CCIE Security na kompie :) Temat rozwiązany

VIRL, Dynamips, Boson NetSim, Packet Tracert, Olive, UNL, EVE-NG

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
horac

CCIE Security na kompie :)

#1

#1 Post autor: horac » 30 sie 2010, 18:43

Witam w moim tutorialu serii LAB dla ubogich :wink:

Jak nie masz kasy na ASA z licencja 3DES/DES, a na produkcji mozesz jedynie grzebac wtedy kiedy przychodzi ticket, ten tutorial jest dla ciebie.

Postanowilem napisac tutoriala jak stworzyc wlasny lab CCIE Security majac do dyspozycji jedynie komputer. Tutorial dotyczy windowsa, stworzony na podstawie strony Antonio Soaresa (CCIE R&S/SP) Zakladam rowniez ze czytelnik umie postawic sobie topologie uzywajac dynagena. Topologia z pliku .net i tutorial pod INE Worbook VOL 1 i 2.

Co ptrzebujemy ?

1. Dynagen, oto link
2. Qemu, sciagnac mozna tutaj

3. Obrazy IOS do routerow (we wlasnym zakresie) oraz obraz vmware
ASA 8.0.2 ktory pochodzi z projektu asaproject.

Gdy zassamy potrzebne pliki i programy musimy stworzyc plik konfiguracyjny. Przykladowy znajduje sie tutaj. Oczywiscie routery 7206 mozna zastapic 3725 posiadajac odpowiedni IOS np c3725-adventerprisek9-mz.124-15.T10.bin

Po stworzeniu pliku konfiguracyjnego z rozszerzenien .net przystepujemy do zamiany obrazu vmware asa na .img. W tym celu musimy odpalic Start/cmd/ i przejsc do katalogu gdzie mamy Qemu. czyli np

Kod: Zaznacz cały

 C:\Users\admin>cd..

C:\Users>cd..

C:\>cd ccie sec

C:\CCIE Sec>cd qemu

Nastepnie wydajemy polecenie

Kod: Zaznacz cały

qemu-img convert asa.vmdk -O qcow asaX.img
gdzie X to numer ASA ktora chcemy stworzyc.

Dla asa1 bedzie to wygladac tak qemu-img convert asa.vmdk -O qcow asa1.img
Dla asa2 bedzie to wygladac tak qemu-img convert asa.vmdk -O qcow asa2.img

!!Warning pamietac tylko nalezy zeby przegrac obraz vmware asa.vmdk do katalogu z Qemu przed wydaniem powyzszych komend.

Gdy stworzymy oba obrazy. Wpisujemy dla ASA1 komende

Kod: Zaznacz cały


qemu.exe -L . -hda asa1.img -m 256 -net nic,vlan=1,model=pcnet,macaddr=00:aa:00:00:01:01 -net udp,vlan=1,sport=30001,dport=20001,daddr=127.0.0.1 -net nic,vlan=2,model=pcnet,macaddr=00:aa:00:00:01:02 -net udp,vlan=2,sport=30002,dport=20002,daddr=127.0.0.1 -net nic,vlan=3,model=pcnet,macaddr=00:aa:00:00:01:03 -net udp,vlan=3,sport=30003,dport=20003,daddr=127.0.0.1 -net nic,vlan=4,model=pcnet,macaddr=00:aa:00:00:01:04 -net udp,vlan=4,sport=30004,dport=20004,daddr=127.0.0.1 -serial telnet:127.0.0.1:2009,server,nowait

A dla ASA 2 odpalamy nowe okienko CMD, wchodzimy do katalogu Qemu jak bylo to pokazane powyzej i wydajemy komende

Kod: Zaznacz cały

qemu.exe -L . -hda asa2.img -m 256 -net nic,vlan=5,model=pcnet,macaddr=00:aa:00:00:01:05 -net udp,vlan=5,sport=30005,dport=20005,daddr=127.0.0.1 -net nic,vlan=6,model=pcnet,macaddr=00:aa:00:00:01:06 -net udp,vlan=6,sport=30006,dport=20006,daddr=127.0.0.1 -net nic,vlan=7,model=pcnet,macaddr=00:aa:00:00:01:07 -net udp,vlan=7,sport=30007,dport=20007,daddr=127.0.0.1 -net nic,vlan=8,model=pcnet,macaddr=00:aa:00:00:01:08 -net udp,vlan=8,sport=30008,dport=20008,daddr=127.0.0.1 -serial telnet:127.0.0.1:2010,server,nowait
Oczywiscie wszystkie mapowania odpowiadaja konfiguracji w pliku .net. Podpinamy ASA1 i ASA2 pod odpowiednie interfejsy modulu nm-16 ESW ktory daje mozliwosci ograniczone przelacznika.

