CCIE Security na kompie :)
: 30 sie 2010, 18:43
Witam w moim tutorialu serii LAB dla ubogich
Jak nie masz kasy na ASA z licencja 3DES/DES, a na produkcji mozesz jedynie grzebac wtedy kiedy przychodzi ticket, ten tutorial jest dla ciebie.
Postanowilem napisac tutoriala jak stworzyc wlasny lab CCIE Security majac do dyspozycji jedynie komputer. Tutorial dotyczy windowsa, stworzony na podstawie strony Antonio Soaresa (CCIE R&S/SP) Zakladam rowniez ze czytelnik umie postawic sobie topologie uzywajac dynagena. Topologia z pliku .net i tutorial pod INE Worbook VOL 1 i 2.
Co ptrzebujemy ?
1. Dynagen, oto link
2. Qemu, sciagnac mozna tutaj
3. Obrazy IOS do routerow (we wlasnym zakresie) oraz obraz vmware
ASA 8.0.2 ktory pochodzi z projektu asaproject.
Gdy zassamy potrzebne pliki i programy musimy stworzyc plik konfiguracyjny. Przykladowy znajduje sie tutaj. Oczywiscie routery 7206 mozna zastapic 3725 posiadajac odpowiedni IOS np c3725-adventerprisek9-mz.124-15.T10.bin
Po stworzeniu pliku konfiguracyjnego z rozszerzenien .net przystepujemy do zamiany obrazu vmware asa na .img. W tym celu musimy odpalic Start/cmd/ i przejsc do katalogu gdzie mamy Qemu. czyli np
Nastepnie wydajemy polecenie gdzie X to numer ASA ktora chcemy stworzyc.
Dla asa1 bedzie to wygladac tak qemu-img convert asa.vmdk -O qcow asa1.img
Dla asa2 bedzie to wygladac tak qemu-img convert asa.vmdk -O qcow asa2.img
!!Warning pamietac tylko nalezy zeby przegrac obraz vmware asa.vmdk do katalogu z Qemu przed wydaniem powyzszych komend.
Gdy stworzymy oba obrazy. Wpisujemy dla ASA1 komende
A dla ASA 2 odpalamy nowe okienko CMD, wchodzimy do katalogu Qemu jak bylo to pokazane powyzej i wydajemy komende
Oczywiscie wszystkie mapowania odpowiadaja konfiguracji w pliku .net. Podpinamy ASA1 i ASA2 pod odpowiednie interfejsy modulu nm-16 ESW ktory daje mozliwosci ograniczone przelacznika.
Dla posiadajacych secureCRT dodatkow mozemy zmodyfikowac plik dynagen.ini w katalogu gdzie zainstalowal nam sie dynamips i dynagen. Dla windows 7 x64 wyglada to tak:
# SecureCRT 6 changes the install location
telnet = start C:\progra~2\VanDyke\SecureCRT\SecureCRT.EXE /script c:\progra~2\dynamips\securecrt.vbs /arg %d /T /telnet %h %p
Aby zalogowac sie na ASA1 i ASA2 uzywamy komendy telnet na
127.0.0.1 port 2009
127.0.0.1 pory 2010
Przed odpaleniem topologii .net z dynagena nalezy zedytowac plik dynamips-start z katologu gdzie zainstalowal nam sie dynamips i stworzyc sobie odpowiednia ilosc hypervisorow. Np tak:
start /belownormal "Dynamips" cmd /c ""%dynamips%" -H 7200 & pause"
start /belownormal "Dynamips" cmd /c ""%dynamips%" -H 7201 & pause"
btw. osobiscie uzywam dwoch. W pliku Soaresa sa az 4, jak kto lubi
Procesy dynamipsa odpalamy z pulpitu klikajac Dynamips Server. Okienek nie zamykamy
a jedynie minimalizujemy.
Windows 2003 i windows XP podpinamy rowniez pod nasze switche z pliku .net korzystajac z programu Network Device list na pulpicie ktory powinien pokazac sie po instalacji dynamipsa i dynagena. Szukamy tam wpisu mniej wiecej takiego NIO_gen_eth:\Device\NPF_{xxxxxxxxxxxxxxxxxxxxxxxx}.
Przykladowo dla SW1:
#Cisco ACS
f1/7 = nio_gen_eth:\device\npf_{5682ebc5-0a8f-4d05-8c17-47b5f7c97de3}
ktory odpowiada interfejsowi VMnet 5 w vmware, ktory uzywa wirtualny Windows Server 2003 na ktorym stawiamy ACS 4.1, Tftpd32(syslog i tftp) i CA do certyfikatow oraz ASDM. Na XP cisco VPN Client w wersji 4.0.8.10.
I mozemy korzystac z naszego laba. Jak ktos chce wiecej szczegolow, watek jest otwarty z checia wyjasnie. Na Asach dziala prawie wszystko, problemy sa jedynie przy A/S failover. A/A dziala bez zarzutu, ASDM, SSL VPN etc cala reszta rowniez jak (Cut through proxy, downloadable ACL, logowanie, routing (OSPF, EIGRP, RIP, Static, SLA, redystrybucja i tak dalej). Przy starcie mamy mozliwosc wyboru single/multicontext. Configi sa zapisywane. Jest tylko pewien trik z zapisem konfigu: robi sie to komenda:
Nie przerazcie sie ze wyskoczy komunikat FAILED, w tym wypadku to porzadane i konfig zostal zapisany.
WARNING!! przy Remote VPN i certyfikatach nalezy ustawic w crypto ACL 3DES or better, inaczej nie przejdziemy przez IKE Phase 1 i nie zestawimy tunelu. Przetestowane wielokrotnie ! to jeden z bugow ktory znalazlem. Rowniez nalezy zmapowac tunnel group mape z nasza nazwa tunnel groupy inaczej beda bledy i rowniez tunnel sie nie zestawi.
Milego labowania, zapewniam ze wszystko dziala jak nalezy. Dziala nawet komenda reload czasami jednak wracajac z trybu multi context do single mozemy zostac poproszeni o pare komend na konsoli qemu. Wtedy zeby odpalic single mode wpisujemy:
/mnt/disk0/lina_monitor
i gotowe
AHA HASLO DOMYSLNE DO ENABLE TO asa
Pozdrawiam[/b]
Jak nie masz kasy na ASA z licencja 3DES/DES, a na produkcji mozesz jedynie grzebac wtedy kiedy przychodzi ticket, ten tutorial jest dla ciebie.
Postanowilem napisac tutoriala jak stworzyc wlasny lab CCIE Security majac do dyspozycji jedynie komputer. Tutorial dotyczy windowsa, stworzony na podstawie strony Antonio Soaresa (CCIE R&S/SP) Zakladam rowniez ze czytelnik umie postawic sobie topologie uzywajac dynagena. Topologia z pliku .net i tutorial pod INE Worbook VOL 1 i 2.
Co ptrzebujemy ?
1. Dynagen, oto link
2. Qemu, sciagnac mozna tutaj
3. Obrazy IOS do routerow (we wlasnym zakresie) oraz obraz vmware
ASA 8.0.2 ktory pochodzi z projektu asaproject.
Gdy zassamy potrzebne pliki i programy musimy stworzyc plik konfiguracyjny. Przykladowy znajduje sie tutaj. Oczywiscie routery 7206 mozna zastapic 3725 posiadajac odpowiedni IOS np c3725-adventerprisek9-mz.124-15.T10.bin
Po stworzeniu pliku konfiguracyjnego z rozszerzenien .net przystepujemy do zamiany obrazu vmware asa na .img. W tym celu musimy odpalic Start/cmd/ i przejsc do katalogu gdzie mamy Qemu. czyli np
Kod: Zaznacz cały
C:\Users\admin>cd..
C:\Users>cd..
C:\>cd ccie sec
C:\CCIE Sec>cd qemu
Kod: Zaznacz cały
qemu-img convert asa.vmdk -O qcow asaX.img
Dla asa1 bedzie to wygladac tak qemu-img convert asa.vmdk -O qcow asa1.img
Dla asa2 bedzie to wygladac tak qemu-img convert asa.vmdk -O qcow asa2.img
!!Warning pamietac tylko nalezy zeby przegrac obraz vmware asa.vmdk do katalogu z Qemu przed wydaniem powyzszych komend.
Gdy stworzymy oba obrazy. Wpisujemy dla ASA1 komende
Kod: Zaznacz cały
qemu.exe -L . -hda asa1.img -m 256 -net nic,vlan=1,model=pcnet,macaddr=00:aa:00:00:01:01 -net udp,vlan=1,sport=30001,dport=20001,daddr=127.0.0.1 -net nic,vlan=2,model=pcnet,macaddr=00:aa:00:00:01:02 -net udp,vlan=2,sport=30002,dport=20002,daddr=127.0.0.1 -net nic,vlan=3,model=pcnet,macaddr=00:aa:00:00:01:03 -net udp,vlan=3,sport=30003,dport=20003,daddr=127.0.0.1 -net nic,vlan=4,model=pcnet,macaddr=00:aa:00:00:01:04 -net udp,vlan=4,sport=30004,dport=20004,daddr=127.0.0.1 -serial telnet:127.0.0.1:2009,server,nowait
Kod: Zaznacz cały
qemu.exe -L . -hda asa2.img -m 256 -net nic,vlan=5,model=pcnet,macaddr=00:aa:00:00:01:05 -net udp,vlan=5,sport=30005,dport=20005,daddr=127.0.0.1 -net nic,vlan=6,model=pcnet,macaddr=00:aa:00:00:01:06 -net udp,vlan=6,sport=30006,dport=20006,daddr=127.0.0.1 -net nic,vlan=7,model=pcnet,macaddr=00:aa:00:00:01:07 -net udp,vlan=7,sport=30007,dport=20007,daddr=127.0.0.1 -net nic,vlan=8,model=pcnet,macaddr=00:aa:00:00:01:08 -net udp,vlan=8,sport=30008,dport=20008,daddr=127.0.0.1 -serial telnet:127.0.0.1:2010,server,nowait
Dla posiadajacych secureCRT dodatkow mozemy zmodyfikowac plik dynagen.ini w katalogu gdzie zainstalowal nam sie dynamips i dynagen. Dla windows 7 x64 wyglada to tak:
# SecureCRT 6 changes the install location
telnet = start C:\progra~2\VanDyke\SecureCRT\SecureCRT.EXE /script c:\progra~2\dynamips\securecrt.vbs /arg %d /T /telnet %h %p
Aby zalogowac sie na ASA1 i ASA2 uzywamy komendy telnet na
127.0.0.1 port 2009
127.0.0.1 pory 2010
Przed odpaleniem topologii .net z dynagena nalezy zedytowac plik dynamips-start z katologu gdzie zainstalowal nam sie dynamips i stworzyc sobie odpowiednia ilosc hypervisorow. Np tak:
start /belownormal "Dynamips" cmd /c ""%dynamips%" -H 7200 & pause"
start /belownormal "Dynamips" cmd /c ""%dynamips%" -H 7201 & pause"
btw. osobiscie uzywam dwoch. W pliku Soaresa sa az 4, jak kto lubi
Procesy dynamipsa odpalamy z pulpitu klikajac Dynamips Server. Okienek nie zamykamy
a jedynie minimalizujemy.
Windows 2003 i windows XP podpinamy rowniez pod nasze switche z pliku .net korzystajac z programu Network Device list na pulpicie ktory powinien pokazac sie po instalacji dynamipsa i dynagena. Szukamy tam wpisu mniej wiecej takiego NIO_gen_eth:\Device\NPF_{xxxxxxxxxxxxxxxxxxxxxxxx}.
Przykladowo dla SW1:
#Cisco ACS
f1/7 = nio_gen_eth:\device\npf_{5682ebc5-0a8f-4d05-8c17-47b5f7c97de3}
ktory odpowiada interfejsowi VMnet 5 w vmware, ktory uzywa wirtualny Windows Server 2003 na ktorym stawiamy ACS 4.1, Tftpd32(syslog i tftp) i CA do certyfikatow oraz ASDM. Na XP cisco VPN Client w wersji 4.0.8.10.
I mozemy korzystac z naszego laba. Jak ktos chce wiecej szczegolow, watek jest otwarty z checia wyjasnie. Na Asach dziala prawie wszystko, problemy sa jedynie przy A/S failover. A/A dziala bez zarzutu, ASDM, SSL VPN etc cala reszta rowniez jak (Cut through proxy, downloadable ACL, logowanie, routing (OSPF, EIGRP, RIP, Static, SLA, redystrybucja i tak dalej). Przy starcie mamy mozliwosc wyboru single/multicontext. Configi sa zapisywane. Jest tylko pewien trik z zapisem konfigu: robi sie to komenda:
Kod: Zaznacz cały
ASA1# copy running-config disk0:/.private/startup-config.
WARNING!! przy Remote VPN i certyfikatach nalezy ustawic w crypto ACL 3DES or better, inaczej nie przejdziemy przez IKE Phase 1 i nie zestawimy tunelu. Przetestowane wielokrotnie ! to jeden z bugow ktory znalazlem. Rowniez nalezy zmapowac tunnel group mape z nasza nazwa tunnel groupy inaczej beda bledy i rowniez tunnel sie nie zestawi.
Kod: Zaznacz cały
tunnel-group-map default-group naszanazwatunnelgroupy
/mnt/disk0/lina_monitor
i gotowe
AHA HASLO DOMYSLNE DO ENABLE TO asa
Pozdrawiam[/b]