cisco 887 firewall

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
fulviobz
Cisco fan
Messaggi: 30
Iscritto il: sab 25 feb , 2012 4:14 pm

Ciao,

ho un router cisco 887 con c880data-universalk9-mz.154-3.M9.bin
con questa config di firewall:

Codice: Seleziona tutto

class-map type inspect match-any self-net-class
 match protocol tcp
 match protocol udp
 match protocol icmp

policy-map type inspect self-net-policy
 class type inspect self-net-class
  inspect
 class class-default
  drop

zone security net

zone-pair security self-net source self destination net
 service-policy type inspect self-net-policy

interface Dialer0
 zone-member security net
Così configurato funziona su TCP e ICMP: ssh, http e ping vengono bloccati da internet.. (facendo un nmap mi da "filtred" come atteso).

Con l'udp invece purtroppo non funziona, si riesce ad accedere al dns e al snmp (udp 53 e 161) che sono servizi attivi sul router è vorrei fossero raggiungibili
solamente della lan interna e non da internet...
(l'ho scoperto notando del traffico anomalo... e analizzando il tutto è saltato fuori che l'snmp veniva usato come amplificatore per un d.o.s.

Codice: Seleziona tutto

Established Sessions
        Session 89964F00 (87.8.x.x:161)=>(144.168.x.x:80) udp SIS_OPEN
          Created 15:06:25, Last heard 00:00:00
          Bytes sent (initiator:responder) [3466555325:133962597]
circa 4K in ingresso che mi facevano buttare fuori 70K
)

Come mai il traffico udp non viene filtrato come il tcp??
paolomat75
Messianic Network master
Messaggi: 2939
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao.
Hai provato un altro IOS?

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
fulviobz
Cisco fan
Messaggi: 30
Iscritto il: sab 25 feb , 2012 4:14 pm

paolomat75 ha scritto:Hai provato un altro IOS?
Stesso problema anche col c880data-universalk9-mz.153-3.M10.bin
paolomat75
Messianic Network master
Messaggi: 2939
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Hai provato a mettere un ACL che ti blocca le porte che non vuoi accessibili dal esterno?

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
fulviobz
Cisco fan
Messaggi: 30
Iscritto il: sab 25 feb , 2012 4:14 pm

paolomat75 ha scritto:Hai provato a mettere un ACL che ti blocca le porte che non vuoi accessibili dal esterno?

Paolo
ho fatto cosi:

Codice: Seleziona tutto

class-map type inspect match-any self-net-class
 match protocol tcp
 match protocol icmp
 match access-group name net-udp

policy-map type inspect self-net-policy
 class type inspect self-net-class
  inspect 
 class class-default
  drop

zone-pair security self-net source self destination net
 service-policy type inspect self-net-policy

ip access-list extended net-udp
 deny   udp any eq snmp any
 deny   udp any eq domain any
 permit udp any any
così fa quello che deve fare.. però ora il traffico udp da internet verso il router non viene più bloccato a pare le due porte 53 e 161 :roll: (cosa che succedeva comunque...)

Esiste un comando sul cisco per sapere se ci sono altre porte udp in ascolo sul router? (corrispedivo in linux di: "netstat -tulnp")
paolomat75
Messianic Network master
Messaggi: 2939
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Prova

Codice: Seleziona tutto

sho control-plane host open-ports | i udp
Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
fulviobz
Cisco fan
Messaggi: 30
Iscritto il: sab 25 feb , 2012 4:14 pm

Qualcosa non torna.. questi i log del router:

Codice: Seleziona tutto

Dec 25 14:03:16 cisco 206: Dec 25 14:03:14.843 CET: %DNSSERVER-3-BADQUERY: Bad DNS query from 139.162.126.103
Dec 26 10:02:38 cisco 207: Dec 26 10:02:37.204 CET: %DNSSERVER-3-BADQUERY: Bad DNS query from 193.140.110.68
Dec 26 13:16:45 cisco 208: Dec 26 13:16:44.320 CET: %DNSSERVER-3-BADQUERY: Bad DNS query from 193.140.110.68
Dec 26 16:14:52 cisco 209: Dec 26 16:14:50.655 CET: %DNSSERVER-3-BADQUERY: Bad DNS query from 193.140.110.68
Dec 26 19:37:30 cisco 210: Dec 26 19:37:29.323 CET: %DNSSERVER-3-BADQUERY: Bad DNS query from 193.140.110.68
Dec 26 22:36:20 cisco 211: Dec 26 22:36:19.216 CET: %DNSSERVER-3-BADQUERY: Bad DNS query from 193.140.110.68
Dec 27 01:20:27 cisco 212: Dec 27 01:20:26.050 CET: %DNSSERVER-3-BADQUERY: Bad DNS query from 193.140.110.68
mi aspettavo che non fosse più possibile usare il server dns del router da internet..
ed effettivamente se provo da un pc esterno pare non vada:

Codice: Seleziona tutto

# nmap 87.X.X.X -p 53 -Pn
PORT   STATE    SERVICE
53/tcp filtered domain

Codice: Seleziona tutto

# dig -t A google.com @87.X.X.X

; <<>> DiG 9.9.5-9+deb8u16-Debian <<>> -t A google.com @87.X.X.X
;; global options: +cmd
;; connection timed out; no servers could be reached
Cosa mi sfugge? :shock: :o
paolomat75
Messianic Network master
Messaggi: 2939
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao.
Posta il risultato di

Codice: Seleziona tutto

sho control-plane host open-ports | i udp
Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
fulviobz
Cisco fan
Messaggi: 30
Iscritto il: sab 25 feb , 2012 4:14 pm

Codice: Seleziona tutto

#sho control-plane host open-ports | i udp
 udp                     *:55548                         *:0                  IP SNMP   LISTEN
 udp                        *:53                         *:0               DNS Server   LISTEN
 udp                        *:67                         *:0            DHCPD Receive   LISTEN
 udp                       *:123                         *:0                      NTP   LISTEN
 udp                       *:161                         *:0                  IP SNMP   LISTEN
 udp                       *:162                         *:0                  IP SNMP   LISTEN
Rispondi