Настройка оборудования Cisco

Часто что-то надо сделать с сертификатами но поскольку это не каждый день то ключи openssl забываются, тут немного полезных команд: Проверить соответствие закрытого ключа и сертификата (у них у обоих общий модуль (это то огромное число, разложив которое на его простые множители, можно сразу вычислить секретную экспоненту и получить закрытый ключ, благо для ключей 2048 бит это вроде как пока невозможно (эта операция называется факторизация)). Ну а сравнивать проще по хэшу модуля:  openssl rsa -noout -modulus -in <фай с ключом>   | openssl md5 openssl x509 -noout -modulus -in  <фай с сертификатом>  | openssl md5  Теперь представим что вам нужно разобрать сертификат и закрытый ключ в одном PKCS12 формате (обычно это файл с расширением PFX) на сертификат и закрытый ключ Тут стоит сделать замечание: Данные сертификатов хранятся в формате ASN.1  а именно его варианта кодирования DER. Однако довольно часто нужен формат который можно представить в виде ...

 Для того чтоб SIP АТС, будучи за Inside интерфейсом, могла работать с внешней АТС за Outside интерфейсом, необходимо чтобы ASA после трансляции адресов заменила некоторые поля в пакете SIP и SDP.  В принципе это работает из коробки, так как по умолчанию этот функционал включен: policy-map global_policy  class inspection_default   inspect dns preset_dns_map   inspect ftp   inspect h323 h225   inspect h323 ras   inspect rsh   inspect rtsp   inspect esmtp   inspect sqlnet   inspect skinny   inspect sunrpc   inspect xdmcp   inspect sip   inspect netbios   inspect tftp   inspect ip-options   inspect icmp   inspect icmp error   inspect ipsec-pass-thru   Он включается строкой   inspect sip  в policy-map. Это может быть и не дефолтная политика а та которая применяться к интерфейсу но это уже не по умолчанию. Так вот работает это только с не шифрованным SIP (то либо...

 И так нужна версия NXOS для которой есть утилита для обновления ПО секвенсеров. Такая есть под 9.7.1.4.N1.1 Соответственно заливаем ПО на buutflash, всего нам нужно 4 файла: n5000-uk9.7.1.4.N1.1.bin n5000-uk9-kickstart.7.1.4.N1.1.bin  nuova-or-dplug-mzg.7.1.4.N1.1.bin ucd-update.tar Далее устанавливаем NXOS: sh incompatibility system bootflash:n5000-uk9.7.1.4.N1.1.bin show install all impact kickstart n5000-uk9-kickstart.7.1.4.N1.1.bin system n5000-uk9.7.1.4.N1.1.bin  Если ничего критичного не видим то устанавливаем. install all kickstart n5000-uk9-kickstart.7.1.4.N1.1.bin system n5000-uk9.7.1.4.N1.1.bin  Если все успешно нам предложат перезагрузиться: Switch will be reloaded for disruptive upgrade. Do you want to continue with the installation (y/n)?  [n] y   Далее из консоли надо загрузить утилиту: load bootflash:nuova-or-dplug-mzg.7.1.4.N1.1.bin  Loading plugin version 7.1(4)N1(1) ############################################################### ...

Видимо начиная с какой то версии ПО на Cisco ASA, работа с LDAP сервером с использованием SSL(TLS) невозможна без импорта на ASA сертификата LDAP сервера (либо его, либо того кем он подписан, например корневого доменного). как узнать какой у вас на сервере сертификат  кем он подписан: Ну например при помощи openssl openssl s_client -showcerts -connect <адрес LDAP сервера> :636  Далее надо получить сертификат в формате BASE64 И добавить его на ASA, например через CLI: crypto ca trustpoint ROOTCA  enrollment terminal  no ca-check crypto ca authenticate ROOTCA  <вставляем base64 текст>  quit  yes  В aaa-server <имя> (INSIDE) host <адрес LDAP сервера> добавляем ldap-over-ssl enable И тестируем test aaa-server authentication <имя> host <адрес LDAP сервера> Вводим имя пользователя Вводим пароль    

