https://taisto.org/api.php?action=feedcontributions&user=Johannes&feedformat=atomTaisto - Käyttäjän muokkaukset [fi]2024-03-29T11:01:39ZKäyttäjän muokkauksetMediaWiki 1.33.1https://taisto.org/index.php?title=Debian_verkkokonfiguraatio&diff=5776Debian verkkokonfiguraatio2015-04-17T12:16:54Z<p>Johannes: </p>
<hr />
<div><languages/><br />
<translate><br />
<br />
== Interfaces == <!--T:10--><br />
<br />
<!--T:1--><br />
Debianin verkkoasetukset löytyvät tiedostosta: <br />
<br />
<!--T:2--><br />
nano /etc/network/interfaces<br />
<br />
<!--T:6--><br />
=== DHCP ===<br />
<br />
DHCP määrittäminen tapahtuu IPv4-osoitteille yksinkertaisesti:<br />
<br />
<!--T:7--><br />
auto eth0 <br />
iface eth0 inet dhcp<br />
<br />
<!--T:3--><br />
=== Staattinen IPv4-osoite ===<br />
<br />
<!--T:4--><br />
auto lo<br />
iface lo inet loopback<br />
auto eth0 <br />
iface eth0 inet static<br />
address ...<br />
netmask ...<br />
gateway ...<br />
<br />
<!--T:5--><br />
* address = IP-osoite, esimerkiksi 192.168.1.22<br />
* netmask = Aliverkonpeite, esimerkiksi 255.255.255.0<br />
* gateway = Oletusyhdyskäytävä, esimerkiksi 192.168.1.1<br />
<br />
<br />
<!--T:8--><br />
Muista käynnistä lopuksi verkkopalvelu uudelleen<br />
<br />
<!--T:9--><br />
service networking restart<br />
<br />
=== Staattinen IPv6 osoite ===<br />
<br />
iface eth0 inet6 static<br />
address ...<br />
netmask ...<br />
gateway ...<br />
<br />
Muuten sama kuin IPv4, mutta netmask ilmoitetaan prefixeinä.<br />
<br />
=== DNS ===<br />
<br />
DNS määritetään Linuxissa resolv.conf tiedostoon:<br />
<br />
nano /etc/resolv.conf<br />
<br />
Ja määrittämällä esimerkiksi Googlen DNS palvelimet:<br />
<br />
nameserver 8.8.8.8<br />
nameserver 8.8.4.4<br />
<br />
=== Verkkosilta ===<br />
<br />
Asemma bridge-utils pakettihallinnasta<br />
apt-get install bridge-utils<br />
<br />
Avaa verkkokonfigurointi tiedosto<br />
<br />
nano /etc/network/interfaces<br />
<br />
Lisää tämä konfigurointi tiedostoon ja ota eth0 ja eth1 pois käytöstä laittamalla risuaita konfigurointi rivin eteen #.<br />
<br />
auto br0<br />
iface br0 inet dhcp<br />
bridge_ports eth0 eth1<br />
bridge_stp on<br />
<br />
Voit myös määrittää staattiset IP-osoitteet verkkosiltaan<br />
<br />
auto br0<br />
iface br0 inet static<br />
bridge_ports eth0 eth1<br />
bridge_stp on<br />
address 192.168.0.2<br />
netmask 255.255.255.0<br />
gateway 192.168.0.1<br />
<br />
Käynnistä verkko uudelleen<br />
<br />
service networking restart<br />
<br />
=== VLAN ===<br />
<br />
auto eth0.10<br />
iface eth0.10 inet static<br />
address 10.10.10.1<br />
netmask 255.255.255.0<br />
<br />
== ifconfig == <!--T:11--><br />
<br />
<!--T:12--><br />
ifconfig<br />
<br />
<!--T:13--><br />
komennolla näet nykyiset interfacet sekä verkkokonfiguraation<br />
<br />
</translate></div>Johanneshttps://taisto.org/index.php?title=Johanneksen_opinn%C3%A4ytety%C3%B6&diff=5427Johanneksen opinnäytetyö2015-03-18T19:01:22Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Tässä on Johanneksen pohdintaa hänen opinnäytetyöstä.<br />
<br />
Hmm millasen sitä tekis<br />
<br />
Hmm siihen vois käyttää vaika cisco routeria cisco kytkintä mikrotik purkkia ja linux pannua..<br />
<br />
Ehkä tällanen:<br />
<br />
* Cisco Router hoitais reititys, vpn, reilusti acl-listoja.<br />
* Cisco kytkin olis vaan dot1x testausta varten lähinnä<br />
* Mikrotik hoitais langattomia verkkoja<br />
* linux pannu freeradiuksena<br />
<br />
<br />
Idea: Tietoturvallisen lähiverkon parannus.<br />
<br />
Kolme vlania<br />
* Guest vlan, ainoastaan langaton<br />
* yritys verkko, langaton sekä kytkimessä (dot1x autentikoinnilla)<br />
* hallintaverkko, tönne pääsee yritysverkosta jollain tunnelipunnelilla.<br />
<br />
sit viel pvlania ehkä guesti vlanille<br />
<br />
==== dot1x ====<br />
<br />
Yksinkertaisesti autentikoimalla pääsee yritysverkkoon. freeradiussiin vaan clients.conffiin kytkin ja sit käyttäjät pitää määrittää users.conffiin.<br />
<br />
<br />
näin tehään perus eapol autentikointi:<br />
<br />
client 192.168.0.0/24 {<br />
secret = Qwerty1<br />
shortname = testi<br />
}<br />
<br />
Johannes Cleartext-Password := "Qwerty7"<br />
Reply-Message = "Moro %u"<br />
<br />
ip routing<br />
aaa new-model<br />
username sysadmin secret salasana<br />
radius-server host 192.168.0.100 auth-port 1812 acct-port 1813 key Qwerty1<br />
aaa authentication dot1x default group radius<br />
dot1x system-auth-control<br />
dot1x guest-vlan supplicant<br />
interface fa0/0<br />
switchport mode access<br />
dot1x port-control auto<br />
dot1x guest-vlan 10<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
http://www.ipbalance.com/security/security-configuration/1049-basic-8021x-configuration-on-cisco-switch-with-freeradius.html<br />
<br />
https://supportforums.cisco.com/discussion/12073901/sg300-cant-assign-vlan-w-8021x-freeradius<br />
<br />
http://www.certprepare.com/aaadot1x-lab-sim<br />
<br />
http://www.theseus.fi/bitstream/handle/10024/46462/Piispanen_Juha.pdf?sequence=1</div>Johanneshttps://taisto.org/index.php?title=Cisco_acl&diff=5345Cisco acl2015-03-13T13:45:51Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. <br />
<br />
* Stantard ACL tutkailee vain lähde ip-osoitetta<br />
* Extended ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.<br />
<br />
Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.<br />
<br />
<br />
== Stantard ACL ==<br />
<br />
Komento kokonaisuudessaan:<br />
Reititin(config)#'''access-list''' ''access-listan-numero'' '''[deny | permit | remark]''' ''source [source-wildcard]'' '''[log]'''<br />
<br />
Parametrit komennossa:<br />
* ''Access-listan numero, stantardissa se on 1-99 tai 1300-1999.''<br />
* deny ''Jos osuu, niin tippuu''<br />
* permit ''Jos osuu, niin sallii''<br />
* remark ''Lisää kommentin jotta olis helpompi jälkikäteen ymmärtää mitä acl tekee, tämä on max 100 merkkiä''<br />
* lähde ''Joko verkon osoite tai hostin osoite mistä paketti on lähtenyt, voi laittaa myös '''any''', jolloin mikävaan lähdeosoite huomioidaan ''<br />
* lähteen wildcardi ''HUOM, vapaaehtoinen. tähänkin voi laittaa '''any'''''<br />
* log ''Vapaaehtoinen, tähän voi määrittää että paketit jotka ottaa hitin tästä listasta esitetään consolissa. Sen, että minkätasoiset viestit consolissa näytetään voi määrittää logging console komennolla''<br />
<br />
<br />
Access-listan voi myös nimetä eikä numeroida. Esimerkiksi jos haluu blokata http liikenteen voi listan nimetä NO_HTTP nimellä. konffaus myös eroaa hieman, voit laittaa monta riviä heti samaan syssyyn.<br />
<br />
ip access-list stantard EI_HERMANNIA<br />
deny host 192.168.100.100<br />
permit 192.168.100.0 0.0.0.255<br />
interface Fa0/0<br />
ip access-group EI_HERMANNIA<br />
<br />
<br />
== Extended ACL ==<br />
<br />
Extended acl on 100-199 tai 2000-2699.<br />
<br />
Extended access-listassa tarkastellaan lähdeosoitteen lisäksi pääteosoitetta sekä pyös protokollia ja porttinumeroita.<br />
<br />
Extended access-listan komento on toki paljon pidempi, koska siinä on enemmän muuttujia<br />
<br />
access-list ''access-listan numero tai nimi'' '''{deny | permit | remark}''' ''protokolla'' ''lähde'' '''['''''lähteen wildcardi''''']''' '''[muuttuja]''' '''[portin numero tai nimi]''' ''kohde'' '''['''''kohteen wildcardi''''']''' '''[muuttuja]''' '''[portin numero tai nimi]''' '''[established]'''<br />
<br />
Operaattoreita on seuraavanlaisia:<br />
* '''lt''' (less than) vähintään siis<br />
* '''gt''' (greater than) enintään siis<br />
* '''eq''' (equal) ehkä se yleisin, siis yhtä kuin<br />
* '''neq''' (not equal) ei saa olla yhtäkuin<br />
* '''range''' (katsotaan koko haitari)<br />
<br />
Esimerkissä estämme ftp liikenteen vierasverkosta 192.168.100.0/24 yrityksenverkkoon joka on 192.168.200.0/24<br />
<br />
access-list 150 deny tcp 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 eq 21<br />
access-list 150 deny tcp 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 eq 21<br />
access-list 150 permit ip any any<br />
interface Fastethernet 0/1<br />
ip access-group 150 in<br />
<br />
<br />
== Dynaaminen ACL ==<br />
<br />
Toimii vain ip liikenteellä. Käyttää lock-and-key tekniikkaa. Vaatii telnet toimiakseen. Homma toimii niin: esimerkiksi on reititin 1 (192.168.1.1/24) ja reititin 2 (192.168.2.1/24), toiselle ei normaalisti pääse ykkösreitittimen kautta. Sysadmin kuitenkin tilapäisesti haluaa päästä toisen reitittimen taakse ykkösen takaa. Sysadmin ottaa ensin telnet yhteyden kakkosreitittimeen, jolloin dynaaminen access-lista napsahtaa päälle, joka tilapäisesti sallii pääsyn verkkoon.<br />
<br />
username sysadmin password 0 Qwerty1<br />
access-list 150 permit tcp any host 192.168.2.1 eq telnet<br />
access-list 150 synamic testlist timeout 10 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255<br />
interface fa 0/0<br />
ip access-group 150 in<br />
line vty 0 4<br />
login local<br />
autocommand access-enable host timeout 5<br />
<br />
<br />
== Aikarajoitettu ACL ==<br />
<br />
Access-listan voi laittaa toimimaan vain tiettyinä aikoina. <br />
<br />
Kun konffaamme näin, pitää ensin määritellä time-range ja sitten liittää se access-listaan.<br />
<br />
time-range VIIKONLOPPU<br />
periodic weekend 8:00 to 20:00<br />
access-list 150 permit tcp 192.168.0.0 0.0.255.255 any eq http time-range VIIKONLOPPU<br />
interface fa0/0<br />
ip access-group 150 out<br />
<br />
Esimerkissämme sallimme http liikenteen lähtevän viikonloppuisin aamukahdeksasat iltakahdeksaan.<br />
<br />
Huom! aika katsotaan reitittimen kellosta, joten sen on syytä olla kunnossa, kannattaa käyttää ntp:tä.<br />
<br />
=== Access listan asetus interfaceen ===<br />
<br />
<br />
Access listat voi näppärästi laittaa eri interfaceihin komennolla ''ip access-group''. Ensin siis luodaan access-lista, sitten se osoitetaan tietylle interfacelle ja määritellään vielä ohjaako se ulos- vai sisäänpäinmenevää liikennettä.<br />
<br />
Esimerkissä reitittimen wan interface on fa0/0 ja verkko josta halutaan sallia liikenne on interfacessa 0/1 ja siellä haluttu verkko on 192.168.100.0/24<br />
<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
Nyt kaikki verkossa 192.168.100.0/24 olevat laitteet pääsee verkkoon. Jos halutaan estää vaikkapa joku toimiston sihteeri jonka ip on 192.168.100.10, niin lisätään access-listaan vain vähän tavaraa.<br />
<br />
no access-list 10 ''poistetaan vanha acl kummittelemasta''<br />
access-list 10 deny 192.168.100.10 0.0.0.0<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
==== ACL hallitsemaan reitittimen hallintaa ====<br />
<br />
Access-listan voi tietenkin laittaa myös esimerkiksi kontrolloimaan telnet tai ssh yhteyksiä. Esimerkissämme sysadminin koneen ip on 192.168.100.100, eikä muille haluta antaa pääsyä reitittimelle ssh:n avulla.<br />
<br />
access-list 7 permit 192.168.100.100 0.0.0.0<br />
access-list 7 deny any<br />
line vty 0 4 <br />
password Qwerty1<br />
login<br />
access-class 7 in</div>Johanneshttps://taisto.org/index.php?title=Cisco_acl&diff=5344Cisco acl2015-03-13T13:44:48Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. <br />
<br />
* Stantard ACL tutkailee vain lähde ip-osoitetta<br />
* Extended ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.<br />
<br />
Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.<br />
<br />
<br />
== Stantard ACL ==<br />
<br />
Komento kokonaisuudessaan:<br />
Reititin(config)#'''access-list''' ''access-listan-numero'' '''[deny | permit | remark]''' ''source [source-wildcard]'' '''[log]'''<br />
<br />
Parametrit komennossa:<br />
* ''Access-listan numero, stantardissa se on 1-99 tai 1300-1999.''<br />
* deny ''Jos osuu, niin tippuu''<br />
* permit ''Jos osuu, niin sallii''<br />
* remark ''Lisää kommentin jotta olis helpompi jälkikäteen ymmärtää mitä acl tekee, tämä on max 100 merkkiä''<br />
* lähde ''Joko verkon osoite tai hostin osoite mistä paketti on lähtenyt, voi laittaa myös '''any''', jolloin mikävaan lähdeosoite huomioidaan ''<br />
* lähteen wildcardi ''HUOM, vapaaehtoinen. tähänkin voi laittaa '''any'''''<br />
* log ''Vapaaehtoinen, tähän voi määrittää että paketit jotka ottaa hitin tästä listasta esitetään consolissa. Sen, että minkätasoiset viestit consolissa näytetään voi määrittää logging console komennolla''<br />
<br />
<br />
Access-listan voi myös nimetä eikä numeroida. Esimerkiksi jos haluu blokata http liikenteen voi listan nimetä NO_HTTP nimellä. konffaus myös eroaa hieman, voit laittaa monta riviä heti samaan syssyyn.<br />
<br />
ip access-list stantard EI_HERMANNIA<br />
deny host 192.168.100.100<br />
permit 192.168.100.0 0.0.0.255<br />
interface Fa0/0<br />
ip access-group EI_HERMANNIA<br />
<br />
<br />
== Extended ACL ==<br />
<br />
Extended acl on 100-199 tai 2000-2699.<br />
<br />
Extended access-listassa tarkastellaan lähdeosoitteen lisäksi pääteosoitetta sekä pyös protokollia ja porttinumeroita.<br />
<br />
Extended access-listan komento on toki paljon pidempi, koska siinä on enemmän muuttujia<br />
<br />
access-list ''access-listan numero tai nimi'' '''{deny | permit | remark}''' ''protokolla'' ''lähde'' '''['''''lähteen wildcardi''''']''' '''[muuttuja]''' '''[portin numero tai nimi]''' ''kohde'' '''['''''kohteen wildcardi''''']''' '''[muuttuja]''' '''[portin numero tai nimi]''' '''[established]'''<br />
<br />
Operaattoreita on seuraavanlaisia:<br />
