Cisco IOS Type7 Password Çözme

Zaman zaman IOS üzerinde encrypt edilmiş olarak görünen (Type-7) password’lerin nasıl kırılacağı ile ilgili sorularla karşılaşmaktayım. Bu yazımda biraz bu konuya açıklık getirmeye çalışacağım.

Öncelikle elimizde running-config üzerinde clear text olarak açıkca görünmeyen password’lerimiz olsun.

R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#
R1(config)#username mehmet privilege 15 password myeni1234!
R1(config)#enable password cisco
R1(config)#service password-encryption 
R1(config)#end
R1#sh run
*Mar 1 01:25:15.979: %SYS-5-CONFIG_I: Configured from console by console
R1#sh run
Building configuration...

Current configuration : 1132 bytes
!
version 12.4
service password-encryption
!
hostname R1
!
enable password 7 02050D480809
!
username mehmet privilege 15 password 7 060B16244247584B564353

Görüleceği üzere elimizde şifrelenmiş 2 password var ve bunları çözerek görüntülememiz gerekiyor.
Çözüm önerisi olarak sunulabilecek 4 yöntem mevcut:

1- Bu işi Cisco IOS işletim sistemine yaptırmak,
2- Online web sayfaları
3- Bedava yazılımlar
4- Android uygulaması

 

Yöntem-1

Çözümü hiç uzaklarda aramayın. Login olabildiğiniz bir router’a bu passwordün şifresini çözdürebilirsiniz. Bunun için yapılması gereken key-chain konfigürasyonlarını kullanmak. Şöyle ki, çözülecek her password için bir key-chain oluşturuyoruz ve password’ün type-7 olan şifrelenmiş halini buraya ekliyoruz.

R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#
R1(config)#
R1(config)#key chain
R1(config)#key chain Enable-pass-decrypt
R1(config-keychain)#key 1
R1(config-keychain-key)#key
R1(config-keychain-key)#key-string ?
  0     Specifies an UNENCRYPTED password will follow
  7     Specifies a HIDDEN password will follow
  LINE  The UNENCRYPTED (cleartext) user password

R1(config-keychain-key)#key-string 7 02050D480809
R1(config-keychain-key)#exit 
R1(config-keychain)#exit 
R1(config)#key chain
R1(config)#key chain Local-user-pass-decrypt
R1(config-keychain)#key 1     
R1(config-keychain-key)#key-string 7 060B16244247584B564353
R1(config-keychain-key)#end
R1#
R1#

Burada dikkat ettiyseniz key-string olarak show-run üzerinde görünün şifrelenmiş haldeki password’leri yazdım.

Sonrasında “show key chain” diyerek password’lerimizin açık halini görüntülemiş oluyoruz.

pass_decr1

Yöntem-2

Bu işi sadece encrypted password’ü yazmanızın ardından sizin için yapan web siteleri var. Uzun zamandır kullandığım şu siteyi önerebilirim.

Buradaki mantık da yine aynı. Type 7 halini veriyoruz, site bizim için çevirip çözülmüş halini ekrana getiriyor.

pass_decr3

 

pass_decr4
 Yöntem-3

Yine bu işi yapan ücretsiz yazılımlar var. Bunlardan Boson’un getpass yazılımı ile offline olarak ve elinizde herhangi bir router olmadan bu işlemi gerçekleştirebilirsiniz.

 

pass_decr5

 

Yöntem-4

Yine bu yöntem de aynı 3 gibi olmakla birlikte bu kez Android cihazlarda çalışan bir uygulama olarak karşımıza çıkıyor. Google play store’dan Cisco Type7 Decrypt uygulamasını indirip kurarak da bu işlemi gerçekleştirebiliriz.

pass_decr6
Not: Resim temsilidir.

Cisco IOS Banner

Banner, cisco IOS/IOS XR/NX-OS işletim sistemlerine sahip router, switch, firewall gibi cihazlarda login olunup console, telnet, SSH gibi yöntemlerle erişildiğinde cihaz tarafından verilen karşılama, bilgilendirme mesajlarını içeren özelliktir.

Genelde router/switch gibi cihazlarda banner’ı 2 amaçla kullanırız:

  • Bağlanılan cihazla ilgili bilgilendirme amaçlı mesaj vermek,
  • Cihaza erişen kullanıcının erişim hakkı olup olmadığını sorgulayarak uyarı vermek.

Temelde 5 farklı banner tipi vardır:

  • banner motd 
  • banner login 
  • banner exec 
  • banner slip-ppp
  • banner incoming

Genel anlamda ben en fazla koyu olarak yazılanları kullanıyorum. Gereksiz bilgiye boğmadan bunları açıklamaya ve örneklemeye çalışacağım.

Banner MOTD(Message of The Day)

Login prompt’undan da önce gösterilir. Genellikle o günle ilgili geçici bir mesajı paylaşmak için kullanılır. Örn: “Bu routerda calisma yapilmaktadir. Lutfen cihazı reboot etmeyin.”

Yapılandırmak için:

R1#
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#banner motd $
Enter TEXT message.  End with the character '$'.
Bu mesaj MOTD mesajidir.
$
R1(config)#

Burada dikkat edilmesi gereken motd yazdıktan sonra bir işaret, parametre belirleyip(ben $ olarak belirledim) mesajı bitirdikten sonra yine bu işareti kullanarak mesajı sonlandırmamız gerekmektedir. Diğer tüm banner’larda da aynı mantık vardır.

Banner Login

Genellikle kalıcı mesajlar için kullanılır. MOTD sonrası gösterilir.
Örn: “Bu router’a yetkisiz erisim yasaktir!”

Yapılandırmak için:

R1#
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#banner login $
Enter TEXT message.  End with the character '$'.
Bu mesaj LOGIN mesajidir.
$
R1(config)#

 Banner EXEC

Login olduktan sonra gösterilir. Amaç yetkisiz kullanıcıların görmemesi gerekli mesajları user/privilege exec moda geçerken göstermektir.

Yapılandırmak için:

R1#
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#banner exec $
Enter TEXT message.  End with the character '$'.
Bu mesaj EXEC mesajidir.
$
R1(config)#

Şimdi buraya kadar anlatılanları örneklerle inceleyelim.

Alttaki topolojiye göre R2’ye login olmuşken R1’e telnet ile erişelim.

banner1

R2#telnet 1.1.1.1
Trying 1.1.1.1 ... Open

Bu mesaj MOTD mesajidir.

Bu mesaj LOGIN mesajidir.


User Access Verification

Password: 

Görüldüğü üzere önce motd sonra ise login banner’ı görünmüştür. User/Privilege exec moda geçtiğimizde ise

Password: 
Bu mesaj EXEC mesajidir.

