dangquangminh
20-03-2008, 05:13 PM
Truy cập PIX thông qua Secure Shell
Secure Shell (SSH) là một ứng dụng chạy trên TCP, SSH cung cấp khả năng mã hóa và chứng thực mạnh. PIX hỗ trợ truy cập từ xa thông qua SSH ver1. Cùng một lúc cho phép tối đa 5 SSH client đồng thời truy cập vào PIX Firewall. Bài lab này hướng dẫn sử dụng SSH truy cập đến PIX Firewall.
Hình vẽ
http://www.wimaxpro.org/Hinh_upload/hinh_blog/LABSSH1.JPG
Các bước thực hiện
Cấu hình trên pixfirewall
Bước 1: Đặt địa chỉ IP cho interface e1
pixfirewall(config)# int e1 auto
pixfirewall(config)# ip address inside 192.168.1.1 255.255.255.0
pixfirewall(config)# exit
pixfirewall# ping inside 192.168.1.2
192.168.1.2 response received — 0ms
192.168.1.2 response received — 0ms
192.168.1.2 response received — 0ms
Bước 2: Cấu hình hostname và domain name
pixfirewall(config)# hostname PIX
PIX(config)# domain-name cisco.com
Bước 3: Tạo ra cặp RSA key
PIX(config)#ca generate rsa key 1024
For <key_modulus_size> >= 1024, key generation could take up to several minutes. Please wait…
Bước 4: Lưu cặp RSA key vừa tạo vào Flash, kiểm tra cặp public key vừa tạo ra :
PIX(config)#ca save all
Để kiểm tra cặp RSA key vừa mới tạo ra,
PIX(config)# sh ca mypubkey rsa
% Key pair was generated at: 21:36:01 UTC Mar 10 2005
Key name: PIX.cisco.com
Usage: General Purpose Key
Key Data:
30820122 300d0609 2a864886 f70d0101 01050003 82010f00 3082010a 02820101
00b164bb 78da41b9 9b785ef3 806869da 42ef8df9 2e07039b 2b0d97dd 2fea856f
Bước 5: Chỉ ra host nào được quyền truy cập đến PIX thông qua SSH
PIX(config)# ssh 192.168.1.2 255.255.255.255 inside
PIX(config)# ssh timeout 60 àThiết lập thời gian timeout của một session trước khi mất kết nối,mặc định khoảng thời gian timeout này là 5 phút, có thể cấu hình khoảng thời gian này từ 1à60 phút.
Bước 6: Cấu hình password để xác thực trên local
PIX(config)# passwd vnpro
Cấu hình trên PC.
Bước 1: Cài đặt phần mềm SSH client, trong phần thực hành này sử dụng SSHSecureShellClient-3.2.9.exe
Lưu ý
SSHv1.x và v2 là những protocols độc lập và không tương thích lẫn nhau. Chú ý download SSH Client có hỗ trợ SSH v1.x
Bước 2: Chọn Edit\Setting
http://www.wimaxpro.org/Hinh_upload/hinh_blog/LABSSH2.JPG
Bước 3: Chọn Profile Settings\Connection
Hostname: nhập IP address của PIX (192.168.1.1)
User name: nhập pix (đây là tên mặc định)
Encryption algorithm: chọn 3DES
http://www.wimaxpro.org/Hinh_upload/hinh_blog/LABSSH3.JPG
Bước 4: Từ giao diện màn hình chính, nhấn Quick Connect và thực hiện lần lượt như sau:
http://www.wimaxpro.org/Hinh_upload/hinh_blog/LABSSH4.JPG
http://www.wimaxpro.org/Hinh_upload/hinh_blog/LABSSH5.JPG
Xuất hiện một bảng Warning , chọn Yes
Nếu lần đầu tiên kết nối đến PIX với SSH phải trao đổi Public Key cho nhau để mã hóa session . SSH client sẽ đưa ra dấu nhắc , click YES để lưu Public Key của PIX đến local database :
Bước 5: Sau khi đã lưu xong key , SSH client yêu cầu nhập password. Sau khi nhập password xong nếu thành công ta sẽ vào được PIX. Khi đó kết nối bảo mật SSH đến pix đã được tạo ra.
http://www.wimaxpro.org/Hinh_upload/hinh_blog/LABSSH6.JPG
Trong quá trình tạo SSH connection đến PIX , sử dụng lệnh debug ssh để quan sát .
