sicurezza
Moderatore: Federico.Lagni
-
leiz83
- Cisco fan
- Messaggi: 30
- Iscritto il: ven 26 ago , 2005 12:38 am
- Località: Cesena
Premetto che sono nuovo e non sono assolutamente un mago dei router cisco. Il mio dubbio è questo: tutti in questo forum chiedono di potersi collegare a internet e di aprire qualche porta per pubblicare qlche servizio in internet oppure per usare muli e somari. Ormai ho letto parecchie configurazioni di connessioni soprattutto d tipo home e mi sono accorto che praticamente in tutte, il router è raggiungibile dall'esterno con il telnet e dove è abilitato anche con il crws... Perchè vi comprate un cisco se poi non badate minimamente alla sicurezza della vostra rete??
-
dimi82
- Cisco power user
- Messaggi: 89
- Iscritto il: mer 13 lug , 2005 8:07 am
- Località: VICENZA
Ciao,
hai ragione in parte, nel senso che nelle configurazioni che trovi non c'è uno stralcio di access list per qualche sicurezza però sono più mirate ai problemi di connessione, nel senso, una volta risolti quelli puoi pensare alla sicurezza.
se tu leggi gli altri topic più o meno quel problema viene ricoperto, io per dirti mi ingegno un pò da solo su come fare, ogni tanto chiedo aiuto qua... ecco tutto!
hai ragione in parte, nel senso che nelle configurazioni che trovi non c'è uno stralcio di access list per qualche sicurezza però sono più mirate ai problemi di connessione, nel senso, una volta risolti quelli puoi pensare alla sicurezza.
se tu leggi gli altri topic più o meno quel problema viene ricoperto, io per dirti mi ingegno un pò da solo su come fare, ogni tanto chiedo aiuto qua... ecco tutto!
-
leiz83
- Cisco fan
- Messaggi: 30
- Iscritto il: ven 26 ago , 2005 12:38 am
- Località: Cesena
Ok... bisogna arrangiarsi... io ho provato a creare delle access list, ma poi quando le andavo ad applicare utilizzando il comando ip group access il router smette farmi navigare... consigli? questa è l'ultima configurazione funzionante...
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
-
dimi82
- Cisco power user
- Messaggi: 89
- Iscritto il: mer 13 lug , 2005 8:07 am
- Località: VICENZA
Allora,
Con l'access list 100 impedisci connessioni telnet dalla rete 10.198.29.0 a qualsiasi destinazione ed è corretta.
Con l'access list 101 impedisci connessioni telnet da qualsiasi sorgente a qualsiasi destinazione.
ACL 100 e 101 non sono applicate in nessuna interfaccia.
Il tuo router risulta con la porta telnet aperta, basta conoscere indirizzo IP e sarei già al prompt x la password da telnet perchè entro dalle linee VTY, le quali hanno si una password ma non hanno ACL per protezione.
Il router smette di farti navigare perchè con:
access-list 100 permit tcp 10.198.29.0 0.0.0.255 any eq telnet
permetti solo connessioni telnet da quella rete a qualsiasi destinazione. se applicata sulla ethernet 0, non navighi piu'.
access-list 101 deny tcp any any eq telnet
idem per questa.
Tu permetti o neghi SOLO il traffico telnet. Il router testa le righe dell'acl una ad una. se alla prima non trova una corrispondenza, passa alla seconda, se non trova passa alla terza e così via. se non trova nulla di corrispondente, scarta il pacchetto. Se invece trova la corrispondenza verifica se è permessa o no ed agisce facendo il routing del pacchetto.
In questo caso lui vede che tu neghi il traffico telnet, dopo quella istruzione non ce ne sono altre, c'è un implicit deny, cioè una negazione implicita, quindi scarta il pacchetto. Per navigare dovresti aggiungere ad esempio alla prima un "permit ip any any" così limiti le connessioni telnet, mentre permetti la navigazione internet.
Dipende molto da dove applichi la ACL e in che direzione IN o OUT la fai lavorare.
Fammi sapere se hai ancora bisogno, son sempre qua!
PS: per altri lettori del forum: se ho sparato qualche minchiata, scrivete!
ho scritto un pò di corsa...
Con l'access list 100 impedisci connessioni telnet dalla rete 10.198.29.0 a qualsiasi destinazione ed è corretta.
Con l'access list 101 impedisci connessioni telnet da qualsiasi sorgente a qualsiasi destinazione.
ACL 100 e 101 non sono applicate in nessuna interfaccia.
Il tuo router risulta con la porta telnet aperta, basta conoscere indirizzo IP e sarei già al prompt x la password da telnet perchè entro dalle linee VTY, le quali hanno si una password ma non hanno ACL per protezione.
Il router smette di farti navigare perchè con:
access-list 100 permit tcp 10.198.29.0 0.0.0.255 any eq telnet
permetti solo connessioni telnet da quella rete a qualsiasi destinazione. se applicata sulla ethernet 0, non navighi piu'.
access-list 101 deny tcp any any eq telnet
idem per questa.
Tu permetti o neghi SOLO il traffico telnet. Il router testa le righe dell'acl una ad una. se alla prima non trova una corrispondenza, passa alla seconda, se non trova passa alla terza e così via. se non trova nulla di corrispondente, scarta il pacchetto. Se invece trova la corrispondenza verifica se è permessa o no ed agisce facendo il routing del pacchetto.
In questo caso lui vede che tu neghi il traffico telnet, dopo quella istruzione non ce ne sono altre, c'è un implicit deny, cioè una negazione implicita, quindi scarta il pacchetto. Per navigare dovresti aggiungere ad esempio alla prima un "permit ip any any" così limiti le connessioni telnet, mentre permetti la navigazione internet.
Dipende molto da dove applichi la ACL e in che direzione IN o OUT la fai lavorare.
Fammi sapere se hai ancora bisogno, son sempre qua!
PS: per altri lettori del forum: se ho sparato qualche minchiata, scrivete!
ho scritto un pò di corsa...-
dimi82
- Cisco power user
- Messaggi: 89
- Iscritto il: mer 13 lug , 2005 8:07 am
- Località: VICENZA
ciao,
nessun problema. allora per EVITARE QUALSIASI CONNESSIONE AL DI FUORI DELLA LAN devi tener presente che le connessioni telnet al router vanno ad agganciarci alle cosidette linee vty (ce ne sono 5: 0-1-2-3-4).
Tra l'altro dal nome del tuo router deduco che hai un SOHO 77 uguale al mio.
Io ho semplicemente messo questa access-list:
access-list 5 deny any
cioè nega tutto subito
i comandi sono i seguenti (scritti in ordine di battitura):
enable
configure terminal
access-list 5 deny any
line vty 0
access-class 5 in
line vty 1
access-class 5 in
line vty 2
access-class 5 in
line vty 3
access-class 5 in
line vty 4
access-class 5 in
qualcuno scrive line vty 04 ma mi pare (ripeto, mi pare) che prenda solo la vty 0, non tutte e 4, quindi x sicurezza ripeto i comandi x tutte le linee.
In questo modo non ti puoi collegare in telnet nemmeno te all'interno della lan, presumo tu usi il cavo specifico blu che da una parte ha la seriale, dall'altra ha il jack per la scheda di rete.
Io per esempio ho fatto che mi possa collegare alla vty 0 da un pc della rete utilizzando la lan e basta.
Nota bene questo: ogni linea vty corrisponde ad una connessione. se tu ad esempio abiliti SOLO la vty 0 ad essere raggiunta da 2 pc all'interno della tua lan, ti colleghi con uno dei due, il secondo non si collegherà mai in quanto trova occupata la prima vty.
se hai problemi, fai un fischio!
ciao!
nessun problema. allora per EVITARE QUALSIASI CONNESSIONE AL DI FUORI DELLA LAN devi tener presente che le connessioni telnet al router vanno ad agganciarci alle cosidette linee vty (ce ne sono 5: 0-1-2-3-4).
Tra l'altro dal nome del tuo router deduco che hai un SOHO 77 uguale al mio.
Io ho semplicemente messo questa access-list:
access-list 5 deny any
cioè nega tutto subito
i comandi sono i seguenti (scritti in ordine di battitura):
enable
configure terminal
access-list 5 deny any
line vty 0
access-class 5 in
line vty 1
access-class 5 in
line vty 2
access-class 5 in
line vty 3
access-class 5 in
line vty 4
access-class 5 in
qualcuno scrive line vty 04 ma mi pare (ripeto, mi pare) che prenda solo la vty 0, non tutte e 4, quindi x sicurezza ripeto i comandi x tutte le linee.
