Mi sono rotto di combatterci....aiutatemi

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:
Contatta zot

secondo voi perchè con questa ACL

Codice: Seleziona tutto

access-list 131 remark #############################################
access-list 131 remark ACC-GROUP IN
access-list 131 remark **VPN**
access-list 131 permit gre any any
access-list 131 permit esp any any
access-list 131 permit udp any any eq isakmp
access-list 131 permit udp any any eq non500-isakmp
access-list 131 permit udp any eq isakmp any
access-list 131 permit udp any eq non500-isakmp any
access-list 131 remark **NTP**
access-list 131 permit udp host 193.204.114.232 any eq ntp
access-list 131 permit udp host 193.204.114.233 any eq ntp
access-list 131 remark **DNS**
access-list 131 permit udp host 208.67.222.222 any eq domain
access-list 131 permit udp host 208.67.220.220 any eq domain
access-list 131 permit udp host 151.99.125.1 any eq domain
access-list 131 permit udp host 151.99.250.2 any eq domain
access-list 131 permit udp host 88.149.128.20 any eq domain
access-list 131 permit udp host 212.216.112.112 any eq domain
access-list 131 remark **ANTI-SPOOFING**
access-list 131 deny   ip host 0.0.0.0 any log
access-list 131 deny   ip 127.0.0.0 0.255.255.255 any log
access-list 131 deny   ip 192.0.2.0 0.0.0.255 any log
access-list 131 deny   ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny   ip 172.16.0.0 0.15.255.255 any log
access-list 131 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 131 remark **ICMP**
access-list 131 permit icmp any any echo
access-list 131 permit icmp any any echo-reply
access-list 131 permit icmp any any time-exceeded
access-list 131 permit icmp any any unreachable
access-list 131 permit icmp any any administratively-prohibited
access-list 131 permit icmp any any packet-too-big
access-list 131 permit icmp any any traceroute
access-list 131 deny   icmp any any
access-list 131 remark **WORM**
access-list 131 deny   tcp any any eq 135
access-list 131 deny   udp any any eq 135
access-list 131 deny   udp any any eq netbios-ns
access-list 131 deny   udp any any eq netbios-dgm
access-list 131 deny   tcp any any eq 139
access-list 131 deny   udp any any eq netbios-ss
access-list 131 deny   tcp any any eq 445
access-list 131 deny   tcp any any eq 8888
access-list 131 deny   tcp any any eq 8594
access-list 131 deny   tcp any any eq 8563
access-list 131 deny   tcp any any eq 7778
access-list 131 deny   tcp any any eq 593
access-list 131 deny   tcp any any eq 2049
access-list 131 deny   udp any any eq 2049
access-list 131 deny   tcp any any eq 2000
access-list 131 deny   tcp any any range 6000 6010
access-list 131 deny   udp any any eq 1433
access-list 131 deny   udp any any eq 1434
access-list 131 deny   udp any any eq 5554
access-list 131 deny   udp any any eq 9996
access-list 131 deny   udp any any eq 113
access-list 131 deny   udp any any eq 3067
access-list 131 remark **ALL**
access-list 131 deny   ip any any log
e con questo ip inspect

Codice: Seleziona tutto

ip inspect name FW tcp
ip inspect name FW udp
ip inspect name FW icmp
se provo a pingare dal router

Codice: Seleziona tutto

router#ping google.it

Translating "google.it"...domain server (151.99.125.1) (151.99.250.2) (208.67.222.222) (212.216.112.112) (88.149.128.20)
% Unrecognized host or address, or protocol not running.
ottengo questo?

Codice: Seleziona tutto

001318: .Oct 21 00:02:59.203 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 151.99.125.1(53) -> 80.183.224.164(58559), 2 packets
001319: .Oct 21 00:02:59.203 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 151.99.250.2(53) -> 80.183.224.164(53022), 2 packets
001320: .Oct 21 00:03:59.204 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 208.67.222.222(53) -> 80.183.224.164(51500), 2 packets
001324: .Oct 21 00:08:11.898 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 151.99.125.1(53) -> 80.183.224.164(57802), 1 packet
001326: .Oct 21 00:08:20.914 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 151.99.250.2(53) -> 80.183.224.164(51049), 1 packet
001328: .Oct 21 00:08:38.935 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 212.216.112.112(53) -> 80.183.224.164(50742), 1 packet
mentre dai PC in lan riesco a risolvere i DNS

Codice: Seleziona tutto

zot@zotnbk:~$ ping google.it
PING google.it (72.14.221.104) 56(84) bytes of data.
64 bytes from fg-in-f104.google.com (72.14.221.104): icmp_seq=1 ttl=242 time=71.2 ms
64 bytes from fg-in-f104.google.com (72.14.221.104): icmp_seq=2 ttl=242 time=68.8 ms
64 bytes from fg-in-f104.google.com (72.14.221.104): icmp_seq=3 ttl=242 time=66.9 ms
64 bytes from fg-in-f104.google.com (72.14.221.104): icmp_seq=4 ttl=242 time=66.9 ms
64 bytes from fg-in-f104.google.com (72.14.221.104): icmp_seq=5 ttl=242 time=69.4 ms
64 bytes from fg-in-f104.google.com (72.14.221.104): icmp_seq=6 ttl=242 time=69.2 ms
e sopprattutto perchè non mi si autentica il mio ATA 186 ?

Codice: Seleziona tutto

001307: .Oct 20 23:54:59.198 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 83.211.227.21(5060) -> 80.183.224.164(1176), 55 packets
001316: .Oct 20 23:59:59.201 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 83.211.227.21(5060) -> 80.183.224.164(1176), 11 packets
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?

http://www.zotbox.net
Top
Avatar utente
SuperCiuk
n00b
Messaggi: 12
Iscritto il: ven 19 set , 2008 2:58 pm

ottengo questo?
Codice:

001318: .Oct 21 00:02:59.203 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 151.99.125.1(53) -> 80.183.224.164(58559), 2 packets
001319: .Oct 21 00:02:59.203 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 151.99.250.2(53) -> 80.183.224.164(53022), 2 packets
001320: .Oct 21 00:03:59.204 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 208.67.222.222(53) -> 80.183.224.164(51500), 2 packets
001324: .Oct 21 00:08:11.898 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 151.99.125.1(53) -> 80.183.224.164(57802), 1 packet
001326: .Oct 21 00:08:20.914 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 151.99.250.2(53) -> 80.183.224.164(51049), 1 packet
001328: .Oct 21 00:08:38.935 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 212.216.112.112(53) -> 80.183.224.164(50742), 1 packet
Cosi a naso sembra che sta acl ce l' hai in ingresso sulla pubblica , giusto???
IMVHO te li droppa perche' stai permettendo richieste entranti(dport 53) e non risposte entranti(sport 53).

fammi sape,
ciao.
Pessimismo e fastidio.
Top
Marx
Cisco fan
Messaggi: 57
Iscritto il: ven 04 nov , 2005 6:42 am

Se la risoluzione DNS dalla LAN funziona forse ci sonodelle limitazioni per quanto riguarda i pacchetti generati direttamente dal router... sembra che l'ACl non rispetti le caratteristiche staful e non apra in automatico al ritorno dei pacchetti di ritorno dai DNS permessi. Bisogna vedere se c'è qualche documento a riguardo. Forse i pacchetti generati dal router non passano per l'ACL quindi non si generano le regole di ritorno. Puoi provare se il ping all'IP di google ti funziona dal router???
Per curisita proverei ad impostare come sorgente del ping un'interfaccia interna....ma non ho idea se la query dns parta dall'indirizzo sorgente del ping ....

L'autenticazione dell'ata è UDP? io non lo so.
Top
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:
Contatta zot

Anche se in ritardo grazie per le risposte......la ACL è in ingresso sulla pubblica.L'ATA x autenticarsi al mio SIP Server usa SIP quindi UDP.Non riesco a cavarci un ragno dal buco......che le ACL dovessero rispettare dei parametri per essere "compatibili" con IP inspect non lo sapevo e ,cmq,non ho trovato documentazione a riguardo.....per ora ho tirato giù ACL e Ip inspect....che tanto a casa mia oramai siamo tutti UNIX/LINUX .....ma mi ci debbo rimettere...
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?

http://www.zotbox.net
Top
Leviatano
Cisco fan
Messaggi: 40
Iscritto il: mar 20 gen , 2009 4:56 pm
Località: ROMA

ciao, con l'ip inspect bisogna stare attenti...
potresti dirmi cortesemente l'impostazione dell'inspect lato interfacce di rete? te lo chiedo semplicemente perché l'inspect effettua il controllo del flusso di dati partendo dal presupposto che le acl siano in uno stato di permit. Difatti prima il traffico viene esaminato dall acl se l'acl lo fa passare l'inspect annota diversi parametri della connessione (windowing, flags, etc.) per controllarne lo stato. Difatti non ci interessa se lato wan abbiamo delle acl deny perché l'inspect creerà delle acl temporanee che permetteranno il passaggio SOLO dei pacchetti che matchano con la connection state table. Se tu configuri ip inspect FW in sulla wan il firewall ios non riuscirà a monitorarne lo stato perché non vede la "partenza " dei pacchetti buona norma è configurare l'inspect in su interfaccia trusted o out su untrusted.
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Guarda qua zot http://www.ciscoforums.it/viewtopic.php?t=10037
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:
Contatta zot

Vabbè ho capito mi ci debbo rimettere sù....
Ahhh vedete, da quando a casa siamo tutti carrozzati *NIX ,non me ne è fregato + nulla di ACL e ip inspect sul mio fido 837 :D
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?

http://www.zotbox.net
Top
Rispondi

Torna a “Sicurezza”