Firewall su 1801

[proton]

Salve raga, acquistato ora il Cisco 1801 mi sono tolto di mezzo l'857 e spero di non aver fatto una spesa inutile...
vi pasto la conf minimale

Codice: Seleziona tutto

Router#sh run
Building configuration...

Current configuration : 2215 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service dhcp
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$IbX6$fBrA8jfGqwWXb0Alb0CnA0
!
no aaa new-model
!
!
ip cef
!
!
no ip domain lookup
ip name-server 212.216.112.112
ip name-server 212.216.172.62
multilink bundle-name authenticated
!
!
username admin privilege 15 secret 5 $1$sIMM$xS9r4o.DMzUDb30Ou9VEr/
archive
 log config
  hidekeys
!
!
!
!
!
interface FastEthernet0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip route-cache flow
 duplex auto
 speed auto
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface ATM0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip route-cache flow
 no atm ilmi-keepalive
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode auto
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-FE 1$
 ip address 192.168.2.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 ip tcp adjust-mss 1452
!
interface Dialer0
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip route-cache flow
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp chap hostname aliceadsl
 ppp chap password 0 aliceadsl
 ppp pap sent-username aliceadsl password 0 aliceadsl
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 permit 192.168.2.2
no cdp run
!
control-plane
!
!
line con 0
 login local
line aux 0
line vty 0 4
 privilege level 15
 login local
 transport input telnet
line vty 5 15
 privilege level 15
 login local
 transport input telnet
!
end

Il guaio è che mentre inizio a mettere le access-list in ingresso sulla dialer 0 mi si blocca la connessione, purtroppo da quello che ho visto le inspect mancano e si isola gentilmente mi date una manina? grazie

Codice: Seleziona tutto

Router(config)#interface vlan1
Router(config-if)#ip inspect MYFW in
                       ^
% Invalid input detected at '^' marker.

[proton]

risolto era lo ios grazie lo stesso

[proton]

Ciao raga beh ne approfitto per discuterne un po' come si è mostrato il 1801 sotto attacco udp asd
"con la mia conf sicuramente da riguardare...."

Ora riesco a vedere la provenienza dell'attacco il 1801 non si impalla da un singolo host attancante anche se perde pacchetti cmq... :\

Codice: Seleziona tutto

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Vl1           192.168.2.2     Local         192.168.2.1     01 0000 0800      1
Vi2           192.168.100.1   Vl1           79.3.xxx.xxx    01 0000 0000    586
Vl1           192.168.2.2     Di0           192.168.100.1   01 0000 0800    618
Vi2           69.42.xxx.xxx   Vl1           79.3.xxx.xxx    06 8CA0 C0D3      1
Vi2           87.xxx.xxx.xxx  Local         79.3.xxx.xxx    11 987B 0801    128K
Vl1           192.168.2.2     Di0           69.42.xxx.xxx   06 C0D3 8CA0      1
Vl1           192.168.2.2     Local         192.168.2.1     06 C0D2 0016     50

è quello con 87 iniziale mi chiedo quale interfaccia abbiamo in local? ^^


In console monitorando abbiamo questo msg

Codice: Seleziona tutto

*Mar 29 18:03:41.063: %SYS-2-BADSHARE: Bad refcount in retparticle, ptr=83CA3380, count=0,  -Traceback= 0x8099F1E8 0x80038114 0x800DD3CC 0x8001A964 0x8001A8
*Mar 29 18:03:41.063: %SYS-2-BADSHARE: Bad refcount in retparticle, ptr=83CA6300, count=0,  -Traceback= 0x8099F1E8 0x80038114 0x800DD3CC 0x8001A964 0x8001A8
*Mar 29 18:03:41.063: %SYS-2-BADSHARE: Bad refcount in retparticle, ptr=83CA6840, count=0,  -Traceback= 0x8099F1E8 0x80038114 0x800DD3CC 0x8001A964 0x8001A8

vedendo la provenienza mi auguro che si possa arrivare ad una buona conclusione

[proton]

sto provando a fare un forwarding su null0 per scartare i pakketti in qualke modo... non sto dormendo la notte per risolvere sta cosa ghghgh

[Wizard]

Codice: Seleziona tutto

interface Null0
 no ip unreachables

Cmq nella config di sopra nn hai un min di firewall quindi ci credo che è vulnerabile ad attacchi!

[proton]

era la conf mimimale, i test sò stati fatti con inspect e acl...

Troppo figo il 1801 però Notata la differenza altro che quella scartoffia dell'857...mi ha crepato raga...ghgh


Pensi che questo comando
interface Null0
no ip unreachables
sia sufficiente a forwardare i pakketti in fase di attacco e scartarli? uhm...
credo manki qualcos altro

Null0 è una pseudo-interfaccia ke funzia in maniera null device di alcuni os che non può ricevere traffico e da quello ke ho capito per il cef rappresenta un interfaccia non valida perciò tutto quello che punta su null0 viene scartato

ip route 127.0.0.0 255.0.0.0 null0

ma manca ancora qualcosina...



_________________________________________
Wizard, siamo vicini...

[proton]

Wizard, Visto un pò il tuo post anke http://www.ciscoforums.it/viewtopic.php ... light=ddos
interessante però con tutti quei log la cpu skiatta dopo pokissimo, eliminando i log dalle acl diciamo ke si è quasi risolto tutto, la cpu nn satura e quindi nn si cade, ora vorrei risolvere solo i primi 30 secondi ti/vi mostro:
1800 series cpu si presenta così in fase di attacco

Codice: Seleziona tutto

 
CPU utilization for five seconds: 92%/89%; one minute: 25%; five minutes: 6%
 PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
   4       21140      1213      17427  0.65%  0.74%  0.80%   0 Check heaps
  53        3096     20356        152  1.31%  0.34%  0.07%   0 COLLECT STAT COU
  75        1288        75      17173  1.14%  0.22%  0.07%   6 SSH Process

Con un attacco di 200 secondi in udp flood satura solo i primi 30s dopo la cpu si normalizza, siamo a buon punto diciamo, ora si deve solo capire questi 2 processi che ruolo hanno e se si possono ridurre in qualke modo. Inoltre vorrei aggiungere che una conf molto complessa da quello che ho potuto constatare nn porta grandi risultati

[Wizard]

Le cose complicate di solito sono nemiche della sicurezza!
Ci fai vedere la config attuale?

[proton]

Codice: Seleziona tutto

Router#sh run
Building configuration...

Current configuration : 3261 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service dhcp
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 bau
!
no aaa new-model
!
!
ip icmp rate-limit unreachable 1000
!
!
ip cef
!
!
no ip domain lookup
ip name-server 212.216.112.112
ip name-server 212.216.172.62
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect one-minute high 500
ip inspect udp idle-time 60
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name MYFW http
ip inspect name MYFW https
ip inspect name MYFW dns
ip inspect name MYFW ftp
ip inspect name MYFW tcp
ip inspect name MYFW udp
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
!
username admin privilege 15 secret 5 miao
!
!
archive
 log config
  hidekeys
!
!
ip ssh version 1
!
!
!
interface Null0
 no ip unreachables
!
interface FastEthernet0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 shutdown
 duplex auto
 speed auto
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface ATM0
 no ip address
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip route-cache flow
 no ip mroute-cache
 no atm ilmi-keepalive
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode auto
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-FE 1$
 ip address 192.168.2.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip inspect MYFW in
 ip virtual-reassembly
 ip route-cache flow
 ip tcp adjust-mss 1452
 no ip mroute-cache
!
interface Dialer0
 ip address negotiated
 ip access-group 131 in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip route-cache flow
 no ip mroute-cache
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp chap hostname aliceadsl
 ppp chap password 0 aliceadsl
 ppp pap sent-username aliceadsl password 0 aliceadsl
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 permit 192.168.2.2
access-list 131 remark *** ICMP CONTROL
access-list 131 permit icmp any any echo-reply
access-list 131 permit icmp any any time-exceeded
access-list 131 permit icmp any any unreachable
access-list 131 permit icmp any any packet-too-big
access-list 131 remark *** Internet Security
access-list 131 deny   ip any any
no cdp run
!
!
!
!
!
!
control-plane
!
!
line con 0
 login local
line aux 0
line vty 0 4
 privilege level 15
 login local
 transport input telnet ssh
line vty 5 15
 privilege level 15
 login local
 transport input telnet ssh
!
end

Ripeto, sconsiglio a tutti i log nelle acl, nel mio caso dovrebbe essere questo "access-list 131 deny ip any any log" perkè in fase ti attacco la cpu piange parekkio asd anche se mi dovrò trovare un modo + soft per loggare...per ora sto a vedere gli ip coi relativi pakketti solo nella cache flow.
Domandina Wizard, le rotte che hai usato nel link del precedente post servono solo per lo spoofing?

Codice: Seleziona tutto

ip route 1.0.0.0 255.0.0.0 Null0
ip route 2.0.0.0 255.0.0.0 Null0
ip route 5.0.0.0 255.0.0.0 Null0
ip route 7.0.0.0 255.0.0.0 Null0
ip route 10.0.0.0 255.0.0.0 Null0
ip route 23.0.0.0 255.0.0.0 Null0
ip route 27.0.0.0 255.0.0.0 Null0
ip route 31.0.0.0 255.0.0.0 Null0
ip route 36.0.0.0 255.0.0.0 Null0
ip route 37.0.0.0 255.0.0.0 Null0
ip route 39.0.0.0 255.0.0.0 Null0 
etc...

Allora tornando a noi sotto attacco udp flood questa conf il prot. Tcp rimane illeso riesco a stare su skype...su irc... ma perdo la risoluzione dei nomi quanto pare, navigo in web solo mettendo gli ip sarà un problema di dns sicuramente e spero si possa risolvere con qualke regolina...
Wizard consigli di mettere anche l'ips?





________________________________________

******Adoro essere attaccato asd

[Wizard]

Si, configura pure IPS ma stai attento a non abilitare troppe categorie perchè senò la CPU \ RAM soffre molto!
Le rotte verso la null0 levale, ti possono causare problemi!