PIX# debug ssh
SSH debugging on
SSH: Device opened successfully.
SSH: host key initialised
SSH: license supports 3DES: 3
SSH: license supports DES: 3
SSH0: SSH client: IP = ‘192.168.1.2′ interface # = 1
SSH0: starting SSH control process
SSH0: Exchanging versions - SSH-1.5-Cisco-1.25
SSH0: send SSH message: outdata is NULL
SSH0: receive SSH message: 83 (83)
SSH0: client version is - SSH-1.5-3.2.9 (compat mode)
SSH0: begin server key generation
SSH0: complete server key generation, elapsed time = 330 ms
SSH0: declare what cipher(s) we support: 0×00 0×00 0×00 0×0c
SSH0: send SSH message: SSH_SMSG_PUBLIC_KEY (2)
SSH0: SSH_SMSG_PUBLIC_KEY message sent
SSH0: receive SSH message: SSH_CMSG_SESSION_KEY (3)
SSH0: SSH_CMSG_SESSION_KEY message received - msg type 0×03, length 272
SSH0: client requests 3DES cipher: 3
SSH0: send SSH message: SSH_SMSG_SUCCESS (14)
SSH0: keys exchanged and encryption on
SSH: Installing crc compensation attack detector.
SSH0: receive SSH message: SSH_CMSG_USER (4)
SSH0: authentication request for userid PIX
SSH(PIX): user authen method is ‘no AAA’, aaa server group ID = 0
SSH0: authentication successful for PIX
Secure Shell (SSH) là một ứng dụng chạy trên TCP, SSH cung cấp khả năng mã hóa và chứng thực mạnh. PIX hỗ trợ truy cập từ xa thông qua SSH ver1. Cùng một lúc cho phép tối đa 5 SSH client đồng thời truy cập vào PIX Firewall. Bài lab này hướng dẫn sử dụng SSH truy cập đến PIX Firewall.
Hình vẽ
http://www.wimaxpro.org/Hinh_upload/hinh_blog/LABSSH1.JPG
Các bước thực hiện
Cấu hình trên pixfirewall
Bước 1: Đặt địa chỉ IP cho interface e1
pixfirewall(config)# int e1 auto
pixfirewall(config)# ip address inside 192.168.1.1 255.255.255.0
pixfirewall(config)# exit
pixfirewall# ping inside 192.168.1.2
192.168.1.2 response received — 0ms
192.168.1.2 response received — 0ms
192.168.1.2 response received — 0ms
Bước 2: Cấu hình hostname và domain name
pixfirewall(config)# hostname PIX
PIX(config)# domain-name cisco.com
Bước 3: Tạo ra cặp RSA key
PIX(config)#ca generate rsa key 1024
For <key_modulus_size> >= 1024, key generation could take up to several minutes. Please wait…
Bước 4: Lưu cặp RSA key vừa tạo vào Flash, kiểm tra cặp public key vừa tạo ra :
PIX(config)#ca save all
Để kiểm tra cặp RSA key vừa mới tạo ra,
PIX(config)# sh ca mypubkey rsa
% Key pair was generated at: 21:36:01 UTC Mar 10 2005
Key name: PIX.cisco.com
Usage: General Purpose Key
Key Data:
30820122 300d0609 2a864886 f70d0101 01050003 82010f00 3082010a 02820101
00b164bb 78da41b9 9b785ef3 806869da 42ef8df9 2e07039b 2b0d97dd 2fea856f
Bước 5: Chỉ ra host nào được quyền truy cập đến PIX thông qua SSH
PIX(config)# ssh 192.168.1.2 255.255.255.255 inside
PIX(config)# ssh timeout 60 àThiết lập thời gian timeout của một session trước khi mất kết nối,mặc định khoảng thời gian timeout này là 5 phút, có thể cấu hình khoảng thời gian này từ 1à60 phút.
