ASA üzerinde Policy/Regular – Static/Dynamic – NAT/PAT/Port Forwarding özelliği ve öncelik sırası

ASA üzerinde önemli konulardan birtanesi nat (network address translation) ve nat ile yapılan varyasyonlarıdır.Asa’da birçok birçok nat çeşidi vardır ve okuma sıralamasına göre yapılandırılmadığında istediğimiz sonucu alamayız ve problemli bir yapılandırma ile karşı karşıya kalırız.Nat okuma sıralaması aşağıdaki gibidir.

NAT 0 (Exemption)
Policy Static Identity NAT/PAT
Regular Static Identity NAT/PAT
Policy Static NAT/PAT
Regular Static NAT/PAT
Policy Dynamic NAT/PAT
Regular Dynamic NAT/PAT

Yukarıdaki nat tiplerinden bazıları tek yönlü olarak sadece outside yönünde çalışabilmektedir, diğer adıyla “aka destination nat” olarak adlandırılmaktadır. Bu translation tipi düşük security-level kullanan interface’lerden gelen trafik için kullanıldığında kullanışlı olmaktadır.”Nat 0″ nat’ın zorunlu olduğu yerlerde ip adresini orjinal haliyle taşımak için yazılan nat yapılmaması için gerekli bir kuraldır, mesela “site to site vpn” senaryoları örnek gösterilebilir.Nat çeşitleri listesinde bulunan “policy” ile başlayanlar access-list ile trafiğin yönü belirtilen nat yada pat (port address translation) kurallarıdır.”Regular” ile başlayanlar ise access-list kullanılmadan yazılanlardır.Static olanlar “nat translation table”‘a kalıcı olarak eklenen yani “static” kelimesi ile yapılandırılmaya başlayanlardır.”Dynamic” olanlar ise “translation table”‘a trafik akışı geldiği anda dinamik olarak oluşturulan ve timeout süresi sonunda “translation table” içerisinden kaldırılanlardır, “nat” ve “global” komutlarıyla yapılandırılmaktadır.”Identity” kelimesi içerenler genel olarak nat/pat olma durumlarına göre mevcut port veya mevcut ip kullanılarak aynı ip veya port soneki ile translation’a uğrama durumudur.Eğer nat kuralımız port numarası içeriyorsa “pat”, içermiyorsa nat olarak tanımlanmaktadır.Bazı durumlarda ise port numarası kullanmasak dahi kural çalışma mantığı itibariyle “pat” olarak anılabilmektedir, mesela “many to one” örnek olarak gösterilebilir.

Site içerisinde yakında tüm nat varyasyonları ile ilgili komut örnekleri bulabileceksiniz.

Share
Cisco Security kategorisine gönderildi | , , , , , , , , , ile etiketlendi | Yorum yapın

ASA ARP table üzerine static girdi ekleme

ASA arp table (address resolution table) içerisine mac adresi “aaaa.aaaa.aaaa” olan bir hostu “inside” isimli interface üzerinden static olarak eklemek istiyorsak aşağıdaki komut kullanılmaktadır.Satır sonundaki “alias” kelimesi ise isteğe bağlı olarak “proxy-arp” özelligini devreye almaktadır.

arp inside 10.0.1.100 aaaa.aaaa.aaaa alias

coasa(config)# show arp
outside 172.26.1.1 001d.a289.d7c2
inside 10.0.1.100 aaaa.aaaa.aaaa alias

Share
Cisco Security kategorisine gönderildi | , ile etiketlendi | Yorum yapın

Router üzerinde Tool Command Language Shell ile toplu ping gönderimi

Şube networklerinizi denetlemek için ip subnetlerinizi tek tek pinglemek bazen pek kolay olmayabiliyor.Aşağıdaki scripti kullanarak toplu olarak ping gönderimi yapabiliriz.Başarılı olanlar “!!!!!” başarısız olanlar “…..” şeklinde karşımıza gelecek ve hangilerinin çalıştığını anlayabiliriz.IP adreslerini kendinize networklerinize göre düzenleyebilirsiniz.FQDN bazlı sorgulama yapacaksanız name-server ve domain-lookup ayarlamalarını yapmış olmanız gerekmektedir.

