{{page>:menu}}

====== ASA firewall ======
===== ASDM =====
==== Spouštění ASDM ====
  *S aktuální javou JRE6u10 ASDM nefunguje, je potřeba nainstalovat 6u7
  *Pokud se nainstaluje starší verze k novjější, je více než jisté, že se i nadále bude ASDM spouštět s nejaktuálnější javou, proto je potřeba vytvořit batch, kterým vnutíme ASDM aby se spouštěl s verzí Javy, jakou potřebujeme<code dos>
@echo off
rem ** Kompletní cesta k JavaW
set JAVA=C:\Program Files\Java\jre1.6.0_07\bin\javaw.exe
rem ** Adresář, kde je nainstaovaný ASDM
set DIR_ASDM=C:\Program Files\Cisco Systems\ASDM


rem ***** 
start "ASDM" "%JAVA%" -classpath "%DIR_ASDM%\lzma.jar;%DIR_ASDM%\jploader.jar;%DIR_ASDM%\asdm-launcher.jar" -Xms64m -Xmx256m -Dsun.swing.enableImprovedDragGesture=true -ea:mainclass com.cisco.launcher.Launcher
rem ***** 
</code>

===== Password recovery =====
  *[[http://www.cisco.com/en/US/docs/security/asa/asa71/configuration/guide/trouble.html#wp1062992|Odkaz CISCO]]
  *během startu stisknout **ESC** a přerušit startování
  *zadat příkaz<code>rommon #1> confreg</code>
  *bude tam něco jako<code>
Current Configuration Register: 0x00000011
Configuration Summary:
  boot TFTP image, boot default image from Flash on netboot failure
Do you wish to change this configuration? y/n [n]:
</code>
  *zapsat si aktuání hodnotu registru v tomto případě **''0x11''**
  *zadat **Y** že chceme následující hodnoty změnit
  *ENTERem necháme všechny výchozí volby až dojdem k <code>disable system configuration?</code> kde se zadá **''Y''**
  *reload ASA<code>rommon #2> boot</code>
  *nyní se ASA nabootovala bez startup-configu
  *pokračujeme příkazy např.:<code>
hostname> enable
hostname# copy startup-config running-config
hostname# configure terminal
hostname(config)# password password
hostname(config)# enable password password
hostname(config)# username name password password
hostname(config)# config-register <původní_hodnota>
hostname(config)# copy running-config startup-config
</code>

===== Ipsec Lan2Lan =====
  *spuštění isakmp:<code>crypto isakmp enable outside</code>
  *vytvořit IKE policy:<code>
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
</code>
  *vyvořit tunel:<code>
tunnel-group 10.151.31.2 type ipsec-l2l
tunnel-group 10.151.31.2 ipsec-attributes
 pre-shared-key *****
</code>
  *vypnutí agresivního modu:<code>crypto isakmp am-disable</code>
  *výchozí transformsety na ASA při vytvoření přes ASDM<code>
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
</code>
  *vytvoření objektů<code>
object network Nectec-10.151.1.0
 subnet 10.151.1.0 255.255.255.0
object network Nectec-10.151.31.0
 subnet 10.151.31.0 255.255.255.0
object network Nectec-10.151.50.0
 subnet 10.151.50.0 255.255.255.0
object-group network Nectec
 description areal Delphi
 network-object object Nectec-10.151.1.0
 network-object object Nectec-10.151.31.0
 network-object object Nectec-10.151.50.0
</code>
  *crypto map:<code>
access-list inside_cryptomap_1 line 1 extended permit ip interface inside object-group Nectec
clear xlate
crypto map inside_map 1 match address inside_cryptomap_1
crypto map inside_map 1 set  peer  10.151.31.2
crypto map inside_map 1 set  transform-set  ESP-AES-256-MD5
crypto map inside_map interface  outside
</code>