Lab cơ bản cho ASA 5510
Trong bài lab này, ta sẽ cài đặt các tác vụ cơ bản cho một firewall ASA. Các chức năng cơ bản gồm cấu hình cho phép telnet, SSH vào ASA. Cấu hình để ASA gửi các thông điệp log về một Kiwi Syslog server và các khôi phục password cho một ASA.
-Cho phép các máy trong dãy địa chỉ 10.0.1.0/24 của cổng inside của ASA:
#telnet 10.0.1.0 255.255.255.0 inside
Mặc định, ASA không cho các phiên telnet. Ta có thể thực hiện lệnh trên nhiều lần để cho phép các dãy địa chỉ khác nhau telnet vào ASA. Đặt thời gian timeout cho các phiên telnet, đơn vị tính là phút. Thời gian timeout mặc định cho các phiên telnet là 5 phút.
#telnet timeout 10
Đặt password cho các phiên telnet:
#password telnetpass
Thử nghiệm kết quả bằng cách dùng một PC từ cổng inside của ASA, thực hiện telnet vào ASA. Trường hợp thành công khi bạn có thể vào được dấu nhắc CLI của ASA.
Trong trường hợp ta cần xóa các cấu hình liên quan đến telnet, thực hiện lệnh sau:
# clear configure telnet
Thực hiện các bước sau để bật chức năng SSH của ASA, ở chế độ config mode:
-Gán một domain name cho thiết bị. Bước này là bắt buộc do tên domain name thường được dùng trong quá trình tính toán cặp khóa RSA.
#domain-name vnpro.org
-Tạo ra cặp khóa RSA. Giá trị 1024 là số bit được dùng trong tính toán modulus.
#crypto key generate rsa modulus 1024
Lưu giá trị cặp khóa vừa tạo
#write memory
Nếu trong quá trình hoạt động, tên domain-name của thiết bị có thay đổi thì ta phải xóa cặp khóa và xây dựng lại. Câu lệnh để thực hiện tác vụ đó là
Firewall# crypto key zeroize rsa default
Cho phép SSH trên cổng inside
#ssh 10.0.3.0 255.255.255.0 inside
Gán thời gian timeout của các phiên telnet
#ssh timeout 2
Bật chức năng xác thực cho SSH, dùng cơ sở dữ liệu username/password cục bộ trên ASA:
#aaa authentication ssh console LOCAL
Bạn đã hoàn tất việc bật chức năng SSH trên ASA. Lúc này trên ASA tạo username/password để dùng cho quá trình xác thực của ASA. Tạo username/password cho config mode
#username vnpro password vnpro privilege 15
Sau đó, từ một máy trong cổng inside, dùng một phần mềm hỗ trợ SSH như Putty, SecureVRT để SSH vào ASA. Để xem các phiên SSH hiện có dùng các lệnh
# show ssh sessions
#logging logging trap debug
#logging timestamp
#logging device-id hostname
#logging enable
Sau đó, dùng một phần mềm Syslog Server như Kiwi Syslog, cài phần mềm này vào máy tính như một service (As A Service). Thử nghiệm bài lab bằng cách bật một chức năng debug nào đó trong ASA, quan sát các thông điệp log trên máy chủ Kiwi Syslog.
-Tắt ASA, chờ một phút rồi bật nguồn lại.
-Nhấn phím ESC khi trên màn hình hiển thị dòng yêu cầu. "Use BREAK or ESC to interrupt boot." Bạn có khoảng 10 giây để nhấn phím ESC.
Booting system, please wait...
CISCO SYSTEMS
Embedded BIOS Version 1.0(10)0 03/25/05 22:42:05.25
Low Memory: 631 KB
High Memory: 256 MB
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 2578 Host Bridge
00 01 00 8086 2579 PCI-to-PCI Bridge
[device list output omitted]
Evaluating BIOS Options ...
Launch BIOS Extension to setup ROMMON
Cisco Systems ROMMON Version (1.0(10)0) #0: Fri Mar 25 23:02:10 PST
2005
Platform ASA5510
Use BREAK or ESC to interrupt boot.
[ESC pressed here]
Use SPACE to begin boot immediately.
Boot interrupted.
Management0/0
Ethernet auto negotiation timed out.
Interface-4 Link Not Established (check cable).