tclsh
foreach address {
192.168.2.1
4.2.2.1
4.2.2.2
8.8.8.8
208.67.222.222
208.67.220.220
195.175.39.39
195.175.39.40
google.com
korayonder.com
} {
ping $address }

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 4.2.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 100/373/588 ms
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 4.2.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 160/180/196 ms
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 44/132/216 ms
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 208.67.222.222, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 72/139/348 ms
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 208.67.220.220, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 72/79/96 ms
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 195.175.39.39, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/8/8 ms
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 195.175.39.40, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/11/20 ms
Translating “google.com”…domain server (255.255.255.255)

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 74.125.232.208, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 48/59/84 ms
Translating “korayonder.com”…domain server (255.255.255.255)

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 174.34.167.66, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 164/165/172 ms
MERKEZ_BACKBONE(tcl)#tclquit
MERKEZ_BACKBONE#

işlem bittikten sonra enable moda dönmek istiyorsak “tclquit” komutunu kullanabiliriz.

Share
Cisco kategorisine gönderildi | , ile etiketlendi | Yorum yapın

Asa üzerinde Mount Point kullanarak ftp veya windows/linux paylaşımlarına backup/restore

Mount point özelliği kolay bir şekilde dosyalarımızı backup veya restore yapmaya, ASA ve ASDM file manager’da virtual bir disk gibi gözükmesine yarar.Eğer yapılandırmalar içerisinde server olarak ip değilde FQDN verecekseniz ASA dns server ayarlarınızın daha önceden yapılandırılmış olması gerekmektedir.Kopyalama yaparken herhangi bir soru sormadan kopyalama işlemi tamamlanacaktır.

mount korayftp type FTP
server korayonder.com
path yedekler
username korayonder
password koray123
mode passive
status enable

mount koraypc type CIFS
server 10.0.1.10
share paylasim
domain academytech.net
username korayonder
password koray123
status enable

coasa(config)# dir ?

exec mode commands/options:
/all List all files
/recursive List files recursively
korayftp: Directory or file name
koraypc: Directory or file name
all-filesystems List files on all filesystems
disk0: Directory or file name
disk1: Directory or file name
flash: Directory or file name
system: Directory or file name

coasa(config)# copy running-config koraypc:

Share
Cisco Security kategorisine gönderildi | , ile etiketlendi | Yorum yapın

Asa üzerinde Yetkisiz VPN userlerinin management access’lerini kısıtlama (yetki kontrolü)

Asa üzerinde VPN üzerinden oturum açması için oluşturduğunuz kullanıcılarınız var ve authorization kontrolü sağlamıyorsanız muhtemelen o cihazın yapılandırmasında bir sıkıntı var demektir.Çünkü authorization kontrolu yapmadığımız takdirde vpn user’larımız kusursuz bir şekilde cihazların üzerinde management erişim oturumlarını açabilmektedir.Hakkı olmayan kullanıcıların asdm,telnet,ssh bağlantılarını kısıtlamak istiyorsak ilgili servislerin AAA özelliği sayesinde authentication işlemlerini tacacs,radius veya local olarak sağladıktan sonra enable’a giriş işlemi için authorization ile yetki kontrölü sağlamalıyız.Bu yapılandırmanın ardından kullanıcılar cihazlar üzerinde oturum açtıktan sonra yetkili moda giriş yapmak isterler ise aşağıdaki hata ile karşılaşacaklardır.Tabi burada alınacak ilk önlem bu durum olmamak ile birlikte webtype veya downloadable access list’leri kullanarak userlerin erişeceği kaynaklara direk olarak izinli hale kalanlarının ise yasak olmasını sağlamalıyız.