* '''lt''' (less than) vähintään siis<br />
* '''gt''' (greater than) enintään siis<br />
* '''eq''' (equal) ehkä se yleisin, siis yhtä kuin<br />
* '''neq''' (not equal) ei saa olla yhtäkuin<br />
* '''range''' (katsotaan koko haitari)<br />
<br />
Esimerkissä estämme ftp liikenteen vierasverkosta 192.168.100.0/24 yrityksenverkkoon joka on 192.168.200.0/24<br />
<br />
access-list 150 deny tcp 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 eq 21<br />
access-list 150 deny tcp 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 eq 21<br />
access-list 150 permit ip any any<br />
interface Fastethernet 0/1<br />
ip access-group 150 in<br />
<br />
<br />
== Dynaaminen ACL ==<br />
<br />
Toimii vain ip liikenteellä. Käyttää lock-and-key tekniikkaa. Vaatii telnet toimiakseen. Homma toimii niin: esimerkiksi on reititin 1 (192.168.1.1/24) ja reititin 2 (192.168.2.1/24), toiselle ei normaalisti pääse ykkösreitittimen kautta. Sysadmin kuitenkin tilapäisesti haluaa päästä toisen reitittimen taakse ykkösen takaa. Sysadmin ottaa ensin telnet yhteyden kakkosreitittimeen, jolloin dynaaminen access-lista napsahtaa päälle, joka tilapäisesti sallii pääsyn verkkoon.<br />
<br />
username sysadmin password 0 Qwerty1<br />
access-list 150 permit tcp any host 192.168.2.1 eq telnet<br />
access-list 150 synamic testlist timeout 10 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255<br />
interface fa 0/0<br />
ip access-group 150 in<br />
line vty 0 4<br />
login local<br />
autocommand access-enable host timeout 5<br />
<br />
<br />
== Aikarajoitettu ACL ==<br />
<br />
Access-listan voi laittaa toimimaan vain tiettyinä aikoina. <br />
<br />
Kun konffaamme näin, pitää ensin määritellä time-range ja sitten liittää se access-listaan.<br />
<br />
time-range VIIKONLOPPU<br />
periodic weekend 8:00 to 20:00<br />
access-list 150 permit tcp 192.168.0.0 0.0.255.255 any eq http time-range VIIKONLOPPU<br />
interface fa0/0<br />
ip access-group 150 out<br />
<br />
Esimerkissämme sallimme http liikenteen lähtevän viikonloppuisin aamukahdeksasat iltakahdeksaan.<br />
<br />
=== Access listan asetus interfaceen ===<br />
<br />
<br />
Access listat voi näppärästi laittaa eri interfaceihin komennolla ''ip access-group''. Ensin siis luodaan access-lista, sitten se osoitetaan tietylle interfacelle ja määritellään vielä ohjaako se ulos- vai sisäänpäinmenevää liikennettä.<br />
<br />
Esimerkissä reitittimen wan interface on fa0/0 ja verkko josta halutaan sallia liikenne on interfacessa 0/1 ja siellä haluttu verkko on 192.168.100.0/24<br />
<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
Nyt kaikki verkossa 192.168.100.0/24 olevat laitteet pääsee verkkoon. Jos halutaan estää vaikkapa joku toimiston sihteeri jonka ip on 192.168.100.10, niin lisätään access-listaan vain vähän tavaraa.<br />
<br />
no access-list 10 ''poistetaan vanha acl kummittelemasta''<br />
access-list 10 deny 192.168.100.10 0.0.0.0<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
==== ACL hallitsemaan reitittimen hallintaa ====<br />
<br />
Access-listan voi tietenkin laittaa myös esimerkiksi kontrolloimaan telnet tai ssh yhteyksiä. Esimerkissämme sysadminin koneen ip on 192.168.100.100, eikä muille haluta antaa pääsyä reitittimelle ssh:n avulla.<br />
<br />
access-list 7 permit 192.168.100.100 0.0.0.0<br />
access-list 7 deny any<br />
line vty 0 4 <br />
password Qwerty1<br />
login<br />
access-class 7 in</div>Johanneshttps://taisto.org/index.php?title=Cisco_acl&diff=5343Cisco acl2015-03-13T11:24:48Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. <br />
<br />
* Stantard ACL tutkailee vain lähde ip-osoitetta<br />
* Extended ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.<br />
<br />
Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.<br />
<br />
<br />
== Stantard ACL ==<br />
<br />
Komento kokonaisuudessaan:<br />
Reititin(config)#'''access-list''' ''access-listan-numero'' '''[deny | permit | remark]''' ''source [source-wildcard]'' '''[log]'''<br />
<br />
Parametrit komennossa:<br />
* ''Access-listan numero, stantardissa se on 1-99 tai 1300-1999.''<br />
* deny ''Jos osuu, niin tippuu''<br />
* permit ''Jos osuu, niin sallii''<br />
* remark ''Lisää kommentin jotta olis helpompi jälkikäteen ymmärtää mitä acl tekee, tämä on max 100 merkkiä''<br />
* lähde ''Joko verkon osoite tai hostin osoite mistä paketti on lähtenyt, voi laittaa myös '''any''', jolloin mikävaan lähdeosoite huomioidaan ''<br />
* lähteen wildcardi ''HUOM, vapaaehtoinen. tähänkin voi laittaa '''any'''''<br />
* log ''Vapaaehtoinen, tähän voi määrittää että paketit jotka ottaa hitin tästä listasta esitetään consolissa. Sen, että minkätasoiset viestit consolissa näytetään voi määrittää logging console komennolla''<br />
<br />
<br />
Access-listan voi myös nimetä eikä numeroida. Esimerkiksi jos haluu blokata http liikenteen voi listan nimetä NO_HTTP nimellä. konffaus myös eroaa hieman, voit laittaa monta riviä heti samaan syssyyn.<br />
<br />
ip access-list stantard EI_HERMANNIA<br />
deny host 192.168.100.100<br />
permit 192.168.100.0 0.0.0.255<br />
interface Fa0/0<br />
ip access-group EI_HERMANNIA<br />
<br />
<br />
== Extended ACL ==<br />
<br />
Extended acl on 100-199 tai 2000-2699.<br />
<br />
Extended access-listassa tarkastellaan lähdeosoitteen lisäksi pääteosoitetta sekä pyös protokollia ja porttinumeroita.<br />
<br />
Extended access-listan komento on toki paljon pidempi, koska siinä on enemmän muuttujia<br />
<br />
access-list ''access-listan numero tai nimi'' '''{deny | permit | remark}''' ''protokolla'' ''lähde'' '''['''''lähteen wildcardi''''']''' '''[muuttuja]''' '''[portin numero tai nimi]''' ''kohde'' '''['''''kohteen wildcardi''''']''' '''[muuttuja]''' '''[portin numero tai nimi]''' '''[established]'''<br />
<br />
Operaattoreita on seuraavanlaisia:<br />
* '''lt''' (less than) vähintään siis<br />
* '''gt''' (greater than) enintään siis<br />
* '''eq''' (equal) ehkä se yleisin, siis yhtä kuin<br />
* '''neq''' (not equal) ei saa olla yhtäkuin<br />
* '''range''' (katsotaan koko haitari)<br />
<br />
Esimerkissä estämme ftp liikenteen vierasverkosta 192.168.100.0/24 yrityksenverkkoon joka on 192.168.200.0/24<br />
<br />
access-list 150 deny tcp 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 eq 21<br />
access-list 150 deny tcp 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 eq 21<br />
access-list 150 permit ip any any<br />
interface Fastethernet 0/1<br />
ip access-group 150 in<br />
<br />
<br />
== Dynaaminen ACL ==<br />
<br />
Toimii vain ip liikenteellä. Käyttää lock-and-key tekniikkaa. Vaatii telnet toimiakseen. Homma toimii niin: esimerkiksi on reititin 1 (192.168.1.1/24) ja reititin 2 (192.168.2.1/24), toiselle ei normaalisti pääse ykkösreitittimen kautta. Sysadmin kuitenkin tilapäisesti haluaa päästä toisen reitittimen taakse ykkösen takaa. Sysadmin ottaa ensin telnet yhteyden kakkosreitittimeen, jolloin dynaaminen access-lista napsahtaa päälle, joka tilapäisesti sallii pääsyn verkkoon.<br />
<br />
username sysadmin password 0 Qwerty1<br />
access-list 150 permit tcp any host 192.168.2.1 eq telnet<br />
access-list 150 synamic testlist timeout 10 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255<br />
interface fa 0/0<br />
ip access-group 150 in<br />
line vty 0 4<br />
login local<br />
autocommand access-enable host timeout 5<br />
<br />
<br />
=== Access listan asetus interfaceen ===<br />
<br />
<br />
Access listat voi näppärästi laittaa eri interfaceihin komennolla ''ip access-group''. Ensin siis luodaan access-lista, sitten se osoitetaan tietylle interfacelle ja määritellään vielä ohjaako se ulos- vai sisäänpäinmenevää liikennettä.<br />
<br />
Esimerkissä reitittimen wan interface on fa0/0 ja verkko josta halutaan sallia liikenne on interfacessa 0/1 ja siellä haluttu verkko on 192.168.100.0/24<br />
<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
Nyt kaikki verkossa 192.168.100.0/24 olevat laitteet pääsee verkkoon. Jos halutaan estää vaikkapa joku toimiston sihteeri jonka ip on 192.168.100.10, niin lisätään access-listaan vain vähän tavaraa.<br />
<br />
no access-list 10 ''poistetaan vanha acl kummittelemasta''<br />
access-list 10 deny 192.168.100.10 0.0.0.0<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
==== ACL hallitsemaan reitittimen hallintaa ====<br />
<br />
Access-listan voi tietenkin laittaa myös esimerkiksi kontrolloimaan telnet tai ssh yhteyksiä. Esimerkissämme sysadminin koneen ip on 192.168.100.100, eikä muille haluta antaa pääsyä reitittimelle ssh:n avulla.<br />
<br />
access-list 7 permit 192.168.100.100 0.0.0.0<br />
access-list 7 deny any<br />
line vty 0 4 <br />
password Qwerty1<br />
login<br />
access-class 7 in</div>Johanneshttps://taisto.org/index.php?title=Cisco_acl&diff=5342Cisco acl2015-03-13T10:06:30Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. <br />
<br />
* Stantard ACL tutkailee vain lähde ip-osoitetta<br />
* Extended ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.<br />
<br />
Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.<br />
<br />
<br />
== Stantard ACL ==<br />
<br />
Komento kokonaisuudessaan:<br />
Reititin(config)#'''access-list''' ''access-listan-numero'' '''[deny | permit | remark]''' ''source [source-wildcard]'' '''[log]'''<br />
<br />
Parametrit komennossa:<br />
* ''Access-listan numero, stantardissa se on 1-99 tai 1300-1999.''<br />
* deny ''Jos osuu, niin tippuu''<br />
* permit ''Jos osuu, niin sallii''<br />
* remark ''Lisää kommentin jotta olis helpompi jälkikäteen ymmärtää mitä acl tekee, tämä on max 100 merkkiä''<br />
* lähde ''Joko verkon osoite tai hostin osoite mistä paketti on lähtenyt, voi laittaa myös '''any''', jolloin mikävaan lähdeosoite huomioidaan ''<br />
* lähteen wildcardi ''HUOM, vapaaehtoinen. tähänkin voi laittaa '''any'''''<br />
* log ''Vapaaehtoinen, tähän voi määrittää että paketit jotka ottaa hitin tästä listasta esitetään consolissa. Sen, että minkätasoiset viestit consolissa näytetään voi määrittää logging console komennolla''<br />
<br />
<br />
Access-listan voi myös nimetä eikä numeroida. Esimerkiksi jos haluu blokata http liikenteen voi listan nimetä NO_HTTP nimellä. konffaus myös eroaa hieman, voit laittaa monta riviä heti samaan syssyyn.<br />
<br />
ip access-list stantard EI_HERMANNIA<br />
deny host 192.168.100.100<br />
permit 192.168.100.0 0.0.0.255<br />
interface Fa0/0<br />
ip access-group EI_HERMANNIA<br />
<br />
<br />
== Extended ACL ==<br />
<br />
Extended acl on 100-199 tai 2000-2699.<br />
<br />
Extended access-listassa tarkastellaan lähdeosoitteen lisäksi pääteosoitetta sekä pyös protokollia ja porttinumeroita.<br />
<br />
Extended access-listan komento on toki paljon pidempi, koska siinä on enemmän muuttujia<br />
<br />
access-list ''access-listan numero tai nimi'' '''{deny | permit | remark}''' ''protokolla'' ''lähde'' '''['''''lähteen wildcardi''''']''' '''[muuttuja]''' '''[portin numero tai nimi]''' ''kohde'' '''['''''kohteen wildcardi''''']''' '''[muuttuja]''' '''[portin numero tai nimi]''' '''[established]'''<br />
<br />
Operaattoreita on seuraavanlaisia:<br />
* '''lt''' (less than) vähintään siis<br />
* '''gt''' (greater than) enintään siis<br />
* '''eq''' (equal) ehkä se yleisin, siis yhtä kuin<br />
* '''neq''' (not equal) ei saa olla yhtäkuin<br />
* '''range''' (katsotaan koko haitari)<br />
<br />
Esimerkissä estämme ftp liikenteen vierasverkosta 192.168.100.0/24 yrityksenverkkoon joka on 192.168.200.0/24<br />
<br />
access-list 150 deny tcp 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 eq 21<br />
access-list 150 deny tcp 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 eq 21<br />
access-list 150 permit ip any any<br />
interface Fastethernet 0/1<br />
ip access-group 150 in<br />
<br />
== Complex ACL ==<br />
<br />
=== Access listan asetus interfaceen ===<br />
<br />
<br />
Access listat voi näppärästi laittaa eri interfaceihin komennolla ''ip access-group''. Ensin siis luodaan access-lista, sitten se osoitetaan tietylle interfacelle ja määritellään vielä ohjaako se ulos- vai sisäänpäinmenevää liikennettä.<br />
<br />
Esimerkissä reitittimen wan interface on fa0/0 ja verkko josta halutaan sallia liikenne on interfacessa 0/1 ja siellä haluttu verkko on 192.168.100.0/24<br />
<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
Nyt kaikki verkossa 192.168.100.0/24 olevat laitteet pääsee verkkoon. Jos halutaan estää vaikkapa joku toimiston sihteeri jonka ip on 192.168.100.10, niin lisätään access-listaan vain vähän tavaraa.<br />
<br />
no access-list 10 ''poistetaan vanha acl kummittelemasta''<br />
access-list 10 deny 192.168.100.10 0.0.0.0<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
==== ACL hallitsemaan reitittimen hallintaa ====<br />
<br />
Access-listan voi tietenkin laittaa myös esimerkiksi kontrolloimaan telnet tai ssh yhteyksiä. Esimerkissämme sysadminin koneen ip on 192.168.100.100, eikä muille haluta antaa pääsyä reitittimelle ssh:n avulla.<br />
<br />
access-list 7 permit 192.168.100.100 0.0.0.0<br />
access-list 7 deny any<br />
line vty 0 4 <br />
password Qwerty1<br />
login<br />
access-class 7 in</div>Johanneshttps://taisto.org/index.php?title=Cisco_acl&diff=5341Cisco acl2015-03-13T09:50:29Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. <br />
<br />
* Stantard ACL tutkailee vain lähde ip-osoitetta<br />
