SSH доступ к CISCO ASA 5505

on 7/13/2012 11:30:00 AM in
Коротко о важном.
шаг 1 Генерируется ключи RSA необходимые для SSH:
ciscoasa(config)# crypto key generate rsa modulus 
{512|768|1024|2048}
шаг 2 Сбрасываем RSA ключи в постоянную флэш память устройства:
ciscoasa(config)# write mem
шаг 3 Указываем адреса либо подсети с которых будут приниматься соединения:
ciscoasa(config)# ssh 192.168.100.0 255.255.255.0 inside
ciscoasa(config)# ssh 192.168.13.13 255.255.255.255 inside
шаг 4 (Выборочно) По умолчанию поддерживаются обе версии протокола. В случае если есть желание выбрать только один:
ciscoasa(config)# ssh version {1|2}
шаг 5 (Выборочно)Выставляется продолжительность бездействия SSH сессии в минутах:
ciscoasa(config)# ssh timeout 5
шаг 6 Важный момент. Инструктируем железку разрешать проверку подлинности для SSH соединений к локальной базе. Без этого все выше проделанное не имеет смысла:
ciscoasa(config)# aaa authentication ssh console LOCAL
 
Вот и все

Забыл пароль от Cisco ASA 5505

on 7/10/2012 03:03:00 PM in
   Валялся за ненадобностью монстрик цисковский, ASA 5505. Ранее используемый как гейт для офиса, с IPSec туннелем в нагрузку, стал он нынче забытым с переходом на OpenVPN, что потянул за собой некоторые изменения топологии и как следствие списавший циску в хлам, забавно, с людьми тоже такое бывает)). И все бы хорошо если не неугомонные деятели в корпусе управленцев. Решили переехать на циски, во главе с HQ и филиалами, и соответственно заюзать везде IPSec. Я влюблен в циску, безусловно, но я в люблен и в OpenVPN, со своим вездесущим udp туннелированием, ибо AH заголовок IPSec нередко попадает в мясорубки особо злоебучих фаеров или роутеров. Может это чисто субъективная нелюбовь к шлангам ипсековским, но все что добавляет заголовки дополнительные(а стало быть увеличивая пэйлоад) гуляющим по инету пакетам меня особо не радует, ну да не суть...
   Итак, задача подготовить АСЮ к коронации со всеми сопутствующими плясками. Хвать - а пароль то забылся. Тщетные попытки отковырять его из плесени памяти привело к тому что мне все чаще мерещились яркие картины четвертования на фашистские крестики и анальные дефлерации в особо извращенных формах. От прежнего админа никакой дополнительной инфы не осталось(выручил бы очень енэйбл пассик на консоль, да где ж взять то его). Единственный выход - сбивать на хер пароль!!!
   Что мне нравиться в циске - чумовой суппорт и документирование. Загуглив на предмет "снять пояс верности с АСИ 5505" я попал на весьма удобоваримую статейку с доходчивым инструктажем. Дабы не шуршать впредь(но и надеясь что более мне это не понадобится делать) записываю аккуратно в блокнот.
   Итак, последовательность такова:
шаг 1 Подключаемся к консоли монстрика. Тут следует самому себе     
         напомнить о полезном переходнике USB20 на RS232, так удачно  
         завалявшийся в моих закромах. Правда была небольшая ебля с     
         определением контроллера на семерке, но впредь буду знать что 
         нужные дровишки стоит гуглить по ключевым Prolific USb-toSerial-
         com-Port, PL2303. Подключившись, увидел большой болт в виде    
         запроса пароля в ответ на:        
                             ciscoasa > en
шаг 2 Вырубаем электричество во всем здании, затем подаем питание на устройство))
шаг 3 Во время загрузки жмем на Escape при запросе на ввод ROMMON. 
шаг 4 Далее интереснее. Для того чтобы игнорировать startup конфигурацию при
          перезагрузке вводим команду:
                           rommon #1> confreg
        После этого АСЯ покажет текущее значение регистра конфигурации:
            Current Configuration Register: 0x00000001
             Configuration Summary:
             boot TFTP image, boot default image from Flash on netboot failure
            Do you wish to change this configuration? y/n [n]:
шаг 5 Берем карандаш, вполне подойдет и "Ресничка", и записываем 
         текущее значение, ибо оно понадобиться нам впоследствии.
шаг 6 Далее жмем Y для внесения изменений в том в чем нас попросят.
шаг 7 Тупо херачим Enter-ом для ввода значений по умолчанию за 
         исключением "disable system configuration?" где жмем Y.
шаг 8 Перезагружаем железку командой:
                     rommon #2> boot
         Случится при это то что АСЯ загрузит дефолтный конфиг вместо  
         стартового.
шаг 9 После загрузки смело шагаем в привилегированный режим:
                     ciscoasa> enable
шаг 10 Обойдемся без чезанах при запросе пароля и жмем Enter ибо  
         пассик тута пустой.
шаг 11 Грузим startup конфиг командой:
                     ciscoasa# copy startup-config running-config
шаг 12 Чешем в глобальный конфигурационный режим:
                     ciscoasa# configure terminal
шаг 13 Самый интересный момент(и почему самое приятное у меня   
         связанно с 13?...) - меняем наконец-то пароль:
                     ciscoasa(config)# password password
                     ciscoasa(config)# enable password password
                     ciscoasa(config)# username name password password
шаг 14 Меняем конфигурационный регистр за тем чтобы при следующей  
         перезагрузке грузился startup конфиг:
                     ciscoasa(config)# config-register value
         Где value то самое бережно записанное значение с пролога  
         эпопеи. Дефолтное значение кстати 0x1.
шаг 15 Сохраняем новый пароль в стартап:
                    ciscoasa(config)# copy running-config startup-config

