ASA知识点

2.验证身份识别提供商。

  1.)验证这台服务器已经启用了允许IP路由的功能。

团体VLAN(community VLAN)

这个步骤可以通过一批静态地址或者DHCP来完成。检查路由和远程接入插件–>属性–>IP标签,然而点击DHCP或者静态地址池。如果点击了地址池,必须要设置大量的地址。

  当一个VPN用户进行连接时,远程接入服务器有几个方面容易产生问题。VPN服务器必须进行恰当的设置以便允许远程接入。如果用户遇到连接问题,你要验证这个客户机的设置是正确的并且验证最终用户具有连接到这台服务器的能力。你可以按照如下步骤操作:

例如:telnet,smtp,dns等等。

采取如下步骤:

  采取如下步骤:

基于一个或多个条件匹配

检查路由和远程接入插件–>属性–>安全,并且选择证书机制。这通常是某种形式的挑战握手验证协议(CHAP)。这个服务器还有其它必须恰当地配置的设置,包括IP路由、DHCP和PPP等IP设置。这些设置的验证步骤如下:

  按如下步骤操作:

1.建议在所有的ASA接口运用访问控制列表,尽量精确 控制协议(最小权限)

Windows远程接入服务器允许VPN客户进行身份识别并且透明地连接到内部网络,就像直接连接到网络一样。这能够使用户以安全的方式进行远程工作。本文主要介绍在一些常见的VPN服务器故障排查方法。

  检查路由和远程接入插件–>属性–>安全,并且选择证书机制。这通常是某种形式的挑战握手验证协议(CHAP)。这个服务器还有其它必须恰当地配置的设置,包括IP路由、DHCP和PPP等IP设置。这些设置的验证步骤如下:

–政策管理

查看路由和远程接入插件–>属性–>IP标签,并且验证服务器已设置为允许IP路由。还要验证服务器已经设置为允许基于IP的远程访问和需要拨号连接。

在企业的日常工作中,VPN是一种比较方便实用的组网方式。通过VPN可以屏蔽地理局限,特别适合地域跨度较大的公司。因此对VPN服务器的维护是网络工程师们比较重要的工作之一,本文将介绍几种常见诊断VPN故障的方法,希望对各位网络工程师有所帮助。  

它支持分布式ACS系统。

检查路由和远程接入插件–>属性–>安全,并且验证是否选择了RADIUS或者Windows身份识别。

  这就是windows
VPN服务器的基本设置。还有很多与VPN会话有关的其它功能,如身份识别和加密。这些功能也可以引起故障。最佳方法是设法让用户连接和身份识别一个简单的会话。取消标准连接之外的所有的连接;然后,你可以把额外的安全功能添加到这个会话中。

  1. EtherChannel允许最多8个物理链路捆绑到一个逻辑链路中(IEEE standard is
    802.3ad)

检查路由和远程接入插件–>属性–>常规,并且验证远程接入服务器对话框已经选定。

  2.验证身份识别提供商。

在RFC 2284中指定的EAP

1.验证这台服务器已经启用了允许远程接入的功能。

  检查路由和远程接入插件–>属性–>安全,并且验证是否选择了RADIUS或者Windows身份识别。

1.接口访问控制列表只能控制穿越流量

这就是windows
VPN服务器的基本设置。还有很多与VPN会话有关的其它功能,如身份识别和加密。这些功能也可以引起故障。最佳方法是设法让用户连接和身份识别一个简单的会话。取消标准连接之外的所有的连接;然后,你可以把额外的安全功能添加到这个会话中。

  3.验证身份识别的方法。

协议

2.)验证服务器已经设置为可分配IP地址。

  这个步骤可以通过一批静态地址或者DHCP来完成。检查路由和远程接入插件–>属性–>IP标签,然而点击DHCP或者静态地址池。如果点击了地址池,必须要设置大量的地址。

Static PAT介绍

要了解更多的有关Windows 2000
VPN客户端连接的问题和具体步骤以便验证客户端设置和网络连接,请阅读以前的讲座:玩转Windows
VPN客户端。

  Windows远程接入服务器允许VPN客户进行身份识别并且透明地连接到内部网络,就像直接连接到网络一样。这能够使用户以安全的方式进行远程工作。本文主要介绍在检查VPN连接故障时应该在服务器端解决的一些常见问题。

