Le Blog Note d'Olivier Legras
  • Accueil
  • Me contacter
  • Administration
  • Astuces
  • Linux
  • Messagerie
  • Outils
  • Programmation
  • Projet
  • Réseau
  • Sécurité
  • Système
  • Web
Suivez-moi sur Twitter! Subscribe to our RSS Feed!
Juin
27
2007
Réseau // Sécurité

Commandes d’exploitation du PIX

Author An article by Olivier Legras    Comments Pas de Commentaire

Voir l’utilisation CPU :

show cpu usage

Définition d’IKE :

Service réseau permettant l’échange de clé cryptés

Commandes utilisées pour observer la configuration d’IKE :

show isakmp : permet de voir la configuration d’isakmp

isakmp key ******** address 217.128.221.28 netmask 255.255.255.255 no-xauth

show isakmp policy : permet d’afficher toutes les règles IKE

Protection suite of priority 5
encryption algorithm:   Three key triple DES
hash algorithm:         Message Digest 5
authentication method:  Pre-Shared Key
Diffie-Hellman group:   #2 (1024 bit)
lifetime:               86400 seconds, no volume limit
Protection suite of priority 10
encryption algorithm:   AES – Advanced Encryption Standard (128 bit keys).
hash algorithm:         Secure Hash Standard
authentication method:  Pre-Shared Key
Diffie-Hellman group:   #2 (1024 bit)
lifetime:               1800 seconds, no volume limit
Default protection suite
encryption algorithm:   DES – Data Encryption Standard (56 bit keys).
hash algorithm:         Secure Hash Standard
authentication method:  Rivest-Shamir-Adleman Signature
Diffie-Hellman group:   #1 (768 bit)
lifetime:               86400 seconds, no volume limit

show access-list : permet de connaitre les access-lists présente sur le PIX ainsi que le nombre de fois qu’elles ont été utilisées.

access-list NONAT line 13 permit ip host 172.17.4.6 any (hitcnt=27009)

hitcnt = nombre de fois qu’elle a été utilisé

show crypto map : permet de connaitre l’utilisation des crypto map de la meme manière que celle des access-list.

Crypto Map “VPN” 111 ipsec-isakmp
Peer = 80.18.32.24
access-list cryptoSII_BM1; 3 elements
access-list cryptoSII_BM1 line 1 permit ip object-group NET_RFCPRIV 172.30.11.0 255.255.255.240
access-list cryptoSII_BM1 line 1 permit ip 10.0.0.0 255.0.0.0 172.30.11.0 255.255.255.240 (hitcnt=0)
access-list cryptoSII_BM1 line 1 permit ip 172.16.0.0 255.240.0.0 172.30.11.0 255.255.255.240 (hitcnt=106003)
access-list cryptoSII_BM1 line 1 permit ip 192.168.0.0 255.255.0.0 172.30.11.0 255.255.255.240 (hitcnt=7862)
Current peer: 82.127.25.198
Security association lifetime: 4608000 kilobytes/28800 seconds
PFS (Y/N): N
Transform sets={ TSS-VPN, }

show crypto ipsec transform-set : vous permet de voir les différents types d’encodage actifs.

site1#sh crypto ipsec transform-set
Transform set transfdes: { esp-des  }
will negotiate = { Tunnel,  },

show crypto ipsec security-association lifetime

Security association lifetime: 4608000 kilobytes/28800 seconds

Commandes utilisées pour observer et administrer les communications VPN

show isakmp sa = Permet de connaitre l’état de la création du tunnel VPN.

dst               src        state     pending     created
11.0.0.251      80.18.25.32    QM_IDLE         0          11

QM_IDLE signifie que le tunnel est monté correctement.

show crypto ipsec sa : fourni une version plus détaillé que les 2 commandes citées plus haut.

site1#sh crypto ipsec sa
interface: Ethernet0
(...)
inbound esp sas:
spi: 0x4A65829E(1248166558)
transform: esp-des ,
in use settings ={Tunnel, }
conn id: 2005, flow_id: C1700_EM:5, crypto map: cryptvpn
sa timing: remaining key lifetime (k/sec): (99130/563)
IV size: 8 bytes
replay detection support: N
Status: ACTIVE
outbound esp sas:
spi: 0x3481731A(880898842)
transform: esp-des ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: C1700_EM:2, crypto map: cryptvpn
sa timing: remaining key lifetime (k/sec): (99129/556)
IV size: 8 bytes
replay detection support: N
Status: ACTIVE

clear crypto isakmp sa : permet de couper les tunnels créés.

exemple d’utilisation :

Pix1# show crypto isakmp sa

dst src state conn-id slot

192.168.1.2 192.168.2.2 QM_IDLE 93 0

Pix1# clear crypto isakmp 93

2w4d: ISADB: reaper checking SA,

Pix1# show crypto isakmp sa

dst src state conn-id slot

clear crypto ipsec sa : Permet de supprimer une session IPSec où de la raffraichir

debug crypto isakmp : Fonction de débugage pour IKE

debug crypto ipsec  : Fonction de débugage pour Ipsec

Vous aimez cet article? Patagez-le Tweet this! StumbleUpon Digg This! Bookmark on Delicious Share on Facebook

Au sujet de l'auteur: Olivier Legras

Auteur de ce Blog, je partage quelques unes de mes notes que je juge utile à vous comme à moi. Je suis très heureux de voir que mon blog a de plus en plus d'affluence. Merci à vous!

Laissez un commentaire

Cliquez ici pour annuler la réponse.



Publicité :)

Articles récents

  • Grep – Extraire toutes les adresses IP d’un fichier text, Json, etc…
  • Failed to Start File System Check – Vcenter 7
  • Powershell – Se connecter à l’active directory depuis un poste windows 11
  • Powershell – Autoriser l’exécution de scripts non signés
  • Powershell – Changer le domaine des adresses emails de tous les utilisateurs AD

Partenaires

  • Admin Linux
  • Admin Linux Fr
  • InfosLinux
  • My V World
  • System-linux

Mot-clefs

apache astuce authentification bind cacti centos Centreon certificat cisco commande DNS erreur error esx interface Internet ipv6 Linux mail mise à jour mot de passe Nagios network openldap Perl php plugin postfix Powershell proxy queue redirection reverse root Réseau services shell ssh supervision Sécurité ubuntu Vcenter Vmware Web windows

Je soutiens

Commentaires récents

  • Mathias Poujol-Rost dans Rotation des logs avec logrotate
  • Brandon dans Hôte déconnecté sur le Vcenter. Impossible de se connecter à l’ESX.
  • Ibraima DJALO dans Pourquoi mon interface vlan ne veut pas devenir up ?
  • March dans Reprogrammer ses volets roulants Somfy IO Home control
  • Joseph dans Classer le fichier passwd par UID

Publicité :)

Mes derniers tweets

  • @BSE_Anoss @BlackSmokersEn j'veux bien test ;)

    4 ans
  • RT @BSE_Anoss: Lancement de #Starwheels le 19 Juin à 20h30 sur twitch/oganoss ! C'est mon plus gros projet, j’espère que vous sere… https://t.co/NjLCKbaHXA

    4 ans
  • @BSE_Anoss @PlayStarWheels j'veux bien test ;)

    4 ans
  • Ikea recrée les salons des Simpsons, Stranger Things et Friends https://t.co/NkXkEywhBq

    4 ans
  • Leap Motion racheté, le remplaçant de la souris a finalement échoué https://t.co/yjaJ13Ln4l

    4 ans
Suivez moi sur Twitter!
Croc-informatique - Copyright 2007 - 2012