Bước 6: Cấu hình password để xác thực trên local
PIX(config)# passwd vnpro
Cấu hình trên PC.
Bước 1: Cài đặt phần mềm SSH client, trong phần thực hành này sử dụng SSHSecureShellClient-3.2.9.exe
Lưu ý
SSHv1.x và v2 là những protocols độc lập và không tương thích lẫn nhau. Chú ý download SSH Client có hỗ trợ SSH v1.x
Bước 2: Chọn Edit\Setting
http://www.wimaxpro.org/Hinh_upload/hinh_blog/LABSSH2.JPG
Bước 3: Chọn Profile Settings\Connection
Hostname: nhập IP address của PIX (192.168.1.1)
User name: nhập pix (đây là tên mặc định)
Encryption algorithm: chọn 3DES
http://www.wimaxpro.org/Hinh_upload/hinh_blog/LABSSH3.JPG
Bước 4: Từ giao diện màn hình chính, nhấn Quick Connect và thực hiện lần lượt như sau:
http://www.wimaxpro.org/Hinh_upload/hinh_blog/LABSSH4.JPG
http://www.wimaxpro.org/Hinh_upload/hinh_blog/LABSSH5.JPG
Xuất hiện một bảng Warning , chọn Yes
Nếu lần đầu tiên kết nối đến PIX với SSH phải trao đổi Public Key cho nhau để mã hóa session . SSH client sẽ đưa ra dấu nhắc , click YES để lưu Public Key của PIX đến local database :
Bước 5: Sau khi đã lưu xong key , SSH client yêu cầu nhập password. Sau khi nhập password xong nếu thành công ta sẽ vào được PIX. Khi đó kết nối bảo mật SSH đến pix đã được tạo ra.
http://www.wimaxpro.org/Hinh_upload/hinh_blog/LABSSH6.JPG
Trong quá trình tạo SSH connection đến PIX , sử dụng lệnh debug ssh để quan sát .
PIX# debug ssh
SSH debugging on
SSH: Device opened successfully.
SSH: host key initialised
SSH: license supports 3DES: 3
SSH: license supports DES: 3
SSH0: SSH client: IP = ‘192.168.1.2′ interface # = 1
SSH0: starting SSH control process
SSH0: Exchanging versions - SSH-1.5-Cisco-1.25
SSH0: send SSH message: outdata is NULL
SSH0: receive SSH message: 83 (83)
SSH0: client version is - SSH-1.5-3.2.9 (compat mode)
SSH0: begin server key generation
SSH0: complete server key generation, elapsed time = 330 ms
SSH0: declare what cipher(s) we support: 0×00 0×00 0×00 0×0c
SSH0: send SSH message: SSH_SMSG_PUBLIC_KEY (2)
SSH0: SSH_SMSG_PUBLIC_KEY message sent
SSH0: receive SSH message: SSH_CMSG_SESSION_KEY (3)
SSH0: SSH_CMSG_SESSION_KEY message received - msg type 0×03, length 272
SSH0: client requests 3DES cipher: 3
SSH0: send SSH message: SSH_SMSG_SUCCESS (14)
SSH0: keys exchanged and encryption on
SSH: Installing crc compensation attack detector.
SSH0: receive SSH message: SSH_CMSG_USER (4)
SSH0: authentication request for userid PIX
SSH(PIX): user authen method is ‘no AAA’, aaa server group ID = 0
SSH0: authentication successful for PIX