Dla posiadajacych secureCRT dodatkow mozemy zmodyfikowac plik dynagen.ini w katalogu gdzie zainstalowal nam sie dynamips i dynagen. Dla windows 7 x64 wyglada to tak:

# SecureCRT 6 changes the install location
telnet = start C:\progra~2\VanDyke\SecureCRT\SecureCRT.EXE /script c:\progra~2\dynamips\securecrt.vbs /arg %d /T /telnet %h %p


Aby zalogowac sie na ASA1 i ASA2 uzywamy komendy telnet na

127.0.0.1 port 2009
127.0.0.1 pory 2010

Przed odpaleniem topologii .net z dynagena nalezy zedytowac plik dynamips-start z katologu gdzie zainstalowal nam sie dynamips i stworzyc sobie odpowiednia ilosc hypervisorow. Np tak:

start /belownormal "Dynamips" cmd /c ""%dynamips%" -H 7200 & pause"
start /belownormal "Dynamips" cmd /c ""%dynamips%" -H 7201 & pause"

btw. osobiscie uzywam dwoch. W pliku Soaresa sa az 4, jak kto lubi :wink:
Procesy dynamipsa odpalamy z pulpitu klikajac Dynamips Server. Okienek nie zamykamy
a jedynie minimalizujemy.

Windows 2003 i windows XP podpinamy rowniez pod nasze switche z pliku .net korzystajac z programu Network Device list na pulpicie ktory powinien pokazac sie po instalacji dynamipsa i dynagena. Szukamy tam wpisu mniej wiecej takiego NIO_gen_eth:\Device\NPF_{xxxxxxxxxxxxxxxxxxxxxxxx}.

Przykladowo dla SW1:

#Cisco ACS
f1/7 = nio_gen_eth:\device\npf_{5682ebc5-0a8f-4d05-8c17-47b5f7c97de3}

ktory odpowiada interfejsowi VMnet 5 w vmware, ktory uzywa wirtualny Windows Server 2003 na ktorym stawiamy ACS 4.1, Tftpd32(syslog i tftp) i CA do certyfikatow oraz ASDM. Na XP cisco VPN Client w wersji 4.0.8.10.


I mozemy korzystac z naszego laba. Jak ktos chce wiecej szczegolow, watek jest otwarty z checia wyjasnie. Na Asach dziala prawie wszystko, problemy sa jedynie przy A/S failover. A/A dziala bez zarzutu, ASDM, SSL VPN etc cala reszta rowniez jak (Cut through proxy, downloadable ACL, logowanie, routing (OSPF, EIGRP, RIP, Static, SLA, redystrybucja i tak dalej). Przy starcie mamy mozliwosc wyboru single/multicontext. Configi sa zapisywane. Jest tylko pewien trik z zapisem konfigu: robi sie to komenda:

Kod: Zaznacz cały

 ASA1# copy running-config disk0:/.private/startup-config. 
Nie przerazcie sie ze wyskoczy komunikat FAILED, w tym wypadku to porzadane i konfig zostal zapisany.

WARNING!! przy Remote VPN i certyfikatach nalezy ustawic w crypto ACL 3DES or better, inaczej nie przejdziemy przez IKE Phase 1 i nie zestawimy tunelu. Przetestowane wielokrotnie ! to jeden z bugow ktory znalazlem. Rowniez nalezy zmapowac tunnel group mape z nasza nazwa tunnel groupy inaczej beda bledy i rowniez tunnel sie nie zestawi.

