Cisco PDM Nota: i file di SO dei router e firewall Cisco e piu' in generale i software forniti da Cisco possono non essere scaricabili direttamente dal sito http://www.cisco.com/. Puo' essere necessario avere un accesso CCO o un contratto con Cisco Systems. Vedi: http://tools.cisco.com/RPF/register/register.do . !!!Importante: le operazioni indicate in queste pagine andrebbero fatte da personale esperto. Se non avete adeguata esperienza rivolgetevi ad un tecnico certificato Cisco. Errori apparentemente banali possono richiedere del tempo per il ripristino della macchina e causare anche la perdita della configurazione!!! Configurazione di base di un Cisco PIX con failover La configurazione di base puo' essere automatizzata in alcuni suoi passi in base a quanto indicato nel paragrafo successivo. 1. Collegarsi tramite la porta console al Cisco PIX utilizzando il cavo in dotazione. Se il pc non e' provvisto di ingresso seriale utilizzare un convertitore USB/Seriale non fornito; 2. La configurazione che segue va cosi' interpretata: a) La parte in giallo permette di accedere dalla WAN alla rete INSIDE in base a quanto indicato nell'ACL 101; Il NAT e' disabilitato per tutti. Tutti gli indirizzi utilizzati in questa configurazione di esempio sono IP pubblici; b) La parte in azzurro serve per attivare la DMZ; c) La parte in verde serve per far comunicare la DMZ con la INSIDE in base a quanto indicato nell'ACL 102; pix# sh run PIX Version 6.3(1) interface ethernet0 auto interface ethernet1 auto interface ethernet2 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 enable password FFZuDOkjB3b505rt encrypted passwd zxJKWqR3LkHVvfNc encrypted hostname pix domain-name gianrico ...snip... names access-list 101 remark --- PROTEZIONI --- access-list 101 remark --- ABILITA PING --- access-list 101 permit icmp any any echo-reply access-list 101 permit icmp any any source-quench access-list 101 permit icmp any any unreachable access-list 101 permit icmp any any time-exceeded access-list 101 permit icmp any any echo access-list 101 remark --- PROTEZIONE SERVER SHARED HOSTING --- access-list 101 permit tcp any host 172.92.121.1 eq www access-list 101 remark --- PROTEZIONE SERVER HOUSING/CO-LOCATION/APPLICATION HOSTING --- access-list 101 permit tcp any host 172.92.122.1 eq www access-list 101 permit tcp any host 172.92.122.233 eq 3389 access-list 101 deny ip any any : L'access-list 102 serve SOLO se ci sono passaggi dalla DMZ verso al INSIDE access-list 102 remark --- PROTEZIONI --- access-list 102 remark --- ABILITA PING --- access-list 102 permit icmp any any echo-reply access-list 102 permit icmp any any source-quench access-list 102 permit icmp any any unreachable access-list 102 permit icmp any any time-exceeded access-list 102 permit icmp any any echo : Questo e' l'accesso permesso dalla DMZ verso la INSIDE access-list 102 permit tcp any host 172.92.121.202 eq https : Bisogna esplicitamente permettere dall'interno verso l'esterno per far navigare su : Internet le macchine della DMZ, senza farle andare verso la INSIDE access-list 102 deny ip 172.92.122.0 255.255.255.0 172.92.121.0 255.255.255.0 access-list 102 permit ip 172.92.122.0 255.255.255.0 any access-list 102 deny ip any any ...snip... ip address outside 172.92.120.11 255.255.255.224 ip address inside 172.92.121.231 255.255.255.0 ip address dmz 172.92.122.231 255.255.255.0 : In questo esempio abbiamo un secondo PIX in standby failover failover timeout 0:00:00 failover poll 15 : Questi indirizzi IP vengono assegnati al PIX che e' in standby failover ip address outside 172.92.120.12 failover ip address inside 172.92.121.232 failover ip address dmz 172.92.122.232 failover lan unit primary ...snip... nat (inside) 0 172.92.121.0 255.255.255.0 0 0 nat (dmz) 0 172.92.122.0 255.255.255.0 0 0 static (dmz,outside) 172.92.122.0 172.92.122.0 netmask 255.255.255.0 0 0 static (inside,outside) 172.92.121.0 172.92.121.0 netmask 255.255.255.0 0 0 :La static a seguire serve solo se ci deve essere passaggio di dati dalla DMZ verso la inside static (inside,dmz) 172.92.121.0 172.92.121.0 netmask 255.255.255.0 0 0 access-group 101 in interface outside : L'access-list 102 serve SOLO se bisogna aprire canali dalla DMZ verso la INSIDE access-group 102 in interface dmz route outside 0.0.0.0 0.0.0.0 172.92.120.3 1 ...snip... : accesso ssh ssh MIOIPESTERNO 255.255.255.224 outside ssh timeout 5 ...snip... pix# show failover Failover On Cable status: Normal Reconnect timeout 0:00:00 Poll frequency 15 seconds This host: Primary - Active Active time: 66930 (sec) Interface outside (172.92.120.11): Normal Interface inside (172.92.121.231): Normal Interface dmz (172.92.122.231): Normal Other host: Secondary - Standby Active time: 0 (sec) Interface outside (172.92.120.12): Normal Interface inside (172.92.121.232): Normal Interface dmz (172.92.122.232): Normal Stateful Failover Logical Update Statistics Link : Unconfigured. Cisco PIX Device Manager I sistemi operativi della Cisco offrono una flessibilita' e un set di comandi che permette di fare praticamente di tutto. Il successo dei router Cisco e' cosi' dovuto anche all'IOS, e, nel caso del Cisco PIX, al Cisco Secure Software. Non sono di apprendimento immediato ma consentono di fare di tutto. E' un po' come quando si programmava in C o Assembler. Il tempo di apprendimento non era certamente di pochi giorni ma la flessibilita' risultante consentiva di avere uno strapotere sulla macchina riuscendo a fare di tutto. Ma i sistemi si sviluppano e si complicano e pochi di questi smanettoni non usano adesso un Visual C++ o un'interfaccia a finestre per gcc. In ogni caso anche Cisco offre degli strumenti di configurazione visuale che semplificano notevolmente il lavoro del sistemista. Se non avete a disposizione i soldi per comprarvi il meglio, ovvero il CSPM (Cisco Secure Policy Manager), non venduto piu' come prodotto singolo ma incluso in CiscoWorks VPN/Security Management Solution, potete ricevere un aiuto non indifferente da PDM, assolutamente gratuito e 'di serie' sui PIX. CiscoWorks e' soluzione di alto profilo dato da Cisco per la configurazione e il monitoring di tutti i suoi apparati di rete. Ha un costo relativamente alto e viene utilizzato solo in reti medio/grandi o molto elaborate. Se volete partire 'da zero' potete cancellare il file di configurazione del vostro pix col comando "write erase". CANCELLAZIONE DEL FILE DI CONFIGURAZIONE: pixfirewall# show flash flash file system: version:3 magic:0x12345679 file 0: origin: 0 length:1966136 file 1: origin: 2097152 length:1851 <---------- questo e' il file di configurazione file 2: origin: 0 length:0 file 3: origin: 2228224 length:3123604 file 4: origin: 0 length:0 file 5: origin: 7864320 length:308 pixfirewall# write erase Erase PIX configuration in flash memory? [confirm] pixfirewall# show flash flash file system: version:3 magic:0x12345679 file 0: origin: 0 length:1966136 file 1: origin: 2097152 length:0 <--------- file 2: origin: 0 length:0 file 3: origin: 2228224 length:3123604 file 4: origin: 0 length:0 file 5: origin: 7864320 length:308 Nel nostro caso partiremo da una configurazione di base tipo, con dhcp e nat configurati. Cisco PDM e' un tool che si utilizza da web tramite browser. Un piccolo server web con le pagine html e' gestito all'interno del PIX e le pagine del sito web sono nella flash. All'atto di acquisto di PIX dovrebbe gia' essere installato. Prima di poter utilizzare il PDM si deve preconfigurare PIX. Collegarsi col cavo di consolle al Cisco PIX, utilizzando il programma Hyperterminal di Windows o un qualsiasi altro programma di terminale (con velocita' 9600bps). Eseguire quindi la sequenza di comandi indicata in neretto: pixfirewall> enable pixfirewall# conf t pixfirewall(config)# setup Pre-configure PIX Firewall now through interactive prompts [yes]? Enable password [<use current password>]: itesys Clock (UTC): Year [2005]: Month [Mar]: Day [3]: Time [09:31:31]: Inside IP address [192.168.1.1]: <---- Inserite qui l'ip (inside) che volete assegnare al pix Inside network mask [255.255.255.0]: Host name [pixfirewall]: Domain name: test IP address of host running PIX Device Manager: 192.168.1.2 <---- ip del PC dove si usera' PDM The following configuration will be used: Enable password: itesys <---- Questa password vi servira' per l'accesso da WEB Clock (UTC): 09:31:31 Mar 3 2005 Inside IP address: 192.168.1.1 Inside network mask: 255.255.255.0 Host name: pixfirewall Domain name: test IP address of host running PIX Device Manager: 192.168.1.1 Use this configuration and write to flash? yes Building configuration... Cryptochecksum: 33191bc9 8e7e42dd 5ed29483 dbd0d4cb [OK] A questo punto Cisco PIX avra' una configurazione tale da consentirme l'amministrazione da PDM. Colleghiamo il pc e accediamo al PDM tramite https://192.168.1.1/. Aggiornamento PDM Se avete una versione di Cisco Secure vecchiotta potreste ritrovarmi il PDM versione 1.1: Questa versione e' ormai datata. Per fare l'aggiornamento dovete scaricare dal sito della Cisco il file di PDM piu' recente a disposizione. Nel nostro caso abbiamo