Pagina 1 di 1
Firewall su 1801
Inviato: ven 28 mar , 2008 3:09 pm
da proton
Salve raga, acquistato ora il Cisco 1801 mi sono tolto di mezzo l'857 e spero di non aver fatto una spesa inutile...
vi pasto la conf minimale
Codice: Seleziona tutto
Router#sh run
Building configuration...
Current configuration : 2215 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service dhcp
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$IbX6$fBrA8jfGqwWXb0Alb0CnA0
!
no aaa new-model
!
!
ip cef
!
!
no ip domain lookup
ip name-server 212.216.112.112
ip name-server 212.216.172.62
multilink bundle-name authenticated
!
!
username admin privilege 15 secret 5 $1$sIMM$xS9r4o.DMzUDb30Ou9VEr/
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
duplex auto
speed auto
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-FE 1$
ip address 192.168.2.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer-group 1
no cdp enable
ppp chap hostname aliceadsl
ppp chap password 0 aliceadsl
ppp pap sent-username aliceadsl password 0 aliceadsl
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 permit 192.168.2.2
no cdp run
!
control-plane
!
!
line con 0
login local
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet
line vty 5 15
privilege level 15
login local
transport input telnet
!
end
Il guaio è che mentre inizio a mettere le access-list in ingresso sulla dialer 0 mi si blocca la connessione, purtroppo da quello che ho visto le inspect mancano e si isola gentilmente mi date una manina? grazie
Codice: Seleziona tutto
Router(config)#interface vlan1
Router(config-if)#ip inspect MYFW in
^
% Invalid input detected at '^' marker.
Inviato: ven 28 mar , 2008 4:14 pm
da proton
risolto era lo ios grazie lo stesso
Inviato: sab 29 mar , 2008 7:28 pm
da proton
Ciao raga beh ne approfitto per discuterne un po' come si è mostrato il 1801 sotto attacco udp asd
"con la mia conf sicuramente da riguardare...."
Ora riesco a vedere la provenienza dell'attacco il 1801 non si impalla da un singolo host attancante anche se perde pacchetti cmq... :\
Codice: Seleziona tutto
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Vl1 192.168.2.2 Local 192.168.2.1 01 0000 0800 1
Vi2 192.168.100.1 Vl1 79.3.xxx.xxx 01 0000 0000 586
Vl1 192.168.2.2 Di0 192.168.100.1 01 0000 0800 618
Vi2 69.42.xxx.xxx Vl1 79.3.xxx.xxx 06 8CA0 C0D3 1
Vi2 87.xxx.xxx.xxx Local 79.3.xxx.xxx 11 987B 0801 128K
Vl1 192.168.2.2 Di0 69.42.xxx.xxx 06 C0D3 8CA0 1
Vl1 192.168.2.2 Local 192.168.2.1 06 C0D2 0016 50
è quello con 87 iniziale mi chiedo quale interfaccia abbiamo in local? ^^
In console monitorando abbiamo questo msg
Codice: Seleziona tutto
*Mar 29 18:03:41.063: %SYS-2-BADSHARE: Bad refcount in retparticle, ptr=83CA3380, count=0, -Traceback= 0x8099F1E8 0x80038114 0x800DD3CC 0x8001A964 0x8001A8
*Mar 29 18:03:41.063: %SYS-2-BADSHARE: Bad refcount in retparticle, ptr=83CA6300, count=0, -Traceback= 0x8099F1E8 0x80038114 0x800DD3CC 0x8001A964 0x8001A8
*Mar 29 18:03:41.063: %SYS-2-BADSHARE: Bad refcount in retparticle, ptr=83CA6840, count=0, -Traceback= 0x8099F1E8 0x80038114 0x800DD3CC 0x8001A964 0x8001A8
vedendo la provenienza mi auguro che si possa arrivare ad una buona conclusione
Inviato: lun 31 mar , 2008 10:59 am
da proton
sto provando a fare un forwarding su null0 per scartare i pakketti in qualke modo... non sto dormendo la notte per risolvere sta cosa ghghgh
Inviato: lun 31 mar , 2008 3:17 pm
da Wizard
Cmq nella config di sopra nn hai un min di firewall quindi ci credo che è vulnerabile ad attacchi!
Inviato: lun 31 mar , 2008 9:59 pm
da proton
era la conf mimimale, i test sò stati fatti con inspect e acl...
Troppo figo il 1801 però
Notata la differenza altro che quella scartoffia dell'857...mi ha crepato raga...ghgh
Pensi che questo comando
interface Null0
no ip unreachables
sia sufficiente a forwardare i pakketti in fase di attacco e scartarli? uhm...
credo manki qualcos altro
Null0 è una pseudo-interfaccia ke funzia in maniera null device di alcuni os che non può ricevere traffico e da quello ke ho capito per il cef rappresenta un interfaccia non valida perciò tutto quello che punta su null0 viene scartato
ip route 127.0.0.0 255.0.0.0 null0
ma manca ancora qualcosina...
_________________________________________
Wizard, siamo vicini...
