Cisco FIx - Module 1 - PIX 기본 설정

 

모두 방화벽과 VPN 기능을 제공하는장비

- 모두비슷한명령어체계를이용

- 다만, 비교적 새로운 장비인 ASA가 성능과 기능이 우수

- SSL VPN 기능이 ASA에서 제공( PIX에서지원하지않음)

- AIP-SSM (advanced inspection and prevention security services module) 모듈 장착시 IDS 침입방지시스템 기능 지원

- CSC-SSM (content security and control SSM) 모듈 장착 시 바이러스 방지, 스파이웨어방지,   파일차단, 스팸차단, 피싱차단, URL 차단, 컨텐츠 필터링 등 기능 제공

- PIX model : 501, 506E, 525, 535, 506, 515, 520 등

- 506, 515, 520은생산안함, 501은IOS version 7.0지원안함

- ASA model : 5505, 5510, 5520, 5540, 5550, 5580 등

- OS version 7.0부터 설정이 IOS와 유사함

<방화벽>

 

Dynamips 서버(가상의 라우터)

 

Pemu 서버(방화벽 서버 킬 때)

 

.net 파일에는 라우터, 방화벽 설정 정보가 저장되어 있으며 이 설정정보를 통해 실습 진행

############################################################

< fw.net>

model = 3660

autostart = false

ghostios = true

sparsemem = true

 

[localhost]

workingdir = D:\Dynagen\work\PIX

[[3660]]

           image = D:\Dynagen\images\c3660-jk9o3s-mz.123-26.image.BIN

           ram = 96

        #idlepc = 0x605d13cc

 

 

[[router r1]]

           console = 2001

           idlepc = 0x60648040

         slot1 = NM-4T

           fa0/0 = fw e0

           fa0/1 = NIO_gen_eth:\Device\NPF_{36B80F27-4F2A-4E49-9D52-86D38E5EB76B}

           #vmnet1

           #r1,r3의 fa0/1는 vmnet1가상 네트워크 카드로 접속하겠다는것?

 

[[router r3]]

           console = 2003

        slot1 = NM-4T

           fa0/0 = fw e1

           fa0/1 = NIO_gen_eth:\Device\NPF_{43C1CF1E-F955-4AAF-B815-EE97670B3694}

           idlepc = 0x60648b78

 

 

[pemu localhost]

 

[[525]]

#ios이미지가 8.대

 

           serial = 808102688

           image = D:\Dynagen\images\pix803.bin

           disk0 = 64

 

[[fw fw]]

 

           #Serial Number: 808102688

           #Running Activation Key: 0xd2390d2c 0x9fc4b36d 0x98442d99 0xeef7d8b1

           #시리얼넘버에 따라서 activation key가 있다.

############################################################

Dynamips\network device.층 실행해서 vmnet1, vmnet2 를 fa 0/1에 복사.

 

 

가상의 라우터 작동을 위한 DYNAMIPS SERVER (실습중 ON)

가상의 방화벽 작동을 위해 PEMU SERVER 작동 (실습중 ON)

Slot1은 주석처리 해제.

다 되었으면 dynagen.cmd에서 list 확인 후 

> start /all  엔터

  

- 터미널 프로그램에서 접속하기

 protocol telnet, hostname localhost, port 4000

Write erase -> dynagen에서 reload fw, activation key 값 넣고 reload fw.

ip address 추가 하고 nameif 도 넣어줘야 show interface ip brief 했을 때 ip가 들어간다.

R1 : interface 설정

-라우팅 프로토콜 : OSPF(process 1), area 0

FW : 여기도 OSPF 돌려줘야한다.

 

 

 

<방화벽 설정.txt>

vmnet 1 = 192.168.10.0/24 (HOST ONLY)

vmnet 2 = 200.10.10.0/24 (HOST ONLY)

------------------------------------실습을 위하여 통일하기.

가상의 라우터 작동을 위한 DYNAMIPS SERVER (실습중 ON)

가상의 방화벽 작동을 위해 PEMU SERVER 작동 (실습중 ON)

managerPC---(vmnet1)----fa0/1 R1 fa0/0-----------e0 fw e1----------fa0/0 R2

            192.168.10.0                      192.168.11.0/24                  200.10.10.0/24

  10.128              10.254       11.253  11.254      10.253   10.254

[ip address]

WInXP : 192.168.10.128 /24  , gw 192.168.10.254

R1 fa0/1 : 192.168.10.254/24

R1 fa0/0 : 192.168.11.253/24  ,  gw 192.168.11.254

fw e0 : 192.168.11.254/24

fw e1 : 200.10.10.253/24        ,  gw 200.10.10.254(defaulte route)

R2 fa0/0 : 200.10.10.254/24

1. 부팅시

show run 확인후 default MPF(mudoular policy framework)가 없는 경우 

            pix#write erase

            dynagen=> reload fw

초기화 하고 재부팅한다.

2. activation-key 입력한다. (activation-key.txt파일 참조)

 단, fw.net 파일의 serial number에 해당하는 activation-key값을 사용해야함.

  pix#show version

            했을때 activation-key값이 0x00000000 인경우 key값 입력 필요.

  pix#conf t

  pix(config)#activation-key 0x            0x          0x          0x

  dyangen=> reload fw  (재부팅함)

  pix#show version

            activation-key 값이 들어가고. 여러 기능들이 enabed활성화 된것을 확인 가능.

