Блог системного администратора » cisco

DMZ на CISCO ACL

admin — Sun, 08 May 2011 07:17:23 +0000

ACL (англ. Access Control List — список контроля доступа, по-английски произносится «эй-си-эл») — определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом.

Все действия проводились на cisco catalyst 3560.

Часть первая. Входящий трафик.

В этом примере у меня есть частная сеть 192.168.32.x и сеть DMZ 192.168.30.x.

Заблокируем весь для группы 100.

access-list 100 deny ip 192.168.30.0 0.0.0.255 any
access-list 100 deny ip 192.168.32.0 0.0.0.255 any
access-list 100 permit ip any any

Применим группу 100 для serial0/0.

interface serial0/0
ip access-group 100 in

Разрешим трафик с DMZ сети на DMZ интерфейс.

access-list 101 permit ip 192.168.30.0 0.0.0.255 any
interface ethernet0/0
ip access-group 101 in

Разрешим трафик с приватной сети на приватный интерфейс.

access-list 102 permit ip 192.168.32.0 0.0.0.255 any
interface ethernet0/1
ip access-group 102 in

Первая часть установки сделана. Мы разрешил трафик в нашей сети на интерфейсы cisco, но мы еще не сказали, что трафик может покидать их. Теперь нужно разрешить определнный вохдящий трафик в DMZ с приватных сетей.

Часть вторая. Исходящий трафик.

Разрешим выход в интернет из сети DMZ, например, для доступа к внешним серверам DNS.
Правило для TCP-handshake:
access-list 103 permit tcp any host 192.168.30.0 0.0.0.255 established

Правила для DNS и ICMP.

access-list 103 permit udp host 192.168.30.3 eq domain any eq domain
access-list 103 permit udp host 192.168.30.3 gt 1023 any eq domain
access-list 103 permit udp host 192.168.30.3 eq domain any gt 1023
access-list 103 permit tcp host 192.168.30.3 any eq domain
access-list 103 permit icmp 192.168.30.0 0.0.0.255 any echo-reply
access-list 103 permit tcp host 192.168.30.1 any
access-list 103 permit tcp host 192.168.30.4 any eq smtp

Теперь разрешим доступ из локальной сети в DMZ.

Правило для TCP-handshake.

access-list 104 permit tcp any host 192.168.30.0 0.0.0.255 established

Правила для DNS,FTP,HTTP,ICMP,TELNET,SMTP.

access-list 104 permit udp any eq domain host 192.168.30.3 eq domain
access-list 104 permit udp any eq domain host 192.168.30.3 gt 1023
access-list 104 permit udp any gt 1023 host 192.168.30.3 eq domain
access-list 104 permit icmp any 192.168.30.0 0.0.0.255 echo
access-list 104 permit tcp any host 192.168.30.2 eq www
access-list 104 permit tcp 192.168.32.0 0.0.0.255 host 192.168.30.1 range ftp-data ftp
access-list 104 permit tcp 192.168.32.0 0.0.0.255 host 192.168.30.1 eq telnet
access-list 104 permit tcp 192.168.32.0 0.0.0.255 host 192.168.30.1 eq 8080
access-list 104 permit tcp any eq ftp-data host 192.168.30.1 gt 1023
access-list 104 permit tcp any host 192.168.30.4 eq smtp
access-list 104 permit tcp host 172.16.1.2 host 192.168.30.3 eq domain
access-list 104 permit tcp host 172.16.1.4 host 192.168.30.3 eq domain

Наконец мы разрешим трафик из DMZ сети для установки соединения (TCP-handshake,FTP-active mode,ICMP echo ответ) из LAN в DMZ.

access-list 105 permit tcp 192.168.30.0 0.0.0.255 192.168.32.0 0.0.0.255 established
access-list 105 permit icmp 192.168.30.0 0.0.0.255 192.168.32.0 0.0.0.255 echo-reply
access-list 105 permit tcp host 192.168.30.1 eq ftp-data 192.168.32.0 0.0.0.255 gt 1023
access-list 105 permit tcp host 192.168.30.4 192.168.32.0 0.0.0.255 eq smtp

Применим группы.

interface serial0/0
ip access-group 100 in
ip access-group 103 out

interface ethernet0/0
ip access-group 101 in
ip access-group 104 out

interface ethernet0/1
ip access-group 102 in
ip access-group 105 out

Создаем лабораторию Cisco с применением Dynamips.

admin — Wed, 11 Aug 2010 10:34:52 +0000

В этой короткой заметки хотел бы вам рассказать как быстро и просто поднять лабораторию с cisco для всякого рода экспериментов и обучения.

Все работы я выполнял на FreeBSD 7.0

Итак, приступим. Для начала нам потребуются непосредственно dynamips и dynagen впридачу.

cd /usr/ports/emulators/dynagen make install clean

dynamips вытянется и установится как зависимость.

После установки надо подумать, какую схему и на базе какого желема мы будем делать.

В настоящий момент поддерживаются следующие железки:

Cisco 7200

Cisco 3600 (3620,3640,3660)

Cisco 2691/3725/3745

Cisco 2600

Поиски ios’а остаются за вами

Я готовил следующую схему:

на базе 3640.

