jen několik příkazu na CISCO ASA (v mém případě 5510)
Zobrazují se příspěvky se štítkemCISCO ASA. Zobrazit všechny příspěvky
Zobrazují se příspěvky se štítkemCISCO ASA. Zobrazit všechny příspěvky
středa 6. května 2020
pondělí 3. září 2018
CISCO ASA a Jablotron zabezpečovací systém
Z pohledu IT Security je jedna nejmenovaná firma Jablonce (vyrábějící bezpečnostní řešení) jedna z podivuhodných firem.
Někdo jiný by třeba mohl napsat: "i jedna z nejnebezpečnejších firem".
Proč to ?
Dodává také zabezpečovací systémy
Tedy pardón ... dřívější zkratka EZS (elektronické zabezpečovací systému) se již nepoužívá.
Naopak dnes se používá zkratka PZTS = Poplachová zabezpečovací a tísňové systémy.
A to byl i náš případ.
PZTS může komunikovat skrz GSM (velmi pomalé) nebo skrz datové připojení (INTERNET), které je výrazně rychlejší.
A pak nastává problém ...
V případě že má firma restriktivní bezpečnostní politiku, tak musí povolit odchozí komunikaci pro PZTS
A pro povolení potřebuje znát typ komunikace (TCP nebo UDP), porty a adresy, kam tu komunikaci povolit.
Reakce firmy ... stručně:
Adresy serverů zásadně nesdělujeme, nic Vám neřekneme a když už Vám to řekneme, tak (asi z bezpečnostních důvodů) to stejně bude špatně.
A nezapomenou i vyhrožovat a ve smyslu: "a když si adresy zjistíte, tak Vám to stejně nebude nic platné, protože adresy serverů stejně měníme".
Po dlouhých peripetiích trvajících několik týdnů jsem však nabyl dojmů, že ten systém vymyslel nějaký programátor, který už ve firmě nepracuje.
No a zbývající zaměstnanci opravdu neví.
A střílí od boku.
A vymýšlí si.
Takž pak nezbývá ně monitorovat a krok za krok vše předávat, respektive konzultovat.
A zde je výsledek bádání.
Někdo jiný by třeba mohl napsat: "i jedna z nejnebezpečnejších firem".
Proč to ?
Dodává také zabezpečovací systémy
Tedy pardón ... dřívější zkratka EZS (elektronické zabezpečovací systému) se již nepoužívá.
Naopak dnes se používá zkratka PZTS = Poplachová zabezpečovací a tísňové systémy.
A to byl i náš případ.
PZTS může komunikovat skrz GSM (velmi pomalé) nebo skrz datové připojení (INTERNET), které je výrazně rychlejší.
A pak nastává problém ...
V případě že má firma restriktivní bezpečnostní politiku, tak musí povolit odchozí komunikaci pro PZTS
A pro povolení potřebuje znát typ komunikace (TCP nebo UDP), porty a adresy, kam tu komunikaci povolit.
Reakce firmy ... stručně:
Adresy serverů zásadně nesdělujeme, nic Vám neřekneme a když už Vám to řekneme, tak (asi z bezpečnostních důvodů) to stejně bude špatně.
A nezapomenou i vyhrožovat a ve smyslu: "a když si adresy zjistíte, tak Vám to stejně nebude nic platné, protože adresy serverů stejně měníme".
Po dlouhých peripetiích trvajících několik týdnů jsem však nabyl dojmů, že ten systém vymyslel nějaký programátor, který už ve firmě nepracuje.
No a zbývající zaměstnanci opravdu neví.
A střílí od boku.
A vymýšlí si.
Takž pak nezbývá ně monitorovat a krok za krok vše předávat, respektive konzultovat.
A zde je výsledek bádání.
pátek 30. června 2017
Cisco AnyConnect - více profilů VPN serverů
jen
tip … třeba se to může někomu hodit.
Tento tip zajistí „zapamatování “ adresy VPN serveru a přihlašovacího účtu.
čtvrtek 8. prosince 2016
čtvrtek 1. prosince 2016
úterý 29. listopadu 2016
CISCO ASA 5505 - změna MAC adresy
Občas se to může hodit ...
např. poskytovatel Internetu trvá na DHCP (ale je ochoten provést rezervaci IP adresy oproti MAC adrese)
např. poskytovatel Internetu trvá na DHCP (ale je ochoten provést rezervaci IP adresy oproti MAC adrese)
čtvrtek 31. března 2016
CISCO ASA 5506-X - jako ntp server
Kolega chtěl vědět ...