3. pix 접속 후, "Inside" interface 설정

pix$ en

  conf t

  int e 0

   nameif Insie

            (자동 security-leve 100)

   ip address 192.168.11.254 255.255.255.0

   no shutdown

   exit

   router ospf 1

    network 192.168.11.0 255.255.255.0 area 0

   end

 show int ip brief

 show ospf nei

 show route

4. R1, R2 설정 (routing protocol: OSPF)

!R1 설정

hostname R1_IN

!

boot-start-marker

boot-end-marker

!

enable secret 5 $1$U8By$mptqyq3Z4ybyHSfrCIWQV0

!

no aaa new-model

ip subnet-zero

!

!

no ip domain lookup

!

ip cef

ip audit po max-events 100

!

!

!

!

!

interface FastEthernet0/0

 ip address 192.168.11.253 255.255.255.0

 no shutdown

 duplex auto

 speed auto

!         

interface FastEthernet0/1

 ip address 192.168.10.254 255.255.255.0

 no shutdown

 duplex auto

 speed auto

!

router ospf 1

 log-adjacency-changes

 network 192.168.10.0 0.0.0.255 area 0

 network 192.168.11.0 0.0.0.255 area 0

!

ip http server

no ip http secure-server

ip classless

!

!  

!

!

line con 0

 exec-timeout 0 0

 logging synchronous

line aux 0

line vty 0 4

 password cisco

 login

!

!           p

end

!R2설정

en

conf t

enable secret cisco

no ip domain-lookup

line console 0

 logging syn

 exec-timeout 0 0

 exit

line vty 0 4

 password cisco

 login

exit

hostname R2-Out

int fa0/0

 ip address 200.10.10.254 255.255.255.0

 no shutdown

end

5. vmnet1을 R1 fa0/1에 연동되어있음.

  vmware에 winxp 이미지를 VMnet1 ( 192.168.10.0 )으로 부팅.

  이더넷카드 : ip 192.168.10.128

                        mask 255.255.255.0

                        gw 192.168.10.254

  gateway와 tftp client(pix)로 ping test

  pc는 tftp server가 될 예정이다. tftp 서버 설치 후 작동

  tftp working directory에 asdm-625.bin를 위치한다.

  tftp client가 접속후 down 가능하도록.

6. asdm 이미지를 pix로 이동하기.

tftp server : 192.168.10.128 (win xp)

tftp client : 192.168.11.254 (Pix)

asdm 이미지를 tftp로 pix로 이동.

PC C:\> ifconfig /all   

 ping 192.168.11.254  (tftp server와 client통신확인)

pix# ping 192.168.10.128

pix# copy tftp://192.168.10.128/asdm-625.bin flash:

  tftp server ip address 및 전송 파일명 확인

  !!!!!전송시작.

  전송 끝나면 prompt 뜸.

pix# dir

            전송된 asdm-625.bin확인

7. asdm접속을 위한 설정

pix(config)#http 192.168.10.0 255.255.255.0 Inside

            http server enable

            asdm image flash:/asdm-625.bin

            username admin password admin

8. pix manager PC인 win xp에서 java 설치.

  웹 브라우저에서 https://192.168.11.254 로 접근

  "Cisco ASDM-IDM Launcher" 설치후 pix접속 ip주소, 사용자 계정, 비밀번호입력후

  pix에 asdm으로 접근 가능.

* asdm으로 pix에 접근하여 interface, routing acl 등을 설정해보자.

9. interface e1 설정

 nameif : Outside

 ip : 200.10.10.253/24

 활성화

10. routing 설정

 ospf는 이미 작동중.

 pix가 R2를 default gateway되어야함.

 static route 설정 : 0.0.0.0/0  (gw. 200.10.10.254)

 pix가 R1에게 default 정보를 ospf로 전달해야함

 asdm에서 설정안됨 CLI로 설정해야함

 PIX(config)# router ospf 1

 PIX(config-router)# default-information originate

 asdm으로 돌아와서 refalsh 할것.

11. nat 설정

 192.168.10.0 또는 0.0.0.0(any)가 외부망으로 나갈때 PIX Outside 인터페이스

 주소로 nat(pat)되어 통신이 가능토록 할것.

 asdm : firewal - nat 또는 CLI

 pix(config)# nat (Inside) 1 0.0.0.0 0.0.0.0

 pix(config)# global (Outside) 1 interface

 dynagen=> capture r2 fa0/0 nat.pcap  (패킷캡쳐시작)

 pc에서 R2로 ping

  c:\> ping 200.10.10.254

 pix확인 pix#show xlate

  1 in use, 2 most used

  PAT Global 200.10.10.253(1) Local 192.168.10.128 ICMP id 512 

 dynagen working directory에서 nat.pcap 파일을 열어서 확인할것.

 ping은 가지 않으나, nat은 되어짐.

 ping이 안가는 이유는 inspect에 icmp 가 허용되지않기 때문.

 -> inspect에 icmp 허용할것.

 asdm -> fiewall - service policy ruels - inspection_default 수정

   - reul actions 탭에서 icmp 체크 후 ok - apply 

 그리고 다시 xp에서 ping 200.10.10.254 로 하면 ok.

필요한 inspect에 추가함으로 service 가능함.