Truy cập PIX thông qua Secure Shell Secure Shell (SSH) là một ứng dụng chạy trên TCP, SSH cung cấp khả năng mã hóa và chứng thực mạnh. PIX hỗ trợ truy cập từ xa thông qua SSH ver1. Cùng một lúc cho phép tối đa 5 SSH client đồng thời truy cập vào PIX Firewall. Bài lab này hướng dẫn sử dụng SSH truy cập đến PIX Firewall. Hình vẽ Các bước thực hiện Cấu hình trên pixfirewall Bước 1: Đặt địa chỉ IP cho interface e1 pixfirewall(config)# int e1 auto pixfirewall(config)# ip address inside 192.168.1.1 255.255.255.0 pixfirewall(config)# exit pixfirewall# ping inside 192.168.1.2 192.168.1.2 response received — 0ms 192.168.1.2 response received — 0ms 192.168.1.2 response received — 0ms Bước 2: Cấu hình hostname và domain name pixfirewall(config)# hostname PIX PIX(config)# domain-name cisco.com Bước 3: Tạo ra cặp RSA key PIX(config)#ca generate rsa key 1024 For >= 1024, key generation could take up to several minutes. Please wait… Bước 4: Lưu cặp RSA key vừa tạo vào Flash, kiểm tra cặp public key vừa tạo ra : PIX(config)#ca save all Để kiểm tra cặp RSA key vừa mới tạo ra, PIX(config)# sh ca mypubkey rsa % Key pair was generated at: 21:36:01 UTC Mar 10 2005 Key name: PIX.cisco.com Usage: General Purpose Key Key Data: 30820122 300d0609 2a864886 f70d0101 01050003 82010f00 3082010a 02820101 00b164bb 78da41b9 9b785ef3 806869da 42ef8df9 2e07039b 2b0d97dd 2fea856f Bước 5: Chỉ ra host nào được quyền truy cập đến PIX thông qua SSH PIX(config)# ssh 192.168.1.2 255.255.255.255 inside PIX(config)# ssh timeout 60 àThiết lập thời gian timeout của một session trước khi mất kết nối,mặc định khoảng thời gian timeout này là 5 phút, có thể cấu hình khoảng thời gian này từ 1à60 phút. Bước 6: Cấu hình password để xác thực trên local PIX(config)# passwd vnpro Cấu hình trên PC. Bước 1: Cài đặt phần mềm SSH client, trong phần thực hành này sử dụng SSHSecureShellClient-3.2.9.exe Lưu ý SSHv1.x và v2 là những protocols độc lập và không tương thích lẫn nhau. Chú ý download SSH Client có hỗ trợ SSH v1.x Bước 2: Chọn Edit\Setting Bước 3: Chọn Profile Settings\Connection Hostname: nhập IP address của PIX (192.168.1.1) User name: nhập pix (đây là tên mặc định) Encryption algorithm: chọn 3DES Bước 4: Từ giao diện màn hình chính, nhấn Quick Connect và thực hiện lần lượt như sau: Xuất hiện một bảng Warning , chọn Yes Nếu lần đầu tiên kết nối đến PIX với SSH phải trao đổi Public Key cho nhau để mã hóa session . SSH client sẽ đưa ra dấu nhắc , click YES để lưu Public Key của PIX đến local database : Bước 5: Sau khi đã lưu xong key , SSH client yêu cầu nhập password. Sau khi nhập password xong nếu thành công ta sẽ vào được PIX. Khi đó kết nối bảo mật SSH đến pix đã được tạo ra. Trong quá trình tạo SSH connection đến PIX , sử dụng lệnh debug ssh để quan sát . PIX# debug ssh SSH debugging on SSH: Device opened successfully. SSH: host key initialised SSH: license supports 3DES: 3 SSH: license supports DES: 3 SSH0: SSH client: IP = ‘192.168.1.2′ interface # = 1 SSH0: starting SSH control process SSH0: Exchanging versions - SSH-1.5-Cisco-1.25 SSH0: send SSH message: outdata is NULL SSH0: receive SSH message: 83 (83) SSH0: client version is - SSH-1.5-3.2.9 (compat mode) SSH0: begin server key generation SSH0: complete server key generation, elapsed time = 330 ms SSH0: declare what cipher(s) we support: 0×00 0×00 0×00 0×0c SSH0: send SSH message: SSH_SMSG_PUBLIC_KEY (2) SSH0: SSH_SMSG_PUBLIC_KEY message sent SSH0: receive SSH message: SSH_CMSG_SESSION_KEY (3) SSH0: SSH_CMSG_SESSION_KEY message received - msg type 0×03, length 272 SSH0: client requests 