Inviato: ven 04 apr , 2008 6:13 pm
da proton
Wizard, Visto un pò il tuo post anke
http://www.ciscoforums.it/viewtopic.php ... light=ddos
interessante però con tutti quei log la cpu skiatta dopo pokissimo, eliminando i log dalle acl diciamo ke si è quasi risolto tutto, la cpu nn satura e quindi nn si cade, ora vorrei risolvere solo i primi 30 secondi ti/vi mostro:
1800 series cpu si presenta così in fase di attacco
Codice: Seleziona tutto
CPU utilization for five seconds: 92%/89%; one minute: 25%; five minutes: 6%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
4 21140 1213 17427 0.65% 0.74% 0.80% 0 Check heaps
53 3096 20356 152 1.31% 0.34% 0.07% 0 COLLECT STAT COU
75 1288 75 17173 1.14% 0.22% 0.07% 6 SSH Process
Con un attacco di 200 secondi in udp flood satura solo i primi 30s dopo la cpu si normalizza, siamo a buon punto diciamo, ora si deve solo capire questi 2 processi che ruolo hanno e se si possono ridurre in qualke modo. Inoltre vorrei aggiungere che una conf molto complessa da quello che ho potuto constatare nn porta grandi risultati
Inviato: lun 07 apr , 2008 10:53 am
da Wizard
Le cose complicate di solito sono nemiche della sicurezza!
Ci fai vedere la config attuale?
Siamo a buon punto :)
Inviato: lun 07 apr , 2008 12:13 pm
da proton
Codice: Seleziona tutto
Router#sh run
Building configuration...
Current configuration : 3261 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service dhcp
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 bau
!
no aaa new-model
!
!
ip icmp rate-limit unreachable 1000
!
!
ip cef
!
!
no ip domain lookup
ip name-server 212.216.112.112
ip name-server 212.216.172.62
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect one-minute high 500
ip inspect udp idle-time 60
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name MYFW http
ip inspect name MYFW https
ip inspect name MYFW dns
ip inspect name MYFW ftp
ip inspect name MYFW tcp
ip inspect name MYFW udp
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
!
username admin privilege 15 secret 5 miao
!
!
archive
log config
hidekeys
!
!
ip ssh version 1
!
!
!
interface Null0
no ip unreachables
!
interface FastEthernet0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
duplex auto
speed auto
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface ATM0
no ip address
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no ip mroute-cache
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-FE 1$
ip address 192.168.2.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip inspect MYFW in
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
no ip mroute-cache
!
interface Dialer0
ip address negotiated
ip access-group 131 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting access-violations
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp chap hostname aliceadsl
ppp chap password 0 aliceadsl
ppp pap sent-username aliceadsl password 0 aliceadsl
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 permit 192.168.2.2
access-list 131 remark *** ICMP CONTROL
access-list 131 permit icmp any any echo-reply
access-list 131 permit icmp any any time-exceeded
access-list 131 permit icmp any any unreachable
access-list 131 permit icmp any any packet-too-big
access-list 131 remark *** Internet Security
access-list 131 deny ip any any
no cdp run
!
!
!
!
!
!
control-plane
!
!
line con 0
login local
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
line vty 5 15
privilege level 15
login local
transport input telnet ssh
!
end
Ripeto, sconsiglio a tutti i log nelle acl, nel mio caso dovrebbe essere questo "access-list 131 deny ip any any log" perkè in fase ti attacco la cpu piange parekkio asd anche se mi dovrò trovare un modo + soft per loggare...per ora sto a vedere gli ip coi relativi pakketti solo nella cache flow.
Domandina Wizard, le rotte che hai usato nel link del precedente post servono solo per lo spoofing?
Codice: Seleziona tutto
ip route 1.0.0.0 255.0.0.0 Null0
ip route 2.0.0.0 255.0.0.0 Null0
ip route 5.0.0.0 255.0.0.0 Null0
ip route 7.0.0.0 255.0.0.0 Null0
ip route 10.0.0.0 255.0.0.0 Null0
ip route 23.0.0.0 255.0.0.0 Null0
ip route 27.0.0.0 255.0.0.0 Null0
ip route 31.0.0.0 255.0.0.0 Null0
ip route 36.0.0.0 255.0.0.0 Null0
ip route 37.0.0.0 255.0.0.0 Null0
ip route 39.0.0.0 255.0.0.0 Null0
etc...
Allora tornando a noi sotto attacco udp flood questa conf il prot. Tcp rimane illeso riesco a stare su skype...su irc... ma perdo la risoluzione dei nomi quanto pare, navigo in web solo mettendo gli ip sarà un problema di dns sicuramente e spero si possa risolvere con qualke regolina...
Wizard consigli di mettere anche l'ips?
________________________________________
******Adoro essere attaccato asd
Inviato: mar 08 apr , 2008 11:32 am
da Wizard
Si, configura pure IPS ma stai attento a non abilitare troppe categorie perchè senò la CPU \ RAM soffre molto!
Le rotte verso la null0 levale, ti possono causare problemi!