Публикации помечены ‘ASA’Для удаленного доступа к сети через шифрованный туннель cisco предлагает 2 решения: Easy VPN, основанный на технологии IPSec, а также технологию, которая использует протокол HTTPS (SSL) – SSLVPN У данной технологии удаленного доступа есть несколько приятных моментов: Минус существенный только один: за эти лицензии надо платить. По умолчанию cisco дает только 2 лицензии. Метки: ASA, SNAF, SSLVPN Часто возникает задача собрать всевозможную статистику по активности на ASA. В версии 8.0 на ASA внедрили довольно интересный механизм сбора различных логов активности с разбивкой по хостам, по протоколам, по портам, по спискам доступа и т.д. Эта технология называется threat-detection и имеет 2 уровня. Первый уровень (включен по умолчанию) – basic.
Собирает статистику по
Метки: ASA, SNAF, threat-detection, курс Команда packet-tracer позволяет проверить как ASA обработает пакет не генерируя при этом реальный трафик с соответствующих хостов. ASA сама создает пакет и пропускает его через себя. Вывод команды аналогичен выводу команды show capture с параметром trace (при создании правила capture тоже должен быть указан параметр trace). В результате выполнения команды будет отображен порядок обработки указанного пакета внутри ASA и результат обработки. Примечание: Не стоит путать утилиту с одноименным симулятором сети Cisco Packet Tracer. Capture позволяет перехватить трафик проходящий через ASA. Однако, при тестировании настроек или поиске неисправностей не всегда есть возможность или не всегда удобно для проверки генерировать соответствующий трафик через ASA. При поиске неисправностей packet tracer один из самых удобных инструментов. Он не разрешит ситуации с какими-то неправильными настройками на других устройствах, но, по крайней мере, позволяет проверить пройдет ли пакет через ASA и, если нет, то почему он был отброшен. Метки: ASA, packet-tracer, troubleshooting Это первая статья из цикла статей посвященных поиску неисправностей при настройке Cisco ASA. Команда capture позволяет перехватывать трафик, который проходит через ASA для дальнейшего анализа. После перехвата его можно проанализировать используя команды просмотра на самой ASA или, например, экспортировать перехваченную информацию в файл для просмотра с помощью Wireshark. Метки: ASA, capture, troubleshooting Сразу оговорюсь: данный тест — пристрелочный. Ставилась задача примерно оценить производительность шифрования. Начальные условия таковы: туннель site-to-site между маршрутизатором cisco 1841 и маршрутизатором vyatta, установленным на сервер НР (1266 МГц, 256Мб оперативной памяти). Маршрутизаторы связаны линком 100мбит/сек. Шифрование – AES-128 с хэшем SHA. Схема такая: (FTP server) – (vyatta) =====туннель====== (cisco1841) – (ftp client) Для начала я протестировал скорость обращения на FTP сервер, стоящий во внутренней сети за vyatta без шифрования. Скорость работы составила около 65мбит/сек при мизерной загрузке обоих маршрутизаторов (меньше 5%). Из этого делаю вывод, что скорость меньше 100мбит/сек из-за ограничений сервера и протокола. __________________________ Включаем шифрование. Метки: ASA, cisco, IPSec, ISR 1841, vyatta, скорость, сравнение На МСЭ часто возникает задача проверить пользователя до предоставления ему доступа к определенным ресурсам. На ASA такая проверка называется «перехватывающая аутентификация» (cut-through proxy). Этот сервис использует инфраструктуру ААА (Authentication, Authorization, Accounting). Примечание: в английском слове authentication нет слога «фи», который появился в русском «аутентификация» скорее всего из-за созвучия слову «идентификация». Причем, в нашем могучем языке есть и «аутентичность». Без всякого «фи» 🙂 Не попадитесь! Аутентификация. Для справки, опишу, как работают эти протоколы: TACACS+ — протокол cisco. Работает по ТСР/49. Имеет отдельные запросы на аутентификацию, авторизацию и учет. За счет отдельного запроса на авторизацию позволяет учитывать и проверять все вводимые команды. Не расширяемые параметры, слабый «учет». Как правило, используется для административного доступа (доступа на железку для управления) RADIUS – стандартный протокол (правда, имеет кучу расширений многих производителей). Работает по UDP/1645,1646 или UDP/1812,1813. Один новый, другой старый стандарт. Первый порт используется для аутентификационного запроса и ответа, в котором заодно передаются авторизационные атрибуты пользователя, если есть. Второй – для учета (как правило, при помощи RADIUS учитывают переданные пакеты, считают трафик и некоторые системные параметры) AD через LDAP – база данных пользователей домена Windows. LDAP работает по ТСР/389. Содержит кучу атрибутов, которые слабо применимы для сетевых нужд. Однако, за счет его широчайшего распространения, cisco научила свои МСЭ лазить в AD напрямую, забирая оттуда все атрибуты пользователя, если ему разрешен доступ. Этим можно (и часто – нужно) воспользоваться, сопоставив атрибуту AD некоторый атрибут, понятный для МСЭ (об этом – ниже) Метки: AAA, ASA, ldap, SNAF, курс Кроме вышеперечисленных типичных трансляций встречаются еще и необычные задачи. Рассмотрим два случая, не перечисленных в предыдущих частях 1. Трансляция адресов между интерфейсами с одинаковым уровнем безопасности. Метки: ASA, NAT, SNAF Статические трансляции, в отличие от динамических, жестко связывают адреса (или адреса с портами). Именно эта их особенность позволяет инициировать сессии как изнутри, так и снаружи МСЭ. Но для того, чтобы раз и навсегда не путаться в написании статических трансляций, я научу вас их «читать» правильно. Итак, формат команды довольно прост: где
И читается трансляция так: Метки: ASA, NAT, SNAF, static Трансляция сетевых адресов (Network Address Translation, NAT), как правило, требуется на границе между сетью компании и провайдером Интернет. Однако, это далеко не единственная задача. Рассмотрим несколько типичных задач и способы решения при помощи межсетевого экрана ASA. Для начала определимся с терминами. Как вы уже знаете, на ASA при помощи сравнения уровней безопасности интерфейса-источника и интерфейса-назначения легко определяется направление «наружу» и «внутрь» межсетевого экрана (ситуацию с одинаковыми уровнями безопасности рассмотрим отдельно). Обычно разделяют внутреннюю (inside) и внешнюю (outside) трансляции. Внутренняя трансляция подменяет адрес источника при выходе «наружу» межсетевого экрана, а внешняя трансляция подменяет адрес источника при проходе «внутрь» МСЭ. Метки: ASA, NAT, SNAF, динамические трансляции Если в вашей сети есть много схожих объектов (например, сетей пользователей, серверов с одинаковым набором сервисов и т.д.), то при настройке списков доступа вы обязательно столкнетесь с тем, что они становятся трудночитаемыми и плохо расширяемыми. Для упрощения написания больших списков доступа на ASA применяются так называемые объектные группы (object group). При помощи них можно группировать схожие элементы сети (протоколы, сети, сервисы, сообщения icmp). Метки: ASA, SNAF, курс, объектные группы |