* Extended ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.<br />
<br />
Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.<br />
<br />
<br />
== Stantard ACL ==<br />
<br />
Komento kokonaisuudessaan:<br />
Reititin(config)#'''access-list''' ''access-listan-numero'' '''[deny | permit | remark]''' ''source [source-wildcard]'' '''[log]'''<br />
<br />
Parametrit komennossa:<br />
* ''Access-listan numero, stantardissa se on 1-99 tai 1300-1999.''<br />
* deny ''Jos osuu, niin tippuu''<br />
* permit ''Jos osuu, niin sallii''<br />
* remark ''Lisää kommentin jotta olis helpompi jälkikäteen ymmärtää mitä acl tekee, tämä on max 100 merkkiä''<br />
* lähde ''Joko verkon osoite tai hostin osoite mistä paketti on lähtenyt, voi laittaa myös '''any''', jolloin mikävaan lähdeosoite huomioidaan ''<br />
* lähteen wildcardi ''HUOM, vapaaehtoinen. tähänkin voi laittaa '''any'''''<br />
* log ''Vapaaehtoinen, tähän voi määrittää että paketit jotka ottaa hitin tästä listasta esitetään consolissa. Sen, että minkätasoiset viestit consolissa näytetään voi määrittää logging console komennolla''<br />
<br />
<br />
Access-listan voi myös nimetä eikä numeroida. Esimerkiksi jos haluu blokata http liikenteen voi listan nimetä NO_HTTP nimellä. konffaus myös eroaa hieman, voit laittaa monta riviä heti samaan syssyyn.<br />
<br />
ip access-list stantard EI_HERMANNIA<br />
deny host 192.168.100.100<br />
permit 192.168.100.0 0.0.0.255<br />
interface Fa0/0<br />
ip access-group EI_HERMANNIA<br />
<br />
<br />
== Extended ACL ==<br />
<br />
Extended acl on 100-199 tai 2000-2699.<br />
<br />
Extended access-listassa tarkastellaan lähdeosoitteen lisäksi pääteosoitetta sekä pyös protokollia ja porttinumeroita.<br />
<br />
Extended access-listan komento on toki paljon pidempi, koska siinä on enemmän muuttujia<br />
<br />
access-list ''access-listan numero tai nimi'' '''{deny | permit | remark}''' ''protokolla'' ''lähde'' '''['''''lähteen wildcardi''''']''' '''[muuttuja]''' '''[portin numero tai nimi]''' ''kohde'' '''['''''kohteen wildcardi''''']''' '''[muuttuja]''' '''[portin numero tai nimi]''' '''[established]'''<br />
<br />
Operaattoreita on seuraavanlaisia:<br />
* '''lt''' (less than) vähintään siis<br />
* '''gt''' (greater than) enintään siis<br />
* '''eq''' (equal) ehkä se yleisin, siis yhtä kuin<br />
* '''neq''' (not equal) ei saa olla yhtäkuin<br />
* '''range''' (katsotaan koko haitari)<br />
<br />
Esimerkissä estämme ftp liikenteen vierasverkosta 192.168.100.0/24 yrityksenverkkoon joka on 192.168.200.0/24<br />
<br />
access-list 150 deny tcp 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 eq 21<br />
access-list 150 deny tcp 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 eq 21<br />
access-list 150 permit ip any any<br />
interface Fastethernet 0/1<br />
ip access-group 150 in<br />
<br />
=== Access listan asetus interfaceen ===<br />
<br />
<br />
Access listat voi näppärästi laittaa eri interfaceihin komennolla ''ip access-group''. Ensin siis luodaan access-lista, sitten se osoitetaan tietylle interfacelle ja määritellään vielä ohjaako se ulos- vai sisäänpäinmenevää liikennettä.<br />
<br />
Esimerkissä reitittimen wan interface on fa0/0 ja verkko josta halutaan sallia liikenne on interfacessa 0/1 ja siellä haluttu verkko on 192.168.100.0/24<br />
<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
Nyt kaikki verkossa 192.168.100.0/24 olevat laitteet pääsee verkkoon. Jos halutaan estää vaikkapa joku toimiston sihteeri jonka ip on 192.168.100.10, niin lisätään access-listaan vain vähän tavaraa.<br />
<br />
no access-list 10 ''poistetaan vanha acl kummittelemasta''<br />
access-list 10 deny 192.168.100.10 0.0.0.0<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
==== ACL hallitsemaan reitittimen hallintaa ====<br />
<br />
Access-listan voi tietenkin laittaa myös esimerkiksi kontrolloimaan telnet tai ssh yhteyksiä. Esimerkissämme sysadminin koneen ip on 192.168.100.100, eikä muille haluta antaa pääsyä reitittimelle ssh:n avulla.<br />
<br />
access-list 7 permit 192.168.100.100 0.0.0.0<br />
access-list 7 deny any<br />
line vty 0 4 <br />
password Qwerty1<br />
login<br />
access-class 7 in</div>Johanneshttps://taisto.org/index.php?title=Cisco_acl&diff=5340Cisco acl2015-03-13T09:50:12Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. <br />
<br />
* Stantard ACL tutkailee vain lähde ip-osoitetta<br />
* Extended ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.<br />
<br />
Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.<br />
<br />
<br />
== Stantard ACL ==<br />
<br />
Komento kokonaisuudessaan:<br />
Reititin(config)#'''access-list''' ''access-listan-numero'' '''[deny | permit | remark]''' ''source [source-wildcard]'' '''[log]'''<br />
<br />
Parametrit komennossa:<br />
* ''Access-listan numero, stantardissa se on 1-99 tai 1300-1999.''<br />
* deny ''Jos osuu, niin tippuu''<br />
* permit ''Jos osuu, niin sallii''<br />
* remark ''Lisää kommentin jotta olis helpompi jälkikäteen ymmärtää mitä acl tekee, tämä on max 100 merkkiä''<br />
* lähde ''Joko verkon osoite tai hostin osoite mistä paketti on lähtenyt, voi laittaa myös '''any''', jolloin mikävaan lähdeosoite huomioidaan ''<br />
* lähteen wildcardi ''HUOM, vapaaehtoinen. tähänkin voi laittaa '''any'''''<br />
* log ''Vapaaehtoinen, tähän voi määrittää että paketit jotka ottaa hitin tästä listasta esitetään consolissa. Sen, että minkätasoiset viestit consolissa näytetään voi määrittää logging console komennolla''<br />
<br />
<br />
Access-listan voi myös nimetä eikä numeroida. Esimerkiksi jos haluu blokata http liikenteen voi listan nimetä NO_HTTP nimellä. konffaus myös eroaa hieman, voit laittaa monta riviä heti samaan syssyyn.<br />
<br />
ip access-list stantard EI_HERMANNIA<br />
deny host 192.168.100.100<br />
permit 192.168.100.0 0.0.0.255<br />
interface Fa0/0<br />
ip access-group EI_HERMANNIA<br />
<br />
<br />
== Extended ACL ==<br />
<br />
Extended acl on 100-199 tai 2000-2699.<br />
<br />
Extended access-listassa tarkastellaan lähdeosoitteen lisäksi pääteosoitetta sekä pyös protokollia ja porttinumeroita.<br />
<br />
Extended access-listan komento on toki paljon pidempi, koska siinä on enemmän muuttujia<br />
<br />
access-list ''access-listan numero tai nimi'' '''{deny | permit | remark}''' ''protokolla'' ''lähde'' '''['''''lähteen wildcardi''''']''' '''[muuttuja]''' '''[portin numero tai nimi]''' ''kohde'' '''['''''kohteen wildcardi''''']''' '''[muuttuja]''' '''[portin numero tai nimi]''' '''[established]'''<br />
<br />
Operaattoreita on seuraavanlaisia:<br />
* '''lt''' (less than) vähintään siis<br />
* '''gt''' (greater than) enintään siis<br />
* '''eq''' (equal) ehkä se yleisin, siis yhtä kuin<br />
* '''neq''' (not equal) ei saa olla yhtäkuin<br />
* '''range''' (katsotaan koko haitari)<br />
<br />
Esimerkissä estämme ftp liikenteen vierasverkosta 192.168.100.0/24 yrityksenverkkoon joka on 192.168.200.0/24<br />
<br />
access-list 150 deny tcp 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 eq 21<br />
access-list 150 deny tcp 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 eq 21<br />
access-list 150 permit ip any any<br />
interface Fastethernet 0/1<br />
ip access-group 150 in<br />
<br />
=== Access listan asetus interfaceen ===<br />
<br />
<br />
Access listat voi näppärästi laittaa eri interfaceihin komennolla ''ip access-group''. Ensin siis luodaan access-lista, sitten se osoitetaan tietylle interfacelle ja määritellään vielä ohjaako se ulos- vai sisäänpäinmenevää liikennettä.<br />
<br />
Esimerkissä reitittimen wan interface on fa0/0 ja verkko josta halutaan sallia liikenne on interfacessa 0/1 ja siellä haluttu verkko on 192.168.100.0/24<br />
<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
Nyt kaikki verkossa 192.168.100.0/24 olevat laitteet pääsee verkkoon. Jos halutaan estää vaikkapa joku toimiston sihteeri jonka ip on 192.168.100.10, niin lisätään access-listaan vain vähän tavaraa.<br />
<br />
no access-list 10 ''poistetaan vanha acl kummittelemasta''<br />
access-list 10 deny 192.168.100.10 0.0.0.0<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
==== ACL hallitsemaan reitittimen hallintaa ====<br />
<br />
Access-listan voi tietenkin laittaa myös esimerkiksi kontrolloimaan telnet tai ssh yhteyksiä. Esimerkissämme sysadminin koneen ip on 192.168.100.100, eikä muille haluta antaa pääsyä reitittimelle ssh:n avulla.<br />
<br />
access-list 7 permit 192.168.100.100 0.0.0.0<br />
access-list 7 deny any<br />
line vty 0 4 <br />
password Qwerty1<br />
login<br />
access-class 7 in</div>Johanneshttps://taisto.org/index.php?title=Cisco_acl&diff=5339Cisco acl2015-03-13T09:01:54Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. <br />
<br />
* Stantard ACL tutkailee vain lähde ip-osoitetta<br />
* Extended ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.<br />
<br />
Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.<br />
<br />
<br />
== Stantard ACL ==<br />
<br />
Komento kokonaisuudessaan:<br />
Reititin(config)#'''access-list''' ''access-listan-numero'' '''[deny | permit | remark]''' ''source [source-wildcard]'' '''[log]'''<br />
<br />
Parametrit komennossa:<br />
* ''Access-listan numero, stantardissa se on 1-99 tai 1300-1999.''<br />
* deny ''Jos osuu, niin tippuu''<br />
* permit ''Jos osuu, niin sallii''<br />
* remark ''Lisää kommentin jotta olis helpompi jälkikäteen ymmärtää mitä acl tekee, tämä on max 100 merkkiä''<br />
* lähde ''Joko verkon osoite tai hostin osoite mistä paketti on lähtenyt, voi laittaa myös '''any''', jolloin mikävaan lähdeosoite huomioidaan ''<br />
* lähteen wildcardi ''HUOM, vapaaehtoinen. tähänkin voi laittaa '''any'''''<br />
* log ''Vapaaehtoinen, tähän voi määrittää että paketit jotka ottaa hitin tästä listasta esitetään consolissa. Sen, että minkätasoiset viestit consolissa näytetään voi määrittää logging console komennolla''<br />
<br />
<br />
Access-listan voi myös nimetä eikä numeroida. Esimerkiksi jos haluu blokata http liikenteen voi listan nimetä NO_HTTP nimellä. konffaus myös eroaa hieman, voit laittaa monta riviä heti samaan syssyyn.<br />
<br />
ip access-list stantard EI_HERMANNIA<br />
deny host 192.168.100.100<br />
permit 192.168.100.0 0.0.0.255<br />
interface Fa0/0<br />
ip access-group EI_HERMANNIA<br />
<br />
<br />
== Extended ACL ==<br />
<br />
Extended acl on 100-199 tai 2000-2699.<br />
<br />
Extended access-listassa tarkastellaan lähdeosoitteen lisäksi pääteosoitetta sekä pyös protokollia ja porttinumeroita.<br />
<br />
Extended access-listan komento on toki paljon pidempi, koska siinä on enemmän muuttujia<br />
<br />
access-list ''access-listan numero tai nimi'' '''{deny | permit | remark}''' ''protokolla'' ''lähde'' '''['''''lähteen wildcardi''''']''' '''[muuttuja]''' '''[portin numero tai nimi]''' ''kohde'' '''['''''kohteen wildcardi''''']''' '''[muuttuja]''' '''[portin numero tai nimi]''' '''[established]'''<br />
<br />
Operaattoreita on seuraavanlaisia:<br />
* '''lt''' (less than) vähintään siis<br />
* '''gt''' (greater than) enintään siis<br />
* '''eq''' (equal) ehkä se yleisin, siis yhtä kuin<br />
* '''neq''' (not equal) ei saa olla yhtäkuin<br />
* '''range''' (katsotaan koko haitari)<br />
<br />
=== Access listan asetus interfaceen ===<br />
<br />
<br />
Access listat voi näppärästi laittaa eri interfaceihin komennolla ''ip access-group''. Ensin siis luodaan access-lista, sitten se osoitetaan tietylle interfacelle ja määritellään vielä ohjaako se ulos- vai sisäänpäinmenevää liikennettä.<br />
<br />
Esimerkissä reitittimen wan interface on fa0/0 ja verkko josta halutaan sallia liikenne on interfacessa 0/1 ja siellä haluttu verkko on 192.168.100.0/24<br />
<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
Nyt kaikki verkossa 192.168.100.0/24 olevat laitteet pääsee verkkoon. Jos halutaan estää vaikkapa joku toimiston sihteeri jonka ip on 192.168.100.10, niin lisätään access-listaan vain vähän tavaraa.<br />
<br />
no access-list 10 ''poistetaan vanha acl kummittelemasta''<br />
access-list 10 deny 192.168.100.10 0.0.0.0<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
==== ACL hallitsemaan reitittimen hallintaa ====<br />
<br />
Access-listan voi tietenkin laittaa myös esimerkiksi kontrolloimaan telnet tai ssh yhteyksiä. Esimerkissämme sysadminin koneen ip on 192.168.100.100, eikä muille haluta antaa pääsyä reitittimelle ssh:n avulla.<br />
<br />
access-list 7 permit 192.168.100.100 0.0.0.0<br />
access-list 7 deny any<br />
line vty 0 4 <br />
password Qwerty1<br />
login<br />
access-class 7 in</div>Johanneshttps://taisto.org/index.php?title=Cisco_acl&diff=5338Cisco acl2015-03-13T08:11:36Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. <br />
<br />
* Stantard ACL tutkailee vain lähde ip-osoitetta<br />
* Extended ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.<br />
<br />
Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.<br />
<br />
<br />
== Stantard ACL ==<br />
<br />
Komento kokonaisuudessaan:<br />
Reititin(config)#'''access-list''' ''access-listan-numero'' '''[deny | permit | remark]''' ''source [source-wildcard]'' '''[log]'''<br />
<br />
Parametrit komennossa:<br />
* ''Access-listan numero, stantardissa se on 1-99 tai 1300-1999.''<br />
* deny ''Jos osuu, niin tippuu''<br />
* permit ''Jos osuu, niin sallii''<br />
* remark ''Lisää kommentin jotta olis helpompi jälkikäteen ymmärtää mitä acl tekee, tämä on max 100 merkkiä''<br />
