Comment faire donc si je veux créer un utilisateur salut avec le mot de passe « cava? » ?
Voici ce qu’il se passe:

R1(config)#username salut password cava?
LINE    <cr>

R1(config)#username salut password cava

Autrement dit, ça ne parche pas.

Pareil sur l’asa:

ASA1(config)# username salut password cava?

configure mode commands/options:
 WORD
ASA1(config)# username salut password cava

Donc petite astuce, il faut taper Ctrl+V avant. Pourquoi ? je ne sais pas, mais il en est ainsi.

R1(config)#username salut password cava? !ici j'ai tapé ctrl+v avant le '?'
R1(config)#do sh run | i salut
username salut password 0 cava?

Pour rappel, les IDS-4215 sont upgradable vers la version 6.0 de l’OS IPS (IPS Manager Express fonctionne à partir de la 6.1, mais il fonctionne, tout comme asdm, en mode démo), ce qui leur permets de fonctionner en mode IPS (en gros IDS = detection, IPS = prevention, l’IPS se mettras donc en inline sur le réseau et pourras bloquer directement le trafic malveillant).

Je branche donc mon 4215 tout content, je vois une version 5.0, et je me dis, je vais upgrade vers la 6.0. Première déception, je n’avais que 256M de ram, or il en faut 512. Je trouve donc un module IDS-4210-MEM-U et je passe à 512M. Je flashe, cela semble fonctionner, l’IPS reboot, j’ai la CLI, sauf qu’à chaques fois au bout de quelques temps j’ai mon analysis engine qui plante… voir ici:

https://supportforums.cisco.com/message/3034805;jsessionid=F5B112DB22543E85D0511FA4AAF0B7B5.node0#3034805

Finalement, je me rend compte que les IDS 4215 ont besoin d’un disque dur pour fonctionner (il y a une flashcard qui contient l’OS et le disque dur qui contient logs et signatures). J’ai donc trouvé un disque dur en spare sur ebay pour 15€, un toshiba, qui remplace très bien le cisco si ce n’est qui’il n’y a pas le support pour maintenir le disque (j’ai mis un bout de carton).

Donc je redémarres, je flashe bien en version 6.04, l’IPS compile ses signatures, le CPU redevient normal, mon analysis engine est running, je me dis cela va être la fin de mes souffrance… Eh bien non… Vous me direz, dans le métier d’informaticien la déception est le pain quotidien, que celui qui fait tout fonctionner du premier coup laisse un commentaire…

Je commences donc par une petite config de base:

sensor(config)# service host
sensor(config-hos)# network-settings
sensor(config-hos-net)# host-ip 192.168.0.3/24,192.168.0.1
sensor(config-hos-net)# host-name IDS4215
sensor(config-hos-net)# access-list 0.0.0.0/0
sensor(config-hos-net)# exit
sensor(config-hos)# exit
Apply Changes?[yes]:

La syntaxe pour l’IP est assez bizarre, derrière il y a la gateway…

Et je lance donc mon IDM. Et la, je lance l’applet java, utilise mon compte cisco avec le mot de passe, et PAN! java error, il faut que le heap size soit au minimum à 256M. Je cliques donc sur help, ce qui me renvoit vers une page sur le site de cisco m’expliquant qu’il faut mettre le paramètre -Xmx256m dans le panneau de configuration/java, sauf qu’avec le JRE 1.6 ça ne marche pas. Je suis donc aller sur le site de SUN, ai téléchargé la version 1.5 du JRE (jre-1_5_0_21-windows-i586-p.exe), j’installe, et la petite astuce maintenant est de désactiver le 1.6 pour utiliser IDM, et le réactiver par la suite (ne pas désinstaller la version 1.6, installer la 1.5 par dessus).

Voir le screen:

Screenshot de la mort

Et tout çà… Pour ça:

IDM

Et comme je suis un fou, je vais essayer de trouver une carte PCI ethernet compatible avec mon IPS pour rajouter une interface et faire du inline…

Bref, à ceux qui veulent investir dans un IPS, prenez en un avec le module 4FE, le disque dur, et 512M de ram si vous ne voulez pas vous embêter…

J’ai utilisé un certificat auto signé pour ne pas déployer d’autorité de certification.

Voir la vidéo

• Installer un autre navigateur (chrome, firefox, opera,…)
• Aller dans outils/Options internet/onglet security, cliquer sur internet, puis paramètres personnalisés, et chercher la partie meta refresh dans autres (vers le milieu de la liste), et autorisez le.

Voilà, have fun !

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6635/ps7180/prod_brochure0900aecd80582078.pdf

Vous trouverez comment les configurer pour la plupart ici:

http://bmigette.fr/tag/vpn/

Si votre VMWare reste à booting Kernel, c’est normal, toute la sortie du boot se fait sur la console. A ce stade vous pouvez vous connecter en console/telnet.

Pour se connecter à l’asa: Utiliser l’ip prédéfinie de la carte e0 (192.168.1.1/24).

Utiliser le port console:

Pour windows:

Dans les propriétés de la machine virtuelle, sur le port console, mettez les paramètres suivants:

“used name pipe” “\\.pipe\vmwaredebug”, “This end is client”, “The other end is an application”

Téléchargez vmware gateway (http://l4ka.org/tools/vmwaregateway.php), fichier inclus dans le zip de la vm, puis lancer l’executable avec le parmètre /t (vmwaregateway.exe /t). Vous pouvez aussi utiliser start_gw.bat inclus avec l’image vmware. Vous pouvez vous connecter sur en telnet sur localhost:567 pour arriver sur le port sérial. Seul inconvénient, on ne peux avoir qu’une seule VM de lancée.
Note: avec cette méthodes, lorsque je me connectes en telnet, lorsque j’appuies sur une touche, elle est envoyée deux fois…

Edit: Ce programme semble être meilleur, mais je n’ai pas eu le temps de tester:

http://shvechkov.tripod.com/nptp.html

Edit 2:

http://www.hw-group.com/products/hw_vsp/index_en.html

Pour linux:

D’après ce lien:
http://communities.vmware.com/thread/28508

Installation socat:

sudo apt-get install socat

Creation du port console

Dans les propriétés de la machine virtuelle, sur le port console, mettez les paramètres suivants:

“used name pipe” “serialasa”, “This end is server”, “The other end is an application”

Allez ensuite dans le répertoire de votre vm, et vous devriez voir le fichier asa. Tapez la commande suivante:

bastien@bastien-laptop:~/asa$ ls564dd2da-cbbf-41e4-e8a7-60efe97ff754.vmem      Other Linux 2.6.x kernel.vmxf564dd2da-cbbf-41e4-e8a7-60efe97ff754.vmem.lck  Other Linux 2.6.x kernel.vmx.lckasahd.vmdk                                     serialasaasahd.vmdk.lck                                 start_gw.batOther Linux 2.6.x kernel.nvram                 vmware-0.logOther Linux 2.6.x kernel.vmdk                  vmware-1.logOther Linux 2.6.x kernel.vmsd                  vmwaregateway.exeOther Linux 2.6.x kernel.vmx                   vmware.log

sudo socat unix-connect:serialasa stdio,echo=0,raw

L’avantage de cette méthode est que l’on peut nommer le fichier serial comme l’on souhaite (ici, serialasa).

Par contre, le process socat envoi les ctrl+c à l’asa. Pour le kill:

bastien@bastien-laptop:~$ ps -ax | grep socatWarning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html 9636 pts/0    S+     0:00 socat unix-connect:serialasa stdio,echo=0,raw 9705 pts/1    S+     0:00 grep socatbastien@bastien-laptop:~$ sudo kill 9636

Note: vous pouvez aussi fermer le terminal tout simplement

Conclusion

Pour ajouter des interfaces, ajouter simplement des carte réseau dans les propriétés de la VM. Pour relier votre VM à dynagen: soit vous utiliser les carte host only, et vous reliez dynagen sur vmnet1, ou vous créez des loopback, et vous bridgez la vm et dynagen sur la même loopback (interface tap sous linux ).

Au final, je reconseille tout de même la méthode linux !!

