configurazione 827

[riccardo]

Ciao a tutti,
non sono assolutamente un esperto, sta funzionando tutto e voi direte : allora ? che cosa vuoi?
Il problema è che mi sono accorto che funziona... troppo !!! in quanto da internet mi sono accorto che il mio 827 accettava telnet e ping.

Ho aggiunto delle access list in più (dalla 100 in giu').
Potreste darmi un parere (benevolo) sulla bontà dell'operazione ?
Il mio terrore e che non riesca più a raggiungere il router se inserisco delle access list troppo restrittive.

Allego la mia conf di seguito.

grazie a chi si cimenterà nell'erudirmi!

__________________________
service timestamps log uptime
service password-encryption
!
hostname ric-sko
!
enable secret 5 xxxxxxx
enable password 7 xxxxxxxxxx
!
!
!
!
!
ip subnet-zero
no ip finger
!
ip dhcp pool aria
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
!
!
!
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
no ip directed-broadcast
ip nat inside
no ip mroute-cache
!
interface ATM0
no ip address
no ip directed-broadcast
no ip mroute-cache
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
bundle-enable
hold-queue 224 in
!
interface Dialer0
ip address negotiated
no ip directed-broadcast
ip nat outside
encapsulation ppp
dialer pool 1
ppp chap hostname xxxxxxxxx
ppp chap password 7 xxxxxxx
ppp pap sent-username xxxxxxxxx password 7 xxxxxxx
!
ip nat inside source list 1 interface Dialer0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 10 deny 10.0.0.0 0.255.255.255
access-list 20 deny 127.0.0.0 0.255.255.255
access-list 30 deny 172.16.0.0 0.15.255.255
access-list 30 deny 224.0.0.0 0.15.255.255
access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq telnet
access-list 100 permit icmp 192.168.1.0 0.0.0.255 any
access-list 101 deny icmp any any
access-list 101 deny tcp any any eq telnet
!
line con 0
transport input none
stopbits 1
line vty 0 4
password 7 xxxxxxxx
login
!
scheduler max-task-time 5000
end

[andrewp]

access-list 10 deny 10.0.0.0 0.255.255.255
access-list 20 deny 127.0.0.0 0.255.255.255
access-list 30 deny 172.16.0.0 0.15.255.255
access-list 30 deny 224.0.0.0 0.15.255.255
access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq telnet
access-list 100 permit icmp 192.168.1.0 0.0.0.255 any
access-list 101 deny icmp any any
access-list 101 deny tcp any any eq telnet

Non sono applicate a niente...ergo, sono inutili per ora.

[riccardo]

Ciao SithDrew,
in che senso non sono applicate ?

Dove ho sbagliato ?

come hai fatto ad accorgertene ?
personalmente ho seguito un po' il blog che parlava di access list (Access contro list) e ho aggiunto quelle che vanno oltre il 100

Ciao
Riccardo

[TheIrish]

forse è il caso che vai a rileggere il mio articolo sull'it-blog.
Una ACL va applicata IN o OUT ad una interfaccia.
ergo, se tu scrivi:

access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq telnet
access-list 100 permit icmp 192.168.1.0 0.0.0.255 any
access-list 101 deny icmp any any
access-list 101 deny tcp any any eq telnet

A cosa vorresti applicarla? All'interfaccia WAN? E ti aspetti che su internet ci siano computer con ip 192.168.1.0 255.255.255.0 ai quali consentire telnet?
E se la applichi all'ethernet, è necessario?
Detto questo, la acl va applicata ad un'interfaccia con ip access-group, ma questo ha poca importanza, anche perché se applicassi queste acl, faresti un danno.

Codice: Seleziona tutto

permetti icmp 192.ecc
nega icmp any any
nega tcp any any telnet

e poi? e il resto? Viene scartato...
Ti consiglio di tornare a leggere l'articolo nell'it-blog e ripensarci un po'.

