سلامی دوباره
در استانه بهار 1394 گویا کمی پرکار شدم . به دنبال اطلاع رسانی خبر انتشار ورژن های جدید Cisco Packet Tracer گفتم کمی هم در مورد فیچرهای جدید امنیتیه ASA مطلب ارایه بدم . توضیحات به زبان اصلی اش را ارایه دادم تا موردی از قلم نیافتد . مبحث Site to Site V P N همراه با پیاده سازی IPSec بحث حاضر این یادداشت است که ضمن ارایه سناریویی قابل پیاده سازی به توضیح آن می پردازد . فدای دوست
با سلام و عرض ادب
هدف از ارایه این یادداشت اطلاع رسانی خبر انتشار Cisco Packet Tracer نسخه 6.2 است که با فیچرهای جدیدش متخصصین را شکه کرده است . صرف نظر از اضافه شدن Router 819 ، اتفاق های زیادی تووش افتاده که برآن شدم تا توضیحات زبان اصلی مربوط به این نسخه را خدمتتان تقدیم کنم . دیگه مابقیشو خودتون بخونید و خبر بعدی ام در مورد ورژن بعدیش یعنی ورژن 7 است . به توضیحات ذیل توجه کنید . فدای دوست
Update 19/03/2015 : Packet Tracer 7.0 is under development and could include new IoE (Internet Of Everything) items and an IoE registration server. Last known build is Packet Tracer 7.0 build 70 as of 2015-03-02.
Packet Tracer 6.2 - New features
New devices: Cisco 819 router, Cell Tower, CO server, Sniffer
New capability to add devices directly in physical view
HTTP server now supports JavaScript and CSS
FTP server can manage files used in HTTP server
Improved IOS command support
با سلام حضور دوستان ارجمندم
بنا به درخواست تعدادی از عزیزان مبنی بر ارائه سناریوهای فایروالینگ (Cisco ASA Security Contexts) بعد از مدتی پاسخ دوستان بشکل ویدئویی آماده شده و ارائه می گردد . مبحث ( Cisco ASA - With shared Interface ) . شرح آنچنانی برایش نمی دهم ، فقط ملاحظه نموده و امید که مقبول افتد . این ویدئوها در دو بخش تقدیم می شود . فدای دوست
با سلام حضور دوستان ارجمندم
بنا به درخواست تعدادی از عزیزان مبنی بر ارائه سناریوهای فایروالینگ (Cisco ASA Security Contexts) بعد از مدتی پاسخ دوستان آماده شده و ارائه می گردد . شرح آنچنانی برایش نمی دهم ، فقط ملاحظه نموده و امید که مقبول افتد . این ویدئوها در دو بخش تقدیم می شود . فدای دوست
Part 1 :
Part 2 :
لینک مفید برای مطالعه بیشتر :
با سلام حضور دوستان فرهیخته ام ...
بعد از ماه ها انتظار شما عزیزان ، بالاخره آموزش مبحث بسیار مهم Cut Through Proxy روی فایروال ASA تهیه شده و از پیاده سازی شده ی آن ، ویدئو تهیه و آماده ی ارائه به شما گرامیان می باشد . در این سناریو سعی برآن شد تا ضمن ارائه تعاریفی عملی برای Proxy ، در ادامه به شکل عملی ، مبحث AAA در Security سیسکو را آموزش دهیم ؛ چالش های پیاده سازی به شکل Real Time و بر طرف ساختن مشکلات لحظه ای ؛ فیلم مربوطه را بسیار علمی و دیدنش را هیجان انگیز کرده است . در این پیاده سازی بر روی توانایی های Cisco ACS متمرکز بوده و کلیه ی Feature های مورد نیاز مربوط به این پیاده سازی را آموزش داده و تحلیل کرده ایم .
