Tag: asa

Cisco ASA – jak wgrać ponownie plik z Image jak właściwy jest uszkodzony

Ostatnio aktualizowałem Cisco ASA i po wgraniu nowego pliku z softem i zmianie parametry boot w konfiguracji zrobiłem reload i lipa urządzenie nie wstaje.

w konsoli widzę:

przychodzi nam z pomocą ROMMON

co nam będzie potrzebne:

  1. pc/laptop z tftp
  2. dostęp fizyczny do urządzenia
  3. połączenie ethernet ASA – PC/LAPTOP

Read more… »

ASAv – Active/Standby konfiguracja – minimalna

Witam, wcześniej napisałem jak w labie postawić Cisco ASAv, dziś pokażę jak szybko i bez problemów skonfigurować dwie wirtualki w trybie failover A/P – jedyny tryb który obsługuje na chwilę obecną.

Rysunek poglądowy:

asa_fail

Założenia konfiguracyjne:

Interfejs Praimary Secondary zona
GigabitEthernet 0/0 192.168.1.80 192.168.1.81 NET_LAB
GigabitEthernet 0/1 172.16.1.1 172.16.1.2 LAN
GigabitEthernet 0/8 10.255.255.1 10.255.255.2 Sync

Read more… »

ASAv – pierwsze uruchomienie w labie

Dzięki uprzejmości człowieka z Cisco Polska dostałem dostęp do Cisco ASA w wersji wirtualnej. Postanowiłem ją odpalić w labie. Poniżej przedstawię krok po kroku jak to zrobić.

  1. Ściągamy nasze pliki maszyny.
  2. Rozpakowujemy plik zip
  3. Importujemy naszą wirtualną maszynę do Workstation

asa01

wybieramy wersję dla esxi:

asa02

nadajemy nazwę dla maszyny oraz lokalizację gdzie będzie przetrzymywana maszyna.

asa03

akceptujemy regulamin:

asa04

po zaimportowaniu sprawdzamy wersję oraz sprawdzamy licencję:

Musimy odpowiednio edytować interfejsy sieciowe aby mieć do niej dostęp, wykorzystujemy do tego MAC adresy interfejsów które mamy wyżej. I edytujemy w Workstation przypisania Interfejsów:

asa05

Konfiguracja Interfejsu sieciowego aby mieć dostęp do wirtualki.

Konfigurujemy ssh tak aby było można dostać się po interfejsie wcześniej skonfigurowanym NET_LAB

Konfigurujemy Usera który będzie mógł się logować po ssh

Konfigurujemy aaa dla ssh, enable oraz http:

Włączamy ASDM

tak jak dla ssh musimy pozwolić na dostęp do ASDM przez interfejs NET_LAB

Zmieniamy hostname:

po wykonaniu powyższych działań będziemy mogli zalogować się po ssh oraz przez ADSM do naszej maszynki.

asa08

Cisco ASA – Ograniczenie dostępu do SSL VPN oraz IKE

Dla szukających jak ograniczyć dostęp do usług uruchamianych na Cisco ASA, mam na myśli SSL VPN, czy IKE na samy dole jest aktualizacja jak to zrobić dla IKE przy podatności CVE-2016-1287

Poniżej przedstawię jak ograniczyć dostęp do SSL VPN dla określonych ip lub sieci.

  1. definiujemy Grupę w która będzie zawierać listę hostów lub sieci które będą miały dostęp do SSL VPN
  2. Definiujemy ACL’kę z użyciem wcześniej zdefiniowanej grupy
  3.  Dodajemy drugi wpis blokujący resztę świata
  4. przypinamy ACL’kę do Interfejsu który jest wystawiony na świat, w mym przypadku jest to outside z zaznaczeniem dostępu do control-planu

Mam nadzieję że komuś się przyda moja notatka

Aktualizacja:

W taki sposób również możemy ograniczyć dostęp do IKE aby kupić sobie czas na podatność Cisco ASA Software IKEv1 and IKEv2 Buffer Overflow Vulnerability (CVE-2016-1287)

wystarczy dodać do access listy internet:

tworzymy obiekt access_to_ike gdzie umieszczamy wszystkie adresy naszych peerów z którymi zestawiamy VPN

oraz dodajemy wpis do ACL’ki

 

 

Konfiguracja synchronizacji czasu z NTP na urządzeniach Cisco

Konfiguracja NTP na urządzeniach Cisco, na samym dole jest tabelka ze strefami czasowymi.

Switch catalyst 2960

Config

sprawdzenie:

 

Nexus

Config

 

sprawdzenie

Cisco Cat 4500-x

Config

Sprawdzenie:

Cisco ASA

Config:

 

Strefy czasowe Cisco

Common Time Zone Acronyms 
Acronym Time Zone Name and UTC Offset
Europe
GMT Greenwich Mean Time, as UTC
BST British Summer Time, as UTC + 1 hour
IST Irish Summer Time, as UTC + 1 hour
WET Western Europe Time, as UTC
WEST Western Europe Summer Time, as UTC + 1 hour
CET Central Europe Time, as UTC + 1
CEST Central Europe Summer Time, as UTC + 2
EET Eastern Europe Time, as UTC + 2
EEST Eastern Europe Summer Time, as UTC + 3
MSK Moscow Time, as UTC + 3
MSD Moscow Summer Time, as UTC + 4
United States and Canada
AST Atlantic Standard Time, as UTC -4 hours
ADT Atlantic Daylight Time, as UTC -3 hours
ET Eastern Time, either as EST or EDT, depending on place and time of year
EST Eastern Standard Time, as UTC -5 hours
EDT Eastern Daylight Saving Time, as UTC -4 hours
CT Central Time, either as CST or CDT, depending on place and time of year
CST Central Standard Time, as UTC -6 hours
CDT Central Daylight Saving Time, as UTC -5 hours
MT Mountain Time, either as MST or MDT, depending on place and time of year
MST Mountain Standard Time, as UTC -7 hours
MDT Mountain Daylight Saving Time, as UTC -6 hours
PT Pacific Time, either as PST or PDT, depending on place and time of year
PST Pacific Standard Time, as UTC -8 hours
PDT Pacific Daylight Saving Time, as UTC -7 hours
AKST Alaska Standard Time, as UTC -9 hours
AKDT Alaska Standard Daylight Saving Time, as UTC
-8 hours
HST Hawaiian Standard Time, as UTC -10 hours
Australia
WST Western Standard Time, as UTC + 8 hours
CST Central Standard Time, as UTC + 9.5 hours
EST Eastern Standard/Summer Time, as UTC + 10 hours (+11 hours during summer time)