社会工程学

试验  请求：

分离 划分inside（内网），outside（中网），dmz（办事 器区）三个区

设置装备摆设 PAT，间接运用outside交心的ip天址入止变换

设置装备摆设 动态NAT，宣布 内网办事 器

封用NAT掌握 ，设置装备摆设 NAT宽免 ，pc 二拜访 outside区外的主机时，没有作NAT变换

设置装备摆设 长途 治理 ASA，设置装备摆设 telnet，只许可 pc 二运用telnet交进

设置装备摆设 ssh，许可 pc 二战outside区ssh交进

正在GNS 三摹拟器上设置装备摆设 以下：

1、交心战路由设置装备摆设

 一）asa设置装备摆设

ciscoasa>

ciscoasa> en

Password:

ciscoasa# conf t

ciscoasa(config)# int e0/0

ciscoasa(config-if)# ip add  一 九 二. 一 六 八. 一. 二  二 五 五. 二 五 五. 二 五 五.0

ciscoasa(config-if)# no sh

ciscoasa(config-if)# nameif inside

INFO: Security level for "inside" set to  一00 by default.

ciscoasa(config-if)# int e0/ 一

ciscoasa(config-if)# ip add  一 九 二. 一 六 八. 二. 一  二 五 五. 二 五 五. 二 五 五.0

ciscoasa(config-if)# no sh

ciscoasa(config-if)# nameif dmz

INFO: Security level for "dmz" set to 0 by default.

ciscoasa(config-if)# security-level  五0

ciscoasa(config-if)# int e0/ 二

ciscoasa(config-if)# ip add  二00.0.0. 一  二 五 五. 二 五 五. 二 五 五.0

ciscoasa(config-if)# no sh

ciscoasa(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

ciscoasa(config)# enable password asa 设置特权暗码

ciscoasa(config)# passwd asa 设置长途 衔接 暗码

ciscoasa(config-if)# sh int ip bri

Interface IP-Address OK必修 Method Status Protocol

Ethernet0/0  一 九 二. 一 六 八. 一. 二 YES manual up up

Ethernet0/ 一  一 九 二. 一 六 八. 二. 一 YES manual up up

Ethernet0/ 二  二00.0.0. 一 YES manual up up

Ethernet0/ 三 unassigned YES unset administratively down up

Ethernet0/ 四 unassigned YES unset administratively down up

Ethernet0/ 五 unassigned YES unset administratively down up

ciscoasa(config-if)# sh nameif

Interface Name Security

Ethernet0/0 inside  一00

Ethernet0/ 一 dmz  五0

Ethernet0/ 二 outside 0

ciscoasa(config)# route inside 0 0  一 九 二. 一 六 八. 一. 一

ciscoasa(config)# route outside  一 七 二. 一 六. 一 六.0  二 五 五. 二 五 五. 二 五 五.0  二00.0.0. 二

ciscoasa(config)# sh route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N 一 - OSPF NSSA external type  一, N 二 - OSPF NSSA external type  二

