დავალება იყო დასახული
სერვერებისა და მომხმარებლების მუშაობის საშუალება მისცეს ლოკალური ქსელისაწარმოები.
სერვერები თეთრია
(ინტერნეტ ტიპი 62.xxx) მისამართები და მუშაობა
მომხმარებლის მონაცემები გადაეცემა
სერვერებს აქვთ ორი ქსელის ბარათი: ერთი ლოკალურ ქსელშია, მეორე ინტერნეტში და კონტროლდება ლოკალური ქსელის მეშვეობით. ამიტომ, ადგილობრივი ქსელიდან DMZ-ზე წვდომა არ არის კონფიგურირებული, რადგან ეს არ არის საჭირო.
ნიმუშის კონფიგურაცია მოცემულია ქვემოთ.
ASA ვერსია 8.2 (1)
დომენი. საჭიროა SSH-სთვის
დომენის სახელი strui.ru
ჩართვის პაროლი.
პაროლის ჩართვა 4aeeoLOxxxxxxjMx დაშიფრულია
passwd k0a6sN9ExxxxxxxxzV დაშიფრულია
ინტერფეისის აღწერა ინტერნეტში
ინტერფეისი Ethernet0/0
აღწერა ინტერნეტი
უსაფრთხოების დონე 0
IP მისამართი 213.xxx.xxx.194 255.255.255.240
ინტერფეისის აღწერა, რომელიც გამოიყურება ლოკალურ ქსელში
ინტერფეისი Ethernet0/1
აღწერა ადგილობრივი
უსაფრთხოების დონე 100
IP მისამართი 10.10.10.20 255.255.255.0
ინტერფეისის აღწერა სერვერების ქსელში (DMZ)
ინტერფეისი Ethernet0/2
უსაფრთხოების დონე 50
IP მისამართი 62.xxx.xxx.177 255.255.255.240
ეს ინტერფეისი გამორთულია
ინტერფეისი Ethernet0/3
უსაფრთხოების დონე არ არის
ეს ინტერფეისი გამორთულია (არ არის მიბმული ლოკალურ ქსელთან). Გამოიყენება
Cisco-ს საწყისი დაყენება
ინტერფეისის მართვა 0/0
სახელის მენეჯმენტი
უსაფრთხოების დონე 100
IP მისამართი 192.168.1.1 255.255.255.0
ftp რეჟიმი პასიური
დააყენეთ ზონა და დრო. საჭიროა ჟურნალებისთვის.
საათის დროის ზონა MSK/MDD 3
საათი ზაფხულის დროით MSK/MDD განმეორებადი გასულ კვირას მარტის 2:00 გასულ მზე ოქტომბერს 3:00
dns სერვერის ჯგუფი DefaultDNS
დემილიტორიზებული ზონის სერვერებზე წვდომის სია. შემომავალი ტრაფიკი.
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.180 eq www
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.180 eq ftp
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.180 eq ftp-data
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.181 eq www
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.181 eq ftp
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.181 eq ftp-data
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.178 eq დომენი
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.179 eq smtp
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.179 eq pop3
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.179 eq imap4
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.184 eq 8081
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.184 eq www
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.185 eq www
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.186 eq ftp
Access-list acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.186 eq ftp-data
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.186 eq www
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.189 eq www
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.179 eq დომენი
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.179 eq https
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.182 eq smtp
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.182 eq pop3
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.182 eq imap4
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.184 eq rtsp
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.187 eq www
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.188 eq www
წვდომის სია სერვერებისთვის DMZ-დან. გამავალი ტრაფიკი.
წვდომის სია acl_out_dmz გაფართოებული ნებართვა tcp ნებისმიერი
წვდომის სია acl_out_dmz გაფართოებული ნებართვა udp ნებისმიერი
წვდომის სია acl_out_dmz გაფართოებული ნებართვა icmp ნებისმიერი
წვდომის სია acl_out_dmz გაფართოებული უარყოფა tcp ჰოსტი 62.xxx.19.76 ჰოსტი 213.xxx.36.194 eq 135
Access-list acl_out_dmz გაფართოებული უარყოფა tcp ჰოსტი 87.xxx.95.11 ჰოსტი 213.xxx.36.194 eq ftp
წვდომის სია ადგილობრივი ქსელის მომხმარებლებისთვის.
ყველაფერი ნებადართულია გამავალი ტრაფიკისთვის.