* lähde ''Joko verkon osoite tai hostin osoite mistä paketti on lähtenyt, voi laittaa myös '''any''', jolloin mikävaan lähdeosoite huomioidaan ''<br />
* lähteen wildcardi ''HUOM, vapaaehtoinen. tähänkin voi laittaa '''any'''''<br />
* log ''Vapaaehtoinen, tähän voi määrittää että paketit jotka ottaa hitin tästä listasta esitetään consolissa. Sen, että minkätasoiset viestit consolissa näytetään voi määrittää logging console komennolla''<br />
<br />
<br />
Access-listan voi myös nimetä eikä numeroida. Esimerkiksi jos haluu blokata http liikenteen voi listan nimetä NO_HTTP nimellä. konffaus myös eroaa hieman, voit laittaa monta riviä heti samaan syssyyn.<br />
<br />
ip access-list stantard EI_HERMANNIA<br />
deny host 192.168.100.100<br />
permit 192.168.100.0 0.0.0.255<br />
interface Fa0/0<br />
ip access-group EI_HERMANNIA<br />
<br />
<br />
== Extended ACL ==<br />
<br />
Extended acl on 100-199 tai 2000-2699.<br />
<br />
Extended access-listassa tarkastellaan lähdeosoitteen lisäksi pääteosoitetta sekä pyös protokollia ja porttinumeroita.<br />
<br />
Extended access-listan komento on toki paljon pidempi, koska siinä on enemmän muuttujia<br />
<br />
access-list ''access-listan numero tai nimi'' '''{deny | permit | remark}''' ''protokolla'' ''lähde'' '''['''''lähteen wildcardi''''']''' '''[muuttuja]''' '''[portin numero tai nimi]''' ''kohde'' '''['''''kohteen wildcardi''''']''' '''[muuttuja]''' '''[portin numero tai nimi]'''<br />
<br />
=== Access listan asetus interfaceen ===<br />
<br />
<br />
Access listat voi näppärästi laittaa eri interfaceihin komennolla ''ip access-group''. Ensin siis luodaan access-lista, sitten se osoitetaan tietylle interfacelle ja määritellään vielä ohjaako se ulos- vai sisäänpäinmenevää liikennettä.<br />
<br />
Esimerkissä reitittimen wan interface on fa0/0 ja verkko josta halutaan sallia liikenne on interfacessa 0/1 ja siellä haluttu verkko on 192.168.100.0/24<br />
<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
Nyt kaikki verkossa 192.168.100.0/24 olevat laitteet pääsee verkkoon. Jos halutaan estää vaikkapa joku toimiston sihteeri jonka ip on 192.168.100.10, niin lisätään access-listaan vain vähän tavaraa.<br />
<br />
no access-list 10 ''poistetaan vanha acl kummittelemasta''<br />
access-list 10 deny 192.168.100.10 0.0.0.0<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
==== ACL hallitsemaan reitittimen hallintaa ====<br />
<br />
Access-listan voi tietenkin laittaa myös esimerkiksi kontrolloimaan telnet tai ssh yhteyksiä. Esimerkissämme sysadminin koneen ip on 192.168.100.100, eikä muille haluta antaa pääsyä reitittimelle ssh:n avulla.<br />
<br />
access-list 7 permit 192.168.100.100 0.0.0.0<br />
access-list 7 deny any<br />
line vty 0 4 <br />
password Qwerty1<br />
login<br />
access-class 7 in</div>Johanneshttps://taisto.org/index.php?title=Cisco_acl&diff=5337Cisco acl2015-03-13T07:29:03Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. <br />
<br />
* Stantard ACL tutkailee vain lähde ip-osoitetta<br />
* Extended ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.<br />
<br />
Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.<br />
<br />
<br />
== Stantard ACL ==<br />
<br />
Komento kokonaisuudessaan:<br />
Reititin(config)#'''access-list''' ''access-listan-numero'' '''[deny | permit | remark]''' ''source [source-wildcard]'' '''[log]'''<br />
<br />
Parametrit komennossa:<br />
* ''Access-listan numero, stantardissa se on 1-99 tai 1300-1999.''<br />
* deny ''Jos osuu, niin tippuu''<br />
* permit ''Jos osuu, niin sallii''<br />
* remark ''Lisää kommentin jotta olis helpompi jälkikäteen ymmärtää mitä acl tekee, tämä on max 100 merkkiä''<br />
* lähde ''Joko verkon osoite tai hostin osoite mistä paketti on lähtenyt, voi laittaa myös '''any''', jolloin mikävaan lähdeosoite huomioidaan ''<br />
* lähteen wildcardi ''HUOM, vapaaehtoinen. tähänkin voi laittaa '''any'''''<br />
* log ''Vapaaehtoinen, tähän voi määrittää että paketit jotka ottaa hitin tästä listasta esitetään consolissa. Sen, että minkätasoiset viestit consolissa näytetään voi määrittää logging console komennolla''<br />
<br />
<br />
Access-listan voi myös nimetä eikä numeroida. Esimerkiksi jos haluu blokata http liikenteen voi listan nimetä NO_HTTP nimellä. konffaus myös eroaa hieman, voit laittaa monta riviä heti samaan syssyyn.<br />
<br />
ip access-list stantard EI_HERMANNIA<br />
deny host 192.168.100.100<br />
permit 192.168.100.0 0.0.0.255<br />
interface Fa0/0<br />
ip access-group EI_HERMANNIA<br />
<br />
<br />
== Extended ACL ==<br />
<br />
Extended acl on 100-199 tai 2000-2699.<br />
<br />
Extended access-listassa tarkastellaan lähdeosoitteen lisäksi pääteosoitetta sekä pyös protokollia ja porttinumeroita.<br />
<br />
Extended access-listan komento on toki paljon pidempi, koska siinä on enemmän muuttujia<br />
<br />
=== Access listan asetus interfaceen ===<br />
<br />
<br />
Access listat voi näppärästi laittaa eri interfaceihin komennolla ''ip access-group''. Ensin siis luodaan access-lista, sitten se osoitetaan tietylle interfacelle ja määritellään vielä ohjaako se ulos- vai sisäänpäinmenevää liikennettä.<br />
<br />
Esimerkissä reitittimen wan interface on fa0/0 ja verkko josta halutaan sallia liikenne on interfacessa 0/1 ja siellä haluttu verkko on 192.168.100.0/24<br />
<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
Nyt kaikki verkossa 192.168.100.0/24 olevat laitteet pääsee verkkoon. Jos halutaan estää vaikkapa joku toimiston sihteeri jonka ip on 192.168.100.10, niin lisätään access-listaan vain vähän tavaraa.<br />
<br />
no access-list 10 ''poistetaan vanha acl kummittelemasta''<br />
access-list 10 deny 192.168.100.10 0.0.0.0<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
==== ACL hallitsemaan reitittimen hallintaa ====<br />
<br />
Access-listan voi tietenkin laittaa myös esimerkiksi kontrolloimaan telnet tai ssh yhteyksiä. Esimerkissämme sysadminin koneen ip on 192.168.100.100, eikä muille haluta antaa pääsyä reitittimelle ssh:n avulla.<br />
<br />
access-list 7 permit 192.168.100.100 0.0.0.0<br />
access-list 7 deny any<br />
line vty 0 4 <br />
password Qwerty1<br />
login<br />
access-class 7 in</div>Johanneshttps://taisto.org/index.php?title=Cisco_acl&diff=5336Cisco acl2015-03-12T12:59:23Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. <br />
<br />
* Stantard ACL tutkailee vain lähde ip-osoitetta<br />
* Extended ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.<br />
<br />
Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.<br />
<br />
<br />
== Stantard ACL ==<br />
<br />
Komento kokonaisuudessaan:<br />
Reititin(config)#'''access-list''' ''access-listan-numero'' '''[deny | permit | remark]''' ''source [source-wildcard]'' '''[log]'''<br />
<br />
Parametrit komennossa:<br />
* ''Access-listan numero, stantardissa se on 1-99 tai 1300-1999.''<br />
* deny ''Jos osuu, niin tippuu''<br />
* permit ''Jos osuu, niin sallii''<br />
* remark ''Lisää kommentin jotta olis helpompi jälkikäteen ymmärtää mitä acl tekee, tämä on max 100 merkkiä''<br />
* lähde ''Joko verkon osoite tai hostin osoite mistä paketti on lähtenyt, voi laittaa myös '''any''', jolloin mikävaan lähdeosoite huomioidaan ''<br />
* lähteen wildcardi ''HUOM, vapaaehtoinen. tähänkin voi laittaa '''any'''''<br />
* log ''Vapaaehtoinen, tähän voi määrittää että paketit jotka ottaa hitin tästä listasta esitetään consolissa. Sen, että minkätasoiset viestit consolissa näytetään voi määrittää logging console komennolla''<br />
<br />
<br />
Access-listan voi myös nimetä eikä numeroida. Esimerkiksi jos haluu blokata http liikenteen voi listan nimetä NO_HTTP nimellä. konffaus myös eroaa hieman, voit laittaa monta riviä heti samaan syssyyn.<br />
<br />
ip access-list stantard EI_HERMANNIA<br />
deny host 192.168.100.100<br />
permit 192.168.100.0 0.0.0.255<br />
interface Fa0/0<br />
ip access-group EI_HERMANNIA<br />
<br />
<br />
== Extended ACL ==<br />
<br />
=== Access listan asetus interfaceen ===<br />
<br />
<br />
Access listat voi näppärästi laittaa eri interfaceihin komennolla ''ip access-group''. Ensin siis luodaan access-lista, sitten se osoitetaan tietylle interfacelle ja määritellään vielä ohjaako se ulos- vai sisäänpäinmenevää liikennettä.<br />
<br />
Esimerkissä reitittimen wan interface on fa0/0 ja verkko josta halutaan sallia liikenne on interfacessa 0/1 ja siellä haluttu verkko on 192.168.100.0/24<br />
<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
Nyt kaikki verkossa 192.168.100.0/24 olevat laitteet pääsee verkkoon. Jos halutaan estää vaikkapa joku toimiston sihteeri jonka ip on 192.168.100.10, niin lisätään access-listaan vain vähän tavaraa.<br />
<br />
no access-list 10 ''poistetaan vanha acl kummittelemasta''<br />
access-list 10 deny 192.168.100.10 0.0.0.0<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
==== ACL hallitsemaan reitittimen hallintaa ====<br />
<br />
Access-listan voi tietenkin laittaa myös esimerkiksi kontrolloimaan telnet tai ssh yhteyksiä. Esimerkissämme sysadminin koneen ip on 192.168.100.100, eikä muille haluta antaa pääsyä reitittimelle ssh:n avulla.<br />
<br />
access-list 7 permit 192.168.100.100 0.0.0.0<br />
access-list 7 deny any<br />
line vty 0 4 <br />
password Qwerty1<br />
login<br />
access-class 7 in</div>Johanneshttps://taisto.org/index.php?title=Cisco_acl&diff=5335Cisco acl2015-03-12T12:52:26Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. <br />
<br />
* Stantard ACL tutkailee vain lähde ip-osoitetta<br />
* Extented ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.<br />
<br />
Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.<br />
<br />
<br />
== Stantard ACL ==<br />
<br />
Komento kokonaisuudessaan:<br />
Reititin(config)#'''access-list''' ''access-listan-numero'' '''[deny | permit | remark]''' ''source [source-wildcard]'' '''[log]'''<br />
<br />
Parametrit komennossa:<br />
* ''Access-listan numero, stantardissa se on 1-99 tai 1300-1999.''<br />
* deny ''Jos osuu, niin tippuu''<br />
* permit ''Jos osuu, niin sallii''<br />
* remark ''Lisää kommentin jotta olis helpompi jälkikäteen ymmärtää mitä acl tekee, tämä on max 100 merkkiä''<br />
* lähde ''Joko verkon osoite tai hostin osoite mistä paketti on lähtenyt, voi laittaa myös '''any''', jolloin mikävaan lähdeosoite huomioidaan ''<br />
* lähteen wildcardi ''HUOM, vapaaehtoinen. tähänkin voi laittaa '''any'''''<br />
* log ''Vapaaehtoinen, tähän voi määrittää että paketit jotka ottaa hitin tästä listasta esitetään consolissa. Sen, että minkätasoiset viestit consolissa näytetään voi määrittää logging console komennolla''<br />
<br />
<br />
Access-listan voi myös nimetä eikä numeroida. Esimerkiksi jos haluu blokata http liikenteen voi listan nimetä NO_HTTP nimellä. konffaus myös eroaa hieman, voit laittaa monta riviä heti samaan syssyyn.<br />
<br />
ip access-list stantard EI_HERMANNIA<br />
deny host 192.168.100.100<br />
permit 192.168.100.0 0.0.0.255<br />
interface Fa0/0<br />
ip access-group EI_HERMANNIA<br />
<br />
<br />
=== Access listan asetus interfaceen ===<br />
<br />
<br />
Access listat voi näppärästi laittaa eri interfaceihin komennolla ''ip access-group''. Ensin siis luodaan access-lista, sitten se osoitetaan tietylle interfacelle ja määritellään vielä ohjaako se ulos- vai sisäänpäinmenevää liikennettä.<br />
<br />
Esimerkissä reitittimen wan interface on fa0/0 ja verkko josta halutaan sallia liikenne on interfacessa 0/1 ja siellä haluttu verkko on 192.168.100.0/24<br />
<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
Nyt kaikki verkossa 192.168.100.0/24 olevat laitteet pääsee verkkoon. Jos halutaan estää vaikkapa joku toimiston sihteeri jonka ip on 192.168.100.10, niin lisätään access-listaan vain vähän tavaraa.<br />
<br />
no access-list 10 ''poistetaan vanha acl kummittelemasta''<br />
access-list 10 deny 192.168.100.10 0.0.0.0<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
==== ACL hallitsemaan reitittimen hallintaa ====<br />
<br />
Access-listan voi tietenkin laittaa myös esimerkiksi kontrolloimaan telnet tai ssh yhteyksiä. Esimerkissämme sysadminin koneen ip on 192.168.100.100, eikä muille haluta antaa pääsyä reitittimelle ssh:n avulla.<br />
<br />
access-list 7 permit 192.168.100.100 0.0.0.0<br />
access-list 7 deny any<br />
line vty 0 4 <br />
password Qwerty1<br />
login<br />
access-class 7 in</div>Johanneshttps://taisto.org/index.php?title=Cisco_acl&diff=5334Cisco acl2015-03-12T12:05:23Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. <br />
<br />
* Stantard ACL tutkailee vain lähde ip-osoitetta<br />
* Extented ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.<br />
<br />
Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.<br />
<br />
== Stantard ACL ==<br />
<br />
Komento kokonaisuudessaan:<br />
Reititin(config)#'''access-list''' ''access-listan-numero'' '''[deny | permit | remark]''' ''source [source-wildcard]'' '''[log]'''<br />
<br />
<br />
<br />
Parametrit komennossa:<br />
* ''Access-listan numero, stantardissa se on 1-99 tai 1300-1999.''<br />
* deny ''Jos osuu, niin tippuu''<br />
* permit ''Jos osuu, niin sallii''<br />
* remark ''Lisää kommentin jotta olis helpompi jälkikäteen ymmärtää mitä acl tekee, tämä on max 100 merkkiä''<br />
* lähde ''Joko verkon osoite tai hostin osoite mistä paketti on lähtenyt, voi laittaa myös '''any''', jolloin mikävaan lähdeosoite huomioidaan ''<br />