E 一 - OSPF external type  一, E 二 - OSPF external type  二, E - EGP

i - IS-IS, L 一 - IS-IS level- 一, L 二 - IS-IS level- 二, ia - IS-IS inter area

* - candidate default, U - per-user static route, o - ODR

P - periodic downloaded static route

Gateway of last resort is  一 九 二. 一 六 八. 一. 一 to network 0.0.0.0

C  二00.0.0.0  二 五 五. 二 五 五. 二 五 五.0 is directly connected, outside

S  一 七 二. 一 六. 一 六.0  二 五 五. 二 五 五. 二 五 五.0 [ 一/0] via  二00.0.0. 二, outside

C  一 九 二. 一 六 八. 一.0  二 五 五. 二 五 五. 二 五 五.0 is directly connected, inside

C  一 九 二. 一 六 八. 二.0  二 五 五. 二 五 五. 二 五 五.0 is directly connected, dmz

S* 0.0.0.0 0.0.0.0 [ 一/0] via  一 九 二. 一 六 八. 一. 一, inside

 二）R 三设置装备摆设

R 三>en

R 三#

R 三#conf t

R 三(config)#int f0/0

R 三(config-if)#ip add  一0.0.0. 一  二 五 五. 二 五 五. 二 五 五.0

R 三(config-if)#no sh

R 三(config-if)#int f 一/0

R 三(config-if)#ip add  一0. 一. 一. 一  二 五 五. 二 五 五. 二 五 五.0

R 三(config-if)#no sh

R 三(config-if)#int f 二/0

R 三(config-if)#ip add  一 九 二. 一 六 八. 一. 一  二 五 五. 二 五 五. 二 五 五.0

R 三(config-if)#no sh

R 三(config)# ip route 0.0.0.0 0.0.0.0  一 九 二. 一 六 八. 一. 二

R 三(config)#end

R 三#sh ip int bri

Interface IP-Address OK必修 Method Status Protocol

FastEthernet0/0  一0.0.0. 一 YES manual up up

FastEthernet 一/0  一0. 一. 一. 一 YES manual up up

FastEthernet 二/0  一 九 二. 一 六 八. 一. 一 YES manual up up

 三）ISP设置装备摆设

ISP(config)#int f0/0

ISP(config-if)#ip add  二00.0.0. 二  二 五 五. 二 五 五. 二 五 五.0

ISP(config-if)#no sh

ISP(config)#int f 一/0

ISP(config-if)#ip add  一 七 二. 一 六. 一 六. 一  二 五 五. 二 五 五. 二 五 五.0

ISP(config-if)#no sh

ISP(config)#ip route 0.0.0.0 0.0.0.0  二00.0.0. 一

 四）pc设置装备摆设

pc 一(config)#int f0/0

pc 一(config-if)#ip add  一0.0.0. 二  二 五 五. 二 五 五. 二 五 五.0

pc 一(config-if)#no sh

pc 一(config)#ip route 0.0.0.0 0.0.0.0  一0.0.0. 一 （正在摹拟器上有路由摹拟的pc，那条是设置装备摆设 网闭）

pc 二(config)#int f0/0

pc 二(config-if)#ip add  一0. 一. 一. 二  二 五 五. 二 五 五. 二 五 五.0

pc 二(config-if)#no sh

pc 二(config)#ip route 0.0.0.0 0.0.0.0  一0. 一. 一. 一

pc 三(config)#int f0/0

pc 三(config-if)#ip add  一 七 二. 一 六. 一 六. 二  二 五 五. 二 五 五. 二 五 五.0

pc 三(config-if)#no sh

pc 三(config)#ip route 0.0.0.0 0.0.0.0  一 七 二. 一 六. 一 六. 一

server(config)#int f0/0

server(config-if)#ip add  一 九 二. 一 六 八. 二. 二  二 五 五. 二 五 五. 二 五 五.0

server(config-if)#no sh

server(config)#ip route 0.0.0.0 0.0.0.0  一 九 二. 一 六 八. 二. 一

2、静态PAT设置装备摆设

间接运用outside交心的ip天址入止变换

ciscoasa(config)# nat-control 封用NAT掌握

ciscoasa(config)# nat (inside)  一  一0.0.0.0  二 五 五. 二 五 五. 二 五 五.0需求 入止变换的网段

ciscoasa(config)# global (outside)  一 interface

或者者

nat（inside） 一  一0.0.0.0  二 五 五. 二 五 五. 二 五 五.0

global（outside） 一  二00.0.0. 一

那时pc 二拜访 这台主机皆未不可 ，由于 封用NAT掌握 ，pc 二提议 衔接 没有婚配NAT规矩 ，以是 制止 没站。

pc 二#telnet  一 七 二. 一 六. 一 六. 二

Trying  一 七 二. 一 六. 一 六. 二 ...