წვდომის სია acl_out_inside გაფართოებული ნებართვა tcp 10.10.10.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა tcp 10.10.20.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა tcp 10.10.40.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა tcp 10.10.50.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა tcp 10.10.110.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა icmp 10.10.10.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა icmp 10.10.110.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა icmp 10.10.20.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა icmp 10.10.50.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა udp 10.10.10.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა udp 10.10.20.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა udp 10.10.110.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა udp 10.10.50.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა udp 10.10.40.0 255.255.255.0 ნებისმიერი
ჟურნალის დაყენება
ჟურნალის დროის შტამპი
ხის ხაფანგის შეტყობინებები
შესვლა asdm საინფორმაციო
შესვლა ჰოსტი შიგნით 10.10.10.4
mtu 1500-ის გარეთ
mtu მართვა 1500
icmp მიუწვდომელი სიხშირე-ლიმიტი 1 burst-size 1
asdm ისტორია არ არის ჩართული
arp timeout 14400
გლობალური პარამეტრი
გლობალური (გარედან) 1 ინტერფეისი
NAT-ის დაყენება ლოკალური ქსელისთვის
nat (შიგნით) 1 0.0.0.0 0.0.0.0
სტატიკური სერვერების დაყენება
nat (dmz) 0 0.0.0.0 0.0.0.0
სტატიკური (dmz, გარეთ) 62.xxx.xxx.180 62.xxx.xxx.180 ქსელის ნიღაბი 255.255.255.255
სტატიკური (dmz, გარეთ) 62.xxx.xxx.181 62.xxx.xxx.181 ქსელის ნიღაბი 255.255.255.255
სტატიკური (dmz, გარეთ) 62.xxx.xxx.178 62.xxx.xxx.178 ქსელის ნიღაბი 255.255.255.255
სტატიკური (dmz, გარეთ) 62.xxx.xxx.179 62.xxx.xxx.179 ქსელის ნიღაბი 255.255.255.255
სტატიკური (dmz, გარეთ) 62.xxx.xxx.184 62.xxx.xxx.184 ქსელის ნიღაბი 255.255.255.255
სტატიკური (dmz, გარეთ) 62.xxx.xxx.185 62.xxx.xxx.185 ქსელის ნიღაბი 255.255.255.255
სტატიკური (dmz, გარეთ) 62.xxx.xxx.186 62.xxx.xxx.186 ქსელის ნიღაბი 255.255.255.255
სტატიკური (dmz, გარეთ) 62.xxx.xxx.189 62.xxx.xxx.189 ქსელის ნიღაბი 255.255.255.255
სტატიკური (dmz, გარეთ) 62.xxx.xxx.187 62.xxx.xxx.187 ქსელის ნიღაბი 255.255.255.255
სტატიკური (dmz, გარეთ) 62.xxx.xxx.188 62.xxx.xxx.188 ქსელის ნიღაბი 255.255.255.255
ჩვენ ვაკავშირებთ წვდომის სიას წვდომის ჯგუფის საშუალებით ინტერფეისებთან.
წვდომის ჯგუფი acl_in_dmz ინტერფეისში გარეთ
access-group acl_out_inside ინტერფეისში შიგნით
წვდომის ჯგუფი acl_out_dmz ინტერფეისში dmz
ჩვენ ვარეგისტრირებთ მარშრუტიზაციას ინტერფეისებისთვის.
მარშრუტი გარეთ 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
მარშრუტი შიგნით 10.10.20.0 255.255.255.0 10.10.10.10 1
მარშრუტი შიგნით 10.10.40.0 255.255.255.0 10.10.10.10 1
მარშრუტი შიგნით 10.10.50.0 255.255.255.0 10.10.10.10 1
მარშრუტი შიგნით 10.10.110.0 255.255.255.0 10.10.10.10 1
ტაიმაუტი xlate 3:00:00
ტაიმაუტი conn 1:00:00 ნახევრად დახურული 0:10:00 udp 0:02:00 icmp 0:00:02
დროის ამოწურვა sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
დროის ამოწურვა sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
დროის ამოწურვა sip-provisional-media 0:02:00 uauth 0:05:00 აბსოლუტური
დროის ამოწურვა tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
ჩვენ ვუშვებთ მუშაობას WEB სახეზე ლოკალური ქსელიდან.
http სერვერის ჩართვა
http 10.10.10.0 255.255.255.0 შიგნით
არ არის snmp სერვერის მდებარეობა
snmp-სერვერის კონტაქტი არ არის
snmp-სერვერის ჩართვის ხაფანგები
კრიპტო ipsec უსაფრთხოების ასოციაციის სიცოცხლის ხანგრძლივობა წამი 28800
კრიპტო ipsec უსაფრთხოების ასოციაციის სიცოცხლის ხანგრძლივობა კილობაიტი 4608000
ჩვენ ვაძლევთ საშუალებას telnet-ს და ssh-ს იმუშაონ ლოკალურ ქსელში.
