CCIE Security - WB1 - Lab 1a - Config ASA - parte 2
Despues de jugar con mi hija un rato, ver un pedazo de un bluray... toi aqui de vuelta. Mi mente me traiciona... no puedo evitar pensar en que alternativamente podria estar haciendo uso de mi tiempo en otras cosas. Quisiera comprar una pildora que me hiciera zombie mientras estudio y ya.. lo peor es que seguro existe una, pero con efectos colaterales poco gratos, como transformarme en una de las cosas que mas detesto (zombies :). ... by the way, vieron 28 weeks? Gran pelicula de zombies. Uno de los protagonistas principales era un stripper masculino de capa caida, cuestionable estado fisico y icono del loser mid-crisis en una pelicula inglesa, que tiene su momento de fama y que termina.. bueno, vean 28 weeks.
Suficiente basofia. De vuelta al CCIE-security-world, donde todas los security appliances, routers, switches, AAA srvrs son Cisco, donde no existe cuestionamiento (porque no tiene sentido), donde la aplicacion en el real-world no siempre es la que uno quisiera, pero... bueno, la prueba es la prueba, uno hace lo que le piden en ella y punto.
Durante el resto de la mitad del ejercicio de ASAs, pude constatar:
Suficiente basofia. De vuelta al CCIE-security-world, donde todas los security appliances, routers, switches, AAA srvrs son Cisco, donde no existe cuestionamiento (porque no tiene sentido), donde la aplicacion en el real-world no siempre es la que uno quisiera, pero... bueno, la prueba es la prueba, uno hace lo que le piden en ella y punto.
Durante el resto de la mitad del ejercicio de ASAs, pude constatar:
- Que para evitar las traducciones de NAT hay dos sabores, identity NAT y NAT exemption, basicamente son lo mismo, pero en distintos formatos de comandos:
- Identity NAT - nat (inside) 0 10.1.1.10 255.255.255.255
- NAT Exemption - nat inside (0) access-list acl_name_here
- Que para configurar un auth-proxy que intercepte todos los requests salientes de telnet, ftp, http desde una interfaz inside en un ASA es mas elegante usar ACLs con este formato de comando
- access-list out_aaa permit tcp any any eq 23
- access-list out_aaa permit tcp any any eq 80
- access-list out_aaa permit tcp any any eq 21
- aaa authentication match out_aaa inside AAA <-- siendo AAA un aaa-server previamente definido
- Para virtual-telnet, igual hay que permitir explicitamente el acceso agregando un ACL, y si es accedido desde una interfaz de menor nivel de seguridad (ej: outsite, 0) a una de mayor nivel de seguridad (ej: inside, 100), es _necesario_ agregar un static (inside,outside) x x donde x es la IP de virtual-telnet (virtual telnet = auth proxy para otros puertos que no sean los autenticables via auth-proxy como telnet, ftp, http)
- Que para permitir que una sesion BGP autenticada pase a traves de un ASA, es _imperativo_ dejar pasar el atributo 19 de TCP (que por defecto es limpiado) y deshabilitar la randomizacion del numero de secuencia TCP. Tipicamente se arma con una config similar a esta:
- access-list BGP extended permit tcp any any eq bgp
!
tcp-map BGP
tcp-options range 19 19 allow
!
class-map BGP
match access-list BGP
!
policy-map global_policy
class BGP
set connection random-sequence-number disable
set connection advanced-options BGP - Que para la configuracion de QoS en el ASA, primero se define el trafico de interes (con una access-list y luego un class-map que lo relaciona), luego bajo un policy-map se invoca al class-map, y se aplica priority, luego se llama al policy-map desde un service-policy y finalmente se habilita la interfaz (priority-queue interfaz)
- !
class-map VOIP
match dscp ef
!
policy-map OUTSIDE
class VOIP
priority
!
service-policy OUTSIDE interface outside
!
priority-queue outside
! - Que MPF es re power y hay que tenerle respeto. Que la forma de configurarlo tipicamente es definiendo un class-map type inspect
, match X, luego con policy-map type inspect .. acciones, parametros, referencia al class.. y finalmente aplicando el policy-map type dentro del clasico policy-map invocandolo bajo un class con un inspect. No se entendio nada? Claro que no, a esta hora la correcta redaccion esta prohibida. Quizas queda mas claro con la config a continuacion que -en teoria- previene que la IP 10.1.1.87 use Yahoo: - !
access-list NO_IM extended permit ip host 10.1.1.87 any
!
class-map imblock
match access-list NO_IM
!
policy-map type inspect im impolicy
parameters
match protocol yahoo-im
reset
!
policy-map IM
class imblock
inspect im impolicy
!
service-policy IM interface inside
Bueno, habiendo ya terminado el lab 1a en algo asi como en 7 horas (y deberian haber sido 4 segun la guia), y ya dejando listo el GNS3 para correr el lab 2a, que tiene un foco bien fuerte en IOS FW (CBAC), ZBFW (L2 y L3), rACLs, lock n key, NAT, TCP intercept, auth-proxy, PAM, y otros... con una duracion estimada de 10 horas, me voy al sobre, manana hay que laborar.
posted by spacemoose at
9:43 PM
1 Comments:
Y todo esto ... ¿se va a poder hacer vía GUI en algún recóndito futuro?
By
Loquillo, At
9:51 PM
Post a Comment
Subscribe to Post Comments [Atom]
<< Home