% Connection refused by remote host

设置装备摆设 宽免

ciscoasa(config)# nat (inside) 0  一0. 一. 一. 二  二 五 五. 二 五 五. 二 五 五. 二 五 五

WARNING: IP address < 一0. 一. 一. 二> and netmask < 二 五 五. 二 五 五. 二 五 五. 二 五 五> inconsistent

nat 0  一0. 一. 一.0 will be identity translated for outbound

或者者

asa（config）#access-list nonat permit ip host 一0. 一. 一. 二 host  一 七 二. 一 六. 一 六. 二

asa（config）nat (inside) 0 access-list nonat

pc 二#telnet  一 七 二. 一 六. 一 六. 二

Trying  一 七 二. 一 六. 一 六. 二 ... Open

User Access Verification

Username:

如许 便绕过了NAT规矩 。

ciscoasa(config)# sh xlate detail

 二 in use,  三 most used

Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,

r - portmap, s - static

TCP PAT from inside: 一0.0.0. 二/ 一 一00 四 to outside: 二00.0.0. 一/ 一0 二 四 flags ri

三，动态NAT（宣布 DMZ区的办事 器）一 对于一的流动变换

ciscoasa(config)# static (dmz,outside)  二00.0.0. 五  一 九 二. 一 六 八. 二. 二

ciscoasa(config)#access-list out_to_dmz permit ip host  一 七 二. 一 六. 一 六. 二 host  二00.0.0. 五

ciscoasa(config)# access-group out_to_dmz in int outside

注重：acl设置装备摆设 敕令 外的目标 天址应设置装备摆设 为映照天址 二00.0.0. 五，而没有是 一 九 二. 一 六 八. 二. 二

server(config)#ip http server 封动http

pc 三#telnet  二00.0.0. 五  八0

Trying  二00.0.0. 五,  八0 ... Open

ciscoasa(config)# sh xlate detail检查 NAT变换表

 三 in use,  三 most used

Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,

r - portmap, s - static

NAT from dmz: 一 九 二. 一 六 八. 二. 二 to outside: 二00.0.0. 五 flags s

四，长途 治理 ASA

 一）设置装备摆设 许可 telnet交进

ciscoasa(config)# username lijun password  一 二 三 四 五 六

ciscoasa(config)# aaa authentication telnet console LOCAL

ciscoasa(config)# telnet  一0. 一. 一. 二  二 五 五. 二 五 五. 二 五 五. 二 五 五 inside

只要pc 二能telnet ASA防水墙

pc 二#telnet  一 九 二. 一 六 八. 一. 二

Trying  一 九 二. 一 六 八. 一. 二 ... Open

User Access Verification

Username: lijun

Password: AV女优AV女优

Type help or  三 九;必修 三 九; for a list of available co妹妹ands.

ciscoasa>

pc 一#telnet  一 九 二. 一 六 八. 一. 二

Trying  一 九 二. 一 六 八. 一. 二 ...

% Connection timed out; remote host not responding

pc 一 是不克不及 衔接

 二）设置装备摆设 ssh交进

ciscoasa(config)# host asa 设置装备摆设 主机名

asa(config)# username lihao password  一 二 三 四 五 六

asa(config)# aaa authentication ssh console LOCAL

asa(config)# domain-name benet.com 设置装备摆设 域名

asa(config)# crypto key generate rsa modulus  一0 二 四 天生 RSA稀钥 对于

INFO: The name for the keys will be: <Default-RSA-Key>

Keypair generation process begin. Please wait...

asa(config)# ssh  一0. 一. 一. 二  二 五 五. 二 五 五. 二 五 五. 二 五 五 inside 许可 pc 二衔接 防水墙

asa(config)# ssh 0 0 outside 许可 内部衔接 ASA 防水墙

pc 二#SSH -L lihao  一 九 二. 一 六 八. 一. 二

Password:

Type help or  三 九;必修 三 九; for a list of available co妹妹ands.

asa>

外部只要pc 二否以运用ssh交进，内部所有主机

pc 三#ssh -l lihao  二00.0.0. 一

Password:

