Pagina 1 di 2
Firewall su 837
Inviato: lun 13 giu , 2005 2:16 pm
da aries58net
Mi hanno chiesto di impostare il firewall su un 837 che abbiamo in ditta, che consenta di navigare e di usare FTP (come client..)....dopo essermi letto un po di CISCO IOS in a NUTSHELL ho partorito questa conf che riporto..vorrei sapere se c'e' qualche errore grossolano o no ....a me pare che funzioni
Codice: Seleziona tutto
!
version 12.1
service nagle
no service pad
service tcp-keepalives-in
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname CISCO
!
logging buffered 4096 debugging
enable secret (HASHED PASSWORD)
!
!
!
!
!
ip subnet-zero
no ip source-route
no ip finger
no ip domain-lookup
ip domain-name router.lugo.it
ip name-server x.x.x.x
ip name-server y.y.y.y
!
no ip bootp server
ip inspect name FW h323
ip inspect name FW smtp
ip inspect name FW tcp
ip inspect name FW udp
ip inspect name FW fragment maximum 256 timeout 1
ip inspect name FW tftp
ip inspect name FW ftp
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
!
!
interface Ethernet0
ip address a.b.c.d 255.255.255.0
ip access-group 111 out
ip nat inside
ip inspect FW in
no cdp enable
!
interface ATM0
no ip address
load-interval 30
no atm ilmi-keepalive
bundle-enable
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
bandwidth 640
ip address (STATIC IP) 255.255.255.252
ip nat outside
pvc 8/35
encapsulation aal5snap
!
!
ip nat inside source route-map web interface ATM0.1 overload
ip nat inside source static a.c.d.c s.s.s.s
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip route x.x.x.x 255.255.255.0 (OTHER ROUTER IN THE LAN)
ip route y.y.y.y 255.255.255.0 (OTHER ROUTER IN THE LAN)
ip http server
!
access-list 1 permit 192.168.100.0 0.0.0.255
access-list 2 permit any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any any eq ntp
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit tcp any any established
access-list 111 permit udp any eq domain any
no cdp run
route-map web permit 10
match ip address 1
match interface ATM0.1
!
snmp-server engineID local XXXXXXXXXXXXXXXXXXXXXX
snmp-server community public RO
!
line con 0
password XXXXXXXXXXXXXX
login
transport input none
stopbits 1
line vty 0 4
access-class 2 in
password XXXXXXXXXXXXXX
login
!
no scheduler max-task-time
end
Fatemi sapere !!!!! TIA
Inviato: lun 13 giu , 2005 4:12 pm
da TheIrish
1. Fra gli icmp che hai permesso tramite la lista 111, la maggior parte sono delle risposte. Ora, fra gli ip inspect a tua disposizione ci dovrebbe essere anche icmp...
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
Perché? A chi potrebbe interessare lì fuori?
Per il resto la 111 va bene.
Un'altra cosa, non pensi sia il caso di proteggere il router da configuratori folli. Io metterei qualcosa sull'atm0.1 in, giusto per precauzione.
Inviato: lun 13 giu , 2005 5:33 pm
da aries58net
Ma...per quel che ne no è possibile mettere delle inspect sull ICMP ....non è proprio previsto dal CBAC che non vede per niente quel protocollo....correggimi se sbaglio...!
per il resto ho applicato sia le inspect che le access-list alla ethernet0...pensando fosse lo stesso che in qualsiasi altra interfaccia ( beh quasi...ci siamo capiti..)e quel che conta e' azzeccare il verso giusto.....
avrei fatto meglio applicare l'access-list alla atm0.1 ...? o cosaltro ???...Acc!! il CBAC comincia a essere dannatamente difficile!!!!!!
Inviato: lun 13 giu , 2005 8:23 pm
da aries58net
Che differenza faceva se applicavo le inspect e le access list all'interfaccia atm0.1 invece che sull'e0????
Inviato: lun 13 giu , 2005 8:43 pm
da marckalex
Re:
Ciao,
mi permetto di fare un'osservazione :
Tua frase : Mi hanno chiesto di impostare il firewall su un 837 che abbiamo in ditta, che consenta di navigare e di usare FTP (come client..)....
il buon senso detta che è piu sensato permettere solo quello che serve dalla lan verso internet e/o verso le varie destinazioni e negare tutto il resto....dato che è poco utile generare la richiesta lasciare che entri nel router per rigettarla...dato che, come da corso CCNA, si tende a bloccare vicino alla sorgenti.
Inoltre sulla atm, dialer o sub int atm...permettere solo quello che serve e negare il resto..questo primo perche il NAT è una falsa sicurezza, inoltre evitiamo stravasi di traffico inutile e/o tossico da internet verso la LAN...inoltre eventuali prob anche di spoofing, ecc.
Le funzioni di FW, a mio avviso..,sono reltivamente utili specialmente se nn ti tengono servizi permeneti su internet. Inspect e audit solo da traffico nativo da internet verso una DMZ o una LAN.
By Marckalex
Inviato: mar 14 giu , 2005 8:09 am
da aries58net
OK mi hai convinto .....credo che cosi' sia piu' corretto: (a proposito quella riportata e' la conf di un 827, quella dell'837 pero' e' eguale!!!) ....finora tutto sembra funzionare al meglio....
Se avete qualche consiglio per migliorare....sono tutto orecch!!!!
Codice: Seleziona tutto
interface ATM0.1 point-to-point
bandwidth 640
ip address (STATIC IP) 255.255.255.252
ip inspect FW out
ip access-group 111 in
ip nat outside
pvc 8/35
encapsulation aal5snap
!
Inviato: mar 14 giu , 2005 8:16 am
da TheIrish
Che differenza faceva se applicavo le inspect e le access list all'interfaccia atm0.1 invece che sull'e0????
dal tuo punto di vista, relativamente poco, ma sai, è una questione di approccio.
In presenza di NAT delle acl su un'interfaccia esterna hanno "proprietà" diverse da quelle posizionate su un interfaccia interna.
Per esempio (sempre nel caso di NAT), se poni delle ACL sull'interfaccia esterna, ti sarà impossibile discriminare le destinazioni. In altre parole non puoi dire, "...solo se va verso 192.168.0.10" perché il router ancora non conosce gli indirizzi interni (come non conosce le sorgenti in senso opposto).
D'altra parte però, se poni delle ACL sull'interfaccia esterna, ti sarà possibile filtrare il traffico ancor prima che esso "tocchi" il router.
In linea di massima, io lavoro in questo modo:
sull'interfaccia esterna metto una acl che filtra tutto quello che SICURAMENTE non deve entrare, in soldoni (se non ho server interni, falcio le porte inferiori alla 1024) e in più falcio tutti i servizi con i quali il router sarebbe in grado di parlare, ma non voglio che lo faccia (tipo telnet e affini).
sull'interfaccia interna, invece, metto un'altra acl che funziona esattamente al contrario. Di politica base nega tutto, eccetto il traffico di ritorno, i dns ecc. ecc.
sempre sull'interfaccia interna, mi è possibile dire al router quali servizi possono essere utilizzati dalla lan (navigare web, (dest: 80) posta (dest 25) ) ecc. lo faccio qui, di modo che i dati possano essere filtrati prima che "entrino" nel router e siano sottoposti a nat per poi magari essere scartati più avanti.
spero di essere stato chiaro
Inviato: mar 14 giu , 2005 8:42 am
da aries58net
Chiaro.....Se tu potessi farmi un esempio pratico,magari in relazione alla conf che ho postato, te ne sarei grato (della serie:un esempio vale piu' di mille discorsi!!!!!)
TIA
Inviato: mar 14 giu , 2005 9:52 am
da marckalex
Re:
Io in una situazione normale di router che si limita all'accesso/NAT/minima sicurezza necessaria...la metto cosi per quanto riguada l'ACL...ovviamente ipotizando che la LAN sia intesa sicura e senza gente che fa cose strane.....le limitazioni per la LAN sono a personalizzazione :
!
ip access-list extended inside-lan
permit ip 192.168.0.0 0.0.0.255 any
permit icmp 192.168.0.0 0.0.0.255 any
deny tcp any any range 135 139
deny udp any any range 135 netbios-ss
deny ip any any
remark *** Inside ACL for Local LAN ***
remark *********************************
!
!
ip access-list extended outside-wan
permit tcp any any gt 1023 established
permit tcp any eq ftp-data any gt 1023
permit udp host NTP_Server_PUB any eq ntp
permit udp host NTP2_Server_PUB any eq ntp
permit icmp any any echo-reply
permit icmp any any packet-too-big
permit icmp any any time-exceeded
deny icmp any any redirect
deny icmp any any information-reply
deny icmp any any information-request
deny icmp any any mask-reply
deny icmp any any mask-request
deny icmp any any fragments
deny icmp any any net-tos-redirect
deny icmp any any ttl-exceeded
deny icmp any any source-route-failed
deny ip 10.0.0.0 0.255.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 224.0.0.0 0.255.255.255 any
deny pim any any log
deny tcp any any range 135 139
deny udp any any range 135 netbios-ss
deny ip any any
remark ****** Internet Outside ACL ******
remark **********************************
!
In sostanza la outside permette l'ftp attivo, ha l'antispoofing, protegge dai vari icmp dannosi, liquida lo schifo traffico del mondo M$ che viene da internet, il pim degli ISP e permette la sync con gli ntp server...già così si puo vivere con un po di tranquillità.
Naturalmente sfruttando le capacità statefull di IOS, si creano dinamicamente le ACL di ritorno per i pacchetti nati dalla LAN verso Ineternet.
By Marckalex - Cisco Systems Engineer
Inviato: mar 14 giu , 2005 10:04 am
da aries58net
Grazie per la dritta!!!
cmq mi sembra che in linea di massima, a parte qualche correzione, la mia conf possa andare...
Inviato: mar 14 giu , 2005 10:21 am
da aries58net
Capisco la Vs politica .....Ma in soldoni ...la mia conf è da stravolgere TUTTA ?(spero di no) o ....Insomma visto che finora funziona...vorrei sapere Quale accorgimentro in piu' posso usare per NON stravolgerla ( tenete presente che e' una macchiana che serve per Internet ,FTP, email e serve circa 7/8client...che eseguono normali operazioni di routine ...e oni tanto scaricano la posta ,navigano saltuariamente su internet, mentre solo 1 client usa l'FTP ).....btw..alla fine della 111 ho msso un deny ip any any esplicito ..cosi' non mi logga niente....
Inviato: mar 14 giu , 2005 11:36 am
da aries58net
BTW
deny ip 127.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 224.0.0.0 0.255.255.255 any
sono queste le linee che impediscono lo spoofing ....non dovrebbero essere in una outbound?...o mi sfugge pesantemente qu
alcosa!!!!
Inviato: mar 14 giu , 2005 11:46 am
da marckalex
Re:
interface Serial0/0.xxx point-to-point
description ** Internet Access Link **
ip address ip_pub 255.255.255.252
ip access-group outside-wan in
il commento nn credo che sia necessario.
By marckalex
Inviato: mar 14 giu , 2005 1:41 pm
da TheIrish
Citazione:
deny ip 127.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 224.0.0.0 0.255.255.255 any
sono queste le linee che impediscono lo spoofing ....non dovrebbero essere in una outbound?...o mi sfugge pesantemente qu
alcosa!!!!
spiegati
Inviato: mar 14 giu , 2005 2:28 pm
da aries58net
per quel poco che ne so...trattasi di spoofing quando un "hacker" modifica,secondo varie tecnice, l'header dei pacchetti inserendo l'IP di un "trusted host"...otenendo cosi' l'accesso ...Secondo queste premesse mi sembrava che dovesse essere prevenuto tramite una INBOUND access list
mentre marckAlex indica una OUTSIDE come antispoofing ..e mi sembra che le righe di codice per l'antispoofing siano quelle citate....o no (sempre disposto a imparare ...solo gli imbecilli hanno paura di chiedere...)