Kod: Zaznacz cały

tunnel-group-map default-group naszanazwatunnelgroupy
Milego labowania, zapewniam ze wszystko dziala jak nalezy. Dziala nawet komenda reload :) czasami jednak wracajac z trybu multi context do single mozemy zostac poproszeni o pare komend na konsoli qemu. Wtedy zeby odpalic single mode wpisujemy:

/mnt/disk0/lina_monitor

i gotowe

AHA HASLO DOMYSLNE DO ENABLE TO asa

Pozdrawiam[/b]
Ostatnio zmieniony 30 sie 2010, 20:12 przez horac, łącznie zmieniany 3 razy.

Awatar użytkownika
Slomek.
CCIE
CCIE
Posty: 801
Rejestracja: 05 lut 2007, 20:26

#2

#2 Post autor: Slomek. » 30 sie 2010, 19:18

Dziękować bardzo
Trecom.pl

horac

#3

#3 Post autor: horac » 30 sie 2010, 19:25

Na stronie Antonio dodatkowo sa inne topologie w tym do CCIE Sec practice LABs by Yusuf v. 3.0

IPS mozna odpalic podobnie przeksztalcajac obraz vmware na .img.


Moja topologia narazie wyglada tak: LINK

Awatar użytkownika
garfield
CCIE
CCIE
Posty: 2882
Rejestracja: 25 sie 2006, 18:32
Lokalizacja: Gdynia

#4

#4 Post autor: garfield » 30 sie 2010, 20:19

Miodzio :twisted:
Dzięki bardzo opis jest super i naprawdę przydatna sprawa
Remember that the lab is just looking for reachability and not “optimal reachability”.

horac

#5

#5 Post autor: horac » 30 sie 2010, 22:46

EDITED: Poprzednio napisalem o wersji 6.0.5 jednak sie wykrzaczala przy dodawaniu sensora i interfejsu, 6.0.3 zostalo przerobione przeze mnie tak aby dzialalo w pelni.

Ciag dalszy, jak postawic IPS 6.0.3. Najpiewr musimy sciagnac paczke z obrazami IPs
KLIKAMY TUTAJ


Nastepnie rozpakowujemy obrazy ips-disk1.img i ips-disk2.img do katalogu z Qemu.
Kolejna rzecza jest otworzenie notatnika, wklejenie ponizszego kodu:

Kod: Zaznacz cały

@set dir=C:\Files\Qemu #to jest sciezka do katalogu z Qemu, ja zmieniamy !!!

@cd %dir%

qemu.exe -L . -m 1024 -hda ips-disk1.img -hdb ips-disk2.img 
-net nic,vlan=9,model=e1000,macaddr=00:aa:00:00:01:09 -net udp,vlan=9,sport=30009,dport=20009,daddr=127.0.0.1 
-net nic,vlan=10,model=e1000,macaddr=00:aa:00:00:01:10 -net udp,vlan=10,sport=30010,dport=20010,daddr=127.0.0.1 
-net nic,vlan=11,model=e1000,macaddr=00:aa:00:00:01:11 -net udp,vlan=11,sport=30011,dport=20011,daddr=127.0.0.1 
-smbios type=0,vendor="Cisco Systems" -smbios type=1,product="IDS-4235",serial="12345678901" 

@pause
i zapisanie jako IPS.bat wybierajac oczywiscie opcje All Files. Pliczek IPS.bat mozna przerzucic na pulpit

Odpalamy IPS klikajac na wczesniej utworzony IPS.bat

login:cisco
haslo: fo4teZ!a


IPS ma 3 interfejsy, mozna ich ilosc zwiekszyc babrajac sie troche w shellu ale o tym w sekcji dla odwaznych na dole :P

Bardzo wazne !!! Po odpaleniu IPSa czekamy okolo 20-25 min az sensor sie zaladuje !!

Status sensora sprawdzamy komenda iplog-status Poczatkowo pokazuje on cos w stylu Analysys Engine is busy. Po okolo 20-25 min powinien pokazac po ponownym wydaniu komendy "iplog-status" komunikat No ip logs available wtedy mozemy zaczac bawic sie IPsem, dodawac sensory i inne cuda wianki :D Sam IPS zjada jakies 5% procka wiec chodzi wydajnie.

Integracja z Dynamips/Dynagen

W pliku konfiguracyjnym .net odhaszowujemy interfejsy switcha do ktorych laczymy interfejsy IPS

czyli dla SW1

#qemu-vlan9, IPS ma0/0
f1/x = NIO_udp:20009:127.0.0.1:30009

SW2

#qemu-vlan10, IPS g0/0
f1/x = NIO_udp:20010:127.0.0.1:30010

I mozemy sie cieszyc IPSEm.