Lze nastavit CISCO ASA 5506-X (nebo jiné ASA zařízení) jako NTP server ?
Patrál jsem v dokumentaci
Lze nastavit CISCO ASA 5506-X (nebo jiné ASA zařízení) jako NTP server ?
Patrál jsem v dokumentaci
čtvrtek 11. února 2016
CISCO ASA - CHYBA: unable to launch device manager from
Najednou mi odpadl management na CISCO ASA.
V grafickém prostředí obdržím chybové hlášení: unable to launch device manager from ...
Se můžu snažit jak chci (odinstalace JAVY, ASDM) ale nic nepomáhá.
Zajimavé je, že na "malou ASu 5505" je vše funkční.
Moje prostředí:
CISCO ASA 5510: ... nefunkční
- ASA 9.1(6)
- ASDM 7.5(2)
CISCO ASA 5505: ... funkční
- ASA 9.2(4)
- ASDM 7.5(1)
OS: - MS Windows 10 build 14257
Cisco odborník na ASu řekne ... dyť máš funkční SSH.
Ano mám, ale přeci jen grafické prostředí je občas rychlejší, když si honem rychle nedokážu vzpomenout na syntaxi.
V grafickém prostředí obdržím chybové hlášení: unable to launch device manager from ...
Se můžu snažit jak chci (odinstalace JAVY, ASDM) ale nic nepomáhá.
Zajimavé je, že na "malou ASu 5505" je vše funkční.
Moje prostředí:
CISCO ASA 5510: ... nefunkční
- ASA 9.1(6)
- ASDM 7.5(2)
CISCO ASA 5505: ... funkční
- ASA 9.2(4)
- ASDM 7.5(1)
OS: - MS Windows 10 build 14257
Cisco odborník na ASu řekne ... dyť máš funkční SSH.
Ano mám, ale přeci jen grafické prostředí je občas rychlejší, když si honem rychle nedokážu vzpomenout na syntaxi.
pátek 5. února 2016
CISCO AnyConnect a SHA 256 zatím spolu NEkamarádí
V případě, že používáte VPN AnyConnect od firmy CISCO a rozhodujete se přejít na SHA256, tak koukněte na následující článek.
Zatím SHA256 není podporované ... respektive je zde chybka.
V každém případě, ověřování certifikátů s SHA256 selhává.
Zatím SHA256 není podporované ... respektive je zde chybka.
V každém případě, ověřování certifikátů s SHA256 selhává.
středa 3. února 2016
CISCO ASA 5506-X - konfigurace SSL VPN
A ještě zde máme pokročilou konfiguraci pro CISCO ASA 5506-X.
Občas se hodí vzdálený VPN přístup do lokální sítě
(... plynule navazujeme v konfiguraci na předchozí článek)
Občas se hodí vzdálený VPN přístup do lokální sítě
(... plynule navazujeme v konfiguraci na předchozí článek)
úterý 2. února 2016
pondělí 1. února 2016
CISCO ASA 5506-X - reset to factory default
Jak se provéde RESET do továrního nastavení u VPN firewallu CISCO ASA 5506-X
čtvrtek 10. prosince 2015
CISCO AnyConnect - jaké porty používá ?
Pokud mám např. před CISCO ASA ještě router směrem do Internetu (napadá mne např. ADSL router), je nutno propustit (povolit) několik portů pro správnou funkci VPN klient.
Pro Cisco AnyConnect 3.0 platí:
Pro Cisco AnyConnect 3.0 platí:
pondělí 22. června 2015
CISCO ASA - seznam VPN anyconnect uživatelů
Více cest vede k cíli.
Jo potřebuji jednu konkrétní.
A tou je stručný seznam VPN AnnyConnect uživatelů z CLI SSH.
Jo potřebuji jednu konkrétní.
A tou je stručný seznam VPN AnnyConnect uživatelů z CLI SSH.
středa 18. února 2015
Cisco AnnyConnect nefunkční po instalaci MS aktualizace
Tak se mi začali hromadně ozývat uživatelé, že jim nefunguje přihlášení na CISCO ASu z programu Cisco AnnyConnect.
Na vině je tentokrát aktualizace od MS, která nejenže řeší cosi PowerPointem a má potřebu řešit (omylem) cosi s CISCO AnnyConnect.
Řešení je jednoduché.
