Cisco

Allgemeines

  • com2usb linux driver pl2303.ko
  • running config mit passwörtern anzeigen
more system:running-config
  • man kann nur von grösseren security level auf kleinere routen
  • mit enable (oder en) kommt man in den enable modus
  • mit conf t in den configurations modus
  • befehle kann man mit tab vervollständigen
  • mögliche optionen erfährt man mit ?
  • mit “no” vor einem befehl löscht man eine config zeile
  • config speichern mit “copy running-config startup-config”
  • system auslastung anzeigen
 show cpu usage
 show processes
 show mem


Grundconfiguration

  • hostname lalala
  • domain-name schwubs.tld
  • Zeitzone und NTP einstellen
clock timezone CET 1
ntp server 192.168.100.1
sh clock
  • user anlegen
username <user> password <password> privilege 15
  • enable passwort setzen
aaa authentication enable console LOCAL
  • SSH und Consolen User lokal authentifiziert
aaa authentication ssh console LOCAL
  • sh run interface
  • interface resetten
interface Management0/0
no nameif
no security-level 100
no ip address
no management-only
  • interface config anschauen
sh run interface Management0/0
interface Management0/0
no nameif
no security-level
no ip address

interface Ethernet0/0
description WAN interface
ip address 192.168.103.91 255.255.255.0 standby 192.168.103.92
security-level 0
nameif external
no shut
  • SSH Config
ssh 192.168.103.0 255.255.255.0 external
crypto key generate rsa general-keys modulus 2048
write mem

Routing

  • Default Gateway setzen (device ip mask gateway)
route external 0.0.0.0 0.0.0.0 192.168.103.254
  • Routing Tabelle anzeigen
sh route
  • source validation anschalten
 ip verify reverse-path interface <iface>


VLAN

  • trunk port = port der in mehreren vlans hängt
interface Management0/0.1
description LAN Failover Interface
vlan 8
interface Management0/0.2
description STATE Failover Interface
vlan 9
  • wenn man kein vlan angibt, dann sind bei einem trunk port per default alle erlaubt
  • VLAN config anschauen
 sh vlan


ARP

  • ARP Cache anzeigen lassen
 sh arp



NAT

  • nat-control (alle connections müssen eine nat rule haben)
  • alles was aus external raus geht nimm per default die adresse vom external device
global (external) 1 interface
  • alles was aus interface patronas raus kommt natte mit id 1 also auf das externe interface
nat (patronas) 1 192.168.109.176 255.255.255.240
  • Alles was nat id 0 hat wird nicht genattet
access-list NO_NAT deny ip any any
nat (patronas) 0 access-list NO_NAT
  • Statisches NAT (dev intern, dev extern) (192.168.109.215 wird genattet auf 192.168.103.93)
 static (axxion,external) 192.168.103.93 192.168.109.215 netmask 255.255.255.255


Logging und Debugging

logging enable
logging console ?
logging console 6
  • wenn man via ssh connected is nimmt man monitor und nicht console
 logging monitor 7
 term monitor


Packet Filtering / Access lists

  • Access list anlegen
access-list EXTERNAL_IN permit icmp any any source-quench
access-list EXTERNAL_IN permit icmp any any unreachable
access-list EXTERNAL_IN permit tcp any host 192.168.109.215 eq 22
  • Access liste an ein interface binden
access-group EXTERNAL_IN in interface external
  • bei genatteten verbindung brauch man nur die nat ip erlauben das weiterleiten wird dann automatisch erlaubt
Packet Capturing

  • Alles was durch die Access-List gelassen wird, wird aufgezeichnet
access-list CAP permit ip any any
capture CAP interface patronas access-list CAP
  • Aufgezeichnete Pakete anzeigen
sh capture CAP
  • Aufzeichnen stoppen
no capture CAP
  • Allen Traffic auf einem Interface capturen
 access-list CAP interface external


Failover

  • Die Failover IP für LAN muss in einem anderen Netz sein als das für State
failover
failover lan unit primary
failover lan interface lan-fo Management0/0.1
failover key Fmjhd3
failover replication http
failover link state-fo Management0/0.2
failover interface ip lan-fo 192.168.109.193 255.255.255.252 standby 192.168.109.194
failover interface ip state-fo 192.168.109.197 255.255.255.252 standby 192.168.109.198
  • sh run failover (config anzeigen)
  • sh failover (status anzeigen)
  • monitoring bei logischem device anschalten
monitor interface patronas
  • Die Slave Firewall von der Master aus rebooten
 failover reload-standby


Firewall Desaster Recovery

  • Es muss sichergestellt sein, dass Ethernet 0/2 auf beiden ASA das aktive Interface ist
 interface Redundant1
 redundant-interface Redundant 1 active-member Ethernet 0/2


IPSec / VPN

  • crypto isakmp enable <interface>
  • crypto isakmp identity address
  • Phase 1 (control connection definieren) * sh crypto isakmp sa detail
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash md5
group 5
lifetime 3600
  • Phase 2 (data connection definieren) * sh crypto ipsec sa peer <$VPN_PEER> * Transform Set definieren (Name für Verschlüsselung / Hashing Optionen für die wirklichen Datentunnel)
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

* Optional maximale Timeouts für das Rekeying definieren
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000

