Cisco Network part 10 pps

Cấu hình SSH client để kết nối đến PIX Bước 1 : cài đặt SSH client software vào PC Bước 2 : chọn setting từ Edit menu : Error.. Trong hostname field nhập IP address của PIX , username fi

Bài Viết Về PIX FIREWALL

Tác giả: Nguyễn Thị Băng Tâm

Chương 3: CẤU HÌNH PIX VỚI SSH Error!

1 Cấu hình hostname và domain name cho PIX để tạo ra RSA key

pixfirewall(config)# hostname PIX

PIX(config)# domain-name cisco.com

2 Cấu hình cho interface e1 :

PIX(config)# int e1 auto

PIX(config)# ip address inside 192.168.1.1 255.255.255.0

PIX(config)# exit

PIX# ping inside 192.168.1.2

192.168.1.2 response received 0ms

192.168.1.2 response received 0ms

192.168.1.2 response received 0ms

Tạo ra cặp RSA key và lưu các key này vào Flash :

PIX(config)# ca generate rsa key 123456 2048

For <key_modulus_size> >= 1024, key generation could take up to several minutes Please wait

3 Kiểm tra RSA public key vừa tạo :

PIX(config)# sh ca mypubkey rsa

% Key pair was generated at: 21:36:01 UTC Mar 10 2005

Key name: PIX.cisco.com

Usage: General Purpose Key

Key Data:

30820122 300d0609 2a864886 f70d0101 01050003 82010f00 3082010a 02820101

00b164bb 78da41b9 9b785ef3 806869da 42ef8df9 2e07039b 2b0d97dd 2fea856f

3a7c69fb c6ca8053 e11d50be 77ef63a3 b3449f71 99e4626a 3b6d21a1 0ef4aa63

0f0be998 13554e86 99eaf444 993e3c7e 828b24bd f5364037 764b6eaa f2706c28

0f688057 7b1a7704 06aef687 9a799369 a9face11 dbd9c719 a494da4f 2e0adaa3

e648fa63 c8eec049 27523b78 85262db5 64c9efe5

16632db8 85811fac e6f1f971

e012c745 874dd6c6 437e01e2 4e8651e1 7926bdb4 95312e3c f6f2d167 b78ef8aa

d0cc548f bc88b236 62bd29f6 02b4d17c 28aeb44b 718e5a84 85d3bd76 563b676a

45b93eb8 6dd7d9db 6b688e9f a163357a 4913f2e8 7e07ba25 9b42bcd1 9a15b93e

7f020301 0001

4 Sau khi tạo được key cần phải lưu key vào Flash nếu không thì có thể xóa key trong lần reload tới

PIX(config)# ca save all

5 Chỉ ra host nào được phép đến SSH

PIX(config)# ssh 192.168.1.1 255.255.255.255 inside PIX(config)# ssh timeout 60

6 Đặt password enable và password telnet

PIX(config)# passwd vnpro

PIX(config)# enable password cisco

7 Cấu hình SSH client để kết nối đến PIX

Bước 1 : cài đặt SSH client software vào PC

Bước 2 : chọn setting từ Edit menu :

Error!

Bước 3 : click vào Connection từ list dưới Profile setting

Trong hostname field nhập IP address của PIX , username field nhập PIX , trong authentication methods chọn password

Error!

Bước 4 : click vào Cipher List Không đánh dấu tất cả các cipher ngoại trừ một cipher mà ta sẽ sử dụng Khi cipher

đã được chọn , sử dụng mũi tên UP để đưa cipher mà ta chọn lên đầu tiên

Error!

Bước 5 : để tránh việc phải điền thông tin mỗi lần sử dụng SSH client , chọn Save Setting từ File menu

Bước 6 : chọn Quick Connect để kết nôí , điền thông tin vào các field

Error!

Xuất hiện một bảng warning , chọn Yes

Error!

Nếu lần đầu tiên kết nối đến PIX với SSH , ta phải trao đổi Public Key cho nhau để mã hóa session SSH client

sẽ đưa ra dấu nhắc , click YES để lưu Public Key của PIX đến local database :

Error!

Bước 7 : Sau khi đã lưu xong key , SSH client yêu cầu nhập password telnet

Sau khi nhập telnet password xong nếu thành công ta sẽ vào được PIX Khi đó kết nối bảo mật đến pix đã được tạo ra , lúc này ta có thể quản lí pix qua SSH connection

Error!

Trong quá trình tạo SSH connection đến PIX , sử dụng

debug ssh command để quan sát

PIX# debug ssh

SSH debugging on

SSH: Device opened successfully

SSH: host key initialised

SSH: license supports 3DES: 3

SSH: license supports DES: 3

SSH0: SSH client: IP = '192.168.1.2' interface # = 1 SSH0: starting SSH control process

SSH0: Exchanging versions - SSH-1.5-Cisco-1.25

SSH0: send SSH message: outdata is NULL

SSH0: receive SSH message: 83 (83)

SSH0: client version is - SSH-1.5-3.2.9 (compat mode) SSH0: begin server key generation

SSH0: complete server key generation, elapsed time =

330 ms

SSH0: declare what cipher(s) we support: 0x00 0x00 0x00 0x0c

SSH0: send SSH message: SSH_SMSG_PUBLIC_KEY (2)

SSH0: SSH_SMSG_PUBLIC_KEY message sent

SSH_CMSG_SESSION_KEY (3)

SSH0: SSH_CMSG_SESSION_KEY message received - msg type 0x03, length 272

SSH0: client requests 3DES cipher: 3

SSH0: send SSH message: SSH_SMSG_SUCCESS (14) SSH0: keys exchanged and encryption on

SSH: Installing crc compensation attack detector

SSH0: receive SSH message: SSH_CMSG_USER (4) SSH0: authentication request for userid PIX

SSH(PIX): user authen method is 'no AAA', aaa server group ID = 0

SSH0: authentication successful for PIX

Bài Viết Về PIX FIREWALL

Tác giả: Nguyễn Thị Băng Tâm

Chương 4 : CẤU HÌNH AAA TRÊN PIX FIREWALL

Bài Lab cấu hình AAA với PIX

Scenario :

Error!

Địa chỉ của các interface :

E1

209.162.1.1/24 172.16.1.2/24

Cấu hình toàn bộ :

Error!

Cấu hình của PIX :

Pix(config)# sh run

: Saved

:

PIX Version 6.2(2)

nameif ethernet0 outside security0

nameif ethernet1 inside security100

nameif ethernet2 intf2 security10

enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

hostname Pix

fixup protocol ftp 21

fixup protocol http 80

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol ils 389

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol sip 5060

fixup protocol skinny 2000

names

pager lines 24

logging console debugging

interface ethernet0 auto

interface ethernet1 auto

interface ethernet2 auto shutdown

mtu outside 1500

mtu inside 1500

mtu intf2 1500

ip address outside 209.162.1.1 255.255.255.0

ip address inside 172.16.1.2 255.255.255.0

ip address intf2 127.0.0.1 255.255.255.255

ip audit info action alarm

ip audit attack action alarm

global (outside) 1 209.162.1.30

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

route outside 0.0.0.0 0.0.0.0 209.162.1.2 1

no failover

failover timeout 0:00:00

failover poll 15

failover ip address outside 0.0.0.0

failover ip address inside 0.0.0.0

failover ip address intf2 0.0.0.0

pdm history enable

arp timeout 14400

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00