Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

era

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cisco PIX Firewall / ASA

 
Cisco PIX Firewall / ASA - OS ищем тут !
 
 
 
 
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
 
 
Уже обсуждалось
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
 
 
Родственные темы
Настройка Cisco оборудования.
 
 
FAQ
 
 
 
 

Всего записей: 1 | Зарегистр. 07-08-2002 | Отправлено: 10:41 07-08-2002 | Исправлено: slech, 09:30 11-06-2008
zubastiy

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день.
 
Есть asa5505 (сетка 192.168.49.0/24) и pix515 (сетка 192.168.2.0/24)  
IPsec тоннель между ними.
 
Есть хост 192.168.49.2 в сети 49 и хост 192.168.2.2 в сети 2.
 
На хосте (железка специфичиская) нет возможности использовать ip из сети 192.168.2.0/24 (зарезервированно для внутреннего использования железки)
Тобишь прописываю я что нужный мне хост это 192.168.2.2 - не могу использовать такой адрес в виду ограничений прошивки.
 
Можно ли на asa5505 реализовать подмену такого вида.
 
Если пакет от 192.168.49.2 к 172.16.16.5 тогда поменять дестинейшен адрес на 192.168.2.2
И если пакет от 192.168.2.2 к 192.168.49.2 тогда поменять дестинейшен адрес на 172.16.16.5
 
?

Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 18:09 24-02-2011
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zubastiy
можно

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 06:17 25-02-2011
daniyl

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091
zubastiy
 
Приветствую...
Если не напряжет, могли бы пример выложить...
 
Заранее благодарен.

Всего записей: 53 | Зарегистр. 06-01-2006 | Отправлено: 10:23 25-02-2011
whaleshark



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день,  
Натолкнулся на http://habrahabr.ru/blogs/cisconetworks/93233/ как там написано  "создатели которого достаточно успешно перенесли функционал Cisco ASA 5500 на обычный PC..."
Кто нибудь пробовал?

Всего записей: 532 | Зарегистр. 28-06-2009 | Отправлено: 15:36 27-02-2011
vicwanderer

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Принципы защиты от ddos атак(в т.ч. с помощью CiscoASA).Как?
С Сisco столкнулся впервые и с сайтами, которые ddos-ят тоже не приходилось работать. Опишу схему:
Есть веб сервисы, которые располагаются на площадке датацентра. Датацентр предоставляет канал в 100M и пул внешних IP.
Веб сайты крутятся в ЛВС на MS IIS 7 + MS SQL 2008. ЛВС отделена от внешнего мира Cisco ASA 5510 (IOS 8.x).
 
Как защититься от ddos (организационные меры)?
1. Взять резервный канал у датацентра с другой магистрали(с другим IP пулом) и подключить его к этой же cisco и в случае ddos переключать веб сервисы на другой канал? (Но если ddos-ят, то будет ли доступ к cisco? или cisco тоже "повиснет"?)
2. Выяснить у датацентра использует ли он методы защиты от ddos (системы мониторинга трафика+системы очистки трафика)?
 
Что настроить на cisco asa (технические меры)?
3. Закрыть все неиспользуемые порты (используется только 80, 443 и 25 наружу)
4. Отключить все неиспользуемые службы.
5. Заблокировать все неиспользуемые протоколы (в т.ч. и ICMP)
6. На входящий трафик c 10.0.0.0; 172.16.0.0 - 172.31.0.0; 192.168.0.0 - 192.168.255.0 установить deny
7. На входящий трафик с IP-шников равных моим установить deny.
8. Читал, что cisco может фильтровать на уровне полуоткрытых соединений (при борьбе с TCP SYN-атаками). Для SSL cisco сможет фильтровать? Какими командами это настраивается на cisco asa?
9. Что ещё подскажите?

Всего записей: 545 | Зарегистр. 25-12-2005 | Отправлено: 12:05 28-02-2011
zubastiy

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vicwanderer
 
Обязательно обновляйтесь. Ибо уязвимостей много, могут положить сайты парой запросов.
 