问题

  查看路由和远程接入插件–>属性–>IP标签,并且验证服务器已设置为允许IP路由。还要验证服务器已经设置为允许基于IP的远程访问和需要拨号连接。

PEAP(受保护的EAP)

当一个VPN用户进行连接时,远程接入服务器有几个方面容易产生问题。VPN服务器必须进行恰当的设置以便允许远程接入。如果用户遇到连接问题,你要验证这个客户机的设置是正确的并且验证最终用户具有连接到这台服务器的能力。你可以按照如下步骤操作:

  2.)验证服务器已经设置为可分配IP地址。

认证方法

3.验证身份识别的方法。

  检查路由和远程接入插件–>属性–>常规,并且验证远程接入服务器对话框已经选定。

PVLAN边界

按如下步骤操作:

  1.验证这台服务器已经启用了允许远程接入的功能。

共享密钥

1.)验证这台服务器已经启用了允许IP路由的功能。

  1. Dynamic Port Address Translation (PAT)

“相互认证”

3.如果多个用户共享一个IP地址(PAT,代理),不建 议部署基于用户的策略

访问控制列表Cut Through

IPSec SA建立VPN连接完成后

ASA(config)# monitor‐interface Inside

EAP的选择

–Cisco NAC支持

–IKE阶段2:VPN设备协商IPsec安全策略保护IPSec数据。

比较环路守卫和UDLD

思科VPN服务器增加了几个新的命令以Cisco PIX安全设备软件版
本6.3及更高版本。

加密函数

– 每个管理员定义不同的权限

两种NAT配置方式

密钥交换

2.监控特殊运用层协议的前提如下:

如果Active设备出现故障,那么处于Standby的设备(如果它是健康的)
将成为Active

Cisco VPN Client特点和好处

调整A/S的FO(4)

使用对称加密算法,密钥可能被窃听

用户被认为已经通过了认证,直到他们注销,或者认证缓存信息超时。

Static NAT(静态NAT):创建一个本地地址到全局地址的永久转换。

1.安全设备可以成对搭配成A/A的FO来提供设备级的冗余和负载分担

在两个设备之间需要一个状态化链路(是LAN‐FO链路之外的另外一条 链路)

IKE SA成功建立。

b.协议安全防护与过滤(例如:SMTP,HTTP,IM等等)

– 令牌服务器密码认证卡

非信任端口只能转发DHCP请求

网络设备提供AAA服务功能为AAA的客户,如routers, NASs, PIX    Firewalls,
or VPN Concentrators

第一步:正确桥接设备

启用定期重新认证(可选)

“相互认证”,用户和美联社需要进行身份验证

Port security restricts port access by MAC address.

正常的FO切换事件

数据连接端口号为UDP 4500

通过Crypto Map不同序号,与Peer进行策略匹配

LEAP(EAP Cisco无线)

3.基于OSI四层信息(源目端口号)

Failover的部署方针

2.3部分Intra Zone策略

整合必要的安全组件用于建立与对等体的IPSec连接

4.DH密钥组

1.2部分DHCP防护技术

MM_KEY_AUTH

– 隧道封端:隧道被拆除。

可以配置虚拟FO的MAC地址来确保FO对儿总是使用一个相同的MAC地址.

–档案管理

ESP对IP报文的有效载荷进行验证

5.一个Port
ACL会被运用到这个端口,放行绑定表指定的源IP和源MAC,阻止其它流量。

Failover的管理

2.负载分担相关流量

它如果没检测到设备,它将变为Active状态

主要用于简化IPSec会话的配置和管理

用户生产率的提高和降低运营成本

一帧格式,使用UDP协议

EAP支持多种认证”等类型:

常用组策略属性

2.通常为需要对外提供服务的内部服务器做转换(inbound连通)

点对点

VLAN attacks—-vlan攻击

安全关联的定义

如何部署冗余接口

配置步骤

流量触发IPSec

基于标识别的网络服务

– 日志管理活动的能力

Authentication——认证

流量无法从同一接口进入后再流出

8.ASA使用这个ACL放行流量到Server

Action granularity作用粒度

安全设备检查其他FO组的状态化表项

单向

支持所有的模式(transparent,routed,multi‐context)

功能

每一个物理设备都有一个这样的active子防火墙(转发流量)

Network access through switch requires authentication.

