Bu makalede Cisco Pix 501  cihazı üzerinde mümkün olduğunca sihirbaz kullanmadan temel ayarların nasıl  yapıldığını göreceğiz.. Hangi komutun ne işe yaradığını gösterip sıfırlanmış bir pixden internet erişimini kontrol eden bir firewalla geçişte yapılan işlemleri anlatmaya çalışacağım.

Öncelikle cihaza console portundan bağlanıp konfigurasyonu sıfırlayalım.Console ayarları 9600-8-None-1-Hardware şeklinde olması gerekir. Sifresini bilmiyorsak Pix in şifre kırma prosedürünü uygulayarak sifreyi değiştiriyoruz.Aşağıdaki linkte Pıx in sifresinin nasıl sıfırlanacağı adım adım anlatılmakta.Makalede sifre kırma prosedürüne değinmedim.

http://www.cisco.com/warp/public/110/34.shtml

Cihaza erişip şifresini giryoruz.

Ardından cihazı komple sıfırlıyoruz.Bunun için “write erase ” komutunu giriyoruz.Bu komut cihazın bütün configurasyonunu siler.Cihazı kapatıp açıyoruz.

Use this configurastion and write to flash kısmına yes yazmamız gerekir.Eğer yes yazmazsak ayarlar ekranı tekrar gelir.Kapatıp açsak bile ayarları yapmadığımız için Pre-Configure ekranı hep çıkar.Yes dediğimizde yazmış olduğumu zdeğerler cihaza kayıt edilmiş olur.Ardından enable komutu ile privilidge moda geçiyoruz.

Show run komut ile girmiş olduğumuz temel ayarları görelim.Yapılan ayarları kırmızı ile işaretledik.Gerektiğinde komut satırından aynı komutları kullanarak değerleri değiştirebiliriz.

PIX Version 6.3(5)

interface ethernet0 auto shutdown

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

hostname pixer

domain-name bilginipaylas.com

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

pager lines 24

mtu outside 1500

mtu inside 1500

no ip address outside

ip address inside 192.168.1.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm history enable

arp timeout 14400

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout sip-disconnect 0:02:00 sip-invite 0:03:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server TACACS+ max-failed-attempts 3

aaa-server TACACS+ deadtime 10

aaa-server RADIUS protocol radius

aaa-server RADIUS max-failed-attempts 3

aaa-server RADIUS deadtime 10

aaa-server LOCAL protocol local

http server enable

http 192.168.1.2 255.255.255.255 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

telnet timeout 5

ssh timeout 5

console timeout 0

terminal width 80

Cryptochecksum:9b9bb7996f13347395f7898a77ae52bf

: end

Cihazın temel ayarlarını yaptıktan sonra cihaza web arayüzüden erişebiliriz.Cisco pixlerde web arayüzünden bağlantıyı sağlayan bileşen PDM (Pix Device manager ) dir.Pix temel imajın dışında ayrıca cihaza yüklenir.Pdm dosyaları flash üzerinde tutulur.FTP ile cihaza atılır.Aşağıdaki linkten PIX lere PDM’in nasıl kurulacağı anlatılmaktadır.

http://www.cisco.com/en/US/docs/security/pix/pix63/pdm30/installation/guide/pdm30CH3.html

PDM ile bağlantının sağlanabilmesi için cihaz üzerinde  RSA sertifikasının yüklü olması gerekir.Sertifika yüklü olabilmesi için ise cihazın ismi ve domain adı girilmesi gerekir.Sıfırlandığında girdiğimiz isme (pixer ) ve domain ismine (bilginipaylas.com) göre sertifika üretiliyor.Böylece cihaza https üzerinden erişebiliyoruz.

Cihaza erişebilmek için kendi pcminizde pix le aynı networkte olması gerekir.Aşağıda kendi makinamızda olması gereken ayarlar var.

Cihazın bütün portları düz cross bağlantıyı desteklemektedir.bağladıktan sonra cihaza ping attıpımızda ping paketlerinin ulaştığını görürüz.

Fakat telnet atamayız.Cihaza telnet atabilmek için hangi iplerin makinaya telnet ile bağlanacağını belirtmemiz lazım.Aşağıdaki komutla içerdeki ağda yer alan 192.168.1.2 ipli makine cihaza erişme yetkisine sahip olmuş olur.

pixer(config)# telnet  192.168.1.2 255.255.255.0 inside
pixer(config)#

Cihazda yukardaki komutu girersek cihaza telnet yapabilir hale gelmiş oluruz.