ტელნეტი 10.10.10.0 255.255.255.0 შიგნით
ტელნეტის ვადა 5
ssh 10.10.10.0 255.255.255.0 შიგნით
ssh 10.10.10.71 255.255.255.255 შიგნით
კონსოლის დროის ამოწურვა 0
dhcpd მისამართი 192.168.1.2-192.168.1.254 მართვა
საფრთხის გამოვლენის ძირითადი საფრთხე
საფრთხის აღმოჩენის სტატისტიკის ხელმისაწვდომობის სია
არ არის საფრთხის გამოვლენის სტატისტიკა tcp-intercept
დროის სერვერი და მომხმარებელი WEB muzzle-ისთვის.
ntp სერვერის 10.10.10.3 წყარო შიგნით
მომხმარებლის სახელი ადმინისტრატორის პაროლი trAp5eVxxxxxxnv დაშიფრული პრივილეგია 15
class-map inspection_default
ემთხვევა default-inspection-traffic
Policy-map ტიპის შემოწმება dns preset_dns_map
შეტყობინების სიგრძე მაქსიმუმ 512
პოლიტიკის რუკა გლობალური_პოლიტიკა
კლასის შემოწმება_ნაგულისხმევი
შეამოწმეთ dns preset_dns_map
შეამოწმეთ h323 h225
შეამოწმეთ h323 ras
სერვის-პოლიტიკა გლობალური_პოლიტიკა გლობალური
სწრაფი ჰოსტის სახელის კონტექსტი
Cryptochecksum:58da28923df5a5f8d5192125f9b1796f
ამ სტატიაში ჩვენ განვმარტავთ, თუ როგორ უნდა გადავიტანოთ Cisco ASA 5500 ბუხარელებიდან (ASA 5510, ASA 5520, ASA 5540 და ASA 5550) უფრო თანამედროვე ASA 5500-X-ზე (5512-X, 5515-X, 5525-X, 55). X, 5555-X), რა წინასწარი მომზადება იქნება საჭირო, რა პუნქტებს უნდა მივაქციოთ ყურადღება.
აქ არის მიახლოებითი კორესპონდენცია ამ ორი ხაზის მოწყობილობებს შორის გადასვლისთვის.
იმისთვის, რომ მიგრაცია მოხდეს სწრაფად და უპრობლემოდ, საჭიროა ფრთხილად მოემზადოთ ამისთვის - შეამოწმოთ, დაკმაყოფილებულია თუ არა მოთხოვნები აპარატურის და პროგრამული უზრუნველყოფის შესახებ.
ჩვენ ვამოწმებთ შემდეგს:
თქვენ დაგჭირდებათ შემდეგი ნაბიჯები Cisco 500 სერიიდან მიგრაციისთვის მოსამზადებლად:
ალტერნატიულად, შეგიძლიათ გამოიყენოთ ვებ-ზე დაფუძნებული NAT მიგრაციის ინსტრუმენტი, დაუკავშირდეთ TAC-ს ან მომხმარებელთა მხარდაჭერას. ეს ხელსაწყო საშუალებას გაძლევთ წარმოადგინოთ არსებული კონფიგურაცია ადგილობრივი კომპიუტერიდან დასამუშავებლად, შემდეგ შეასრულოთ ტრანსფორმაციები და ბოლოს მიაწოდოთ მომხმარებელს განახლებული კონფიგურაცია, რომელიც შეიძლება უბრალოდ დაკოპირდეს და შეინახოს ფაილში. ამ ხელსაწყოს გამოყენებამდე, გთხოვთ, ყურადღებით წაიკითხოთ მისი შეზღუდვები.
ბუნებრივია, ახალი მოწყობილობების არქიტექტურა გარკვეულწილად განსხვავებულია. ვიზუალურად, შეგიძლიათ შეამჩნიოთ შემდეგი განსხვავებები:
ამ განსხვავებების გამო, თქვენ მოგიწევთ ხელით შეცვალოთ რამდენიმე რამ 5500 სერიის კონფიგურაციის ფაილში. დეტალებისთვის იხილეთ ქვემოთ.
ASA 5500-ის ყველა წარმომადგენელს აქვს გიგაბიტის პორტები, მათი კონფიგურაცია უკვე რეგისტრირებულია და არაფრის შეცვლა არ არის საჭირო. გამონაკლისი არის ASA 5510 SecPlus ლიცენზიის გარეშე, სადაც ასეთი პორტი არ არის. ამიტომ, თუ კონფიგურაციას გადავიტანთ 5510-დან, ჩვენ უნდა შევცვალოთ ინტერფეისების და ქვეინტერფეისების ყველა სახელი, რათა აისახოს, რომ ახალ მოწყობილობას აქვს გიგაბიტის პორტები.
აქ არის მაგალითი იმისა, თუ როგორ კეთდება ეს (გადის 5510-დან 5515-X-მდე).