In questo modo non ti puoi collegare in telnet nemmeno te all'interno della lan, presumo tu usi il cavo specifico blu che da una parte ha la seriale, dall'altra ha il jack per la scheda di rete.
Io per esempio ho fatto che mi possa collegare alla vty 0 da un pc della rete utilizzando la lan e basta.
Nota bene questo: ogni linea vty corrisponde ad una connessione. se tu ad esempio abiliti SOLO la vty 0 ad essere raggiunta da 2 pc all'interno della tua lan, ti colleghi con uno dei due, il secondo non si collegherà mai in quanto trova occupata la prima vty.
se hai problemi, fai un fischio!
ciao!
-
elaphae_3
- n00b
- Messaggi: 18
- Iscritto il: dom 04 set , 2005 1:04 pm
scusa una domanda: ma questa access-list praticamente lascia passare solo il telnet dall'host in questione, bloccando qualsiasi altro protocollo?...quindi non posso andare neanche in internet (correggimi se sbaglio).
se faccio così va bene?
access-list 5 permit x.x.x.x x.x.x.x
line vty 0 4
access-class 5 in
così da qualunque pc della rete posso accedere con telnet, ma dall'esterno nessuno può entrare.
un'altra domanda: volendo limitare l'accesso via web solo dalla rete locale, su quale interfaccia dovrei configurare l'access-list?
grazie mille
se faccio così va bene?
access-list 5 permit x.x.x.x x.x.x.x
line vty 0 4
access-class 5 in
così da qualunque pc della rete posso accedere con telnet, ma dall'esterno nessuno può entrare.
un'altra domanda: volendo limitare l'accesso via web solo dalla rete locale, su quale interfaccia dovrei configurare l'access-list?
grazie mille
-
andrewp
- Messianic Network master
- Messaggi: 2199
- Iscritto il: lun 13 giu , 2005 7:32 pm
- Località: Roma
Blocchi qualsiasi protocollo che non sia il telnet da quell'host....però la applichi solo alle vty 0 4, le acl per la connessione sono altre...elaphae_3 ha scritto:scusa una domanda: ma questa access-list praticamente lascia passare solo il telnet dall'host in questione, bloccando qualsiasi altro protocollo?...quindi non posso andare neanche in internet (correggimi se sbaglio).
No, è un acl mozzata.elaphae_3 ha scritto:se faccio così va bene?
access-list 5 permit x.x.x.x x.x.x.x
line vty 0 4
access-class 5 in
ethernet 0elaphae_3 ha scritto:un'altra domanda: volendo limitare l'accesso via web solo dalla rete locale, su quale interfaccia dovrei configurare l'access-list?
grazie mille
Ciao.
Manipolatore di bit.
-
leiz83
- Cisco fan
- Messaggi: 30
- Iscritto il: ven 26 ago , 2005 12:38 am
- Località: Cesena
volevoringraziare chi mi ha consigliato di chiudere le conessioni vty x utilizzare la seriale... soprattutto xkè in questo momento la seriale non risponde... sono sicuro che non sia un problema di velocità (avevo salvato la connessione hyper terminal e cmq le ho provate tutte) o di seriale del mio computer. Domani provo un altro cavo. Io al momento sto navigando tranquilamente (non dovrebbe essersi fatto qlcosa il router). Esiste qualche altro modo x resettare il router se sono state chiuse tutte le vty, è stato chiuso l'http server, l'https non è attivo e la porta nn funziona?
-
elaphae_3
- n00b
- Messaggi: 18
- Iscritto il: dom 04 set , 2005 1:04 pm
anche io ho problemi con la seriale. se già non l'hai fatto, prova a fare tasto destro su risorse del computer - gestione - gestione periferiche - fai click sul + accanto a porte COM e LPT - con il tasto destro disattiva la Com1. ti chiederà di riavviare. dopo aver riavviato rientra in gestione periferiche e riattiva la suddetta porta com1. ti dovrebbe funzionare per un pò ma è una questione di driver della scheda madre.
ciao
ciao
