mike1017
-
Gesamte Inhalte
5 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von mike1017
-
-
Hallo
ich würde noch das fixup protocol für Port 25
aktivieren.
Dieses Kommando der Pix schützt Deinen Mail Server
zusätzlich gegen Attacken die über das SMTP möglich sind
Also : fixup protocol smtp 25
Der Mike
-
Hallo Basti,
die Pix arbeitet default mäßig nach folgendem Schema :
- Es gibt security Levels pro Interface :
Outside interface ist die Verbindung zum SP oder Internet und
hat immer Security Level 0 (d.h. absolut unsecure aus Sicht der
PIX)
Inside interface ist das interface ins lokale Netzwerk und hat
immer Security Level 100 (d.h. absolut secure aus Sicht der Pix)
Daraus leitet die Pix folgendes regelwerk ab, ohne dass dieses
konfiguriert werden muss :
Traffic von inside nach outside immer erlaubt, Traffic von outside
nach inside default mäßig verboten.
Wenn eine Verbindung von inside nach outside aufgebaut wird
und es nur eine IP Adresse auf dem outside Interface gibt,
arbeitet die PIX im PAT Modus d.h. Pix ersetzt alle source
Adressen des inside Netzes durch die IP Adresse des outside
interfaces. Daraus läßt sich erklären dass nur Traffic vom
outside interface zum inside interface flißen können die zu einer
Verbindung gehören die vom inside Interface initiiert
wurden (uups... etwas schwierig zu verstehen......)
Weitere wichtiger Punkt : Access control listen werden pro
interface zugewiesen und beziehen sich immer auf den incoming
Traffic aus Sicht des Interfaces !!!!!!!!!!
Möchtest Du nun eine Verbindung vom outside interface zum
inside Interface erlauben, muss als erstes folgendes gemacht
werden :
Ein statisches mapping zwischen einer outside IP Adresse und
einer inside IP Adresse d.h. outside Netwerk 172.168.0.0
inside Netzwerk 10.0.0.0
Mapping muss wie folgt realisiert werden :
Outside IP Adresse 172.168.0.1 zu inside IP Adresse 10.0.0.1
d.h die Verbingung wird nicht von outside zur IP Adresse
10.0.0.1 aufgebaut sondern zur IP Adresse 172.168.0.1 und die
PIX weiß jetzt dass die IP Adresse 10.0.0.1 gemeint ist.
Jetzt kommt die Access contol Liste.
In der ACL definierts Du alle permit statements auf die IP
Adresse 172.168.0.1 und bindest diese ACL auf das outside
Interface
Dies zum Verständniss.
Du kannst den PDM (Pix device Manager verwenden der Dir bei
der konfiguration hilft. Die PIX (PDM) kannst Du aber nur über
das inside interface / die IP Adresse des inside interfaces
erreichen.
Anbei noch ein link zu Beispiel Konfigurationen der PIX bei Cisco
Viel Spaß beim konfigurieren
Der Mike
-
Hallo This,
her we go.
Lade die config auf den AP.
Du kannst dann über den Web browser Dir die config
genauer anschauen
Have fun
cheers
Mike
aaa new−model
!−−− This command reinitializes the authentication,
!−−− authorization and accounting functions
!
!
aaa group server radius rad_eap
server 192.168.2.108 auth−port 1812 acct−port 1813
!−−− a server group for RADIUS is created called "rad_eap"
!−−− using the server at 192.168.2.108 on ports 1812 and 1813
!
aaa authentication login eap_methods group rad_eap
!
!−−− authentication [user validation] is to be done for
!−−− users in a group called "eap_methods" who will use server group "rad_eap"
!
bridge irb
!
interface Dot11Radio0
no ip address
no ip route−cache
!
encryption key 1 size 128bit 12345678901234567890123456 transmit−key
!−−− The value here seeds the initial key for use with
!−−− broadcast [255.255.255.255] traffic. If more than one VLAN is
Cisco − LEAP Authentication with Local RADIUS Server
!−−− used, then keys must be set for each VLAN.
encryption mode wep mandatory
!−−− This defines the policy for the use of WEP. If more than one
!−−− VLAN is used, the policy must be set to mandatory for each VLAN.
!
ssid labap1200
authentication network−eap eap_methods
!−−− Expect that users attaching to SSID "labap1200" will be
!−−− requesting authentication with the type 128 Network EAP authentication
!−−− bit set in the headers of those requests, and group those users into
!−−− a group called "eap_methods."
!
speed basic−1.0 basic−2.0 basic−5.5 basic−11.0
rts threshold 2312
channel 2437
station−role root
bridge−group 1
bridge−group 1 subscriber−loop−control
bridge−group 1 block−unknown−source
no bridge−group 1 source−learning
no bridge−group 1 unicast−flooding
bridge−group 1 spanning−disabled
!
!
!
interface FastEthernet0
no ip address
no ip route−cache
duplex auto
speed auto
bridge−group 1
no bridge−group 1 source−learning
bridge−group 1 spanning−disabled
!
interface BVI1
ip address 192.168.2.108 255.255.255.0
!−−− Address of this unit
no ip route−cache
!
ip default−gateway 192.168.2.1
ip http server
ip http help−path
http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag/ivory/1100
ip radius source−interface BVI1
snmp−server community cable RO
snmp−server enable traps tty
radius−server local
!
!−−− Engages Local RADIUS Server feature
nas 192.168.2.108 key shared_secret
!−−− Identifies itself as a RADIUS server, reiterating
!−−− "localness" and defining key between server (itself) and AP
!
group testgroup
!−−− Groups are optional
!
user user1 nthash password1 group testgroup
!
Cisco − LEAP Authentication with Local RADIUS Server
!−−− Individual user
!
user user2 nthash password2 group testgroup
!−−− Individual user
!
radius−server host 192.168.2.108 auth−port 1812 acct−port 1813 key shared_secret
!−−− Defines where RADIUS server is and key between AP (itself) and server
!
radius−server retransmit 3
radius−server attribute 32 include−in−access−req format %h
radius−server authorization permit missing Service−Type
radius−server vsa send accounting
bridge 1 route ip
!
!
line con 0
line vty 5 15
!
end
-
Thiss,
lokal radius Server ist möglich.
Telnet auf die Box geht ebenfalls.
wenn Du mir sagen kannst, wie ich Dir eine Doku
zu kommen lassen kann , dann tu ich das
Mike
PIX 501 Access Rules
in Cisco Forum — Allgemein
Geschrieben
Hallo Team,
noch eine Anmerkung.
Mann/Frau kann das Nat`en auch ausschalten in dem
ein NAT 0 statement eingefügt wird, dass der PIX sagt
es muss/soll kein NAT gemacht werden.
Dies macht nätürlich nur dann Sinn wenn das outside
Interface für einen Bereich im local LAN konfiguriert werden
soll/muss.
Der Mike