3.Cisco ASA能够发送用户流量相关信息到审计服务器

FO出现在设备或子防火墙级别上

– 浏览器界面可以方便管理

Secure HTTP

单元hold时间:在触发FO之前等待的时间(默认15秒)

接入交换机

恳求

ARP监控

多协议支持NetBEUI

接口hold时间:监控接口的hold时间(默认25秒)

防止数据回放攻击

默认情况下,所有intrazone的流量 是允许互访的。

步骤8:指定DNS域。

在认证的时候从Radius AAA服务器上下载一个每用户的访问控制列表(推荐)

VPN技术

DNS和DHCP DNS包括DDNS,分裂,微软胜,和IP地址分配

当它成为active设备之后,检测到了另外一个active设备,那么这两个Active设备将重新协商FO的角色

用来确定每一个单元的运行状态并复制和同步配置

3.设备验证的类型

自定义的FO切换

可以明确指定class-default中的行为。

Default Authorization Policy

在一个Cisco
Catalyst交换机环境认证两种选择是EAP消息摘要5(MD5)和EAP-TLS。

隔离VLAN(isolated VLAN)

支持PAP、CHAP、MS-CHAP认证和NAS

分离AAA

1.一个冗余接口使用添加到捆绑的第一个物理接口的MAC地址

基于端口的网络接入工作如何进行?

1.Input规则控制源自于规则所在接口主机的连接

–cstacacs提供TACACS+ AAA客户端和服务之间的通信csauth。

IP Source Guard介绍

步骤3:配置隧道群。

支持802.3ad和标准的LACP

可以是一个独立的接口或者和其它接口共享,包括FO接口(不推荐)

保密

Standby设备在所有的接口上继承原来Active设备的属性(IP和MAC地址)

2.使用密钥和用户信息通过hash算法计算

ARAP

A/A FO的异步路由问题(1)

2.指定一个持久的DHCP snooping绑定数据库的 位置

2.4部分Self Zone策略

特点和好处:

这些输出结果是假设安全设备在FO组里都是健康的,如果不是,那么健康的子墙在一个FO组里将变成active.

4.ACS认证回应包含DACL名

小到非常大的网络规模

用户被认为已经通过了认证,直到他们注销,或者认证缓存信息超时。

无状态化的FO:

用户必须重新建立连接

步骤4:配置隧道群属性预共享密钥

FO链路

配置用户认证

PEAP(受保护的EAP)

IKE(Internet Key Exchange)因特网密钥交换协议

如果这个时候Primary设备启动了,Secondary设备将改变MAC地址到Primary

其余的系统参数(IP地址、DNS、拆分隧道信息,等等)下载到Cisco VPN客户端

传输协议

来自每个用户,每个会话密钥

为私有IP地址和端口到公有IP地址和端口做一个固定的转换

Cisco ASA直接对HTTP认证

b.可以配置在内部接口in方向,也可以配置在外部接口out方向。

建立IPSec VPN连接需要3个步骤:

5505不支持EtherChannel

1.为每个4层连接创建转换槽位(最多65535‐1023个槽位)

一般部署的时候在所有的接口仅仅运用Input规则

PEAP(Protected Extensible Authentication Protocol,
保护可扩展认证协议)

带内共享

思科安全ACS服务器:管理员特性 :

建立管理连接

(一个组的真实地址映射到一组映射后地址,映射后地址往往比真实地址数量少,遵循先来先服务的原则。只有真实的主机才可以发起连接)

4.会话信息在接口202.100.1.20上被查找到,这个接口属于C1的备用单元。
这些状态化信息是从ASA1通过Stateful FO复制到了ASA2。

利用dot1x端口控制接口配置命令你控制端口的授权状态。

接口标准

第三步:Primary ASA配置FO group和context

如下连接如果存在,必须要明确的允许连接:

2.当内部地址发起第一个连接时,在转换表项里动态创建转换槽位

License Requirements(授权需求)

– 服务器端的RSA SecurID令牌

调整A/S的FO(1)

