Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Lab 1: Firewall fundamentals

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Lab 1: Firewall fundamentals

    Lab cơ bản cho ASA 5510

    Trong bài lab này, ta sẽ cài đặt các tác vụ cơ bản cho một firewall ASA. Các chức năng cơ bản gồm cấu hình cho phép telnet, SSH vào ASA. Cấu hình để ASA gửi các thông điệp log về một Kiwi Syslog server và các khôi phục password cho một ASA.
    • Cấu hình telnet vào ASA:
    Ở chế độ config-mode của ASA, dùng các lệnh sau:

    -Cho phép các máy trong dãy địa chỉ 10.0.1.0/24 của cổng inside của ASA:

    #telnet 10.0.1.0 255.255.255.0 inside

    Mặc định, ASA không cho các phiên telnet. Ta có thể thực hiện lệnh trên nhiều lần để cho phép các dãy địa chỉ khác nhau telnet vào ASA. Đặt thời gian timeout cho các phiên telnet, đơn vị tính là phút. Thời gian timeout mặc định cho các phiên telnet là 5 phút.

    #telnet timeout 10

    Đặt password cho các phiên telnet:
    #password telnetpass

    Thử nghiệm kết quả bằng cách dùng một PC từ cổng inside của ASA, thực hiện telnet vào ASA. Trường hợp thành công khi bạn có thể vào được dấu nhắc CLI của ASA.

    Trong trường hợp ta cần xóa các cấu hình liên quan đến telnet, thực hiện lệnh sau:

    # clear configure telnet
    • Cấu hình SSH cho ASA
    Bình thường ASA hỗ trợ 5 phiên SSH. SSH dùng TCP port 22. SSH có giao diện giống như telnet nhưng có nhiều chức năng bảo mật hơn. ASA có hỗ trợ cả hai version của SSH là SSH v1 và SSH v2. So với SSHv1, SSHv2 có thêm các chức năng về mã hóa và đảm bảo toàn vẹn dữ liệu.

    Thực hiện các bước sau để bật chức năng SSH của ASA, ở chế độ config mode:
    -Gán một domain name cho thiết bị. Bước này là bắt buộc do tên domain name thường được dùng trong quá trình tính toán cặp khóa RSA.

    #domain-name vnpro.org

    -Tạo ra cặp khóa RSA. Giá trị 1024 là số bit được dùng trong tính toán modulus.
    #crypto key generate rsa modulus 1024

    Lưu giá trị cặp khóa vừa tạo
    #write memory

    Nếu trong quá trình hoạt động, tên domain-name của thiết bị có thay đổi thì ta phải xóa cặp khóa và xây dựng lại. Câu lệnh để thực hiện tác vụ đó là
    Firewall# crypto key zeroize rsa default

    Cho phép SSH trên cổng inside
    #ssh 10.0.3.0 255.255.255.0 inside

    Gán thời gian timeout của các phiên telnet
    #ssh timeout 2

    Bật chức năng xác thực cho SSH, dùng cơ sở dữ liệu username/password cục bộ trên ASA:

    #aaa authentication ssh console LOCAL

    Bạn đã hoàn tất việc bật chức năng SSH trên ASA. Lúc này trên ASA tạo username/password để dùng cho quá trình xác thực của ASA. Tạo username/password cho config mode

    #username vnpro password vnpro privilege 15

    Sau đó, từ một máy trong cổng inside, dùng một phần mềm hỗ trợ SSH như Putty, SecureVRT để SSH vào ASA. Để xem các phiên SSH hiện có dùng các lệnh

    # show ssh sessions
    • Cấu hình chức năng logging cho ASA
    #logging host inside 10.0.3.11
    #logging logging trap debug
    #logging timestamp
    #logging device-id hostname
    #logging enable

    Sau đó, dùng một phần mềm Syslog Server như Kiwi Syslog, cài phần mềm này vào máy tính như một service (As A Service). Thử nghiệm bài lab bằng cách bật một chức năng debug nào đó trong ASA, quan sát các thông điệp log trên máy chủ Kiwi Syslog.
    • Cách crack password của ASA:
    -Kết nối vào cổng console của ASA
    -Tắt ASA, chờ một phút rồi bật nguồn lại.
    -Nhấn phím ESC khi trên màn hình hiển thị dòng yêu cầu. "Use BREAK or ESC to interrupt boot." Bạn có khoảng 10 giây để nhấn phím ESC.

    Booting system, please wait...
    CISCO SYSTEMS
    Embedded BIOS Version 1.0(10)0 03/25/05 22:42:05.25
    Low Memory: 631 KB
    High Memory: 256 MB
    PCI Device Table.
    Bus Dev Func VendID DevID Class Irq
    00 00 00 8086 2578 Host Bridge
    00 01 00 8086 2579 PCI-to-PCI Bridge
    [device list output omitted]
    Evaluating BIOS Options ...
    Launch BIOS Extension to setup ROMMON
    Cisco Systems ROMMON Version (1.0(10)0) #0: Fri Mar 25 23:02:10 PST
    2005
    Platform ASA5510
    Use BREAK or ESC to interrupt boot.
    [ESC pressed here]
    Use SPACE to begin boot immediately.
    Boot interrupted.
    Management0/0
    Ethernet auto negotiation timed out.
    Interface-4 Link Not Established (check cable).
    Default Interface number-4 Not Up
    Use ? for help.
    rommon #0>

    -Chỉnh nội dung thanh ghi config register. Khi bạn được yêu cầu thay đổi giá trị thanh ghi, hãy chọn Yes. Đối với từng câu hỏi được đưa ra, tất cả bạn đều chọn NO, ngoại trừ câu hỏi “ Disable system configuration?” thì bạn chọn Yes.

    rommon #0> confreg
    Current Configuration Register: 0x00000001
    Configuration Summary:
    boot default image from Flash
    Do you wish to change this configuration? y/n [n]: y
    enable boot to ROMMON prompt? y/n [n]:
    enable TFTP netboot? y/n [n]:
    enable Flash boot? y/n [n]:
    select specific Flash image index? y/n [n]:
    disable system configuration? y/n [n]: y
    go to ROMMON prompt if netboot fails? y/n [n]:
    enable passing NVRAM file specs in auto-boot mode? y/n [n]:
    disable display of BREAK or ESC key prompt during auto-boot? y/n [n]:
    Current Configuration Register: 0x00000040
    Configuration Summary:
    boot ROMMON
    ignore system configuration
    Update Config Register (0x40) in NVRAM...
    rommon #1>

    Nội dung thanh ghi lúc này là 0x00000040.

    -Khởi động lại ASA

    Rommon>boot


    Boot configuration file contains 2 entries.
    Loading disk0:/asa800-248-k8.bin... Booting...
    Loading...
    Processor memory 180940800, Reserved memory: 20971520 (DSOs: 0 +
    kernel: 20971520)
    [output omitted]
    Copyright 1996-2007 by Cisco Systems, Inc.
    Restricted Rights Legend
    Use, duplication, or disclosure by the Government is
    subject to restrictions as set forth in subparagraph
    (c) of the Commercial Computer Software - Restricted
    Rights clause at FAR sec. 52.227-19 and subparagraph
    (c) (1) (ii) of the Rights in Technical Data and Computer
    Software clause at DFARS sec. 252.227-7013.
    Cisco Systems, Inc.
    170 West Tasman Drive
    San Jose, California 95134-1706
    Ignoring startup configuration as instructed by configuration register.
    INFO: Converting to disk0:/
    Type help or '?' for a list of available commands.
    ciscoasa>

    -Vào chế độ priviledge với password là trống. Chỉ cần nhấn Enter.

    ciscoasa> enable
    Password:
    ciscoasa#

    -Khôi phục lại cấu hình, đặt enable password mới:

    ciscoasa# copy startup-config running-config
    Destination filename [running-config]?
    Cryptochecksum (unchanged): e4cd72c3 e3a210b0 cafaccc4 eb376c85
    7028 bytes copied in 2.440 secs (3514 bytes/sec)
    Firewall#

    Firewall# configure terminal
    Firewall(config)# password password
    Firewall(config)# enable password enablepass

    -Khôi phục nội dung thanh ghi

    Firewall(config)# config-register ?
    configure mode commands/options:
    <0x0-0xffffffff> Configuration register value
    Firewall(config)# config-register 0x00000001
    Firewall(config)#

    -Lưu lại cấu hình và khởi động lại ASA

    Firewall# copy running-config startup-config
    Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/

  • #2
    Thầy cho em hỏi sao em cấu hình ASDM ko được? em đã bật http cho ASA rồi, đã cấu hình hết rồi nhưng truy cập qua web ko được. ASDM chỉ có thể kết nối với cổng Ethernet hay Management chứ console là ko kết nối được ASDM hả thầy?

    Comment

    Working...
    X