ASA 5510 კონფიგურაცია
! ფიზიკური ინტერფეისი
ინტერფეისი Ethernet0/1
სახელის გარეშე
უსაფრთხოების დონე არ არის
არ არის IP მისამართი
არ გამორთვა
! ქვეინტერფეისების შექმნა E0/1 ინტერფეისზე (ორი ლოგიკური ქსელი)
ინტერფეისი Ethernet0/1.120
vlan 1222
სახელი fw-out
უსაფრთხოების დონე 50
ASA 5515-X რეკონფიგურაცია
! ფიზიკური ინტერფეისი
ინტერფეისი GigabitEthernet0/1
სახელის გარეშე
უსაფრთხოების დონე არ არის
არ არის IP მისამართი
არ გამორთვა
! ქვეინტერფეისების შექმნა G0/1 ინტერფეისზე (ორი ლოგიკური ქსელი)
ინტერფეისი GigabitEthernet0/1.1201
vlan 1222
სახელი fw-out
უსაფრთხოების დონე 50
IP მისამართი 172.16.61.1 255.255.255.0
ASA 5500-X პლატფორმაში მნიშვნელოვანი განსხვავებაა ის, რომ IPS და firewall სერვისებს აქვთ საერთო მართვის პორტი, მაგრამ მისი გამოყენება სხვა მიზნით არ შეიძლება. გთხოვთ გაითვალისწინოთ, რომ გადასვლის შემდეგ შეუძლებელი იქნება მისი გამოყენება მონაცემთა პორტად ან მაღალი წვდომის მქონე კონფიგურაციის ელემენტად (5500 სერიაში ეს შესაძლებელი იყო). თუ ეს გააკეთეთ წინა პლატფორმაზე, დარწმუნდით, რომ გადაიტანეთ ამ მენეჯმენტის პორტის კონფიგურაციის პარამეტრები ერთ-ერთ გიგაბიტის მონაცემთა პორტში G0/3-ზე მეტი რიცხვით მიგრაციისას. ქვემოთ მოცემულია, თუ როგორ კეთდება ეს ASA 5520-დან ASA 5525-X-ზე მიგრაციის მაგალითის გამოყენებით.
ASA 5520 კონფიგურაცია
ინტერფეისის მართვა 0/0
სახელის გარეშე
უსაფრთხოების დონე არ არის
არ არის IP მისამართი
არა მხოლოდ მენეჯმენტი
არ არის გამორთვა!
! ქვეინტერფეისები M0/0 ინტერფეისზე
ინტერფეისის მენეჯმენტი0/0.120
vlan 1222
სახელი fw-out
უსაფრთხოების დონე 50
IP მისამართი 172.16.61.1 255.255.255.0
ASA 5515-X კონფიგურაცია
! გამოყოფილი მართვის ინტერფეისი
ინტერფეისის მართვა 0/0
სახელის გარეშე
უსაფრთხოების დონე არ არის
არ არის IP მისამართი
მხოლოდ მენეჯმენტი
არ გამორთვა
! მართვის ინტერფეისი გადავიდა GigabitEthernet0/3-ში
ინტერფეისი GigabitEthernet0/3
სახელის გარეშე
უსაფრთხოების დონე არ არის
არ არის IP მისამართი
არ გამორთვა
! ქვეინტერფეისები G0/3 ინტერფეისზე
ინტერფეისი GigabitEthernet0/3.1201
vlan 1222
სახელი fw-out
უსაფრთხოების დონე 50
IP მისამართი 172.16.61.1 255.255.255.0
Cisco ASA 5500-ს არ აქვს GigabitEthernet0/3 ინტერფეისი, ამიტომ უფრო გვიანდელ ვერსიაზე განახლებისას, კონფიგურაციები არ უნდა ეწინააღმდეგებოდეს ერთმანეთს.
ანალოგიურად, თუ ადრე იყენებდით მართვის ინტერფეისს მარცხის კონფიგურაციისთვის, გადაიტანეთ იგი ახალ, გამოუყენებელ 5500-X ინტერფეისზე.
როგორ მოვახდინოთ ASA და IPS სერვისების სწორად მიგრაცია? აქ რამდენიმე ვარიანტია, რადგან, როგორც ზემოთ აღვნიშნეთ, IPS სერვისებს და 5500-X-ში არსებულ ფაირვოლს ახლა აქვთ ერთი საერთო მართვის პორტი, ხოლო ადრე ისინი იყენებდნენ განსხვავებულს. , გირჩევთ, ყურადღებით შეისწავლოთ ისინი და აირჩიოთ შესაბამისი.
უშუალოდ IPS კონფიგურაციის ფაილის ხელით გადაცემისას, თქვენ არ დაგჭირდებათ არაფრის შეცვლა, თუ დაასრულეთ ზემოთ აღწერილი ყველა საჭირო მომზადება. ყოველ შემთხვევაში, ორჯერ შეამოწმეთ, რომ მართვის პორტი სწორად არის კონფიგურირებული.
არ დაგავიწყდეთ, რომ IPS გააქტიურებულია ორ ეტაპად, რისთვისაც დაგჭირდებათ ლიცენზია არა მხოლოდ ASA მოწყობილობის, არამედ თავად IPS სერვისისთვისაც.