Un petit sh ver pour vous donner envie :

ciscoasa# sh verCisco Adaptive Security Appliance Software Version 8.0(2)Compiled on Fri 15-Jun-07 19:29 by buildersSystem image file is "Unknown, monitor mode tftp booted image"Config file at boot was "startup-config"ciscoasa up 11 mins 32 secsHardware:   , 128 MB RAM, CPU Pentium II 1994 MHzInternal ATA Compact Flash, 512MBBIOS Flash Firmware Hub @ 0xffe00000, 1024KB

 0: Ext: Ethernet0/0         : address is 000c.297f.f754, irq 255 1: Ext: Ethernet0/1         : address is 000c.297f.f75e, irq 255 2: Ext: Ethernet0/2         : irq 255 3: Ext: Ethernet0/3         : irq 255 4: Ext: Ethernet0/4         : irq 255 5: Ext: Ethernet0/5         : irq 255VLANs                        : 200Failover                     : Active/Active3DES-AES                     : EnabledSecurity Contexts            : 20GTP/GPRS                     : EnabledVPN Peers                    : 5000WebVPN Peers                 : 2500ADV END SEC                  : Enabled

Pour sauvegarder la config, tapez ceci:

copy running-config flash:/.private/startup-config

Introduction

Cet article à pour but de montrer comment émuler un asa cisco avec QEmu, qui est un émulateur de CPU Divers. QEmu est prévu pour fonctionner à la base sous Unix, mais il existe un portage sous windows:

http://www.h7.dion.ne.jp/~qemu-win/

Vous aurez aussi besoin des outils Unixutils, qui sont un portage des outils linux les plus utilisés sous windows (grep, ls, rm…)
http://sourceforge.net/projects/unxutils/

Téléchargez et extrayiez les fichiers dans un même dossier (les binaires unixUtils doivent être avec les binaires QEmu) ou téléchargez le fichier suivant:
http://bmigette.fr/files/ASAEmu.zip

Pour plus de facilitée, voilà comment je vais organiser mes dossiers:

• d:\asa => Le dossier contenant les scripts de lancement, et deux dossiers, un pour les images ASA, et un pour les binaires QEmu
• d:\asa\ASAOS => Dossier contenant les images. Chaque image sera placée dans un sous dossier du même nom sans l’extension, par exemple, pour l’image de cet article, asa802-k8.bin, je vais créer un dossier d:\asa\ASAOS\asa802-k8 dans lequel je vais copier mon image asa802-k8.bin. Ceci permettras de lancer facilement différentes versions d’ASA.
• d:\asa\QEmu => Dossier des binaires QEmu et UnixUtils.

Si vous ne respectez pas cette architecture (le chemin d:\asa n’est pas important), il vous faudra modifier vos scripts.

Lancement de l’émulation:

Il vous faut tout d’abord vous procurer une image ASAOS. Je vais utiliser l’image asa802-k8.bin pour cet exemple.

Script de création des images QEmu:

Tout d’abord, créez un fichier .bat nommé qemu_img_create.bat (à placer dans le dossier d:\asa) avec dedans:

@echo offECHO MD5 Cheksum.\QEmu\md5 .\ASAOS\%1\%1.bin.\QEmu\hexdump -C .\ASAOS\%1\%1.bin > .\ASAOS\%1\%1.hd.\QEmu\grep "1f 8b 08 00 1d" .\ASAOS\%1\%1.hd.\QEmu\ls -la .\ASAOS\%1\%1.bin.\QEmu\tail -c 13334352 .\ASAOS\%1\%1.bin > .\ASAOS\%1\%1.gz.\QEmu\gzip -d .\ASAOS\%1\%1.gzcd ASAOS\%1\..\..\QEmu\cpio -i --make-directories < %1cd ..\...\QEmu\qemu-img create .\ASAOS\%1\FLASH 256M.\QEmu\gzip .\ASAOS\%1\%1

Ce script à pour but de créer les images nécessaires à l’émulation de l’ASA par QEmu. Pour l’appeler, utilisez la commande:

qemu_img_create.bat asa802-k8

En admettant que le dossier d:\asa\asa802-k8 existe et que l’image asa802-k8.bin est bien située dedans.

NOTE: Ce script est à utiliser qu’une seule fois ! Vous pourrez ensuite directement lancer votre ASA via le script suivant !

