SSG5をいじれる状態まで設定しよう

いわゆる初期設定というやつですが。

いろいろなサイトを見てみたけど、SSG5をDHCPサーバーにして、WindowsをクライアントとしてGUIで設定するというものが多くて、まずはWindowsでIPアドレスの設定をしているのが多い。

んなことやってられっかー!

と、たけけんは思うので、SSG5にはコンソール接続して同じネットワーク内に入れてしまう設定をやろうと思います。

PCとSSG5との接続はSSG5のCONSOLEに対して、USBシリアルケーブルで接続する。
RS232C USBでググればたくさんでてくるので持ってなかったら買う。

標準のドライバで動くので、USBに刺せば自動で認識するだ。
COMポートがどれかをデバイスドライバで確認する。

これだとCOM3だね。

では、TeratermでCOM3につなごう。

つないだらまずはエンターキーを押さないとLoginと出てこないので、ちょっと注意。

初期化済みだったら
ユーザー名:netscreen
パスワード:netscreen
でログインできるはず。

では、設定に入ろう。

初期状態だとSSG5 は192.168.1.1になってるはずでPINGも通らない。

初期設定を見てみる。

ssg5-isdn-> get system
Product Name: SSG5-ISDN
Serial Number: 0169122009001046, Control Number: 00000000
Hardware Version: 0710(0)-(00), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)
Flash Type: Samsung
Software Version: 6.3.0r13.0, Type: Firewall+VPN
Feature: AV-K
BOOT Loader Version: 1.3.2
Compiled by build_master at: Fri Dec 14 02:08:19 PST 2012
Base Mac: 2c6b.f505.3fc0
File Name: ssg5ssg20.6.3.0r13.0, Checksum: f03ef88f
, Total Memory: 256MB

Date 07/07/2014 14:50:16, Daylight Saving Time enabled
The Network Time Protocol is Disabled
Up 0 hours 8 minutes 57 seconds Since 07July2014:14:41:19
Total Device Resets: 1, Last Device Reset at: 05/27/2014 12:07:35



ssg5-isdn-> get route


IPv4 Dest-Routes for <untrust-vr> (0 entries)
--------------------------------------------------------------------------------------
H: Host C: Connected S: Static A: Auto-Exported
I: Imported R: RIP/RIPng P: Permanent D: Auto-Discovered
N: NHRP
iB: IBGP eB: EBGP O: OSPF/OSPFv3 E1: OSPF external type 1
E2: OSPF/OSPFv3 external type 2 trailing B: backup route


IPv4 Dest-Routes for <trust-vr> (2 entries)
--------------------------------------------------------------------------------------
         ID          IP-Prefix      Interface         Gateway   P Pref    Mtr     Vsys
--------------------------------------------------------------------------------------
          2     192.168.1.1/32        bgroup0         0.0.0.0   H    0      0     Root
          1     192.168.1.0/24        bgroup0         0.0.0.0   C    0      0     Root

ファームウェアもちっと古いけど、中古だし仕方ない。

まずはGUIでつなげるとこまでやる。

削除しないと設定ができないので、まずは削除。

ssg5-isdn-> unset interface bgroup0 ip
ssg5-isdn-> get interface

A - Active, I - Inactive, U - Up, D - Down, R - Ready

Interfaces in vsys Root:
Name           IP Address                        Zone        MAC            VLAN State VSD
bri0/0         0.0.0.0/0                         Untrust     N/A               -   D   -
eth0/0         0.0.0.0/0                         Untrust     2c6b.f505.3fc0    -   D   -
eth0/1         0.0.0.0/0                         DMZ         2c6b.f505.3fc5    -   U   -
bgroup0        0.0.0.0/0                         Trust       2c6b.f505.3fcb    -   D   -
  eth0/2       N/A                               N/A         N/A               -   D   -
  eth0/3       N/A                               N/A         N/A               -   D   -
  eth0/4       N/A                               N/A         N/A               -   D   -
  eth0/5       N/A                               N/A         N/A               -   D   -
  eth0/6       N/A                               N/A         N/A               -   D   -
bgroup1        0.0.0.0/0                         Null        2c6b.f505.3fcc    -   D   -
bgroup2        0.0.0.0/0                         Null        2c6b.f505.3fcd    -   D   -
bgroup3        0.0.0.0/0                         Null        2c6b.f505.3fce    -   D   -
vlan1          0.0.0.0/0                         VLAN        2c6b.f505.3fcf    1   D   -
null           0.0.0.0/0                         Null        N/A               -   U   -

