Pagina 1 di 1
CBAC, IOS e brute force su FTP...
Inviato: ven 06 giu , 2008 11:01 am
da masterx81
Ciao a tutti...
Stavo guardando che il mo cisco 1801 ha l'IDS ed il CBAC...
Sto iniziando a cercare di capire come funzionano...
Al momento ho inserito i seguenti comandi per evitare dei DOS:
Codice: Seleziona tutto
ip inspect max-incomplete low 250
ip inspect max-incomplete high 300
ip inspect one-minute low 300
ip inspect one-minute high 400
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name IDS-OUT tcp
Mentre questi ce li ha la config del router di default (e non so a cosa servano...):
Codice: Seleziona tutto
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
Infine nell'interfaccia esterna ho messo
Poi ho inserito questo (che non sapevo esistesse - e che non c'entra nulla con il CBAC, ma è utile!):
Ora, contro i bruteforce sulla vty dorei essere a posto, e contro il DOS pure...
Ma ho un paio di seccatori che mi fanno sei bruteforce su un server FTP IIS dietro al cisco, vorrei applicare un filtro che se arrivano troppe richieste di login a raffica le droppa...
Se non ho capito male il CBAC dovrebbe fare questo, giusto?
Come posso implementarlo?
Grazie mille!!!
Inviato: ven 06 giu , 2008 2:11 pm
da Wizard
Frena frena...
ip inspect IDS-OUT
La devi mettere in IN sulla eth oppure in OUT sulla interfaccia pubblica (ATM, dialer, serial...)
Volendo puoi fare un
ip inspect name IDS-IN ftp
e metterlo in IN sulla int esterna
Inviato: ven 06 giu , 2008 3:27 pm
da masterx81
Mhuauahauhau, ok, tiro il freno a mano
Non ci ho capito molto di questo firewall... Non si è capito?
Queste a cosa si applicano?:
Codice: Seleziona tutto
ip inspect max-incomplete low 250
ip inspect max-incomplete high 300
ip inspect one-minute low 300
ip inspect one-minute high 400
ip inspect hashtable-size 2048
A tutte le interfacce in cui metto
Giusto?
Mentre queste:
Codice: Seleziona tutto
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name IDS-OUT tcp
si applicano sull'interfaccia con l'ip inspect 'nome' dell'ultima riga?
Oppure sono delle liste, che partono dal primo ip inspect e che terminano alla riga
e dopo si applicano all'interfaccia?
IDS-OUT pensavo che fosse solo una descrizione, giusto?
Attualmente è applicata all'interfaccia esterna del router, con direzione 'in', quindi applica gli inspect dei pacchetti che mi arrivano da internet...
Quale sarebbe l'effetto di una:
ip inspect name IDS-IN ftp
che se non sbaglio non va messa nell'interfaccia, ma nella config generale???
Grazie!
Inviato: ven 06 giu , 2008 4:03 pm
da Wizard
Codice: Seleziona tutto
ip inspect max-incomplete low 250
ip inspect max-incomplete high 300
ip inspect one-minute low 300
ip inspect one-minute high 400
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
Valgono per tutte le connessioni.
Il nome dopo il "name" è solo descrittivo!
Nel tuo caso "ip inspect IDS-OUT in" serve si per inspezionare il traffico proveniente da internet ma nn serve a nulla fatto così poichè controlli dei protocolli che nn hai pubblicato!
Va messo in conf t poi applicato alla int pubblica in IN
Inviato: ven 06 giu , 2008 4:05 pm
da Wizard
Magari facci vedere la config completa così capiamo meglio
Inviato: ven 06 giu , 2008 4:27 pm
da masterx81
La config completa è meglio lasciarla nel router, c'e' un po' di tutto la dentro... VPN PPTP, radius, ed un bel po di altre cose
E' bella lunghetta... Se mi dici che cmq la vuoi vedere, la posto
Non volevo intasare il post con una paginata di configurazione!
Solo che ora volevo vedere se riesco a bloccare gli attacchi a bruteforce ed a dizionario...
Ma ste CBAC non mi entrano bene in testa...
Quindi tutte le cose messe come 'ip inspect xxx' direttamente nella 'conf t' si applicano a tutte le interfacce registrare con 'ip inspect NOME DIREZIONE'? Oppure proprio a tutte le interfacce?
E se io volessi abilitare il CBAC con diverse regole su diverse interfacce??
Quindi metto questo nella 'conf t' :
ip inspect name IDS-IN ftp
E poi la applico all'interfaccia con
ip inspect NOME DIREZIONE
Che tipo di controlli farebbe sull'ftp?
Scusa lo stress...
Grazie mille!!!
Inviato: dom 08 giu , 2008 8:13 pm
da Wizard
Codice: Seleziona tutto
ip inspect max-incomplete low 250
ip inspect max-incomplete high 300
ip inspect one-minute low 300
ip inspect one-minute high 400
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
Sono "generiche" e sono applicate alle interfaccie a cui è associato ip inspect.
Es.
Codice: Seleziona tutto
ip inspect name inspection-out tcp
ip inspect name inspection-out udp
int eth0
ip inspect inspection-out in
Significa che verranno inspezionate le connessioni tcp e udp in entrata sulla eth e quindi nella maggior parte dei casi verso internet. Dato che ip inspect è statefoul viene permesso automaticamente il traffico di ritorno
Codice: Seleziona tutto
ip inspect name inspection-in ftp
ip inspect name inspection-in http
int atm0.1
ip inspect inspection-in in
Mettiamo che pubblichiamo dei servizi ftp e http allora è buona norma (non obbligatorio) abilitare i controlli questa volta in entrata. Per i brute force però è + indicato un bel sistema IPS (configurabile sul 1801)
Inviato: lun 09 giu , 2008 8:40 am
da masterx81
Aahhh!!!
Capito!
Avevo frainteso l'utilita' del cbac!
Praticamente si occupa di aprire i varchi temporanei nel firewall per evitare di dover lasciare aperti varchi statici (e pericolosi...) con le access list! In piu' controlla che le sessioni siano sempre valide per evitare dei DoS...
Dunque (per i protocoli che conosce) puo' sostituire la voce nell'access list
Aggiungendo in piu' la protezione per i DoS...
Quindi se volessi abilitare la navigazione FTP interna (funziona sia col passivo che con l'attivo???) basta un
Codice: Seleziona tutto
ip inspect name inspection-out ftp
int eth0
ip inspect inspection-out in
Oppure dei piu' generici TCP/UDP per permettere tutti i tipi di traffico come nel tuo esempio.
E se avessi un server ftp attivo interno al quale voglio fargli ispezionare le connessioni mi bastano quei comandi che mi hai mandato tu? E nel caso di un ftp passivo?
Attualmente permetto (per necessita!) sia l'ftp attivo che il passivo, sia per la navigazione che per il server ftp interno, ed il fw è un po' aperto... Non sarebbe male tappare un po' di porte!!!
Quindi per evitare i brute force devo utilizzare l'IPS... Mi informo...
Grazie ancora per le spiegazioni![/code]
Inviato: lun 09 giu , 2008 9:17 am
da Wizard
Direi che hai capito tutto!
Per l'IPS se hai una ios adeguata la puoi configurare anche sul tuo router!
Inviato: lun 09 giu , 2008 9:24 am
da masterx81
ehehehe, ci impiego un po', ma ci arrivo
Ultima domanda: se applico alla porta interna
Codice: Seleziona tutto
ip inspect name inspection-out tcp
ip inspect name inspection-out udp
int eth0
ip inspect inspection-out in
lui si mette in ascolto sull'interfaccia eth0 per dei syn verso host remoti, e da solo riconosce l'interfaccia in cui aprire i varchi?
E per per un server ftp passivo dietro il router, mi puo' aiutare anzichè lasciare dei varchi statici nella acl?
Grazie ancora!
Inviato: lun 09 giu , 2008 10:31 am
da Wizard
Se tu devi pubblicare dei servizi devi per forza creare una regola di nat statico e relativa acl
Inviato: lun 23 giu , 2008 2:51 pm
da masterx81
Scusa ancora una cosa...
Ho iniziato a mettere il cbac (o kebab, come ogni tanto mi sbaglio a dire
)sul mio 877w a casa , e devo dire che fa tutto a meraviglia (meno voci nelle acl
), e non richiede neanche piu' di tante risorse, nemmeno col mulo attaccato (anche perchè ho aumentato la ram da 128 a 256, ciomunque me ne avanza 30mb sui 128).
Volevo sapere, per aprire col cbac la navigazione si applica nella eth direzione in la regola per l'ip inspect, ma non sarebbe la stessa cosa applicarla (access list permettendo...) all'interfaccia esterna in direzione out? O mi sbalgio? Premetto che non ho ancora provato, era solo una curiosità.
Grazie!
Inviato: lun 23 giu , 2008 3:05 pm
da Wizard
Volevo sapere, per aprire col cbac la navigazione si applica nella eth direzione in la regola per l'ip inspect, ma non sarebbe la stessa cosa applicarla (access list permettendo...) all'interfaccia esterna in direzione out? O mi sbalgio?
Si!
O in "in" sulla eth o in "out" sulla atm, dialer...
Inviato: lun 23 giu , 2008 3:13 pm
da masterx81
Allora inizio a capirci qualcosa
Grazie mille!!! Sta sera smanetto :->