antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Архив за Апрель, 2010

Опубликовано 22 Апрель , 2010

Перемены, говорят, всегда к лучшему… Говорят это те, кто их прожил и добился чего-то большего.

Учредители нашего УЦ встали в принципиальную позицию не-помощи нам в кризисное время. А скорее наоборот, требуют резкого сокращения затрат (классов, зарплаты инструкторам, которая и так не растет давно и не выплачивается уже больше 2х месяцев)

И учиться-то люди хотят, но не за 60тыр в неделю и их-таки можно понять!

Поэтому я принял сложное решение: надо начинать шевелиться. Резюме вывешено (есть даже реакция заметная, реакция, что приятно!), знакомые уведомлены, но…

Читать продолжение записи »

 

Метки: ,
Опубликовано: личный блог Сергея Федорова | 14 комментариев »

Опубликовано 21 Апрель , 2010

Бесклиентское подключение (только с использованием браузера) — популярная топология. Это удобно, красиво и безопасно для внутренней сети. Но через браузер возможно обеспечить только связь протоколов, которые могут работать через него: HTTP(S), CIFS. Дополнительно можно пробросить и другие приложения (тонкий клиент), но только работающие по ТСР. Для этого используется Java.

Вообще говоря, настроить базово SSL VPN на ASA можно 2 командами

webvpn
  enable {INTERFACE}

При этом для аутентификации будет использоваться локальная база данных пользователей, попадать вы будете в туннельную группу DefaultRAGroup, а групповые настройки применятся из групповой политики DfltGrpPolicy (все эти смешные названия можно увидеть, только через sh run all). При включении SSL VPN шлюз будет использовать порт TCP/443 и самоподписанный сертификат для удостоверения «личности». Понятно, что все браузеры будут ругаться на самоподписанный сертификат, ибо ему нет доверия. Если на указанном интерфейсе также используется управление по ASDM на том же порту, то оно «переедет» на зарезервированный URL
https://{IP}/admin
Читать продолжение записи »

 

Метки: , , , , ,
Опубликовано: Безопасность cisco | 1 комментарий »

Опубликовано 18 Апрель , 2010

Vyatta располагает достаточно большим набором средств отладки и диагностики, которые помогают понять, что именно идет не так. Здесь я описываю, по возможности, только штатные (присутствующие в родном CLI) средства, хотя ничто не мешает использовать произвольные инструменты Linux.

Читать продолжение записи »

 

Метки:
Опубликовано: Vyatta | 2 комментария »

Опубликовано 16 Апрель , 2010

Для удаленного доступа к сети через шифрованный туннель cisco предлагает 2 решения: Easy VPN, основанный на технологии IPSec, а также технологию, которая использует протокол HTTPS (SSL) – SSLVPN

У данной технологии удаленного доступа есть несколько приятных моментов:
1.  Можно организовать защищенный доступ к корпоративным ресурсам с использованием только лишь браузера. Т.к. браузер как правило установлен на любой машине, значит и доступ можно получить с любой машины, будь то интернет кафе, КПК или ноутбук случайного соседа.
2.  Подключение использует протокол HTTPS (SSL), а значит это подключение легко пробросить через прокси-сервер, промежуточно аутентифицировать и при необходимости (только тссс, я вам этого не говорил:)) на этой проксе расшифровать и зашифровать.
3.  Для полного туннелирования есть специальное приложение (anyconnect vpn client), которое можно установить на компьютер и получить туннель в корпоративную сеть с использованием всех преимуществ полного туннелирования: split-tunneling, split-dns, authorization и т.д. Правда для установки этого клиента надо иметь административные права, поэтому на части компьютеров (например, в инет-кафе) так сделать не удастся. Поэтому полное туннелирование как правило используется на корпоративных ноутбуках, которым необходим полный удаленный доступ к корпоративной сети.
4.  Возможно более гибкое использование сертификатов для аутентификации и авторизации. Т.к. механизмы проверки сертификатов уже встроены в браузер, проверять взаимная проверка пользователя и сервера делается еще на этапе подключения. Можно даже аутентифицировать только сертификатом (смарт-картой, токеном)
5.  На ASA также возможно применение технологии Single Sign-On (SSO) при интеграции с Windows Active Directory

Минус существенный только один: за эти лицензии надо платить. По умолчанию cisco дает только 2 лицензии.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Безопасность cisco | 3 комментария »

Опубликовано 14 Апрель , 2010

В этой части описаны особенности ASA относительно команд show, debug и при работе с конфигурацией. Особенности эти удобные и простые. Могут быть полезными как просто при настройке ASA, так и при поиске неисправностей.