そして、同じネットワークに設定する。

ssg5-isdn-> set interface bgroup0 ip 192.168.24.10/24

ssg5-isdn-> get interface

A - Active, I - Inactive, U - Up, D - Down, R - Ready

Interfaces in vsys Root:
Name           IP Address                        Zone        MAC            VLAN State VSD
bri0/0         0.0.0.0/0                         Untrust     N/A               -   D   -
eth0/0         0.0.0.0/0                         Untrust     2c6b.f505.3fc0    -   D   -
eth0/1         0.0.0.0/0                         DMZ         2c6b.f505.3fc5    -   U   -
bgroup0        192.168.24.10/24                  Trust       2c6b.f505.3fcb    -   D   -
  eth0/2       N/A                               N/A         N/A               -   D   -
  eth0/3       N/A                               N/A         N/A               -   D   -
  eth0/4       N/A                               N/A         N/A               -   D   -
  eth0/5       N/A                               N/A         N/A               -   D   -
  eth0/6       N/A                               N/A         N/A               -   D   -
bgroup1        0.0.0.0/0                         Null        2c6b.f505.3fcc    -   D   -
bgroup2        0.0.0.0/0                         Null        2c6b.f505.3fcd    -   D   -
bgroup3        0.0.0.0/0                         Null        2c6b.f505.3fce    -   D   -
vlan1          0.0.0.0/0                         VLAN        2c6b.f505.3fcf    1   D   -
null           0.0.0.0/0                         Null        N/A               -   U   -

ssg5-isdn-> get route


IPv4 Dest-Routes for <untrust-vr> (0 entries)
--------------------------------------------------------------------------------------
H: Host C: Connected S: Static A: Auto-Exported
I: Imported R: RIP/RIPng P: Permanent D: Auto-Discovered
N: NHRP
iB: IBGP eB: EBGP O: OSPF/OSPFv3 E1: OSPF external type 1
E2: OSPF/OSPFv3 external type 2 trailing B: backup route


IPv4 Dest-Routes for <trust-vr> (2 entries)
--------------------------------------------------------------------------------------
         ID          IP-Prefix      Interface         Gateway   P Pref    Mtr     Vsys
--------------------------------------------------------------------------------------
*         6   192.168.24.10/32        bgroup0         0.0.0.0   H    0      0     Root
          5    192.168.24.0/24        bgroup0         0.0.0.0   C    0      0     Root

これで仲間入りだね。
WindowsにPINGしてみる。

ssg5-isdn-> ping 192.168.24.53
Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 192.168.24.53, timeout is 1 seconds
!!!!!
Success Rate is 100 percent (5/5), round-trip time min/avg/max=2/2/2 ms

あ、saveは忘れずに。
それとLANケーブルはeth0/2以降につなごう。eth0/1に最初つないでて、繋がらないから焦ってしまった。
デフォルトだとeth0/1はDMZ、eth0/0はUntrustになっていた。

保守契約がないのでアップデートはできないけど、ファームウェアのバックアップだけやってみた。

ssg5-isdn-> get sys
Product Name: SSG5-ISDN
Serial Number: 0169122009001046, Control Number: 00000000
Hardware Version: 0710(0)-(00), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)
Flash Type: Samsung
Software Version: 6.3.0r13.0, Type: Firewall+VPN
Feature: AV-K
BOOT Loader Version: 1.3.2
Compiled by build_master at: Fri Dec 14 02:08:19 PST 2012
Base Mac: 2c6b.f505.3fc0
File Name: ssg5ssg20.6.3.0r13.0, Checksum: f03ef88f


ssg5-isdn-> save software from flash to tftp 192.168.24.53 ssg5ssg20.6.3.0r13.0

tftp transferred records = 26113
tftp success!

TFTP Succeeded
ssg5-isdn->

順番が逆になったけど、tftpサーバーはtftpd64というフリーソフトを使ってます。
Windows上で簡単にtftpサーバーが立てれるのです。

あとは、古いファームウェアには脆弱性があるのだが、Ping of Death Screen という召喚獣みたいな設定を有効にしておけば防げるので、いまのとこ外から見えるとこに置く予定はないけど、この設定はいれておこう。

ssg5-isdn-> set zone untrust screen ping-death

set zone "Untrust" screen tear-drop
set zone "Untrust" screen syn-flood
set zone "Untrust" screen ping-death
set zone "Untrust" screen ip-filter-src
set zone "Untrust" screen land

もしかしたら最初から有効だったかもしれないけど、まあいい。

あとはsaveしてやれば、LAN内からはつながるはずです。

これで色々といじくれるようになりました。

ざーっと見たけど、家庭用の1万円前後のルーター兼スイッチよりずいぶんと色々な機能が多い。
マニュアルも多いし。

ネットワーク関係のセキュリティもいっぱいあるんだなぁ。マニュアルを読むだけで色々と知識は増えそう。。今日はこのぐらいにしとくか。

 

Similar Posts:


Leave a Reply

Your email address will not be published. Required fields are marked *