Strona 1 z 1

Konkurs - Security

: 25 mar 2008, 12:00
autor: peper
Panie i Panowie, oto nasze zadanie konkursowe

Przed wysłaniem rozwiązania proszę zapoznać się ponownie z OGÓLNYM REGULAMINEM KONKURSÓW oraz z ninejszym ogłoszeniem zawierającym dodatkowe regulacje

Dodatkowe ograniczenia związane z konkursem (uzupełnienie do ogólnego regulaminu)

1) W konkursie mogą wziąć udział uczestnicy forum z minimum 10 postami
2) Z udziału w konkursie wykluczeni są posiadacze certyfikatu CCIE
3) Z konkursu wyłączone są także osoby posiadające w dniu 25 marca 2008 roku punkty warningowe
4) Wszystkie wątpliwości co do treści zadania należy wysyłać PMkami do Seby, odpowiedzi na zadane pytania pojawią się publicznie w tym wątku

Jednocześnie prosimy, aby udział w konkursie brały jedynie osoby, którym sprzęt będący nagrodą się naprawdę przyda.

Nagroda

Do wygrania są dwa PIXy. Otrzymają je dwie pierwsze osoby, które wyślą poprawne odpowiedzi na wszystkie pytania konkursowe - decyduje kolejność zgłoszeń.

I nagroda

Kod: Zaznacz cały

PIX 520
pixfirewall# show version

PIX Version 4.2(4)
Compiled on Wed 03-Mar-99 16:20 by pixbuild

pixfirewall up 2 mins 33 secs

Hardware: SE440BX, 32 MB RAM, CPU Pentium II 349 MHz
Flash atmel @ base 0x300
0: ethernet0: address is 0090.2778.9f97, irq 11
1: ethernet1: address is 0090.2778.a009, irq 10
2: ethernet2: address is 0090.2778.a00a, irq 15
II nagroda

Kod: Zaznacz cały

PIX 510

PIX Version 4.2(4)
Compiled on Wed 03-Mar-99 16:20 by pixbuild

pixfirewall up 18 secs

Hardware: LT430TX, 16 MB RAM, CPU Pentium 167 MHz
Flash atmel @ base 0x300
0: ethernet0: address is 0090.2712.42be, irq 11
1: ethernet1: address is 0090.2713.c91c, irq 15
Serial Number: 6011505
Sposób doręczenia nagrody ustalany będzie indywidualnie z fundatorem Gaph'em

Rozwiązania należy wysyłać za pomocą formularza na stronie http://ccie.pl/Konkurs. Każdy może wysłać tylko jedno rozwiązanie - wszystkie kolejne zgłoszenia będą ignorowane.

Konkurs kończy się z chwilą odebrania dwóch poprawnych zgłoszeń. Wtedy sędzia konkursu, Seba, poda prawidłowe rozwiązanie i loginy zwycięzców.


ZADANIE
Zadanie 1

Kod: Zaznacz cały

Jestes uzytkownikiem laczacym sie do Internet zza PIXa. Podczas polaczenia do niektorych uslug (np. telnet, http, ftp, pop) czasami pojawia sie problem, ze odpowiedz z serwera zajmuje duzo czasu, a w niektorych przypadkach nie ma mozliwosci polaczenia sie wcale.

Zakladamy, ze PIX jest skonfigurowany prawidlowo (ACL/NAT), jednakze opisane powyzej problemy wymagaja aktualizacji konfiguracji na PIXie.

Rozwiazanie jest jednokomendowe.

Zadanie 2

Kod: Zaznacz cały

Twoj PIX jest w lokalizacji zdalnej polaczony do Internet poprzez lacze DSL

a) uzyskac polaczenie do Internetu poprzez zastosowanie mechanizmu zdefiniowanego z RFC 2516. Adres IP jest przydzielany dynamicznie.

b) Stosujac mechanizmy opisane w RFC 2131 dostarczamy stacjom PC podlaczonym w LAN odpowiednich parametrow, umozliwiajacych polaczenie do Internetu i przegladanie stron www.

c) Kolejnym wymaganie jest potrzeba polaczenia sie do lokalizacji centralnej wykorzystujac polaczenie szyfrowane - pamietamy o dwoch ograniczeniach/wymaganiach - adres publiczny jest przydzielany dynamicznie, adresy LAN NIE sa translowane przy polaczeniu do lokalizacji centralnej
Zadanie 3

Kod: Zaznacz cały

Skonfiguruj PIXa w lokalizacji centralnej do obslugi polaczenia opisanego powyzej (punkt 2 c). Tylko ruch do zdalnej lokalizacji podlega szyfrowaniu. Stosujemy dowolne algorytmy i protokoly. 
Uwagi dodatkowe:
- Wszelkie hasla/username uzywamy "cisco"
- dla punktu 2c/3 stosujemy wspolne haslo
- urzadzenia w poszczegolnych zadaniach maja po dwa interfejsy; wewnetrzny (LAN/inside) i zewnetrzny (WAN/Internet/outside)
- adresacja IP:
* zadania 1-2c - siec LAN to 10.1.1.0/24
* zadanie 3 - lokalizacja centralna - siec LAN to 192.168.0.0/21; lokalizacja zdalna - jak dla punktow 1-2c
* wszystkie zadania - interfejs podlaczony do Internetu - dowolny adres Publiczny
* wszystkie pozostale adresy, jesli sa potrzebne, do wyboru przez uczestnika konkursu

KONKURS-SECURITY-WYNIKI

: 28 mar 2008, 15:12
autor: Seba
Czolem,

Z przyjemnoscia oglaszam, ze konkurs zostal zakonczony i co najwazniejsze, mamy dwoch zwyciezcow :!:

Najszybciej poprawnych odpowiedzi udzielili nastepujacy forumowcy:
- garfield
- Leve


Gratulacje !!!

Rozwiazania zostana podane wkrotce...

Seba

: 31 mar 2008, 19:37
autor: Seba
No i przyszedl czas na poprawne odpowiedzi, tudziez wskazowki czego oczekiwano. Pytanie pozwalaly na pewna dowolnosc, np. w zakresie software 6.x vs. 7.x. Rozwiazania ponizej sa dla software 6.x:
Pytanie 1:

Kod: Zaznacz cały

service resetinbound
Wskazowki co i jak TUTAJ

Pytanie 2a:

Kod: Zaznacz cały

ip address outside pppoe setroute
vpdn group operator request dialout pppoe
vpdn group operator localname cisco
vpdn group operator ppp authentication pap
vpdn username cisco password cisco
RFC2516 to nic innego jak PPPoE. Do poczytania TUTAJ

Pytanie 2b:

Kod: Zaznacz cały

dhcpd enable inside
dhcpd address 10.1.1.2-10.1.1.254 inside
dhcpd dns 194.204.159.1
RFC2131 opisuje DHCP. Do poczytania TUTAJ

Pytanie 2c:

Kod: Zaznacz cały

vpnclient server <ip_pixa_w_centrali>
vpnclient mode network-extension-mode
vpnclient enable

global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
W pytaniu chodzilo o EasyVPN hardware client w trybie NEM; czesc druga odpowiedzi jest opcjonalna, bo w konfiguracji NEM ruch do lokalizacji central jest automatycznie eliminowany z procesu translacji.
Mozliwym odstepstwem od wymogu konfiguracji EasyVPN client, bylo odpowiednie skonfigurowanie lokalizacji centralnej (punkt 3) i zastosowanie Site2site VPN.

Pytanie 3:

Kod: Zaznacz cały

access-list 111 permit ip 192.168.0.0 255.255.248.0
10.1.1.0 255.255.255.0

ip local pool pool 172.16.0.2-172.16.0.254 !dowolne adresy

global (outside) 1 interface
nat (inside) 0 access-list 111
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

crypto ipsec transform-set myset esp-aes esp-md5-hmac
crypto dynamic-map dynamicmap 10 set transform-set myset
crypto map mapka 10 ipsec-isakmp dynamic dynamicmap
crypto map mapka interface outside

isakmp enable outside
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption aes
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

vpngroup vpn_group address-pool pool
vpngroup vpn_group dns-server 194.204.159.1
vpngroup vpn_group default-domain konkurs.com
vpngroup vpn_group split-tunnel 111
vpngroup vpn_group idle-time 1800
vpngroup vpn_group password cisco
vpngroup idle-time idle-time 1800
Ogolnie chodzilo o skonfigurowanie lokalizacji centralnej w oparciu o podane dane jako EasyVPN serwer. Mozliwe bylo odstepstwo od tego wymogu, o ktorym wspomnialem w punkcie 2c i odpowiednie skonfigurowanie Site2Site VPN umozliwiajace polaczenia z dowolnego adresu po stronie zdalnej (dynamiczny IP)

To chyba wszystko w temacie. Jesli sa jakies watpliwosci w temacie, mozna sprobowac lapac mnie na PM ;-)