Script de lancement de l’émulation:

Créez un autre fichier .bat dans le répertoire d:\asa nommé launchasa.bat avec dedans:

@echo offstart /B "Qemu" .\QEmu\qemu -L .\QEmu -hda .\ASAOS\%1\FLASH -hdachs 980,16,32 -kernel .\ASAOS\%1\vmlinuz -initrd .\ASAOS\%1\%1 -m 256 --no-kqemu -append "auto nousb ide1=noprobe bigphysarea=16384 console=ttyS0,9600n8 hda=980,16,32" -serial telnet::%2,server,nowait.\launchtelnet.bat localhost %2exit

Ce script va servir à lancer l’émulation de l’asa. Pour lancer, utiliser la commande suivante:

launchasa.bat asa802-k8 666

Ou 666 sera le port à utiliser pour se connecter en telnet. Ceci permettras de lancer plusieurs instances.

Script de lancement du client telnet:

Ce script sert uniquement à lancer un client telnet autre que celui par défaut. Si vous voulez utiliser le client par défaut, mettez dedans:

start telnet %1 %2

Pour utiliser SecureCRT

start C:\progra~1\vandyk~1\SecureCRT\SecureCRT.EXE /T /telnet %1 %2

Le fichier devra s’appeler launchtelnet.bat

Lancement de l’émulation:

Une fois vos fichiers créés, que vous avez bien placé l’image asa802-k8.bin dans le répertoire d:\asa\ASAOS\asa802-k8, ouvrez une console dans le dossier d:\asa et tapez:

D:\asa>qemu_img_create.bat asa802-k8
D:\asa>launchasa.bat asa802-k8 666

Si tout s’est bien passé, vous devriez avoir une emulation de l’asa en cours !

Ce que vous devriez avoir

Super! Ca marche ! Tout du moins nous avons un asa émulé, mais il est pour l’instant impossible de connecter notre asa vers dynamips ou autre…

Certains d’entre vous auront peut être remarqué que nous avons d’ailleurs des erreurs:

Cisco Adaptive Security Appliance Software Version 8.0(2)Cannot open interface card (media_ethernet/port/id/0)pix_idb_create: Unable to get link capabilities 0pix_idb_create: Unable to get nic_stats for port 0Cannot open interface card (media_ethernet/port/id/1)pix_idb_create: Unable to get link capabilities 1pix_idb_create: Unable to get nic_stats for port 1Cannot open interface card (media_ethernet/port/id/2)pix_idb_create: Unable to get link capabilities 2pix_idb_create: Unable to get nic_stats for port 2Cannot open interface card (media_ethernet/port/id/3)pix_idb_create: Unable to get link capabilities 3pix_idb_create: Unable to get nic_stats for port 3Cannot open interface card (media_ethernet/port/id/4)pix_idb_create: Unable to get link capabilities 4pix_idb_create: Unable to get nic_stats for port 4Cannot open interface card (media_ethernet/port/id/5)pix_idb_create: Unable to get link capabilities 5pix_idb_create: Unable to get nic_stats for port 5

Bien, voyons comment nous allons ajouter des interfaces à notre ASA.

Emulation d’interfaces:

Interfaces UDP (pour dynagen/mips):

QEmu permet l’utilisation de tunnels UDP comme interfaces. Il y a un port source, et un port destination, que vous devrez choisirs. Dynamips permet la même chose, il faudra que le port source de dynamips soit le port de destination de QEmu, et vice versa. Voici les syntaxe:

Sous windows, vous aurez besoin de ce fichier:

http://bmigette.fr/files/newqemu_win.rar

Merci à l’auteur:

http://7200emu.hacki.at/viewtopic.php?t=4088

extrayez les fichiers, puis renommez qemu.exe en qemuudp.exe, puis copiez les fichiers qemuudp.exe, msys-1.0.dll et msys-z.dll dans votre répertoire QEmu

#QEmu -net nic,vlan=1,macaddr=00:aa:00:00:02:01,model=i82559er -net udp,vlan=1,sport=10000,dport=10001,daddr=127.0.0.1#Dynagen:[[router R0]]f0/0=NIO_udp:10001:127.0.0.1:10000

On voit ici que dynagen utilise le port 10001 comme port source, et le port 10000 comme port de destination, et vice versa pour QEmu.