Cihaza simdi http ile bağlanmayı deneyelim 

Cihaz http ile bağlantıyı kabul etmemektedir.Cihaz https ile ancak bağlanılabilmektedir.Yukardaki şekildeki şekilde girdiğimizde bize sertifika ekranı çıkıyor.Sertifikayı onaylarak devam ediyoruz.Makinamızda javanın 1.4.2 veya yakın versiyonu yüklü olması gerekir.Makinamızın bölgesel ayarlarını ingilizceye çekmemiz gerekir.Aksi taktirde javada sorunlar çıkmaktadır.Detaylı bilgiye buradan ulaşabilirsiniz. Karşımıza iki kere kullanıcı adı sifresi gereken ekran çıkacak.Java ile ilgili sertika ekranları çıkacak hepsini yes dedikten sonra karşımaza aşağıdaki ekran çıkmış olacak.Buraya kadar gelemezsek sorun java ile ilgili bir sıkıntınız vardır.
Bütün ekranları geçtiksen sonra karşımıza aşağıdaki ekran çıkacak.

İlk defa pix e bağlandığımız için PDM topoloji bilgisini güncellemesi gerekecek.Proceed e tıklayarak geçiyoruz.Bu ilk defa pdmle bağlanıldığı için çıkan ekran .Topoloji uyarısını geçtikten sonra ilk kurulum sihirbazı çıkar.

Biz sihirbazları sevmiyoruz ve bütün ayarları kendimiz yapmak istiyoruz.Neyin nerde olduğunu görmek istiyruz.Bu yüzden cancel diyerek sihirbazı kapatıyoruz.

PDM in 3 bölümü var.Birnici genel bilgileri aldığımız paneli (Home)

Diğerleri ise Configuration ile Monitoring kısmıdır.Home ekranında cihazın cpu ve memory bilgileri, üzerindeki lisans bilgisi,ethernetlerin durumu gibi  ihtiyacımız olan bütün bilgileri tek bir bir konsolda görebiliyoruz.
Configuration kısmında cihaz üzerinde yapabileceğimiz ayarlar bulunmaktadır.Monitoring kısmında cihaz üzerindeki istatistikleri görebiliriz.

Konfigurasyon kısmı 5 bölümden oluşur.Access Rules kısmı bizim firewall ayarlarını yaptığımız erişimleri kontrol ettiğimiz alandır.Translation Rules kısmı NAT ayarlarının yapıldığı alandır.VPN bölümünde vpn tanımları yapılır.Host/Networks kısmında cihaz üzerinde tanımlanan ipler ve ip blokları yer almaktadır.System Properties kısmı ise cihazın temel ayarların yapıldığı alandır.

Cihaz temel ayarlarında içerden dışarı bütün trafiğe izin verecek şekilde çalışmaktadır.Tek bir erişim kuralı yer almaktadır.Oda içerden dışarı IP seviyesinde herşeye izin ver.Bu kuralı silemeyiz.Silmeye kalktığımızda aşağıdaki hatayı verir.

Cihazın Erişim Şifresini Değiştirmek:

Cihazda güvenlik ve erişim seviyeleri belirlemek için System Properties kısmına giriyoruz.Administration-Password kısmında şifreyi değiştirebiliyoruz.Yada komut satırında “enable password” komutunu girererkte değiştirebiliriz.
Cihaza PDM ile Başka İplerinin Erişimine İzin Vermek:

Administration-PDM/HTTPS kısmına girip izin vermek istediğimiz ipleri ekliyoruz.


Cihaza Telnet ile Bağlantıya izin vermek için:

Administration-Telnet kısmından ipleri ekliyoruz.Biz yukarda 192.168.1.0 networkünü komutla eklemiştik.
Diğer bir cok temel ayarı (kullanıcı açma ,pinge izin verme vs) System Properties kısmından yapabiiriz.

Simdi sıra  cihazı internet erişimini kontrol eden bir firewall haline dönüştürmeye geldi

İnternet Erişimini Sağlamak:

Adsl modemimizle iç network arasına pixi konumlandırıcağız.Pixin PPPoE desteği var.Telekomun atadığı ipyi pixe aldırabiliriz.Bunun için ADSL modemin bridge modda çalışması gerekir.Modem sadece sinyali sonlandırıp ip alma ve kimlik doğrulama işlemini pix yapacak.Modemi öncelikle bridge moda alıyoruz.Bunun için modemde encapsulation RFC 1483 seçiyoruz.