* lähteen wildcardi ''HUOM, vapaaehtoinen. tähänkin voi laittaa '''any'''''<br />
* log ''Vapaaehtoinen, tähän voi määrittää että paketit jotka ottaa hitin tästä listasta esitetään consolissa. Sen, että minkätasoiset viestit consolissa näytetään voi määrittää logging console komennolla''<br />
<br />
<br />
=== Access listan asetus interfaceen ===<br />
<br />
<br />
Access listat voi näppärästi laittaa eri interfaceihin komennolla ''ip access-group''. Ensin siis luodaan access-lista, sitten se osoitetaan tietylle interfacelle ja määritellään vielä ohjaako se ulos- vai sisäänpäinmenevää liikennettä.<br />
<br />
Esimerkissä reitittimen wan interface on fa0/0 ja verkko josta halutaan sallia liikenne on interfacessa 0/1 ja siellä haluttu verkko on 192.168.100.0/24<br />
<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
Nyt kaikki verkossa 192.168.100.0/24 olevat laitteet pääsee verkkoon. Jos halutaan estää vaikkapa joku toimiston sihteeri jonka ip on 192.168.100.10, niin lisätään access-listaan vain vähän tavaraa.<br />
<br />
no access-list 10 ''poistetaan vanha acl kummittelemasta''<br />
access-list 10 deny 192.168.100.10 0.0.0.0<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
==== ACL hallitsemaan reitittimen hallintaa ====<br />
<br />
Access-listan voi tietenkin laittaa myös esimerkiksi kontrolloimaan telnet tai ssh yhteyksiä. Esimerkissämme sysadminin koneen ip on 192.168.100.100, eikä muille haluta antaa pääsyä reitittimelle ssh:n avulla.<br />
<br />
access-list 7 permit 192.168.100.100 0.0.0.0<br />
access-list 7 deny any<br />
line vty 0 4 <br />
password Qwerty1<br />
login<br />
access-class 7 in</div>Johanneshttps://taisto.org/index.php?title=Cisco_acl&diff=5333Cisco acl2015-03-12T11:54:46Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. <br />
<br />
* Stantard ACL tutkailee vain lähde ip-osoitetta<br />
* Extented ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.<br />
<br />
Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.<br />
<br />
== Stantard ACL ==<br />
<br />
Komento kokonaisuudessaan:<br />
Reititin(config)#'''access-list''' ''access-listan-numero'' '''[deny | permit | remark]''' ''source [source-wildcard]'' '''[log]'''<br />
<br />
<br />
<br />
Parametrit komennossa:<br />
* ''Access-listan numero, stantardissa se on 1-99 tai 1300-1999.''<br />
* deny ''Jos osuu, niin tippuu''<br />
* permit ''Jos osuu, niin sallii''<br />
* remark ''Lisää kommentin jotta olis helpompi jälkikäteen ymmärtää mitä acl tekee, tämä on max 100 merkkiä''<br />
* lähde ''Joko verkon osoite tai hostin osoite mistä paketti on lähtenyt, voi laittaa myös '''any''', jolloin mikävaan lähdeosoite huomioidaan ''<br />
* lähteen wildcardi ''HUOM, vapaaehtoinen. tähänkin voi laittaa '''any'''''<br />
* log ''Vapaaehtoinen, tähän voi määrittää että paketit jotka ottaa hitin tästä listasta esitetään consolissa. Sen, että minkätasoiset viestit consolissa näytetään voi määrittää logging console komennolla''<br />
<br />
<br />
=== Access listan asetus interfaceen ===<br />
<br />
<br />
Access listat voi näppärästi laittaa eri interfaceihin komennolla ''ip access-group''. Ensin siis luodaan access-lista, sitten se osoitetaan tietylle interfacelle ja määritellään vielä ohjaako se ulos- vai sisäänpäinmenevää liikennettä.<br />
<br />
Esimerkissä reitittimen wan interface on fa0/0 ja verkko josta halutaan sallia liikenne on interfacessa 0/1 ja siellä haluttu verkko on 192.168.100.0/24<br />
<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out<br />
<br />
Nyt kaikki verkossa 192.168.100.0/24 olevat laitteet pääsee verkkoon. Jos halutaan estää vaikkapa joku toimiston sihteeri jonka ip on 192.168.100.10, niin lisätään access-listaan vain vähän tavaraa.<br />
<br />
no access-list 10 ''poistetaan vanha acl kummittelemasta''<br />
access-list 10 deny 192.168.100.10 0.0.0.0<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out</div>Johanneshttps://taisto.org/index.php?title=Cisco_acl&diff=5332Cisco acl2015-03-12T11:48:36Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. <br />
<br />
* Stantard ACL tutkailee vain lähde ip-osoitetta<br />
* Extented ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.<br />
<br />
Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.<br />
<br />
== Stantard ACL ==<br />
<br />
Komento kokonaisuudessaan:<br />
Reititin(config)#'''access-list''' ''access-listan-numero'' '''[deny | permit | remark]''' ''source [source-wildcard]'' '''[log]'''<br />
<br />
<br />
<br />
Parametrit komennossa:<br />
* ''Access-listan numero, stantardissa se on 1-99 tai 1300-1999.''<br />
* deny ''Jos osuu, niin tippuu''<br />
* permit ''Jos osuu, niin sallii''<br />
* remark ''Lisää kommentin jotta olis helpompi jälkikäteen ymmärtää mitä acl tekee, tämä on max 100 merkkiä''<br />
* lähde ''Joko verkon osoite tai hostin osoite mistä paketti on lähtenyt, voi laittaa myös '''any''', jolloin mikävaan lähdeosoite huomioidaan ''<br />
* lähteen wildcardi ''HUOM, vapaaehtoinen. tähänkin voi laittaa '''any'''''<br />
* log ''Vapaaehtoinen, tähän voi määrittää että paketit jotka ottaa hitin tästä listasta esitetään consolissa. Sen, että minkätasoiset viestit consolissa näytetään voi määrittää logging console komennolla''<br />
<br />
<br />
=== Access listan asetus interfaceen ===<br />
<br />
<br />
Access listat voi näppärästi laittaa eri interfaceihin komennolla ''ip access-group''. Ensin siis luodaan access-lista, sitten se osoitetaan tietylle interfacelle ja määritellään vielä ohjaako se ulos- vai sisäänpäinmenevää liikennettä.<br />
<br />
Esimerkissä reitittimen wan interface on fa0/0 ja verkko josta halutaan sallia liikenne on interfacessa 0/1 ja siellä haluttu verkko on 192.168.100.0/24<br />
<br />
access-list 10 permit 192.168.100.0 0.0.0.255<br />
interface fastethernet 0/0 <br />
ip access-group 10 out</div>Johanneshttps://taisto.org/index.php?title=Cisco_acl&diff=5331Cisco acl2015-03-10T20:39:16Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. <br />
<br />
* Stantard ACL tutkailee vain lähde ip-osoitetta<br />
* Extented ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.<br />
<br />
Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.<br />
<br />
== Stantard ACL ==<br />
<br />
Komento kokonaisuudessaan:<br />
Reititin(config)#'''access-list''' ''access-listan-numero'' '''[deny | permit | remark]''' ''source [source-wildcard]'' '''[log]'''<br />
<br />
<br />
<br />
Parametrit komennossa:<br />
* ''Access-listan numero, stantardissa se on 1-99 tai 1300-1999.''<br />
* deny ''Jos osuu, niin tippuu''<br />
* permit ''Jos osuu, niin sallii''<br />
* remark ''Lisää kommentin jotta olis helpompi jälkikäteen ymmärtää mitä acl tekee, tämä on max 100 merkkiä''<br />
* lähde ''Joko verkon osoite tai hostin osoite mistä paketti on lähtenyt, voi laittaa myös '''any''', jolloin mikävaan lähdeosoite huomioidaan ''<br />
* lähteen wildcardi ''HUOM, vapaaehtoinen. tähänkin voi laittaa '''any'''''<br />
* log ''Vapaaehtoinen, tähän voi määrittää että paketit jotka ottaa hitin tästä listasta esitetään consolissa. Sen, että minkätasoiset viestit consolissa näytetään voi määrittää logging console komennolla''</div>Johanneshttps://taisto.org/index.php?title=Cisco_acl&diff=5330Cisco acl2015-03-10T20:32:35Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. <br />
<br />
* Stantard ACL tutkailee vain lähde ip-osoitetta<br />
* Extented ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.<br />
<br />
Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.<br />
<br />
== Stantard ACL ==<br />
<br />
Komento kokonaisuudessaan:<br />
Reititin(config)#'''access-list''' ''access-listan-numero'' '''[deny | permit | remark]''' ''source [source-wildcard]'' '''[log]'''<br />
<br />
<br />
<br />
Parametrit komennossa:<br />
* ''Access-listan numero, stantardissa se on 1-99 tai 1300-1999.''<br />
* deny ''Jos osuu, niin tippuu''<br />
* permit ''Jos osuu, niin sallii''<br />
* remark ''Lisää kommentin jotta olis helpompi jälkikäteen ymmärtää mitä acl tekee''<br />
* lähde ''Joko verkon osoite tai hostin osoite mistä paketti on lähtenyt, voi laittaa myös '''any''', jolloin mikävaan lähdeosoite huomioidaan ''<br />
* lähteen wildcardi ''HUOM, vapaaehtoinen. tähänkin voi laittaa '''any'''''<br />
* log ''Vapaaehtoinen, tähän voi määrittää että paketit jotka ottaa hitin tästä listasta esitetään consolissa. Sen, että minkätasoiset viestit consolissa näytetään voi määrittää logging console komennolla''</div>Johanneshttps://taisto.org/index.php?title=Cisco_acl&diff=5329Cisco acl2015-03-10T20:29:44Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. <br />
<br />
* Stantard ACL tutkailee vain lähde ip-osoitetta<br />
* Extented ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.<br />
<br />
Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.<br />
<br />
== Stantard ACL ==<br />
<br />
<br />
Parametrit komennossa:<br />
* ''Access-listan numero, stantardissa se on 1-99 tai 1300-1999.''<br />
* deny ''Jos osuu, niin tippuu''<br />
* permit ''Jos osuu, niin sallii''<br />
* remark ''Lisää kommentin jotta olis helpompi jälkikäteen ymmärtää mitä acl tekee''<br />
* lähde ''Joko verkon osoite tai hostin osoite mistä paketti on lähtenyt, voi laittaa myös '''any''', jolloin mikävaan lähdeosoite huomioidaan ''<br />
* lähteen wildcardi ''HUOM, vapaaehtoinen. tähänkin voi laittaa '''any'''''<br />
* log ''Vapaaehtoinen, tähän voi määrittää että paketit jotka ottaa hitin tästä listasta esitetään consolissa. Sen, että minkätasoiset viestit consolissa näytetään voi määrittää logging console komennolla''</div>Johanneshttps://taisto.org/index.php?title=Cisco_acl&diff=5328Cisco acl2015-03-10T20:14:57Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. <br />
<br />
* Stantard ACL tutkailee vain lähde ip-osoitetta<br />
* Extented ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.<br />
<br />
Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.<br />
<br />
== Stantard ACL ==</div>Johanneshttps://taisto.org/index.php?title=Cisco_acl&diff=5327Cisco acl2015-03-10T20:14:45Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. <br />
<br />
* Stantard ACL tutkailee vain lähde ip-osoitetta<br />
* Extented ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.<br />
<br />
Access listat luetaan aina YLHÄÄLTÄ ALAS. Jos mikään rivi ei kohtaa pakettia, lopuksi se aina KIELLETÄÄN, siis salli paketti erikseen jos haluat sen menevän läpi.<br />
<br />
=== Stantard ACL ===</div>Johanneshttps://taisto.org/index.php?title=Cisco_acl&diff=5326Cisco acl2015-03-10T20:12:11Z<p>Johannes: Ak: Uusi sivu: Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. * Stantard...</p>
<hr />
<div>Access listat ovat eräitä eniten käytetyimpiä osia cisco iosissa. Access listoja on monenlaisia, ensimmäisenä tulevat varmaan vastaan sanat stantard ja extended. <br />
<br />
* Stantard ACL tutkailee vain lähde ip-osoitetta<br />
* Extented ACL:lään voi määrittää sekä lähde-, että kohde ipn. Myös kaikenlaista muuta, tärkeimpänä protokollat ja portit.</div>Johanneshttps://taisto.org/index.php?title=Johanneksen_opinn%C3%A4ytety%C3%B6&diff=5325Johanneksen opinnäytetyö2015-03-10T16:43:00Z<p>Johannes: Ak: Uusi sivu: {{#allow-groups:user}} Tässä on Johanneksen pohdintaa hänen opinnäytetyöstä. Hmm millasen sitä tekis Hmm siihen vois käyttää vaika cisco routeria cisco kytkintä mikro...</p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
Tässä on Johanneksen pohdintaa hänen opinnäytetyöstä.<br />
<br />
Hmm millasen sitä tekis<br />
<br />
Hmm siihen vois käyttää vaika cisco routeria cisco kytkintä mikrotik purkkia ja linux pannua..<br />
<br />
Ehkä tällanen:<br />
<br />
* Cisco Router hoitais reititys, vpn, reilusti acl-listoja.<br />
* Cisco kytkin olis vaan dot1x testausta varten lähinnä<br />
* Mikrotik hoitais langattomia verkkoja<br />
* linux pannu freeradiuksena<br />
<br />
<br />
Idea: Tietoturvallisen lähiverkon parannus.<br />
<br />
Kolme vlania<br />
* Guest vlan, ainoastaan langaton<br />
* yritys verkko, langaton sekä kytkimessä (dot1x autentikoinnilla)<br />
* hallintaverkko, tönne pääsee yritysverkosta jollain tunnelipunnelilla.</div>Johanneshttps://taisto.org/index.php?title=Cisco_reititin_tietoturva&diff=5318Cisco reititin tietoturva2015-03-05T14:05:59Z<p>Johannes: </p>
<hr />
<div>Suljetaan ylimääräiset pääsyt, esimerkiksi aux<br />
<br />
line aux 0<br />
no password<br />
login<br />
exit<br />
Nyt ei pääse kirjautumaan, koska salasanaa ei ole asetettu.<br />
<br />
<br />
VTY tietoturva<br />
<br />
Kannattaa sulkea ylimääräiset pääsyt, esim telnet.<br />
<br />
line vty 0 4<br />
no transport input<br />
transport input telnet ssh <small>#sallii sekä telnet että ssh pääsyn</small><br />
<br />
line vty 0 4<br />
no transport input<br />
transport input ssh <small>#sallii vain ssh pääsyn</small><br />
<br />
<br />
Cisco laitteissa on vain tietty määrä vty linejä, yleensä viisi. Jos kaikkiin on pääsy, voi joku ilkkimys ottaa viisi yhteyttä samaan aikaan ja estää pääsyn adminilta, ei siis tarvitse edes päästä kirjautumaan sisään. Jos haluaa olla varma voi konffata yhden linen sallituksi vain adminilta, esimerkiksi acces listalla tietyltä koneelta.<br />
<br />
Yksi hyvä keino on konffata tcp-keepalive<br />
<br />
line vty 0 4<br />
exec-timeout 3<br />
exit<br />
service tcp-keepalives-in<br />
<br />
Nyt idle yhteydet pätkäisee kolmen minuutin kuluttua<br />