بسیار
خوب ... بنده تمام 2 ماه گذشته رو صرف و سرگرم طراحی سناریوهای امنیتی
بودم . خلاصه همان توهم امنیتی همیشگی ؛ تازه میان اون توهم ؛ مجبور به
پاسخگویی به سئوالات Routing هم بودم . ولی خوشبختانه دارم می بینم که توی
فیس بوک هم همه توهم امنیتی زدند . برای اینکه ماهم عقب نمانیم ؛ گفتیم به چند
تا سئوالی که برام ایمیل شده بود جواب دهم :
.....
سئوال اول : در مورد ریفرنس های فایروال CCNP :
باید بگم که CCNP Security
Firewall با کد 617-642 ارائه شده بود که پر از اغلاط تکنیکی و علمی بود .
در نگارش بعدی ؛ کد آن به 618-642 تغییر کرد که در آن غیر از اصلاح موارد
مذکور ؛ بعضی از مسائل علمی جدید اضافه شد . مانند ارائه کانفیگ های NAT
در ورژن های ASAی 8.2 و 8.3 به بعد ... همینطور مبحث Etherchannel و غیره
... در مورد VPN هم تغییر کد به صورت 642-648 انجام شده است . خلاصه
حواستون باشه . سایت سیسکو همه ی این موارد رو توضیح داده است . حتما برید
یه سری بزنید .
.....
سئوال دوم : در مورد ساخت ID سیسکو در سایت سیسکو :
باید عرض کنم که جواب مثبت است . همه می توانند در سایت سیسکو آی-دی بسازند . لطفا از V...P...N استفاده کنید .
.....
سئوال سوم : در مورد DNS Doctoring در ASA :
باید بگم که این امکان علمی عالی در ASA وجود دارد و معنی آن اینست که
هنگامی که از وجود سرورهای DNS در شبکه مان بهره مند هستیم با استفاده از
آن ، مقصدها از محیط اینترنت هنگام اتصال به آی پی های VALID آن سایت ؛
آدرس مربوطه را به آدرس داخلی و حقیقیه آن تبدیل می کنند . پس در اصل بوسیله
ی آن به ASA می گوییم که ترافیک های DNS را نگاه کند و ادامه داستان .
.....
سئوال چهارم : در خصوص ماژولار پالیسی فریم ورک و ACL :
در مورد انتخاب IP ؛ بعد و قبل از اعمال ACL به اینترفیس ها ... باید عرض
کنم که اگر ACL را هنگام ورود اعمال کنیم ؛ ACL ، آی پی قبل از NAT را
عملیاتی می کند و اگر در موقع خروج اعمال شود ، ACL ، آی پی بعد از NAT را
عملیاتی می کند . فقط اینو اضافه کنم که در IOS 8.3 به بعد ؛ همیشه Real IP
ی سرور را قبول می کند و اینترفیس خروجی و یا ورودی فرقی در دستور و اعمال
آن ندارد .
سئوال پنجم : در خصوص ASA و اینکه کجاها نباید NAT پیاده سازی شود ؟
در 3 جا نباید NAT پیاده سازی شود :
اول ) در جاهایی که کل ترافیک ؛ بصورت End to End ، رمز شده یا Encrypted هست . چون دستگاه NAT کننده نمی تواند آنرا NAT کند .
دوم ) در جایی که در ترافیک ها ؛ کل پاکت ها ، Authenticate می شود .
مانند BGP که در برقراری ارتباط بصورت دوطرفه ، هر دو سمت ، بوسیله ی Hash
پاکت ها ، همدیگر را Authenticate می کنند . حالا اگه توی مسیر NAT انجام
بشه و آدرس ها Translate بشوند ، Authentication سمت مقابل به درستی انجام
نمیشه و اتصال BGP آپ نخواهد شد .
سوم ) در جایی که IP ی مبدا و
مقصد ، در لایه ی App ذخیره شود . مانند ترافیک های FTP . چرا که هنگامی که
Reply از FTP بر می گردد ؛ در اصل به آی پی یی که در Header لایه ی App
هست ، Reply داده می شود و نه Header آی پی . پس چون IP InValid از اینترنت
به درستی دیده نمی شود ؛ ارتباط به درستی بر قرار نخواهد شد .