Читать продолжение записи »

 

Опубликовано: Безопасность cisco | Нет комментариев »

Опубликовано 13 Апрель , 2010

Часто возникает задача собрать всевозможную статистику по активности на ASA. В версии 8.0 на ASA внедрили довольно интересный механизм сбора различных логов активности с разбивкой по хостам, по протоколам, по портам, по спискам доступа и т.д. Эта технология называется threat-detection и имеет 2 уровня. Первый уровень (включен по умолчанию) – basic.

threat-detection basic

Собирает статистику по
1. Хостам: количество посланных/полученных пакетов/байтов за 1,8 и 24 часа. Также учитывается количество уничтоженных пакетов, если такие были (нулевая статистика не показывается). Это очень удобно бывает для поиска слишком активничающих хостов.

show threat-detection statistics | b host:192.168.0.10
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Безопасность cisco | Нет комментариев »

Опубликовано 12 Апрель , 2010

Здесь я собрал некоторые не вполне очевидные, но полезные факты о внутреннем
устройстве и настройке Vyatta, которые могут сделать общение с ней более
комфортным и продуктивным.

Читать продолжение записи »

 

Опубликовано: Vyatta | Нет комментариев »

Опубликовано 10 Апрель , 2010

Команда packet-tracer позволяет проверить как ASA обработает пакет не генерируя при этом реальный трафик с соответствующих хостов. ASA сама создает пакет и пропускает его через себя. Вывод команды аналогичен выводу команды show capture с параметром trace (при создании правила capture тоже должен быть указан параметр trace).

В результате выполнения команды будет отображен порядок обработки указанного пакета внутри ASA и результат обработки.

Примечание: Не стоит путать утилиту с одноименным симулятором сети Cisco Packet Tracer.
В этой статье описывается утилита ASA packet-tracer. Команда появилась в версии 7.2(1) и доступна на PIX и ASA.

Capture позволяет перехватить трафик проходящий через ASA. Однако, при тестировании настроек или поиске неисправностей не всегда есть возможность или не всегда удобно для проверки генерировать соответствующий трафик через ASA.

При поиске неисправностей packet tracer один из самых удобных инструментов. Он не разрешит ситуации с какими-то неправильными настройками на других устройствах, но, по крайней мере, позволяет проверить пройдет ли пакет через ASA и, если нет, то почему он был отброшен.

Читать продолжение записи »

 

Метки: , ,
Опубликовано: Безопасность cisco | 2 комментария »

Опубликовано 9 Апрель , 2010

Это первая статья из цикла статей посвященных поиску неисправностей при настройке Cisco ASA.

Команда capture позволяет перехватывать трафик, который проходит через ASA для дальнейшего анализа. После перехвата его можно проанализировать используя команды просмотра на самой ASA или, например, экспортировать перехваченную информацию в файл для просмотра с помощью Wireshark.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Безопасность cisco | 4 комментария »

Опубликовано 1 Апрель , 2010

На маршрутизаторе vyatta интегрирован прокси-сервер squid, к которому можно применить запрещающие списки (squidguard blacklist, бесплатно скачиваемые с squidguard.org), распределенные по категориям.

Настройка довольно проста. Если вы хотите просто прокси-сервер, без URL-фильтрации, то можно ничего не скачивать. Достаточно включить squid (по умолчанию включается в прозрачном режиме на порту 3128)

[edit]
edit service webproxy
[edit service webproxy]
set listen address {IP} [port {#PORT}] [disable-transparent]
[edit service webproxy]
commit

указав параметр “port” можно задать явно ТСР-порт из диапазона 1024-65535
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Vyatta | 4 комментария »