3DES cipher: 3 SSH0: send SSH message: SSH_SMSG_SUCCESS (14) SSH0: keys exchanged and encryption on SSH: Installing crc compensation attack detector. SSH0: receive SSH message: SSH_CMSG_USER (4) SSH0: authentication request for userid PIX SSH(PIX): user authen method is ‘no AAA’, aaa server group ID = 0 SSH0: authentication successful for PIX Lab 1: Firewall fundamentals Lab cơ bản cho ASA 5510 Trong bài lab này, ta sẽ cài đặt các tác vụ cơ bản cho một firewall ASA. Các chức năng cơ bản gồm cấu hình cho phép telnet, SSH vào ASA. Cấu hình để ASA gửi các thông điệp log về một Kiwi Syslog server và các khôi phục password cho một ASA. • Cấu hình telnet vào ASA: Ở chế độ config-mode của ASA, dùng các lệnh sau: -Cho phép các máy trong dãy địa chỉ 10.0.1.0/24 của cổng inside của ASA: #telnet 10.0.1.0 255.255.255.0 inside Mặc định, ASA không cho các phiên telnet. Ta có thể thực hiện lệnh trên nhiều lần để cho phép các dãy địa chỉ khác nhau telnet vào ASA. Đặt thời gian timeout cho các phiên telnet, đơn vị tính là phút. Thời gian timeout mặc định cho các phiên telnet là 5 phút. #telnet timeout 10 Đặt password cho các phiên telnet: #password telnetpass Thử nghiệm kết quả bằng cách dùng một PC từ cổng inside của ASA, thực hiện telnet vào ASA. Trường hợp thành công khi bạn có thể vào được dấu nhắc CLI của ASA. Trong trường hợp ta cần xóa các cấu hình liên quan đến telnet, thực hiện lệnh sau: # clear configure telnet • Cấu hình SSH cho ASA Bình thường ASA hỗ trợ 5 phiên SSH. SSH dùng TCP port 22. SSH có giao diện giống như telnet nhưng có nhiều chức năng bảo mật hơn. ASA có hỗ trợ cả hai version của SSH là SSH v1 và SSH v2. So với SSHv1, SSHv2 có thêm các chức năng về mã hóa và đảm bảo toàn vẹn dữ liệu. Thực hiện các bước sau để bật chức năng SSH của ASA, ở chế độ config mode: -Gán một domain name cho thiết bị. Bước này là bắt buộc do tên domain name thường được dùng trong quá trình tính toán cặp khóa RSA. #domain-name vnpro.org -Tạo ra cặp khóa RSA. Giá trị 1024 là số bit được dùng trong tính toán modulus. #crypto key generate rsa modulus 1024 Lưu giá trị cặp khóa vừa tạo #write memory Nếu trong quá trình hoạt động, tên domain-name của thiết bị có thay đổi thì ta phải xóa cặp khóa và xây dựng lại. Câu lệnh để thực hiện tác vụ đó là Firewall# crypto key zeroize rsa default Cho phép SSH trên cổng inside #ssh 10.0.3.0 255.255.255.0 inside Gán thời gian timeout của các phiên telnet #ssh timeout 2 Bật chức năng xác thực cho SSH, dùng cơ sở dữ liệu username/password cục bộ trên ASA: #aaa authentication ssh console LOCAL Bạn đã hoàn tất việc bật chức năng SSH trên ASA. Lúc này trên ASA tạo username/password để dùng cho quá trình xác thực của ASA. Tạo username/password cho config mode #username vnpro password vnpro privilege 15 Sau đó, từ một máy trong cổng inside, dùng một phần mềm hỗ trợ SSH như Putty, SecureVRT để SSH vào ASA. Để xem các phiên SSH hiện có dùng các lệnh # show ssh sessions • Cấu hình chức năng logging cho ASA #logging host inside 10.0.3.11 #logging logging trap debug #logging timestamp #logging device-id hostname #logging enable Sau đó, dùng một phần mềm Syslog Server như Kiwi Syslog, cài phần mềm này vào máy tính như một service (As A Service). Thử nghiệm bài lab bằng cách bật một chức năng debug nào đó trong ASA, quan sát các thông điệp log trên máy chủ Kiwi Syslog. • Cách crack password của ASA: -Kết nối vào cổng console của ASA -Tắt ASA, chờ một phút rồi bật nguồn lại. -Nhấn phím ESC khi trên màn hình hiển thị dòng yêu cầu. "Use BREAK or ESC to interrupt boot." Bạn có khoảng 10 giây