Comments 53
show run
А к ломаемому маршрутизатору мы как подключаемся? RS232?
Если в ASA AIP-SSM, то можно делать class/policy-map и замкнуть циску «на себя», нэ?
Если в ASA AIP-SSM, то можно делать class/policy-map и замкнуть циску «на себя», нэ?
Прочитайте ещё раз внимательно задачку.
По консоли (она есть) мы подключиться можем. Но не знаем enable secret
Давайте команды — поглядим. Я не утверждаю, что мои решения — единственные :)
По консоли (она есть) мы подключиться можем. Но не знаем enable secret
Давайте команды — поглядим. Я не утверждаю, что мои решения — единственные :)
sh ip ro
sh ip int
sh ip int
Gate> sh ip int
FastEthernet0/0.10 is up, line protocol is up
Internet address is 10.100.100.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is enabled
IP Flow switching is enabled
IP CEF switching is enabled
IP CEF Flow Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
FastEthernet0/0.20 is up, line protocol is up
Internet address is 10.200.200.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is enabled
IP Flow switching is enabled
IP CEF switching is enabled
IP CEF Flow Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
FastEthernet0/1 is administratively down
FastEthernet0/0.10 is up, line protocol is up
Internet address is 10.100.100.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is enabled
IP Flow switching is enabled
IP CEF switching is enabled
IP CEF Flow Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
FastEthernet0/0.20 is up, line protocol is up
Internet address is 10.200.200.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is enabled
IP Flow switching is enabled
IP CEF switching is enabled
IP CEF Flow Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
FastEthernet0/1 is administratively down
iddqd
idkfa
idkfa
Не совсем понятно, знаю ли я (в качестве работника IT-отдела) хотя бы IP-адрес интерфейса этой Cisco, которым она подключена к локалке.
sh ip int br
sh ip ro conn
sh ip ro
sh ip ro conn
sh ip ro
Gate> sh ip int br
FastEthernet0/0.10 10.100.100.1 YES NVRAM up up
FastEthernet0/0.20 10.200.200.1 YES NVRAM up up
FastEthernet0/1 Unassigned shutdown
Gate> sh ip ro
C 10.100.100.0/24 is directly connected, f0/0.10
C 10.200.200.0/24 is directly connected, f0/0.20
S* 0.0.0.0/0 [1/0] via 10.100.100.254
FastEthernet0/0.10 10.100.100.1 YES NVRAM up up
FastEthernet0/0.20 10.200.200.1 YES NVRAM up up
FastEthernet0/1 Unassigned shutdown
Gate> sh ip ro
C 10.100.100.0/24 is directly connected, f0/0.10
C 10.200.200.0/24 is directly connected, f0/0.20
S* 0.0.0.0/0 [1/0] via 10.100.100.254
Поднимаем на asa 10 вилан, создаем в нем ip интерфейс 10.100.100.254/24
включаем роутинг.
Вешаем на лупбэк 4.4.4.4.
Дальше делаем telnet на 10.100.100.1 с source ip 4.4.4.4
ASA в руках не держал, поэтому могут быть какие-то неточности. Думаю, что все эти фичи она умеет :)
включаем роутинг.
Вешаем на лупбэк 4.4.4.4.
Дальше делаем telnet на 10.100.100.1 с source ip 4.4.4.4
ASA в руках не держал, поэтому могут быть какие-то неточности. Думаю, что все эти фичи она умеет :)
Ага, про это я и говорил, только команд точных не знаю (((:
:))
Да, если бы это был рутер, было бы все архипросто :)
Расстрою вас:
1. На АСА нет интерфейсов лупбек
2. На АСА нет телнет клиента
Увы, думаем дальше :)
Да, если бы это был рутер, было бы все архипросто :)
Расстрою вас:
1. На АСА нет интерфейсов лупбек
2. На АСА нет телнет клиента
Увы, думаем дальше :)
Правильно ли я понимаю, что единственный интерфейс для коммуникации с внешними устройствами и сетями у компьютера, который я держу в руках — это RS232?
Какие порты/модули, кроме ethernet и console есть у ASA? Например aux имеется?