[riccardo]

TheIrish,
innanzitutto ciao e piacere di averti conosciuto, in seconda instanza, avevo premesso (lo so questo non mi scusa) che non ero (ma a furia di darci lo diventerò) un esperto di IOS.

Per quanto riguarda le mia acl l'intento dovrebbe essre questo:

1) impedire l'accesso in telnet e icmp da fuori alla mia rete, compresi attacchi in spoofing (che quindi potrebbero avvenire con indirizzi interni sull'interfaccia WAN)
2) impedire sempre agli stessi, telnet sul mio router
3) consentire l'accesso in telnet dalla mia rete sull'interfaccia interna
4) consentire icmp dalla mia rete sull'interfaccia interna

Per il resto, mi sei sembrato un po' seccato delle mie questioni; ti pregherei di non esserlo perchè sono questioni realmente fatte da un neofita ... ma volenteroso e bisognoso (visto che dal'esterno mi pingano il router e mi fanno telnet e non mi va... ).

Se riesci a darmi una mano ti ringrazio.

Ciao
Riccardo

[TheIrish]

Per il resto, mi sei sembrato un po' seccato delle mie questioni; ti pregherei di non esserlo perchè sono questioni realmente fatte da un neofita ... ma volenteroso e bisognoso (visto che dal'esterno mi pingano il router e mi fanno telnet e non mi va... ).

No no, impressione sbagliata! Non sono seccato affatto
Allora. Per prima cosa mi permetto di dirti che non c'è motivo di bloccare gli ICMP dall'esterno. Magari limitarli a quelli indispensabili.

Procediamo con un esempio:

Codice: Seleziona tutto

access-list 105 deny tcp any any eq telnet
access-list 105 permit icmp any any echo
access-list 105 permit icmp any any echo-reply
access-list 105 deny icmp any any
access-list 105 permit ip any any

Un po' grezze, ma fanno quel che servono. Nota, questa ACL aumenta il livello di sicurezza solo per quelle due cosette, altrimenti ne avremmo un pacco, volendo...
A questo punto bisogna applicare l'acl all'interfaccia interessata.
da configuration mode:

Codice: Seleziona tutto

interface dialer0
ip access-group 105 in

Se vuoi possiamo discuterci sopra

[riccardo]

Aha!
ecco cosa mi mancava! (si fa per dire ... )

se ho ben capito :

fase 1 : creazione delle regole

fase 2 : applicazione sull'interfaccia indicando il verso (IN o OUT)

una specie di firewall!

Chiaramente le ACL da me aplicate in precedenza erano praticamente nulle visto che non erano apllicate a niente!

Un po' grezze, ma fanno quel che servono. Nota, questa ACL aumenta il livello di sicurezza solo per quelle due cosette, altrimenti ne avremmo un pacco, volendo...

Secondo te val la pena di fare una lista più lunga porte da bloccare ai fini della agognata tranquillità?


Personalmente l'icmp rende la macchina visibile verso l'esterno e quindi attaccabile.

Come si dice : occhio non vede ...

Ciao e grazie per la dritta, farò una lista di acl più dettagliata da applicare all'interfaccia dialer e poi te la sottoporrò per benestare... non sis a mai!

Ciao
Riccardo

[TheIrish]

Personalmente l'icmp rende la macchina visibile verso l'esterno e quindi attaccabile.
Come si dice : occhio non vede ...

Difficilmente uno invia degli icmp per sapere se una macchina è attiva e poi tenta di bucarla, Tipicamente fa uno scan su porte dietro i quali potrebbero risiedere programmi con bug noti,

La questione delle ACL può essere abbastanza complessa. Bisogna innanzi tutto stabilire una strategia.

[riccardo]

Dunque, dunque...

se ho ben capito (non è detto)
bisogna costruire una filosofia di accesso ad internet che dipende dall'uso dell'apparato.