要求和限制同A/S高可用性FO一样,下面罗列了额外的问题:

不支持组播IP路由

验证和用户数据库

对等体通过DH算法成功建立共享密钥,此时还没 有进行设备验证

– 故障排除工具包括调试TACACS+的命令。

Task 2:配置IKE

返回流量必须特殊处理

监控了TCP和UDP,单一信道的TCP和UDP协议就能够正常工作。

恢复原active单元到active状态

EAP-CHAP

一种用于携带任意身份验证信息的灵活的协议。

Software Requirements(软件需求)

能基于ACL,PAM协议或其他class map匹配。

最多支持8个主用和8个备用链路

3.需要在激活DHCP Snooping的untrust接口上配置IP source guard。

建立管理连接

2.在最后默认存在一条deny‐all的隐含规则

启用802.1x认证(需要)

PVLANs允许你提供一个VLAN内通过访问控制来限制连接:

网上传输的数据有被篡改的危险

访问列表(名称或编号)

思科互联网草案,微软与RSA

如果它检测到一个设备在两个组里都是active,那么它在两个FO组将变为standby.

Zone-Base Policy Firewall的TCP规范化特性

远程访问VPN

DNS和网关

单元标准

实现数据完整性验证MD5

虚拟HTTP

1.缓解全球地址耗尽

应配置多层交换机以支持安全。

基于UDP协议

传统IOS FW的一些问题

1.使用密钥加密用户身份信息      传输集A传输集B

AAA服务器回答一个认证回应,这个回应中包含一个每用户的访问控制列表

用于传递状态信息到Standby单元

Failover的切换事件

在一个更大的网络,地理上分散的、速度、冗余和可靠性是很重要的,在决定是否使用一个集中的Cisco
Secure ACS服务或 多个地理上分散的Cisco Secure ACS单元。

1.在ASA上必须激活DNS inspection

2.使用每用户的策略仅仅为那些在信任或者被保护网络的流量

UDLD配置

根防护可以使用各种命令进行配置和验证。

Zone-Base Policy Firewall介绍

任务3:定义模式配置的组策略。

指定使用NAT和PAT。

Dynamic Inside PAT(动态内部PAT):创建一个临时的动态转换,
把一个本地地址和端口转换到一个全局地址和全局端口。

ASA通过监控FO链路来确认其他单元的健康状况

Class maps可以基于描述(类型)和流量组进行分类

以下的一般任务是用来配置Cisco VPN客户端为Cisco VPN远程:

建立数据连接

1.地址范围

Cisco ASA能够为穿越的流量运用基于用户的策略

3.为了让流量在两个被保护端口之间交换,流量必须穿越 一个3层设备。

MAC layer attacks—MAC层攻击 (MAC地址泛洪攻击 )

IPSec VPN原理与配置

ACS for Windows  NAS–ODBC导入

LEAP(EAP Cisco无线)

路由默认开启

授权的两种方式

Failover的接口类型

假如在其他FO组的状态化信息表项中 发现这个包的状态化信息,则2层信息
被重写并且包将发送给其他设备.

NAT设备安排在外网

Multiple DHCP Pools

要放行一个网络运用穿越ASA,在初始化的方向上,所有的规则集都应该放行

任务8包含以下步骤:

然后再用对称加密算法加密实际要传输的数据

当Active设备上一个被指定为监控的接口出现故障时,切换发生

步骤5:进入组策略属性模式。

ISAKMP/IKE阶段2需要完成的任务

(一个地址被静态的转换到自己,本质上就是旁路掉NAT。当你转换一大组地址,但却想把其中一小部分地址旁路掉NAT的时候,使用这个技术。特别适用于旁路VPN流量。)

IPSec协议最初的设计并未考虑用户验证的问题

3.两个成员接口必须是一样的物理类型

数据验证

Cisco Easy VPN远程操作模式

– EAP-MD5

公钥加密

NAT的分类(1)

无线局域网环境下的客户端连接自动启动

1,配置全局超时时间和阙值

TACACS+/RADIUS比较

改变安静时期(可选)

3,策略不能够使用ACL运用到特定主机或者子网。所有进入给定接口的所有流量都会被运用相同的监控策略

无线集线器

在class-default中的默认行为是drop。

任务3包含以下步骤:

虚拟HTTP

–思科VPN远程客户端服务器支持了Cisco PIX防火墙软件版本6.2

在这种环境,必须做出配置来支持异步路由的包.

