IoS nuovo problemi con ACL

[proton]

Beh vedo che siamo ritornati sull'argomento mentre approfondisco la mia ricerca mi accorgo che sia tutto inutile ho provato diverse configurazioni ma ogni volta che il mio router cisco 857W riceve un attacco di tipo syn, icmp, o udp la mia connessione tende a saturare, perdita di pacchetti ecc.. Sinceramente sono rimasto un po' deluso pensando che questo potesse debellare almeno gli attacchi provenienti da un'unica fonte. Purtroppo se l'attaccante dispone di un pc con un'ampiezza di banda superiore possiamo dire addio alla ns connessione da quello che ho potuto constatare.


Router Testati 877W; 857W ;SNR Discreta; IoS 12.4(15)T3

[Wizard]

2 cose:

1) Sugli 877 con ios plus puoi configurare l'ips che sicuramente non fa male

2) Come fai i test? Sicuro che nn si blocchi la rete del pc sorgente?!

[Fumetto]

Con l'857W ho notato pure io problemi... CPU al 100% troppo spesso.
...probabilmente l'ho configurato male io (anzi sicuramente) ma ho risolto utilizzandolo per collegarmi alla linea punto punto e gestendo gli ip assegnati grazie a due server linux...

Semplice ma funzionale...

[proton]

877W "contratto aziendale telecom" e l'857W a casa "contratto alice flat 7mb" entrambi non mi danno problemi di nulla, apparte quel piccolo dilemma discusso e forse risolto se vogliamo dire dall'incremento del ping +10ms in remoto, su qualsiasi ip io pingassi...dove ciscoshop mi disse che era un inezia e che dovevo tener conto dei tempi di elaborazione del Router Cisco ecc....Tornando a noi vorrei precisare che i test alle "vittime" sò stati fatti su connessioni differenti, il pc attaccante in questione è un server Tedesco 10mbit con Debian ssh/Ftp; ora evitando di entrare nei particolari sui vari metodi di attacco è sufficiente sapere che basta un ping con le relative opzioni di flood e di carico su pacchetto max consentito a far si che la connessione saturi, in questo caso i miei 2 router inondati se possiamo dire da Echo Request da un singolo host.
Limitando il traffico ICMP col Car o inspezionarlo non ha avuto una grande successo, almeno nel mio caso, risulta filtrato ma...

Codice: Seleziona tutto

Host Attaccante Ping Flood visto in SSH
PING myip (myip) 65507(65535) bytes of data.
From myip icmp_seq=1 Packet filtered
From myip icmp_seq=508 Packet filtered
From myip icmp_seq=1008 Packet filtered
From myip icmp_seq=1261 Packet filtered



Host Vittima controllo pacchetti persi sull'ip della centrale telecom
Risposta da 192.168.100.1: byte=32 durata=910ms TTL=125
Risposta da 192.168.100.1: byte=32 durata=1000ms TTL=125
Richiesta scaduta.
Richiesta scaduta.
Richiesta scaduta.

E per adesso rimango dall'idea come ho cercato di precisare prima che se l'attacco proviene da un host con un'ampiezza di banda maggiore della vostra, la vostra macchina non potrà mandare niente sulla rete.

[Wizard]

Iniziamo a fare così:

Codice: Seleziona tutto

ip nat translation icmp-timeout 120

service nagle
ip tcp synwait-time 10
ip tcp window-size 2144
ip tcp selective-ack
ip cef
no ip gratuitous-arps

scheduler-interval 500

int atm0
ip mtu 1500
mtu 1500
no cdp enable
no ip directed-broadcast
no ip redirects
no ip unreachables
no ip mask-reply
no ip proxy-arp
no ip mroute-cache 
hold-queue 224 in 
ip route-cache flow

int dialer0
ip mtu 1500
mtu 1500
no cdp enable
ip accounting access-violation
no ip directed-broadcast
no ip redirects
no ip unreachables
no ip mask-reply
no ip proxy-arp
no ip mroute-cache
rate-limit input access-group 131 256000 8000 8000 conform-action transmit

service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service sequence-numbers
logging userinfo
logging queue-limit 10000
logging buffered 1000000 notifications
logging console critical
logging monitor debug
logging history notifications
ip inspect log drop-pkt
ip ips notify log
logging buffered 150000
logging exception 100000
logging count

ip icmp rate-limit unreachable 1000
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400			
ip inspect one-minute low 300			
ip inspect one-minute high 500 				
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect hashtable 2048

