Bước 4: Từ giao diện màn hình chính, nhấn Quick Connect và thực hiện lần lượt như sau: Xuất hiện một bảng Warning , chọn Yes Nếu lần đầu tiên kết nối đến PIX với SSH phải trao đổi Public
Trang 1Truy cập PIX thông qua Secure Shell
Secure Shell (SSH) là một ứng dụng chạy trên TCP, SSH cung cấp khả năng mã hóa và
chứng thực mạnh PIX hỗ trợ truy cập từ xa thông qua SSH ver1 Cùng một lúc cho phép tối đa 5 SSH client đồng thời truy cập vào PIX Firewall Bài lab này hướng dẫn sử dụng SSH truy cập đến PIX Firewall
Hình vẽ
Các bước thực hiện
Cấu hình trên pixfirewall
Bước 1: Đặt địa chỉ IP cho interface e1
pixfirewall(config)# int e1 auto
pixfirewall(config)# ip address inside 192.168.1.1 255.255.255.0
pixfirewall(config)# exit
pixfirewall# ping inside 192.168.1.2
192.168.1.2 response received — 0ms
192.168.1.2 response received — 0ms
192.168.1.2 response received — 0ms
Bước 2: Cấu hình hostname và domain name
pixfirewall(config)# hostname PIX
PIX(config)# domain-name cisco.com
Bước 3: Tạo ra cặp RSA key
PIX(config)#ca generate rsa key 1024
For <key_modulus_size> >= 1024, key generation could take up to several minutes Please wait…
Bước 4: Lưu cặp RSA key vừa tạo vào Flash, kiểm tra cặp public key vừa tạo ra :
PIX(config)#ca save all
Để kiểm tra cặp RSA key vừa mới tạo ra,
PIX(config)# sh ca mypubkey rsa
% Key pair was generated at: 21:36:01 UTC Mar 10 2005
Key name: PIX.cisco.com
Usage: General Purpose Key
Key Data:
30820122 300d0609 2a864886 f70d0101 01050003 82010f00 3082010a 02820101
Trang 200b164bb 78da41b9 9b785ef3 806869da 42ef8df9 2e07039b 2b0d97dd 2fea856f
Bước 5: Chỉ ra host nào được quyền truy cập đến PIX thông qua SSH
PIX(config)# ssh 192.168.1.2 255.255.255.255 inside
PIX(config)# ssh timeout 60 àThiết lập thời gian timeout của một session trước khi mất
kết nối,mặc định khoảng thời gian timeout này là 5 phút, có thể cấu hình khoảng thời gian này từ 1à60 phút
Bước 6: Cấu hình password để xác thực trên local
PIX(config)# passwd vnpro
Cấu hình trên PC.
Bước 1: Cài đặt phần mềm SSH client, trong phần thực hành này sử dụng
SSHSecureShellClient-3.2.9.exe
Lưu ý
SSHv1.x và v2 là những protocols độc lập và không tương thích lẫn nhau Chú ý download SSH Client có hỗ trợ SSH v1.x
Bước 2: Chọn Edit\Setting
Trang 3Bước 3: Chọn Profile Settings\Connection
Hostname: nhập IP address của PIX (192.168.1.1) User name: nhập pix (đây là tên mặc định)
Encryption algorithm: chọn 3DES
Trang 4Bước 4: Từ giao diện màn hình chính, nhấn Quick Connect và thực hiện lần lượt như
sau:
Xuất hiện một bảng Warning , chọn Yes
Nếu lần đầu tiên kết nối đến PIX với SSH phải trao đổi Public Key cho nhau để mã hóa session SSH client sẽ đưa ra dấu nhắc , click YES để lưu Public Key của PIX đến local database :
Bước 5: Sau khi đã lưu xong key , SSH client yêu cầu nhập password Sau khi nhập
password xong nếu thành công ta sẽ vào được PIX Khi đó kết nối bảo mật SSH đến pix
đã được tạo ra
Trang 5Trong quá trình tạo SSH connection đến PIX , sử dụng lệnh debug ssh để quan sát
PIX# debug ssh
SSH debugging on
SSH: Device opened successfully
SSH: host key initialised
SSH: license supports 3DES: 3
SSH: license supports DES: 3
SSH0: SSH client: IP = ‘192.168.1.2′ interface # = 1
SSH0: starting SSH control process
SSH0: Exchanging versions - SSH-1.5-Cisco-1.25