R1>en

şeklinde exec banner’ı ile karşılaşıyoruz.

Banner Tokens

Banner’ları banner token’lar ile özelleştirebiliriz. Yani önceden belirleyeceğimiz token’ları kullanarak ilgili router/switch/firewall için spesifik bir kelimeyi yazdırabiliriz.

Banner token listesi alttaki gibidir.

banner2

 

Detaylı bilgi için tıklayınız.

Örnek olarak altta ASA üzerinde yapılandırılmış bir konfiği bulabilirsiniz.

ASA8-4# 
ASA8-4# conf t
ASA8-4(config)# banner motd *
ASA8-4(config)# banner motd wellcome to $(hostname).$(domain)
ASA8-4(config)# banner motd Only authorized users are allowed to connect.
ASA8-4(config)# banner motd *
ASA8-4(config)# 
ASA8-4(config)# 
ASA8-4(config)# end

Buna göre banner’ımız cihazda konfigüre edilmiş olan hostname ve domain name bilgisini kullanacaktır.

Telnet ile bağlanmaya çalıştığımızda karşılaşacağımız ekran alttaki gibidir:

asa_asdm8_nbanner

Cisco ASA ASDM Erişimi

ASDM (Adaptive Security Device Manager) Cisco’nun güvenlik ürünlerini GUI (grafik/görsel arayüz) üzerinden yönetmeye yarayan aracıdır.  Bu yazımızda temel alacağımız cihaz cisco’nun firewall ürünü olan cisco ASA ailesi olacaktır. ASA’ları temelde 2 şekilde yönetiyoruz:

1- CLI (Command Line Interface)
Cihaza telnet/ssh veya üzerindeki console portundan erişerek komut satırı yoluyla.

2-GUI (Graphical User Inteface)
Cihaza ASDM üzerinden bağlanıp görsel arayüzü üzerinden.

İleri düzey kullanıcılar CLI’yı daha fazla tercih ederken, giriş/orta seviye kullanıcılar da ağırlıkla ASDM ile yönetimi daha uygun bulmaktadırlar. Yazımıza ASDM’i nasıl aktif edebileceğimiz ile devam edelim.

Öncelikle yönetmek istediğimiz ASA’ya ip erişimimizin olması gerekiyor. Ben anlatacaklarımı aşağıdaki basit topoloji üzerinden yapacağım.

ASA: 192.168.216.10
PC: 192.168.216.1

asa_asdm0

ASA’ya ip’sini vererek PC’ye olan erişimi kontrol ediyoruz.

ASA

ASA8-4# conf t
ASA8-4(config)# int gigabitEthernet 1
ASA8-4(config-if)# ip address 192.168.216.10 255.255.255.0
ASA8-4(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ASA8-4(config-if)# no shutd
ASA8-4(config-if)# no shutdown 
ASA8-4(config-if)# 
ASA8-4(config-if)# 
ASA8-4(config-if)# end
ASA8-4# sh int ip brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0 unassigned YES unset administratively down up 
GigabitEthernet1 192.168.216.10 YES manual up up 
GigabitEthernet2 unassigned YES unset administratively down up 
GigabitEthernet3 unassigned YES unset administratively down up 
ASA8-4# pin
ASA8-4# ping 192.168.216.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.216.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
ASA8-4# 

Yine aynı şekilde PC’de ASA’ya erişebilmeli.

PC

asa_asdm7

Sonra ASDM image dosyasının ASA’nın flash dizinine atılmış olması gerekiyor. Bu işlemi de PC üzerindeki image dosyasının TFTP server ile atarak gerçekleştiriyoruz.

Yazılım olarak 3CDaemon kullanılabilir. ASDM image’ını attığımız dosyayı yazılımda göstermemiz gerekiyor. Benim kullandığım image asdm-649-103.bin , cisco.com üzerinde hesabınız varsa indirebilirsiniz veya internet ‘teki bazı kaynaklardan bulabilirsiniz.

asa_asdm1

ASA üzerindeki şu komutlarla image’ı atabiliriz.

ASA8-4# sh flash: 
--#--  --length--  -----date/time------  path
    5  8192        Apr 15 2015 08:58:18  log
   14  8192        Apr 15 2015 08:58:20  coredumpinfo
  144  196         Apr 15 2015 08:58:20  upgrade_startup_errors_201504150858.log


536567808 bytes total (535527424 bytes free)
ASA8-4# 
ASA8-4(config)# copy tftp: flash:                              

Address or name of remote host [192.168.216.1]? 

Source filename [asdm-621.bin]? asdm-649-103.bin

Destination filename [asdm-649-103.bin]? 

Accessing tftp://192.168.216.1/asdm-649-103.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asdm-649-103.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
19706880 bytes copied in 69.460 secs (285606 bytes/sec)
ASA8-4# dir flash:

Directory of disk0:/

5      drwx  8192         08:58:18 Apr 15 2015  log
14     drwx  8192         08:58:20 Apr 15 2015  coredumpinfo
144    -rwx  196          08:58:20 Apr 15 2015  upgrade_startup_errors_201504150858.log
179    -rwx  11348300     19:46:03 May 04 2015  asdm-649-103.bin
ASA8-4(config)# asdm image  flash:/asdm-649-103.bin

Sonra ASDM  üzerinden cihaza erişmemiz için gerekli komutları yazıyoruz.

ASA8-4# conf t
ASA8-4(config)# 
ASA8-4(config)# domain-name mehmetyeni.com
ASA8-4(config)# http server enable 
ASA8-4(config)# http 192.168.216.0 255.255.255.0 inside 
ASA8-4(config)# 
ASA8-4(config)# username mehmet password mehmet123 privilege 15
ASA8-4(config)# 
ASA8-4(config)# 
ASA8-4(config)# 
ASA8-4(config)# end
ASA8-4# wr

 

 

Artık firewall’a ASDM üzerinden erişebilir durumdayız.
Browser’da bir sekme açarak https://192.168.216.100 ‘e bağlanmaya çalışıyoruz. Bağlantımızın gizli olmadığı ile ilgili bir hata alacağız. ASA üzerindeki sertifika bizim browser’da bulunmadığından, bunu dikkate almadan atlayabiliriz.

asa_asdm2

 

Açılan sayfada “Install ASDM Launcher and Run ASDM” e tıklıyoruz. Bize ismi dm-launcher olan bir dosya indirmeyi önerecek, bir klasöre bu dosyayı indiriyoruz.

 

asa_asdm3

Sonra indirdiğimiz dosyayı çift tıklayarak çalıştırıyoruz ve next next diyerek default parametrelerle programın kurulumunu tamamlıyoruz. Ardından alttaki gibi bir ekranla karşılacağız.

