Pagina 1 di 1
Rendere sicuro un 837
Inviato: mer 02 gen , 2008 11:36 am
da giuseppevitali
Ciao a tutti, ho acquistato un Cisco 837 da utilizzare con una connessione Alice business.
Ho aggiornato la versione firmware alla 12.4 ed ho creato una bozza di configurazione prendendo spunto a destra e a manca. Chiedo scusa se ho scritto cavolate ma la mia esperienza è pari a zero
Siccome dovrò installare il router presso l'ufficio di un caro amico cercavo qualche anima pia che potesse dare un'occhiata alla configurazione facendomi evitare di andare avanti e indietro ogni volta per fare solo una prova
Inoltre l'intento è permettere ai pc esclusivamente la navigazione internet e nient'altro. Cercavo quindi suggerimenti su quali ACL chiudere.
Leggendo varie guide mi pare di aver capito che occorre prima chiudere tutto... e poi piano piano aprire lo stretto necessario.
Allego la configurazione attuale:
Codice: Seleziona tutto
Router#sh ru
Building configuration...
Current configuration : 1924 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
memory-size iomem 15
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
!
no aaa new-model
no ip source-route
!
!
no ip dhcp use vrf connected
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.1.1 192.168.1.2
!
ip dhcp pool ced
network 192.168.1.0 255.255.255.248
domain-name ced.it
dns-server 151.99.125.1
default-router 192.168.1.1
!
!
ip cef
ip domain name ced.it
ip name-server 151.99.125.1
!
!
!
!
!
!
!
!
!
interface Ethernet0
ip address 88.39.115.162 255.255.255.248 secondary
ip address 192.168.1.1 255.255.255.248
ip nat inside
ip virtual-reassembly
no keepalive
hold-queue 100 out
!
interface Ethernet2
no ip address
shutdown
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 88.39.76.252 255.255.255.0
ip nat outside
ip virtual-reassembly
no snmp trap link-status
pvc 8/35
oam-pvc manage
oam retry 5 5 1
encapsulation aal5snap
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
no ip http server
no ip http secure-server
!
ip nat pool ced 88.39.115.162 88.39.115.162 netmask 255.255.255.248
ip nat inside source list 50 pool ced overload
!
access-list 50 permit 192.168.1.0 0.0.0.255
snmp-server community public RO
snmp-server enable traps tty
!
!
!
control-plane
!
!
line con 0
exec-timeout 240 0
password 7 XXXXXXXXXXXX
login
no modem enable
line aux 0
line vty 0 4
exec-timeout 240 0
password 7 XXXXXXXXXXXX
login
length 0
!
scheduler max-task-time 5000
end
[/size]
Grazie
Inviato: mer 02 gen , 2008 1:27 pm
da djdylan78
Giusto un paio di considerazioni veloci:
1. togli gli indirizzi ip pubblici...
2. all'atm dovresti associare un dialer per l'autenticazione e per fare pppoa...
3. vedo che è alice, si tratta della versione "naked" e quindi puoi effettivamente configurare un router di proprietà oppure al momento c'è per esempio il routerino blu telecom?
4. per la sola navigazione potresti event. usare nbar e associare a quella classe di traffico tutta la banda, lasciando alla default il minimo di 8kbps o droppare i pacchetti...
5. potresti eventualmente abilitare ssh per connetterti da remoto in modo da non fare avanti-indietro
è un po' tutto da sistemare, però prima bisognerebbe definire cosa vuoi fare effettivamente
Inviato: mer 02 gen , 2008 2:41 pm
da giuseppevitali
djdylan78 ha scritto:Giusto un paio di considerazioni veloci:
1. togli gli indirizzi ip pubblici...
L'ho pensato visto che non mi occorrono. Però non ho capito come configurare le interfacce...
djdylan78 ha scritto:
2. all'atm dovresti associare un dialer per l'autenticazione e per fare pppoa...
Anche col punto punto?
djdylan78 ha scritto:
3. vedo che è alice, si tratta della versione "naked" e quindi puoi effettivamente configurare un router di proprietà oppure al momento c'è per esempio il routerino blu telecom?