SSH0: send SSH message: outdata is NULL
SSH0: receive SSH message: 83 (83)
SSH0: client version is - SSH-1.5-3.2.9 (compat mode)
SSH0: begin server key generation
SSH0: complete server key generation, elapsed time = 330 ms
SSH0: declare what cipher(s) we support: 0×00 0×00 0×00 0×0c
SSH0: send SSH message: SSH_SMSG_PUBLIC_KEY (2)
Trang 6SSH0: SSH_SMSG_PUBLIC_KEY message sent
SSH0: receive SSH message: SSH_CMSG_SESSION_KEY (3)
SSH0: SSH_CMSG_SESSION_KEY message received - msg type 0×03, length 272 SSH0: client requests 3DES cipher: 3
SSH0: send SSH message: SSH_SMSG_SUCCESS (14)
SSH0: keys exchanged and encryption on
SSH: Installing crc compensation attack detector
SSH0: receive SSH message: SSH_CMSG_USER (4)
SSH0: authentication request for userid PIX
SSH(PIX): user authen method is ‘no AAA’, aaa server group ID = 0
SSH0: authentication successful for PIX
Lab 1: Firewall fundamentals
Lab cơ bản cho ASA 5510
Trong bài lab này, ta sẽ cài đặt các tác vụ cơ bản cho một firewall ASA Các chức năng
cơ bản gồm cấu hình cho phép telnet, SSH vào ASA Cấu hình để ASA gửi các thông điệp log về một Kiwi Syslog server và các khôi phục password cho một ASA
• Cấu hình telnet vào ASA:
Ở chế độ config-mode của ASA, dùng các lệnh sau:
-Cho phép các máy trong dãy địa chỉ 10.0.1.0/24 của cổng inside của ASA:
#telnet 10.0.1.0 255.255.255.0 inside
Mặc định, ASA không cho các phiên telnet Ta có thể thực hiện lệnh trên nhiều lần để cho phép các dãy địa chỉ khác nhau telnet vào ASA Đặt thời gian timeout cho các phiên telnet, đơn vị tính là phút Thời gian timeout mặc định cho các phiên telnet là 5 phút
#telnet timeout 10
Đặt password cho các phiên telnet:
#password telnetpass
Thử nghiệm kết quả bằng cách dùng một PC từ cổng inside của ASA, thực hiện telnet vào ASA Trường hợp thành công khi bạn có thể vào được dấu nhắc CLI của ASA Trong trường hợp ta cần xóa các cấu hình liên quan đến telnet, thực hiện lệnh sau:
# clear configure telnet
• Cấu hình SSH cho ASA
Bình thường ASA hỗ trợ 5 phiên SSH SSH dùng TCP port 22 SSH có giao diện giống như telnet nhưng có nhiều chức năng bảo mật hơn ASA có hỗ trợ cả hai version của SSH
Trang 7là SSH v1 và SSH v2 So với SSHv1, SSHv2 có thêm các chức năng về mã hóa và đảm bảo toàn vẹn dữ liệu
Thực hiện các bước sau để bật chức năng SSH của ASA, ở chế độ config mode:
-Gán một domain name cho thiết bị Bước này là bắt buộc do tên domain name thường được dùng trong quá trình tính toán cặp khóa RSA
#domain-name vnpro.org
-Tạo ra cặp khóa RSA Giá trị 1024 là số bit được dùng trong tính toán modulus
#crypto key generate rsa modulus 1024
Lưu giá trị cặp khóa vừa tạo
#write memory
Nếu trong quá trình hoạt động, tên domain-name của thiết bị có thay đổi thì ta phải xóa cặp khóa và xây dựng lại Câu lệnh để thực hiện tác vụ đó là
Firewall# crypto key zeroize rsa default
Cho phép SSH trên cổng inside
#ssh 10.0.3.0 255.255.255.0 inside
Gán thời gian timeout của các phiên telnet
#ssh timeout 2
Bật chức năng xác thực cho SSH, dùng cơ sở dữ liệu username/password cục bộ trên ASA:
#aaa authentication ssh console LOCAL
Bạn đã hoàn tất việc bật chức năng SSH trên ASA Lúc này trên ASA tạo
username/password để dùng cho quá trình xác thực của ASA Tạo username/password cho config mode
#username vnpro password vnpro privilege 15