[proton]

Ho testato un pò la tua conf ed ho ottenuto una notevole riduzione di saturazione; sicuramente ci sono delle cose ancora da definire...
Ora in console ho una miriade di log da guardare mi auguro che ram e cpu reggano asd inoltre vorrei farti notare che molto spesso ho
denied sui dns:

Codice: Seleziona tutto

*Feb 15 17:57:53.666: %SEC-6-IPACCESSLOGP: list 131 denied udp 212.216.112.112(53) -> 87.13.194.61(32935), 1 packet
*Feb 15 17:57:53.666: %SEC-6-IPACCESSLOGP: list 131 denied udp 212.216.112.112(53) -> 87.13.194.61(32936), 1 packet
*Feb 15 17:57:53.666: %SEC-6-IPACCESSLOGP: list 131 denied udp 212.216.112.112(53) -> 87.13.194.61(32933), 1 packet

Ecco le inspect che mi consigliasti non vorrei che ci fossero problemi.

Codice: Seleziona tutto

ip inspect name FW-IN icmp
ip inspect name FW-IN tcp
ip inspect name FW-IN udp
int dialer0
ip inspect FW-IN in

ip inspect name MYFW http
ip inspect name MYFW https
ip inspect name MYFW dns
ip inspect name MYFW ftp
ip inspect name MYFW icmp
ip inspect name MYFW tcp
ip inspect name MYFW udp
int Vlan1
ip inspect MYFW in

[proton]

Risolto, grazie di tutto.

[Wizard]

Come?
Config finale?

Grazie

[proton]

Router#sh run
Building configuration...

Current configuration : 6548 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service dhcp
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-3148253242
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3148253242
revocation-check none
rsakeypair TP-self-signed-3148253242
!
!
crypto pki certificate chain TP-self-signed-3148253242
certificate self-signed 01
3082023E 308201A7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 33313438 32353332 3432301E 170D3038 30333032 31373438
33345A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 31343832
35333234 3230819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100D44A 9812AC3E 1F85E054 20D7BF42 955E6554 CF3F086F B4E44AB9 ECC87DB3
FA825161 901F7F5F B965D7E6 52F3746A 1D8961D1 5BFBB512 96257C34 4B73C357
A07A1B3F 47D7009B D4E0DC84 852444A4 92DC8573 13E53F0E FCD17D52 4E86F7E0
9787C0FD 32CDEC49 DE14926D 1308DBD9 CB918E7A D69197E3 9FC31F9A 287DC899
33F10203 010001A3 66306430 0F060355 1D130101 FF040530 030101FF 30110603
551D1104 0A300882 06526F75 74657230 1F060355 1D230418 30168014 C17AAA5E
2BD17F5A 18BAC07A 61C875E3 7D13EF55 301D0603 551D0E04 160414C1 7AAA5E2B
D17F5A18 BAC07A61 C875E37D 13EF5530 0D06092A 864886F7 0D010104 05000381
81000E55 520CB7B3 B0643F40 934DC97D 0AF4A69E 0F3103FB 350011AF 73C92665
1090EF26 4DDA636A C3660CF4 3FFDBA08 F2777DD8 4019A629 AB4EF454 6C111A02
75DF0009 A26AACEB B80CCF11 76DBEA82 1647513C 4843E475 168E6B9A 07584990
5D0E7CD4 BB08916A 15660AC2 23200F79 AC8A913D 27FB9EEB CDB00054 4F2A4A5E 33D6
quit
!
!
ip cef
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect one-minute high 500
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name MYFW http
ip inspect name MYFW https
ip inspect name MYFW dns
ip inspect name MYFW ftp
ip inspect name MYFW icmp
ip inspect name MYFW tcp
ip inspect name MYFW udp
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
no ip domain lookup
ip name-server 212.216.112.112
ip name-server 212.216.172.62
!
!
!
username admin privilege 15 secret 5 $1$BuFa$uhmvFgP1FiGIl6WCqIugN0
!
!
archive
log config
hidekeys
!
!
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
shutdown
!
interface FastEthernet2
shutdown
!
interface FastEthernet3
shutdown
!
interface Dot11Radio0
no ip address
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Vlan1
ip address 192.168.2.1 255.255.255.0
ip access-group 120 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect MYFW in
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
hold-queue 100 out
!
interface Dialer0
ip address negotiated
ip access-group 131 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
rate-limit input 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit output 256000 8000 8000 conform-action transmit exceed-action drop
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer-group 1
no cdp enable
ppp chap hostname aliceadsl
ppp chap password 0 aliceadsl
ppp pap sent-username aliceadsl password 0 aliceadsl
hold-queue 224 in
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
ip http authentication local
ip http secure-server
ip nat translation timeout 420
ip nat translation tcp-timeout 120
ip nat translation udp-timeout 120
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 120
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.2.2 4672 interface Dialer0 4672
ip nat inside source static tcp 192.168.2.2 4673 interface Dialer0 4673
!
access-list 1 permit 192.168.2.2
access-list 120 permit ip any any
access-list 131 remark *** My Ports
access-list 131 permit tcp any any eq 4672
access-list 131 permit tcp any any eq 4673
access-list 131 remark *** ICMP CONTROL
access-list 131 permit icmp any any echo
access-list 131 permit icmp any any echo-reply
access-list 131 permit icmp any any time-exceeded
access-list 131 permit icmp any any unreachable
access-list 131 permit icmp any any administratively-prohibited
access-list 131 permit icmp any any packet-too-big
access-list 131 permit icmp any any traceroute
access-list 131 deny icmp any any log
access-list 131 remark *** ANTI-SPOOFING
access-list 131 deny ip host 0.0.0.0 any log
access-list 131 deny ip 127.0.0.0 0.255.255.255 any log
access-list 131 deny ip 192.0.2.0 0.0.0.255 any log
access-list 131 deny ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny ip 172.16.0.0 0.15.255.255 any log
access-list 131 deny ip 192.168.0.0 0.0.255.255 any log
access-list 131 remark *** Internet Security
access-list 131 deny tcp any any eq 135
access-list 131 deny udp any any eq 135
access-list 131 deny udp any any eq netbios-ns
access-list 131 deny udp any any eq netbios-dgm
access-list 131 deny tcp any any eq 139
access-list 131 deny udp any any eq netbios-ss
access-list 131 deny tcp any any eq 445
access-list 131 deny tcp any any eq 593
access-list 131 deny tcp any any eq 2049
access-list 131 deny udp any any eq 2049
access-list 131 deny tcp any any eq 2000
access-list 131 deny tcp any any range 6000 6010
access-list 131 deny udp any any eq 1433
access-list 131 deny udp any any eq 1434
access-list 131 deny udp any any eq 5554
access-list 131 deny udp any any eq 9996
access-list 131 deny udp any any eq 113
access-list 131 deny udp any any eq 3067
access-list 131 remark *** Unauthorised Access
access-list 131 deny ip any any log
dialer-list 1 protocol ip permit
no cdp run
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
login local
!
scheduler max-task-time 5000
end

[proton]

Non proprio tutto tutto risolto Wizard nn voglio darti sempre fastidio anche se ritengo opportuno dire che l'argomento legato alla sicurezza sia importante un po' per tutti

Esito configurazione attuale:

Col flood Icmp otteniamo una situazione come questa in console:
(comando in ssh ping -s 65507 myip -i 0,1)

*Mar 2 23:41:06.006: %IP_VFR-4-TOO_MANY_FRAGMENTS: Dialer0: Too many fragments per datagram (more than 32) - sent by ip_attaccante, destined to my_ip
*Mar 2 23:41:06.206: %IP_VFR-4-FRAG_TABLE_OVERFLOW: Dialer0: the fragment table has reached its maximum threshold 16

Il mio caro 857W ha risposto benissimo, 0/0 perdita di pacchetti

------------------------------------------------------------------------------

Otteniamo una situazione del genere senza il flood con dei request a 1 secondo
(comando in ssh ping -s 65507 myip -i 1)

*Mar 2 23:55:35.362: %IP_VFR-4-TOO_MANY_FRAGMENTS: Dialer0: Too many fragments per datagram (more than 32) - sent by ip_attaccante, destined to my_ip


Il mio caro 857W non ha risposto benissimo, mediamente ha perso 3/10 pacchetti.

Tutto sommato cè una miglioria

E credo mi stia lasciando l'857W con 64MB di ram nn ci fai molto....Non posso aggiungere molto altro...

Router#sh memory statistics
Head Total(b) Used(b) Free(b) Lowest(b) Largest(b)
Processor 8209CDAC 26620500 18340160 8280340 8147420 7909848
I/O 3A00000 6291456 4074920 2216536 2216536 2216508

udpflood e synflood ne possiamo parlare dopo.

[Wizard]

In effetti 64 Mb di RAM sotto attacchi pesanti sono un po' pochini...
Che banda in upload ha la linea con cui hai fatto i pen-test?

[proton]

E' 4mb di upload, farm tedesca, immaginiamo quanta gente puo' divertirsi co sti giochetti, conoscendo l'ip statico aziendale...
Principalemnte credo sia un problema dei ns isp che fanno veramente ridere in italia riguardo anche ad una tua citazione:

Wizard:
Dubito che sui router degli isp ci siano queste belle regoline...
(Ci sarebbe da dire tanto su questo...)



E come seconda è che per avere dei discreti risultati bisogna sbatterci sopra un capitale...Prendendo il mio caso
che 463 euro di Cisco 877sec e 320 euro spesi sull' 857W non sono stati sufficienti a bloccare o limitare gli attacchi da un singolo host.
---------------------------------------
Ora mi permetto di aprire una piccola parentesi su udpflood e synflood:
-.-.-.-.-.-.-
Il comando sh ip route-cache flow
da quello che ho capito dovrebbe individuare i dos via netflow cache, correggetemi se sbaglio,analizzando i flussi anomali, dovrebbe come ho detto prima... ma mentre sono sotto attacco udp la console su minicom si blocca del tutto non logga nulla e le lucette del cisco RXD e TXD rimangono fisse accese e non negozia + e rimango offline.

A sto punto Router(config-if)#no ip route-cache flow (credo sia utile solo coi router da 1000 euro in su asd)
-.-.-.-.-.-.-
Synflood mi ha riposto bene, coi socket stabiliti all'occorrenza

permit tcp any any established (120 matches) [socket stabilite]
permit tcp any any (2506 matches) [socket in syn]


-------------------------------------------------------------------------------
Mandando un pò di mail a cisco con diversi screenshot che testimoniano la falla "mia e di altri amici testati"
mi hanno dato queste Inspection/Prevention


Router(config)# ip inspect tcp synwait-time 20
Router(config)# ip inspect tcp idle-time 60
Router(config)# ip inspect udp idle-time 20
Router(config)# ip inspect max-incomplete high 400
Router(config)# ip inspect max-incomplete low 300
Router(config)# ip inspect one-minute high 600
Router(config)# ip inspect one-minute low 500
Router(config)# ip inspect tcp max-incomplete host 300 block-time 60
Router(config)# ip inspect hashtable 2048

e di utilizzare delle inspect in ingresso sulla dialer con router-traffic finale...


Mah...vedremo un pò in seguito...

[Wizard]

Te le avevo già date anche io quelle belle regoline...
Il problema è trovare i parametri "perfetti"...
Purtroppo dipende da che traffico fa la rete interna...se sei troppo cattivo rischi che funzionino male delle cose che devono funzionare!

E' l'eterna guerra tra sicurezza e usabilità...