Ciao ragazzi,
ho letto alcuni thread del forum riguardanti la configurazione del firewall, ma volevo effettuare un confronto con voi.
E' ovvio che ogni configurazione di rete e politica di sicurezza fa storia a se, vorrei però creare una configurazione minima, che possa essere usata da tutti, per proteggersi da eventuali attacchi esterni a prescindere dalle rete che vi è dietro.
Per far ciò perchè non postate le configurazioni che ritenete debbano essere inserite obbligatoriamente nella configurazione del firewall e le discutiamo insieme.
Io possiedo un Cisco SOHO 97 ed ancora non ho configurato la parte firewall e vorrei iniziare con voi.
Grazie a tutti
P1pp0
Configurazine base del Firewall
Moderatore: Federico.Lagni
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Ci sono varie cose che si possono implementare ed essere troppo generici nell'implementazione di un firewall, non è mai una cosa apprezzabile. Facci un'idea di cosa hai bisogno con un po' di dettaglio
-
P1pp0
- Cisco fan
- Messaggi: 46
- Iscritto il: mar 26 apr , 2005 6:09 pm
- Località: Palermo
La mia configurazione attuale e semplice, vi sono tre PC ed un access point connessi al router mediante switch.
Una dei PC deve utilizzare le porte 4662 4672, gli altri (atttualmente) devo solo effettuare HTTP ed FTP.
Le protezioni che intendo attivare riguardano l'utilizzo di porte da parte di trojan, virus, possibili attacchi DoS, insomma un minimo di "riparo" per non essere troppo "aperti" in internet.
Grazie
Una dei PC deve utilizzare le porte 4662 4672, gli altri (atttualmente) devo solo effettuare HTTP ed FTP.
Le protezioni che intendo attivare riguardano l'utilizzo di porte da parte di trojan, virus, possibili attacchi DoS, insomma un minimo di "riparo" per non essere troppo "aperti" in internet.
Grazie
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Per prima cosa, ti consiglio di dare un'occhiata a: http://www.ciscoforums.it/viewtopic.php?t=402 di modo che ciò che segue non apparirà come magia nera.
Poi, vediamo di fare un po' di policy setting. Normalmente sono abituato a fare un filtraggio in due fasi, una (la prima) in logica negata, la seconda in positiva.
La prima, che viene assegnata all'ingresso dell'interfaccia wan, sia Dialer o ATM0.x, si occupa di gettare tutto quello che sicuramente non serve.
La seconda, funziona esattamente al contrario.
Vediamo la prima, passo passo.
FATTO 1: dentro questa rete non ci sono dei server, quindi tutte le porte inferiori alla 1024, vanno bloccate:
Poi, non da sottovalutare, stronchiamo tutti gli ICMP che sicuramente non servono: redirects, information-request.
Poi, se vogliamo essere puntigliosi e abbiamo motivo di farlo, assicuriamoci che ospf non passi, evitando così problemi di misconfigurazione:
Non dimentichiamo poi di far passare tutto il resto con:
Assegnamo la 101 alla nostra interfaccia WAN in direzione IN.
FATTO 2: l'utenza della rete utilizzerà due DNS
FATTO 3 : dentro questa rete gli utenti che fanno richiesta di dati, devono riceverli.
FATTO 4 : dentro questa rete, una macchina utilizza l'eDonkey Network, porte TCP/4662, UDP/4672.
Assolviamo alla pendenza 2:
Assolviamo alla pendenza 3:
Assolviamo quindi alla pendenza 4:
Ammettendo che l'host che usa eDonkey sia 192.168.0.10.
Applichiamo la 102 all'interfaccia LAN (tipicamente ethernetX) in direzione OUT.
Il packet filter è fatto. Se poi vogliamo abilitare il firewall di application-layer, creiamo una lista di inspect con i protocolli che ci sono utili, per esempio:
E applichiamola quindi alla ethernetX in senso OPPOSTO a quello in cui avviene il packet filtering. Nel caso specifico IN.
Qualsiasi dubbio, sono qui
Poi, vediamo di fare un po' di policy setting. Normalmente sono abituato a fare un filtraggio in due fasi, una (la prima) in logica negata, la seconda in positiva.
La prima, che viene assegnata all'ingresso dell'interfaccia wan, sia Dialer o ATM0.x, si occupa di gettare tutto quello che sicuramente non serve.
La seconda, funziona esattamente al contrario.
Vediamo la prima, passo passo.
FATTO 1: dentro questa rete non ci sono dei server, quindi tutte le porte inferiori alla 1024, vanno bloccate:
Codice: Seleziona tutto
access-list 101 deny tcp any any lt 1024
access-list 101 deny udp any any lt 1024Codice: Seleziona tutto
access-list 101 deny icmp any any redirects
access-list 101 deny icmp any any information-requestCodice: Seleziona tutto
access-list 101 deny ospf any anyCodice: Seleziona tutto
access-list 101 permit ip any anyFATTO 2: l'utenza della rete utilizzerà due DNS
FATTO 3 : dentro questa rete gli utenti che fanno richiesta di dati, devono riceverli.
FATTO 4 : dentro questa rete, una macchina utilizza l'eDonkey Network, porte TCP/4662, UDP/4672.
Assolviamo alla pendenza 2:
Codice: Seleziona tutto
access-list 102 permit udp host <dns_primario> eq domain any
access-list 102 permit udp host <dns_secondario> eq domain anyCodice: Seleziona tutto
access-list 102 permit tcp any any establishedCodice: Seleziona tutto
access-list 102 permit tcp any host 192.168.0.10 eq 4662
access-list 102 permit udp any host 192.168.0.10 eq 4672Applichiamo la 102 all'interfaccia LAN (tipicamente ethernetX) in direzione OUT.
Il packet filter è fatto. Se poi vogliamo abilitare il firewall di application-layer, creiamo una lista di inspect con i protocolli che ci sono utili, per esempio:
Codice: Seleziona tutto
ip inspect name fw h323
ip inspect name fw ftp
ecc.ecc.Qualsiasi dubbio, sono qui
-
P1pp0
- Cisco fan
- Messaggi: 46
- Iscritto il: mar 26 apr , 2005 6:09 pm
- Località: Palermo
Ho creato le access-list.
Io nella mia configurazione
le access-list 101 dovrei caricarla nel Dialer1 e la 102 nel Ethernet0 ma che comando devo usare???
Per le line VTY usavo
nelle interfacce esiste il comando "access-expression" è quallo giusto??
Io nella mia configurazione
Codice: Seleziona tutto
....
interface Ethernet0
ip address 192.168.0.1 255.255.255.128
ip nat inside
ip tcp adjust-mss 1452
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 8/35
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username xxx password 7 xxxxx
....
Per le line VTY usavo
Codice: Seleziona tutto
access-class 101 in
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
no, il comando è ip access-group.
Quindi la 101 è:
la 102 è:
non salvare subito la configurazione ma provala prima, metti che mi sono dimenticato qualcosa.
Quindi la 101 è:
Codice: Seleziona tutto
int dialer1
ip access-group 101 in
Codice: Seleziona tutto
int e0
ip access-group 102 out-
P1pp0
- Cisco fan
- Messaggi: 46
- Iscritto il: mar 26 apr , 2005 6:09 pm
- Località: Palermo
Ho provato ad inserire le access-list come mi avevi descritto ma non ha funzionato.
Penso che sia un problema della mia configurazione in quanto, essendo la prima volta che configuro un router cisco, avrò commesso un errore e inserendo i comandi, da te consigliati, non mi permette di accedere ad internet da qualsiasi computer.
Grazie
Penso che sia un problema della mia configurazione in quanto, essendo la prima volta che configuro un router cisco, avrò commesso un errore e inserendo i comandi, da te consigliati, non mi permette di accedere ad internet da qualsiasi computer.
Grazie
Codice: Seleziona tutto
Building configuration...
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router_Casa
!
boot-start-marker
boot system flash soho97-k9oy1-mz.123-4.T4.bin
boot-end-marker
!
logging buffered informational
enable secret 5 xxxxx
!
username xxxx
ip subnet-zero
ip name-server 212.216.112.112
ip name-server 212.216.172.62
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 192.168.0.129
!
ip dhcp pool CLIENT
import all
network 192.168.0.0 255.255.255.128
default-router 192.168.0.1
dns-server 212.216.112.112 212.216.172.62
lease 0 2
!
!
!
ip ssh break-string
no aaa new-model
!
!
!
no crypto isakmp enable
!
!
!
!
interface Ethernet0
ip address 192.168.0.129 255.255.255.128 secondary
ip address 192.168.0.1 255.255.255.128
ip nat inside
ip tcp adjust-mss 1452
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 8/35
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username xxxx password 7 xxxx
!
ip nat inside source list 101 interface Dialer1 overload
ip nat inside source static udp 192.168.0.100 4672 interface Dialer1 4672
ip nat inside source static tcp 192.168.0.100 4662 interface Dialer1 4662
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
!
access-list 101 permit ip host 192.168.0.100 any
access-list 101 permit ip host 192.168.0.101 any
access-list 101 permit ip host 192.168.0.102 any
access-list 103 deny ip any any
!
control-plane
!
!
line con 0
exec-timeout 120 0
no modem enable
transport preferred all
transport output all
stopbits 1
line aux 0
transport preferred all
transport output all
stopbits 1
line vty 0
access-class 101 in
exec-timeout 120 0
password 7 xxxxxxx
login local
length 0
transport preferred all
transport input all
transport output all
line vty 1 4
access-class 103 in
exec-timeout 120 0
login local
length 0
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
!
end
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
signori, cerchiamo di essere un po' flessibili 
forse hai sostituito la 101 che avevi originariamente con la mia? no no, calma, la 101 deve restare tale e quale a quella appena postata. Prenditi i primi posti liberi, tipo 104 e 105.
In più, non ricordavo (o sapevo) dovessi usare DHCP, in questo caso dobbiamo aprire la lista cheva su ethernet0 perché dhcp filtri... qualcuno vuole provare o devo dirlo io?
forse hai sostituito la 101 che avevi originariamente con la mia? no no, calma, la 101 deve restare tale e quale a quella appena postata. Prenditi i primi posti liberi, tipo 104 e 105.
In più, non ricordavo (o sapevo) dovessi usare DHCP, in questo caso dobbiamo aprire la lista cheva su ethernet0 perché dhcp filtri... qualcuno vuole provare o devo dirlo io?
-
marchack
- Cisco fan
- Messaggi: 49
- Iscritto il: lun 06 set , 2004 11:44 pm
mah proviamo un po a suggerire:
dovrebbe essere sufficente "permettere" la porta usata dal protocollo bootps
Codice: Seleziona tutto
access-list 102 permit udp any any eq 67
-
P1pp0
- Cisco fan
- Messaggi: 46
- Iscritto il: mar 26 apr , 2005 6:09 pm
- Località: Palermo
Quindi, riepilogando, lascio la configurazione attuale ed aggiungo le nuove access-list.
Un consgilio, per un piccolo ufficio, senza server web o mail, può bastare configurare il router da firewall o consigliate sempre l'acquisto di un firewall hardware specifico (es. Checkpoint)??
Grazie a presto
Un consgilio, per un piccolo ufficio, senza server web o mail, può bastare configurare il router da firewall o consigliate sempre l'acquisto di un firewall hardware specifico (es. Checkpoint)??
Grazie a presto
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
beh, in linea di massima, ammettendo che i sistemi nei pc siano sempre aggiornati e che le persone che li usano siano sufficientemente responsabili, direi che un firewall dedicato è decisamente esagerato