Sau đó, từ một máy trong cổng inside, dùng một phần mềm hỗ trợ SSH như Putty, SecureVRT để SSH vào ASA Để xem các phiên SSH hiện có dùng các lệnh
# show ssh sessions
• Cấu hình chức năng logging cho ASA
#logging host inside 10.0.3.11
#logging logging trap debug
#logging timestamp
#logging device-id hostname
Trang 8#logging enable
Sau đó, dùng một phần mềm Syslog Server như Kiwi Syslog, cài phần mềm này vào máy tính như một service (As A Service) Thử nghiệm bài lab bằng cách bật một chức năng debug nào đó trong ASA, quan sát các thông điệp log trên máy chủ Kiwi Syslog
• Cách crack password của ASA:
-Kết nối vào cổng console của ASA
-Tắt ASA, chờ một phút rồi bật nguồn lại
-Nhấn phím ESC khi trên màn hình hiển thị dòng yêu cầu "Use BREAK or ESC to
interrupt boot." Bạn có khoảng 10 giây để nhấn phím ESC
Booting system, please wait
CISCO SYSTEMS
Embedded BIOS Version 1.0(10)0 03/25/05 22:42:05.25
Low Memory: 631 KB
High Memory: 256 MB
PCI Device Table
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 2578 Host Bridge
00 01 00 8086 2579 PCI-to-PCI Bridge
[device list output omitted]
Evaluating BIOS Options
Launch BIOS Extension to setup ROMMON
Cisco Systems ROMMON Version (1.0(10)0) #0: Fri Mar 25 23:02:10 PST
2005
Platform ASA5510
Use BREAK or ESC to interrupt boot
[ESC pressed here]
Use SPACE to begin boot immediately
Boot interrupted
Management0/0
Ethernet auto negotiation timed out
Interface-4 Link Not Established (check cable)
Default Interface number-4 Not Up
Use ? for help
rommon #0>
-Chỉnh nội dung thanh ghi config register Khi bạn được yêu cầu thay đổi giá trị thanh ghi, hãy chọn Yes Đối với từng câu hỏi được đưa ra, tất cả bạn đều chọn NO, ngoại trừ câu hỏi “ Disable system configuration?” thì bạn chọn Yes
rommon #0> confreg
Current Configuration Register: 0x00000001
Configuration Summary:
boot default image from Flash
Trang 9Do you wish to change this configuration? y/n [n]: y
enable boot to ROMMON prompt? y/n [n]:
enable TFTP netboot? y/n [n]:
enable Flash boot? y/n [n]:
select specific Flash image index? y/n [n]:
disable system configuration? y/n [n]: y
go to ROMMON prompt if netboot fails? y/n [n]:
enable passing NVRAM file specs in auto-boot mode? y/n [n]:
disable display of BREAK or ESC key prompt during auto-boot? y/n [n]: Current Configuration Register: 0x00000040
Configuration Summary:
boot ROMMON
ignore system configuration
Update Config Register (0x40) in NVRAM
rommon #1>
Nội dung thanh ghi lúc này là 0x00000040
-Khởi động lại ASA
Rommon>boot
Boot configuration file contains 2 entries
Loading disk0:/asa800-248-k8.bin Booting
Loading
Processor memory 180940800, Reserved memory: 20971520 (DSOs: 0 + kernel: 20971520)
[output omitted]
Copyright 1996-2007 by Cisco Systems, Inc
Restricted Rights Legend
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec 252.227-7013
Cisco Systems, Inc
170 West Tasman Drive
San Jose, California 95134-1706
Ignoring startup configuration as instructed by configuration register INFO: Converting to disk0:/
Type help or '?' for a list of available commands
ciscoasa>
-Vào chế độ priviledge với password là trống Chỉ cần nhấn Enter
Trang 10ciscoasa> enable
Password:
ciscoasa#
-Khôi phục lại cấu hình, đặt enable password mới:
ciscoasa# copy startup-config running-config
Destination filename [running-config]?