Вот конфиг:

[bayrak@ciscolab /usr/ports/emulators/dynagen]$ cat /usr/cisco/cisco_lab.net

autostart = false
[localhost]
[[3640]]
image = /usr/cisco/c3640-ik9o3s-mz.124-21.bin
idlepc = 0x60638cd8

##############
[[ROUTER R1]]
##############
console = 2001
disk0 = 0
disk1 = 0
model = 3640
confreg = 0x2102
ram = 96
nvram = 256
mmap = true
slot0 = NM-4E
slot1 = NM-4T
s1/0 = FRSW 1
s1/1 = R3 s1/1
E0/1 = R5 E0/1

##############
[[ROUTER R2]]
##############
console = 2002
disk0 = 0
disk1 = 0
model = 3640
confreg = 0x2102
ram = 96
nvram = 256
mmap = true
slot0 = NM-4E
slot1 = NM-4T
s1/0 = FRSW 2

##############
[[ROUTER R3]]
##############
console = 2003
disk0 = 0
disk1 = 0
model = 3640
confreg = 0x2102
ram = 96
nvram = 256
mmap = true
slot0 = NM-4E
slot1 = NM-4T
s1/0 = FRSW 3
E0/1 = R4 E0/1

##############
[[ROUTER R4]]
##############
console = 2006
disk0 = 0
disk1 = 0
model = 3640
confreg = 0x2102
ram = 96
nvram = 256
mmap = false
slot0 = NM-4E
slot1 = NM-4T

##############
[[ROUTER R5]]
##############
console = 2007
disk0 = 0
disk1 = 0
model = 3640
confreg = 0x2102
ram = 96
nvram = 256
mmap = false
slot0 = NM-4E
slot1 = NM-4T

###############
[[ROUTER SW1]]
###############
console = 2004
disk0 = 0
disk1 = 0
model = 3640
confreg = 0x2102
ram = 96
mmap = false
slot1 = NM-16ESW
f1/2 = R2 E0/0
f1/11 = SW2 f1/11
f1/12 = SW2 f1/12
f1/13 = SW2 f1/13

###############
[[ROUTER SW2]]
###############
console = 2005
disk0 = 0
disk1 = 0
model = 3640
confreg = 0x2102
ram = 96
mmap = false
slot1 = NM-16ESW
f1/3 = R3 E0/0

###############
[[FRSW FRSW]]
###############
1:122 = 2:221
1:123 = 3:321

Далее, запускаем dynamips:
#dynamips -H 7200
После чего:
#dynagen cisco_lab.net (в нем конфиг который представлен выше)

Reading configuration file...

Shutdown in progress...
Shutdown completed.
Network successfully loaded

Dynagen management console for Dynamips and Pemuwrapper 0.11.0
Copyright (c) 2005-2007 Greg Anuzelli, contributions Pavel Skovajsa

=> help

Documented commands (type help ):
========================================
capture confreg cpuinfo export hist list py save show suspend
clear console end filter idlepc no reload send start telnet
conf copy exit help import push resume shell stop ver

=> list
Name Type State Server Console
R1 3640 stopped localhost:7200 2001
R2 3640 stopped localhost:7200 2002
R3 3640 stopped localhost:7200 2003
SW1 3640 stopped localhost:7200 2004
SW2 3640 stopped localhost:7200 2005
R4 3640 stopped localhost:7200 2006
R5 3640 stopped localhost:7200 2007
FRSW FRSW always on localhost:7200 n/a

=> start R1
CPU0: carved JIT exec zone of 64 Mb into 2048 pages of 32 Kb.
NVRAM is empty, setting config register to 0x2142
C3600 instance 'R1' (id 0):
VM Status : 0
RAM size : 96 Mb
NVRAM size : 256 Kb
Chassis : 3640
IOS image : /usr/cisco/c3640-ik9o3s-mz.124-21.bin

Loading ELF file '/usr/cisco/c3640-ik9o3s-mz.124-21.bin'...
ELF entry point: 0x80008000

C3600 'R1': starting simulation (CPU0 PC=0xffffffffbfc00000), JIT enabled.
100-VM 'R1' started

Далее запускаем остальные роутеры и свитчи.
Вот что получается к конечном итоге:

=> list
Name Type State Server Console
R1 3640 running localhost:7200 2001
R2 3640 running localhost:7200 2002
R3 3640 running localhost:7200 2003
SW1 3640 running localhost:7200 2004
SW2 3640 running localhost:7200 2005
R4 3640 running localhost:7200 2006
R5 3640 running localhost:7200 2007
FRSW FRSW always on localhost:7200 n/a

теперь можем telnet’ится на указанные порты и проводить конфигурирование cisco для работы.
Удачных экспериментов!

Cisco ASA теперь и на ПК!!!

admin — Wed, 12 May 2010 10:54:15 +0000

Недавно наткнулся на ресурс, создатели которого достаточно успешно перенесли функционал Cisco ASA 5500 на обычный ПК.

Cisco ASA по своей сути linux-based и вполне x86-совместима. Видимо, этот факт вызывал бурные фантазии о возможностях у многих гиков, и вот, наконец, в 2008 году группа энтузиастов подарила миру первый установочный образ Cisco ASA. С тех пор проект продолжает выпускать новые релизы.
Краткое описание возможностей получившегося продукта под катом.

Образ может быть запущен в виртуальной среде и на реальном ПК.
Требования к оборудованию следующие:

не менее 256MB RAM
не менее 110MB HD
сетевые карты Intel Pro/100, Intel Pro/1000, AMD PCNET32
CD-ROM

Получающаяся конструкция вполне пригодна для тестирования, обучения и подготовке к экзаменам Cisco. Можно вполне использовать и в бою, о чем свидетельствуют приведенные на сайте результаты тестов пропускной способности. Краткая выдержка из них прилагается:

Тестовое оборудование:

PIII 500 slot 1 CPU
256M sdram, pc100
intel 82558b NIC (2 порта)
intel 82559 NIC

Результаты:

NAT TCP

NAT UDP

WebVPN (трафик от клиента, без IPSEC)

P.S. В ближайшее время планирую написать о своем опыте эмуляции схемы с Cisco IPS с помощью Xen.