Burada device IP: cisco ASA ip address

username: oluşturduğumuz kullanıcı adı
password: oluşturduğumuz şifre

Verilerini girdikten sonra OK diyoruz.

 

asa_asdm4

 

Tekrar sertifika ile ilgili uyarı verecek. Yes diyerek ilerliyoruz.

asa_asdm5

 

Son olarak ASDM arayüzü açılıyor ve artık ASA’ya bağlanmış durumdayız. Bundan sonra istediğimiz gibi ASA ‘nın yönetimini gerçekleştirebiliriz.

asa_asdm6

 

Fortigate Password Recovery(Şifre Kırma)

Fortigate ürün ailesi bir cihaza erişim için gerekli şifreyi bilmiyorsanız password’ünü resetlemenin bir yöntemi mevcut. Bunun için öncelikle cihaza üzerindeki console portu üzerinden fiziksel bağlantı yapmamız gereklidir.

İhtiyacımız olanlar:

  • Console kablosu
  • Terminal bağlantı yazılımı (putty, securecrt, vs)
  • Cihazın seri numarası

İşlem adımları:

  1. Fortigate’i console portu üzerinden bilgisayarımıza bağlıyoruz.
  2. Terminal programımızı çalıştırıyoruz (putty)
  3. Fortigate’e alttaki parametrelerle bağlanıyoruz.
    1. Hız: baud 9600
    2. Data bits: 8 bit
    3. Stop bits: 1 bit
    4. Flow Control: None
    5. Com Port : Bilgisayarın Com Portu
      fort_pass_reco1fort_pass_reco2
  4. Çıkan ekranda firewall’la ilgili hostname vs yazması gerekmektedir. Eğer bir şey yazıyorsa Enter’a basılarak ekrana firewall arayüzü düşürülür.
  5. Firewall yeniden başlatılır.
  6. Firewall’un açılması beklenir ve login ekranı gelir gelmez alttaki komutlar username/password kısmına yazılır(büyük/küçük harf duyarlıdır, dikkat!):
    1. username: maintainer
    2. password: bcpb + Seri Numarası (Örneğin: bcpbG300C3944443335)

Not: Bu işlemi yapmak için 14 saniye gibi bir süre vardır. Bu süre içerisinde başarılı bir şekilde login olunmazsa step5’ten itibaren yeniden başlanmalıdır.

7.  Firewall’a bağlantı yaptıktan sonra yeni şifre verilerek eski şifre kullanım dışı kalmış olur. Bunu da

Vdom olmayan cihazlarda:

config system admin
edit admin
set password <Yeni-PASSWORD>
end

Vdom olan cihazlarda:

config global
config system admin
edit admin
set password <Yeni-PASSWORD>
end

Uyarı: bu işlem maintainer özelliği aktif edilmiş ise kullanılabilir, varsayılan olarak aktif şekilde gelir. Fakat kapalı ise malesef password’ü bu şekilde kırmak mümkün olmayacaktır.

Uyarı2: bu işlemi sistemde açık olarak görenler password recovery özelliğini şu şekilde devre dışı bırakabilirler:

config system global
set admin-maintainer disable
end

Açmak için ise :

config system global
set admin-maintainer enable
end

Fortigate CLI Konfigürasyon Komutları

Bu yazımızda ilk olarak incelediğimiz Fortigate’de CLI durum görüntüleme (show/get ) komutlarından farklı olarak GUI üzerinde yaptığımız ayarların CLI ortamında yapılışını inceleyeceğiz.

config system settings
set opmode nat –> Cihazı Nat/Route modda çalıştırır.
set opmode transparent –> Cihazı transparent(Layer2) modda çalıştırır.
end

config system global
set admin-concurrent enable/disable –> Eşzamanlı yönetici bağlantısına izin vermeye/kısıtlamaya yarar.
set admin-port 8443 –> Admin bağlantı portunu değiştirir.
set admin-sport 8443 –> Admin SECURE bağlantı portunu değiştirir.
set sslvpn-sport 443 –> SSL vpn bağlantı portunu belirler.
set admintimeout 20 –> Adminin işlem yapmadan bağlı kalma süresini belirler.
set hostname –> Cihazın hostname’ini değiştirir.

config system dns        –> 1. ve 2. DNS server’ları belirler.
set primary  8.8.8.8
set secondary 4.4.4.2
end

cofng system ntp   –>NTP server’ları belirler.
config ntpserver
edit 1
set server 10.0.0.100 –> 1. NTP Server
end
edit 2
set server 10.0.0.101  –> 2. NTP Server
end
set ntpsync enable –> NTP senkronizasyonunu aktifleştirir.
end
execute time –> Cihazın zamanını gösterir.

Test-FW1 # execute time
current time is: 17:44:48
last ntp sync:Fri May 1 17:06:16 2015

config log syslogd setting     –> Syslog sunucu ayarlamaya yarar.
set status enable
set server <IP address>
set port 514
set facility user
end

config system interface        –> Interface’e IP atamaya, erişim için gerekli protokollere izin vermeye yarar.
edit wan1
set vdom “root”
set mode static
set ip 172.16.12.12 255.255.255.0
set allowaccess ping http https ssh telnet fgfm snmp capwap auto-ipsec –> Hangi protokoller seçilirse sadece onlara izin verilir.
set type physical
set alias “Local-Network”

config system interface          –> LACP port aggregation yapmak için kullanılır.
edit aggr1
set member “port8″ “port9″
end

config router static       –> Default Route eklemeye yarar
edit 1
set gateway 172.16.0.1
end

config router static      –> Static Route eklemeye yarar
edit2 –> Yeni bir route eklerken bu id numarasından büyük veya “edit 0” şeklinde eklenmelidir.
set device port1
set dst 10.0.0.0 255.255.255.0
set gateway 10.0.1.1

 

 

Fortigate CLI Durum Görüntüleme Komutları

Fortigate gerek sunduğu UTM çözümleri, gerek kullanım kolaylığı ile son yıllarda tartışmasız kamu/özel sektör farketmeksizin en fazla kullanılan Firewall/Güvenlik markalarının başında gelmektedir. Yönetimsel olarak çok basit bir arayüze sahip olan GUI’sinin yanı sıra daha fazlasına olanak sağlayan CLI arabirimi de oldukça kullanışlıdır.