Na vině je tentokrát aktualizace od MS, která nejenže řeší cosi PowerPointem a má potřebu řešit (omylem) cosi s CISCO AnnyConnect.
Řešení je jednoduché.
středa 7. ledna 2015
CISCO ASA5510 a VPN Windows Phone 8.1
Dostal se mi do tlapek mobil NOKIA LUMIA 635 s os Windows Phone 8.1.
Cílem bylo zajistiti možnost VPN (na druhé straně je CISCO ASA 5510 s ASA 9.1 a ASDM 7.3.
Mobil s Windows Phone 8.1 umí aktuální pouze 2 VPN protokoly:
- IKEv2
- SSL skrz web prohlížeč s instalovaným pluginem od konkrétního výrobce
Aktuálně jsou k dispozici VPN pluginy pro tyto VPN:
Cílem bylo zajistiti možnost VPN (na druhé straně je CISCO ASA 5510 s ASA 9.1 a ASDM 7.3.
Mobil s Windows Phone 8.1 umí aktuální pouze 2 VPN protokoly:
- IKEv2
- SSL skrz web prohlížeč s instalovaným pluginem od konkrétního výrobce
Aktuálně jsou k dispozici VPN pluginy pro tyto VPN:
- Juniper Networks JunOS Pulse VPN
- SonicWall MobileConnect VPN
- F5 Networks VPN
- Checkpoint Mobile VPN
Co se týče CISCO ASA, tak zde není žádná oficiální podpora.
Ale podařilo se najít přeci jen jednu možnost.
pátek 28. března 2014
CISCO ASA 5510 - obnova certifikátu
Na firewallu CISCO ASA5510 vypršel certifikát.
Po obvyklých 2 letech.
A je potřeba ho obnovit (protože jinak to uživatelům do VPN hází nehezkou hlášku, kterou musí odkliknout).
Certifikát firewalu má totiž vztah k SSL VPN, které jsou zabezpečeny certifikátem (jednoletým) a k interní Certifikační autoritě na MS Windows Server 2008.
Ještě je potřeba poznamenat, že situace je trošičku složitější, protože Certifikační autorita nemá z jakýchsi historických důvodů instalovánu možnost (roli) automatické potvrzování žádosti síťových zařízení.
Po obvyklých 2 letech.
A je potřeba ho obnovit (protože jinak to uživatelům do VPN hází nehezkou hlášku, kterou musí odkliknout).
Certifikát firewalu má totiž vztah k SSL VPN, které jsou zabezpečeny certifikátem (jednoletým) a k interní Certifikační autoritě na MS Windows Server 2008.
Ještě je potřeba poznamenat, že situace je trošičku složitější, protože Certifikační autorita nemá z jakýchsi historických důvodů instalovánu možnost (roli) automatické potvrzování žádosti síťových zařízení.
středa 26. března 2014
Windows 2008 certifikační autorita - síťové zařízení
Řešil jsem takovou věc.
Jak zařídit, aby si firewall (v našem případě CISCO ASA 5510) požádal o certifikát přímo na certifikační autoritě MS Windows 2008 ?
Je nutno mít instalovanou příslušnou službu v rámci Active Directoru Certivication Services.
Službu pro zápis síťových zařízení.
Jen že ouha ... tento server je zároveň doménových řadičem.
Při instalaci je totiž nutno zadat uživatele a ten musí být ve správně skupině.
Jak zařídit, aby si firewall (v našem případě CISCO ASA 5510) požádal o certifikát přímo na certifikační autoritě MS Windows 2008 ?
Je nutno mít instalovanou příslušnou službu v rámci Active Directoru Certivication Services.
Službu pro zápis síťových zařízení.
Jen že ouha ... tento server je zároveň doménových řadičem.
Při instalaci je totiž nutno zadat uživatele a ten musí být ve správně skupině.
úterý 25. března 2014
CISCO ASA 5510 - SSH TIMEOUT
Defaultně má CISCO ASA 5510 (a věřím i celá ostatní rodina) nastaven timeout na 5 minut.
Jak se dá zvýšit?
Jak se dá zvýšit?
pondělí 10. února 2014
Cisco ASA firewall nekompatibilita s JAVA 7 update 51
Také mne to potkalo.
Typická hláška je:
Unable to launch device manager from ...
V logu firewallu lze najít:
Device failed SSL handshake with client ...
Na vině je zejména Java 7 update 51.
A je několik řešení jak z toho ven ... pak je možno se přihlásit.
Přihlásit se k odběru:
Příspěvky (Atom)