Есть несколько способов, рассмотрим способ с помощью traffic-policy Итак нам нужно сначала создать ACL Например у нас есть Vlan 2 (192.168.1.0/24) и мы хотим чтоб все ПК в этом VLAN могли ходить куда угодно кроме сети 192.168.2.0/24. Создадим такой ACL: acl number 3200   rule 10 deny ip destination 192.168.2.0 0.0.0.255   rule 40 permit ip source 192.168.1.0 0.0.0.255 Теперь нужно создать классификатор ну и описать поведение:   traffic classifier 3200 operator or   if-match acl 3200 traffic behavior 3200   statistic enable  traffic policy 3200   classifier  3200  behavior  3200   И применить политику к VLAN: vlan 2   description PC   name PC   traffic-policy 3200 inbound

 Если вы используете каку либо утилиту, использующую управляющие коды ANSI для окраски вывода, но видите вместо этого чтото типа ←[0m то необходимо в реестре поправить (или создать) параметр: \HKEY_CURRENT_USER\Consol e VirtualTerminalLevel DWORD 1 

 Для начала нужно скачать файл ISO usergate_light_image.iso  и файл для чистой установки, например ngfw7-x86-hdd.bz2 Далее при помощи утилиты Rufus   записать образ  usergate_light_image.iso на USB диск. Затем  в папку utm_image на этом диске скопировать файл  ngfw7-x86-hdd.bz2   Затем снять имидж с usb диска утилитой USB Image Tool ,  Должен получится файл с расширением img, например ug7wi.img Далее заходим на LOM (это как iLO только LOM :-)) из браузера. Там HTTPS на 443 порту. Вводим логин пароль, по умолчанию имя и пароль admin Далее жмем кнопку Remote Control Launch. Скачивается файл  jviewer.jnlp Считаем что у вас установлена 32 битная JRE и в java control pannel (javacpl.exe) во вкладке Security в списке Exception Site List добавлен адрес вашего LOM. Открываем командную строку, переходим в папку загрузок, и выполняем  javaws.exe jviewer.jnlp Только если у вас не одна JRE то укажите полный путь к 32 битной, например у м...

Из режима system-view создать шаблон радиус сервера: radius-server template SRV_RADIUS   radius-server shared-key cipher <общий секретный ключ>   radius-server authentication <адрес радиус сервера> <порт> source <интерфейс (SVI) с которого   будут отправляться запросы>    undo radius-server user-name domain-included Далее aaa   authentication-scheme RADSH     authentication-mode radius local domain default_admin   authentication-scheme RADSH   accounting-scheme default   radius-server SRV_RADIUS У пользователя в нстройках на радиус сервере нужно прописать атрибут: Huawei-Exec-Privilege = <например 15 для администраторов>

При подключении пользователя по AnyConnect, ASA добавляет в таблицу маршрутизации маршрут /32 с метрикой: Known via "static", distance 1, metric 0 (connected) В таблице маршрутизайии он будет отмечен как V (VPN) Зачем это нужно и почему /32? Если два пользователя с одним и тем же пулом, подключаться к разным внешним интерфейсам то будет два разных маршрута, и все будет работать. Но вот чтоб этот маршрут передать кудато еще, нужно завести статический маршрут на весь пул, например 192.168.2.0/25 на null или на внешний какой то один интерфейс. И уже его анонсировать в другие протоколы маршрутизации. Хотя если у вас ASA маршрутизатор основной, и у всех за ней маршрут по умолчанию на нее, то и этого не требуется.    

 Итак есть атрибут userAccountControl И вроде бы у него есть все нужные биты (флаги): PASSWORD_EXPIRED 0x800000 LOCKOUT    0x0010 ACCOUNTDISABLE 0x0002  Выключаем пользователя и видим что флаг  ACCOUNTDISABLE  установлен. Теперь вводин несколько раз (согласно политике) неправильный пароль, и видим что флаг  LOCKOUT    не установлен. При этом атрибут  lockoutTime имеет не нулевое значение, что указывает на то что учетная запись таки заблокировалась. Так вот, с Windows 2003 есть еще один атрибут: msDS-User-Account-Control-Computed И в нем флаг LOCKOUT установлен. Вот по нему (или по lockoutTime ) и можно ориентироваться.