SEKCJA DLA ODWAZNYCH :D

KLIKAMY TUTAJ PO DALSZY OPIS

Zycze powodzenia w razie pytan wiecie gdzie mnie szukac :)
Ostatnio zmieniony 31 paź 2010, 21:24 przez horac, łącznie zmieniany 6 razy.

Awatar użytkownika
kktm
CCIE
CCIE
Posty: 2025
Rejestracja: 20 paź 2004, 14:43
Lokalizacja: Wrocław

#6

#6 Post autor: kktm » 30 sie 2010, 22:59

sweet

ja podchodzilem do ipsa 6.0 i nie udało mi się

good job :)
"Trust no one"

tim
CCIE
CCIE
Posty: 182
Rejestracja: 27 lis 2007, 15:42

#7

#7 Post autor: tim » 31 sie 2010, 00:09

horac pisze:Ciag dalszy, jak postawic IPS 6.05. Najpiewr musimy sciagnac ten plik.
haslem do pliku rar sie podzielisz? ;)

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

  Temat rozwiązany

#8

#8 Post autor: Seba » 31 sie 2010, 00:10

Z racji duzej przydatnosci watku, przyklejam, coby "nie zniknal" z czasem :)

Well done horac :!:
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

horac

#9

#9 Post autor: horac » 31 sie 2010, 09:53

haslo do rara: www.junisys.in

Zapomnialem dac wczoraj ale i tak na rzesach do pracy dzisiaj poszedlem :wink:

Awatar użytkownika
kktm
CCIE
CCIE
Posty: 2025
Rejestracja: 20 paź 2004, 14:43
Lokalizacja: Wrocław

#10

#10 Post autor: kktm » 31 sie 2010, 11:19

Poczekajmy jeszcze kilka dni jak wszyscy pościągają te obrazy.

Później chyba usuniecie te linki bo IMHO to nie sa legalne stuffy.
"Trust no one"

horac

#11

#11 Post autor: horac » 31 sie 2010, 11:29

ewentualnie moze zmienie i dodam adnotacje ze materialy do znalezienia w internecie, czy cos w ten desen, sciaganie na wlasna odpowiedzialnosc blaba.

Awatar użytkownika
garfield
CCIE
CCIE
Posty: 2882
Rejestracja: 25 sie 2006, 18:32
Lokalizacja: Gdynia

#12

#12 Post autor: garfield » 31 sie 2010, 11:37

Moim zdaniem z takiego naciągnięcia "przepisów" jest więcej dobrego niż złego

Ale to tylko moja opinia ;)
Remember that the lab is just looking for reachability and not “optimal reachability”.

horac

#13

#13 Post autor: horac » 31 sie 2010, 12:14

Ten tutorial ma pomoc, inzynierom w nauce bo wiadomo jaka jest rzeczywistosc, masz te ASy czy IPS na produkcji ale robisz na nich tyle co ticket wymaga, a tak to jedynie czytasz konfig i robisz work instrukcje, ale zeby przelabowac features nie kazda firma chetnie laba kupuje, bo ? bo nie ma potrzeby biznesowej, standardowa gadka i gdzie sie uczyc ? do domu sobie ASY 5510 nikt nie kupi chyba ze spi na kasie. Pozostaje wiec qemu i komputer.

Awatar użytkownika
manius
CCIE
CCIE
Posty: 823
Rejestracja: 08 wrz 2003, 09:02
Lokalizacja: Leighton Buzzard/UK
Kontakt:

#14

#14 Post autor: manius » 31 sie 2010, 20:22

horac - masz moze przepis pod linuxa ? z tego co widze moznaby by to przerobic nieduzym nakladem na linuxowy dynamipsowy odpowiednik - jakbys mial linka to bylbym wdzieczny.
A CCIE does not necessarily make someone a good engineer. NOT having a CCIE does not necessarily make someone a bad engineer (or not as good). All we can do is strive to make ourselves individually better! (SM)

horac

#15

#15 Post autor: horac » 31 sie 2010, 20:51

A To powinno pomoc.

ODPOWIEDZ