Какие порты/модули, кроме ethernet и console есть у ASA? Например aux имеется?
Если есть aux, можно подключиться к ней ноль модемом, сделать поверх ноль модема — айпи. Компьютеру назначить 4.4.4.4/31, асе 4.4.4.5/31 ну и телнетом с компа.
Опять же, ноль модем по aux не поднимал, но слышал что можно :) Аса это умеет?
Опять же, ноль модем по aux не поднимал, но слышал что можно :) Аса это умеет?
Да, только РС232.
Собсно, хинт: мое решение (оба) не предполагают использование компа, как точки входа в сеть. Только команды колотить :)
Собсно, хинт: мое решение (оба) не предполагают использование компа, как точки входа в сеть. Только команды колотить :)
Я точно не уверен, но наверное на ASA можно настроить class/policy-map таким образом, чтобы мы шли на один IP через vlan 10, а она пересылала этот пакет в 20-й вилан с IP 4.4.4.4, изменив SRC?
А-а, да, проглядел, что на жертве можно подавать команды из непривилегированного режима. Ну тогда наверное так:
На cisco:
show ip interface brief (смотрим IP внутреннего интерфейса)
show ip route connected (смотрим маску)
show ip route 4.4.4.4 (смотрим на всякий случай маршрут до таинственного 4.4.4.4)
Выдергиваем патчкорд из внутреннего интерфейса Cisco, подключаем ее к ASA, настраиваем ASA:
ena
conf t
interface ethernet (интерфейс, в который мы включили cisco)
nameif inside
security-level 100
ip address X.X.X.X Y.Y.Y.Y (используем любой IP из локалки кроме IP внутреннего интерфейса Cisco и маску локалки)
^Z
telnet Z.Z.Z.Z (адрес внутреннего интерфейса Cisco)
Если повезло, то имеем privilege level 15 без всяких паролей. Если не повезло, то надо попробовать с таинственного 4.4.4.4. С ASA я работал мало, так что извините, если сей вариант нерабочий:
enable
conf t
interface ethernet
mac-address M.M.M
exit
arp inside 4.4.4.4 M.M.M.M alias
route inside 4.4.4.4 255.255.255.255 X.X.X.X 1
same-security-traffic permit inter-interface
На cisco:
show ip interface brief (смотрим IP внутреннего интерфейса)
show ip route connected (смотрим маску)
show ip route 4.4.4.4 (смотрим на всякий случай маршрут до таинственного 4.4.4.4)
Выдергиваем патчкорд из внутреннего интерфейса Cisco, подключаем ее к ASA, настраиваем ASA:
ena
conf t
interface ethernet (интерфейс, в который мы включили cisco)
nameif inside
security-level 100
ip address X.X.X.X Y.Y.Y.Y (используем любой IP из локалки кроме IP внутреннего интерфейса Cisco и маску локалки)
^Z
telnet Z.Z.Z.Z (адрес внутреннего интерфейса Cisco)
Если повезло, то имеем privilege level 15 без всяких паролей. Если не повезло, то надо попробовать с таинственного 4.4.4.4. С ASA я работал мало, так что извините, если сей вариант нерабочий:
enable
conf t
interface ethernet
mac-address M.M.M
exit
arp inside 4.4.4.4 M.M.M.M alias
route inside 4.4.4.4 255.255.255.255 X.X.X.X 1
same-security-traffic permit inter-interface
Увы, и так не получится.
Не пустит в телнет — только с адреса 4.4.4.4, как вы уже догадались, можно залезть.
И тоже: телнет-клиента на АСА нет :)
Не пустит в телнет — только с адреса 4.4.4.4, как вы уже догадались, можно залезть.