როგორც ხედავთ, ASA 5500 სერიის მოწყობილობებიდან ASA 5500-X-ზე მიგრაცია რამდენიმე ეტაპად ხდება, ზოგიერთი მათგანი ავტომატიზირებულია, ნაწილი კი ხელით უნდა განხორციელდეს.
ჩვენ შევეცადეთ აღვწეროთ ძირითადი ნაბიჯები, რა თანმიმდევრობით უნდა გავაკეთოთ ეს და რას უნდა მიაქციოთ ყურადღება, რომ გადასვლის შემდეგ ახალმა აღჭურვილობამ სწორად იმუშაოს და შეასრულოს მისთვის დაკისრებული ფუნქციები.
ამ ნაწილში განვიხილავთ ROMMON-ში მუშაობას.
ROMMON-თან მუშაობა უფრო გადაუდებელი სამუშაოა.
ტიპიური ავარიები არის დაზიანებული ან შეცდომით წაშლილი OS სურათი, ან როდესაც მათ უბრალოდ დაავიწყდათ პაროლი.
თუ ჩვენ გვინდა ამ სიტუაციის სიმულაცია, ჩვენ წავშლით OS ფაილს და ასევე აღვადგენთ კონფიგურაციას:
კონფიგურაცია ქარხნული ნაგულისხმევი
ჩვენ კონსოლით ვართ დაკავშირებული ASA-სთან.
ჩვენ გადავდივართ ROMMON რეჟიმში - ტაიმერის დროს დააჭირეთ Esc.
! rommon: ინტერფეისი ethernet0/0 მისამართი 10.0.0.1 სერვერი 10.0.0.2 ფაილი asa842-k8.bin tftpdnld
ამ შემთხვევაში, ASA ჩატვირთავს OS-ს პირდაპირ tftp-დან და ჩვენ გვექნება კონტროლი მოწყობილობაზე უკვე "ნორმალური" რეჟიმში.
ამ რეჟიმში ჩატვირთვის შემდეგ, ჩართვის პაროლი ცარიელი იქნება (დააჭირეთ Enter)
ჩვენ გავაკეთებთ შემდგომ პარამეტრებს სქემის მიხედვით:
ასე რომ, სქემის შესაბამისად, ჩვენ დავაკონფიგურირებთ შიდა ინტერფეისს:
ინტერფეისი gigabitethernet 2 უსაფრთხოების დონის 100 nameif შიგნით IP მისამართი 192.168.2.253 255.255.255.0 გამორთვა არ არის
აქ ინტერფეისში ჩვენ ვაყენებთ შემდეგ პარამეტრებს:
უსაფრთხოების დონე 100- ვინაიდან ეს ინტერფეისი შიდაა, ჩვენ მას უსაფრთხოების უმაღლეს დონეზე ვაყენებთ, ე.ი. ჩვენ მას ყველაზე მეტად ვენდობით.
სახელი შიგნით- განისაზღვრა სახელი ინტერფეისისთვის. ეს მნიშვნელოვანი პარამეტრია, რადგან ეს სახელი ხშირად იქნება გამოყენებული შემდგომ პარამეტრებში.
IP მისამართის შემოწმება:
შეგიძლიათ შეამოწმოთ IP მისამართის პარამეტრები ინტერფეისებზე:
აჩვენე run-config ip
ან პინგი:
სხვათა შორის, ცოტა რამ კონსოლის შესახებ:
ცარიელი კონფიგურაციით, პაროლი ჩართვაცარიელი - უბრალოდ დააჭირეთ Enter.
როგორც ცნობილია ბრძანების როუტერზე შოუშესაძლებელია მხოლოდ შეყვანა პრივილეგირებული რეჟიმი. თუ ჩვენ ვართ კონფიგურაციის რეჟიმიმაშინ უნდა მიეცეს ბრძანება აჩვენე.
ASA-ს შემთხვევაში, show ბრძანება იმუშავებს ნებისმიერ რეჟიმში.
ბრძანების შესრულების შეწყვეტა (მაგ. გაშვების კონფიგურაციის ჩვენება) შეიძლება გაკეთდეს ღილაკით " ქ".
ჩატვირთვის სისტემის ფლეშ:/asa914-5-k8.bin
ამ ბრძანების გარეშე, პირველი ხელმისაწვდომი სურათი იტვირთება. ოპერაციული სისტემა.
სურათის შემოწმება ჩასატვირთად:
ჩვენ ვსაყვედურობთ
ასე რომ, ჩვენ დავრწმუნდით, რომ შიდა ინტერფეისი სწორად არის კონფიგურირებული და პინგიც გადის.
ახლა ჩვენ გვაქვს სრულად კონფიგურირებული კავშირი შიდა ქსელთან და ახლა შეგვიძლია დავაკონფიგურიროთ მართვის უნარი Მართვაჩვენი ASA.