Для экстренного доступа лучше взять тощий канал (1мб) + доп рутер (исключительно для резервного входа)
 
Тема ddos оч обширна. Имхо если проект важный (критичный к простою) и нет опыта - лучше заоутсорсите разработку плана по антиддос защите.  
 

Цитата:
9. Что ещё подскажите?

 
из полезного в ASA
 
ограничить колво tcp сессий с одного ip  
__static (inside,outside)  192.168.2.231 192.168.100.5 netmask 255.255.255.255 tcp 50 250  
 
50 одновременных и 250 полуоткрытых
 
когда к нам прибежала толпа ботов, одно время успешно отбивались выставлением ограничений tcp 15 50
 
настроить threat detection + shun (в исключения для shun обязательно занесите свои веб сервера) если кратко, это подсчет статистики активности хостов и настройка триггеров для внесения слишком активных хостов в автобан.
 
хочу так же отметить, что во время ддос атаки вебинтерфейс асы нещадно тормозит. так что cli - в обязательном порядке к изучению.
 

Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 12:27 28-02-2011
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подскажите пожалуйста про Cisco ASA 5505 - каким типом кабеля её подключать ?
Т.е. если у неё порты свитчёвые  - то к компу её нужно подключать прямым кабелем, а к свитчу кросс.
Всё верно ?
 
Добавлено:

Цитата:
By default, the speed and duplex for switch ports are set to auto-negotiate. The default auto-negotiation
setting also includes the Auto-MDI/MDIX feature. Auto-MDI/MDIX eliminates the need for crossover
cabling by performing an internal crossover when a straight cable is detected during the auto-negotiation
phase. You cannot disable Auto-MDI/MDIX for the interface.

это хорошо но не рабоает всё же что-то.
 
Добавлено:

Цитата:
The ASA 5505 supports a built-in switch

значит это Switch:
Cisco ASA(Switch) <-- Cross --> Switch

Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 15:27 01-03-2011 | Исправлено: slech, 17:03 01-03-2011
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
возможно мои догадки были верны - мы вставили свитч(не совсем свитч - файервол со свитчёвыми портами) и crossover.
заработало только после сброса натсроек этого самого файервола на дефолтные.

Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 22:06 01-03-2011
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Что настроить на cisco asa (технические меры)?
3. Закрыть все неиспользуемые порты (используется только 80, 443 и 25 наружу)
4. Отключить все неиспользуемые службы.
5. Заблокировать все неиспользуемые протоколы (в т.ч. и ICMP)
6. На входящий трафик c 10.0.0.0; 172.16.0.0 - 172.31.0.0; 192.168.0.0 - 192.168.255.0 установить deny
7. На входящий трафик с IP-шников равных моим установить deny.
8. Читал, что cisco может фильтровать на уровне полуоткрытых соединений (при борьбе с TCP SYN-атаками). Для SSL cisco сможет фильтровать? Какими командами это настраивается на cisco asa?
9. Что ещё подскажите?

 
3,4,5 на асе по умолчанию все закрыто и отключено. это не маршрутизатор
6. - rfc 1918, а еще лучше 3330
7. - rfc 2827. можно команду verify unicast source
но для 6 и 7 есть оператор связи.
И проблему ddos правильнее решать именно на уровне оператора
 

Цитата:
Обязательно обновляйтесь. Ибо уязвимостей много, могут положить сайты парой запросов.  

угу, а асу положить парой пингов)

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 23:17 01-03-2011
zubastiy

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
угу, а асу положить парой пингов)

к сожалению факт.
сайт сделанный на IIS +ASP какой то там + net.framework у нас ложился от пары специфических запросов. если у программеров остались, выложу на посмотреть.
проц молотил 100 процентов и IIS переставал отвечать.
вышла заплатка - помогло.

Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 00:20 02-03-2011
vicwanderer

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091,  
"на асе по умолчанию все закрыто и отключено. это не маршрутизатор" - железки "в наследство" достаются не по умолчанию.
 