Attualmente viene utilizzato un router rosso, ma senza smartcard. Ho già provato il mio Linksys è funziona correttamente.
djdylan78 ha scritto:
4. per la sola navigazione potresti event. usare nbar e associare a quella classe di traffico tutta la banda, lasciando alla default il minimo di 8kbps o droppare i pacchetti...
Mhmmm... più sotto spiego meglio cosa vorrei fare visto che qui non ti seguo.
djdylan78 ha scritto:
5. potresti eventualmente abilitare ssh per connetterti da remoto in modo da non fare avanti-indietro
Avevo pensato anche questo, almeno per i primi tempi in modo da poter fare le dovute prove. Ma non so farlo...
djdylan78 ha scritto:
è un po' tutto da sistemare, però prima bisognerebbe definire cosa vuoi fare effettivamente
Ci credo... è la prima volta che mi avvicino a questo tipo di router.
In realtà colgo il pretesto perchè mi piacerebbe acquistarne uno anche per uso personale.
Spiego meglio cosa vorrei fare:
Vorrei effettuare una connessione del router ad internet utilizzando l'indirizzo punto punto di alice. Non mi occorre per ora utilizzare gli 8 ip pubblici (che poi mi pare di aver capito che diventano 6 perchè il primo è la rete ed il secondo è il gateway). Vorrei permettere ai client di navigare in internet e null'altro. Il mio obiettivo è proprio questo. Permettere ai client la sola navigazione in internet e rendere la LAN quanto più sicura possibile. Anche perchè il motivo per cui abbiamo sostituito il router è dovuto al fatto che il mio amico ha perso utente e password del router attuale e non è possibile quindi capire come sia configurato.
Per ora non posso fare altro che ringraziare
Inviato: mer 02 gen , 2008 8:45 pm
da djdylan78
Per il discorso indirizzi pubblici intendevo di "oscurarli" dalla config con qualcosa tipo le X che hai messo sulle pw.
Il router "attuale di cui ha perso utente e password" intendi quello di alice o un altro router cisco? nel secondo caso potresti fare un pw recovery.
per la config prova a partire da questo spezzone di config:
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
interface Dialer0
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname aliceadsl
ppp chap password aliceadsl
ppp pap sent-username aliceadsl password aliceadsl
dialer-list 1 protocol ip permit
ip nat inside source list NATACL interface Dialer0 overload
ip access-list extended NATACL
permit ip 10.0.0.0 0.0.0.255 any
interface FastEthernet0
ip address 10.0.0.1 255.255.255.0
ip nat inside
verifica che riesci ad andare in internet, poi facciamo le aggiunte
Inviato: mer 02 gen , 2008 8:52 pm
da giuseppevitali
djdylan78 ha scritto:
verifica che riesci ad andare in internet, poi facciamo le aggiunte
Gentilissimo!
Mi diresti come faccio ad attivare il controllo remoto via ssh?
Così magari se si connette lo lascio installato e provo ad ottimizzare la configurazione da remoto... no?
Grazie
Inviato: mer 02 gen , 2008 9:46 pm
da djdylan78
hostname hostname
ip domain-name dominio
crypto key generate rsa
user utente password utente
line vty 0 4
login local
transport input ssh
per azzerare le chiavi: crypto key zeroize rsa
maggiori info a questo link:
http://www.cisco.com/univercd/cc/td/doc ... #wp1001167
Inviato: mer 02 gen , 2008 11:16 pm
da Fumetto
Non vorrei dire corbellerie ma a che serve la dialer se Telecom gli ha dato un IP punto-punto e 8 IP pubblici?
Dovrebbe essere più corretta la conf postata da lui... o no
Cmq per la sicurezza prova a cominciare da
qui...
A me ha aperto nuovi orizzonti di studio...
Inviato: gio 03 gen , 2008 10:01 pm
da djdylan78
Beh, il dialer serve per fare pppoa (ppp over Atm appunto), per fare l'autenticazione dell'utente e per l'associazione del traffico che fa "alzare la chiamata".
