Author Archives: Jørgen Hoffmeister

Cisco-5506-series-ASA-firewalls

Cisco ASA SNMP Konfiguration

For at kunne overvåge og monitorere Cisco ASA firewalls, så skal SNMP konfigureres. Cisco ASA firewalls understøtter SNMP version 1, 2c og 3. Cisco ASA firewalls understøtter kun læsning via SNMP, det vil sige man kan ikke ændre på konfiguration som man kan med Cisco switche.

Konfiguration af SNMP foretages via Seriel konsollen, SSH eller via den grafiske brugerflade ASDM.

SNMP Ver 1 og 2c konfigureres på følgende måde.

snmp-server enable

For at kunne kommunikere via SNMP, så skal der angives et community navn. Community navnet er et slags password eller delt nøgle der benyttes som validering og sikrer at det kun er de enheder der kender nøglen, der kan kommunikere sammen. Udover det skal man angive det logiske interface som man vil overvåge firewallen fra samt den IP adresse man kommer fra. Man kan ikke angive et range af adresser, som kan overvåge firewallen via SNMP.

snmp-server server host <logical-interface-name> poll community <string> version 2c

Konfigurationen vil se således ud, når man angiver en server der skal kunne overvåge firewallen interfacet inside.

Vi har i konfigurationen valgt at benytte SNMP version 2c i det at man her kan benytte 64bit countere. Dette er nødvendigt for overvågning af netværks interfaces der kan køre med mere end 100 Mbit. Vi har benyttet neosec som community navn.

snmp-server host inside 10.1.101.215 poll community neosec version 2c

For at identificere firewallen kan man konfigurere kontakt information og lokalitet. Disse informationer vises i Neosec Security Server når firewallen er tilføjet.

snmp-server contact IT Afdelingen
snmp-server location Hovedkrydsfelt

Husk at gemme konfigurationen bagefter.

write memory

Man kan lave yderligere ændringer til SNMP konfiguration udover standard. Som standard lytter Cisco ASA firewallen på port 161 for SNMP forespørgelser. Dette kan ændres med følgende kommando.

snmp-server listen-port 161

Yderligere så kan man konfigurere firewallen til at sende Traps via SNMP. Som standard benytter jeg Syslog som log kilde, men man kan også benytte SNMP som log kilde.

snmp-server host inside 10.1.101.215 trap community neosec version 2c

Følgende Trap categorier kan tilvælges:

  • All
  • Connection-limit-reached
  • CPU
  • Entity
  • ikev2
  • Interface-threshold
  • iPsec
  • Memory-threshold
  • Nat
  • Remote-access
  • SNMP
  • Syslog
snmp-server enable traps <categori>

For yderligere information omkring SNMP følge da dette link.

HP Switche

HP Switch SNMP konfiguration

For at kunne overvåge og monitorere HP Procurve switche, så skal SNMP konfigureres. De fleste HP switche understøtter SNMP version 1, 2c. I de nyere versioner af deres switche er der nu også understøttelse for SNMP version 3.

HP Switche understøtter både Read og Write via SNMP, det vil sige at vi udover at kunne læse informationer fra switchene også kan gemme informationer, samt lave om i konfigurationen via SNMP.

Konfiguration af SNMP foretages via Seriel konsollen, Telnet eller SSH.

SNMP Ver 1 og 2c konfigureres på følgende måde. Følgende kommando aktivere SNMP på switchen.

snmp-server enable

For at kunne kommunikere via SNMP, så skal der angives et community navn. Community navnet er et slags password eller delt nøgle der benyttes som validering og sikrer at det kun er de enheder der kender nøglen, der kan kommunikere sammen. .

snmp-server community <Community Navn>

Hvis man ikke angiver andet end ovenstående, konfigureres snmp-server til at kunne læse som en ‘Operator’. Man kan angive en snmp-server konfiguration som ‘Operator’ eller som ‘Manager’. ‘Operator’ kan tilgå et begrænset antal MIB objekter til overvågning og et begrænset antal MIB objekter for konfigurations information på switchen. Hvis man vælger ‘Manager’ Kan man læse alle MIB objekter der findes på switchen.

Man kan yderligere vælge hvilken type adgang man skal have. Her kan man vælge ‘restricted’ som kun giver læse adgang eller ‘unrestricted’ som giver lov til at kunne læse og skrive SNMP MIB variabler.

Konfigurationen vil se således ud. Her konfigureres SNMP adgangen til switchen med community navnet neosec, som manager hvor man har adgang til alle MIB objekter og som unrestricted, der giver mulighed for både at læse og skrive.

snmp-server community neosec manager unrestricted

Konfigurationen giver adgang for SNMP version 1 og 2c. Det anbefales at vælge SNMP version 2c i Neosec, sådan at man kan overvåge Interface countere med 64 bit.

For at identificere switchen kan man konfigurere kontakt information og lokalitet. Disse informationer vises i Neosec Security Server når switchen er tilføjet.

snmp-server contact IT Afdelingen
snmp-server location Hovedkrydsfelt

Husk at gemme konfigurationen bagefter.

Neosec Security Reporter Dashboard

Auto Login i Neosec Security Reporter

Når man har en centralt placeret overvågning skærm med Neosec Security Reporter kørende, er det ikke altid at man har mus og keyboard i nærheden. Det er derfor nu muligt at konfigurere klienten med brugernavn og password sådan at den automatisk logger på Neosec Security serveren.

Auto Login, giver også den fleksibilitet at når man starter Neosec Security Reporter bliver man automatisk logget ind samt at Neosec Security Reporter starter i Dashboard tilstand.

Dashboard tilstand er en funktion hvor Neosec Security Reporter startes i Fullscreen og hvor den sættes til at skifte imellem de forskellige faner.

Kik videre via dette link, for hvordan man konfigurere Auto Login.

Hvis man har konfigureret Neosec Security Reporter til auto login, samt Fullscreen, så skal man trykke på F11 for at gå ud af Fullscreen. Herefter får man adgang til menuen hvor man kan ændre auto login.

 

Putty on Cisco ASA

Putty som værktøj i Device tools

Nu er det muligt at benytte Putty via Security Manager klienten. I “device view” kan man via “Device Tools” menuen starte en SSH eller Telnet session til det valgte enhed.

Device Tools Menu

Hvis der er oprettet en SSH/Telnet Credential for den overvågede enhed vil man ved SSH automatisk blive logget på enheden.

Device Tools Open Putty Telnet

Ved Telnet, kan man kun forbinde sig til enheden, her er det ikke muligt at logge på automatisk. Dette er en begrænsning i Putty.

Hvis Putty ikke er kopieret til installations folderen for Neosec Security Manager, vil følgende besked komme.

 

Could Not Find Putty