Modemde yapilmasi gereken ayarlar
Zyxell için

Zoom için

Airties için

Modemi bridge moda aldıktan sonra pix in Ethernet 0 bacağını ADSL modemin ethernetinie bağlıyoruz.
Pıxin ADSL ipsini alabilmesi için Ethernet 0 ın ayarlarını PPPoE ye çekiyoruz.Bunun için System Properties kısmında Interfaces kısmına giriyoruz.Outsite bacağını seçip Edit kısmına giriyoruz.

Enable Interface seçilir.USE PPPoE ye gelinerek kullanıcı adı ve sifresi girilir.Ardından Obtaion default route using PPPoE seçilir.Böylece default gateway telekom tarafından atanmış olur.

Ayarları doğru yaptıktan sonra cihazın ip aldığını giriş kısmında Interface bölümünde aşağıdaki gibi ip almış olarak görürürüz.

Cihazımın dış bacağı ip aldığı halde nete çıkamayız.oysaki cihazın defautlta bütün trafiğe açık olmasına rağmen nete çıkamıyoruz.Neden ????

Cevabı basit cihaz iki bacağında ip var.Fakat cihaz bu iki ip arasında NAT işlemini gerçekleştiremektedir.

Nat tanımını yapabilmek için

Configuration kısmında Translation Rules kımsına girip boşlukta Sağ tıklanır .Gelen ekranda Add e basılarak nat tanımına girilir.

Orijinal host kısmına iç network yazılır.Ardından translate address on interface outsite seçilir.Manage Poolsa girilir.

Outside seçilip add butonuna basılır.

Yeni bir pool numarası veriliri.Ben burda pool id kısmına 1 yazdım.Tek ipmiz olduğudundan PAT using the IP Address of the interface seçilir.
Ok ile Nat ekranına gelir.Ardında Appplye tıklanır.

Ardından webe girdiğimizde webin çalıştığını görürüz.

Artık cihazın temel ayarlarını bitirmiş olduk.

Simdi birazda erişim kurallarını kurcalayalım.Defaultta dışarı doğru bütün trafik açık.Bizim istediğimiz kural ise sadece dışarı doğru http,https,dns ve ftp nin açık olması.Bunun için Access Rules kısmına girip

Add ile yeni bir erişim kuralı tanımlıyoruz.

Burda source kısmında iç networkü tanımladık.Destination olarak dış bacağı seçip ip aralıgını 0.0.0.0 bırakarak bütün ipleri belirtmiş olduk.ardından Protocol kısmında Service group u seçtik.Service group seçilmesindeki amaç birden fazla protocole erişim izni verileceği için bunları gruplamak amacımız.Group tanımlandıktan sonra destination port kısmında belirtiliyor.Group oluşturmak için Manage Service Group a girip

Burdan TCP seçilip ADD e basılır.

Yeni oluşturacağımız servise grupa isim verilip hangi servislere izin vermek istiyorlar sağ tarafa  Add butonuna basarak taşıyoruz.Apply a tıklayarak çıkıyoruz.Ardından kuralı ekliyoruz.

Kural oluşturulduğunda mevcutta yer alan kural kalkmış oluyor.Burda gizli deny any any kuralı altında yer almaktadır.

TRICK NOKTA:

Kural listesinde DNS yok.TCP bölümüne dns eklenip bağlantı deniyenler olabiliyor.Fakat kural çalışmıyor.Burda trick olan nokta DNS in UDP olarak açılması gerektiğidir.DNS içinde servise group tanımlanabilir yada direkt servis olarak tanımlanabilir.Burda group yaptım.Group kısmında tcp-udp seçilip yapıyoruz.
Pixte dns port olarak listede yer almaz.DSN için domain ismi kullanılır.

Kural olarak ta içerden dışarı dns açıldıktan sonra netimiz çalışacaktır.

İlerde başka portlar açmak gerektiğinde Manage Service groupa bu portları eklemek yeterli olacaktır.Natımızda düzgün çalışıyor.Bütün ayarları bitirdikten sonra öncelikle Apply ile konfigurasyonun cihaza aktarılması yani çalışan konfigurasyona atarılmasını sağlıyoruz.Ardından save butonuna basarak yaptığımız konfigurasyonu kalıcı olarak kaydetmiş oluyoruz.

Bu makalede bir sihirbaz düşmanı olarak sihirbaz kullanmadan nasıl pixin konfigurasyonun yapıldığını anlatmaya çalıştım.Diğer makalelerde görüşmek dileği ile.

Ortalama Üye Değerlendirmesi

   (2 Oylamalar)

Yorum Sayısı: 1 / 1