Bu yazımda fortigate 20C/30D gibi en küçük ürünlerden 1500D/3240C gibi üst seviye cihazlara kadar hemen hemen bütün fortigate ürünlerinde sıklıkla kullandığım CLI komutlarını paylaşacağım.

show –> Cihaz üzerindeki konfigürasyonu default parametreler olmadan gösterir.Note that output is only non-default values.
show full-configuration –> Cihaz üzerindeki bütün konfigürasyonu gösterir.
show system interface port1 | grep -A2 ip –> Port1 interface’i üzerindeki konfigürasyondan içerisinde “ip” geçen satırı ve sonraki 2 satırı gösterir.
show system interface –> Interface konfigürasyonunu gösterir.
diagnose hardware deviceinfo nic –> Donanımsal Interface istatistiksel bilgilerini gösterir.
diagnose hardware sysinfo memory –> Donanımsal hafıza bilgisini gösterir.
get hardware nic –> Cihaz üzerinde fiziksel olarak kullanılabilecek interface’leri gösterir.
diagnose ip address list –> Interface’ler üzerindeki ip/subnet bilgisini gösterir.
get system interface physical –> Cihaz üzerinde fiziksel olarak kullanılabilecek interface’lerin durum/ip/hız/duplex ayarlarını gösterir.
get system info admin status –> Cihaza login olmuş kullanıcıları gösterir.
get system status –> Sistemin donanım/yazılım versiyonlarını gösterir.
get hardware status –> Detaylı donanım model bilgisini gösterir.
get system performance status –> Cihazın o anki çalışma performans bilgisini gösterir
get system performance top –> Cihazın o anda en fazla kaynaklarını tüketen uygulamaları gösterir (Bu konuyla ilgili daha detaylı bir yazım olacaktır.)
get system session status –> Cihaz üzerindeki anlık toplam session sayısını gösterir.
get system session-info full-stat –> Cihaz üzerindeki anlık toplam session sayısını daha detaylı gösterir.
get system session list –> Satır satır session bilgisini gösterir.

 

get system global | grep -i timer –> Global olarak tcp/udp session sürelerini gösterir.
get system session-ttl –> Sistemin varsayılan tcp-idle session zamanaşımı süresini gösterir.
execute ha manage –> Cluster olarak çalışan sistemdeki slave cihaza ulaşmak veya slave cihazdan master’a dönmek için kullanılır.

diagnose ip arp list –> Detaylı port/ip/mac ile arp bilgisini gösterir.
diagnose ip arp list | grep 10.101.0.23 –>Arp tablosu içerisinden ilgili ip’yi sorgulayarak sadece o satırır getirir.
get system arp –> Basit port/ip/mac ile arp bilgisini gösterir.

get router info routing-table all –> Bütün halde Routing tablosunu gösterir.
get router info routing-table static –> Static route’larla oluşturulmuş routing tablosunu gösterir.
show router static –> Yazılmış statik route’larla ilgili tabloyu gösterir.
get router info kernel –> Cihazın kernel’ı(çekirdek) üzerindeki routing-tablosunu gösterir.

 

Yukarıdaki bütün komutları içeren örnekleri altta bulabilirsiniz:

Test-FW1 # show
#config-version=FG300C-5.00-FW-build252-131031:opmode=1:vdom=0:user=admin
#conf_file_ver=7670579497414703770
#buildno=0252
#global_vdom=1
config system global
set admin-https-redirect disable
set admin-port 12080
set admin-sport 12443
set admintimeout 20
set fgd-alert-subscription advisory latest-threat
set gui-dlp enable
set gui-explicit-proxy enable
set gui-load-balance enable
set gui-sslvpn-personal-bookmarks enable
set gui-sslvpn-realms enable
set gui-wireless-controller disable
set hostname “Test-FW1”
set revision-backup-on-logout enable
set revision-image-auto-backup enable
set service-expire-notification disable
set timezone 31
end

Test-FW1 # show full-configuration
#config-version=FG300C-5.00-FW-build252-131031:opmode=1:vdom=0:user=admin
#conf_file_ver=7670579497414703770
#buildno=0252
#global_vdom=1
config system global
set admin-concurrent enable
set admin-console-timeout 0
set admin-https-pki-required disable
set admin-https-redirect disable
set admin-lockout-duration 60
set admin-lockout-threshold 3
set admin-maintainer enable
set admin-port 12080
set admin-scp disable
set admin-server-cert “Fortinet_Factory”
set admin-sport 12443
set admin-ssh-grace-time 120
set admin-ssh-port 1222
set admin-ssh-v1 disable
set admin-telnet-port 23
set admintimeout 20
set allow-traffic-redirect enable
set anti-replay strict
set auth-cert “self-sign”
set auth-http-port 1000
set auth-https-port 1003
set auth-keepalive disable
set auth-policy-exact-match enable
set av-failopen pass
set av-failopen-session disable
set batch-cmdb enable
set block-session-timer 30
set cert-chain-max 8
set cfg-save automatic
set check-protocol-header loose
set check-reset-range disable
set clt-cert-req disable
set csr-ca-attribute enable
set daily-restart disable
set dst enable
set endpoint-control-fds-access enable
set endpoint-control-portal-port 8009
set explicit-proxy-auth-timeout 300
set fds-statistics enable
set fgd-alert-subscription advisory latest-threat
set forticlient-reg-port 8010
set gui-antivirus enable
set gui-ap-profile enable
set gui-application-control enable
set gui-central-nat-table disable
set gui-certificates enable
set gui-client-reputation enable
set gui-dlp enable
set gui-dns-database disable
set gui-dynamic-profile-display disable
set gui-dynamic-routing enable
set gui-endpoint-control enable
set gui-explicit-proxy enable
set gui-icap disable
set gui-implicit-policy enable
set gui-ips enable
set gui-ipsec-manual-key disable
set gui-ipv6 disable
set gui-lines-per-page 50
set gui-load-balance enable
set gui-local-in-policy disable
set gui-multicast-policy disable
set gui-multiple-utm-profiles enable
set gui-nat46-64 disable
set gui-object-tags disable
set gui-policy-based-ipsec disable
set gui-replacement-message-groups disable
set gui-spamfilter disable
set gui-sslvpn-personal-bookmarks enable
set gui-sslvpn-realms enable
set gui-utm-monitors disable
set gui-voip-profile disable
set gui-vpn enable
set gui-vulnerability-scan disable
set gui-wanopt-cache disable
set gui-webfilter enable
set gui-wireless-controller disable
set gui-wireless-opensecurity disable
set hostname “Test-FW1”
set http-obfuscate modified
set ip-src-port-range 1024-25000
set ipsec-hmac-offload enable
set ipv6-accept-dad 1
set language english
set ldapconntimeout 500
set login-timestamp disable
set management-vdom “root”
set max-dlpstat-memory 5
set max-report-db-size 1024
set optimize-ssl disable
set phase1-rekey enable
set policy-auth-concurrent 0
set post-login-banner disable
set pre-login-banner disable
set radius-port 1812
set refresh 0
set registration-notification enable
set remoteauthtimeout 5
set reset-sessionless-tcp disable
set revision-backup-on-logout enable
set revision-image-auto-backup enable
set send-pmtu-icmp enable
set service-expire-notification disable
set sslvpn-cipher-hardware-acceleration enable
set sslvpn-kxp-hardware-acceleration enable
set strict-dirty-session-check enable
set strong-crypto disable
set tcp-halfclose-timer 120
set tcp-halfopen-timer 10
set tcp-option enable
set tcp-timewait-timer 1
set timezone 31
set tos-based-priority medium
set two-factor-email-expiry 60
set two-factor-ftm-expiry 72
set two-factor-sms-expiry 60
set udp-idle-timer 180
set use-usb-wan disable
set user-server-cert “self-sign”
set vdom-admin disable
set vip-arp-range restricted
set virtual-server-hardware-acceleration enable
set wifi-ca-certificate “PositiveSSL_CA”
set wifi-certificate “Fortinet_Wifi”
set wimax-4g-usb disable
set wireless-controller enable
set wireless-controller-port 5246
set fds-statistics-period 60
end

