 1>
点击ACS界面左边的Administration control 按钮 ,然后点击Administrator control界面中的Add Administrator
clip_image002
Step 2>
点击Add administrator 后出现此账户的诸多选项,逐一填写后点击Submit
clip_image003
Step3>
设置了管理员后就可以通过web界面登录到ACS服务器对ACS进行配置
如:http://10.10.10.110:2002
2
ACS网络设置(添加Tacacs+客户端
Step1>
点击ACS界面的Network Configuration按钮 ,出现网络配置界面,然后点击Add Entry,
clip_image004
Step2>
添加Tacacs+客户端(ACS中必须指定Tacacs+客户端的名字、IP地址、key
clip_image005
3
Tacacs+设置
Step1>
点击ACS界面左边Interface configuration 按钮 ,选择TACACS+ (Cisco IOS)
clip_image006
Step2>
根据个人具体应用,在Tacacs+相关项目中打勾(如果没有将tacacs+相关项目选中,则在用户组/用户属性中将不会出现tacacs+相关项目)
clip_image007
clip_image008
4
设备端tacacs+服务器的指定
cisco设备端用以下命令指定ACS tacacs+服务器
R1(config)# tacacs-server host 10.10.10.110
R1(config)# tacacs-server directed-request
R1(config)# tacacs-server key xinhua
5
添加用户组
Step1>
ACS界面左边点击Group Setup
clip_image009
Step2>
在下拉列表中选取某个组,给这个组重命名,接着选择Edit setting进入组的属性配置
Step3>
在组的enable option 中的Max privilege for any AAA Client设置组的级别
6
添加用户
Step1>
ACS界面的左边点击user setup 按钮
clip_image010
Step2>
user方框中填写用户名,然后点击ADD/Edit
Step3>
在出现的用户属性中逐一填写
clip_image011
Step4>
选择用户属于哪个用户组
clip_image012
Step5>
选择用户属于的级别(可以定义单个用户级别,也可以和所属的用户组级别一样)
clip_image013
Step6>
设置用户的enable 密码
clip_image014
好的,到这里基本配置就算是配完了,接下来我们来演示一下AAA功能的实现
四、 ACS功能设置
1
ACS认证
a)
在设备端定义tacacs+服务器地址以及key
R1(config)# tacacs-server host 10.10.10.110
R1(config)# tacacs-server directed-request
R1(config)# tacacs-server key xinhua
b)
ACS端定义设备的IP地址(参考ACS基本配置)
c)
ACS上面建立用户名和用户组
d)
在设备端配置AAA认证
R1(config)# enable secret 123 ‘
定义enable密码
R1(config)# username abc password 456 ‘
定义本地数据库
R1(config)# aaa new-model     ‘
启用AAA认证
R1(config)# aaa authentication login default group tacacs+ local ‘
设置登陆验证默认为采用先ACS服务器再本地验证(当ACS服务器不可达才用本地数据库验证)
R1(config)# aaa authentication enable default group tacacs+ enable ‘
设置enable进入特权模式默认为采用先ACS服务器再本地enable设置的密码
R1(config)# line vty 0 4
R1(config)# login authentication default ‘
设置telnet登陆采用前面定义的default
e)
验证
l telnet登陆:telnet 10.10.10.100,输入ACS服务器的用户名和密码,登陆成功,用本地数据库用户名和密码登陆失败(因为根据前面设置,R1首先会去ACS服务器进行验证,当ACS服务器不可达时,才会用本地数据库验证)
clip_image015
我们可以试着断开ACS与路由的连接,然后再进行登陆,这时则必须用本地数据库验证,也就是用户名为abc 密码为456
l enable进入特权测试
clip_image016
此时输入特权模式密码为ACS服务器上的密码,而非本地路由的enable密码
2
ACS授权
ACS
中可以通过设置用户组/用户的级别privilege来实现不同用户登录设备后可用的命令的不同,也可以通过使用ACS的命令授权来实现不同用户登录设备的可用命令条目,以下介绍ACS的命令授权
Step1>
ACS的界面左边的share profile components按钮
clip_image017
Step2>
点击shell command authorization sets
clip_image018