prelevato pdm-301.bin. Per fare questo dovete avere un accesso al sito Cisco con privilegi tali da consentirvi questa operazione. Avviate un server tftp (nella figura PumpKin) e da console (o telnet o ssh) inserite su cisco PIX il comando: copy tftp flash:pdm Accesso al PDM Inserite nel vostro browser https://192.168.1.1 (o l'ip che avete assegnato al PIX). Alla richiesta di nome utente e password inserite solo la password, che avete gia' scelto al setup: Alla richiesta di installazione del certificato scegliete SI: PDM con Cisco PIX non preconfigurato Se Cisco PIX ha una preconfigurazione generata dal comando setup e non aveva una configurazione preesistente il PDM fa partire un wizard che consente la configurazione "da zero" di Cisco PIX. Nel caso in cui utilizziamo PDM su un Cisco PIX gia' configurato il Wizard non c'e' e vale il paragrafo successivo. Ecco il settaggio delle password e dell'host-name: Segue l'interfacciamento dell'interfaccia ethernet "Outside" ovvero sulla rete pubblica: A seguire le altre interfacce, ovvero solo la 'inside' nel caso di un PIX a due Ethernet: Segue la configurazione del NAT/PAT. In una configurazione di base si usa l'IP della interfaccia 'Outside': Configurazione del DHCP: Finito il wizard abbiamo una configurazione di base per il PIX. Ecco le varie sezioni di PDM. Monitoring: Regole: NAT/PAT: VPN: Topologia di rete, posizionamento delle reti: Dettaglio configurazione del sistema: PDM con Cisco PIX preconfigurato Supponiamo di avere un Cisco PIX gia' configurato. Ecco ad esempio un PIX con NAT e DHCP: pixfirewall# pixfirewall# sh run : Save : PIX Version 6.3(4) interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside dhcp setroute ip address inside 192.168.1.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm logging informational 100 pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 0 0 timeout xlate 0:05:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local http server enable http 192.168.1.2 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd address 192.168.1.2-192.168.1.254 inside dhcpd lease 3600 dhcpd ping_timeout 750 dhcpd auto_config outside dhcpd enable inside terminal width 80 Cryptochecksum:01e6b0e44e563b05713f738d60fc73fb : end pixfirewall# In questo caso PDM 'assorbe' la configurazione e non appare il Wizard. Ecco le schermate di PDM: Il browser in uso non supporta frame non ancorati oppure è configurato in modo che i frame non ancorati non siano visualizzati. Il browser in uso non supporta frame non ancorati oppure è configurato in modo che i frame non ancorati non siano visualizzati. Il browser in uso non supporta frame non ancorati oppure è configurato in modo che i frame non ancorati non siano visualizzati. Il browser in uso non supporta frame non ancorati oppure è configurato in modo che i frame non ancorati non siano visualizzati. Il browser in uso non supporta frame non ancorati oppure è configurato in modo che i frame non ancorati non siano visualizzati. Il browser in uso non supporta frame non ancorati oppure è configurato in modo che i frame non ancorati non siano visualizzati. Affinche' il nostro PIX funzioni per far navigare su internet manca il routing di default. Ecco come fare: Il browser in uso non supporta frame non ancorati oppure è configurato in modo che i frame non ancorati non siano visualizzati. Beta 0.9 02/02/2005 Altre letture Consiglio di consultare l’enorme documentazione disponibile on-line nel sito della cisco http://www.cisco.com/. E’ possibile trovare sempre tutto cio’ che si cerca. Leggete anche i TIPS di questo sito web *Copyright 2002-2004 Gianrico Fichera – ITESYS srl –* Il materiale di questa pagina non e’ sponsorizzato o sottoscritto da Cisco Systems, Inc. Ciscoâ e’ un trademark di Cisco Systems, Inc. negli Stati Uniti e in altri stati. L’autore di questa pagina non si assume nessuna responsabilita’ e non da nessuna garanzia riguardante l’accuratezza e la completezza delle informazioni presenti nonche’ da conseguenze sull’uso delle informazioni presenti in questa pagina. Il sito web ufficiale della Cisco e’ http://www.cisco.com/. Nel caso si volesse utilizzare il contenuto di questa pagina nella forma in cui e’ presentato rivolgersi all’autore scrivendo a gianrico.fichera itesys.it.
This material is not sponsored by, endorsed by, or affiliated with Cisco Systems, Inc., Cisco, Cisco Systems, and the Cisco Systems logo are trademarks or registered trade marks of Cisco Systems, Inc. or its affiliates. All other trademarks are trademarks of their respective owners.