Test-FW1 # show system interface port1
config system interface
edit “port1”
set vdom “root”
set ip 10.106.130.254 255.255.255.0
set allowaccess ping https ssh http
set type physical
set alias “Management”
set snmp-index 1
next
end

Test-FW1 # show system interface port1 | grep ip
set ip 10.106.130.254 255.255.255.0

Test-FW1 # show system interface port1 | grep -A3 ip
set ip 10.106.130.254 255.255.255.0
set allowaccess ping https ssh http
set type physical
set alias “Management”

Test-FW1 # get system info admin status
Index User name Login type From
Logged in users: 2
USERNAME TYPE FROM TIME
admin https 195.8.173.90 Fri May 1 15:22:10 2015

admin ssh 195.8.173.90 Fri May 1 15:22:40 2015

Test-FW1 # get system status
Version: FortiGate-300C v5.0,build0252,131031 (GA Patch 5)
Virus-DB: 25.00527(2015-04-30 13:11)
Extended DB: 25.00527(2015-04-30 13:10)
IPS-DB: 6.00638(2015-04-28 00:05)
IPS-ETDB: 0.00000(2000-00-00 00:00)
Serial-Number: XXXXXXXXXXXXXXXXX
Botnet DB: 2.00222(2015-04-30 10:30)
BIOS version: 04000022
System Part-Number: P09616-06
Log hard disk: Available
Hostname: Test-FW1
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 10
Virtual domains status: 1 in NAT mode, 0 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Branch point: 252
Release Version Information: GA Patch 5
System time: Fri May 1 15:29:13 2015

Test-FW1 # get hardware status
Model name: FortiGate-300C
ASIC version: CP6
ASIC SRAM: 64M
CPU: Intel(R) Celeron(R) CPU 440 @ 2.00GHz
Number of CPUs: 1
RAM: 2020 MB
Compact Flash: 30653 MB /dev/sda
Hard disk: 30533 MB /dev/sda
USB Flash: not available
Network Card chipset: Intel(R) PRO/1000 Network Connection (rev.0000)

Test-FW1 # get system performance status
CPU states: 0% user 1% system 0% nice 99% idle
CPU0 states: 0% user 1% system 0% nice 99% idle
Memory states: 34% used
Average network usage: 35256 kbps in 1 minute, 30648 kbps in 10 minutes, 28031 kbps in 30 minutes
Average sessions: 4097 sessions in 1 minute, 3672 sessions in 10 minutes, 3448 sessions in 30 minutes
Average session setup rate: 19 sessions per second in last 1 minute, 24 sessions per second in last 10 minutes, 26 sessions per second in last 30 minutes
Virus caught: 0 total in 1 minute
IPS attacks blocked: 0 total in 1 minute
Uptime: 57 days, 5 hours, 34 minutes

Test-FW1 # get system performance top
Run Time: 57 days, 5 hours and 34 minutes
0U, 0S, 100I; 2020T, 1329F, 211KF
ipsengine 71 S < 0.9 3.4
urlfilter 78 S 0.0 2.7
miglogd 47 S 0.0 1.5
proxyworker 28366 S 0.0 1.1
httpsd 121 S 0.0 1.0
scanunitd 30910 S < 0.0 0.9
pyfcgid 31805 S 0.0 0.9
pyfcgid 31806 S 0.0 0.9
pyfcgid 31807 S 0.0 0.9
pyfcgid 31804 S 0.0 0.9
cmdbsvr 40 S 0.0 0.9
sslvpnd 83 S 0.0 0.9
httpsd 116 S 0.0 0.9
httpsd 49 S 0.0 0.6
httpsd 115 S 0.0 0.6
newcli 31814 R 0.0 0.6
newcli 31793 S 0.0 0.6
iked 86 S 0.0 0.6
scanunitd 30911 S < 0.0 0.6
updated 87 S 0.0 0.6

Test-FW1 # show system interface
config system interface
edit “port1”
set vdom “root”
set ip 10.106.130.254 255.255.255.0
set allowaccess ping https ssh http
set type physical
set alias “Management”
set snmp-index 1
next
edit “port2”
set vdom “root”
set ip 172.16.29.2 255.255.255.248
set allowaccess ping https ssh fgfm
set type physical
set alias “Local”
set device-identification enable
set snmp-index 2
next

Test-FW1 # diagnose hardware deviceinfo nic
The following NICs are available:
port1
port10
port2
port3
port4
port5
port6
port7
port8
port9

Test-FW1 # diagnose hardware sysinfo memory
total: used: free: shared: buffers: cached: shm:
Mem: 2118496256 724090880 1394405376 0 138346496 253218816 221343744
Swap: 0 0 0
MemTotal: 2068844 kB
MemFree: 1361724 kB
MemShared: 0 kB
Buffers: 135104 kB
Cached: 247284 kB
SwapCached: 0 kB
Active: 248652 kB
Inactive: 133808 kB
HighTotal: 262144 kB
HighFree: 4 kB
LowTotal: 1806700 kB
LowFree: 1361720 kB
SwapTotal: 0 kB
SwapFree: 0 kB

Test-FW1 # get system global
admin-concurrent : enable
admin-console-timeout: 0
admin-https-pki-required: disable
admin-https-redirect: disable
admin-lockout-duration: 60
admin-lockout-threshold: 3
admin-maintainer : enable
admin-port : 12080
admin-scp : disable
admin-server-cert : Fortinet_Factory
admin-sport : 12443
admin-ssh-grace-time: 120
admin-ssh-port : 1222
admin-ssh-v1 : disable
admin-telnet-port : 23
admintimeout : 20
allow-traffic-redirect: enable
anti-replay : strict
auth-cert : self-sign
auth-http-port : 1000
auth-https-port : 1003
auth-keepalive : disable
auth-policy-exact-match: enable
av-failopen : pass
av-failopen-session : disable
batch-cmdb : enable
block-session-timer : 30
cert-chain-max : 8
cfg-save : automatic
check-protocol-header: loose
check-reset-range : disable
clt-cert-req : disable
csr-ca-attribute : enable
daily-restart : disable
dst : enable
endpoint-control-fds-access: enable
endpoint-control-portal-port: 8009
explicit-proxy-auth-timeout: 300
fds-statistics : enable
fgd-alert-subscription: advisory latest-threat
forticlient-reg-port: 8010
gui-antivirus : enable
gui-ap-profile : enable
gui-application-control: enable
gui-central-nat-table: disable
gui-certificates : enable
gui-client-reputation: enable
gui-dlp : enable
gui-dns-database : disable
gui-dynamic-profile-display: disable
gui-dynamic-routing : enable
gui-endpoint-control: enable
gui-explicit-proxy : enable
gui-icap : disable
gui-implicit-policy : enable
gui-ips : enable
gui-ipsec-manual-key: disable

Test-FW1 # get system global | grep time
admin-console-timeout: 0
admin-ssh-grace-time: 120
admintimeout : 20
block-session-timer : 30
explicit-proxy-auth-timeout: 300
ldapconntimeout : 500
login-timestamp : disable
remoteauthtimeout : 5
tcp-halfclose-timer : 120
tcp-halfopen-timer : 10
tcp-timewait-timer : 1
timezone : (GMT+2:00)Athens,Istanbul,Minsk,Sofija
udp-idle-timer : 180

Test-FW1 # get system global | grep -i timer
block-session-timer : 30
tcp-halfclose-timer : 120
tcp-halfopen-timer : 10
tcp-timewait-timer : 1
udp-idle-timer : 180

Test-FW1 # get system session
session System session.
session-helper Configure session helper.
session-helper-info session-helper-info
session-info session-info
session-sync Configure session synchronization.
session-ttl Configure session TTL.

Test-FW1 # get system session-ttl
default : 3600
port:

Test-FW1 # diagnose ip address list
IP=172.16.29.2->172.16.99.2/255.255.255.248 index=9 devname=port2
IP=10.106.130.254->10.106.0.254/255.255.255.0 index=10 devname=port1
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=14 devname=root
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=19 devname=vsys_ha
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=21 devname=vsys_fgfm

Test-FW1 # get system interface physical
== [onboard]
==[port1]
mode: static
ip: 10.106.130.254 255.255.255.0
ipv6: ::/0
status: up
speed: 1000Mbps (Duplex: full)
==[port2]
mode: static
ip: 172.16.29.2 255.255.255.248
ipv6: ::/0
status: up

Test-FW1 # get system interface physical | grep -A5 port1
==[port1]
mode: static
ip: 10.106.130.254 255.255.255.0
ipv6: ::/0
status: up
speed: 1000Mbps (Duplex: full)

Test-FW1 # diagnose ip arp list
index=14 ifname=root 0.0.0.0 00:00:00:00:00:00 state=00000040 use=22717 confirm=28717 update=22717 ref=1
index=12 ifname=port3 10.100.0.14 f8:bc:12:94:f7:18 state=00000004 use=5676 confirm=5180 update=1566 ref=1
index=11 ifname=port4 10.101.0.20 30:d6:c9:46:bf:f1 state=00000004 use=13056 confirm=13056 update=9843 ref=7
index=11 ifname=port4 10.101.0.21 28:6a:ba:72:cc:2f state=00000004 use=7449 confirm=7449 update=4236 ref=6
index=11 ifname=port4 10.101.0.33 74:81:14:4b:fa:c1 state=00000004 use=23376 confirm=26012 update=3587 ref=2
index=11 ifname=port4 10.101.0.49 f8:01:13:03:70:5d state=00000004 use=13622 confirm=13622 update=1556 ref=17
index=11 ifname=port4 10.101.0.53 bc:72:b1:54:43:ad state=00000002 use=2059 confirm=1557 update=1557 ref=13
index=11 ifname=port4 10.101.0.65 84:3a:4b:05:7f:d6 state=00000004 use=32977 confirm=32977 update=2428 ref=4

Test-FW1 # diagnose ip arp list | grep 10.101.0.24
index=11 ifname=port4 10.101.0.243 18:ee:69:72:1f:f6 state=00000004 use=13807 confirm=13807 update=7036 ref=3
index=11 ifname=port4 10.101.0.246 00:1f:3b:15:f0:59 state=00000002 use=1 confirm=1504 update=1504 ref=925
Test-FW1 # get system session status
The total number of sessions for the current VDOM: 3326

Test-FW1 # get system session-info full-stat
session table: table_size=524288 max_depth=3 used=6719
expect session table: table_size=8192 max_depth=0 used=0
misc info: session_count=3295 exp_count=0 clash=71 memory_tension_drop=0 ephemeral=0/114688 removeable=0
delete=0, flush=0, dev_down=0/0
TCP sessions:
628 in ESTABLISHED state
86 in SYN_SENT state
3 in SYN_RECV state
10 in FIN_WAIT state
9 in TIME_WAIT state
38 in CLOSE state
31 in CLOSE_WAIT state
firewall error stat:
error1=00000000
error2=00000000
error3=00000000
error4=00000000
tt=00000000
cont=06a4ef64
ids_recv=22557c95
url_recv=00000000
av_recv=11323971
fqdn_count=00000000
tcp reset stat:
syncqf=5584 acceptqf=0 no-listener=5444 data=0 ses=21 ips=0

Test-FW1 # get system session list
PROTO EXPIRE SOURCE SOURCE-NAT DESTINATION DESTINATION-NAT
udp 38 10.101.0.87:9558 123.123.123.123:9558 113.24.213.207:8687 –
udp 159 10.101.0.87:9558 123.123.123.123:9558 213.5.89.166:9934 –
udp 121 10.102.0.4:43551 123.123.123.123:43551 178.90.31.45:5963 –
udp 147 10.101.0.87:9558 123.123.123.123:9558 12.157.84.254:8518 –
udp 60 10.200.0.59:6881 123.123.123.123:6881 109.17.198.27:6882 –

Test-FW1 # get system arp
Address Age(min) Hardware Addr Interface
10.111.0.20 0 10:d6:c9:46:bf:f1 port4
10.111.0.21 0 22:6a:ba:72:cc:2f port4
10.111.0.33 8 70:81:14:4b:fa:c1 port4
10.111.0.49 0 f8:11:13:03:70:5d port4
10.111.0.53 1 bc:32:b1:54:43:ad port4
10.111.0.65 3 84:4a:4b:05:7f:d6 port4
10.111.0.87 0 7c:75:91:38:b4:45 port4
10.111.0.99 3 90:80:6c:18:29:da port4

Test-FW1 # get router info routing-table static
S* 0.0.0.0/0 [10/0] via 123.123.123.122, port8
S 10.110.0.0/16 [10/0] is directly connected, VPN1-P1
S 10.114.0.0/16 [10/0] is directly connected, VPN2-P1
S 10.150.0.0/24 [10/0] via 172.26.98.1, port5

Test-FW1 # get router info routing-table all
Codes: K – kernel, C – connected, S – static, R – RIP, B – BGP
O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2
i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area
* – candidate default

S* 0.0.0.0/0 [10/0] via 123.123.123.122, port8
S 10.110.0.0/16 [10/0] is directly connected, VPN1-P1
S 10.114.0.0/16 [10/0] is directly connected, VPN2-P1
S 10.150.0.0/24 [10/0] via 172.26.98.1, port5

Test-FW1 # show router static
config router static
edit 1
set device “port8”
set gateway 123.123.123.122
next
edit 2
set device “port2”
set dst 10.112.0.0 255.255.255.0
set gateway 172.16.19.1
next
Test-FW1 # get router info kernel
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.134.1/32 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.136.1/32 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.135.10/32 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.134.210/32 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.135.1/32 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.136.10/32 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.136.2/31 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.134.208/31 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.136.8/31 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.135.8/31 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.134.2/31 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=0 type=1 proto=14 prio=10 0.0.0.0/0.0.0.0/0->110.212.135.2/31 pref=0.0.0.0 gwy=0.0.0.0 dev=15(ssl.root)
tab=254 vf=0 scope=253 type=1 proto=2 prio=0 0.0.0.0/0.0.0.0/0->123.123.123.122/30 pref=123.123.123.123 gwy=0.0.0.0 dev=7(port8)

 

Fortigate “ALL” Servisinin Firmware Upgrade Sonrası Değişmesi ve Trafiğin Engellenmesi

Son zamanlarda fortigate firewall’lar üzerinde firmware upgrade işlemi yaptıktan sonra firewall’un üzerinden geçen trafiği bloklaması gibi bir problem ile karşılaşılmaya başlandı.

Özellikle v5.0.8’den v5.2.0’a ; v5.0.9’dan v5.2.2’ye geçişlerde bu şikayet sıkca olmaya başlamıştır.(Diğer sürüm geçişlerinde problemle karşılaşılmıştır.)

Sebep ise varsayılan firewall servis protokol numarasının “0”  iken “6” olarak değişmesidir.

Firewall’u reboot etmek veya factory reset yaparak herşeyi yeniden yapılandırmak da bu probleme herhangi bir çözüm sunmamaktadır.

Not: Bütün cihaz modelleri bu durumdan etkilenmektedir.

 

Resmi(Official) Çözüm:

Fortinet v5.0.10 ve v5.2.3 ile çözüm sunarak protokol numarasının değişmemesini sağlamıştır.
(https://support.fortinet.com adresinden kontrol edilebilir.)

Önceki sürümlerde çözüm:

1.CLI

Yapılması gereken sadece ilgili servis objesinin altına girerek protokol numarasını değiştirmektedir.

config firewall service custom
 edit "ALL"
 set protocol-number 0
 next
 end

 

2.GUI

1

2

Cisco Kablosuz Access Point Lightweight ‘ten Standalone Mode ‘a (ve Tersi Yönde) Dönüşüm

Yazımıza öncelikle kablosuz access pointler’in hangi mode’larda çalıştığını açıklayarak başlayalım.

Cisco Wireless Access Point (Kablosuz Erişim Noktası) cihazları da tıpki router’lar, switchler gibi üzerlerinde Cisco IOS (Internetworking Operating System) yazılımı bulunan cihazlardır. Temel olarak ya tek başlarına yayın yapacak şekilde(Autonomous/Standalone) veya Wireless LAN Controller(WLC) diye adlandırdığımız access point’lerin tek noktadan yönetmeye yarayan cihazlarla yönetilecek şekilde (Lightweight) çalışabilirler.

Bazen WLC ile çalışması için aldığınız access pointleri herhangi bir arıza veya ihtiyaç durumunda ya da örneğin evimize götürüp tek başına çalıştırmamız gerekebilir. Bu gibi durumlarda access point üzerindeki image (yazılım) WLC ile çalışacak yazılım ise bize istediğimizi veremeyecektir. Tam da bu durumda access point’in yazılımını değiştirmeli kısaca Standalone mode’a dönüştürmeliyiz.

Başlamadan önce access point üzerinde çalışan image’ların ne anlama geldiğini öğrenmemiz gerekiyor. Detaylı bilgi için şuraya bakabilirsiniz:

 

Senaryomuzda standalone mode’a dönüştürme işlemi için k9w7 image’ı kullanacağız.

Access pointimiz Cisco 1140.

IOS’umuz –> c1140-k9w7-tar.124-25d.JA.tar

 

LWAPP’tan Standalone’a Dönüşüm

Dönüştürme işlemine başmadan önce:

  • PC’mizi Access point’in ethernet portundan bağlıyoruz.
  • Eğer access pointimiz elektriğini switch üzerinden alıyor ise biz de bağlantımızı switch üzerinden yapmalıyız. Ayrıca access point ve PC’mizin aynı vlan’larda olmasına dikkat etmemiz gerekiyor !
  • Aşağıdaki yapıda
    • PC: 10.1.1.1/24
    • Access Point: 10.1.1.5/24

Ip’lerini kullanacaktır.

AP5475.e023.435f#sh ip int brief
Interface                  IP-Address      OK? Method Status                Protocol
Dot11Radio0                unassigned      NO  unset  up                    up
Dot11Radio1                unassigned      NO  unset  up                    up
GigabitEthernet0           unassigned      YES DHCP   up                  up

 

AP5475.e023.435f#debug capwap console cli   <-  Bu komutu yazmadan LWAP olarak çalışan access point “conf t” ‘yi kabul etmeyecektir.

AP5475.e023.435f#conf t
AP5475.e023.435f(config)#int g0
AP5475.e023.435f(config-if)#ip address 10.1.1.5 255.255.255.0
AP5475.e023.435f(config-if)#no shut

 

 

AP5475.e023.435f#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
.!!!!

 

AP5475.e023.435f#archive download-sw /force-reload /overwrite tftp://10.1.1.1/c1140-k9w7-tar.124-25d.JA.tar

 

“examining image…
Loading c1140-k9w7-tar.124-25d.JA.tar from 10.1.1.1 (via GigabitEthernet0): !
extracting info (283 bytes)
Image info:
Version Suffix: k9w7-.124-25d.JA ………………..”

 

Dönüşüm işlemi bittikten sonra, operasyonunun başarılı olup olmadığını console bağlantısı için açtığımız oturum üzerinden de doğrulayabiliriz.