Öncelikle cihazımızı AAA authentication özelliğini LOCAL username’leri kullanacak şekilde yapılandırıyoruz.
aaa authentication enable console LOCAL
aaa authentication telnet console LOCAL
aaa authentication ssh console LOCAL
aaa authentication http console LOCAL

Vpn üzerinden oturum açacak kullanıcımızı local authentication açtığımız için asa üzerinde oluşturuyoruz.
username vpnuser password vpnuser123

son olarak enable (exec) moda geçiş için yetki kontrolü yaptırıyoruz ve kullanıcının priviliege level yetersiz olduğu için bir nevi management erişimleri sağlayamamasını belirtmiş oluyoruz.
aaa authorization exec authentication-server

Durumu iç networkten vpnuser ile oturum açmaya çalışarak test edip birlikte görelim.

telnet 10.0.1.1
User Access Verification

Username: vpnuser
Password: **********
Type help or ‘?’ for a list of available commands.
Internal-DMZ> en
Password: **********

[ vpnuser ] You do NOT have enable Admin Rights to the console
Password:

Share
Cisco Security kategorisine gönderildi | , ile etiketlendi | Yorum yapın

Router üzerinde SLA ile VPN durumunu izleme ve up/down olan tüneller için syslog server’a mesaj gönderme

Eğer sizde g.dat hatlarınıza backup olarak 3g gibi bir bağlantı kullanıyorsanız route base vpn için tünnel interface’lerini kullanıyorsunuzdur.network monitoring’i için daha çok syslog kullanıyor veya tunnel interface’leriniz down olduğunda syslog sunucunuza anlamlı mesajların düşmesini istiyorsanız “ip sla” ile “eem” tam size göre bir çözüm olacaktır.Ip sla ile icmp-echo modunda ankara şube tünel ucununu kendi tünel interface’imiz ile periyodik olarak ve işlem hemen başlayacak şekilde sonsuza kadar ping’letiyoruz.Eğer ping’ler başarısız olursa tünel durumunun down, başarılı olursa up olduğunu ve bu durumlarda syslog sunucuya hangi mesajların gideceğini “eem” içerisinde belirtiyorum.Tabiiki bu yapılandırmayı sıfırdan yapacaksanız eğer syslog sunucu ayarlarınızı yapmayı unutmayın.

ip sla 12
icmp-echo 10.0.0.6 source-interface Tunnel2
frequency 5
ip sla schedule 12 life forever start-time now

scheduler max-task-time 5000

event manager applet VPN-Down-Track
event track 12 state down
action 10 syslog msg “********** DIKKAT! Merkez-Ankara sube VPN baglantisi koptu! **********”
action 12 cli command “clear crypto session”

event manager applet VPN-Up-Track
event track 12 state up
action 10 syslog msg “********** Merkez-Ankara sube VPN baglantisi kuruldu **********”

Share
Cisco kategorisine gönderildi | , , ile etiketlendi | Yorum yapın

Cisco ASA üzerindeki trafiğin CSC-SSM modülüne gönderilmesi

Asa üzerinde kullanabileceğimiz 2 adet CSC kart çeşidi bulunmaktadır.CSC-SSM-10 ve CSC-SSM-20 modelleridir.Aslında ikisininde yaptığı iş aynıdır.Aralarındaki tek fark cpu ve ram kapasitelerinin farklı olması ve daha iyi performans sağlıyor olmasıdır.Modülün üzerinde sadece 1 adet gigabitethernet bakır kablo (rj45) interface’i bulunmaktadır.Trend micro mimarisini kullanarak database’ini güncel tutmaktadır.CSC-SSM sadece http,ftp,pop3 ve smtp trafiğinin analizini yapabilmektedir, bu sebeple bahsettiğimiz tipteki trafikleri CSC kartımıza yönlendirerek gerekli kötü kod analizleri ve zararlıları bulabilmesi için gerekli ortamı oluşturuyoruz.

access-list CSC extended permit tcp any any eq www
access-list CSC extended permit tcp any any eq ftp
access-list CSC extended permit tcp any any eq smtp
access-list CSC extended permit tcp any any eq pop3