Default Interface number-4 Not Up
Use ? for help.
rommon #0>
-Chỉnh nội dung thanh ghi config register. Khi bạn được yêu cầu thay đổi giá trị thanh ghi, hãy chọn Yes. Đối với từng câu hỏi được đưa ra, tất cả bạn đều chọn NO, ngoại trừ câu hỏi “ Disable system configuration?” thì bạn chọn Yes.
rommon #0> confreg
Current Configuration Register: 0x00000001
Configuration Summary:
boot default image from Flash
Do you wish to change this configuration? y/n [n]: y
enable boot to ROMMON prompt? y/n [n]:
enable TFTP netboot? y/n [n]:
enable Flash boot? y/n [n]:
select specific Flash image index? y/n [n]:
disable system configuration? y/n [n]: y
go to ROMMON prompt if netboot fails? y/n [n]:
enable passing NVRAM file specs in auto-boot mode? y/n [n]:
disable display of BREAK or ESC key prompt during auto-boot? y/n [n]:
Current Configuration Register: 0x00000040
Configuration Summary:
boot ROMMON
ignore system configuration
Update Config Register (0x40) in NVRAM...
rommon #1>
Nội dung thanh ghi lúc này là 0x00000040.
-Khởi động lại ASA
Rommon>boot
Boot configuration file contains 2 entries.
Loading disk0:/asa800-248-k8.bin... Booting...
Loading...
Processor memory 180940800, Reserved memory: 20971520 (DSOs: 0 +
kernel: 20971520)
[output omitted]
Copyright 1996-2007 by Cisco Systems, Inc.
Restricted Rights Legend
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
Ignoring startup configuration as instructed by configuration register.
INFO: Converting to disk0:/
Type help or '?' for a list of available commands.
ciscoasa>
-Vào chế độ priviledge với password là trống. Chỉ cần nhấn Enter.
ciscoasa> enable
Password:
ciscoasa#
-Khôi phục lại cấu hình, đặt enable password mới:
ciscoasa# copy startup-config running-config
Destination filename [running-config]?
Cryptochecksum (unchanged): e4cd72c3 e3a210b0 cafaccc4 eb376c85
7028 bytes copied in 2.440 secs (3514 bytes/sec)
Firewall#
Firewall# configure terminal
Firewall(config)# password password
Firewall(config)# enable password enablepass
-Khôi phục nội dung thanh ghi
Firewall(config)# config-register ?
configure mode commands/options:
<0x0-0xffffffff> Configuration register value
Firewall(config)# config-register 0x00000001
Firewall(config)#
-Lưu lại cấu hình và khởi động lại ASA
Firewall# copy running-config startup-config
Trong bài lab này, ta sẽ cài đặt các tác vụ cơ bản cho một firewall ASA. Các chức năng cơ bản gồm cấu hình cho phép telnet, SSH vào ASA. Cấu hình để ASA gửi các thông điệp log về một Kiwi Syslog server và các khôi phục password cho một ASA.
- Cấu hình telnet vào ASA:
-Cho phép các máy trong dãy địa chỉ 10.0.1.0/24 của cổng inside của ASA:
#telnet 10.0.1.0 255.255.255.0 inside
Mặc định, ASA không cho các phiên telnet. Ta có thể thực hiện lệnh trên nhiều lần để cho phép các dãy địa chỉ khác nhau telnet vào ASA. Đặt thời gian timeout cho các phiên telnet, đơn vị tính là phút. Thời gian timeout mặc định cho các phiên telnet là 5 phút.
#telnet timeout 10
Đặt password cho các phiên telnet:
#password telnetpass
Thử nghiệm kết quả bằng cách dùng một PC từ cổng inside của ASA, thực hiện telnet vào ASA. Trường hợp thành công khi bạn có thể vào được dấu nhắc CLI của ASA.
Trong trường hợp ta cần xóa các cấu hình liên quan đến telnet, thực hiện lệnh sau:
# clear configure telnet
- Cấu hình SSH cho ASA
Thực hiện các bước sau để bật chức năng SSH của ASA, ở chế độ config mode:
-Gán một domain name cho thiết bị. Bước này là bắt buộc do tên domain name thường được dùng trong quá trình tính toán cặp khóa RSA.
#domain-name vnpro.org
-Tạo ra cặp khóa RSA. Giá trị 1024 là số bit được dùng trong tính toán modulus.
#crypto key generate rsa modulus 1024
Lưu giá trị cặp khóa vừa tạo
#write memory
Nếu trong quá trình hoạt động, tên domain-name của thiết bị có thay đổi thì ta phải xóa cặp khóa và xây dựng lại. Câu lệnh để thực hiện tác vụ đó là
Firewall# crypto key zeroize rsa default
Cho phép SSH trên cổng inside
#ssh 10.0.3.0 255.255.255.0 inside
Gán thời gian timeout của các phiên telnet
#ssh timeout 2
Bật chức năng xác thực cho SSH, dùng cơ sở dữ liệu username/password cục bộ trên ASA:
#aaa authentication ssh console LOCAL
Bạn đã hoàn tất việc bật chức năng SSH trên ASA. Lúc này trên ASA tạo username/password để dùng cho quá trình xác thực của ASA. Tạo username/password cho config mode
#username vnpro password vnpro privilege 15
Sau đó, từ một máy trong cổng inside, dùng một phần mềm hỗ trợ SSH như Putty, SecureVRT để SSH vào ASA. Để xem các phiên SSH hiện có dùng các lệnh
# show ssh sessions
- Cấu hình chức năng logging cho ASA
#logging logging trap debug
#logging timestamp
#logging device-id hostname
#logging enable
Sau đó, dùng một phần mềm Syslog Server như Kiwi Syslog, cài phần mềm này vào máy tính như một service (As A Service). Thử nghiệm bài lab bằng cách bật một chức năng debug nào đó trong ASA, quan sát các thông điệp log trên máy chủ Kiwi Syslog.
- Cách crack password của ASA:
-Tắt ASA, chờ một phút rồi bật nguồn lại.
-Nhấn phím ESC khi trên màn hình hiển thị dòng yêu cầu. "Use BREAK or ESC to interrupt boot." Bạn có khoảng 10 giây để nhấn phím ESC.
Booting system, please wait...
CISCO SYSTEMS
Embedded BIOS Version 1.0(10)0 03/25/05 22:42:05.25
Low Memory: 631 KB
High Memory: 256 MB
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 2578 Host Bridge
00 01 00 8086 2579 PCI-to-PCI Bridge
[device list output omitted]
Evaluating BIOS Options ...
Launch BIOS Extension to setup ROMMON
Cisco Systems ROMMON Version (1.0(10)0) #0: Fri Mar 25 23:02:10 PST
2005
Platform ASA5510
Use BREAK or ESC to interrupt boot.
[ESC pressed here]
Use SPACE to begin boot immediately.
Boot interrupted.
Management0/0
Ethernet auto negotiation timed out.
Interface-4 Link Not Established (check cable).
Default Interface number-4 Not Up
Use ? for help.
rommon #0>
-Chỉnh nội dung thanh ghi config register. Khi bạn được yêu cầu thay đổi giá trị thanh ghi, hãy chọn Yes. Đối với từng câu hỏi được đưa ra, tất cả bạn đều chọn NO, ngoại trừ câu hỏi “ Disable system configuration?” thì bạn chọn Yes.
rommon #0> confreg
Current Configuration Register: 0x00000001
Configuration Summary:
boot default image from Flash
Do you wish to change this configuration? y/n [n]: y
enable boot to ROMMON prompt? y/n [n]:
enable TFTP netboot? y/n [n]:
enable Flash boot? y/n [n]:
select specific Flash image index? y/n [n]:
disable system configuration? y/n [n]: y
go to ROMMON prompt if netboot fails? y/n [n]:
enable passing NVRAM file specs in auto-boot mode? y/n [n]:
disable display of BREAK or ESC key prompt during auto-boot? y/n [n]:
Current Configuration Register: 0x00000040
Configuration Summary:
boot ROMMON
ignore system configuration
Update Config Register (0x40) in NVRAM...
rommon #1>
Nội dung thanh ghi lúc này là 0x00000040.
-Khởi động lại ASA
Rommon>boot
Boot configuration file contains 2 entries.
Loading disk0:/asa800-248-k8.bin... Booting...
Loading...
Processor memory 180940800, Reserved memory: 20971520 (DSOs: 0 +
kernel: 20971520)
[output omitted]
Copyright 1996-2007 by Cisco Systems, Inc.
Restricted Rights Legend
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
Ignoring startup configuration as instructed by configuration register.
INFO: Converting to disk0:/
Type help or '?' for a list of available commands.
ciscoasa>
-Vào chế độ priviledge với password là trống. Chỉ cần nhấn Enter.
ciscoasa> enable
Password:
ciscoasa#
-Khôi phục lại cấu hình, đặt enable password mới:
ciscoasa# copy startup-config running-config
Destination filename [running-config]?
Cryptochecksum (unchanged): e4cd72c3 e3a210b0 cafaccc4 eb376c85
7028 bytes copied in 2.440 secs (3514 bytes/sec)
Firewall#
Firewall# configure terminal
Firewall(config)# password password
Firewall(config)# enable password enablepass
-Khôi phục nội dung thanh ghi
Firewall(config)# config-register ?
configure mode commands/options:
<0x0-0xffffffff> Configuration register value
Firewall(config)# config-register 0x00000001
Firewall(config)#
-Lưu lại cấu hình và khởi động lại ASA
Firewall# copy running-config startup-config
Comment