MOLEHAND Solutions

 
Print  
Author: MOLEHAND Created: 2008. 09. 26. 23:33
Hálózat

By Halász István on 2011. 12. 20. 0:11

1. Lépjünk be szöveges módban az eszközre Konzol\SSH\Telnet porton.
2. Lépjünk a 24.8-as menüpontba, azaz kérjünk parancs interpreter promptot.
3. Tiltsuk le a felesleges interface(eken) a capture-t:
sys trcp channel  none
sys trcp channel none
... 

4. Engedélyezzük a kívánt interface-en a capture-t:
sys trcp channel bothway

5. Kapcsoljuk be trace loggingot:
sys trcp sw on & sys trcl sw on

6.A Online log
Jelenítsük meg a  kivonatos online logot:
sys trcd brief 

Vagy tekintsünk bele a packetekbe:
sys trcd parse
 
6.B Offline log
Állítsuk le a logolást:
sys trcp sw off & sys trcl sw off
A. Jelenítsük meg a kivonatos offline logot:
sys trcp brief
 
B. Vagy tekintsünk bele a kívánt packetekbe:
sys trcp parse
A Zywall 35 port kiosztása például:
Port 1 = enet0 = enif1 = LAN
Port 2 = enet1 = enif2 = WAN1
Port 3 = enet2 = enif3 = DMZ
Port 4 = enet3 = enif4 = WAN2
Port 5 = enet4 = enif5 = WCard
Port 6 = enet5 = enif6 = WLAN
 

By Molnár Péter on 2010. 08. 06. 11:07

A Microsoft néhány hasznos eszközt készített portok ellenőrzésére:
 
PortQry2 - parancsosors port ellenőrző, telepítést nem igényel
PortQryUI - grafikus port ellenőrző, telepítést nem igényel
PortReporter - Aktivitás figyelő és log készítő Windows service. Telepítés szükséges. További info itt.
 
UDP port ellenőrzésekor kaphatunk "open|filtered" választ ebben az esetben nem eldönthető, hogy nyitott-e a port. (pl. NTP: UDP123)

By Frang Tamás on 2010. 06. 06. 15:05

Ha hálózati megosztáshoz csatlakoztatunk egy meghajtót, a csatlakoztatott meghajtó kapcsolata adott inaktív időtartamot követően megszakadhat. A kapcsolat normál esetben pillanatok alatt újra létrehozható, de ez a "szakadás" adott esetben egyes programok működésével összeütközésbe kerülhet és problémákat okozhat. Az alábbi paranccsal ez az időtartam kitolható, avagy végtelenre is állítható (azaz kikapcsolható az automatikus kapcsolat bontás):
 
net config server /autodisconnect:szám
 
Ahol a szám helyére kell a percekben megadott kapcsolatbontási időt írni. Végtelenre a -1-es értékkel állíthatjuk.
 
Bővebb információ az alábbi Microsoft KB cikkben található:

By Halász István on 2010. 04. 01. 17:39


Az ISA alapból nem engedélyezi az FTP szerverekre való feltöltést (írást), 
még akkor sem, ha a kapcsolódásra külön szabályt hozunk létre.

Beállítás

  1. Nyissuk meg az ISA Management Console-t

  2. Ha még nincs, hozzunk létre egy új Access rule-t az FTP 
    protokolhoz, pl. a jobb oldali panel Task füle alatti menüpontra 
    klikkelve:


               
     
  3. Nevezzük el a szabályt, pl. Allow FTP R/W névre:


     
  4. Rule Action oldalon válasszuk ki az Allow opciót

  5. Protocols oldalon válasszuk a  Selected Protocols opciót



    majd klikkeljünk az Add gombra, keressük ki az FTP protokolt, és ismét Add, majd Close



     
  6. Klikkeljünk a Next-re


     
  7. Klikkeljünk az Add gombra, majd válasszuk ki a Networks mappát, majd az Internal hálózatot, aztán klikkeljünk a Close gombra, végül a Next-re:



     
  8. Klikkeljünk az Add gombra, majd válasszuk ki a Networks mappát, majd az External hálózatot, aztán klikkeljünk a Close gombra, végül a Next-re:


     
  9. Válasszuk az All Users opciót:



     
  10. Ellenőrizzük le a beállításokat, majd klikkeljünk a Finish-re:



     
  11. Klikkeljünk az Apply gombra, hogy a változtatások mentésre kerüljenek. Ezt a gombot a középső panel tetejénél találjuk:


