Rendere sicuro un 837

[giuseppevitali]

Ciao a tutti, ho acquistato un Cisco 837 da utilizzare con una connessione Alice business.
Ho aggiornato la versione firmware alla 12.4 ed ho creato una bozza di configurazione prendendo spunto a destra e a manca. Chiedo scusa se ho scritto cavolate ma la mia esperienza è pari a zero
Siccome dovrò installare il router presso l'ufficio di un caro amico cercavo qualche anima pia che potesse dare un'occhiata alla configurazione facendomi evitare di andare avanti e indietro ogni volta per fare solo una prova

Inoltre l'intento è permettere ai pc esclusivamente la navigazione internet e nient'altro. Cercavo quindi suggerimenti su quali ACL chiudere.
Leggendo varie guide mi pare di aver capito che occorre prima chiudere tutto... e poi piano piano aprire lo stretto necessario.

Allego la configurazione attuale:

Codice: Seleziona tutto

Router#sh ru
Building configuration...

Current configuration : 1924 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
memory-size iomem 15
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
!
no aaa new-model
no ip source-route
!
!
no ip dhcp use vrf connected
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.1.1 192.168.1.2
!
ip dhcp pool ced
   network 192.168.1.0 255.255.255.248
   domain-name ced.it
   dns-server 151.99.125.1 
   default-router 192.168.1.1 
!
!
ip cef
ip domain name ced.it
ip name-server 151.99.125.1
!
!
!
!
!
! 
!
!
!
interface Ethernet0
 ip address 88.39.115.162 255.255.255.248 secondary
 ip address 192.168.1.1 255.255.255.248
 ip nat inside
 ip virtual-reassembly
 no keepalive
 hold-queue 100 out
!
interface Ethernet2
 no ip address
 shutdown
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address 88.39.76.252 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 no snmp trap link-status
 pvc 8/35 
  oam-pvc manage
  oam retry 5 5 1
  encapsulation aal5snap
 !
!
interface FastEthernet1
 duplex auto
 speed auto
!
interface FastEthernet2
 duplex auto
 speed auto
!
interface FastEthernet3
 duplex auto
 speed auto
!
interface FastEthernet4
 duplex auto
 speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
no ip http server
no ip http secure-server
!
ip nat pool ced 88.39.115.162 88.39.115.162 netmask 255.255.255.248
ip nat inside source list 50 pool ced overload
!
access-list 50 permit 192.168.1.0 0.0.0.255
snmp-server community public RO
snmp-server enable traps tty
!
!
!
control-plane
!
!
line con 0
 exec-timeout 240 0
 password 7 XXXXXXXXXXXX
 login
 no modem enable
line aux 0
line vty 0 4
 exec-timeout 240 0
 password 7 XXXXXXXXXXXX
 login
 length 0
!
scheduler max-task-time 5000
end

[/size]
Grazie

[djdylan78]

Giusto un paio di considerazioni veloci:
1. togli gli indirizzi ip pubblici...
2. all'atm dovresti associare un dialer per l'autenticazione e per fare pppoa...
3. vedo che è alice, si tratta della versione "naked" e quindi puoi effettivamente configurare un router di proprietà oppure al momento c'è per esempio il routerino blu telecom?
4. per la sola navigazione potresti event. usare nbar e associare a quella classe di traffico tutta la banda, lasciando alla default il minimo di 8kbps o droppare i pacchetti...
5. potresti eventualmente abilitare ssh per connetterti da remoto in modo da non fare avanti-indietro

è un po' tutto da sistemare, però prima bisognerebbe definire cosa vuoi fare effettivamente

[giuseppevitali]

Giusto un paio di considerazioni veloci:
1. togli gli indirizzi ip pubblici...

L'ho pensato visto che non mi occorrono. Però non ho capito come configurare le interfacce...

2. all'atm dovresti associare un dialer per l'autenticazione e per fare pppoa...

Anche col punto punto?

3. vedo che è alice, si tratta della versione "naked" e quindi puoi effettivamente configurare un router di proprietà oppure al momento c'è per esempio il routerino blu telecom?

Attualmente viene utilizzato un router rosso, ma senza smartcard. Ho già provato il mio Linksys è funziona correttamente.

4. per la sola navigazione potresti event. usare nbar e associare a quella classe di traffico tutta la banda, lasciando alla default il minimo di 8kbps o droppare i pacchetti...

Mhmmm... più sotto spiego meglio cosa vorrei fare visto che qui non ti seguo.

5. potresti eventualmente abilitare ssh per connetterti da remoto in modo da non fare avanti-indietro

Avevo pensato anche questo, almeno per i primi tempi in modo da poter fare le dovute prove. Ma non so farlo...

è un po' tutto da sistemare, però prima bisognerebbe definire cosa vuoi fare effettivamente

Ci credo... è la prima volta che mi avvicino a questo tipo di router.
In realtà colgo il pretesto perchè mi piacerebbe acquistarne uno anche per uso personale.

Spiego meglio cosa vorrei fare:
Vorrei effettuare una connessione del router ad internet utilizzando l'indirizzo punto punto di alice. Non mi occorre per ora utilizzare gli 8 ip pubblici (che poi mi pare di aver capito che diventano 6 perchè il primo è la rete ed il secondo è il gateway). Vorrei permettere ai client di navigare in internet e null'altro. Il mio obiettivo è proprio questo. Permettere ai client la sola navigazione in internet e rendere la LAN quanto più sicura possibile. Anche perchè il motivo per cui abbiamo sostituito il router è dovuto al fatto che il mio amico ha perso utente e password del router attuale e non è possibile quindi capire come sia configurato.

Per ora non posso fare altro che ringraziare

[djdylan78]

Per il discorso indirizzi pubblici intendevo di "oscurarli" dalla config con qualcosa tipo le X che hai messo sulle pw.
Il router "attuale di cui ha perso utente e password" intendi quello di alice o un altro router cisco? nel secondo caso potresti fare un pw recovery.
per la config prova a partire da questo spezzone di config:

interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1

interface Dialer0
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname aliceadsl
ppp chap password aliceadsl
ppp pap sent-username aliceadsl password aliceadsl

dialer-list 1 protocol ip permit

ip nat inside source list NATACL interface Dialer0 overload

ip access-list extended NATACL
permit ip 10.0.0.0 0.0.0.255 any

interface FastEthernet0
ip address 10.0.0.1 255.255.255.0
ip nat inside

verifica che riesci ad andare in internet, poi facciamo le aggiunte

[giuseppevitali]

verifica che riesci ad andare in internet, poi facciamo le aggiunte

Gentilissimo!
Mi diresti come faccio ad attivare il controllo remoto via ssh?
Così magari se si connette lo lascio installato e provo ad ottimizzare la configurazione da remoto... no?
Grazie

[djdylan78]

hostname hostname

ip domain-name dominio

crypto key generate rsa

user utente password utente

line vty 0 4
login local
transport input ssh

per azzerare le chiavi: crypto key zeroize rsa

maggiori info a questo link: http://www.cisco.com/univercd/cc/td/doc ... #wp1001167

[Fumetto]

Non vorrei dire corbellerie ma a che serve la dialer se Telecom gli ha dato un IP punto-punto e 8 IP pubblici?
Dovrebbe essere più corretta la conf postata da lui... o no

Cmq per la sicurezza prova a cominciare da qui...
A me ha aperto nuovi orizzonti di studio...

[djdylan78]

Beh, il dialer serve per fare pppoa (ppp over Atm appunto), per fare l'autenticazione dell'utente e per l'associazione del traffico che fa "alzare la chiamata".
La cosa da correggere è il fatto di sostituire "ip address negotiated" con l'indirizzo ip assegnato da telecom. Gli altri 5 (8-2-1 [usato sull'interfaccia dialer]) li sfrutti impiegando il nat...

Altra cosa da aggiungere un bel:
ip route 0.0.0.0 0.0.0.0 dialer0
per inviare tutto il traffico verso internet

[Fumetto]

...non sono sicuro di aver capito... in una linea business Telecom non rilascia user e password quindi in teoria non ce ne sta bisogno... dovrebbe (e sottolineo dovrebbe) essere RFC1483... non è così?

[giuseppevitali]

...non sono sicuro di aver capito... in una linea business Telecom non rilascia user e password quindi in teoria non ce ne sta bisogno... dovrebbe (e sottolineo dovrebbe) essere RFC1483... non è così?

Allora non sono il solo a cui questa cosa tornava strana.
Sul foglio Telecom non c'è l'utente per l'autenticazione e nel router Linksys utilizzato per test non ho inserito nulla...

[giuseppevitali]

Cmq per la sicurezza prova a cominciare da qui...
A me ha aperto nuovi orizzonti di studio...

Letto:!:
Purtroppo però mi sembra molto orientato ad un'ottimizzzione fine. Scende nei dettagli di paramentri che potrebbero assumere un ruolo secondario per chi (come me) necessita di una configurazione iniziale.
Ad esempio, resto ancora col dubbio dovendo scegliere una configurazione di partenza.
Comunque lo conservo con cura.
Grazie

[giuseppevitali]

Ciao a tutti, sempre leggendo qui e lì e giocando un po' col CRWS ho dato una sistemata alla configurazione. Sperando che qualcuno possa dargli un'occhiata.
Grazie

Codice: Seleziona tutto

!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
memory-size iomem 15
logging buffered informational
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXX
!
no aaa new-model
no ip source-route
!
!
no ip dhcp use vrf connected
no ip dhcp conflict logging
!
ip dhcp pool ced
   network 192.168.1.0 255.255.255.248
   domain-name ced.it
   dns-server 151.99.125.1 
   default-router 192.168.1.1 
!
!
ip cef
ip domain name ced.it
ip name-server 151.99.125.1
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
!
!
interface Ethernet0
 ip address XX.XX.XXX.XXX 255.255.255.248 secondary
 ip address 192.168.1.1 255.255.255.248
 ip access-group 122 out
 ip nat inside
 ip virtual-reassembly
 no keepalive
 hold-queue 100 out
!
interface Ethernet2
 no ip address
 shutdown
 hold-queue 100 out
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 ip address XX.XX.XX.XXX 255.255.255.0
 ip access-group 111 in
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly
 no snmp trap link-status
 pvc 8/35 
  oam-pvc manage
  oam retry 5 5 1
  encapsulation aal5snap
 !
!
interface FastEthernet1
 duplex auto
 speed auto
!
interface FastEthernet2
 duplex auto
 speed auto
!
interface FastEthernet3
 duplex auto
 speed auto
!
interface FastEthernet4
 duplex auto
 speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
ip http server
no ip http secure-server
!
ip nat pool ced XX.XX.XXX.XXX XX.XX.XXX.XXX netmask 255.255.255.248
ip nat inside source list 50 pool ced overload
!
access-list 50 permit 192.168.1.0 0.0.0.255
access-list 111 permit tcp any any eq telnet
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny   ip any any log
access-list 122 deny   tcp any any eq telnet
access-list 122 permit ip any any
snmp-server community public RO
snmp-server enable traps tty
!
!
!
control-plane
!
!
line con 0
 exec-timeout 240 0
 password 7 XXXXXXXXXXXXX
 login
 no modem enable
line aux 0
line vty 0 4
 exec-timeout 120 0
 password 7 XXXXXXXXXXXXX
 login local
 length 0
!
scheduler max-task-time 5000
end