ASA მენეჯმენტი შეიძლება განხორციელდეს რამდენიმე გზით:
ჩვენს კონკრეტულ შემთხვევაში, როდესაც ვმუშაობთ GNS3-თან, ვიყენებთ თავსებადებს ერთმანეთთან და GNS3-თან:
ASA ვერსია 8.4 (2)
ASDM ვერსია 6.4 (3)
იმისათვის, რომ ASDM იმუშაოს, ჩვენ ასევე დავაკოპირებთ მის ფაილს ფლეშში:
asdm გამოსახულების ფლეშ:/asdm-643.bin
ASDM სამუშაო სურათის შემოწმება:
შეჯამებისთვის, ASA-მ სწორად იმუშაოს, ფლეშზე უნდა იყოს ორი ფაილი:
შეიყვანეთ ჰოსტის სახელი:
დააყენეთ ჩართვის პაროლი
პაროლის ჩართვა mysecretpassword
ჩვენ ვქმნით ადმინისტრატორ მომხმარებელს და ვააქტიურებთ ავტორიზაციას ადგილობრივი მონაცემთა ბაზის მეშვეობით SSH და HTTP მეთოდებისთვის.
მომხმარებლის სახელი asaadmin პაროლი ადმინისტრატორის პაროლის პრივილეგია 15 aaa ავთენტიფიკაცია ssh კონსოლი LOCAL aaa ავტორიზაცია http კონსოლი LOCAL
აქ, სხვათა შორის, ტელნეტისთვის ააა. ამ შემთხვევაში, telnet-ის პირველადი პაროლი განისაზღვრება ბრძანებით:
ჩვენ ვქმნით RSA კლავიშს, რომელიც საჭიროა SSH-ის მუშაობისთვის:
კრიპტო გასაღები გენერირება rsa modulus 1024
იმისათვის, რომ ASDM იმუშაოს, ჩართეთ https მხარდაჭერა:
http სერვერის ჩართვა http 192.168.2.0 255.255.255.0 შიგნით ssh 192.168.2.0 255.255.255.0 შიგნით
აქ პირველი ბრძანება რთავს სერვერს, მეორე კი განსაზღვრავს ვის უნდა დაუშვას.
როგორც მოგეხსენებათ, HTTPS სამუშაოდ მოითხოვს სერთიფიკატს. ამ შემთხვევაში ASA გამოიყენებს . ეს ნიშნავს, რომ ყოველი გადატვირთვისას სერთიფიკატი ხელახლა გენერირებული იქნება.
ზოგადად, ჩვენ შეგვიძლია დავაკონფიგურიროთ 3 ტიპის სერთიფიკატი ASA-სთვის:
ამას მოგვიანებით დავუბრუნდებით.
მოხერხებულობისთვის, მოდით გავზარდოთ დრო SSH-ისთვის:
HTTP, SSH, TELNET პარამეტრების შემოწმება
გაშვების კონფიგურაციის ჩვენება ააა აჩვენე გაშვებული კონფიგურაცია http აჩვენე run-config ssh აჩვენე run-config telnet
ASA ვერსია 8.2 (1)
!
!Cisco სახელი
მასპინძლის სახელი asa
!დომენი. საჭიროა SSH-სთვის
დომენის სახელი strui.ru
!პაროლი ჩართვისთვის.
პაროლის ჩართვა 4aeeoLOxxxxxxjMx დაშიფრულია
passwd k0a6sN9ExxxxxxxxzV დაშიფრულია
სახელები
! ინტერფეისის აღწერა ინტერნეტში.
ინტერფეისი Ethernet0/0
აღწერა ინტერნეტი
სახელი თუ გარეთ
უსაფრთხოების დონე 0
IP მისამართი 213.xxx.xxx.194 255.255.255.240
! ინტერფეისის აღწერა, რომელიც გამოიყურება ლოკალურ ქსელში.
ინტერფეისი Ethernet0/1
აღწერა ადგილობრივი
სახელი შიგნით
უსაფრთხოების დონე 100
IP მისამართი 10.10.10.20 255.255.255.0
!
! ინტერფეისის აღწერა სერვერების ქსელში (DMZ)
ინტერფეისი Ethernet0/2
აღწერა DMZ
nameif dmz
უსაფრთხოების დონე 50
IP მისამართი 62.xxx.xxx.177 255.255.255.240
!ეს ინტერფეისი გამორთულია
ინტერფეისი Ethernet0/3
გათიშვა
სახელის გარეშე
უსაფრთხოების დონე არ არის
არ არის IP მისამართი
!ეს ინტერფეისი გამორთულია (არ არის მიბმული ლოკალურ ქსელთან). Გამოიყენება
!თავდაპირველი წყობა Cisco
ინტერფეისის მართვა 0/0
სახელის მენეჯმენტი
უსაფრთხოების დონე 100
IP მისამართი 192.168.1.1 255.255.255.0
მხოლოდ მენეჯმენტი
!
ftp რეჟიმი პასიური
! დააყენეთ ზონა და დრო. საჭიროა ჟურნალებისთვის.