И тоже: телнет-клиента на АСА нет :)
ЗЫ Сорри: смотрите дополнение в стартовом посте. Без этой строчки (access-class) всё решается одной командой
telnet 10.100.100.1
:))
telnet 10.100.100.1
:))
Да это понятно. Просто с ASA я не работал практически. Я конечно подозреваю, что с ее помощью можно сделать какой-нибудь NAT с port forwarding, чтобы с cisco делать как бы telnet на ASA, а ASA бы пробрасывала соединение обратно на Cisco, но уже от лица 4.4.4.4, но вслепую набросать команды не могу :)
На компе нет сетевухи, поэтому натить нечего и телнетом с него тоже никуда не сходишь :)
Это вы так думаете. Телнетом надо ходить с самой Cisco. У Cisco явно больше одного интерфейса (она же шлюз в Интернет), у ASA их тоже как минимум два. Компьютер нужен только для настройки ASA.
Как мне написал автор задачи тут: habrahabr.ru/blogs/cisconetworks/59847/#comment_1628001
у асы нет телнет клиента.
у асы нет телнет клиента.
Еще раз: для варианта с NAT telnet-клиент на ASA не нужен. Нужна только ее способность организовать NAT и пробросить порты. telnet'ом сама на себя (через NAT, организованный ASA для эмуляции IP-адреса 4.4.4.4) будет ходить сама Cisco.
Модуль AIP-SSM напоминает ружье, которое вроде должно по законам жанра выстрелить, но как-то непонятно, зачем оно тут, если задача решается и без него :)
Ага, молодец, Кость :)
А это моя «домашняя заготовка» — нетривиальное второе решение :)
А это моя «домашняя заготовка» — нетривиальное второе решение :)
AIP-SSM лишь может слушать трафик. То есть в теории можно заснифферить таким образом легитимную телнет-сессию на шлюз. Однако учитывая, что там не требуется логин/пароль и пользователь сразу попадет в enable (так как priviledge 15), то легитимный пользователь enable пароль вводить не будет, соответственно мы его и не узнаем.
Чую, что где-то что-то упустил, надо подумать еще будет :)
Чую, что где-то что-то упустил, надо подумать еще будет :)
Хм, значит, вы там чего-то взламываете, а весь хабр вам помогает?
какие-то странные задачки. уж очень они академические, хотелось бы более реальных:)
Реальные буду слишком простыми. Поэтому для них (типичных задач) планирую летом цикл коротеньких статеек.
ЗЫ Как показывает практика, только олимпиадные (нетипичные, сложные, непонятные) задачи развивают творческий подход и человека. Только нерешаемая проблема вызывает энтузиазм.
ИМХО, гораздо полезнее разобрать по косточкам такую «академическую» задачу, которая в себе несет несколько технологий, чем тупо прорешать учебник :)
ЗЫ Как показывает практика, только олимпиадные (нетипичные, сложные, непонятные) задачи развивают творческий подход и человека. Только нерешаемая проблема вызывает энтузиазм.
ИМХО, гораздо полезнее разобрать по косточкам такую «академическую» задачу, которая в себе несет несколько технологий, чем тупо прорешать учебник :)
Ну что, пора ли приводить рассуждения и решение?
Ну что же, дорогие мои. Первое решение.
Итак, что мы имеем:
1. На компе нет езернета — его только для конфига
2. На АСА тоже нет клиента (телнет и ssh) — значит её надо как то по-другому использовать
3. Циска сама на себя зайти не сможет, т.к. телнет и ssh пропущены только с некоего хоста 4.4.4.4
4. Про маршрутизацию мы знаем, что есть дефолтный маршрут на 10.100.100.254
5. Про интерфейсы мы знаем, что их 2, логических, значит работают с 802.1q метками
6. Надо ещё поинтересоваться (никто не спросил вывод команды sh int), какие же VLANы обслуживаются подынтерфейсами. На антицискином форуме поинтересовались.
