Zone-pairs

[emanuele.ciani]

Avete mai configurato delle security zone su isr 18xx?

Avete per caso riferimenti utili per queste configurazioni

Grazie

[MaiO]

Cosa intendi per le security zones? Una DMZ? Su che interfaccia ti interessa configurarle? posta la configurazione e spiega meglio le tue esigenze.

Ciao

P.S.
Ma poi che domanda è "l'avete fatto"???

[emanuele.ciani]

Ciao

Ho un isr 1841 con una Wic con 4 Fast eth

Sto cercando di fare una configurazione dove utilizzo l'inspect per il traffico verso internet , evitando che mi faccia l'inspect per le 3 vpn ipsec che ho dove ho qualche problema con applicazioni "fatte in casa " che negoziano delle porte dinamiche non seguendo lo standard tcp .
Ho trovato su Cisco.com dei documenti che parlano di Security Zone,
attraverso Class-map , policy-map applicate a zone-pairs si dovrebbe riuscire a classificare il traffico da passara al CBAC. Ci sto lavorando appena tiro fuori una configurazione abbastanza funzionante la posto.

Ti chiedo se conosci un'altro metodo per evitare che il CBAC prenda in carico anche il traffico diretto a una VPN ipsec.

Grazie

[MaiO]

In teoria non la dovrebbe prendere, cmq dipende dalla configurazione.

Posta la config (anche una bozza) e poi vediamo se, perche e come.

Ciao

[emanuele.ciani]

ti posto la conf
Se attivo il fw alcuni programmi non funzionano più fra le sedi in VPN questo mi fa pensare che i router ispezioni anche il traffico diretto alla VPN, stessa situazione con due pix funziona perfettamente.


ip inspect name FWZONE1 ftp
ip inspect name FWZONE1 h323
ip inspect name FWZONE1 netshow
ip inspect name FWZONE1 rcmd
ip inspect name FWZONE1 realaudio
ip inspect name FWZONE1 rtsp
ip inspect name FWZONE1 smtp
ip inspect name FWZONE1 sqlnet
ip inspect name FWZONE1 streamworks
ip inspect name FWZONE1 tftp
ip inspect name FWZONE1 tcp
ip inspect name FWZONE1 udp
ip inspect name FWZONE1 vdolive
ip inspect name FWZONE1 icmp

no ip ips deny-action ips-interface
!
!
!

!
!
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key pippopippopippo address aaaaaaaaaa
crypto isakmp key lkjsdflkjsdf0934oiflk address bbbbbbbbbb
!
!
crypto ipsec transform-set qqqq esp-des esp-md5-hmac
!
crypto map vpn_1 local-address Loopback0
crypto map vpn_1 11 ipsec-isakmp
set peer aaaaaaaaaaaa
set transform-set qqqq
match address 196
crypto map vpn_1 13 ipsec-isakmp
set peer bbbbbbbbbbbb
set transform-set qqqq
match address 198
!
!
!
!
interface Loopback0
ip address nnnnnnnnnnnnnn
ip nat outside
ip virtual-reassembly
!
interface FastEthernet0/0

ip address 192.168.28.254 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
half-duplex
no cdp enable
!


!
interface FastEthernet0/1/0
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!

!
interface ATM0/0/0.1 point-to-point
ip address oiuoiuoiuouoi
ip nat outside
ip virtual-reassembly
ip inspect FWZONE1
ip access-group 102 in
crypto map vpn_1
pvc 8/35
encapsulation aal5snap
!
!

!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0/0/0.1
!
!

ip nat inside source list 110 interface Loopback0 overload
ip nat inside source static tcp 192.168.28.12 25 zzzzzz 25 extendable
ip nat inside source static tcp 192.168.28.12 1723 zzzzz 1723 extendable
ip nat inside source static 192.168.1.253 zzzzzz extendable
!




access-list 102 permit esp any any
access-list 102 permit udp any any eq isakmp
access-list 102 permit ip 192.168.90.0 0.0.0.255 192.168.28.0 0.0.0.255
access-list 102 permit ip 192.168.50.0 0.0.0.255 192.168.28.0 0.0.0.255
access-list 102 deny ip any any log


access-list 110 deny ip 192.168.28.0 0.0.0.255 192.168.90.0 0.0.0.255
access-list 110 deny ip 192.168.28.0 0.0.0.255 192.168.50.0 0.0.0.255
access-list 110 permit ip 192.168.28.0 0.0.0.255 any


access-list 196 permit ip 192.168.28.0 0.0.0.255 192.168.50.0 0.0.0.255
access-list 198 permit ip 192.168.28.0 0.0.0.255 192.168.90.0 0.0.0.255
no cdp run
!
!
!

[MaiO]

Le site to site sul ios non sono il mio forte (non le ho studiate mai a fondo, perche non avevo questa neccessità) però sono curioso. Stasera faccio qualche rova nel lab e ti faccio sapere.

Ciao

[emanuele.ciani]

Grazie

Anche io questa sera provo a implementare questa novità di zone-pairs se arrivo a qualche conclusione la posto

Ciao

[Wizard]

Dove e come lo applichi l' ip inspect?
Applicalo alla ATM0/0/0.1 in out:

conf t
int ATM0/0/0.1
ip inspect FWZONE1 out

Così non dovresti ispezionare il traffico dalla sede remota.
Inoltre abilita il log per l'ip inspect:

ip inspect log drop-pkt
ip inspect audit-trail

Con uno "sh log" hai un po' di informazioni.
Non ti dimenticare di aggiornare la IOS!

Facci sapere!

[emanuele.ciani]

Ho omesso l'out nella inspect perchè adesso sta funzionado senza Firewall e l'ho aggiunto a mano nel post

Ma durante i test sia l'acl che l'inpect sono sulla ATM0/0/0.1 point-to-point

ip inspect FWZONE1 out
ip access-group 102 in

[emanuele.ciani]

Bastarde Zone-pairs !!!!

Ricordate questo post se mai utilizzerete le zone

Se avete una nat interna per un qualche servizio es http se volete limitare il traffico aggiungendo alla classe anche un'access-list otre che ai protocolli di inspect , dovete permettere tutto il traffico verso l'indirizzo ip privato del server che avete nattato e non come per il vecchi o buon CBAC dove nell'access-list di perimetro bisogna va specificare il protocollo verso l'ip pubblico.

Appena ho due minuti faccio un PDF con un pò di descrizioni e ve lo mando se volete

P.S ora con le Zone riesco a escludere il traffico verso le VPN dall'inspect

[Wizard]

Grande, se fai un documento lo studiamo volentieri!
Grazie