<br />
ssh kannattaa ehdottomasti laittaa. kaikki iossit ei kuitenkaan tue ssh, jos iossin nimessä on k8 tai k9 niin ne tukee.<br />
<br />
<br />
Ssh kannattaa laittaa timeoutit<br />
<br />
ip ssh time-out 15<br />
ip ssh authentication-retries 2<br />
<br />
<br />
Reitittimissä on paljon featureja, joista joitain kannattaa disabloida.<br />
Tässä joitain joiden disabloimista kannattaa harkita:<br />
<br />
* Cisco Discovery Protocol (CDP)<br />
* TCP small servers<br />
* UDP small servers<br />
* Finger<br />
* HTTP server<br />
* BOOTP server<br />
* Configuration autoloading<br />
* IP source routing<br />
* Proxy ARP<br />
* IP directed broadcast<br />
* Classless routing<br />
* IP unreachable notifications<br />
* IP mask reply<br />
* IP redirects<br />
* NTP service<br />
* Simple Network Managment Protocol<br />
* Domain Name Service<br />
<br />
<br />
==== Reititys ====<br />
<br />
Jollei reittipäivityksiä salata mitenkään, niitä voi urkkia ja häiritä. Joku voi esimerkiksi mainostaa välissä jotain ip osoitetta niin että paketti mikä pitäisi mennä jonnekin muualle sekoaa ja alkaa luuppaamaan.<br />
<br />
Paras keino suojeluun on käyttää md5 algoritmiä reititys pakettien autentikointiin.<br />
<br />
<br />
RIPv2 suojaaminen. Estetään ensiksi päivitysten lähetys interfaceista mihin niiden ei tarvitse mennä. Teemme kaikista ensin passiivia, niin ne vastaanottaa päivityksiä, mutta eivät lähetä niitä. Sitten nostetaan se normaaliksi mistä tulee päivitysten myös lähteä.<br />
<br />
router rip<br />
passive-interface default<br />
no passive-interface fa0/0 (eli se interface mistä on tarve päivitysten mennä)<br />
<br />
Nyt konffataan md5 autentikointi jotta asiattomat vierailijat verkossa eivät saisi rip päivityksiä.<br />
<br />
key chain rip_salaus<br />
key 1<br />
key-string Qwerty1<br />
exit<br />
exit<br />
interface fastEthernet 0/0<br />
ip rip authentication mode md5<br />
ip rip authentication key-chain rip_salaus<br />
<br />
Nyt salausavain on nimeltään rip_salaus ja se on Qwerty1 ja käyttää md5 salaus algoritmiä.<br />
HUOM! samat jutut pitää tehdä kaikkiin routtereihin.<br />
<br />
EIGRP ja OSPF konffit melko samanlaisia:<br />
<br />
key chain eigrp_avain<br />
key 1<br />
key-string Qwerty1<br />
exit<br />
exit<br />
interface fastEthernet 0/0<br />
ip authentication mode eigrp 1 md5<br />
ip authentication key-chain eigrp 1 eigrp_avain<br />
<br />
interface fastEthernet 0/0<br />
ip ospf message-digest-key 1 md5 Qwerty1<br />
ip ospf authentication message-digest<br />
exit<br />
router ospf 10<br />
area 0 authentication message-digest</div>Johanneshttps://taisto.org/index.php?title=Cisco_reititin_tietoturva&diff=5317Cisco reititin tietoturva2015-03-05T14:01:28Z<p>Johannes: </p>
<hr />
<div>Suljetaan ylimääräiset pääsyt, esimerkiksi aux<br />
<br />
line aux 0<br />
no password<br />
login<br />
exit<br />
Nyt ei pääse kirjautumaan, koska salasanaa ei ole asetettu.<br />
<br />
<br />
VTY tietoturva<br />
<br />
Kannattaa sulkea ylimääräiset pääsyt, esim telnet.<br />
<br />
line vty 0 4<br />
no transport input<br />
transport input telnet ssh <small>#sallii sekä telnet että ssh pääsyn</small><br />
<br />
line vty 0 4<br />
no transport input<br />
transport input ssh <small>#sallii vain ssh pääsyn</small><br />
<br />
<br />
Cisco laitteissa on vain tietty määrä vty linejä, yleensä viisi. Jos kaikkiin on pääsy, voi joku ilkkimys ottaa viisi yhteyttä samaan aikaan ja estää pääsyn adminilta, ei siis tarvitse edes päästä kirjautumaan sisään. Jos haluaa olla varma voi konffata yhden linen sallituksi vain adminilta, esimerkiksi acces listalla tietyltä koneelta.<br />
<br />
Yksi hyvä keino on konffata tcp-keepalive<br />
<br />
line vty 0 4<br />
exec-timeout 3<br />
exit<br />
service tcp-keepalives-in<br />
<br />
Nyt idle yhteydet pätkäisee kolmen minuutin kuluttua<br />
<br />
ssh kannattaa ehdottomasti laittaa. kaikki iossit ei kuitenkaan tue ssh, jos iossin nimessä on k8 tai k9 niin ne tukee.<br />
<br />
<br />
Ssh kannattaa laittaa timeoutit<br />
<br />
ip ssh time-out 15<br />
ip ssh authentication-retries 2<br />
<br />
<br />
Reitittimissä on paljon featureja, joista joitain kannattaa disabloida.<br />
Tässä joitain joiden disabloimista kannattaa harkita:<br />
<br />
* Cisco Discovery Protocol (CDP)<br />
* TCP small servers<br />
* UDP small servers<br />
* Finger<br />
* HTTP server<br />
* BOOTP server<br />
* Configuration autoloading<br />
* IP source routing<br />
* Proxy ARP<br />
* IP directed broadcast<br />
* Classless routing<br />
* IP unreachable notifications<br />
* IP mask reply<br />
* IP redirects<br />
* NTP service<br />
* Simple Network Managment Protocol<br />
* Domain Name Service<br />
<br />
<br />
==== Reititys ====<br />
<br />
Jollei reittipäivityksiä salata mitenkään, niitä voi urkkia ja häiritä. Joku voi esimerkiksi mainostaa välissä jotain ip osoitetta niin että paketti mikä pitäisi mennä jonnekin muualle sekoaa ja alkaa luuppaamaan.<br />
<br />
Paras keino suojeluun on käyttää md5 algoritmiä reititys pakettien autentikointiin.<br />
<br />
<br />
RIPv2 suojaaminen. Estetään ensiksi päivitysten lähetys interfaceista mihin niiden ei tarvitse mennä. Teemme kaikista ensin passiivia, niin ne vastaanottaa päivityksiä, mutta eivät lähetä niitä. Sitten nostetaan se normaaliksi mistä tulee päivitysten myös lähteä.<br />
<br />
router rip<br />
passive-interface default<br />
no passive-interface fa0/0 (eli se interface mistä on tarve päivitysten mennä)<br />
<br />
Nyt konffataan md5 autentikointi jotta asiattomat vierailijat verkossa eivät saisi rip päivityksiä.<br />
<br />
key chain rip_salaus<br />
key 1<br />
key-string Qwerty1<br />
exit<br />
exit<br />
interface fastEthernet 0/0<br />
ip rip authentication mode md5<br />
ip rip authentication key-chain rip_salaus<br />
<br />
Nyt salausavain on nimeltään rip_salaus ja se on Qwerty1 ja käyttää md5 salaus algoritmiä.<br />
HUOM! samat jutut pitää tehdä kaikkiin routtereihin.</div>Johanneshttps://taisto.org/index.php?title=Cisco_reititin_tietoturva&diff=5312Cisco reititin tietoturva2015-03-04T09:25:59Z<p>Johannes: </p>
<hr />
<div>Suljetaan ylimääräiset pääsyt, esimerkiksi aux<br />
<br />
line aux 0<br />
no password<br />
login<br />
exit<br />
Nyt ei pääse kirjautumaan, koska salasanaa ei ole asetettu.<br />
<br />
<br />
VTY tietoturva<br />
<br />
Kannattaa sulkea ylimääräiset pääsyt, esim telnet.<br />
<br />
line vty 0 4<br />
no transport input<br />
transport input telnet ssh <small>#sallii sekä telnet että ssh pääsyn</small><br />
<br />
line vty 0 4<br />
no transport input<br />
transport input ssh <small>#sallii vain ssh pääsyn</small><br />
<br />
<br />
Cisco laitteissa on vain tietty määrä vty linejä, yleensä viisi. Jos kaikkiin on pääsy, voi joku ilkkimys ottaa viisi yhteyttä samaan aikaan ja estää pääsyn adminilta, ei siis tarvitse edes päästä kirjautumaan sisään. Jos haluaa olla varma voi konffata yhden linen sallituksi vain adminilta, esimerkiksi acces listalla tietyltä koneelta.<br />
<br />
Yksi hyvä keino on konffata tcp-keepalive<br />
<br />
line vty 0 4<br />
exec-timeout 3<br />
exit<br />
service tcp-keepalives-in<br />
<br />
Nyt idle yhteydet pätkäisee kolmen minuutin kuluttua<br />
<br />
ssh kannattaa ehdottomasti laittaa. kaikki iossit ei kuitenkaan tue ssh, jos iossin nimessä on k8 tai k9 niin ne tukee.<br />
<br />
<br />
Ssh kannattaa laittaa timeoutit<br />
<br />
ip ssh time-out 15<br />
ip ssh authentication-retries 2<br />
<br />
<br />
Reitittimissä on paljon featureja, joista joitain kannattaa disabloida.<br />
Tässä joitain joiden disabloimista kannattaa harkita:<br />
<br />
* Cisco Discovery Protocol (CDP)<br />
* TCP small servers<br />
* UDP small servers<br />
* Finger<br />
* HTTP server<br />
* BOOTP server<br />
* Configuration autoloading<br />
* IP source routing<br />
* Proxy ARP<br />
* IP directed broadcast<br />
* Classless routing<br />
* IP unreachable notifications<br />
* IP mask reply<br />
* IP redirects<br />
* NTP service<br />
* Simple Network Managment Protocol<br />
* Domain Name Service</div>Johanneshttps://taisto.org/index.php?title=Cisco_reititin_tietoturva&diff=5311Cisco reititin tietoturva2015-03-04T09:10:23Z<p>Johannes: </p>
<hr />
<div>Suljetaan ylimääräiset pääsyt, esimerkiksi aux<br />
<br />
line aux 0<br />
no password<br />
login<br />
exit<br />
Nyt ei pääse kirjautumaan, koska salasanaa ei ole asetettu.<br />
<br />
<br />
VTY tietoturva<br />
<br />
Kannattaa sulkea ylimääräiset pääsyt, esim telnet.<br />
<br />
line vty 0 4<br />
no transport input<br />
transport input telnet ssh <small>#sallii sekä telnet että ssh pääsyn</small><br />
<br />
line vty 0 4<br />
no transport input<br />
transport input ssh <small>#sallii vain ssh pääsyn</small><br />
<br />
<br />
Cisco laitteissa on vain tietty määrä vty linejä, yleensä viisi. Jos kaikkiin on pääsy, voi joku ilkkimys ottaa viisi yhteyttä samaan aikaan ja estää pääsyn adminilta, ei siis tarvitse edes päästä kirjautumaan sisään. Jos haluaa olla varma voi konffata yhden linen sallituksi vain adminilta, esimerkiksi acces listalla tietyltä koneelta.<br />
<br />
Yksi hyvä keino on konffata tcp-keepalive<br />
<br />
line vty 0 4<br />
exec-timeout 3<br />
exit<br />
service tcp-keepalives-in<br />
<br />
Nyt idle yhteydet pätkäisee kolmen minuutin kuluttua<br />
<br />
ssh kannattaa ehdottomasti laittaa. kaikki iossit ei kuitenkaan tue ssh, jos iossin nimessä on k8 tai k9 niin ne tukee.<br />
<br />
<br />
Ssh kannattaa laittaa timeoutit<br />
<br />
ip ssh time-out 15<br />
ip ssh authentication-retries 2</div>Johanneshttps://taisto.org/index.php?title=Cisco_reititin_tietoturva&diff=5310Cisco reititin tietoturva2015-03-04T09:03:32Z<p>Johannes: Ak: Uusi sivu: Suljetaan ylimääräiset pääsyt, esimerkiksi aux line aux 0 no password login exit Nyt ei pääse kirjautumaan, koska salasanaa ei ole asetettu. VTY tietoturva Kannat...</p>
<hr />
<div>Suljetaan ylimääräiset pääsyt, esimerkiksi aux<br />
<br />
line aux 0<br />
no password<br />
login<br />
exit<br />
Nyt ei pääse kirjautumaan, koska salasanaa ei ole asetettu.<br />
<br />
<br />
VTY tietoturva<br />
<br />
Kannattaa sulkea ylimääräiset pääsyt, esim telnet.<br />
<br />
line vty 0 4<br />
no transport input<br />
transport input telnet ssh <small>#sallii sekä telnet että ssh pääsyn</small><br />
<br />
line vty 0 4<br />
no transport input<br />
transport input ssh <small>#sallii vain ssh pääsyn</small><br />
<br />
<br />
Cisco laitteissa on vain tietty määrä vty linejä, yleensä viisi. Jos kaikkiin on pääsy, voi joku ilkkimys ottaa viisi yhteyttä samaan aikaan ja estää pääsyn adminilta, ei siis tarvitse edes päästä kirjautumaan sisään. Jos haluaa olla varma voi konffata yhden linen sallituksi vain adminilta, esimerkiksi acces listalla tietyltä koneelta.<br />
<br />
Yksi hyvä keino on konffata tcp-keepalive<br />
<br />
line vty 0 4<br />
exec-timeout 3<br />
exit<br />
service tcp-keepalives-in<br />
<br />
Nyt idle yhteydet pätkäisee kolmen minuutin kuluttua<br />
<br />
ssh kannattaa ehdottomasti laittaa. kaikki iossit ei kuitenkaan tue ssh, jos iossin nimessä on k8 tai k9 niin ne tukee.</div>Johanneshttps://taisto.org/index.php?title=RouterOS_IPSec&diff=5287RouterOS IPSec2015-02-27T13:09:27Z<p>Johannes: </p>
<hr />
<div>Oletetaan että reitittimillä on jo yhteys toisiinsa. Esimerkin tiedot:<br />
<br />
Site 1:<br />
* WAN 10.0.0.19<br />
* LAN 192.168.200.1<br />
<br />
<br />
Site 2:<br />
* WAN 10.0.0.21<br />
* LAN 192.168.100.1<br />
<br />
<br />
==== Peerin konffaus: ====<br />
<br />
Site 1:<br />
<br />
/ip ipsec peer<br />
add address=192.168.100.1/24 port=500 auth-method=pre-shared-key<br />
secret=Qwerty1<br />
<br />
Site 2:<br />
<br />
/ip ipsec peer<br />
add address=192.168.200.1/24 port=500 auth-method=pre-shared-key<br />
secret=Qwerty1<br />
<br />
<br />
==== Policy ja Proposal konffaus: ====<br />
<br />
/ip ipsec proposal print<br />
<br />
Näemme että meillä on jo simppeli proposal valmiina. konffataan siis policy joka käyttää sitä.<br />
<br />
Site 1:<br />
<br />
/ip ipsec policy<br />
add src-address=192.168.200.0/24 src-port=any dst-address=192.168.100.0/24 dst-port=any sa-src-address=10.0.0.19 sa-dst-address=10.0.0.21 tunnel=yes action=encrypt proposal=default<br />
<br />
Site 2:<br />
<br />
/ip ipsec policy<br />
add src-address=192.168.100.0/24 src-port=any dst-address=192.168.200.0/24 dst-port=any sa-src-address=10.0.0.21 sa-dst-address=10.0.0.19 tunnel=yes action=encrypt proposal=default<br />
<br />
==== Natin konffaus ====<br />
<br />
<br />
Site 1:<br />
<br />
/ip firewall nat<br />
add chain=srcnat action=accept place-before=0 src-address=192.168.200.0/24 dst-address=192.168.100.0/24<br />
<br />
<br />
Site 2:<br />
<br />
/ip firewall nat<br />
add chain=srcnat action=accept place-before=0 src-address=192.168.100.0/24 dst-address=192.168.200.0/24</div>Johanneshttps://taisto.org/index.php?title=RouterOS_IPSec&diff=5286RouterOS IPSec2015-02-27T13:08:59Z<p>Johannes: </p>
<hr />
<div>Oletetaan että reitittimillä on jo yhteys toisiinsa. Esimerkin tiedot:<br />
<br />
Site 1:<br />
* WAN 10.0.0.19<br />
* LAN 192.168.200.1<br />
<br />
<br />
Site 2:<br />
* WAN 10.0.0.21<br />
* LAN 192.168.100.1<br />
<br />
<br />
==== Peerin konffaus: ====<br />
<br />
Site 1:<br />
<br />
/ip ipsec peer<br />