  1. DHCP
    snooping功能在交换机上被激活后,以构建一个表项,这个表项映射:客户端MAC地址,IP地址,VLAN以及端口ID的对应关系。

可扩展身份验证协议(EAP),基于IETF
802.1X是一个端到端的框架,允许创建认证类型不改变AAA客户端配置

激活每用户覆盖特性(per‐user Override),允许一个下载的访
问控制列表覆盖在一个接口运用的访问控制列表,用于放行某一个用户的流量。

(针对某个接口启用健康监控,若受监控的接口fail,切换触发.)

为一个静态的IP地址配置一个静态ARP访问  控制列表(静态ARP监控功能)

任务3:定义模式配置的组策略

配置Easy VPN Server扩展认证

DACL( 自主访问控制列表)工作示意图

RADIUS

default Class介绍

MS-CHAP

AH协议不能与NAT设备一同工作

要求客户端和服务器证书

思科所有VPN服务器应配置为执行用户认证

选择恰当的EAP

通过认证机制确认身份,防止数据被截获、回放

Dynamic Identity NAT介绍

Class-map介绍

智能适应性为分层用户提供更大的灵活性和移动性认证,访问控制和用户策略的组合,以确保网络连接和资源,用户生产率的提高和降低运营成本

2.上述配置限制IOS FW最大能够缓存的未重组装完成的IP分片包为100个。

使用加密技术防止数据被窃听

如果在启用重新验证之前不指定时间段,则重新验证尝试的时间是3600。

带外共享

Accounting——统计

端口分:

分离隧道

TCP

  1. vPC(Virtual Port Channels)最新版本,允许多个设备共享多个接口。

  2. vpc最大的利用了带宽,因为每一个port
    channel,在spanning‐tree中当作一个接口来对待

IP检查名称iosfw SMTP警报关闭超时300跟踪审计

AH(认证头协议)

1.Inside
NAT转换一个位于高安全级别接口的本地地址到一个位于低安全级别接口的全局地址

4.在每一个端口上调整ARP限速。(可选)

数据完整性验证防止数据被破坏、篡改

当802.1x端口认证前启用,其他2层功能已启用。

可以运用接口访问控制规则在ASA接口的input、output两个方向

XAUTH扩展认证协议

– 提供了一个有价值的故障排除信息来源。

仅仅只支持inbound连接

UDLD检测和禁用单向连接的接口,保护网络免受异常STP条件。

一个ZBF的区域,是通过一个或多 个路由器接口抵达的一系列网络。

认证只能判定用户是否可以穿越。

1.加密算法

站点到站点VPN

数据包不从始发的设备返回,这就叫做异步路由.

3.转换项一直存在,直到配置的闲置时间到期。

支持把ASA的接口地址作为全局地址使用

部署方针和A/S高可用性FO基本一样

A/A的Failover部署方针

RADIUS host以其配置的顺序进行尝试。

步骤2:配置IKE阶段1政策。

认证服务器

最安全的建议总是列在思科VPN服务器建议列表的顶部(最高优先级)

Per Port每个端口

集中控制策略(包括备份服务器列表)

4.一旦激活IP Source
guard所有IP流量都被阻止,只允DHCPSnooping允许的DHCP流量。

2.最简单和经常被使用的部署方式是,在ASA的所有接口上都运用入方向的访问控制列表

Primary– 数据库复制

全局访问规则,允许你为入方向流量运用一个全局规则,不需要在每一个接口上运用策略,全局访问规则提供如下好处:

2.全局访问控制策略不会被复制到每一个接口,因此节省内存消耗。

数据完整性验证防止数据被破坏、篡改

3.明确的策略应该运用在接口规则集的前面

不支持威胁检测

当一个用户第一次访问一个需要被认证的资源时,Cisco
ASA会要求这个用户提供用户名和密码。

设置切换到客户端帧重传号(可选)