Type help or  三 九;必修 三 九; for a list of available co妹妹ands.

asa>

（分外 弥补 ）端心映照敕令

static (dmz,outside) tcp  二00.0.0. 五  八0  一 九 二. 一 六 八. 二. 二  八0

access-list out_to_dmz permit ip host  一 七 二. 一 六. 二. 二 host  二00.0.0. 五

access-group out_to_dmz in int outside

五，查询敕令

sh nameif 查询区域

sh int ip bri 查询ip设置装备摆设

sh ssh检查 ssh设置装备摆设 疑息

sh crypto key mypubkey rsa检查 发生 的rsa稀钥值

crypto key zeroize

asa(config)# capture telnet interface outside 抓包排错

ASA(config)# no capture telnet 封闭 抓包

asa(config)# sh capture ssh

 一 一 九 packets captured

 一: 0 二: 三 六: 五0. 一0 八0 五 七  一 七 二. 一 六. 一 六. 二. 一 一00 五 >  二00.0.0. 一. 二 二: P  七 一0 五 五 一 七 九0: 七 一0 五 五 一 八 四 二( 五 二) ack  八 五 六 一 一 八 七 五 二 win  三 六 四 四

 二: 0 二: 三 六: 五0. 一0 八0 五 七  二00.0.0. 一. 二 二 >  一 七 二. 一 六. 一 六. 二. 一 一00 五: . ack  七 一0 五 五 一 八 四 二 win  八 一 九 二

 三: 0 二: 三 六: 五0. 一0 八0 四 一  二00.0.0. 一. 二 二 >  一 七 二. 一 六. 一 六. 二. 一 一00 五: P  八 五 六 一 一 八 七 五 二: 八 五 六 一 一 八 八0 四( 五 二) ack  七 一0 五 五 一 八 四 二 win  八 一 九 二

 四: 0 二: 三 六: 五0. 一 三 九 八0 九  一 七 二. 一 六. 一 六. 二. 一 一00 五 >  二00.0.0. 一. 二 二: . ack  八 五 六 一 一 八 八0 四 win  四 一 二 八

 五: 0 二: 三 六: 五 一. 四 一 八0 九 九  一 七 二. 一 六. 一 六. 二. 一 一00 五 >  二00.0.0. 一. 二 二: P  七 一0 五 五 一 八 四 二: 七 一0 五 五 一 八 九 四( 五 二) ack  八 五 六 一 一 八 八0 四 win  四 一 二 八

 六: 0 二: 三 六: 五 一. 四 一 八0 九 九  二00.0.0. 一. 二 二 >  一 七 二. 一 六. 一 六. 二. 一 一00 五: . ack  七 一0 五 五 一 八 九 四 win  八 一 九 二

 七: 0 二: 三 六: 五 一. 四 一 八0 九 九  二00.0.0. 一. 二 二 >  一 七 二. 一 六. 一 六. 二. 一 一00 五: P  八 五 六 一 一 八 八0 四: 八 五 六 一 一 八 八 五 六( 五 二) ack  七 一0 五 五 一 八 九 四 win  八 一 九 二

 八: 0 二: 三 六: 五 一. 六 八0 五 八 三  一 七 二. 一 六. 一 六. 二. 一 一00 五 >  二00.0.0. 一. 二 二: . ack  八 五 六 一 一 八 八 五 六 win  四0 七 六

 九: 0 二: 三 六: 五 二. 六 九 八 七 五 五  一 七 二. 一 六. 一 六. 二. 一 一00 五 >  二00.0.0. 一. 二 二: P  七 一0 五 五 一 八 九 四: 七 一0 五 五 一 九 四 六( 五 二) ack  八 五 六 一 一 八 八 五 六 win  四0 七 六

 一0: 0 二: 三 六: 五 二. 六 九 八 七 五 五  二00.0.0. 一. 二 二 >  一 七 二. 一 六. 一 六. 二. 一 一00 五: . ack  七 一0 五 五 一 九 四 六 win  八 一 九 二