Giáo Trình CIs+ part 11 pps
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (161.16 KB, 6 trang )
Bài Viết Về PIX FIREWALL
Tác giả: Nguyễn Thị Băng Tâm
Chương 3: CẤU HÌNH PIX VỚI SSH
Error!
1. Cấu hình hostname và domain name cho PIX để tạo ra
RSA key .
pixfirewall(config)# hostname PIX
PIX(config)# domain-name cisco.com
2. Cấu hình cho interface e1 :
PIX(config)# int e1 auto
PIX(config)# ip address inside 192.168.1.1
255.255.255.0
PIX(config)# exit
PIX# ping inside 192.168.1.2
192.168.1.2 response received 0ms
192.168.1.2 response received 0ms
192.168.1.2 response received 0ms
Tạo ra cặp RSA key và lưu các key này vào Flash :
PIX(config)# ca generate rsa key 123456 2048
For <key_modulus_size> >= 1024, key generation
could take up to several minutes. Please wait.
3. Kiểm tra RSA public key vừa tạo :
PIX(config)# sh ca mypubkey rsa
% Key pair was generated at: 21:36:01 UTC Mar 10 2005
Key name: PIX.cisco.com
Usage: General Purpose Key
Key Data:
30820122 300d0609 2a864886 f70d0101 01050003
82010f00 3082010a 02820101
00b164bb 78da41b9 9b785ef3 806869da 42ef8df9
2e07039b 2b0d97dd 2fea856f
3a7c69fb c6ca8053 e11d50be 77ef63a3 b3449f71
99e4626a 3b6d21a1 0ef4aa63
0f0be998 13554e86 99eaf444 993e3c7e 828b24bd
f5364037 764b6eaa f2706c28
0f688057 7b1a7704 06aef687 9a799369 a9face11
dbd9c719 a494da4f 2e0adaa3
e648fa63 c8eec049 27523b78 85262db5 64c9efe5
16632db8 85811fac e6f1f971
e012c745 874dd6c6 437e01e2 4e8651e1 7926bdb4
95312e3c f6f2d167 b78ef8aa
d0cc548f bc88b236 62bd29f6 02b4d17c 28aeb44b
718e5a84 85d3bd76 563b676a
45b93eb8 6dd7d9db 6b688e9f a163357a 4913f2e8
7e07ba25 9b42bcd1 9a15b93e
7f020301 0001
4. Sau khi tạo được key cần phải lưu key vào Flash . nếu
không thì có thể xóa key trong lần reload tới .
PIX(config)# ca save all
5. Chỉ ra host nào được phép đến SSH
PIX(config)# ssh 192.168.1.1 255.255.255.255 inside
PIX(config)# ssh timeout 60
6. Đặt password enable và password telnet
PIX(config)# passwd vnpro
PIX(config)# enable password cisco
7. Cấu hình SSH client để kết nối đến PIX
Bước 1 : cài đặt SSH client software vào PC
Bước 2 : chọn setting từ Edit menu :
Error!
Bước 3 : click vào Connection từ list dưới Profile setting .
Trong hostname field nhập IP address của PIX ,
username field nhập PIX , trong authentication methods
chọn password
Error!
Bước 4 : click vào Cipher List . Không đánh dấu tất cả các
cipher ngoại trừ một cipher mà ta sẽ sử dụng . Khi cipher
đã được chọn , sử dụng mũi tên UP để đưa cipher mà ta
chọn lên đầu tiên .
Error!
Bước 5 : để tránh việc phải điền thông tin mỗi lần sử dụng
SSH client , chọn Save Setting từ File menu .
Bước 6 : chọn Quick Connect để kết nôí , điền thông tin
vào các field
Error!
Xuất hiện một bảng warning , chọn
Yes
Error!
Nếu lần đầu tiên kết nối đến PIX với SSH , ta phải trao
đổi Public Key cho nhau để mã hóa session . SSH client
sẽ đưa ra dấu nhắc , click YES để lưu Public Key của PIX
đến local database :
Error!
Bước 7 : Sau khi đã lưu xong key , SSH client yêu cầu
nhập password telnet .
Sau khi nhập telnet password xong nếu thành công ta sẽ
vào được PIX . Khi đó kết nối bảo mật đến pix đã được
tạo ra , lúc này ta có thể quản lí pix qua SSH connection
Error!
Trong quá trình tạo SSH connection đến PIX , sử dụng
debug ssh command để quan sát .
PIX# debug ssh
SSH debugging on
SSH: Device opened successfully.
SSH: host key initialised
SSH: license supports 3DES: 3
SSH: license supports DES: 3
SSH0: SSH client: IP = '192.168.1.2' interface # = 1
SSH0: starting SSH control process
SSH0: Exchanging versions - SSH-1.5-Cisco-1.25
SSH0: send SSH message: outdata is NULL
SSH0: receive SSH message: 83 (83)
SSH0: client version is - SSH-1.5-3.2.9 (compat mode)
SSH0: begin server key generation
SSH0: complete server key generation, elapsed time =
330 ms
SSH0: declare what cipher(s) we support:
0x00 0x00 0x00 0x0c
SSH0: send SSH message: SSH_SMSG_PUBLIC_KEY
(2)
SSH0: SSH_SMSG_PUBLIC_KEY message sent
SSH0: receive SSH message:
SSH_CMSG_SESSION_KEY (3)
SSH0: SSH_CMSG_SESSION_KEY message received -
msg type 0x03, length 272
SSH0: client requests 3DES cipher: 3
SSH0: send SSH message: SSH_SMSG_SUCCESS (14)
SSH0: keys exchanged and encryption on
SSH: Installing crc compensation attack detector.
SSH0: receive SSH message: SSH_CMSG_USER (4)
SSH0: authentication request for userid PIX
SSH(PIX): user authen method is 'no AAA', aaa server
group ID = 0
SSH0: authentication successful for PIX
Bài Viết Về PIX FIREWALL
Tác giả: Nguyễn Thị Băng Tâm
Chương 4 : CẤU HÌNH AAA TRÊN PIX
FIREWALL
Bài Lab cấu hình AAA với PIX
Scenario :
Error!
Địa chỉ của các interface :
Device Interface Address
PIX E0
E1
209.162.1.1/24
172.16.1.2/24
Router E0 209.162.1.2/24
PC 172.16.1.1/24
Cấu hình toàn bộ :
Error!
Cấu hình của PIX :
Pix(config)# sh run
: Saved
:
PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname Pix
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
pager lines 24
logging console debugging
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
mtu outside 1500
mtu inside 1500
mtu intf2 1500
ip address outside 209.162.1.1 255.255.255.0
ip address inside 172.16.1.2 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
ip audit info action alarm
ip audit attack action alarm
global (outside) 1 209.162.1.30
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 209.162.1.2 1
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
pdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00
