Неплохая подборочка книжек по CISCO, есть откровенное старье, есть и интересные экземпляры. Скачать можно бесплатно. Форматы в основном PDF.
Читать далее
четверг, 28 января 2010 г.
среда, 27 января 2010 г.
Sikuli
Наткнулся тут на такую фигню как Sikuli, это кросплатформенный(написанный на Java) скриптовый язык для автоматизации действий под GUI. Весит 9мб. Поигрался - достаточно интересный проект, есть даже пара идей как его использовать.
Видео как оно работает под катом:
Читать далее
Видео как оно работает под катом:
Читать далее
пятница, 22 января 2010 г.
HP-UX и установка Apache из .depot
Пятница. Сижу раслабленный со скучающей мордой читаю всякие форумы, админский шабат потихонечку движется к своему логическому завершению. Начальник просит поставить посвежей апачу на HP-UX который он в текущий момент ковыряет плюс заменить x64 на 386 пакет апачи. Ну раз нада, значит нада, заливаю при помощи sftp .depot пакет.
Запускаю swremove дабы снести старый.
После чего swinstall -s /path/to/newfile.depot
Дальше проверяю что пакет поставился:
cd /opt/hpws/apache32/bin
./httpd -v
file httpd
стартую новую при помощи /sbin/init.d/hpws_apache32 start
Осталось только разобратся с автоматическим запуском сервиса и обрести щастье
в файле /etc/rc.config.d/hpws_apache32conf
в строке HPWS_APACHE32_START=0
меняем 0 на 1
все, апача должна стартовать при запуске
Читать далее
Запускаю swremove дабы снести старый.
После чего swinstall -s /path/to/newfile.depot
Дальше проверяю что пакет поставился:
cd /opt/hpws/apache32/bin
./httpd -v
file httpd
стартую новую при помощи /sbin/init.d/hpws_apache32 start
Осталось только разобратся с автоматическим запуском сервиса и обрести щастье
в файле /etc/rc.config.d/hpws_apache32conf
в строке HPWS_APACHE32_START=0
меняем 0 на 1
все, апача должна стартовать при запуске
Читать далее
четверг, 21 января 2010 г.
Напильник рулит.
Если долго махать напильником, то из паравоза можно сделать самолет.
Авторизация через Internet Authentication Service тоже прикручена. Как оказалось, там ничего особа сложного, единственное в доках CISCO не было указанно, что необходимо в Remote Access Policies в параметрах Connections to other access servers разрешить подключение удаленный доступ. И в пользователях разрешить такую вещь как подключение по Dialup. Почитав доку по подключению PIX к радиусу, я присоеденил недостающее к доке в предыдущем посте про сертификаты и все заработало. А завтра админский шабат. Мож авансек дадуд...
Получившийся конфиг, сразу говорю, он не рабочий, так как сделан только для того чтобы проверить авторизацю через радиус с сертификатами.
PIX Version 8.0(4)
!
hostname pix515
domain-name pix515
enable password blabla encrypted
passwd blabla encrypted
names
!
interface Ethernet0
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.12.45 255.255.255.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
dns server-group DefaultDNS
domain-name pix515
pager lines 24
logging asdm informational
mtu inside 1500
ip local pool vpnpool 10.10.10.1-10.10.10.254
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
aaa-server vpn protocol radius
aaa-server vpn (inside) host 192.168.12.121
key идфидф
aaa authentication ssh console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map outside_dyn_map 10 set transform-set myset
crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 28800
crypto dynamic-map outside_dyn_map 10 set security-association lifetime kilobytes 4608000
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface inside
crypto ca trustpoint CA1
enrollment terminal
fqdn pixvpn.spklabs.com
subject-name CN=vpn.blabla.bla,OU=IT,O=blabla LTD,C=RU,St=Moscow,L=Moscow
serial-number
keypair my.CA.key
crl configure
crypto ca certificate chain CA1
certificate 61ff73c400000000000b
308205c2
....сертификат отпилен
quit
certificate ca 67e4dfb59853744f1ecs028e268a89
30820
....сертификат отпилен
quit
crypto isakmp enable inside
crypto isakmp policy 65535
authentication rsa-sig
encryption 3des
hash md5
group 2
lifetime 86400
telnet timeout 5
ssh 192.168.12.0 255.255.255.0 inside
ssh timeout 60
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
group-policy defaultgroup internal
group-policy defaultgroup attributes
default-domain value spklabs.com
username vpnuser password blabla encrypted
username vpnuser attributes
group-lock value DefaultRAGroup
username bear password blabla encrypted
tunnel-group DefaultRAGroup general-attributes
address-pool vpnpool
authentication-server-group vpn
default-group-policy defaultgroup
tunnel-group DefaultRAGroup ipsec-attributes
trust-point CA1
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Читать далее
Авторизация через Internet Authentication Service тоже прикручена. Как оказалось, там ничего особа сложного, единственное в доках CISCO не было указанно, что необходимо в Remote Access Policies в параметрах Connections to other access servers разрешить подключение удаленный доступ. И в пользователях разрешить такую вещь как подключение по Dialup. Почитав доку по подключению PIX к радиусу, я присоеденил недостающее к доке в предыдущем посте про сертификаты и все заработало. А завтра админский шабат. Мож авансек дадуд...