La cosa da correggere è il fatto di sostituire "ip address negotiated" con l'indirizzo ip assegnato da telecom. Gli altri 5 (8-2-1 [usato sull'interfaccia dialer]) li sfrutti impiegando il nat...
Altra cosa da aggiungere un bel:
ip route 0.0.0.0 0.0.0.0 dialer0
per inviare tutto il traffico verso internet
Inviato: ven 04 gen , 2008 1:16 am
da Fumetto
...non sono sicuro di aver capito... in una linea business Telecom non rilascia user e password quindi in teoria non ce ne sta bisogno... dovrebbe (e sottolineo dovrebbe) essere RFC1483... non è così?
Inviato: ven 04 gen , 2008 5:12 pm
da giuseppevitali
Fumetto ha scritto:...non sono sicuro di aver capito... in una linea business Telecom non rilascia user e password quindi in teoria non ce ne sta bisogno... dovrebbe (e sottolineo dovrebbe) essere RFC1483... non è così?
Allora non sono il solo a cui questa cosa tornava strana.
Sul foglio Telecom non c'è l'utente per l'autenticazione e nel router Linksys utilizzato per test non ho inserito nulla...
Inviato: mar 08 gen , 2008 4:34 pm
da giuseppevitali
Fumetto ha scritto:
Cmq per la sicurezza prova a cominciare da
qui...
A me ha aperto nuovi orizzonti di studio...
Letto:!:
Purtroppo però mi sembra molto orientato ad un'ottimizzzione fine. Scende nei dettagli di paramentri che potrebbero assumere un ruolo secondario per chi (come me) necessita di una configurazione iniziale.
Ad esempio, resto ancora col dubbio dovendo scegliere una configurazione di partenza.
Comunque lo conservo con cura.
Grazie
Inviato: ven 18 gen , 2008 4:17 pm
da giuseppevitali
Ciao a tutti, sempre leggendo qui e lì e giocando un po' col CRWS ho dato una sistemata alla configurazione. Sperando che qualcuno possa dargli un'occhiata.
Grazie
Codice: Seleziona tutto
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
memory-size iomem 15
logging buffered informational
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXX
!
no aaa new-model
no ip source-route
!
!
no ip dhcp use vrf connected
no ip dhcp conflict logging
!
ip dhcp pool ced
network 192.168.1.0 255.255.255.248
domain-name ced.it
dns-server 151.99.125.1
default-router 192.168.1.1
!
!
ip cef
ip domain name ced.it
ip name-server 151.99.125.1
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
!
!
interface Ethernet0
ip address XX.XX.XXX.XXX 255.255.255.248 secondary
ip address 192.168.1.1 255.255.255.248
ip access-group 122 out
ip nat inside
ip virtual-reassembly
no keepalive
hold-queue 100 out
!
interface Ethernet2
no ip address
shutdown
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address XX.XX.XX.XXX 255.255.255.0
ip access-group 111 in
ip nat outside
ip inspect myfw out
ip virtual-reassembly
no snmp trap link-status
pvc 8/35
oam-pvc manage
oam retry 5 5 1
encapsulation aal5snap
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip http server
no ip http secure-server
!
ip nat pool ced XX.XX.XXX.XXX XX.XX.XXX.XXX netmask 255.255.255.248
ip nat inside source list 50 pool ced overload
!
access-list 50 permit 192.168.1.0 0.0.0.255
access-list 111 permit tcp any any eq telnet
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any log
access-list 122 deny tcp any any eq telnet
access-list 122 permit ip any any
snmp-server community public RO
snmp-server enable traps tty
!
!
!
control-plane
!
!
line con 0
exec-timeout 240 0
password 7 XXXXXXXXXXXXX
login
no modem enable
line aux 0
line vty 0 4
exec-timeout 120 0
password 7 XXXXXXXXXXXXX
login local
length 0
!
scheduler max-task-time 5000
end