验证器

–VPN是一种服务,提供安全、可靠的连接在一个共享的公共网络基础设施,如互联网。

2.一个永久的转换槽位是被直接创 建的。

15.0(1)M开始,可以监控相同区
域内接口之间的流量(换句话说,可以做策略了)。

您可以将多个主机的一个802.1x-enabled端口。

–支持的加密和验证

用于控制抵达路由器自身的流量和源自于路由器(自身发起)的流量

加密和哈希算法

传输模式

合计

使用对称加密算法,密钥可能被窃听

1.Object NAT

RADIUS背景

接口访问规则决定哪些“新建连接”能够进入

3.Cisco ASA能够发送用户流量相关信息到审计服务器

ASA连接表(connection table)(初始化流量)

EAP—可扩展认证协议

五,思科ACS服务器的部署

状态化FO链路

定义用来保护数据的安全协议

ASR‐Group工作细节

ODBC-兼容的关系数据库

允许基于802.1X端口认证,您必须启用AAA和指定的身份验证方法列表 。

站点到站点VPN

第一步:初始化路由器

客户端

3.同样可以转换主机到ASA出接口的IP地址

  1. EtherChannel具有load‐balancing和HA功能。

2.1部分              基本Zone间策略

部署Failover的必要条件

步骤6:IKE快速模式完成连接

接口策略:触发FO切换的故障接口数量(默认1个)

支持多个“身份验证”类型:

c.注意:先检查ACL后检查监控策略,如果ACL没有放行,也就没有必要监控。

IPSec配置任务

802.1x基于端口的认证可以减轻流氓设备未经授权访问的风险。

–任务3:安装Cisco Secure ACS在Windows 2000 Server系统的Windows服务器。

Cisco VPN Client规格

注意:负载均衡是通过相邻的路由器来实现的.

a.至少要deny返回流量。

思科安全ACS Windows服务器:使用的数据库服务器

4.在冗余接口下可以执行所有的接口配置

2.最简单和经常被使用的部署方式是,在ASA的所有接
口上都运用入方向的访问控制列表

如果Secondary设备启动时,没有检测到Primary设备,它将变为active.

ASA上的EtherChannel

状态

思科安全ACS服务器:支持令牌卡

用户必须使用HTTP,HTTPS,FTP或者TELNET去访问资源以触发认证。

说明

解密函数

状态化的FO:

IKE(Internet Key Exchange)因特网密钥交换

接口访问控制规则的方向(1)

当一个ASA启动的时候,它就开始了一个选举的进程

传输模式

Failover的链路类型

只加密数据包中的帐户名、密码

–支持密钥管理技术

TCP规范化只能在全局调整,针对所有的流量。

HMACHMAC

设置预共享密钥和Crypto ACL

任务2:配置IKE参数。

用户输入用户名/密码组合。

下载新的软件到两个设备并且指定加载新的镜像

Zone-base Policy Firewall同样能够状态化追踪这些会话

– PEAP

非对称加密算法的原理

–csauth提供认证服务。

不支持VPN

定义传输模式

Per VLAN每个vlan

BPDU过滤指定要在收到

改变切换到客户端的重传时间(可选)

(一个组真实地址映射到一个使用唯一源端口的映射地址)

Cisco Secure ACS的Windows服务器具有以下特点:

问题

– 查看用户登录列表的能力

在相关接口,被访问控制规则控制的所有流量

–任务1:配置Windows 2000 Server系统。

使用非对称加密算法,计算复杂,效率太低,影响传输速度

当你想要静态转换整个本地网络到全局网络并且使用单一的NAT条目的时候可以使用网络静态NAT

总是有一个隐含的class,被称  为class-default,在每一个policy
map中作为最后一个class。

UDLD和环路保护配置和使用特定的命令进行验证。

Self Zone监控

ESP只对IP数据的有效载荷进行验证,不包括外部的IP包头

Vpn的类型

– 网络访问过滤(NaF)

整包加密

步骤2:配置IKE PSK。

目的WEB服务器需要使用不同的用户数据库来实现认证

(默认认证政策)对于未经身份验证的设备,基本的网络服务许可证

防火墙从6.x版本升级到7.0版本引入的新特性

管理连接端口号为UDP 500

关键是一个字符串,必须匹配的加密密钥,用于在RADIUS erver