საათის დროის ზონა MSK/MDD 3
საათი ზაფხულის დროით MSK/MDD განმეორებადი გასულ კვირას მარტის 2:00 გასულ მზე ოქტომბერს 3:00
dns სერვერის ჯგუფი DefaultDNS
! დემილიტორიზებული ზონის სერვერებზე წვდომის სია. შემომავალი ტრაფიკი.
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.180 eq www
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.180 eq ftp
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.180 eq ftp-data
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.181 eq www
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.181 eq ftp
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.181 eq ftp-data
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.178 eq დომენი
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.179 eq smtp
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.179 eq pop3
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.179 eq imap4
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.184 eq 8081
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.184 eq www
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.185 eq www
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.186 eq ftp
Access-list acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.186 eq ftp-data
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.186 eq www
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.189 eq www
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.179 eq დომენი
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.179 eq https
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.182 eq smtp
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.182 eq pop3
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.182 eq imap4
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.184 eq rtsp
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.187 eq www
წვდომის სია acl_in_dmz გაფართოებული ნებართვა tcp ნებისმიერი ჰოსტი 62.xxx.xxx.188 eq www
! წვდომის სია სერვერებისთვის DMZ-დან. გამავალი ტრაფიკი.
წვდომის სია acl_out_dmz გაფართოებული ნებართვა tcp ნებისმიერი
წვდომის სია acl_out_dmz გაფართოებული ნებართვა udp ნებისმიერი
წვდომის სია acl_out_dmz გაფართოებული ნებართვა icmp ნებისმიერი
წვდომის სია acl_out_dmz გაფართოებული უარყოფა tcp ჰოსტი 62.xxx.19.76 ჰოსტი 213.xxx.36.194 eq 135
Access-list acl_out_dmz გაფართოებული უარყოფა tcp ჰოსტი 87.xxx.95.11 ჰოსტი 213.xxx.36.194 eq ftp
!LAN მომხმარებლებისთვის წვდომის სია.
! ყველაფერი ნებადართულია გამავალი ტრაფიკისთვის.
წვდომის სია acl_out_inside გაფართოებული ნებართვა tcp 10.10.10.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა tcp 10.10.20.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა tcp 10.10.40.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა tcp 10.10.50.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა tcp 10.10.110.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა icmp 10.10.10.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა icmp 10.10.110.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა icmp 10.10.20.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა icmp 10.10.50.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა udp 10.10.10.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა udp 10.10.20.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა udp 10.10.110.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა udp 10.10.50.0 255.255.255.0 ნებისმიერი
წვდომის სია acl_out_inside გაფართოებული ნებართვა udp 10.10.40.0 255.255.255.0 ნებისმიერი
! ჟურნალის დაყენება
ჟურნალის ჩართვა
ჟურნალის დროის შტამპი
ხის ხაფანგის შეტყობინებები
შესვლა asdm საინფორმაციო
შესვლა ჰოსტი შიგნით 10.10.10.4
mtu 1500-ის გარეთ
mtu შიგნით 1500
mtu dmz 1500
mtu მართვა 1500
არა მარცხი
icmp მიუწვდომელი სიხშირე-ლიმიტი 1 burst-size 1
asdm ისტორია არ არის ჩართული
arp timeout 14400
! გლობალური პარამეტრი
გლობალური (გარედან) 1 ინტერფეისი
! NAT-ის დაყენება ლოკალური ქსელისთვის
nat (შიგნით) 1 0.0.0.0 0.0.0.0
! სტატიკური სერვერების დაყენება
nat (dmz) 0 0.0.0.0 0.0.0.0
სტატიკური (dmz, გარეთ) 62.xxx.xxx.180 62.xxx.xxx.180 ქსელის ნიღაბი 255.255.255.255
სტატიკური (dmz, გარეთ) 62.xxx.xxx.181 62.xxx.xxx.181 ქსელის ნიღაბი 255.255.255.255
სტატიკური (dmz, გარეთ) 62.xxx.xxx.178 62.xxx.xxx.178 ქსელის ნიღაბი 255.255.255.255
სტატიკური (dmz, გარეთ) 62.xxx.xxx.179 62.xxx.xxx.179 ქსელის ნიღაბი 255.255.255.255
სტატიკური (dmz, გარეთ) 62.xxx.xxx.184 62.xxx.xxx.184 ქსელის ნიღაბი 255.255.255.255
სტატიკური (dmz, გარეთ) 62.xxx.xxx.185 62.xxx.xxx.185 ქსელის ნიღაბი 255.255.255.255
სტატიკური (dmz, გარეთ) 62.xxx.xxx.186 62.xxx.xxx.186 ქსელის ნიღაბი 255.255.255.255
სტატიკური (dmz, გარეთ) 62.xxx.xxx.189 62.xxx.xxx.189 ქსელის ნიღაბი 255.255.255.255
სტატიკური (dmz, გარეთ) 62.xxx.xxx.187 62.xxx.xxx.187 ქსელის ნიღაბი 255.255.255.255
სტატიკური (dmz, გარეთ) 62.xxx.xxx.188 62.xxx.xxx.188 ქსელის ნიღაბი 255.255.255.255
! ჩვენ ვაკავშირებთ წვდომის სიას წვდომის ჯგუფის საშუალებით ინტერფეისებთან.