Получившийся конфиг, сразу говорю, он не рабочий, так как сделан только для того чтобы проверить авторизацю через радиус с сертификатами.
PIX Version 8.0(4)
!
hostname pix515
domain-name pix515
enable password blabla encrypted
passwd blabla encrypted
names
!
interface Ethernet0
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.12.45 255.255.255.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
dns server-group DefaultDNS
domain-name pix515
pager lines 24
logging asdm informational
mtu inside 1500
ip local pool vpnpool 10.10.10.1-10.10.10.254
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
aaa-server vpn protocol radius
aaa-server vpn (inside) host 192.168.12.121
key идфидф
aaa authentication ssh console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map outside_dyn_map 10 set transform-set myset
crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 28800
crypto dynamic-map outside_dyn_map 10 set security-association lifetime kilobytes 4608000
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface inside
crypto ca trustpoint CA1
enrollment terminal
fqdn pixvpn.spklabs.com
subject-name CN=vpn.blabla.bla,OU=IT,O=blabla LTD,C=RU,St=Moscow,L=Moscow
serial-number
keypair my.CA.key
crl configure
crypto ca certificate chain CA1
certificate 61ff73c400000000000b
308205c2
....сертификат отпилен
quit
certificate ca 67e4dfb59853744f1ecs028e268a89
30820
....сертификат отпилен
quit
crypto isakmp enable inside
crypto isakmp policy 65535
authentication rsa-sig
encryption 3des
hash md5
group 2
lifetime 86400
telnet timeout 5
ssh 192.168.12.0 255.255.255.0 inside
ssh timeout 60
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
group-policy defaultgroup internal
group-policy defaultgroup attributes
default-domain value spklabs.com
username vpnuser password blabla encrypted
username vpnuser attributes
group-lock value DefaultRAGroup
username bear password blabla encrypted
tunnel-group DefaultRAGroup general-attributes
address-pool vpnpool
authentication-server-group vpn
default-group-policy defaultgroup
tunnel-group DefaultRAGroup ipsec-attributes
trust-point CA1
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Читать далее
Ура, сертификаты были побеждены.
Свежая голова решает. Как оказалось, был у меня криво поставлен CA под Windows, в общем создал на стенде AD, переинсталил IIS, CA и получил доступ к созданию сертификатов. А дальше все просто, по доке усе пошло как по маслу.
Следующая задача - прикрутить авторизацию на PIX к AD.
Читать далее
Следующая задача - прикрутить авторизацию на PIX к AD.
Читать далее
среда, 20 января 2010 г.
PIX+авторизация через сертификат
Мда, не стандартную задачку задали на новой работе, необходимо прикрутить CISCO PIX к службе сертификатов винды, дабы пользователи цеплялись не через пароль, а при помощи сертификата в CISCO VPN клиенте. Пока пусто, голова полна всякими нехорошими мыслями, завтра на свежую голову буду копать снова.
Читать далее
Читать далее
среда, 13 января 2010 г.
Серитификат CISCO
Прошло чуть больше месяца как пришел сертификат CISCO, распечатан насколько понял на цветном принтере. Осталось понять, что за пластиковая карта с магнитной полосой которая идет в комплекте и зачем она нужна.
Читать далее
Читать далее
Подписаться на:
Сообщения (Atom)
Сообщения