Cisco PDM

Nota: i file di SO dei router e firewall Cisco e piu' in generale i software forniti da Cisco possono non essere scaricabili direttamente dal sito http://www.cisco.com/. Puo' essere necessario avere un accesso CCO o un contratto con Cisco Systems. Vedi: http://tools.cisco.com/RPF/register/register.do .

!!!Importante: le operazioni indicate in queste pagine andrebbero fatte da personale esperto. Se non avete adeguata esperienza rivolgetevi ad un tecnico certificato Cisco. Errori apparentemente banali possono richiedere del tempo per il ripristino della macchina e causare anche la perdita della configurazione!!!

Configurazione di base di un Cisco PIX con failover

La configurazione di base puo' essere automatizzata in alcuni suoi passi in base a quanto indicato nel paragrafo successivo.

1. Collegarsi tramite la porta console al Cisco PIX utilizzando il cavo in dotazione. Se il pc non e' provvisto di ingresso seriale utilizzare un convertitore USB/Seriale non fornito;

2. La configurazione che segue va cosi' interpretata:

a) La parte in giallo permette di accedere dalla WAN alla rete INSIDE in base a quanto indicato nell'ACL 101;
Il NAT e' disabilitato per tutti. Tutti gli indirizzi utilizzati in questa configurazione di esempio sono IP pubblici;

b) La parte in azzurro serve per attivare la DMZ;

c) La parte in verde serve per far comunicare la DMZ con la INSIDE in base a quanto indicato nell'ACL 102;

pix# sh run
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
enable password FFZuDOkjB3b505rt encrypted
passwd zxJKWqR3LkHVvfNc encrypted
hostname pix
domain-name gianrico
...snip...
names
access-list 101 remark --- PROTEZIONI ---
access-list 101 remark --- ABILITA PING ---
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any source-quench
access-list 101 permit icmp any any unreachable
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any echo
access-list 101 remark --- PROTEZIONE SERVER SHARED HOSTING ---
access-list 101 permit tcp any host 172.92.121.1 eq www
access-list 101 remark --- PROTEZIONE SERVER HOUSING/CO-LOCATION/APPLICATION HOSTING ---
access-list 101 permit tcp any host 172.92.122.1 eq www
access-list 101 permit tcp any host 172.92.122.233 eq 3389
access-list 101 deny ip any any
: L'access-list 102 serve SOLO se ci sono passaggi dalla DMZ verso al INSIDE
access-list 102 remark --- PROTEZIONI ---
access-list 102 remark --- ABILITA PING ---
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any source-quench
access-list 102 permit icmp any any unreachable
access-list 102 permit icmp any any time-exceeded
access-list 102 permit icmp any any echo
: Questo e' l'accesso permesso dalla DMZ verso la INSIDE
access-list 102 permit tcp any host 172.92.121.202 eq https
: Bisogna esplicitamente permettere dall'interno verso l'esterno per far navigare su
: Internet le macchine della DMZ, senza farle andare verso la INSIDE
access-list 102 deny ip 172.92.122.0 255.255.255.0 172.92.121.0 255.255.255.0
access-list 102 permit ip 172.92.122.0 255.255.255.0 any
access-list 102 deny ip any any
...snip...
ip address outside 172.92.120.11 255.255.255.224
ip address inside 172.92.121.231 255.255.255.0
ip address dmz 172.92.122.231 255.255.255.0
: In questo esempio abbiamo un secondo PIX in standby
failover
failover timeout 0:00:00
failover poll 15
: Questi indirizzi IP vengono assegnati al PIX che e' in standby
failover ip address outside 172.92.120.12
failover ip address inside 172.92.121.232
failover ip address dmz 172.92.122.232
failover lan unit primary
...snip...
nat (inside) 0 172.92.121.0 255.255.255.0 0 0
nat (dmz) 0 172.92.122.0 255.255.255.0 0 0
static (dmz,outside) 172.92.122.0 172.92.122.0 netmask 255.255.255.0 0 0
static (inside,outside) 172.92.121.0 172.92.121.0 netmask 255.255.255.0 0 0
:La static a seguire serve solo se ci deve essere passaggio di dati dalla DMZ verso la inside
static (inside,dmz) 172.92.121.0 172.92.121.0 netmask 255.255.255.0 0 0
access-group 101 in interface outside
: L'access-list 102 serve SOLO se bisogna aprire canali dalla DMZ verso la INSIDE
access-group 102 in interface dmz
route outside 0.0.0.0 0.0.0.0 172.92.120.3 1
...snip...
: accesso ssh
ssh MIOIPESTERNO 255.255.255.224 outside
ssh timeout 5
...snip...

pix#   show failover
Failover On
Cable status: Normal
Reconnect timeout 0:00:00
Poll frequency 15 seconds
        This host: Primary - Active
                Active time: 66930 (sec)
                Interface outside (172.92.120.11): Normal
                Interface inside (172.92.121.231): Normal
                Interface dmz (172.92.122.231): Normal
        Other host: Secondary - Standby
                Active time: 0 (sec)
                Interface outside (172.92.120.12): Normal
                Interface inside (172.92.121.232): Normal
                Interface dmz (172.92.122.232): Normal

Stateful Failover Logical Update Statistics
        Link : Unconfigured.

Cisco PIX Device Manager

I sistemi operativi della Cisco offrono una flessibilita' e un set di comandi che permette di fare praticamente di tutto. Il successo dei router Cisco e' cosi' dovuto anche all'IOS, e, nel caso del Cisco PIX, al Cisco Secure Software. Non sono di apprendimento immediato ma consentono di fare di tutto. E' un po' come quando si programmava in C o Assembler. Il tempo di apprendimento non era certamente di pochi giorni ma la flessibilita' risultante consentiva di avere uno strapotere sulla macchina riuscendo a fare di tutto. Ma i sistemi si sviluppano e si complicano e pochi di questi smanettoni non usano adesso un Visual C++ o un'interfaccia a finestre per gcc.

In ogni caso anche Cisco offre degli strumenti di configurazione visuale che semplificano notevolmente il lavoro del sistemista. Se non avete a disposizione i soldi per comprarvi il meglio, ovvero il CSPM (Cisco Secure Policy Manager), non venduto piu' come prodotto singolo ma incluso in CiscoWorks VPN/Security Management Solution, potete ricevere un aiuto non indifferente da PDM, assolutamente gratuito e 'di serie' sui PIX.

CiscoWorks e' soluzione di alto profilo dato da Cisco per la configurazione e il monitoring di tutti i suoi apparati di rete. Ha un costo relativamente alto e viene utilizzato solo in reti medio/grandi o molto elaborate.

Se volete partire 'da zero' potete cancellare il file di configurazione del vostro pix col comando "write erase".

CANCELLAZIONE DEL FILE DI CONFIGURAZIONE:

pixfirewall# show flash
flash file system: version:3 magic:0x12345679
file 0: origin: 0 length:1966136
file 1: origin: 2097152 length:1851   <---------- questo e' il file di configurazione
file 2: origin: 0 length:0
file 3: origin: 2228224 length:3123604
file 4: origin: 0 length:0
file 5: origin: 7864320 length:308
pixfirewall# write erase
Erase PIX configuration in flash memory? [confirm]
pixfirewall# show flash
flash file system: version:3 magic:0x12345679
file 0: origin: 0 length:1966136
file 1: origin: 2097152 length:0     <---------
file 2: origin: 0 length:0
file 3: origin: 2228224 length:3123604
file 4: origin: 0 length:0
file 5: origin: 7864320 length:308

Nel nostro caso partiremo da una configurazione di base tipo, con dhcp e nat configurati. Cisco PDM e' un tool che si utilizza da web tramite browser. Un piccolo server web con le pagine html e' gestito all'interno del PIX e le pagine del sito web sono nella flash. All'atto di acquisto di PIX dovrebbe gia' essere installato. Prima di poter utilizzare il PDM si deve preconfigurare PIX. Collegarsi col cavo di consolle al Cisco PIX, utilizzando il programma Hyperterminal di Windows o un qualsiasi altro programma di terminale (con velocita' 9600bps). Eseguire quindi la sequenza di comandi indicata in neretto:

pixfirewall> enable
pixfirewall# conf t
pixfirewall(config)# setup
Pre-configure PIX Firewall now through interactive prompts [yes]?
Enable password [<use current password>]: itesys
Clock (UTC):
Year [2005]:
Month [Mar]:
Day [3]:
Time [09:31:31]:
Inside IP address [192.168.1.1]:  <---- Inserite qui l'ip (inside) che volete assegnare al pix 
Inside network mask [255.255.255.0]:
Host name [pixfirewall]:
Domain name: test
IP address of host running PIX Device Manager: 192.168.1.2 <---- ip del PC dove si usera' PDM

The following configuration will be used:
Enable password: itesys  <---- Questa password vi servira' per l'accesso da WEB
Clock (UTC): 09:31:31 Mar 3 2005
Inside IP address: 192.168.1.1
Inside network mask: 255.255.255.0
Host name: pixfirewall
Domain name: test
IP address of host running PIX Device Manager: 192.168.1.1

Use this configuration and write to flash? yes
Building configuration...
Cryptochecksum: 33191bc9 8e7e42dd 5ed29483 dbd0d4cb
[OK]

A questo punto Cisco PIX avra' una configurazione tale da consentirme l'amministrazione da PDM.

Colleghiamo il pc e accediamo al PDM tramite https://192.168.1.1/.

Aggiornamento PDM

Se avete una versione di Cisco Secure vecchiotta potreste ritrovarmi il PDM versione 1.1:

  Questa versione e' ormai datata. Per fare l'aggiornamento dovete scaricare dal sito della Cisco il file di PDM piu' recente
a disposizione. Nel nostro caso abbiamo prelevato pdm-301.bin. Per fare questo dovete avere un accesso al sito Cisco
con privilegi tali da consentirvi questa operazione. 
  Avviate un server tftp (nella figura PumpKin) e da console (o telnet o ssh) inserite su cisco PIX il comando:

copy tftp flash:pdm

 
Accesso al PDM

  Inserite nel vostro browser https://192.168.1.1 (o l'ip che avete assegnato al PIX). Alla richiesta di nome utente e 
password inserite solo la password, che avete gia' scelto al setup:

Alla richiesta di installazione del certificato scegliete SI:

PDM con Cisco PIX non preconfigurato

Se Cisco PIX ha una preconfigurazione generata dal comando setup e non aveva una configurazione preesistente
 il PDM fa partire un wizard che consente la configurazione "da zero" di Cisco PIX. Nel caso in cui utilizziamo PDM
su un Cisco PIX gia' configurato il Wizard non c'e' e vale il paragrafo successivo.

 Ecco il settaggio delle password e dell'host-name:

 Segue l'interfacciamento dell'interfaccia ethernet "Outside" ovvero sulla rete pubblica:

 A seguire le altre interfacce, ovvero solo la 'inside' nel caso di un PIX a due Ethernet:

 Segue la configurazione del NAT/PAT. In una configurazione di base si usa l'IP della 
interfaccia 'Outside':

 Configurazione del DHCP:

 Finito il wizard abbiamo una configurazione di base per il PIX. Ecco le varie sezioni 
di PDM. Monitoring:

 Regole:

 NAT/PAT:

 VPN:

 Topologia di rete, posizionamento delle reti:

 Dettaglio configurazione del sistema:

PDM con Cisco PIX  preconfigurato

Supponiamo di avere un Cisco PIX gia' configurato. Ecco ad esempio un PIX con NAT e DHCP:

pixfirewall#
pixfirewall# sh run
: Save
:
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.2 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
terminal width 80
Cryptochecksum:01e6b0e44e563b05713f738d60fc73fb
: end
pixfirewall#

In questo caso PDM 'assorbe' la configurazione e non appare il Wizard. Ecco le schermate di PDM:

Il browser in uso non supporta frame non ancorati oppure è configurato in modo che i frame non ancorati non siano visualizzati.

Il browser in uso non supporta frame non ancorati oppure è configurato in modo che i frame non ancorati non siano visualizzati.

Il browser in uso non supporta frame non ancorati oppure è configurato in modo che i frame non ancorati non siano visualizzati.

Il browser in uso non supporta frame non ancorati oppure è configurato in modo che i frame non ancorati non siano visualizzati.

Il browser in uso non supporta frame non ancorati oppure è configurato in modo che i frame non ancorati non siano visualizzati.

Il browser in uso non supporta frame non ancorati oppure è configurato in modo che i frame non ancorati non siano visualizzati.

Affinche' il nostro PIX funzioni per far navigare su internet manca il routing di default. Ecco come fare:

Il browser in uso non supporta frame non ancorati oppure è configurato in modo che i frame non ancorati non siano visualizzati.

Beta 0.9 02/02/2005

Altre letture

Consiglio di consultare l’enorme documentazione disponibile on-line nel sito della cisco http://www.cisco.com/. E’ possibile trovare sempre tutto cio’ che si cerca. Leggete anche i TIPS di questo sito web

Il materiale di questa pagina non e’ sponsorizzato o sottoscritto da Cisco Systems, Inc. Ciscoâ e’ un trademark di Cisco Systems, Inc. negli Stati Uniti e in altri stati. L’autore di questa pagina non si assume nessuna responsabilita’ e non da nessuna garanzia riguardante l’accuratezza e la completezza delle informazioni presenti nonche’ da conseguenze sull’uso delle informazioni presenti in questa pagina.
Il sito web ufficiale della Cisco e’ http://www.cisco.com/. Nel caso si volesse utilizzare il contenuto di questa pagina nella forma in cui e’ presentato rivolgersi all’autore scrivendo a gianrico.fichera itesys.it.

This material is not sponsored by, endorsed by, or affiliated with Cisco Systems, Inc., Cisco, Cisco Systems, and the Cisco Systems logo are trademarks or registered trade marks of Cisco Systems, Inc. or its affiliates. All other trademarks are trademarks of their respective owners.