CCIE.pl

site 4 CCIE wannabies
It is currently 24 Apr 2017, 19:00

All times are UTC+02:00




Forum locked  This topic is locked, you cannot edit posts or make further replies.  [ 3 posts ] 
Author Message
 Post subject: Konkurs - Security
Post #1 Posted: 25 Mar 2008, 12:00 
Offline
CCIE / Site Admin
CCIE / Site Admin
User avatar

Joined: 13 Aug 2004, 12:19
Posts: 4728
Location: Warsaw, PL
Panie i Panowie, oto nasze zadanie konkursowe

Przed wysłaniem rozwiązania proszę zapoznać się ponownie z OGÓLNYM REGULAMINEM KONKURSÓW oraz z ninejszym ogłoszeniem zawierającym dodatkowe regulacje

Dodatkowe ograniczenia związane z konkursem (uzupełnienie do ogólnego regulaminu)

1) W konkursie mogą wziąć udział uczestnicy forum z minimum 10 postami
2) Z udziału w konkursie wykluczeni są posiadacze certyfikatu CCIE
3) Z konkursu wyłączone są także osoby posiadające w dniu 25 marca 2008 roku punkty warningowe
4) Wszystkie wątpliwości co do treści zadania należy wysyłać PMkami do Seby, odpowiedzi na zadane pytania pojawią się publicznie w tym wątku

Jednocześnie prosimy, aby udział w konkursie brały jedynie osoby, którym sprzęt będący nagrodą się naprawdę przyda.

Nagroda

Do wygrania są dwa PIXy. Otrzymają je dwie pierwsze osoby, które wyślą poprawne odpowiedzi na wszystkie pytania konkursowe - decyduje kolejność zgłoszeń.

I nagroda

Code:
PIX 520
pixfirewall# show version

PIX Version 4.2(4)
Compiled on Wed 03-Mar-99 16:20 by pixbuild

pixfirewall up 2 mins 33 secs

Hardware: SE440BX, 32 MB RAM, CPU Pentium II 349 MHz
Flash atmel @ base 0x300
0: ethernet0: address is 0090.2778.9f97, irq 11
1: ethernet1: address is 0090.2778.a009, irq 10
2: ethernet2: address is 0090.2778.a00a, irq 15


II nagroda

Code:
PIX 510

PIX Version 4.2(4)
Compiled on Wed 03-Mar-99 16:20 by pixbuild

pixfirewall up 18 secs

Hardware: LT430TX, 16 MB RAM, CPU Pentium 167 MHz
Flash atmel @ base 0x300
0: ethernet0: address is 0090.2712.42be, irq 11
1: ethernet1: address is 0090.2713.c91c, irq 15
Serial Number: 6011505


Sposób doręczenia nagrody ustalany będzie indywidualnie z fundatorem Gaph'em

Rozwiązania należy wysyłać za pomocą formularza na stronie http://ccie.pl/Konkurs. Każdy może wysłać tylko jedno rozwiązanie - wszystkie kolejne zgłoszenia będą ignorowane.

Konkurs kończy się z chwilą odebrania dwóch poprawnych zgłoszeń. Wtedy sędzia konkursu, Seba, poda prawidłowe rozwiązanie i loginy zwycięzców.


ZADANIE
Zadanie 1
Code:
Jestes uzytkownikiem laczacym sie do Internet zza PIXa. Podczas polaczenia do niektorych uslug (np. telnet, http, ftp, pop) czasami pojawia sie problem, ze odpowiedz z serwera zajmuje duzo czasu, a w niektorych przypadkach nie ma mozliwosci polaczenia sie wcale.

Zakladamy, ze PIX jest skonfigurowany prawidlowo (ACL/NAT), jednakze opisane powyzej problemy wymagaja aktualizacji konfiguracji na PIXie.

Rozwiazanie jest jednokomendowe.



Zadanie 2
Code:
Twoj PIX jest w lokalizacji zdalnej polaczony do Internet poprzez lacze DSL

a) uzyskac polaczenie do Internetu poprzez zastosowanie mechanizmu zdefiniowanego z RFC 2516. Adres IP jest przydzielany dynamicznie.

b) Stosujac mechanizmy opisane w RFC 2131 dostarczamy stacjom PC podlaczonym w LAN odpowiednich parametrow, umozliwiajacych polaczenie do Internetu i przegladanie stron www.

c) Kolejnym wymaganie jest potrzeba polaczenia sie do lokalizacji centralnej wykorzystujac polaczenie szyfrowane - pamietamy o dwoch ograniczeniach/wymaganiach - adres publiczny jest przydzielany dynamicznie, adresy LAN NIE sa translowane przy polaczeniu do lokalizacji centralnej


Zadanie 3
Code:
Skonfiguruj PIXa w lokalizacji centralnej do obslugi polaczenia opisanego powyzej (punkt 2 c). Tylko ruch do zdalnej lokalizacji podlega szyfrowaniu. Stosujemy dowolne algorytmy i protokoly. 


Uwagi dodatkowe:
- Wszelkie hasla/username uzywamy "cisco"
- dla punktu 2c/3 stosujemy wspolne haslo
- urzadzenia w poszczegolnych zadaniach maja po dwa interfejsy; wewnetrzny (LAN/inside) i zewnetrzny (WAN/Internet/outside)
- adresacja IP:
* zadania 1-2c - siec LAN to 10.1.1.0/24
* zadanie 3 - lokalizacja centralna - siec LAN to 192.168.0.0/21; lokalizacja zdalna - jak dla punktow 1-2c
* wszystkie zadania - interfejs podlaczony do Internetu - dowolny adres Publiczny
* wszystkie pozostale adresy, jesli sa potrzebne, do wyboru przez uczestnika konkursu

_________________
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: http://www.linkedin.com/in/peper
Twitter: http://www.twitter.com/PiotrW_CCIE
Blog: http://blog.it-playground.eu

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"


Top
   
 Post subject: KONKURS-SECURITY-WYNIKI
Post #2 Posted: 28 Mar 2008, 15:12 
Offline
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin

Joined: 15 Jul 2004, 20:35
Posts: 6197
Location: Warsaw, PL
Czolem,

Z przyjemnoscia oglaszam, ze konkurs zostal zakonczony i co najwazniejsze, mamy dwoch zwyciezcow :!:

Najszybciej poprawnych odpowiedzi udzielili nastepujacy forumowcy:
- garfield
- Leve


Gratulacje !!!

Rozwiazania zostana podane wkrotce...

Seba

_________________
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein


Top
   
 Post subject:
Post #3 Posted: 31 Mar 2008, 19:37 
Offline
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin

Joined: 15 Jul 2004, 20:35
Posts: 6197
Location: Warsaw, PL
No i przyszedl czas na poprawne odpowiedzi, tudziez wskazowki czego oczekiwano. Pytanie pozwalaly na pewna dowolnosc, np. w zakresie software 6.x vs. 7.x. Rozwiazania ponizej sa dla software 6.x:
Pytanie 1:
Code:
service resetinbound

Wskazowki co i jak TUTAJ

Pytanie 2a:
Code:
ip address outside pppoe setroute
vpdn group operator request dialout pppoe
vpdn group operator localname cisco
vpdn group operator ppp authentication pap
vpdn username cisco password cisco


RFC2516 to nic innego jak PPPoE. Do poczytania TUTAJ

Pytanie 2b:
Code:
dhcpd enable inside
dhcpd address 10.1.1.2-10.1.1.254 inside
dhcpd dns 194.204.159.1


RFC2131 opisuje DHCP. Do poczytania TUTAJ

Pytanie 2c:
Code:
vpnclient server <ip_pixa_w_centrali>
vpnclient mode network-extension-mode
vpnclient enable

global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

W pytaniu chodzilo o EasyVPN hardware client w trybie NEM; czesc druga odpowiedzi jest opcjonalna, bo w konfiguracji NEM ruch do lokalizacji central jest automatycznie eliminowany z procesu translacji.
Mozliwym odstepstwem od wymogu konfiguracji EasyVPN client, bylo odpowiednie skonfigurowanie lokalizacji centralnej (punkt 3) i zastosowanie Site2site VPN.

Pytanie 3:
Code:
access-list 111 permit ip 192.168.0.0 255.255.248.0
10.1.1.0 255.255.255.0

ip local pool pool 172.16.0.2-172.16.0.254 !dowolne adresy

global (outside) 1 interface
nat (inside) 0 access-list 111
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

crypto ipsec transform-set myset esp-aes esp-md5-hmac
crypto dynamic-map dynamicmap 10 set transform-set myset
crypto map mapka 10 ipsec-isakmp dynamic dynamicmap
crypto map mapka interface outside

isakmp enable outside
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption aes
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

vpngroup vpn_group address-pool pool
vpngroup vpn_group dns-server 194.204.159.1
vpngroup vpn_group default-domain konkurs.com
vpngroup vpn_group split-tunnel 111
vpngroup vpn_group idle-time 1800
vpngroup vpn_group password cisco
vpngroup idle-time idle-time 1800

Ogolnie chodzilo o skonfigurowanie lokalizacji centralnej w oparciu o podane dane jako EasyVPN serwer. Mozliwe bylo odstepstwo od tego wymogu, o ktorym wspomnialem w punkcie 2c i odpowiednie skonfigurowanie Site2Site VPN umozliwiajace polaczenia z dowolnego adresu po stronie zdalnej (dynamiczny IP)

To chyba wszystko w temacie. Jesli sa jakies watpliwosci w temacie, mozna sprobowac lapac mnie na PM ;-)

_________________
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."

A. Einstein


Top
   
Display posts from previous:  Sort by  
Forum locked  This topic is locked, you cannot edit posts or make further replies.  [ 3 posts ] 

All times are UTC+02:00


Who is online

Users browsing this forum: No registered users and 1 guest


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Powered by phpBB® Forum Software © phpBB Limited