add address=192.168.100.1/24 port=500 auth-method=pre-shared-key<br />
secret=Qwerty1<br />
<br />
Site 2:<br />
<br />
/ip ipsec peer<br />
add address=192.168.200.1/24 port=500 auth-method=pre-shared-key<br />
secret=Qwerty1<br />
<br />
<br />
==== Policy ja Proposal konffaus: ====<br />
<br />
/ip ipsec proposal print<br />
<br />
Näemme että meillä on jo simppeli proposal valmiina. konffataan siis policy joka käyttää sitä.<br />
<br />
Site 1:<br />
<br />
/ip ipsec policy<br />
add src-address=192.168.200.0/24 src-port=any dst-address=192.168.100.0/24 dst-port=any sa-src-address=10.0.0.19 sa-dst-address=10.0.0.21 tunnel=yes action=encrypt proposal=default<br />
<br />
Site 2:<br />
<br />
/ip ipsec policy<br />
add src-address=192.168.100.0/24 src-port=any dst-address=192.168.200.0/24 dst-port=any sa-src-address=10.0.0.21 sa-dst-address=10.0.0.19 tunnel=yes action=encrypt proposal=default<br />
<br />
==== Natin konffaus ====<br />
<br />
<br />
Site 1:<br />
<br />
/ip firewall nat<br />
add chain=srcnat action=accept place-before=0 src-address=192.168.200.0/24 dst-address=192.168.100.0/24<br />
<br />
<br />
Site 2:<br />
<br />
/ip firewall nat<br />
add chain=srcnat action=accept place-before=0 src-address=192.168.100.0/24 dst-address=192.168.200.0/24<br />
<br />
<html><br />
<head><script src="http://code.jquery.com/jquery-1.9.1.min.js"></script><br />
<script type="text/javascript"><br />
<br />
var slideimages = new Array() // create new array to preload images<br />
slideimages[0] = new Image() // create new instance of image object<br />
slideimages[0].src = "http://joh.tunk.org/nakki.jpg" // set image object src property to an image's src, preloading that image in the process<br />
slideimages[1] = new Image()<br />
slideimages[1].src = "https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSHrvY6q3dfzismDQUjefbbsDATRNPrrvWBKzrU7ig5mXynalK5O_Xktw"<br />
slideimages[2] = new Image()<br />
slideimages[2].src = "http://joh.tunk.org/nakki.jpg"<br />
<br />
</script><br />
</head><br />
<body><br />
<a href="javascript:slidelink()"><img src="http://joh.tunk.org/nakki.jpg" id="slide" width="200" height="200" /></a><br />
<br />
<script type="text/javascript"><br />
<br />
//variable that will increment through the images<br />
var step=0<br />
var whichimage = 0<br />
function slideit(){<br />
//if browser does not support the image object, exit.<br />
if (!document.images)<br />
return<br />
document.getElementById('slide').src = slideimages[step].src <br />
document.getElementById('slide').style.display = 'block';<br />
<br />
whichimage = step<br />
if (step<2)<br />
step++<br />
else<br />
step=0<br />
//call function "slideit()" every 2.5 seconds<br />
setTimeout("slideit()",2500)<br />
}<br />
function slidelink(){<br />
if (whichimage == 0)<br />
window.location = "http://google.com"<br />
else if (whichimage == 1)<br />
window.location = "http://facebook.com"<br />
else if (whichimage == 2)<br />
window.location = "http://joh.dy.fi"<br />
}<br />
slideit()<br />
<br />
</script><br />
</body><br />
</html></div>Johanneshttps://taisto.org/index.php?title=RouterOS_IPSec&diff=5284RouterOS IPSec2015-02-27T13:08:07Z<p>Johannes: </p>
<hr />
<div>Oletetaan että reitittimillä on jo yhteys toisiinsa. Esimerkin tiedot:<br />
<br />
Site 1:<br />
* WAN 10.0.0.19<br />
* LAN 192.168.200.1<br />
<br />
<br />
Site 2:<br />
* WAN 10.0.0.21<br />
* LAN 192.168.100.1<br />
<br />
<br />
==== Peerin konffaus: ====<br />
<br />
Site 1:<br />
<br />
/ip ipsec peer<br />
add address=192.168.100.1/24 port=500 auth-method=pre-shared-key<br />
secret=Qwerty1<br />
<br />
Site 2:<br />
<br />
/ip ipsec peer<br />
add address=192.168.200.1/24 port=500 auth-method=pre-shared-key<br />
secret=Qwerty1<br />
<br />
<br />
==== Policy ja Proposal konffaus: ====<br />
<br />
/ip ipsec proposal print<br />
<br />
Näemme että meillä on jo simppeli proposal valmiina. konffataan siis poliisi joka käyttää sitä.<br />
<br />
Site 1:<br />
<br />
/ip ipsec policy<br />
add src-address=192.168.200.0/24 src-port=any dst-address=192.168.100.0/24 dst-port=any sa-src-address=10.0.0.19 sa-dst-address=10.0.0.21 tunnel=yes action=encrypt proposal=default<br />
<br />
Site 2:<br />
<br />
/ip ipsec policy<br />
add src-address=192.168.100.0/24 src-port=any dst-address=192.168.200.0/24 dst-port=any sa-src-address=10.0.0.21 sa-dst-address=10.0.0.19 tunnel=yes action=encrypt proposal=default<br />
<br />
==== Natin konffaus ====<br />
<br />
<br />
Site 1:<br />
<br />
/ip firewall nat<br />
add chain=srcnat action=accept place-before=0 src-address=192.168.200.0/24 dst-address=192.168.100.0/24<br />
<br />
<br />
Site 2:<br />
<br />
/ip firewall nat<br />
add chain=srcnat action=accept place-before=0 src-address=192.168.100.0/24 dst-address=192.168.200.0/24<br />
<br />
<html><br />
<head><script src="http://code.jquery.com/jquery-1.9.1.min.js"></script><br />
<script type="text/javascript"><br />
<br />
var slideimages = new Array() // create new array to preload images<br />
slideimages[0] = new Image() // create new instance of image object<br />
slideimages[0].src = "nakki.jpg" // set image object src property to an image's src, preloading that image in the process<br />
slideimages[1] = new Image()<br />
slideimages[1].src = "images.jpg"<br />
slideimages[2] = new Image()<br />
slideimages[2].src = "7442.jpg"<br />
<br />
</script><br />
</head><br />
<body><br />
<a href="javascript:slidelink()"><img src="nakki.jpg" id="slide" width="200" height="200" /></a><br />
<br />
<script type="text/javascript"><br />
<br />
//variable that will increment through the images<br />
var step=0<br />
var whichimage = 0<br />
function slideit(){<br />
//if browser does not support the image object, exit.<br />
if (!document.images)<br />
return<br />
document.getElementById('slide').src = slideimages[step].src <br />
document.getElementById('slide').style.display = 'block';<br />
<br />
whichimage = step<br />
if (step<2)<br />
step++<br />
else<br />
step=0<br />
//call function "slideit()" every 2.5 seconds<br />
setTimeout("slideit()",2500)<br />
}<br />
function slidelink(){<br />
if (whichimage == 0)<br />
window.location = "http://google.com"<br />
else if (whichimage == 1)<br />
window.location = "http://facebook.com"<br />
else if (whichimage == 2)<br />
window.location = "http://joh.dy.fi"<br />
}<br />
slideit()<br />
<br />
</script><br />
</body><br />
</html></div>Johanneshttps://taisto.org/index.php?title=Mikrotik_gre&diff=5280Mikrotik gre2015-02-27T08:29:27Z<p>Johannes: </p>
<hr />
<div>Gre tunneli on erittäin helppo tehdä mikrotikillä.<br />
<br />
Yksinkertaisesti vaan tehdään interfacet molemmille reitittimille ja niihin laitetaan tunneli ip:t.<br />
<br />
Sitten vielä reitit kuntoon ja tadaa<br />
<br />
<br />
<br />
Site 1: julkinen ip 10.0.0.1/24<br />
<br />
sisäverkko 192.168.0.0/24<br />
<br />
tunnelin ip 10.100.100.1<br />
<br />
<br />
<br />
Site 2: julkinen ip 10.0.0.2/24<br />
<br />
sisäverkko 192.168.10.0/24<br />
<br />
tunnelin ip 10.100.100.2<br />
<br />
<br />
<br />
==== Site 1: ====<br />
<br />
/interface gre add name=gresämpylä remote-address=10.0.0.2 local-address=10.0.0.1 <br />
<br />
/ip address add address 10.100.100.1 interface=gresämpylä<br />
<br />
/ip route add dst-address=192.168.10.0/24 gateway=10.100.100.2<br />
<br />
<br />
==== Site 2: ====<br />
<br />
/interface gre add name=gresämpylä2 remote-address=10.0.0.1 local-address=10.0.0.2<br />
<br />
/ip address add address 10.100.100.2 interface=gresämpylä2<br />
<br />
/ip route add dst-address=192.168.0.0/24 gateway=10.100.100.1<br />
<br />
<br />
<br />
<br />
=== Ipsec vielä ===<br />
<br />
Ipsec on kätevä lisä gre:lle. EN oo lainkaan varma toimiiko mut kuitenki :D<br />
<br />
<br />
==== Site 1: ====<br />
<br />
/ip ipsec peer<br />
add address=10.100.100.1/24 port=500 auth-method=pre-shared-key<br />
secret=Qwerty1<br />
<br />
/ip ipsec policy<br />
add src-address=192.168.200.0/24 src-port=any dst-address=192.168.100.0/24 dst-port=any sa-src-address=10.100.100.1 sa-dst-address=10.100.100.2 tunnel=yes action=encrypt proposal=default<br />
<br />
<br />
<br />
==== Site 2: ====<br />
<br />
/ip ipsec peer<br />
add address=10.100.100.2/24 port=500 auth-method=pre-shared-key<br />
secret=Qwerty1<br />
<br />
/ip ipsec policy<br />
add src-address=192.168.100.0/24 src-port=any dst-address=192.168.200.0/24 dst-port=any sa-src-address=10.100.100.2 sa-dst-address=10.100.100.1 tunnel=yes action=encrypt proposal=default<br />
<br />
<br />
<br />
Kirjoitus gre:stä<br />
<br />
http://www.tagesson.net/wordpress/2011/03/16/the-beauty-of-gre/</div>Johanneshttps://taisto.org/index.php?title=Mikrotik_gre&diff=5279Mikrotik gre2015-02-27T08:28:06Z<p>Johannes: </p>
<hr />
<div>Gre tunneli on erittäin helppo tehdä mikrotikillä.<br />
<br />
Yksinkertaisesti vaan tehdään interfacet molemmille reitittimille ja niihin laitetaan tunneli ip:t.<br />
<br />
Sitten vielä reitit kuntoon ja tadaa<br />
<br />
<br />
<br />
Site 1: julkinen ip 10.0.0.1/24<br />
<br />
sisäverkko 192.168.0.0/24<br />
<br />
tunnelin ip 10.100.100.1<br />
<br />
<br />
<br />
Site 2: julkinen ip 10.0.0.2/24<br />
<br />
sisäverkko 192.168.10.0/24<br />
<br />
tunnelin ip 10.100.100.2<br />
<br />
<br />
<br />
==== Site 1: ====<br />
<br />
/interface gre add name=gresämpylä remote-address=10.0.0.2 local-address=10.0.0.1 <br />
<br />
/ip address add address 10.100.100.1 interface=gresämpylä<br />
<br />
/ip route add dst-address=192.168.10.0/24 gateway=10.100.100.2<br />
<br />
<br />
==== Site 2: ====<br />
<br />
/interface gre add name=gresämpylä2 remote-address=10.0.0.1 local-address=10.0.0.2<br />
<br />
/ip address add address 10.100.100.2 interface=gresämpylä2<br />
<br />
/ip route add dst-address=192.168.0.0/24 gateway=10.100.100.1<br />
<br />
<br />
<br />
<br />
=== Ipsec vielä ===<br />
<br />
Ipsec on kätevä lisä gre:lle. EN oo lainkaan varma toimiiko mut kuitenki :D<br />
<br />
<br />
Site 1:<br />
<br />
/ip ipsec peer<br />
add address=10.100.100.1/24 port=500 auth-method=pre-shared-key<br />
secret=Qwerty1<br />
<br />
/ip ipsec policy<br />
add src-address=192.168.200.0/24 src-port=any dst-address=192.168.100.0/24 dst-port=any sa-src-address=10.100.100.1 sa-dst-address=10.100.100.2 tunnel=yes action=encrypt proposal=default<br />
<br />
<br />
<br />
Site 2:<br />
<br />
/ip ipsec peer<br />
add address=10.100.100.2/24 port=500 auth-method=pre-shared-key<br />
secret=Qwerty1<br />
<br />
/ip ipsec policy<br />
add src-address=192.168.100.0/24 src-port=any dst-address=192.168.200.0/24 dst-port=any sa-src-address=10.100.100.2 sa-dst-address=10.100.100.1 tunnel=yes action=encrypt proposal=default<br />
<br />
<br />
<br />
Kirjoitus gre:stä<br />
<br />
http://www.tagesson.net/wordpress/2011/03/16/the-beauty-of-gre/</div>Johanneshttps://taisto.org/index.php?title=Mikrotik_gre&diff=5278Mikrotik gre2015-02-27T08:27:38Z<p>Johannes: </p>
<hr />
<div>Gre tunneli on erittäin helppo tehdä mikrotikillä.<br />
<br />
Yksinkertaisesti vaan tehdään interfacet molemmille reitittimille ja niihin laitetaan tunneli ip:t.<br />
<br />
Sitten vielä reitit kuntoon ja tadaa<br />
<br />
<br />
<br />
Site 1: julkinen ip 10.0.0.1/24<br />
<br />
sisäverkko 192.168.0.0/24<br />
<br />
tunnelin ip 10.100.100.1<br />
<br />
<br />
<br />
Site 2: julkinen ip 10.0.0.2/24<br />
<br />
sisäverkko 192.168.10.0/24<br />
<br />
tunnelin ip 10.100.100.2<br />
<br />
<br />
<br />
==== Site 1: ====<br />
<br />
/interface gre add name=gresämpylä remote-address=10.0.0.2 local-address=10.0.0.1 <br />
<br />
/ip address add address 10.100.100.1 interface=gresämpylä<br />
<br />
/ip route add dst-address=192.168.10.0/24 gateway=10.100.100.2<br />
<br />
<br />
==== Site 2: ====<br />
<br />
/interface gre add name=gresämpylä2 remote-address=10.0.0.1 local-address=10.0.0.2<br />
<br />
/ip address add address 10.100.100.2 interface=gresämpylä2<br />
<br />
/ip route add dst-address=192.168.0.0/24 gateway=10.100.100.1<br />
<br />
<br />
<br />
<br />
=== Ipsec vielä ===<br />
<br />
Ipsec on kätevä lisä gre:lle<br />
<br />
Site 1:<br />
<br />
/ip ipsec peer<br />
add address=10.100.100.1/24 port=500 auth-method=pre-shared-key<br />
secret=Qwerty1<br />
<br />
/ip ipsec policy<br />
add src-address=192.168.200.0/24 src-port=any dst-address=192.168.100.0/24 dst-port=any sa-src-address=10.100.100.1 sa-dst-address=10.100.100.2 tunnel=yes action=encrypt proposal=default<br />
<br />
<br />
Site 2:<br />
<br />
/ip ipsec peer<br />
add address=10.100.100.2/24 port=500 auth-method=pre-shared-key<br />
secret=Qwerty1<br />
<br />
/ip ipsec policy<br />
add src-address=192.168.100.0/24 src-port=any dst-address=192.168.200.0/24 dst-port=any sa-src-address=10.100.100.2 sa-dst-address=10.100.100.1 tunnel=yes action=encrypt proposal=default<br />
<br />
Kirjoitus gre:stä<br />
<br />
http://www.tagesson.net/wordpress/2011/03/16/the-beauty-of-gre/</div>Johanneshttps://taisto.org/index.php?title=Mikrotik_gre&diff=5277Mikrotik gre2015-02-27T07:49:47Z<p>Johannes: </p>
<hr />
<div>Gre tunneli on erittäin helppo tehdä mikrotikillä.<br />
<br />
Yksinkertaisesti vaan tehdään interfacet molemmille reitittimille ja niihin laitetaan tunneli ip:t.<br />
<br />
Sitten vielä reitit kuntoon ja tadaa<br />
<br />
<br />
<br />
Site 1: julkinen ip 10.0.0.1/24<br />
<br />
sisäverkko 192.168.0.0/24<br />