     
  12. A szabálynak valahogy így kell kinéznie:

  13. Ahogy már említettük, ez a szabály jelenlegi állapotában még csak a letöltést engedélyezi. A feltöltéshez a következő lépésekre van szükség
     
  14. Jobbklikkeljünk a szabályra, és válasszuk a Configure FTP opciót



  15. Vegyük ki a pipát a Read Only elől, majd OK


     
  16. Klikkeljünk az Apply gombra, hogy a változtatások mentésre kerüljenek.

/Forrás: http://www.elmajdal.net/isaserver/Allowing_FTP_Uploads_Through_ISA_Server_2004_2006.aspx/

By Halász István on 2009. 11. 25. 10:53

Website (URL) szűrés:
 
A Cisco 5500-as sorozatú ASA-kon lehetőség van adott website-ok elérésének korlátozására reguláris kifejezések segítségével. Ennek menete parancsori kezelőfelületen a következő:
  1. Belépünk a kezelőfelületre, majd az en paranccsal belépünk privilegizált üzemmódba.
     
  2. configure terminal
  3. regex domainlist1 "rapidshare\.(com|de)"

    Létrehozunk egy egy új reguláris kifejezést, amely illeszkedik a szűrni kívánt domainnévre.
     
  4. class-map type regex match-any DomainBlockList
     match regex domainlist1
    (match regex domainlist2
     match regex domainlist3
     ...)
    exit

    Létrehozunk egy DomainBlockList nevű regkif osztályt, és beletesszük a szűrni kívánt domainekre illeszkedő reguláris kifejezéseket.
     
  5. class-map type inspect http match-all BlockDomainsClass
    match request header host regex class DomainBlockList
    exit


    Létrehozunk egy BlockDomainsClass nevű osztályt, amit a request header mező DomainBlockList osztályban lévő regkif-ekkel való összehasonlításához használunk.
     
  6. policy-map type inspect http http_inspection_policy
    parameters
    class BlockDomainsClass
    reset log
    exit


    Létrehozunk egy http vizsgálat policy-t, amelyben meghatározzuk, hogy mit tegyen az ASA a forgalommal illeszkedés esetén. Jelen esetben reseteljük a kapcsolatot, és bekapcsoljuk a logolást.
     
  7. access-list inside_mpc extended permit tcp any any eq www
    access-list inside_mpc extended permit tcp any any eq 8080

    Létrehozunk egy ACL-t inside_mpc néven, hogy a 80-as porton zajló forgalomra hivatkozni tudjunk, majd ehhez hozzádjuk a 8080-as forgalmat is.
     
  8. class-map httptraffic
    match access-list inside_mpc
    exit


    Létrehozunk egy új forgalom osztályt httptraffic néven az előzőleg létrehozott ACL segítségével.
     
  9. policy-map inside-policy
    class httptraffic
    inspect http http_inspection_policy
    exit
    exit


    Létrehozunk egy inside-policy elnevezésű policy-t, amelyben meghatározzuk, hogy mit tegyen az ASA a httptraffic osztály által meghatározott forgalommal. Jelen esetben bekapcsoljuk rá a http vizsgálatot a http_inspection_policy alapján.
     
  10. service-policy inside-policy interface inside

    Alkalmazzuk a fenti policy-t a megfelelő (jelen esetben az inside) interface-re.
     
  11. exit

    Kilépünk config üzemmódból, és ezzel élesítjük az új beállításokat.
     

By Halász István on 2009. 09. 30. 21:55


Bizonyos típusú parancsok esetén elég csak újra kiadni a parancsot a korrekt paraméterekkel, és egyszerűen felülíródik az előző beállítás, de ez nem minden esetben működik.
Utóbbi esetben két parancsot tudunk használni:
  1. clear: Egy adott parancs beállításainak törlésére használhatjuk ezt a parancsot.

    Szintaktika:
    clear configure configurationcommand [level2configurationcommand]

    Pl.:
    clear configure aaa

    Ha csak az aaa authentication parancs beállításait szeretnénk törölni, akkor a következő parancsot kell kiadnunk

    clear configure aaa authentication
     
  2. no: Ha csak egy parancs egy adott paraméterét vagy opcióját szeretnénk törölni, akkor ezt a parancsot kell használnunk.

    Szintaktika:
    no configurationcommand [level2configurationcommand] qualifier

    qualifier részben határozhatjuk meg a konkrét sort, amit ki szeretnénk törölni azzal, hogy begépelünk annyit a parancsból, ami már egyértelműen azonosítja.
     