İlk olarak hangi trafiklerin inspect edileceğini belli edecek bir erişim listesi oluşturuyoruz.Ben örneğimde tüm inspect edebildiği trafik tipleri için tüm oluşan trafiği belirtiyorum.

class-map CSC_ClassMap
match access-list CSC

Layer3-4 bir class map ile trafiğimizin match olması için access listemizi gösteriyoruz.

policy-map CSC_PolicyMap
class CSC_ClassMap
csc fail-open

Class map içerisindeki match edilmiş trafiğin layer 3-4 policy-map içerisinde ne tür bir aksiyona uğrayacağını belli ediyoruz edebilmek için Class-Map’imizi Policy-map ile ilişkilendiriyoruz.”fail-open” syntax’ı ile eğer olurda CSC-SSM modülü hata verirse trafiğin kesilmeden devam edebileceğini söylüyoruz.Kritik networklerde “fail-close” syntax’ı kullanılarak trafiğin kesilmesi sağlanabilir.

service-policy CSC_PolicyMap interface outside
service-policy CSC_PolicyMap interface inside

Son olarak yukarıda aksiyonu belli edilmiş match olan trafiği inside ve outside interface için hem ingress hem de egress yönünde bidirectional olarak çalışmasını söylüyoruz.

Share
Cisco Security kategorisine gönderildi | , , ile etiketlendi | Yorum yapın

ASA üzerinde Clientless SSL VPN istatistiklerini görüntüleme

Asa ürün ailesi üzerinde Clientless SSL VPN (webvpn) üzerinden bağlı kullanıcılar için istatistiksel olarak kaç paket gelmiş,kaç paket gitmiş,hasing için kaç kere hesaplama isteği yapılmış,süresi dolan key’ler için kaç kere rekey işlemi için negotiation işlemi gerçekleştirmiş, packet kapsülleme ve çözümleme işlem sayıları gibi detaylı bilgi isteklerine “show crypto protocol statistics ssl” komutu ile cevap bulabiliriz.

Internal-DMZ# show crypto protocol statistics ssl
[SSL statistics]
Encrypt packet requests: 180899
Encapsulate packet requests: 180899
Decrypt packet requests: 192884
Decapsulate packet requests: 192884
HMAC calculation requests: 373783
SA creation requests: 1756
SA rekey requests: 0
SA deletion requests: 1754
Next phase key allocation requests: 0
Random number generation requests: 0
Failed requests: 0

Share
Cisco Security kategorisine gönderildi | ile etiketlendi | Yorum yapın

ASA üzerinde ASDM grafik arayüzü yapılandırması

Router’larda SDM (secure device manager) olduğu gibi pix ve asa ürün ailesinin yönetimi asdm dediğimiz arayüz üzerinden sağlanabilmektedir.Pix firewall’ların eski ios’lu versiyonlarında PDM (pix device manager) adını verdiğimiz şimdiki ASDM’in atası kullanılmaktaydı, fakat zaman içerisinde geliştirilmesiyle birlikte yeni özelliklerde eklenerek ASDM (adaptive security device manager) halini almıştır.Pix firewall 7 ve sonrası ios’lar da asdm desteği sağlamaktadır.

Birçok network yönetim programında olduğu gibi asdm java tabanlı bir yazılımdır ve https üzerinden çalışmaktadır.ASDM kullanabilmek için cihazın “disk0” veya ilgili depolama birimi içerisine “smartnet” hesabımız ile indirdiğimiz “asdm-623.bin” isimli dosyayı “tftp server” veya “card reader” vasıtası ile yüklemeliyiz.Kararlı bir asdm ekranı ile çalışabilmek istiyorsanız “java 1.4.2” versiyonunu makinenize kurmanızı öneririm.Yine aynı şekilde bilgisayarınızın lokasyon ve dil ayarınıda “united states” seçmeniz halinde asdm sorunsuz bir şekilde çalışmaya hazır olacaktır.