წვდომის ჯგუფი acl_in_dmz ინტერფეისში გარეთ
access-group acl_out_inside ინტერფეისში შიგნით
წვდომის ჯგუფი acl_out_dmz ინტერფეისში dmz
! ჩვენ ვარეგისტრირებთ მარშრუტიზაციას ინტერფეისებისთვის.
მარშრუტი გარეთ 0.0.0.0 0.0.0.0 213.xxx.xxx.193 1
მარშრუტი შიგნით 10.10.20.0 255.255.255.0 10.10.10.10 1
მარშრუტი შიგნით 10.10.40.0 255.255.255.0 10.10.10.10 1
მარშრუტი შიგნით 10.10.50.0 255.255.255.0 10.10.10.10 1
მარშრუტი შიგნით 10.10.110.0 255.255.255.0 10.10.10.10 1
ტაიმაუტი xlate 3:00:00
ტაიმაუტი conn 1:00:00 ნახევრად დახურული 0:10:00 udp 0:02:00 icmp 0:00:02
დროის ამოწურვა sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
დროის ამოწურვა sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
დროის ამოწურვა sip-provisional-media 0:02:00 uauth 0:05:00 აბსოლუტური
დროის ამოწურვა tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
! ჩვენ ვუშვებთ მუშაობას WEB სახეზე ლოკალური ქსელიდან.
http სერვერის ჩართვა
http 10.10.10.0 255.255.255.0 შიგნით
არ არის snmp სერვერის მდებარეობა
snmp-სერვერის კონტაქტი არ არის
snmp-სერვერის ჩართვის ხაფანგები
კრიპტო ipsec უსაფრთხოების ასოციაციის სიცოცხლის ხანგრძლივობა წამი 28800
კრიპტო ipsec უსაფრთხოების ასოციაციის სიცოცხლის ხანგრძლივობა კილობაიტი 4608000
! ჩვენ ვაძლევთ საშუალებას telnet-ს და ssh-ს იმუშაონ ლოკალურ ქსელში.
ტელნეტი 10.10.10.0 255.255.255.0 შიგნით
ტელნეტის ვადა 5
ssh 10.10.10.0 255.255.255.0 შიგნით
ssh 10.10.10.71 255.255.255.255 შიგნით
ssh ვადა 30
კონსოლის დროის ამოწურვა 0
dhcpd მისამართი 192.168.1.2-192.168.1.254 მართვა
!
საფრთხის გამოვლენის ძირითადი საფრთხე
საფრთხის აღმოჩენის სტატისტიკის ხელმისაწვდომობის სია
არ არის საფრთხის გამოვლენის სტატისტიკა tcp-intercept
! დროის სერვერი და მომხმარებელი WEB muzzle-ისთვის.
ntp სერვერის 10.10.10.3 წყარო შიგნით
webvpn
მომხმარებლის სახელი ადმინისტრატორის პაროლი trAp5eVxxxxxxnv დაშიფრული პრივილეგია 15
!
class-map inspection_default
ემთხვევა default-inspection-traffic
!
!
Policy-map ტიპის შემოწმება dns preset_dns_map
პარამეტრები
შეტყობინების სიგრძე მაქსიმუმ 512
პოლიტიკის რუკა გლობალური_პოლიტიკა
კლასის შემოწმება_ნაგულისხმევი
შეამოწმეთ dns preset_dns_map
შეამოწმეთ ftp
შეამოწმეთ h323 h225
შეამოწმეთ h323 ras
შეამოწმეთ rsh
შეამოწმეთ rtsp
შეამოწმეთ ესმტპ
შეამოწმეთ sqlnet
შეამოწმეთ გამხდარი
შეამოწმეთ sunrpc
შეამოწმეთ xdmcp
შეამოწმეთ sip
შეამოწმეთ ნეტბიოსი
შეამოწმეთ tftp
!
სერვის-პოლიტიკა გლობალური_პოლიტიკა გლობალური
სწრაფი ჰოსტის სახელის კონტექსტი
Cryptochecksum:
: დასასრული