тут маленький подвох: номер подынтерфейса не совпадает с обслуживаемым VLAN.
int f0/0.10 — VLAN 100, int f0/0.20 — VLAN 200
Задача сводится к следующему: надо с маршрутизатора (только там есть встроенный телнет клиент) открыть на КАКОЙ ТО адрес телнет сессию так, чтобы пакет убежал на АСУ, там куда то странслировался и прибежал ОБРАТНО на циску, но уже с другими адресами, причём адрес источника должен быть 4.4.4.4
Решение:
1. Подключаем хвост АСЫ е0/0 к порту f0/0
2. Создаём 2 подынтерфейса
asa(config)# int e0/0.10
asa(config-if)# vlan 100
asa(config-if)# ip address 10.100.100.254 255.255.255.0
asa(config-if)# security-l 0
asa(config-if)# nameif outside
asa(config)# int e0/0.20
asa(config-if)# vlan 200
asa(config-if)# ip address 10.200.200.254 255.255.255.0
asa(config-if)# security-l 100
asa(config-if)# nameif inside
3. Как заставить циску обратиться не через дефолтный маршрут? Смотрим предыдущую задачку: нам поможет только АРП. Значит на АСЕ надо странслировать адрес 10.100.100.1 в некий адрес из сети 10.200.200.0/24
static (outside,inside) 10.200.200.2 10.100.100.1
Читаем: если пакет бежит с интерфейса outside на интерфейс inside, его адрес источника транслируется с 10.100.100.1 на 10.200.200.2. Ну а если мы обращаемся на 10.200.200.2, то прокидываемся на 10.100.100.1
Осталось малость: подделать адрес источника на 4.4.4.4
static (inside,outside) 4.4.4.4 10.200.200.1
Я транслирую именно адрес интерфейса 10.200.200, а обращаюсь на 10.100.100 не спроста: обратный пакет с рутера должен пробежать по дефолтному маршруту, т.к. адрес 4.4.4.4 ему не принадлежит, а значит ответ должен уйти с интерфейса 10.100.100
Осталось пропустить снаружи телнет (и ssh) трафик:
access-list FROMOUT permit tcp any any eq 23
access-list FROMOUT permit tcp any any eq 22
access-group FROMOUT in int outside
и мы в дамках :))
Итак, что мы имеем:
1. На компе нет езернета — его только для конфига
2. На АСА тоже нет клиента (телнет и ssh) — значит её надо как то по-другому использовать
3. Циска сама на себя зайти не сможет, т.к. телнет и ssh пропущены только с некоего хоста 4.4.4.4
4. Про маршрутизацию мы знаем, что есть дефолтный маршрут на 10.100.100.254
5. Про интерфейсы мы знаем, что их 2, логических, значит работают с 802.1q метками
6. Надо ещё поинтересоваться (никто не спросил вывод команды sh int), какие же VLANы обслуживаются подынтерфейсами. На антицискином форуме поинтересовались.
тут маленький подвох: номер подынтерфейса не совпадает с обслуживаемым VLAN.
int f0/0.10 — VLAN 100, int f0/0.20 — VLAN 200
Задача сводится к следующему: надо с маршрутизатора (только там есть встроенный телнет клиент) открыть на КАКОЙ ТО адрес телнет сессию так, чтобы пакет убежал на АСУ, там куда то странслировался и прибежал ОБРАТНО на циску, но уже с другими адресами, причём адрес источника должен быть 4.4.4.4
Решение:
1. Подключаем хвост АСЫ е0/0 к порту f0/0
2. Создаём 2 подынтерфейса
asa(config)# int e0/0.10
asa(config-if)# vlan 100
asa(config-if)# ip address 10.100.100.254 255.255.255.0
asa(config-if)# security-l 0
asa(config-if)# nameif outside
asa(config)# int e0/0.20
asa(config-if)# vlan 200
asa(config-if)# ip address 10.200.200.254 255.255.255.0
asa(config-if)# security-l 100
asa(config-if)# nameif inside
3. Как заставить циску обратиться не через дефолтный маршрут? Смотрим предыдущую задачку: нам поможет только АРП. Значит на АСЕ надо странслировать адрес 10.100.100.1 в некий адрес из сети 10.200.200.0/24
static (outside,inside) 10.200.200.2 10.100.100.1
Читаем: если пакет бежит с интерфейса outside на интерфейс inside, его адрес источника транслируется с 10.100.100.1 на 10.200.200.2. Ну а если мы обращаемся на 10.200.200.2, то прокидываемся на 10.100.100.1
Осталось малость: подделать адрес источника на 4.4.4.4
static (inside,outside) 4.4.4.4 10.200.200.1
Я транслирую именно адрес интерфейса 10.200.200, а обращаюсь на 10.100.100 не спроста: обратный пакет с рутера должен пробежать по дефолтному маршруту, т.к. адрес 4.4.4.4 ему не принадлежит, а значит ответ должен уйти с интерфейса 10.100.100
Осталось пропустить снаружи телнет (и ssh) трафик:
access-list FROMOUT permit tcp any any eq 23
access-list FROMOUT permit tcp any any eq 22
access-group FROMOUT in int outside
и мы в дамках :))
ларчик в итоге довольно просто открывается..:) а для чего модуль AIP-SSM?
