|
| Cisco PIX og SNMP Fra : Ole Hansen |
Dato : 26-11-01 16:28 |
|
Hej,
Jeg skal have skrevet et script, der kan håndtere konfigurationsfiler
for nogle Cisco PIX-kasser... Jeg ved, der til Cisco's routere er en
MIB, der hedder .iso.org.<ogsåvidere.writeNet der kan bruges til at få
den til at aflevere sin konfiguration via tftp. Findes der ikke noget
lignende på en PIX? Jeg har forsøgt mig med samme syntax på snmpset
som ved en router, men den siger bare:
snmpset: Agent reported an error.
snmpset: SNMP: Variable does not exist or access is denied.
Ideer? SNMP er slået til i PIX'en...
(Det skal lige nævnes, jeg normalt ikke står for konfiguration af
sådan nogle PIX-fætre.. )
--
Ole Hansen
| |
Martin Bilgrav (26-11-2001)
| Kommentar Fra : Martin Bilgrav |
Dato : 26-11-01 20:22 |
|
Hejsa
Du skal sætte en tftp-server host inside med filnavn, herefter kan du lave
en write net
Så er det bare at scripte det, evt via telnet eller snmp.
HTH
Martin Bilgrav
"Ole Hansen" <moped@get2net.dk> wrote in message
news:u8zcto8lw.fsf@get2net.dk...
> Hej,
>
> Jeg skal have skrevet et script, der kan håndtere konfigurationsfiler
> for nogle Cisco PIX-kasser... Jeg ved, der til Cisco's routere er en
> MIB, der hedder .iso.org.<ogsåvidere.writeNet der kan bruges til at få
> den til at aflevere sin konfiguration via tftp. Findes der ikke noget
> lignende på en PIX? Jeg har forsøgt mig med samme syntax på snmpset
> som ved en router, men den siger bare:
>
> snmpset: Agent reported an error.
> snmpset: SNMP: Variable does not exist or access is denied.
>
> Ideer? SNMP er slået til i PIX'en...
>
> (Det skal lige nævnes, jeg normalt ikke står for konfiguration af
> sådan nogle PIX-fætre.. )
>
> --
> Ole Hansen
| |
Ole Hansen (26-11-2001)
| Kommentar Fra : Ole Hansen |
Dato : 26-11-01 22:47 |
|
"Martin Bilgrav" <bilgravSPAMOFF@image.dk> writes:
> Hejsa
> Du skal sætte en tftp-server host inside med filnavn, herefter kan du lave
> en write net
> Så er det bare at scripte det, evt via telnet eller snmp.
Det er såmænd sat op, og jeg kan sagtens lave en: write net, når jeg
telnetter til PIX'en. Mit spørgsmål gik mere på, hvilken MIB, der skal
bruges for at få PIX'en til at aflevere sin konfiguration.
I øvrigt, er du ikke rar at skrive under det du svarer på, og klippe
det unødvendige væk? Tak! :)
> HTH
> Martin Bilgrav
--
Ole Hansen
| |
Asbjorn Hojmark (26-11-2001)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 26-11-01 23:39 |
|
On 26 Nov 2001 16:27:39 +0100, Ole Hansen <moped@get2net.dk>
wrote:
> Jeg ved, der til Cisco's routere er en MIB, der hedder .iso.org.
> <ogsåvidere.writeNet der kan bruges til at få den til at aflevere
> sin konfiguration via tftp. Findes der ikke noget lignende på en
> PIX?
Nej.
Men du kan lave et script til Perl, Expect eller whatever der
telnetter til PIX'en og skriver konfiguratioen til en fil. Det
har jeg selv gjort med Perl og modulet Net::Telnet.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/
| |
Ole Hansen (26-11-2001)
| Kommentar Fra : Ole Hansen |
Dato : 26-11-01 23:48 |
|
Asbjorn Hojmark <Asbjorn@Hojmark.ORG> writes:
> > Jeg ved, der til Cisco's routere er en MIB, der hedder .iso.org.
> > <ogsåvidere.writeNet der kan bruges til at få den til at aflevere
> > sin konfiguration via tftp. Findes der ikke noget lignende på en
> > PIX?
>
> Nej.
Øv!
> Men du kan lave et script til Perl, Expect eller whatever der
> telnetter til PIX'en og skriver konfiguratioen til en fil. Det
> har jeg selv gjort med Perl og modulet Net::Telnet.
Tjah, det var egentlig det, jeg gerne ville undgå - eller rettere, ham
som administrerer PIX'ene ville undgå. Oh well, der er alligevel kun
telnet-adgang på de interne interfaces.. Så hvis han vil have, jeg
fortsætter, så må han jo bøje sig!
Det perl-script, er det noget du holder tæt ind til kroppen, eller har
lyst til at dele med omverdenen?
I øvrigt, hvorfor kører PIX'ene ikke ssh i stedet for telnet?
> -A
--
Ole Hansen
| |
Lars Kim Lund (27-11-2001)
| Kommentar Fra : Lars Kim Lund |
Dato : 27-11-01 00:11 |
|
Hej Ole Hansen <moped@get2net.dk>
>Det perl-script, er det noget du holder tæt ind til kroppen, eller har
>lyst til at dele med omverdenen?
Der er ikke ret meget hemmeligt i at lave et perl-script der sender
kommandoer over telnet.
perldoc Net::Telnet
En anden mulighed var at gøre det med SNMP.
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Ole Hansen (27-11-2001)
| Kommentar Fra : Ole Hansen |
Dato : 27-11-01 00:27 |
|
Lars Kim Lund <larskim@mail.com> writes:
> >Det perl-script, er det noget du holder tæt ind til kroppen, eller har
> >lyst til at dele med omverdenen?
>
> Der er ikke ret meget hemmeligt i at lave et perl-script der sender
> kommandoer over telnet.
>
> perldoc Net::Telnet
Jeg må se, om jeg kan få overvundet min "skræk" for Perl! Der er altså
nogle ting, hvor jeg godt kan se, det er meget nemmere med Perl end
med et godt "gammeldags" shell-script!
> En anden mulighed var at gøre det med SNMP.
Hvilket var hvad mit oprindelige spørgsmål egentlig gik på. Jeg har
bare ikke kunnet finde ud af hvordan, det gøres med SNMP. Asbjørn
Højmark skriver jo i sit svar til mig, der ikke findes en ekvivalent
til routernes .writeNet MIB.
> --
> Lars Kim Lund
--
Ole Hansen
| |
Lars Kim Lund (27-11-2001)
| Kommentar Fra : Lars Kim Lund |
Dato : 27-11-01 00:38 |
|
Hej Ole Hansen <moped@get2net.dk>
>> perldoc Net::Telnet
>
>Jeg må se, om jeg kan få overvundet min "skræk" for Perl! Der er altså
>nogle ting, hvor jeg godt kan se, det er meget nemmere med Perl end
>med et godt "gammeldags" shell-script!
Alt det svære får du forærende med modulet, så dit eneste job er at
programmere nogle kontrolstrukturer.
>> En anden mulighed var at gøre det med SNMP.
>
>Hvilket var hvad mit oprindelige spørgsmål egentlig gik på. Jeg har
>bare ikke kunnet finde ud af hvordan, det gøres med SNMP. Asbjørn
>Højmark skriver jo i sit svar til mig, der ikke findes en ekvivalent
>til routernes .writeNet MIB.
Jeg tror jeg missede et eller andet i tråden da jeg skrev det.
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Asbjorn Hojmark (27-11-2001)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 27-11-01 02:06 |
|
On 26 Nov 2001 23:47:30 +0100, Ole Hansen <moped@get2net.dk>
wrote:
>> Men du kan lave et script til Perl, Expect eller whatever der
>> telnetter til PIX'en og skriver konfiguratioen til en fil. Det
>> har jeg selv gjort med Perl og modulet Net::Telnet.
> Tjah, det var egentlig det, jeg gerne ville undgå - eller rettere,
> ham som administrerer PIX'ene ville undgå.
Hvorfor? Fordi I synes, SNMP skulle være mere sikkert end telnet?
(Det er det ikke. Bestemt ikke).
> Det perl-script, er det noget du holder tæt ind til kroppen, eller
> har lyst til at dele med omverdenen?
Ja, jeg holder det lidt tæt, men det er mest fordi jeg er ret
dårlig til Perl. Men hent http://www.hojmark.org/x/gc-pix.txt og
se om ikke der er lidt inspiration at hente.
Net::Telnet kan selvfølgelig hentes fra CPAN.
> I øvrigt, hvorfor kører PIX'ene ikke ssh i stedet for telnet?
Hvad mener du med, at de ikke kører SSH?
Men du kan i øvrigt også konfigurere PIX'en med telnet over PPTP
eller IPSec, hvor du kun tillader telnet-adgang fra den adresse-
pulje.
Et tredje alternativ er at konfigurere via PIX Device Manager
(WUI'en) over SSL/TLS.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/
| |
Ole Hansen (27-11-2001)
| Kommentar Fra : Ole Hansen |
Dato : 27-11-01 09:07 |
|
Asbjorn Hojmark <Asbjorn@Hojmark.ORG> writes:
> > Tjah, det var egentlig det, jeg gerne ville undgå - eller rettere,
> > ham som administrerer PIX'ene ville undgå.
>
> Hvorfor? Fordi I synes, SNMP skulle være mere sikkert end telnet?
> (Det er det ikke. Bestemt ikke).
Næh, det var egentlig med den begrundelse, at det de andre scripts, vi
har til indsamling af konfigurationer benytter SNMP, men jeg har lige
fået "tilladelse" til at gøre det via telnet! Og jo, jeg har hørt
nogen snakke om "Security is Not My Problem" :)
> Ja, jeg holder det lidt tæt, men det er mest fordi jeg er ret
> dårlig til Perl. Men hent http://www.hojmark.org/x/gc-pix.txt og
> se om ikke der er lidt inspiration at hente.
Damn, det ser dejligt nemt ud! Skønt - noget jeg kan hitte ud af! :)
(Jeg er nemlig selv ret dårlig til Perl)
> Hvad mener du med, at de ikke kører SSH?
Kan de da det? SSH er jo krypteret, hvor telnet sender alt som
klartekst - det vil jeg da anse for en fordel, da især når det drejer
sig om en firewall..
> Men du kan i øvrigt også konfigurere PIX'en med telnet over PPTP
> eller IPSec, hvor du kun tillader telnet-adgang fra den adresse-
> pulje.
>
> Et tredje alternativ er at konfigurere via PIX Device Manager
> (WUI'en) over SSL/TLS.
Ja, de ser da ud til at kunne en "sjat", sådan nogle PIX'es.. Skal da
ærlig indrømme, det er mit første møde med sådan en..
> -A
--
Ole Hansen
| |
Martin Bilgrav (27-11-2001)
| Kommentar Fra : Martin Bilgrav |
Dato : 27-11-01 09:40 |
|
>
> Kan de da det? SSH er jo krypteret, hvor telnet sender alt som
> klartekst - det vil jeg da anse for en fordel, da især når det drejer
> sig om en firewall..
> Ole Hansen
>
Selvf. kan de det - det skal bare sættes op i den ligesom alt andet, inden
det virker.
fx sådan :
hostname cisco-pix
domain-name example.com
ca generate rsa key 1024
show ca mypubkey rsa
ca save all
ssh 10.1.1.1 255.255.255.255 outside
ssh timeout 60
HTH
Martin Bilgrav
| |
Ole Hansen (27-11-2001)
| Kommentar Fra : Ole Hansen |
Dato : 27-11-01 10:27 |
|
"Martin Bilgrav" <bilgravSPAMOFF@image.dk> writes:
> > Kan de da det? SSH er jo krypteret, hvor telnet sender alt som
> Selvf. kan de det - det skal bare sættes op i den ligesom alt andet, inden
> det virker.
<SNIP eksempel>
Jamen dog! :) Der kan man bare se, den kan jo! Nå, det er lidt for
tydeligt, jeg aldrig har leget med en PIX før!
Tak for alle de gode svar, jeg har fået - jeg er i fuld gang med at
brygge noget sammen!
> Martin Bilgrav
--
Ole Hansen
| |
Asbjorn Hojmark (27-11-2001)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 27-11-01 13:22 |
|
On 27 Nov 2001 09:06:40 +0100, Ole Hansen <moped@get2net.dk>
wrote:
>> Hvad mener du med, at [en PIX] ikke kører SSH?
> Kan de da det?
Ja.
> Ja, de ser da ud til at kunne en "sjat", sådan nogle PIX'es..
Ja. Det er en ret komplet firewall.
-A
| |
|
|