Escludendo tutti i possibili usi professionali di connessione inter-apparati in vpn-wan etc etc. il router lo vorrei configurare per accedere in Internet in sicurezza, cioè in sicurezza per l'apparato e per tutta la rete dietro di esso.

ossia riassumendo :

- interfaccia DIALER 0
verso OUT :
PERMIT
-traffico richiesto (established) dall'interno
DENY
- traffico non richiesto (risposte ai ping, telnet, IP in genere)
verso IN :
PERMIT
- niente
DENY
- traffico IP

- interfaccia Ehernet
verso OUT
PERMIT
- traffico IP di rete 192.168.1.0 255.255.255.0
DENY
- traffico IP non della rete

verso IN
PERMIT
- traffico IP di rete 192.168.1.0 255.255.255.0
DENY
- traffico IP non della rete


come vado ? sono confuso ? non va bene ? ci sono controindicazioni ?


waiting for response...

Ciao
Riccardo

[riccardo]

mi sono messo l'immaginetta ..

[TheIrish]

Senza dubbio è una possibilità.
Io normalmente in reti nattate faccio così:

Interfaccia WAN:
IN : nego quello che SICURAMENTE non deve entrare e permetto tutto il resto

INTERFACCIA LAN:
OUT: permetto solo quello che desidero (anche con established) e nego tutto il resto.

Questo per un motivo: in una rete nattata, quando dei dati entranti dalla WAN vengono analizzati, non si conoscono le destinazioni reali (gli ip privati) perché il nat non è ancora stato effettuato.

[riccardo]

allora,
dopo piccola pensativa ecco il risultato (tutto da verificare)


IN WAN
access-list 106 permit IP any any established
access-list 106 deny IP any any

OUT WAN
access-list 107 permit IP any any established
access-list 107 deny IP any any


OUT ehernet

access-list 108 permit ip 192.168.1.0 0.0.0.255 any
access-list 108 deny ip any any

in Ehernet

access-list 109 permit ip 192.168.1.0 0.0.0.255 any
access-list 109 deny ip any any

come ti sembra ?
quelllo che dicevi al riguardo :

Interfaccia WAN:
IN : nego quello che SICURAMENTE non deve entrare e permetto tutto il resto

il mio problema è il conoscere quello che SICURAMENTE non deve entrare!

mentre (forse) il mio approccio (se funziona) mi bloccherebbe tutto e man mano potrei abilitare le porte alla bisogna.

cosa ne pensi ?

applicate le regole navighero' ancora ?

[TheIrish]

access-list 106 permit IP any any established

Questo non funziona. Il conntrack si può fare solo su connessioni TCP.

OUT WAN
access-list 107 permit IP any any established
access-list 107 deny IP any any

E anche se fosse, established in out vuol dire che solo quello che è iniziato dall'esterno può uscire... established in, established out, una nega l'altra, non esce niente.

access-list 108 permit ip 192.168.1.0 0.0.0.255 any
access-list 108 deny ip any any

Ehhh? Devi guardare il verso delle access-group come se fossi dentro il router. Qui mi sembra che tu faccia il contrario.

[riccardo]

ecco dopo adeguata pensativa (date le bacchettate ...) mi limiterei ad una access list applicata in entrata (IN ) sulla WAN e cos' strutturata :


access-list 103 deny icmp any any
access-list 103 deny tcp any any eq telnet
access-list 103 deny ip 127.0.0.0 0.255.255.255 any
access-list 103 deny ip 10.0.0.0 0.255.255.255 any
access-list 103 deny ip 172.16.0.0 0.15.255.255 any
access-list 103 deny ip 192.168.0.0 0.0.255.255 any
access-list 103 permit tcp any any established
access-list 103 deny tcp any any eq www
access-list 103 deny tcp any any eq smtp
access-list 103 deny tcp any any eq ftp
access-list 103 deny tcp any any eq lpd
access-list 103 permit ip any any


.. e se non va bene così ... vendo il cisco e mi vado a mangiare una pizza! (scherzo ovviamente, dato il fascino che l'oggetto sconosciuto mi suscita)

Sottopongo e attendo sue ennesime bacchettate!

Haloa
Riccardo