để nhấn phím ESC. Booting system, please wait... CISCO SYSTEMS Embedded BIOS Version 1.0(10)0 03/25/05 22:42:05.25 Low Memory: 631 KB High Memory: 256 MB PCI Device Table. Bus Dev Func VendID DevID Class Irq 00 00 00 8086 2578 Host Bridge 00 01 00 8086 2579 PCI-to-PCI Bridge [device list output omitted] Evaluating BIOS Options ... Launch BIOS Extension to setup ROMMON Cisco Systems ROMMON Version (1.0(10)0) #0: Fri Mar 25 23:02:10 PST 2005 Platform ASA5510 Use BREAK or ESC to interrupt boot. [ESC pressed here] Use SPACE to begin boot immediately. Boot interrupted. Management0/0 Ethernet auto negotiation timed out. Interface-4 Link Not Established (check cable). Default Interface number-4 Not Up Use ? for help. rommon #0> -Chỉnh nội dung thanh ghi config register. Khi bạn được yêu cầu thay đổi giá trị thanh ghi, hãy chọn Yes. Đối với từng câu hỏi được đưa ra, tất cả bạn đều chọn NO, ngoại trừ câu hỏi “ Disable system configuration?” thì bạn chọn Yes. rommon #0> confreg Current Configuration Register: 0x00000001 Configuration Summary: boot default image from Flash Do you wish to change this configuration? y/n [n]: y enable boot to ROMMON prompt? y/n [n]: enable TFTP netboot? y/n [n]: enable Flash boot? y/n [n]: select specific Flash image index? y/n [n]: disable system configuration? y/n [n]: y go to ROMMON prompt if netboot fails? y/n [n]: enable passing NVRAM file specs in auto-boot mode? y/n [n]: disable display of BREAK or ESC key prompt during auto-boot? y/n [n]: Current Configuration Register: 0x00000040 Configuration Summary: boot ROMMON ignore system configuration Update Config Register (0x40) in NVRAM... rommon #1> Nội dung thanh ghi lúc này là 0x00000040. -Khởi động lại ASA Rommon>boot Boot configuration file contains 2 entries. Loading disk0:/asa800-248-k8.bin... Booting... Loading... Processor memory 180940800, Reserved memory: 20971520 (DSOs: 0 + kernel: 20971520) [output omitted] Copyright 1996-2007 by Cisco Systems, Inc. Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. Cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 Ignoring startup configuration as instructed by configuration register. INFO: Converting to disk0:/ Type help or '?' for a list of available commands. ciscoasa> -Vào chế độ priviledge với password là trống. Chỉ cần nhấn Enter. ciscoasa> enable Password: ciscoasa# -Khôi phục lại cấu hình, đặt enable password mới: ciscoasa# copy startup-config running-config Destination filename [running-config]? Cryptochecksum (unchanged): e4cd72c3 e3a210b0 cafaccc4 eb376c85 7028 bytes copied in 2.440 secs (3514 bytes/sec) Firewall# Firewall# configure terminal Firewall(config)# password password Firewall(config)# enable password enablepass -Khôi phục nội dung thanh ghi Firewall(config)# config-register ? configure mode commands/options: Configuration register value Firewall(config)# config-register 0x00000001 Firewall(config)# -Lưu lại cấu hình và khởi động lại ASA Firewall# copy running-config startup-config Secure Shell (SSH) là một ứng dụng chạy trên TCP, SSH cung cấp khả năng mã hóa và chứng thực mạnh. PIX hỗ trợ truy cập từ xa thông qua SSH ver1. Cùng một lúc cho phép tối đa 5 SSH client đồng thời truy cập vào PIX Firewall. Bài lab này hướng dẫn sử dụng SSH truy cập đến PIX Firewall. Mô hình: Các bước thực hiện Cấu hình trên pixfirewall Bước 1: Đặt địa chỉ IP cho interface e1 pixfirewall(config)# int e1 auto pixfirewall(config)# ip address inside 192.168.1.1 255.255.255.0 pixfirewall(config)# exit pixfirewall# ping inside 192.168.1.2 192.168.1.2 response received -- 