一.概述:
二.測試思路及結論:
a.關閉asa的ftp審查,確認ftp被動模式是否能正常工作
----能正常工作,ftp被動模式都由inside的ftp客戶端主動發起,防火牆不需要放行策略的ftp審查就能正常工作
b.關閉asa的ftp審查,inside路由器作為ftp客戶端設定為主動模式,確認ftp主動模式是否能正常工作
----不能正常工作,通過抓包可以發現,outside介面ftp伺服器收到的ftp客戶端的傳送的ftp應用層的資料中ip沒有被更改,ftp伺服器主動去連線pat之前的位址,導致連線無法建立
----進一步確認了老師講課所說的是正確的
三.測試拓撲:
四.基本配置:
a.ftp伺服器
ip:202.100.1.1/24
開啟3cdamon,並配置ftp伺服器
b.asa842防火牆:
①介面配置
inte***ce gigabitethernet0
nameif outside
security-level 0
ip address 202.100.1.10 255.255.255.0
no shut
inte***ce gigabitethernet1
nameif inside
security-level 100
ip address 10.1.1.10 255.255.255.0
no shut、
②全域性policy map修改:
----關閉ftp審查,並且啟用icmp審查
policy-map global_policy
class inspection_default
no inspect ftp
inspect icmp
③pat配置:
object network inside_net
subnet 10.1.1.0 255.255.255.0
nat (inside,outside) dynamic inte***ce
c.inside路由器:
①介面配置:
inte***ce ethernet0/0
ip address 10.1.1.1 255.255.255.0
no shut
②預設路由配置:
ip route 0.0.0.0 0.0.0.0 10.1.1.10
③ftp使用者名稱和密碼配置:
ip ftp username xll
ip ftp password 1234qwer,
五.測試步驟:
a.關閉ftp審查後,被動ftp能正常工作
①被動ftp能正常傳檔案
inside#copy ftp: flash:
address or name of remote host [202.100.1.1]?
source filename [202.100.1.1]? xx.txt
destination filename [xx.txt]?
%warning:there is a file already existing with this name
do you want to over write? [confirm]
accessing
erase flash: before copying? [confirm]
erasing the flash filesystem will remove all files! continue? [confirm]
erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased
erase of flash: complete
loading xx.txt
[ok - 24/4096 bytes]
verifying checksum... ok (0x8a8a)
24 bytes copied in 6.820 secs (4 bytes/sec)
inside#
②inside路由器介面抓包:
③outside介面ftp伺服器上面抓包:
b.關閉ftp審查後,主動ftp不能正常工作:
①inside路由器設定ftp客戶端為主動模式:
(config)#no ip ftp passive
②主動ftp無法正常工作:
inside#copy ftp: flash:
address or name of remote host [202.100.1.1]?
source filename [202.100.1.1]? xx.txt
destination filename [xx.txt]?
%warning:there is a file already existing with this name
do you want to over write? [confirm]
accessing
③inside路由器介面抓包:
④outside的ftp伺服器抓包:
---從抓包中,確實可以看到,如果不開啟ftp審查的話,asa不會修改ftp應用層的ip位址,因為ftp伺服器收到ftp客戶端告訴給它的位址為內網pat前的位址,導致ftp伺服器無法連線。
c.開啟ftp審查後,被動ftp能正常工作:
①asa防火牆開啟ftp審查:
policy-map global_policy
class inspection_default
inspect ftp
②被動ftp能正常工作:
inside#copy ftp: flash:
address or name of remote host ? 202.100.1.1
source filename ? xx.txt
destination filename [xx.txt]?
%warning:there is a file already existing with this name
do you want to over write? [confirm]
accessing
erase flash: before copying? [confirm]
erasing the flash filesystem will remove all files! continue? [confirm]
erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased
erase of flash: complete
loading xx.txt
[ok - 24/4096 bytes]
verifying checksum... ok (0x8a8a)
24 bytes copied in 1.788 secs (13 bytes/sec)
③inside路由器介面抓包:
④outside的ftp伺服器抓包:
----從抓包介面來看,確實因為開啟ftp審查,asa修改了ftp應用層的資料,將ip位址和埠進行了修改。
ASA對TCP序列號擾亂測試
一.概述 聽了yeslab的秦珂老師的asa的課程,講到asa對tcp的隨機初始化序列號擾亂功能,於是搭建環境進行測試,發現其實不僅對tcp初始化的序列號進行擾亂,對後續的tcp包序列號也會進行擾亂。後記 聽了後面的教程,才知道之所以叫初始化序列號擾亂,是因為後續的變化都基於初始的序列號之上的,比如...
ASA對TCP序列號擾亂測試
一.概述 聽了yeslab的秦珂老師的asa的課程,講到asa對tcp的隨機初始化序列號擾亂功能,於是搭建環境進行測試,發現其實不僅對tcp初始化的序列號進行擾亂,對後續的tcp包序列號也會進行擾亂。後記 聽了後面的教程,才知道之所以叫初始化序列號擾亂,是因為後續的變化都基於初始的序列號之上的,比如...
利用rsyslog 對Linux使用者進行審計
要審計使用者執行的命令,在系統本地執行的話,比較簡單。修改histtimeformat變數即可,比如 export histtimeformat f t who am i 但是簡單的依賴.bash history 或 script 是不可靠的,兩者雖然記錄了使用者行為,但是可能被使用者篡改和清除。r...