 

 

ap>en
Password:  <-- default password “Cisco“
ap#sh version
Cisco IOS Software, C1140 Software (C1140-K9W7-M), Version 12.4(25d)JA, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2010 by Cisco Systems, Inc.
Compiled Thu 09-Dec-10 15:24 by prod_rel_team
ROM: Bootstrap program is C1140 boot loader
BOOTLDR: C1140 Boot Loader (C1140-BOOT-M) Version 12.4(18a)JA3, RELEASE SOFTWARE (fc1)
ap uptime is 0 minutes
System returned to ROM by reload
System image file is "flash:/c1140-k9w7-mx.124-25d.JA/c1140-k9w7-mx.124-25d.JA"

 

Problem1:
Şu hata ile karşılaşılabilir. Aksi taktirde sorunsuz çalışacaktır.

 

Premature end of tar file
ERROR: Problem extracting files from archive.
Download image failed, notify controller!!! From:7.4.1.37 to 7.4.1.37, FailureCode:3

 

Çözüm:

Bu hata indirilen tar dosyasında bir bozukluk veya tftp bağlantısı sırasında oluşan paket kayıplarından olabiliyor.
Yapılması gereken adımlar şunlardır:

  • Access point’i yeniden başlatalım.
  • Image’ı flash’a yüklerken Escape tuşuna basarak cihazı ROMMON mod’a düşürelim.
  • Sonra alttaki komutları girelim.

 

The system boot has been aborted. The following
commands will finish loading the operating system
software:

 

ether_init
tftp_init
boot

 

 

ap: set IP_ADDR 10.1.1.5
ap: set netmask 255.255.255.0

 

ap: tftp_init
tftp_init success: You can now use tftp file system!
ap: ether_init
Initializing ethernet port 0...
Ethernet speed is 100 Mb - FULL Duplex

ap: flash_init
Initializing Flash...
...The flash is already initialized.

 

 

ap: tar -xtract tftp://10.1.1.1/c1140-k9w7-tar.124-25d.JA.tar flash:

ap: set BOOT flash://c1140-k9w7-mx.124-25d.JA/c1140-k9w7-mx.124-25d.JA
(Buraya dikkat, TFTP'nin son satırından kopyalarak yapıştırıyoruz.!)

ap: boot

 

Standalone’dan LWAPP’a Dönüşüm

 

Burada IOS image olarak recovery için olanı kullanıyoruz.

c1140-rcvk9w8-tar.124-25d.JA.tar

Standalone access point’te priviledge exec modda iken yine benzer komutları kullanarak dönüşümü yapıyoruz.

 

AP5475.e023.435f#archive download-sw /force-reload /overwrite tftp://10.1.1.1/c1140-rcvk9w8-tar.124-25d.JA.tar

 

Bu dönüşümleri yine aynı CLI komutları ile 1600/1700 gibi giriş seviyesi ; 2600/2700 gibi orta seviye ve yine 3600/3700 gibi üst seril cihazlarda da aynı şekilde uygulayabilirsiniz.

Cisco Access Point IOS Image’ları

Cisco’unun bütün access pointleri alım sonrası üzerlerinde IOS işletim sistemi image’ları yüklü olarak teslim edilirler(Çok eski Aironet cihazlar hariç). Access point image’ları genellikle router’lar üzerinden alışık olduğumuz .bin değil de .tar uzantılıdır. Bu .tar uzantılı dosyalar cisco.com üzerinden download etmeye yetkisi olan bir hesap ile indirilebilir (Lütfen benden bu tarz bir talepte bulunmayın.)

Access Point’ler genel anlamda ya tek başlarına yayın yapacak şekilde(Autonomous/Standalone) veya Wireless LAN Controller(WLC) diye adlandırdığımız access point’lerin tek noktadan yönetmeye yarayan cihazlarla yönetilecek şekilde (Lightweight) çalışabilirler(Hemen hemen diğer marka/model access point’lerin büyük çoğunluğu da bu şekilde çalışmaktadır.)

 

Öncelikle cisco.com/go/download üzerinden edineceğimiz ya da herhangi bir access point’ten görebileceğimiz IOS image’ı şu şekilde olacaktır:

c1140k9w7-tar.124-25d.JA.tar

Yani,

platformfeatureset-tar.version.tar

 

platform– Access point’in donanım modeli veya o image’ı destekleyen bağlı olduğu ürün ailesi

featureset– Image tarafından desteklenen özellikler seti. Şunlardan birisi olması gerekmektedir:

k9w7 – autonomous IOS (tek başına çalışan access point için)

k9w8 – full lightweight IOS (Wireless Controller ile çalışan access point için)

rcvk9w8 – lightweight recovery image – Bu lightweight çalışan access point üzerine fabrika çıkışı eklenmiş image

 

Ipucu: k9w8 ‘i okurken sondaki w8(weight) ile lightweight ‘e çağrışım yaptırarak hangi image’ın hangi mode için olduğunu daha rahat anlayabilirsiniz 🙂

 

version–  IOS sürümü.

 

Bir önceki örneğe dönecek olursak:

c1140k9w7-tar.124-25d.JA.tar

 

Platform: c1140: 1140 series AP

Featureset: k9w7: autonomous IOS

Version: 124-25d.JA1: 12.4(25d)JA

 

Access point IOS’ları her zaman .tar uzantlı dosyalarla indirilir/dağıtılır. Access point bu dosyayı kendisi açıp sistem image dosyası olarak kullanamaz. Çünkü .tar uzantısının altında IOS image’ının yanı sıra radio firmware dosyaları, html GUI dosyaları ve diğer dosyalar bulunmaktadır. Tar uzantılı dosyayı önce TFTP ile atıp sonrasında açıp içindekileri ayıklamak için archive CLI komutu kullanılmaktadır.

Web GUI üzerinden de IOS atılabilir, fakat problem olma ihtimali CLI’ya göre çok fazladır, bu yüzden tavsiye edilen TFTP ile dosyaların atılmasıdır.

TFTP ile atılan dosyayı açmak için şunu kullanabiliriz:

 

AP# archive download-sw /force-reload /overwrite tftp://ip address/image filename (örn:c1140-k9w7-tar.124-25d.JA.tar)

 

Lightweight çalışan access pointlerde ise yönetim WLC (Wireless Lan Controller) ‘da olduğundan .tar dosyası access point’e atıldıktan sonra alttaki gibi ayıklanarak açılacaktır.

AP# flash:/c1140-k9w7-mx.124-25d.JA/c1140-k9w7-mx.124-25d.JA

 

Sonrasındaki yeniden başlatmalarda access point bu image ile çalıştırılmaya başlanacaktır. Continue reading →