0ms 192.168.1.2 response received -- 0ms 192.168.1.2 response received -- 0ms Bước 2: Cấu hình hostname và domain name pixfirewall(config)# hostname PIX PIX(config)# domain-name cisco.com Bước 3: Tạo ra cặp RSA key PIX(config)#ca generate rsa key 1024 For >= 1024, key generation could take up to several minutes. Please wait... Bước 4: Lưu cặp RSA key vừa tạo vào Flash, kiểm tra cặp public key vừa tạo ra : PIX(config)#ca save all Để kiểm tra cặp RSA key vừa mới tạo ra, PIX(config)# sh ca mypubkey rsa % Key pair was generated at: 21:36:01 UTC Mar 10 2005 Key name: PIX.cisco.com Usage: General Purpose Key Key Data: 30820122 300d0609 2a864886 f70d0101 01050003 82010f00 3082010a 02820101 00b164bb 78da41b9 9b785ef3 806869da 42ef8df9 2e07039b 2b0d97dd 2fea856f 3a7c69fb c6ca8053 e11d50be 77ef63a3 b3449f71 99e4626a 3b6d21a1 0ef4aa63 0f0be998 13554e86 99eaf444 993e3c7e 828b24bd f5364037 764b6eaa f2706c28 0f688057 7b1a7704 06aef687 9a799369 a9face11 dbd9c719 a494da4f 2e0adaa3 e648fa63 c8eec049 27523b78 85262db5 64c9efe5 16632db8 85811fac e6f1f971 e012c745 874dd6c6 437e01e2 4e8651e1 7926bdb4 95312e3c f6f2d167 b78ef8aa d0cc548f bc88b236 62bd29f6 02b4d17c 28aeb44b 718e5a84 85d3bd76 563b676a 45b93eb8 6dd7d9db 6b688e9f a163357a 4913f2e8 7e07ba25 9b42bcd1 9a15b93e 7f020301 0001 Bước 5: Chỉ ra host nào được quyền truy cập đến PIX thông qua SSH PIX(config)# ssh 192.168.1.2 255.255.255.255 inside PIX(config)# ssh timeout 60 //Thiết lập thời gian timeout của một session trước khi mất kết nối,mặc định khoảng thời gian timeout này là 60 phút.◊5 phút, có thể cấu hình khoảng thời gian này từ 1 Bước 6: Cấu hình password để xác thực trên local PIX(config)# passwd vnpro Cấu hình trên PC. Bước 1: Cài đặt phần mềm SSH client, trong phần thực hành này sử dụng SSHSecureShellClient-3.2.9.exe Lưu ý SSHv1.x và v2 là những protocols độc lập và không tương thích lẫn nhau. Chú ý download SSH Client có hỗ trợ SSH v1.x Bước 2: Chọn Edit\Setting Bước 3: Chọn Profile Settings\Connection Hostname: nhập IP address của PIX (192.168.1.1) User name: nhập pix (đây là tên mặc định) Encryption algorithm: chọn 3DES Bước 4: Từ giao diện màn hình chính, nhấn Quick Connect và thực hiện lần lượt như sau: Xuất hiện một bảng Warning , chọn Yes Nếu lần đầu tiên kết nối đến PIX với SSH phải trao đổi Public Key cho nhau để mã hóa session . SSH client sẽ đưa ra dấu nhắc , click YES để lưu Public Key của PIX đến local database : Bước 5: Sau khi đã lưu xong key , SSH client yêu cầu nhập password. Sau khi nhập password xong nếu thành công ta sẽ vào được PIX. Khi đó kết nối bảo mật SSH đến pix đã được tạo ra. Trong quá trình tạo SSH connection đến PIX , sử dụng lệnh debug ssh để quan sát . PIX# debug ssh SSH debugging on SSH: Device opened successfully. SSH: host key initialised SSH: license supports 3DES: 3 SSH: license supports DES: 3 SSH0: SSH client: IP = '192.168.1.2' interface # = 1 SSH0: starting SSH control process SSH0: Exchanging versions - SSH-1.5-Cisco-1.25 SSH0: send SSH message: outdata is NULL SSH0: receive SSH message: 83 (83) SSH0: client version is - SSH-1.5-3.2.9 (compat mode) SSH0: begin server key generation SSH0: complete server key generation, elapsed time = 330 ms SSH0: declare what cipher(s) we support: 0x00 0x00 0x00 0x0c SSH0: send SSH message: SSH_SMSG_PUBLIC_KEY (2) SSH0: SSH_SMSG_PUBLIC_KEY message sent SSH0: receive SSH message: SSH_CMSG_SESSION_KEY (3) SSH0: SSH_CMSG_SESSION_KEY message received - msg type 0x03, length 272 SSH0: client requests 3DES cipher: 3 SSH0: send SSH message: SSH_SMSG_SUCCESS (14) SSH0: keys exchanged and encryption on SSH: Installing crc compensation attack detector. SSH0: receive SSH message: SSH_CMSG_USER (4) SSH0: authentication request for userid PIX SSH(PIX): user authen method is 'no AAA', aaa server group ID = 0 SSH0: authentication successful for PIX [...]