Cryptochecksum (unchanged): e4cd72c3 e3a210b0 cafaccc4 eb376c85
7028 bytes copied in 2.440 secs (3514 bytes/sec)
Firewall#
Firewall# configure terminal
Firewall(config)# password password
Firewall(config)# enable password enablepass
-Khôi phục nội dung thanh ghi
Firewall(config)# config-register ?
configure mode commands/options:
<0x0-0xffffffff> Configuration register value
Firewall(config)# config-register 0x00000001
Firewall(config)#
-Lưu lại cấu hình và khởi động lại ASA
Firewall# copy running-config startup-config
Secure Shell (SSH) là một ứng dụng chạy trên TCP, SSH cung cấp khả năng mã hóa và chứng thực mạnh PIX hỗ trợ truy cập từ xa thông qua SSH ver1 Cùng một lúc cho phép tối đa 5 SSH client đồng thời truy cập vào PIX Firewall Bài lab này hướng dẫn sử dụng SSH truy cập đến PIX Firewall
Mô hình:
Các bước thực hiện
Cấu hình trên pixfirewall
Bước 1: Đặt địa chỉ IP cho interface e1
Trang 11pixfirewall(config)# int e1 auto
pixfirewall(config)# ip address inside 192.168.1.1 255.255.255.0
pixfirewall(config)# exit
pixfirewall# ping inside 192.168.1.2
192.168.1.2 response received 0ms
192.168.1.2 response received 0ms
192.168.1.2 response received 0ms
Bước 2: Cấu hình hostname và domain name
pixfirewall(config)# hostname PIX
PIX(config)# domain-name cisco.com
Bước 3: Tạo ra cặp RSA key
PIX(config)#ca generate rsa key 1024
For <key_modulus_size> >= 1024, key generation could take up to several minutes Please wait
Bước 4: Lưu cặp RSA key vừa tạo vào Flash, kiểm tra cặp public key vừa tạo ra :
PIX(config)#ca save all
Để kiểm tra cặp RSA key vừa mới tạo ra,
PIX(config)# sh ca mypubkey rsa
% Key pair was generated at: 21:36:01 UTC Mar 10 2005
Key name: PIX.cisco.com
Usage: General Purpose Key
Key Data:
30820122 300d0609 2a864886 f70d0101 01050003 82010f00 3082010a 02820101
00b164bb 78da41b9 9b785ef3 806869da 42ef8df9 2e07039b 2b0d97dd 2fea856f
3a7c69fb c6ca8053 e11d50be 77ef63a3 b3449f71 99e4626a 3b6d21a1 0ef4aa63
0f0be998 13554e86 99eaf444 993e3c7e 828b24bd f5364037 764b6eaa f2706c28
0f688057 7b1a7704 06aef687 9a799369 a9face11 dbd9c719 a494da4f 2e0adaa3
e648fa63 c8eec049 27523b78 85262db5 64c9efe5 16632db8 85811fac e6f1f971
e012c745 874dd6c6 437e01e2 4e8651e1 7926bdb4 95312e3c f6f2d167 b78ef8aa
d0cc548f bc88b236 62bd29f6 02b4d17c 28aeb44b 718e5a84 85d3bd76 563b676a
45b93eb8 6dd7d9db 6b688e9f a163357a 4913f2e8 7e07ba25 9b42bcd1 9a15b93e
7f020301 0001
Bước 5: Chỉ ra host nào được quyền truy cập đến PIX thông qua SSH
PIX(config)# ssh 192.168.1.2 255.255.255.255 inside
PIX(config)# ssh timeout 60 //Thiết lập thời gian timeout của một session trước khi mất kết nối,mặc định khoảng thời gian timeout này là 60 phút.◊5 phút, có thể cấu hình khoảng thời gian này từ 1
Bước 6: Cấu hình password để xác thực trên local
Trang 12PIX(config)# passwd vnpro
Cấu hình trên PC.
Bước 1: Cài đặt phần mềm SSH client, trong phần thực hành này sử dụng
SSHSecureShellClient-3.2.9.exe
Lưu ý
SSHv1.x và v2 là những protocols độc lập và không tương thích lẫn nhau Chú ý
download SSH Client có hỗ trợ SSH v1.x
Bước 2: Chọn Edit\Setting
Bước 3: Chọn Profile Settings\Connection
Hostname: nhập IP address của PIX (192.168.1.1)
User name: nhập pix (đây là tên mặc định)
Encryption algorithm: chọn 3DES
Bước 4: Từ giao diện màn hình chính, nhấn Quick Connect và thực hiện lần lượt như
sau:
Xuất hiện một bảng Warning , chọn Yes
Nếu lần đầu tiên kết nối đến PIX với SSH phải trao đổi Public Key cho nhau để mã hóa session SSH client sẽ đưa ra dấu nhắc , click YES để lưu Public Key của PIX đến local database :
Bước 5: Sau khi đã lưu xong key , SSH client yêu cầu nhập password Sau khi nhập
password xong nếu thành công ta sẽ vào được PIX Khi đó kết nối bảo mật SSH đến pix
đã được tạo ra
Trong quá trình tạo SSH connection đến PIX , sử dụng lệnh debug ssh để quan sát
PIX# debug ssh
SSH debugging on
Trang 13SSH: Device opened successfully.
SSH: host key initialised
SSH: license supports 3DES: 3
SSH: license supports DES: 3
SSH0: SSH client: IP = '192.168.1.2' interface # = 1
SSH0: starting SSH control process
SSH0: Exchanging versions - SSH-1.5-Cisco-1.25
SSH0: send SSH message: outdata is NULL
SSH0: receive SSH message: 83 (83)
SSH0: client version is - SSH-1.5-3.2.9 (compat mode)
SSH0: begin server key generation
SSH0: complete server key generation, elapsed time = 330 ms
SSH0: declare what cipher(s) we support: 0x00 0x00 0x00 0x0c
SSH0: send SSH message: SSH_SMSG_PUBLIC_KEY (2)
SSH0: SSH_SMSG_PUBLIC_KEY message sent
SSH0: receive SSH message: SSH_CMSG_SESSION_KEY (3)
SSH0: SSH_CMSG_SESSION_KEY message received - msg type 0x03, length 272 SSH0: client requests 3DES cipher: 3
SSH0: send SSH message: SSH_SMSG_SUCCESS (14)
SSH0: keys exchanged and encryption on
SSH: Installing crc compensation attack detector
SSH0: receive SSH message: SSH_CMSG_USER (4)
SSH0: authentication request for userid PIX
SSH(PIX): user authen method is 'no AAA', aaa server group ID = 0
SSH0: authentication successful for PIX