Пришло время и для неочевидного решения
Наверняка вы заметили «ружье», в виде AIP-SSM, которое ещё не выстрелило :)
Действительно, второй способ проникнуть на циску связан именно с ним.
Намекну: AIP-SSM — это полноценный IPS, который в свою очередь, представляет из себя… Линукс, с цискиной софтой :)
Покумекайте пока. Закончу читать курс сегодня — расскажу решение номер 2 :)
Наверняка вы заметили «ружье», в виде AIP-SSM, которое ещё не выстрелило :)
Действительно, второй способ проникнуть на циску связан именно с ним.
Намекну: AIP-SSM — это полноценный IPS, который в свою очередь, представляет из себя… Линукс, с цискиной софтой :)
Покумекайте пока. Закончу читать курс сегодня — расскажу решение номер 2 :)
Наконец то решение: сорри за задержку — ездил на гонку в Шую:)
Итак, нетривиальное решение:
AIP-SSM, как настоящий Линукс ящик, можно заставить вам помочь.
Для этого для начала AIP-SSM надо подключить езернет-хвостиком к какому-нибуль интерфейсу АСЫ. Вот прямо так: из интерфейса модуля в интерфейс АСЫ.
Дело в том, что интерфейс модуля нужен только для управления, но никак не для получения трафика для анализа. Трафик получается по шине.
На интерфейсе АСЫ задаём адрес
int e0/1
ip addr 4.4.4.1 255.255.255.0
sec 100
nameif HINT
Правило НАТа нам не нужно
no nat-control
На интерфейсе модуля можно задать ip адрес 4.4.4.4, дефолтный шлюз — 4.4.4.1
Потом надо создать сервисного пользователя
user NEW pass cisco priv service
Это не простой пользователь. Под этой учёткой можно зайти прямо в Линукс! Такой пользователь может быть только один и его пароль синхронизируется с паролем root на Линуксе
Далее, заходим в консоль модуля под этой учёткой
asa# session 1
login: NEW
password: cisco
bash2.05$ su root
password: cisco
А оттуда уже можно ходить телнетом!
bash2.05# telnet 10.100.100.1
Вуа-ля!
Итак, нетривиальное решение:
AIP-SSM, как настоящий Линукс ящик, можно заставить вам помочь.
Для этого для начала AIP-SSM надо подключить езернет-хвостиком к какому-нибуль интерфейсу АСЫ. Вот прямо так: из интерфейса модуля в интерфейс АСЫ.
Дело в том, что интерфейс модуля нужен только для управления, но никак не для получения трафика для анализа. Трафик получается по шине.
На интерфейсе АСЫ задаём адрес
int e0/1
ip addr 4.4.4.1 255.255.255.0
sec 100
nameif HINT
Правило НАТа нам не нужно
no nat-control
На интерфейсе модуля можно задать ip адрес 4.4.4.4, дефолтный шлюз — 4.4.4.1
Потом надо создать сервисного пользователя
user NEW pass cisco priv service
Это не простой пользователь. Под этой учёткой можно зайти прямо в Линукс! Такой пользователь может быть только один и его пароль синхронизируется с паролем root на Линуксе
Далее, заходим в консоль модуля под этой учёткой
asa# session 1
login: NEW
password: cisco
bash2.05$ su root
password: cisco
А оттуда уже можно ходить телнетом!
bash2.05# telnet 10.100.100.1
Вуа-ля!
Эмуляторов АСЫ нет?
Sign up to leave a comment.
А теперь обещанная задачка посложнее