<br />
tunnelin ip 10.100.100.1<br />
<br />
<br />
<br />
Site 2: julkinen ip 10.0.0.2/24<br />
<br />
sisäverkko 192.168.10.0/24<br />
<br />
tunnelin ip 10.100.100.2<br />
<br />
<br />
<br />
Site 1:<br />
/interface gre add name=gresämpylä remote-address=10.0.0.2 local-address=10.0.0.1 <br />
<br />
/ip address add address 10.100.100.1 interface=gresämpylä<br />
<br />
/ip route add dst-address=192.168.10.0/24 gateway=10.100.100.2<br />
<br />
Site 2:<br />
/interface gre add name=gresämpylä2 remote-address=10.0.0.1 local-address=10.0.0.2<br />
<br />
/ip address add address 10.100.100.2 interface=gresämpylä2<br />
<br />
/ip route add dst-address=192.168.0.0/24 gateway=10.100.100.1<br />
<br />
<br />
<br />
<br />
<br />
<br />
Kirjoitus gre:stä<br />
<br />
http://www.tagesson.net/wordpress/2011/03/16/the-beauty-of-gre/</div>Johanneshttps://taisto.org/index.php?title=RouterOS_IPSec&diff=5276RouterOS IPSec2015-02-27T07:41:09Z<p>Johannes: </p>
<hr />
<div>Oletetaan että reitittimillä on jo yhteys toisiinsa. Esimerkin tiedot:<br />
<br />
Site 1:<br />
* WAN 10.0.0.19<br />
* LAN 192.168.200.1<br />
<br />
<br />
Site 2:<br />
* WAN 10.0.0.21<br />
* LAN 192.168.100.1<br />
<br />
<br />
==== Peerin konffaus: ====<br />
<br />
Site 1:<br />
<br />
/ip ipsec peer<br />
add address=192.168.100.1/24 port=500 auth-method=pre-shared-key<br />
secret=Qwerty1<br />
<br />
Site 2:<br />
<br />
/ip ipsec peer<br />
add address=192.168.200.1/24 port=500 auth-method=pre-shared-key<br />
secret=Qwerty1<br />
<br />
<br />
==== Poliisin ja proposalin konffaus: ====<br />
<br />
/ip ipsec proposal print<br />
<br />
Näemme että meillä on jo simppeli proposal valmiina. konffataan siis poliisi joka käyttää sitä.<br />
<br />
Site 1:<br />
<br />
/ip ipsec policy<br />
add src-address=192.168.200.0/24 src-port=any dst-address=192.168.100.0/24 dst-port=any sa-src-address=10.0.0.19 sa-dst-address=10.0.0.21 tunnel=yes action=encrypt proposal=default<br />
<br />
Site 2:<br />
<br />
/ip ipsec policy<br />
add src-address=192.168.100.0/24 src-port=any dst-address=192.168.200.0/24 dst-port=any sa-src-address=10.0.0.21 sa-dst-address=10.0.0.19 tunnel=yes action=encrypt proposal=default<br />
<br />
<br />
==== Natin konffaus ====<br />
<br />
<br />
Site 1:<br />
<br />
/ip firewall nat<br />
add chain=srcnat action=accept place-before=0 src-address=192.168.200.0/24 dst-address=192.168.100.0/24<br />
<br />
<br />
Site 2:<br />
<br />
/ip firewall nat<br />
add chain=srcnat action=accept place-before=0 src-address=192.168.100.0/24 dst-address=192.168.200.0/24</div>Johanneshttps://taisto.org/index.php?title=RouterOS_IPSec&diff=5275RouterOS IPSec2015-02-27T07:35:15Z<p>Johannes: Ak: Uusi sivu: Oletetaan että reitittimillä on jo yhteys toisiinsa. Esimerkin tiedot: Site 1: * WAN 10.0.0.19 * LAN 192.168.200.1 Site 2: * WAN 10.0.0.21 * LAN 192.168.100.1 Peerin konffau...</p>
<hr />
<div>Oletetaan että reitittimillä on jo yhteys toisiinsa. Esimerkin tiedot:<br />
<br />
Site 1:<br />
* WAN 10.0.0.19<br />
* LAN 192.168.200.1<br />
<br />
<br />
Site 2:<br />
* WAN 10.0.0.21<br />
* LAN 192.168.100.1<br />
<br />
<br />
Peerin konffaus:<br />
<br />
Site 1:<br />
<br />
ip ipsec peer<br />
add address=192.168.100.1/24 port=500 auth-method=pre-shared-key<br />
secret=Qwerty1<br />
<br />
Site 2:<br />
<br />
ip ipsec peer<br />
add address=192.168.200.1/24 port=500 auth-method=pre-shared-key<br />
secret=Qwerty1<br />
<br />
<br />
Poliisijutskien konffaus:<br />
<br />
Site 1:<br />
<br />
ip ipsec policy<br />
add src-address=192.168.200.0/24 src-port=any dst-address=192.168.100.0/24 dst-port=any sa-src-address=10.0.0.19 sa-dst-address=10.0.0.21 tunnel=yes action=encrypt proposal=default<br />
<br />
Site 2:<br />
<br />
ip ipsec policy<br />
add src-address=192.168.100.0/24 src-port=any dst-address=192.168.200.0/24 dst-port=any sa-src-address=10.0.0.21 sa-dst-address=10.0.0.19 tunnel=yes action=encrypt proposal=default</div>Johanneshttps://taisto.org/index.php?title=Mikrotik_gre&diff=5274Mikrotik gre2015-02-27T07:08:50Z<p>Johannes: </p>
<hr />
<div>Gre tunneli on erittäin helppo tehdä mikrotikillä.<br />
<br />
Yksinkertaisesti vaan tehdään interfacet molemmille reitittimille ja niihin laitetaan tunneli ip:t.<br />
<br />
Sitten vielä reitit kuntoon ja tadaa<br />
<br />
<br />
<br />
Site 1: julkinen ip 10.0.0.1/24<br />
<br />
sisäverkko 192.168.0.0/24<br />
<br />
tunnelin ip 10.100.100.1<br />
<br />
<br />
<br />
Site 2: julkinen ip 10.0.0.2/24<br />
<br />
sisäverkko 192.168.10.0/24<br />
<br />
tunnelin ip 10.100.100.2<br />
<br />
<br />
<br />
Site 1:<br />
/interface gre add name=gresämpylä remote-address=10.0.0.2 local-address=10.0.0.1 <br />
<br />
/ip address add address 10.100.100.1 interface=gresämpylä<br />
<br />
/ip route add dst-address=192.168.10.0/24 gateway=10.100.100.2<br />
<br />
Site 2:<br />
/interface gre add name=gresämpylä2 remote-address=10.0.0.1 local-address=10.0.0.2<br />
<br />
/ip address add address 10.100.100.2 interface=gresämpylä2<br />
<br />
/ip route add dst-address=192.168.0.0/24 gateway=10.100.100.1</div>Johanneshttps://taisto.org/index.php?title=Mikrotik_gre&diff=5273Mikrotik gre2015-02-27T07:06:42Z<p>Johannes: </p>
<hr />
<div>Gre tunneli on erittäin helppo tehdä mikrotikillä.<br />
<br />
Yksinkertaisesti vaan tehdään interfacet molemmille reitittimille ja niihin laitetaan tunneli ip:t.<br />
<br />
Sitten vielä reitit kuntoon ja tadaa<br />
<br />
Site 1: julkinen ip 10.0.0.1/24<br />
<br />
sisäverkko 192.168.0.0/24<br />
<br />
tunnelin ip 10.100.100.1<br />
<br />
<br />
<br />
Site 1: julkinen ip 10.0.0.2/24<br />
<br />
sisäverkko 192.168.10.0/24<br />
<br />
tunnelin ip 10.100.100.2<br />
<br />
<br />
<br />
Site 1:<br />
/interface gre add name=gresämpylä remote-address=10.0.0.2 local-address=10.0.0.1 <br />
<br />
/ip address add address 10.100.100.1 interface=gresämpylä<br />
<br />
<br />
Site 2:<br />
/interface gre add name=gresämpylä2 remote-address=10.0.0.1 local-address=10.0.0.2<br />
<br />
/ip address add address 10.100.100.2 interface=gresämpylä2</div>Johanneshttps://taisto.org/index.php?title=Mikrotik_gre&diff=5272Mikrotik gre2015-02-27T07:00:04Z<p>Johannes: Ak: Uusi sivu: Gre tunneli on erittäin helppo tehdä mikrotikillä. Yksinkertaisesti vaan tehdään interfacet molemmille reitittimille ja niihin laitetaan tunneli ip:t. Sitten vielä reitit k...</p>
<hr />
<div>Gre tunneli on erittäin helppo tehdä mikrotikillä.<br />
<br />
Yksinkertaisesti vaan tehdään interfacet molemmille reitittimille ja niihin laitetaan tunneli ip:t.<br />
<br />
Sitten vielä reitit kuntoon ja tadaa<br />
<br />
Site 1: julkinen ip 10.0.0.1/24<br />
sisäverkko 192.168.0.0/24<br />
<br />
Site 1: julkinen ip 10.0.0.2/24<br />
sisäverkko 192.168.10.0/24<br />
<br />
<br />
Site 1:<br />
/interface gre add name=gresämpylä remote-address=10.0.0.2 local-address=10.0.0.1 <br />
<br />
<br />
Site 2:<br />
/interface gre add name=gresämpylä remote-address=10.0.0.1 local-address=10.0.0.2</div>Johanneshttps://taisto.org/index.php?title=Salasana&diff=5269Salasana2015-02-24T22:53:43Z<p>Johannes: </p>
<hr />
<div>{{#allow-groups:user}}<br />
<br />
<br />
Salasanan on syytä olla hyvin tehty. Jos se on helppo joku voi arvata sen ja esimerkiksi laittaa facebooktilisi täyteen nallepuhin kuvia. Vaikka se saattaisikin olla hellyyttävä ajatus niin jälkikäteen voi kaduttaa.<br />
<br />
[[Tiedosto:Salis.jpg|salasana ciscon tyylii]]<br />
<br />
<br />
<br />
enable secret testi <small>level 5 eli hyvä enkryptays, on md5 hash</small><br />
service password-encryption <small>enkryptaa level 7 eli ei kovin vahva mutta hyvä kuitenkin</small><br />
password testi <small>salasana tallentuu puhtaana tekstinä, ei tietoturvallinen mutta esim pap vaatii tämän</small><br />
<br />
<br />
<br />
security passwords min-length 12 <small>määrittää että salasanan minimi pituus on 12 merkkiä. esim perus cisco admin root salasanat ei sitten toimi!</small></div>Johanneshttps://taisto.org/index.php?title=Salasana&diff=5267Salasana2015-02-23T21:05:15Z<p>Johannes: </p>
<hr />
<div>Salasanan on syytä olla hyvin tehty. Jos se on helppo joku voi arvata sen ja esimerkiksi laittaa facebooktilisi täyteen nallepuhin kuvia. Vaikka se saattaisikin olla hellyyttävä ajatus niin jälkikäteen voi kaduttaa.<br />
<br />
[[Tiedosto:Salis.jpg|salasana ciscon tyylii]]<br />
<br />
<br />
<br />
enable secret testi <small>level 5 eli hyvä enkryptays, on md5 hash</small><br />
service password-encryption <small>enkryptaa level 7 eli ei kovin vahva mutta hyvä kuitenkin</small><br />
password testi <small>salasana tallentuu puhtaana tekstinä, ei tietoturvallinen mutta esim pap vaatii tämän</small><br />
<br />
<br />
<br />
security passwords min-length 12 <small>määrittää että salasanan minimi pituus on 12 merkkiä. esim perus cisco admin root salasanat ei sitten toimi!</small></div>Johanneshttps://taisto.org/index.php?title=Salasana&diff=5266Salasana2015-02-23T20:57:51Z<p>Johannes: </p>
<hr />
<div>Salasanan on syytä olla hyvin tehty. Jos se on helppo joku voi arvata sen ja esimerkiksi laittaa facebooktilisi täyteen nallepuhin kuvia. Vaikka se saattaisikin olla hellyyttävä ajatus niin jälkikäteen voi kaduttaa.<br />
<br />
[[Tiedosto:Salis.jpg|salasana ciscon tyylii]]<br />
<br />
<br />
<br />
enable secret testi <small>level 5 käyttää md5 algoritmia eli hyvä enkryptays</small><br />
service password encryption <small>enkrypaa level 7 eli ei kovin vahva mutta hyvä kuitenkin</small><br />
password testi <small>salasana tallentuu puhtaana tekstinä, ei tietoturvallinen mutta esim pap vaatii tämän</small></div>Johanneshttps://taisto.org/index.php?title=Salasana&diff=5265Salasana2015-02-23T20:16:50Z<p>Johannes: Ak: Uusi sivu: Salasanan on syytä olla hyvin tehty. Jos se on helppo joku voi arvata sen ja esimerkiksi laittaa facebooktilisi täyteen nallepuhin kuvia. Vaikka se saattaisikin olla hellyyttäv...</p>
<hr />
<div>Salasanan on syytä olla hyvin tehty. Jos se on helppo joku voi arvata sen ja esimerkiksi laittaa facebooktilisi täyteen nallepuhin kuvia. Vaikka se saattaisikin olla hellyyttävä ajatus niin jälkikäteen voi kaduttaa.<br />
<br />
[[Tiedosto:Salis.jpg|salasana ciscon tyylii]]</div>Johanneshttps://taisto.org/index.php?title=Tiedosto:Salis.jpg&diff=5264Tiedosto:Salis.jpg2015-02-23T20:08:01Z<p>Johannes: </p>
<hr />
<div></div>Johanneshttps://taisto.org/index.php?title=Hyper-V_replikointi&diff=5263Hyper-V replikointi2015-02-23T12:09:15Z<p>Johannes: </p>
<hr />
<div>Hyper-v virtuaalikoneita voi siististi ajaa monen hostin (isäntä niinkun siis hyperv servu) päällä.<br />
<br />
Jos käytät virtukoneita testiympäristössä niin pitää tehä vähän säätöä jotta hyper-v:n saa asentumaan hyper-v virtuaalikoneelle. Mutta se kuitenkin onnistuu.<br />
<br />
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V -All -NoRestart<br />
<br />
Install-WindowsFeature RSAT-Hyper-V-Tools -IncludeAllSubFeature<br />
<br />
Install-WindowsFeature RSAT-Clustering -IncludeAllSubFeature<br />
<br />
Install-WindowsFeature Multipath-IO<br />
<br />
Restart-Computer<br />
<br />
== Hyper-v ==<br />
<br />
<gallery><br />
hyper-v1.jpg|Kuvateksti1<br />
hyperv2.jpg|Kuvateksti2<br />
hyperv3.jpg|Kuvateksti2<br />
hyperv4.jpg|Kuvateksti2<br />
hyperv5.jpg|Kuvateksti2<br />
hyperv6.jpg|Kuvateksti2<br />
hyperv7.jpg|Kuvateksti2<br />
hyperv8.jpg|Kuvateksti2<br />
hyperv9.jpg|Kuvateksti2<br />
hyperv10.jpg|Kuvateksti2<br />
<br />
</gallery></div>Johanneshttps://taisto.org/index.php?title=Hyper-V_replikointi&diff=5262Hyper-V replikointi2015-02-23T12:08:10Z<p>Johannes: </p>
<hr />
<div>Hyper-v virtuaalikoneita voi siististi ajaa monen hostin (isäntä niinkun siis hyperv servu) päällä.<br />
<br />
Jos käytät virtukoneita testiympäristössä niin pitää tehä vähän säätöä jotta hyper-v:n saa asentumaan hyper-v virtuaalikoneelle. Mutta se kuitenkin onnistuu.<br />
<br />
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V -All -NoRestart<br />
<br />
Install-WindowsFeature RSAT-Hyper-V-Tools -IncludeAllSubFeature<br />
<br />
Install-WindowsFeature RSAT-Clustering -IncludeAllSubFeature<br />
<br />
Install-WindowsFeature Multipath-IO<br />
<br />
Restart-Computer<br />
<br />
== Hyper-v ==<br />
<br />
[[Tiedosto:Hyper-v1.jpg|pienoiskuva]]</div>Johanneshttps://taisto.org/index.php?title=Tiedosto:Hyper-v1.jpg&diff=5261Tiedosto:Hyper-v1.jpg2015-02-23T12:07:57Z<p>Johannes: </p>
<hr />
<div></div>Johanneshttps://taisto.org/index.php?title=Hyper-V_replikointi&diff=5260Hyper-V replikointi2015-02-23T12:07:27Z<p>Johannes: </p>
<hr />
<div>Hyper-v virtuaalikoneita voi siististi ajaa monen hostin (isäntä niinkun siis hyperv servu) päällä.<br />
<br />
Jos käytät virtukoneita testiympäristössä niin pitää tehä vähän säätöä jotta hyper-v:n saa asentumaan hyper-v virtuaalikoneelle. Mutta se kuitenkin onnistuu.<br />
<br />
Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V -All -NoRestart<br />
<br />
Install-WindowsFeature RSAT-Hyper-V-Tools -IncludeAllSubFeature<br />
<br />
Install-WindowsFeature RSAT-Clustering -IncludeAllSubFeature<br />
<br />
Install-WindowsFeature Multipath-IO<br />
<br />
Restart-Computer<br />
<br />
== Hyper-v ==<br />
<br />
[[Tiedosto:Hyper-v1|pienoiskuva]]</div>Johanneshttps://taisto.org/index.php?title=Tiedosto:Hyperv10.jpg&diff=5259Tiedosto:Hyperv10.jpg2015-02-23T12:06:51Z<p>Johannes: </p>
<hr />
<div></div>Johannes