Voici le script modifié de lancement de l’asa pour le support des interfaces (nous l’appeleront launchasanic.bat):

@echo offstart /B "Qemu" .\QEmu\qemuudp -L .\QEmu -hda .\ASAOS\%1\FLASH -hdachs 980,16,32 -kernel .\ASAOS\%1\vmlinuz -initrd .\ASAOS\%1\%1.gz -m 256 --no-kqemu -append "auto nousb ide1=noprobe bigphysarea=16384 console=ttyS0,9600n8 hda=980,16,32" -net nic,vlan=1,macaddr=00:aa:00:00:02:01,model=i82559er -net udp,vlan=1,sport=10000,dport=10001,daddr=127.0.0.1-netnic,vlan=2,macaddr=00:aa:00:00:02:02,model=i82559er -net udp,vlan=2,sport=10002,dport=10003,daddr=127.0.0.1 -serial telnet::%2,server,nowait.\launchtelnet.bat localhost %2

Vous pouvez bien entendu ajouter plus d’interfaces… Veillez à modifier les mac et les vlans, ainsi que les ports udp

Exemple:

Topologie dynagen:

ghostios   = Truesparsemem  = True

[localhost]    [[2620]]        image = ..\images\C2600-I-.BIN        ram = 32        idlepc=0x803ae3b4

    [[ROUTER R1]]        model = 2620        f0/0=NIO_udp:10001:127.0.0.1:10000 #interface 1 de l'asa

    [[ROUTER R2]]        model = 2620        f0/0=NIO_udp:10003:127.0.0.1:10002 #interface 2 de l'asa

Pour lancer l’émulation:

./launchasanic.bat asa802-k8 666

Interfaces pcap (pour relier votre asa vers une carte réseau):

Téléchargez la version de QEmu supportant les interfaces PCAP, puis copiez qemupcap.exe dans le répertoire QEmu (voir les liens, ou télécharger l’archive en début d’article).

Voici à quoi devrait ressembler votre lanceur (launchasapcap.bat):

@echo offstart /B "Qemu" .\QEmu\qemupcap -L .\QEmu -hda .\ASAOS\%1\FLASH -hdachs 980,16,32 -kernel .\ASAOS\%1\vmlinuz -initrd .\ASAOS\%1\%1.gz -m 256 --no-kqemu -append "auto nousb ide1=noprobe bigphysarea=16384 console=ttyS0,9600n8 hda=980,16,32" -net nic,vlan=0,model=pcnet,macaddr=00:aa:00:00:01:01 -net pcap,vlan=0,ifname=\Device\NPF_{A1712F16-98C7-4ADF-ABD6-E50EFA287BB3} -serial telnet::%2,server,nowait.\launchtelnet.bat localhost %2

Pour le lancer, comme pour les autres:

./launchasapcap.bat asa802-k8 666

Il est évident que l’identifiant pcap de votre carte réseau changera, il faudra donc remplacer la valeur suivante:

ifname=\Device\NPF_{A1712F16-98C7-4ADF-ABD6-E50EFA287BB3}

Pour avoir la liste de vos identifiants pcap de vos différentes cartes réseau, installez dynagen, puis lancez le racourcis network devices list.

Un exemple de topologie dynagen reliée sur une interface:

ghostios   = Truesparsemem  = True

[localhost]

    [[2620]]           image = ..\images\C2600-I-.BIN        ram = 32        idlepc=0x803ae3b4

    [[ROUTER R1]]        model = 2620        f0/0=NIO_gen_eth:\Device\NPF_{A1712F16-98C7-4ADF-ABD6-E50EFA287BB3} #loop0

Cela peut permettre par exemple de relier dynagen et qemu sur une interface loopback si vous ne voulez pas utiliser de tunnels udp, ou alors de relier une des extrêmité vers une carte physique afin de sortir vers un réseau physique…

Liens:

http://7200emu.hacki.at/viewtopic.php?t=4936

http://7200emu.hacki.at/viewtopic.php?t=4088

http://7200emu.hacki.at/viewtopic.php?t=4936&postdays=0&postorder=asc&start=15#19505