... 0001 Bước 5: Chỉ ra host nào được quyền truy cập đến PIX thông qua SSH PIX( config)# ssh 192.168.1.2 255.255.255.255 inside PIX( config)# ssh timeout 60 //Thiết lập thời gian timeout của một session trước khi mất kết nối,mặc định khoảng thời gian timeout này là 60 phút.◊5 phút, có thể cấu hình khoảng thời gian này từ 1 Bước 6: Cấu hình password để xác thực trên local PIX( config)# passwd vnpro Cấu hình trên...pixfirewall(config)# int e1 auto pixfirewall(config)# ip address inside 192.168.1.1 255.255.255.0 pixfirewall(config)# exit pixfirewall# ping inside 192.168.1.2 192.168.1.2 response received 0ms 192.168.1.2 response received 0ms 192.168.1.2 response received 0ms Bước 2: Cấu hình hostname và domain name pixfirewall(config)# hostname PIX PIX(config)# domain-name cisco.com... tiên kết nối đến PIX với SSH phải trao đổi Public Key cho nhau để mã hóa session SSH client sẽ đưa ra dấu nhắc , click YES để lưu Public Key của PIX đến local database : Bước 5: Sau khi đã lưu xong key , SSH client yêu cầu nhập password Sau khi nhập password xong nếu thành công ta sẽ vào được PIX Khi đó kết nối bảo mật SSH đến pix đã được tạo ra Trong quá trình tạo SSH connection đến PIX , sử dụng lệnh... đặt phần mềm SSH client, trong phần thực hành này sử dụng SSHSecureShellClient-3.2.9.exe Lưu ý SSHv1.x và v2 là những protocols độc lập và không tương thích lẫn nhau Chú ý download SSH Client có hỗ trợ SSH v1.x Bước 2: Chọn Edit\Setting Bước 3: Chọn Profile Settings\Connection Hostname: nhập IP address của PIX (192.168.1.1) User name: nhập pix (đây là tên mặc định) Encryption algorithm: chọn 3DES Bước... ra cặp RSA key PIX( config)#ca generate rsa key 1024 For >= 1024, key generation could take up to several minutes Please wait Bước 4: Lưu cặp RSA key vừa tạo vào Flash, kiểm tra cặp public key vừa tạo ra : PIX( config)#ca save all Để kiểm tra cặp RSA key vừa mới tạo ra, PIX( config)# sh ca mypubkey rsa % Key pair was generated at: 21:36:01 UTC Mar 10 2005 Key name: PIX. cisco.com Usage:... encryption on SSH: Installing crc compensation attack detector SSH0: receive SSH message: SSH_CMSG_USER (4) SSH0: authentication request for userid PIX SSH (PIX) : user authen method is 'no AAA', aaa server group ID = 0 SSH0: authentication successful for PIX ... nhập password Sau khi nhập password xong nếu thành công ta sẽ vào được PIX Khi đó kết nối bảo mật SSH đến pix đã được tạo ra Trong quá trình tạo SSH connection đến PIX , sử dụng lệnh debug ssh để quan sát PIX# debug ssh SSH debugging on SSH: Device opened successfully SSH: host key initialised SSH: license supports 3DES: 3 SSH: license supports DES: 3 SSH0: SSH client: IP = '192.168.1.2' interface ... startup-config Secure Shell (SSH) ứng dụng chạy TCP, SSH cung cấp khả mã hóa chứng thực mạnh PIX hỗ trợ truy cập từ xa thông qua SSH ver1 Cùng lúc cho phép tối đa SSH client đồng thời truy cập vào PIX Firewall... 42ef8df9 2e07039b 2b0d97dd 2fea856f Bước 5: Chỉ host quyền truy cập đến PIX thông qua SSH PIX( config)# ssh 192.168.1.2 255.255.255.255 inside PIX( config)# ssh timeout 60 àThiết lập thời gian timeout... 9b42bcd1 9a15b93e 7f020301 0001 Bước 5: Chỉ host quyền truy cập đến PIX thông qua SSH PIX( config)# ssh 192.168.1.2 255.255.255.255 inside PIX( config)# ssh timeout 60 //Thiết lập thời gian timeout