* Name für VPN Peer anlegen
name 213.23.72.194 VPN_PEER_TEST

* Welcher Traffic getunnelt werden soll, wird über eine Accesslist (CMAP_$VPN_MAP) definiert
* Die Src muss immer dem Netz der Firewall entsprechen
access-list CMAP_TEST_MATCH extended permit ip 192.168.109.176 255.255.255.240 192.168.103.0 255.255.255.0
access-list CMAP_TEST_MATCH extended permit ip 192.168.109.176 255.255.255.240 192.168.100.0 255.255.255.0
access-list CMAP_TEST_MATCH extended permit ip 192.168.109.208 255.255.255.240 192.168.103.0 255.255.255.0
access-list CMAP_TEST_MATCH extended permit ip 192.168.109.208 255.255.255.240 192.168.100.0 255.255.255.0
access-list CMAP_TEST_MATCH extended permit ip host 123.123.122.66 host 192.168.100.3
access-list CMAP_TEST_MATCH extended permit ip host 123.123.122.66 host 192.168.100.1
access-list CMAP_TEST_MATCH extended permit ip 192.168.109.224 255.255.255.240 192.168.100.0 255.255.255.0
access-list CMAP_TEST_MATCH extended permit ip 192.168.109.224 255.255.255.240 192.168.103.0 255.255.255.0

* WICHTIG! Genau die selben Regeln müssen auch in die NO_NAT Access-List eingetragen werden

* Eine Cryptomap ist eine Sammlung von Phase2 gebunden an ein Interface
* Identifiziert wird über die Zahl z.B. 20
crypto map CMAP_STATIC 20 match address CMAP_TEST_MATCH
crypto map CMAP_STATIC 20 set peer VPN_PEER_TEST
crypto map CMAP_STATIC 20 set transform-set ESP-AES-256-MD5

* Optional Perfect Forwarding Secrecy (PFS) einschalten
  * Erzwingt das ein neuer Schlüssel beim Rekeying generiert wird
crypto map CMAP_STATIC 20 set pfs

  * Macht immens Probleme zwischen unterschiedlichen Peers
  • PreShared Key vergeben
  • Hier muss immer die IP verwendet werden
  • l2l heisst LAN-to-LAN
tunnel-group 123.123.11.22 type ipsec-l2l
tunnel-group 123.123.11.22 general-attributes
tunnel-group 123.123.11.22 ipsec-attributes
pre-shared-key <password>
  • Beispiel für einen neuen Tunnel
name 123.124.222.5 VPN_PEER_BLA

access-list CMAP_BLA_MATCH extended permit ip host 192.168.109.213 host 123.222.147.10
access-list NO_NAT extended permit ip host 192.168.109.213 host 123.222.147.10

crypto map CMAP_STATIC 40 match address CMAP_BLA_MATCH
crypto map CMAP_STATIC 40 set pfs
crypto map CMAP_STATIC 40 set peer VPN_PEER_BLA
crypto map CMAP_STATIC 40 set transform-set ESP-3DES-MD5
crypto map CMAP_STATIC 40 set security-association lifetime seconds 28800
crypto map CMAP_STATIC 40 set security-association lifetime kilobytes 4608000

tunnel-group 193.228.147.5 type ipsec-l2l
tunnel-group 193.228.147.5 general-attributes
default-group-policy VPN
tunnel-group 193.228.147.5 ipsec-attributes
pre-shared-key <password>
  • PPPOE configuration
 interface Vlan2
 nameif outside
 security-level 0
 pppoe client vpdn group QSC
 ip address pppoe setroute

 vpdn group ISP request dialout pppoe
 vpdn group ISP localname [your username here]
 vpdn group ISP ppp authentication chap
 vpdn username [your username here] password [your password here ]



Switch Config

  • ip domain-name patronas.int
  • user spass
aaa new-model
username <user> password 0 <pass>
  • ssh server für 15 terminals freischalten
line vty 0 15
transport input ssh
  • switch ports sind standardmaessig in vlan1
  • trunk port configurieren
switchport mode trunk
switchport trunk allowed vlan 8,9
  • einen port in ein vlan hängen
switchport access vlan 10
  • eine andere art vlan zu confen (im enable mode)
vlan database
vlan <nr> name <name>
int vlan <nr>
ip add x.x.x.x
  • default gateway einstellen
ip default-gateway 192.168.1.1
  • lacp config
 switchport mode access
 channel-protocol lacp
 channel-group 1 mode active


Firmware update on a Cisco device

  • Setup a TFTP server in the same IP range as the Cisco device to backup

the configs, IOS image and also for later to upload the new IOS image.

testrouter# copy startup-config tftp
Address or name of remote host []? 10.10.10.2
Destination filename [startup-config]?
!!
1278 bytes c opied in 0.100 secs
  • Backup Current IOS Image
testrouter# copy flash: tftp:
Source filename []? xxxxx-xx-xx.121-x.XB
Address or name of remote host []? 10.10.10.2
Destination filename [xxxxx-xx-xx.121-x.XB]?
  • Now, Load the new IOS image from the TFTP onto the flash
 ciscorouter#copy tftp: flash:
 Address or name of remote host []? 10.10.10.2
 Source filename []? c3560-ipbasek9-mz.122-40.SE.bin
 Destination filename [c3560-ipbasek9-mz.122-40.SE.bin]?
 Accessing tftp://10.10.10.2/c3560-ipbasek9-mz.122-40.SE.bin
 Loading c3560-ipbasek9-mz.122-40.SE.bin



How to repair a Cisco with erased flash

  • copy xmodem: flash:flash_filename
  • now from the “transfer” dropdown menu on the hyperterminal,

select “send file” and choose “xmodem” in the subsequent dialog box and browse for the flash_filename (the downloaded IOS bn file) and send.

  • boot flash:flash_filename