asdm image disk0:/asdm-623.bin (komutu ile disk0 üzerindeki asdm dosyamızın konumunu belirtiyoruz)
http server enable (https üzerinden çalıştığından http server özelliğini etkinleştiriyoruz.Az önce https dedim ama http açtım, siz buna aldanmayın.Asa default’ta tüm protokollerin secure versiyonlarını kullanmaktadır.”http secure-server” gibi bir komuta gerek duyulmamaktadır.
http 172.26.26.50 255.255.255.255 outside (https üzerinden kimlerin web sunucumuza erişeceğini belirtmemiz gerekecektir.Aksi takdirde kimse web sunucumuza erişemeyecektir.outside interface üzerinden gelecek bir ip’ye izin veriyorum)
http 192.168.100.0 255.255.255.0 management-network (aynı şekilde bu seferde management isimli network’ten gelecek isteklere izin veriyorum)

Yukarıdaki ayarlardan sonra makinemize ASDM yükleme aracını indirmek üzere https://cihaz_ip_adresi adresini web browser’ımıza yazarak asdm yükleme sayfasına ulaşıyoruz.”Install ASDM launcher” butonuna bastıktan sonra “run” dediğiniz takdirde bazı asdm versiyonlarında sıkıntı çıkarmaktadır.Önce makinenize download ettikten sonra kurulumu elle tetiklemenizi öneririm.

ASDM için “msi” uzantılı dosyayı indirip makinemize kurduktan sonra “başlat > programlar” kısayolu üzerinden “Cisco ASDM Launcher” ‘i çalıştırıyorum.

ASDM login ekranında, cihaza herhangi bir şifre vermemişsek şifresiz, enable şifresi tanımlanmış ise sadece password alanına enable şifresini yazarak giriş sağlayabiliriz.

enable password en1234 (komutu ile enable şifresi tanımlanabilir)

Eğer username tanımlanmış ise username ile asdm bağlantısı yapılabilir.Demo mode seçeneğini seçebilmek için asdm demo paketini cisco download center’dan indrimemiz gerekmektedir.Bunun sonucunda asa’mız olmasa dahi gerçek bir cihaza bağlanıyormuş gibi hazır kurulu cihazlarda oturum açabiliriz.

username korayonder password asdm1234 priviliege 15 (username,password ve yetki seviyesini tanımlayarak kullanıcı hesabı oluşturuyoruz.)

Eğer yukarıdaki gibi bir karşılama ekranı ile karşılaştıysanız kurulum sorunsuz bir şekilde tamamlanmış demektir.

NOT!!! ssh,telnet,icmp,http gibi protokoller için isteklerin geleceği ip belirtilirse aksini iddia eden bir permit access rule yazmaya gerek kalmaz.

Share
Cisco Security kategorisine gönderildi | ile etiketlendi | Yorum yapın

ASA 8.3 Dynamic Nat yapılandırması ve komut değişiklikleri

ASA ios 8.3 versiyonu ile daha önceki versiyonlarda bulunan dinamik nat yapılandırmasını sağlarken kullandığımız “nat” ve “global” komutları ortadan kaldırılmıştır.Object grouping methodu ile nat yapılandırmalarımızı sağlayabilmekteyiz.Grouping ile source ve destination networkler belirlenerek eski static nat konfigurasyonunda olduğu gibi nat yapılandırmamızı tek satırda tamamlayabiliriz.

object network ic_ag
subnet 10.0.1.0 255.255.255.0
description Natlanacak ipler

object network dis_ipler
range 192.168.1.110 192.168.1.120
description Dis bacak global ip adresleri

nat (inside,outside) 1 source dynamic ic_ag dis_ipler description dinamik nat uygulamasi

show xlate komutu ile translation table içerisindeki mevcut translationlar ekrana basılabilir.
clear xlate komutu ile mevcut translation girdileri translation table içerisinden temizlenebilir.

Share
Cisco Security kategorisine gönderildi | , , , ile etiketlendi | Yorum yapın