    Pl. egy konkrét nat parancs eltávolításához:
    no nat (inside) 1

Megjegyzések:

  • A kezdő konfiguráció (startup configuration) kitörléséhez a következő parancsot kell kiadni:

    write erase
     
  • A futó konfiguráció (running configuration) kitörléséhez a következő parancsot kell kiadni:

    clear configure all

By Halász István on 2009. 08. 13. 13:57

Az OpenVPN által használt TAP device csak admin jogokkal használható. Megoldás: az OpenVPN service-ként való futtatása.
 
Ehhez a user számára a service indításához és leállításához jog biztosítása a resource kitben lévű subinacl.exe toolal történhet (a username a példában MH\vk):
 
subinacl /SERVICE "OpenVPNService" /GRANT=MH\vk=TO
 
A kényelmesebb használat miatt registry módosításokkal beállítható, hogy az OpenVPNGUI a service-t kezelje, és ne külön processt próbáljon indítani, és így a systray-en lévő ikon segítségével tudjuk indítani ill. leállítani a service-t.
 
[HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI]
"allow_service"="1"
"service_only"="1"
 
Ha nem probléma, akkor adjunk a user(eknek) jogot a
\config és a
\log
mappákra, ekkor tud változtatni a konfigon, ill. tud jelszót cserélni.
 
Ha igen, akkor viszont el tudjuk rejteni a GUI-ban az ehhez kapcsolódó menüpontokat:
 
[HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI]
"allow_password"="0"
"allow_edit"="0"

By Halász István on 2009. 07. 02. 22:05

A következő a teendő, ha valamely port nem működik:
 
  • csatlakozzunk a sw.-re telnettel
    telnet 10.0.0.5
  • lépjünk be "admin" módba
    en
  • listázzuk ki az err-disabled portokat
    Switch# show interfaces status err-disabled
    Port    Name               Status         Reason
    Fa9/4                      err-disabled   link-flap

  • ha van ilyen port, a következő parancssorozattal tudjuk resetelni:
    conf t
    int Fa9/4
    shut
    no shut

Az összes port státuszát egyébként a következő paranccsal tudjuk áttekinteni:
show int status

By Molnár Péter on 2009. 06. 08. 21:24

Az ASDM felületen többször találkoztunk azzal a problémával, hogy a "TOP 10 source" és "TOP 10 destination" kijelzők nem működnek, ráadásul nem is lehet engedélyezni.
A megoldás CLI-ben a következő:
 

threat-detection basic-threat

threat-detection statistics host

threat-detection statistics port

threat-detection statistics protocol

threat-detection statistics access-list

no threat-detection statistics tcp-intercept

 

By Körmendi Szilvia on 2009. 02. 01. 3:12

Az régi original-translated problematika...
 
A szabályt úgy kell értelmezni, hogy az original rész arra vonatkozik, hogy eredetileg mi lenne a paraméter, és ezt a NAT mire cserélje, azaz mi legyen a translated.
 
Tehát ha publikálnánk a 10.x.x.x-et akkor a feladat, hogy az eredetileg a belső interface-n lévő 10.x.x.x-et NAT-olja az eszköz a külső interface w.x.y.z (publikus) IP-jére.
 
Port esetében pedig az original az a port amin valójában(eredetileg) hallgat a szolgáltatás, a translated, pedig ami a NAT után lesz a translated interface-en.
 
A forgalom, statikus NAT-nál két irányú, tehát nem azt kell megadni, hogy honnan hova, hanem hogy bármilyen irányban mit mire cseréljen az eszköz.
 
A default dinamikus szabály értelmezése is hasonló: Minden eredetileg belső interfészről érkező csomagot fordítson a külső interface adott (publikus) IP-jére. Ez a szabály nyilvánvalóan egy irányú, hiszen Egy külső interface-re érkező csomagot nem lehet minden belső címre fordítani!
 
FONTOS: Tehát, hogy tiszta legyen, az irány azt jelenti, merre lehet kezdeményezni! (Mivel a csak kifelé engedni csomagokat értelmetlen, hiszen nyilván választ szeretnénk kapni!)

 

Discount offer

 I’ve already tried several providers. Currently all of our projects are placed at MOLEHAND, because they provide real services not only a piece of a computer. Any kind of new problem crops up, I can always count on a fast and expert reaction.