Архив за Апрель, 2010Перемены, говорят, всегда к лучшему… Говорят это те, кто их прожил и добился чего-то большего. Учредители нашего УЦ встали в принципиальную позицию не-помощи нам в кризисное время. А скорее наоборот, требуют резкого сокращения затрат (классов, зарплаты инструкторам, которая и так не растет давно и не выплачивается уже больше 2х месяцев) И учиться-то люди хотят, но не за 60тыр в неделю и их-таки можно понять! Поэтому я принял сложное решение: надо начинать шевелиться. Резюме вывешено (есть даже реакция заметная, реакция, что приятно!), знакомые уведомлены, но… Метки: перепутье, спурт Бесклиентское подключение (только с использованием браузера) — популярная топология. Это удобно, красиво и безопасно для внутренней сети. Но через браузер возможно обеспечить только связь протоколов, которые могут работать через него: HTTP(S), CIFS. Дополнительно можно пробросить и другие приложения (тонкий клиент), но только работающие по ТСР. Для этого используется Java. Вообще говоря, настроить базово SSL VPN на ASA можно 2 командами
При этом для аутентификации будет использоваться локальная база данных пользователей, попадать вы будете в туннельную группу Метки: ASA, SNAF, SSLVPN, браузер, курс, настройка Vyatta располагает достаточно большим набором средств отладки и диагностики, которые помогают понять, что именно идет не так. Здесь я описываю, по возможности, только штатные (присутствующие в родном CLI) средства, хотя ничто не мешает использовать произвольные инструменты Linux. Метки: troubleshooting Для удаленного доступа к сети через шифрованный туннель cisco предлагает 2 решения: Easy VPN, основанный на технологии IPSec, а также технологию, которая использует протокол HTTPS (SSL) – SSLVPN У данной технологии удаленного доступа есть несколько приятных моментов: Минус существенный только один: за эти лицензии надо платить. По умолчанию cisco дает только 2 лицензии. Метки: ASA, SNAF, SSLVPN В этой части описаны особенности ASA относительно команд show, debug и при работе с конфигурацией. Особенности эти удобные и простые. Могут быть полезными как просто при настройке ASA, так и при поиске неисправностей. Опубликовано: Безопасность cisco | Нет комментариев » Часто возникает задача собрать всевозможную статистику по активности на ASA. В версии 8.0 на ASA внедрили довольно интересный механизм сбора различных логов активности с разбивкой по хостам, по протоколам, по портам, по спискам доступа и т.д. Эта технология называется threat-detection и имеет 2 уровня. Первый уровень (включен по умолчанию) – basic.
Собирает статистику по
Метки: ASA, SNAF, threat-detection, курс Здесь я собрал некоторые не вполне очевидные, но полезные факты о внутреннем Опубликовано: Vyatta | Нет комментариев » Команда packet-tracer позволяет проверить как ASA обработает пакет не генерируя при этом реальный трафик с соответствующих хостов. ASA сама создает пакет и пропускает его через себя. Вывод команды аналогичен выводу команды show capture с параметром trace (при создании правила capture тоже должен быть указан параметр trace). В результате выполнения команды будет отображен порядок обработки указанного пакета внутри ASA и результат обработки. Примечание: Не стоит путать утилиту с одноименным симулятором сети Cisco Packet Tracer. Capture позволяет перехватить трафик проходящий через ASA. Однако, при тестировании настроек или поиске неисправностей не всегда есть возможность или не всегда удобно для проверки генерировать соответствующий трафик через ASA. При поиске неисправностей packet tracer один из самых удобных инструментов. Он не разрешит ситуации с какими-то неправильными настройками на других устройствах, но, по крайней мере, позволяет проверить пройдет ли пакет через ASA и, если нет, то почему он был отброшен. Метки: ASA, packet-tracer, troubleshooting Это первая статья из цикла статей посвященных поиску неисправностей при настройке Cisco ASA. Команда capture позволяет перехватывать трафик, который проходит через ASA для дальнейшего анализа. После перехвата его можно проанализировать используя команды просмотра на самой ASA или, например, экспортировать перехваченную информацию в файл для просмотра с помощью Wireshark. Метки: ASA, capture, troubleshooting На маршрутизаторе vyatta интегрирован прокси-сервер squid, к которому можно применить запрещающие списки (squidguard blacklist, бесплатно скачиваемые с squidguard.org), распределенные по категориям. Настройка довольно проста. Если вы хотите просто прокси-сервер, без URL-фильтрации, то можно ничего не скачивать. Достаточно включить squid (по умолчанию включается в прозрачном режиме на порту 3128)
указав параметр “port” можно задать явно ТСР-порт из диапазона 1024-65535 Метки: proxy, squid, squidguard, vyatta |