"но для 6 и 7 есть оператор связи.
И проблему ddos правильнее решать именно на уровне оператора" - сейчас интересует всё, что я могу сделать у себя.
 
"С оператором" в смысле с  датацентром или с ISP (тот, кто дает интернет датацентру)?

Всего записей: 545 | Зарегистр. 25-12-2005 | Отправлено: 13:42 02-03-2011
slaj1



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091
добрый день
 
пример прост
с офиса необходимо организовать доступ к двум другим офисам/компаниям в обоих случая х на другой стороне различные киски
 
Добавлено:
ps
на постоянной основе

Всего записей: 913 | Зарегистр. 23-06-2003 | Отправлено: 16:11 02-03-2011
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
to vicwanderer
доставшиеся кошки в_наследство тогда уж лучше перенастроить самому с 0.
 
to slaj1
ответ еще проще)
различные кошки разное умеют. поэтому можно

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 17:49 02-03-2011
godzmei

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
всем привет!
Люди добрые помогите asa 5505 подружить с NetFlow 8 версией ... какие настройки нужно сделать в ASA

Всего записей: 3 | Зарегистр. 10-08-2009 | Отправлено: 01:21 25-03-2011
whaleshark



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Извините за офтоп.
По одной цене предлагают ASA5505-50-BUN-K9 и Pix 515 unrestr. что лучше взять? Сам я не специалист в этих железках.
Основное назначение site-to-site vpn, firewall. Через firewall кроме обычного трафика должен будет ходить еще и голос как sip так и h.323.

Всего записей: 532 | Зарегистр. 28-06-2009 | Отправлено: 12:11 09-04-2011 | Исправлено: whaleshark, 12:17 09-04-2011
Elric72

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А кто подскажет можно ли собрать в кластер более 2-х ASA ?
 и что для этого надо модель самой ASA версия софта дополнительные лицензии ?
 
 везде идут только отсылки на loadbalansing между двумя ASA
 
 
 
 

Всего записей: 15 | Зарегистр. 13-05-2010 | Отправлено: 12:10 13-04-2011
skliz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите гуру, есть pix-515e, поставил туды 8.0(4)32, затем воткнул asdm 5.2(4) при входе пишет что 8.0(4) не работает с 5.2(4) , думал поставить 6.4.1 но он незалезет туды места нет, подскажите какой asdm поставить. спасибо

Всего записей: 122 | Зарегистр. 19-01-2006 | Отправлено: 14:25 13-04-2011
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
skliz
ставьте 6.1(5)57

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 14:38 13-04-2011
skliz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
хорошо, щас попробую, отпишусь
 
Добавлено:
Да залилось нормально, я так понял это последний который влезет на 16mb flash которые там стоят.
 
Добавлено:
единственое непойму перестало соединятся с впн конфиг наместе вроде усе постарому, могла ли замена ios чтонить попортить
 
Добавлено:
да вот теперь такая фигня,  Group = DefaultRAGroup, IP = x.x.x.x, Removing peer from peer table failed, no match! а у клиента вот так Marking IKE SA for deletion  (I_Cookie=CB7CC9E7876001C3 R_Cookie=0000000000000000) reason = DEL_REASON_PEER_NOT_RESPONDING

Всего записей: 122 | Зарегистр. 19-01-2006 | Отправлено: 14:42 13-04-2011
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
подскажите пожалуйста.
загружается канал - иду в логи вижу много в ADSM Sysylog - но плохо представляю как мне  понять кто валит мою сеть изнутри ?
Или тут без net flow и SNMP свитчей никак ?
На ум приходит создание правил разрешающих для отлова IP по портам, но думается это не эффективно.
В Mikrotik например есть Torch.
В ASA есть возможность трафик хватать - но я плохо предстваляю как потом искать в этом виновника.
Подскажите кто как решает такие задачи.
 
Спасибо.

Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 19:48 03-05-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru