Pages

Monday, August 18, 2008

Extraindo conteúdo de arquivos rpm

Esta dica é meio útil as vezes.... já tive a necessidade de extrair algum arquivo de dentro de um arquivo .rpm .

O processo é simples e utiliza o cpio.

rpm2cpio pacote.rpm | cpio -idmv


Feito isso, você pode verificar no diretório que está os novos arquivos presentes, são os arquivos do rpm.

Para melhor organizar, crie um diretório antes de extrair e copie o arquivo rpm para dentro dele, só então faça a extração.

Valeu!!
Posted by at No comments:
Labels: ,

Sunday, August 17, 2008

Habilitando SSH no appliance Cisco ASA

Para ter uma conexão remota e segura ao equipamento é preciso habilitar o serviço SSH em vez de utilizar o telnet.

Os passos abaixo servem de auxílio para a ativação do serviço.

Criar a chave

asa# conf t
asa(config)# crypto key generate rsa general-keys modulus 2048


Ativar o ssh em sí para a interface desejada e/ou para o endereço IP desejado, neste caso estamos liberando o acesso a partir de qualquer endereço IP vindo da interface outside.

asa# conf t
asa(config)# ssh 0.0.0.0 0.0.0.0 outside


Criar um usuário na database local do equipamento para a conexão

asa# conf t
asa(config)# username secureuser password 123456 privilege 15


Ativar AAA para autenticação do ssh via database local

asa# conf t
asa(config)# aaa authentication ssh console LOCAL


Feito isso, pode-se abrir uma conexão através do Putty ou via linha de comando linux para o ASA.
Posted by at No comments:
Labels:

Wednesday, August 13, 2008

VPN Site-to-Site IPSec entre Cisco ASA e Linux

Este howto explica como configurar uma conexão VPN site-to-site entre um equipamento Cisco ASA 5510 e uma máquina Linux. Ambos os sites tem que ter IP fixo neste exemplo.

Softwares utilizados:
ASA: asa803-k8.bin


Linux: OpenSuse 11 e pacote openswan (da prória distribuição)


A topologia do ambiente está definido abaixo.



A configuração do openswan é realizada no arquivo /etc/ipsec.conf o conteúdo do arquivo está abaixo, nada mais é necessário para o funcionamento deste exemplo. A criptografia utilizada é 3des-sha.


version 2.0
config setup
interfaces="ipsec0=eth0"
nat_traversal=yes

conn cisco
authby=secret
pfs=yes
auto=start
keyingtries=3
disablearrivalcheck=no
#IPsec Params
type=tunnel
auth=esp
compress=no
keylife=60m
#IKE params
keyexchange=ike
ikelifetime=240m
ike=3des-sha1
# Left security gateway (lado do linux)
left=192.168.2.245
leftsubnet=192.168.10.0/24
leftnexthop=192.168.2.244
# Right security gateway, (lado do ASA)
right=192.168.2.244
rightsubnet=192.168.1.0/24
rightnexthop=192.168.2.245
rightsourceip=192.168.2.244



Arquivo /etc/ipsec.secret

# PSK
192.168.2.245 192.168.2.244: PSK "cisco"


Feito isso, é preciso iniciar o serviço.
rcipsec start



Na sequência a configurar do ASA

Configuração relevante do Cisco ASA


interface Ethernet0/0
nameif outside
security-level 0
ip address 192.168.2.244 255.255.255.0
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
!
....
....
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list management_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list outside_1_cryptomap extended permit ip 192.168.1.0 255.255.255.0 192.168.10.0 255.255.255.0
nat (management) 0 access-list management_nat0_outbound
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map outside_map 1 match address outside_1_cryptomap
crypto map outside_map 1 set pfs
crypto map outside_map 1 set peer 192.168.2.245
crypto map outside_map 1 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
no crypto isakmp nat-traversal
tunnel-group 192.168.2.245 type ipsec-l2l
tunnel-group 192.168.2.245 ipsec-attributes
pre-shared-key cisco
!



A partir dai, é só tentar pingar o site remoto a partir dos hosts internos.

PC na rede ASA
ping 192.168.10.2


PC na rede Linux
ping 192.168.1.2



Para verificar se o túnel está UP no ASA

ASA# show isakmp stats
Global IKE Statistics
Active Tunnels: 1
.....


Se correu tudo certo... deve estar funcionando... aqui está :D

Qualquer dúvida entre em contato.

Abraços
Fabio
Posted by at 3 comments:
Labels: , ,
Subscribe to: Posts (Atom)