   Откидываемся на спинку стула и медитируем!

Липа отцветает, умирает

on 5/30/2012 01:27:00 AM in
   Пьянящий аромат цветущей липы порадовал меня.сегодня. Этот матовый аромат вечера был сдобрен скромными капельками, предвестниками небесного низвержения. Надеюсь то были серебряники ночной грозы, хочу грозу! Сопутствующий этой феерии легкий ветер распылял по округе щедрый парфюм и наверняка существовали моменты когда самые разные люди забрасывали свои суетливые дела для того чтобы наполнится полной грудью и уловить сквозь рокот машин и всеобщий гам трели сойки и соловья. Почти уверен что в округе находился по крайней мере один человек воспринимающий эти щедроты природы на мой манер. Ну чем не единение через природу?)
   Повторяюсь, но не могу не отметить ценное свойство природных запахов. Иной раз они единственные кто могут оторвать меня от рвущей перепонки музыки, в той же мере как придать усталому и намыленному за день глазу покой и свежесть. Рад что не упустил шанса прогуляться, рад что нашел эту сокровищницу и удержал на миг эту уходящую в следующую весну радость. Поймал себя на мысли что щекочущий внутренности запах не что иное как работа самого искусного закройщика и дизайнера - природы. Этот самый мастер чрезвычайно умело зашивает ноздри невидимой нитью, закупоривая, задерживая, на время звуки, каждой раз новой, увертюры, состоящую из одних запахов, видов, звуков, либо из невероятных комбинациях и оттенков оных. Нет пределов восхищению природным явлениям и проявлениям гения, поскольку нет пределов ума и изобретательности Земли, заключающая в себе все что собственно и может быть названо природой. С сожалением великим отпускал ощущения и не мудрено  - что еще остается ценного кроме того что не может принести разочарование и боль, то что не имеет отношение к роду людскому? Может быть когда то сама жизнь ускользнет душистым запахом липы и в тщетном порыве тела  удержать его еще на миг, последняя мысль будет связанна с тем что невозможно препятствовать бесконечности и наконец признаться что наступил конец в виде кары, либо награды по мере поступков жизненных. Наверно умирать в полном согласии с собой это последний достойный поступок которого можно приравнять к дереву, дому и сыну. Глупым не дано, наверно, остепенится на уровне восхищения и созерцания поскольку они считают правильней расщеплять все происходящее на мелкие частицы, подчиняясь какой-то там логике, систематизации и осмыслению. Вот и меня понесло. Почему то вновь вспомнилось об упущениях всего этого неожиданного и легко находимого, доступного, но и недосягаемого порой. В действительности так оно и есть, но спрашивается на кой хрен думать, когда внутренние состояние, пусть даже отдаленно, но может граничить с гармонией. Действительно упущений очень много. Наверно всякий день в котором есть одно упущение  можно считать прожитым зря. Всякий день в котором не улыбнулся тогда когда была возможность или необходимость, не предложил помощь нуждающему, не выразил теплых чувств близким и пр пр пр пр. Если уж быть честным глупцом, то по крайней мере винить себя стоит во всех упущениях, недочетах. А еще можно вести записи всего того что не успелось/сделалось/сказалось для того чтобы по факту оценить уровень собственной глупости. И получится в итоге один внушительных пропорций том сожалений и утрат. Интересно что проще и разумней - на смертном одре, пребывая в страхе и бессилии полоскать косточки прошедшему времени перебирая хорошее или плохое, либо в пути дописывать страницы так чтобы к концу не осталось места незамеченным терзанием и сожалениям и быть может в таком случае заполучить шанс погаснуть с улыбкой на губах от сорванных и растворяемых в щелочи неизвестного светлых воспоминаниях. Как бы там ни было, наверняка не айс умирать с громоздком талмудом у изголовья. Опять мысли сбились в рой и продолжать нет смысла. Мне остается только прилежно дописать свою страницу книги суетливого и бездарного бытия. Вроде так, хоть чуйка и говорит что это не то что хотел сказать, но все же луче чем ничего...

ЗЫ
Удачи в завтрашнем и всех грядущих боях. Не позволяй унынию сломить тебя до облачения в латы, иначе все зря...

Технологии Blogger.

Copyright © 2012 Чердачек Drakkart'a All rights reserved.