.....
سئوال ششم ) در خصوص راه حل مربوط به سئوال پنجم :
برای هر 3 مورد بهتر است از راه حل NAT Exemption استفاده کنیم و یا
بوسیله ی Application NAT ؛ به NAT بگوییم که غیر از هدر IP ، هدر لایه ی
App ؛ یا به اصطلاح هر دوی آنها را Translate کند . فقط حواستون باشه که
چون ASA به اصطلاح Application Ever NAT است ، App را درک می کند و NAT را
هم درک می کند . پس به راحتی سرور FTP از داخل و بیرون شبکه مان دیده می
شود . ولی اگر بجای ASA از Router استفاده کنیم ، ارتباط FTP برقرار نمی
شود .
.....
سئوال هفتم ) در مورد Outside NAT هست . که خواستند بگم یعنی چی ؟
جوابش که خیلی راحته . یعنی اگر از سمت LAN1 با آدرس X بخواهیم به مثلا
LAN2 با همان آدرس X ؛ که مابین آنها یک اتصال WAN هست ، متصل شویم ، این
NAT را Outside می گویند . یعنی برقراری ارتباط ما بین 2 شعبه با Range
آدرس یکسان که باید دوطرفه هم باشد . همین .
..................
خوب دوستان . نیم دو جین سئوال دیگه هم برام رسیده و ایمیل شده که یک کم
حالم بهتر بشه و حس اش بیاد براتون کاور می کنم . فدای همتون . یا حق
سلام و
عرض ادب به حضور دوستانم
کلا دوباره دوستان چند هفته پیش ایمیلی برایم فرستاده بودند که ندیده بودمش . گویا دوستان دوباره توهم امنیتی زدند و سئوالات سکیوریتی مطرح می کنند . خیلی هم خوب . بنده خودم دائم التوهم هستم پس سریع می رم سر اصل مطلب . سئوال کرده بودند در فایروال ASA ، چگونه اکسس لیست ها رو از بین ببریم یا موقتا از کار بندازیمشون ?
سلام
مجدد به حضور دوستانم
دو تا ایمیل در مورد فایروال و تکنیک time-based Access Rules زده شده که خواسته بودند با مثال و کد نویسی براشون توضیح بدم که جریان چیه . به روی چشم . راستی من نمی دونم این دوستان کجا کار می کنند و نمی دونم آیا اصلا به دردشون می خوره یا نه .
ولی کاور می کنم .
پاسخ :
time-range PERIODIC10
periodic Weekdays 08:00 to 13:00
exit
Access-list 110 permit tcp any any eq www time-range PERIODIC10
مانند پریودیک هست . لطفا نگاه کنید absolute
time-range ABSOLUTE10
periodic Weekdays start 08:00 10 jan 2012 end 09:00 10 jan 2012
....
Access-list 110 permit tcp any any eq www time-range ABSOLUTE10
این هم یه پست انفجاری دیگه . حالشو ببرین . همیشه برای موفقیتتون دعا می کنم . امید که خیلی از شما دوستانم را از نزدیک ببینم . از اینکه نظرات و سئوالهای خود را با کلیک نمودن بر روی آیکون حباب ارائه می نمایید سپاسگزارم . فدای دوست . یا حق
لینک برای تحقیق و مطالعه بیشتر :
http://www.cisco.com/en/US/docs/security/asa/asa83/asdm63/configuration_guide/access_rules.html
با سلام به حضور شما عزیزانم . این سناریو را در تکمیل سناریوی قبلی در خصوص مبحث Connection Limitation و شاخه per-client-max خدمتتون تقدیم می کنم . سناریوها کامل تست شده اند .
با سلام به حضور دوستان عزیز و فرهیخته ام . بنا بر دریافت چند کامنت در خصوص اپلیکیشن کنترولینگ در ASA ، همچنین مباحث Connection Limitation ، سناریوی فوق را براتون آپ کردم .