Cisco ASA packet-tracer防火墙巨有效的排错命令

No Comments CISCO , ,

Packet-Tracer
New Reader Tip: Troubleshooting Access Problems Using Packet-Tracer
Troubleshooting access problems through a firewall is often very difficult, especially when speed to resolution is critical. Errors in long complex ACLs can be
easily overlooked, and access failures caused by NAT, IDS, and routing make the problem even more difficult.
Cisco has released an incredible new feature in ASA software version 7.2(1) that virtually eliminates the guesswork. Packet-tracer allows a firewall administrator to
inject a virtual packet into the security appliance and track the flow from ingress to egress. Along the way, the packet is evaluated against flow and route lookups,
ACLs, protocol inspection, NAT, and IDS. The power of the utility comes from the ability to simulate real-world traffic by specifying source and destination addresses
with protocol and port information.
Packet-tracer is available both from the CLI and in the ASDM. The ASDM version even includes animation (the value of which is questionable, but it is fun to watch),
and the ability to navigate quickly to a failed policy.
Here is the CLI syntax:
packet-tracer input [src_int] protocol src_addr src_port dest_addr dest_port [detailed] [xml]
A few examples of truncated output show some of the most useful features. Not only does the tool show the result of an ACL evaluation, but also the specific
ACE that either permits or denies the packet, including a hit on the implicit deny.
asaTestlab# "packet-tracer input inside tcp 10.1.1.1 1024 10.4.1.1 23"
Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside in interface inside access-list inside extended permit ip any 10.4.1.0 255.255.255.0
Additional Information:
asaTestlab# "packet-tracer input inside tcp 10.1.1.1 1024 10.4.2.1 5282"
Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: DROP
Config:
access-group inside in interface inside access-list inside extended deny tcp any host 10.4.2.1 eq 5282
Additional Information:
Evaluations of other elements of the config are similarly specific. Here is an example with nat-control enabled but without proper address translation defined:
asaTestlab# "packet-tracer input DMZ tcp 10.2.1.1 1024 10.4.2.1 http"
Phase: 7
Type: NAT
Subtype:
Result: DROP
Config:
nat (DMZ) 0 access-list NoNAT
nat-control
match ip DMZ any outside any
no translation group, implicit deny
policy_hits = 1
--------------------------------------------
实例,在PIX515E,OS7.2上配置remote access vpn,配置好了用vpn client连接,正常,但怎么也ping不通防火墙内网的IP地址,
这时看cliet statistics的discard的包很多,sent bytes很多,received byte为0,decrypted 为0,可以判断是包过去了,但回不来,
但出在哪个地方呢,看配置文件一条一条看很烦的,也不容易查找问题,这时用packet-tracer 模拟一个包从外口进来到内口的数据包处理过程,
Pix1(config)# packet-tracer input outside tcp 172.16.70.200 1024 172.16.10 23
———————–模拟outside接口的地址172.16.70.200 telnet到inside接口的172.16.10
———————–数据包从outside口进来
Phase: 1
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow
———————–查找路由,OK
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 172.16.100.0 255.255.255.0 inside
———————–检查outside的ACL,OK
Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group 102 in interface outside
access-list 102 extended permit ip any any
Additional Information:
Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 5
Type: CP-PUNT
Subtype:
Result: ALLOW
Config:
Additional Information:
———————–应用ipsec 协议加密,OK,这时应该是数据包从inside到outside发送了
Phase: 6
Type: VPN
Subtype: ipsec-tunnel-flow
Result: ALLOW
Config:
Additional Information:
———————–返回的数据包本应该是ipsec 加密的,这时却被NAT检查,很明显nat 0忘了定义。
Phase: 7
Type: NAT
Subtype: rpf-check
Result: DROP
Config:
nat (inside) 0 access-list vpnl2l_list
nat (inside) 1 access-list 101
nat-control
match ip inside any outside any
dynamic translation to pool 1 (58.248.27.57)
translate_hits = 75970, untranslate_hits = 87806
Additional Information:
———————–最后的结果是drop
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule