Securizarea Retelelor cu Echipamente Dedicate

Laborator 01 - ASA (Rezolvare)

Topologie

Obiective

Cerințe

  1. În cadrul acestui task studenții vor învăța cum să realizeze configurațiile de bază pe un echipament ASA.
    1. [2p] Configurați hostname-ul ASA-ului folosind prenumele vostru
      ciscoasa(config)# hostname Atlas
      Atlas(config)#
    2. [5p] Determinați informațiile de mai jos despre ASA-ul vostru:
      Atlas# show version
      Cisco Adaptive Security Appliance Software Version 8.0(2)
      
      Compiled on Fri 15-Jun-07 19:29 by builders
      System image file is "Unknown, monitor mode tftp booted image"
      Config file at boot was "startup-config"
      
      Atlas up 3 mins 25 secs
      
      Hardware:   , 128 MB RAM, CPU Pentium II 3000 MHz
      Internal ATA Compact Flash, 256MB
      BIOS Flash Firmware Hub @ 0xffe00000, 1024KB
      
       0: Ext: Ethernet0/0         : address is 00aa.0072.ec00, irq 255
       1: Ext: Ethernet0/1         : address is 00aa.0072.ec01, irq 255
       2: Ext: Ethernet0/2         : address is 00aa.0072.ec02, irq 255
       3: Ext: Ethernet0/3         : address is 0000.ab09.bd03, irq 255
       4: Ext: Ethernet0/4         : address is 0000.ab03.5504, irq 255
       5: Ext: Ethernet0/5         : address is 0000.abf0.0f05, irq 255
      VLANs                        : 200
      Failover                     : Active/Active
      3DES-AES                     : Enabled
      Security Contexts            : 20
      GTP/GPRS                     : Enabled
      VPN Peers                    : 5000
      WebVPN Peers                 : 2500
      ADV END SEC                  : Enabled
      
      Serial Number: 123456789AB
      Running Activation Key: 0x00000000 0x00000000 0x00000000 0x00000000 0x00000000
      Configuration register is 0x0
      Configuration last modified by enable_15 at 00:00:43.773 UTC Tue Nov 30 1999
      • versiunea sistemului de operare
        Cisco Adaptive Security Appliance Software Version 8.0(2)
      • cantitatea de memorie RAM
        Hardware:   , 128 MB RAM, CPU Pentium II 3000 MHz
      • capacitatea CPU-ului
        Hardware:   , 128 MB RAM, CPU Pentium II 3000 MHz
      • cantitatea memoriei FLASH
        Internal ATA Compact Flash, 256MB
      • numărul maxim de VLAN-uri pe care le puteți crea
        VLANs                        : 200
    3. [8p] Afișați conținutul configurației active în acest moment pe ASA.
      Atlas# show running-config
      : Saved
      :
      ASA Version 8.0(2)
      !
      hostname Atlas
      enable password 8Ry2YjIyt7RRXU24 encrypted
      [... output omitted ...]
    4. [10p] Afișați conținutul memoriei flash.
      Atlas# show flash:
      --#--  --length--  -----date/time------  path
          5  4096        Feb 18 2012 16:35:06  .private
          6  0           Mar 02 2012 09:27:12  .private/mode.dat
          7  0           Feb 18 2012 16:35:46  .private/DATAFILE
         13  1514        Feb 18 2012 17:23:34  .private/startup-config
         11  4096        Feb 18 2012 16:35:46  boot
         12  0           Feb 18 2012 16:35:46  boot/grub.conf
          8  4096        Feb 18 2012 17:18:04  csco_config
         14  4096        Mar 02 2012 09:27:15  csco_config/97
         17  4096        Mar 02 2012 09:27:15  csco_config/97/customization
         21  23666       Mar 02 2012 09:27:15  csco_config/97/customization/Template
         22  4096        Mar 02 2012 09:27:15  csco_config/97/bookmarks
         18  4096        Mar 02 2012 09:27:14  csco_config/locale
         19  5           Mar 02 2012 09:27:14  csco_config/locale/clean.8.0.done
         20  4096        Mar 02 2012 09:27:14  csco_config/locale/ja
      
      268136448 bytes total (242581504 bytes free)
    5. [15p] Configurați parola „cisco” pentru protejarea modului privilegiat. Testați configurația realizată.
      Atlas(config)# enable password cisco
      Atlas# exit
      
      Logoff
      
      Type help or '?' for a list of available commands.
      Atlas> ena
      Password: *****
    6. [20p] Configurați parola „class” pentru protejarea accesului prin telnet și SSH (Încă nu veți putea testa această configurație).
      Atlas(config)# passwd class
    7. [25p] Cum sunt păstrate cele 2 parole configurate mai devreme în fișierul de configurare?
      Atlas# sh run | i passw
      enable password 2KFQnbNIdI.2KYOU encrypted
      passwd PmNe1e0C3tJdCLe8 encrypted
  2. În cadrul acestui task studenții vor învăța cum să realizeze configurațiile de bază pentru a activa interfețele unui sistem ASA.
    1. [35p] Configurați următoarele adrese IP pentru cele 3 interfețe folosite și activați interfețele folosind comanda no shutdown.
      • E0/0: 141.85.99.1/24
        Atlas(config)# interface ethernet 0/0
        Atlas(config-if)# no shutdown
        Atlas(config-if)# ip address 141.85.99.1 255.255.255.0
      • E0/1: 10.10.10.1/24
        Atlas(config-if)# interface ethernet 0/1
        Atlas(config-if)# no shutdown
        Atlas(config-if)# ip address 10.10.10.1 255.255.255.0
      • E0/2: 192.168.1.1/24
        Atlas(config-if)# interface ethernet 0/2
        Atlas(config-if)# no shutdown
        Atlas(config-if)# ip address 192.168.1.1 255.255.255.0
    2. [40p] Afișați un sumar al statusului interfețelor. De ce nu apar IP-urile pe care le-ați configurat? Comenzile date apar în running-config?
      Atlas# show interface ip brief
      Interface                  IP-Address      OK? Method Status                Protocol
      Ethernet0/0                unassigned      YES manual up                    up
      Ethernet0/1                unassigned      YES manual up                    up
      Ethernet0/2                unassigned      YES manual up                    up
      Ethernet0/3                unassigned      YES unset  administratively down up
      Ethernet0/4                unassigned      YES unset  administratively down up
      Ethernet0/5                unassigned      YES unset  administratively down up
      
      ; Adresele IP nu apar pentru că nu sunt activate la nivel 3 de către Firewall. Pentru a putea fi activate fiecare interfață are nevoie de un nivel de securitate și un nume.
      
      Atlas# show running | begin interface
      interface Ethernet0/0
       no nameif
       no security-level
       ip address 141.85.99.1 255.255.255.0
      !
      interface Ethernet0/1
       no nameif
       no security-level
       ip address 10.10.10.1 255.255.255.0
      !
      interface Ethernet0/2
       no nameif
       no security-level
       ip address 192.168.1.1 255.255.255.0
      !
    3. [50p] Denumiți interfețele dispozitivului ASA precum în topologia de mai sus (inside, dmz, outside).
      Atlas(config)# interface ethernet 0/0
      Atlas(config-if)# nameif outside
      INFO: Security level for "outside" set to 0 by default.
      Atlas(config-if)#
      Atlas(config-if)# interface ethernet 0/1
      Atlas(config-if)# nameif dmz
      INFO: Security level for "dmz" set to 0 by default.
      Atlas(config-if)#
      Atlas(config-if)#
      Atlas(config-if)# interface ethernet 0/2
      Atlas(config-if)# nameif inside
      INFO: Security level for "inside" set to 100 by default.
    4. [55p] Afișați numele interfețelor și nivelele de securitate ale acestora fără a folosi comanda show running-config.
      Atlas# show nameif
      Interface                Name                     Security
      Ethernet0/0              outside                    0
      Ethernet0/1              dmz                        0
      Ethernet0/2              inside                   100
    5. [65p] Configurați nivelul de securitate al interfeței denumită „DMZ” la valoarea 50.
      Atlas(config)# interface ethernet 0/1
      Atlas(config-if)# security-level 50
    6. [70p] Afișați toate nivele de securitate din fișierul de configurare folosind comanda show running-config și aplicând un filtru include.
      Atlas# show running-config | include security-level
       security-level 0
       security-level 50
       security-level 100
       no security-level
       no security-level
       no security-level
    7. [75p] Afișați toate comenzile date pe interfeța E0/2 fără a folosi filtre.
      Atlas# show running-config interface ethernet 0/2
      !
      interface Ethernet0/2
       nameif inside
       security-level 100
       ip address 192.168.1.1 255.255.255.0
  3. În cadrul acestui task studenții vor învăța cum să asigure accesul remote la echipamentele ASA.
    1. [85p] Configurați adrese IP pe fiecare dintre cele 3 rutere folosind spațiul /24 adresat pe ASA și valoarea 100 în ultimul octet.
      R1(config)#interface fastethernet0/0
      R1(config-if)#ip address 141.85.99.100 255.255.255.0
      R1(config-if)#no sh
      R1#ping 141.85.99.1
       
      Type escape sequence to abort.
      Sending 5, 100-byte ICMP Echos to 141.85.99.1, timeout is 2 seconds:
      .!!!!
      Success rate is 80 percent (4/5), round-trip min/avg/max = 8/27/72 ms
      R2(config)#interface fastethernet 0/0
      R2(config-if)#ip address 10.10.10.100 255.255.255.0
      R2(config-if)#no sh
      R2#ping 10.10.10.1
       
      Type escape sequence to abort.
      Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
      .!!!!
      Success rate is 80 percent (4/5), round-trip min/avg/max = 12/20/24 ms
      R3(config)#int fastethernet 0/0
      R3(config-if)#ip address 192.168.1.100 255.255.255.0
      R3(config-if)#no sh
      R3#ping 192.168.1.1
       
      Type escape sequence to abort.
      Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
      .!!!!
      Success rate is 80 percent (4/5), round-trip min/avg/max = 8/19/32 ms
    2. [90p] Permiteți accesul pe interfața „inside” prin telnet la ASA pentru adrese din spațiul 192.168.1.0/24.
      R3#telnet 192.168.1.1
      Trying 192.168.1.1 ...
      % Connection timed out; remote host not responding
       
      Atlas(config)# telnet 192.168.1.0 255.255.255.0 inside
       
      R3#telnet 192.168.1.1
      Trying 192.168.1.1 ... Open
       
      User Access Verification
       
      Password: class
      Type help or '?' for a list of available commands.
      Atlas>
    3. [95p] Configurați ASA pentru a permite accesul pe interfața „outside” prin telnet pentru adrese din spațiul extern 141.85.99.1/24. Funcționează? De ce nu?
      Atlas(config)# telnet 141.85.99.0 255.255.255.0 outside
       
      R1#telnet 141.85.99.1
      Trying 141.85.99.1 ...
      % Connection timed out; remote host not responding
      Snippet from Cisco documentation:
      Note: You can enable Telnet to the security appliance on all interfaces. However, the security appliance enforces that all Telnet traffic to the outside interface be protected by IPsec. In order to enable a Telnet session to the outside interface, configure IPsec on the outside interface to include IP traffic that is generated by the security appliance and enable Telnet on the outside interface.
      
      Note: In general, if any interface that has a security level of 0 or lower than any other interface, then PIX/ASA does not allow Telnet to that interface.
      
      Note: It is not recommended to access the security appliance through a Telnet session. The authentication credential information, such as password, is sent as clear text. The Telnet server and client communication happens only with the clear text. Cisco recommends to use SSH for a more secured data communication.
    4. [100p]Configurați ASA pentru a permite accesul prin SSH versiunea a 2-a pentru adrese din spațiul extern 141.85.99.1/24. Functionează? De ce?
      Atlas(config)# crypto key generate rsa modulus 1024
      INFO: The name for the keys will be: <Default-RSA-Key>
      Keypair generation process begin. Please wait...
      Atlas(config)# ssh 141.85.99.0 255.255.255.0 outside
      Atlas(config)# ssh version 2
      
      R1#ssh -l pix 141.85.99.1
      
      Password: class
      Type help or '?' for a list of available commands.
      Atlas>
asa_-_rezolvari_1.txt · Last modified: 2012/03/14 19:23 by sergiu
Public Domain
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0