sicurezza 837 K9

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
Avatar utente
anburg
Cisco fan
Messaggi: 63
Iscritto il: lun 21 apr , 2008 8:44 am

ciao

dopo aver configurato il mio 837 sono riuscito ad aprire le porte x emule e bittorrent.mi rendo conto pero', anche leggendo altri 3d, che ho una configurazione minima e assai poco sicura.
facendo riferimento a http://www.ciscoforums.it/viewtopic.php ... ight=emule
potrei applicare le ACL suggerite alla mia configurazione?
visto che ho le configurazione funzionante,come faccio a ricaricarla, se combino casini con le ACL? devo riscrivere tutto riga x riga?
ancora grazie x la pazienza allego sh run

Router#sh run
Building configuration...

Current configuration : 1655 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
!
!
ip ids po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!
interface Ethernet2
no ip address
shutdown
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer0
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp chap hostname xxxxxxxx
ppp chap password 0 xxxxxxxxxx
ppp pap sent-username xxxxxxxxxxx password 0 xxxxxxxxx
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
no ip http secure-server
ip nat inside source list 1 interface Dialer0 overload
!
!
access-list 1 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
ip nat inside source static tcp 192.168.1.3 6893 interface dialer0 6893
ip nat inside source static udp 192.168.1.3 36728 interface dialer0 36728
ip nat inside source static tcp 192.168.1.3 16401 interface dialer0 16401
!
control-plane
!
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
exec-timeout 120 0
login
length 0
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
end

ciao ciao :lol:
Top
Avatar utente
anburg
Cisco fan
Messaggi: 63
Iscritto il: lun 21 apr , 2008 8:44 am

:oops: nessuno? ho detto fesserie? :oops:
Top
Avatar utente
Helix
Messianic Network master
Messaggi: 1175
Iscritto il: mar 04 dic , 2007 6:45 pm
Località: Frosinone
Contatta:
Contatta Helix

Poniti la domanda: Cosa devo bloccare/permettere con le ACL? Hai servizi particolari? Hai bisogno di bloccare icmp o altro?

Facci sapere!!!:)
---
Ciao, Leonardo

"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"

Cisco CCNP, CCDP Certified
Top
Avatar utente
anburg
Cisco fan
Messaggi: 63
Iscritto il: lun 21 apr , 2008 8:44 am

ciao

allora..ho trovato questo http://www.bo.infn.it/calcolo/fb/filtro.html e sto cercando di capire come funziona.
poi saro'+ preciso
Top
Avatar utente
Helix
Messianic Network master
Messaggi: 1175
Iscritto il: mar 04 dic , 2007 6:45 pm
Località: Frosinone
Contatta:
Contatta Helix

Quello è un ottimo punto di partenza!!! :) Bravo!!!
---
Ciao, Leonardo

"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"

Cisco CCNP, CCDP Certified
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Per aumentare la sicurezza, intanto, aggiorna la IOS!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Avatar utente
anburg
Cisco fan
Messaggi: 63
Iscritto il: lun 21 apr , 2008 8:44 am

ciao

per aggiornare IOS so come si fa ma non so dove reperire il file .bin x 837.
con 64 MB di ram potrei installare la ver. 12.4 cercando ho trovato questo: c837-k9o3sy6-mz.124-18.bin
MD5 5db7dc22cfcdcff92a35b1f83e7e70e7 ma mi sa di FAKE l'ultima relase non è la 12.4(15)? se qualcuno mi puo' aiutare......
intanto continuo a documentarmi su IP inspect e ACL x attivare il firewall dell'837

grazie a tutti ciao
Top
Avatar utente
Helix
Messianic Network master
Messaggi: 1175
Iscritto il: mar 04 dic , 2007 6:45 pm
Località: Frosinone
Contatta:
Contatta Helix

Dovrebbero essere queste le ultime

1)
IP/FW/PLUS 3DES
c837-k9o3sy6-mz.124-15.T5.bin
Release Date: 02/May/2008
IP/FW/PLUS 3DES
Size: 12316.96 KB
Minimum Memory: DRAM:64MB Flash:16MB


2)
IP/FW 3DES
c837-k9o3y6-mz.124-15.T5.bin
Release Date: 02/May/2008
IP/FW 3DES
Size: 10408.94 KB

3)
IP/FW/PLUS 3DES
c837-k9o3sy6-mz.124-19.bin
Release Date: 04/Mar/2008
IP/FW/PLUS 3DES
Size: 9778.04 KB
Minimum Memory: DRAM:64MB Flash:12MB

4)
IP/FW 3DES
c837-k9o3y6-mz.124-19.bin
Release Date: 04/Mar/2008
IP/FW 3DES
Size: 8007.88 KB
Minimum Memory: DRAM:64MB Flash:12MB
---
Ciao, Leonardo

"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"

Cisco CCNP, CCDP Certified
Top
Avatar utente
anburg
Cisco fan
Messaggi: 63
Iscritto il: lun 21 apr , 2008 8:44 am

ciao

se questa:

IP/FW/PLUS 3DES
c837-k9o3sy6-mz.124-19.bin
Release Date: 04/Mar/2008
IP/FW/PLUS 3DES
Size: 9778.04 KB
Minimum Memory: DRAM:64MB Flash:12MB

è l'ultima la mia:

Platform 837
Software Feature Sets IP/FW/PLUS 3DES
Release 12.4.18LD
File Name c837-k9o3sy6-mz.124-18.bin
MD5 5db7dc22cfcdcff92a35b1f83e7e70e7
Date Published 04-DEC-2007
Date Released 25-JAN-2008

potrebbe essere la penultima giusto? c'era un sistema x verificare l'autenticita' e la correttezza del IOS ma nn trovo + il 3d

grazie ciao
Top
Avatar utente
anburg
Cisco fan
Messaggi: 63
Iscritto il: lun 21 apr , 2008 8:44 am

ciao
prima di aggiornare IOS vorrei sapere alcune cose: ho salvato una copia del mio IOS 12.3 e della config. dopo aver aggiornato alla 12.4 è possibile caricare la config precedentemente salvata? mi sembra di aver capito che ci sono delle differenze tra i due IOS.

grazie ciao
Top
Avatar utente
anburg
Cisco fan
Messaggi: 63
Iscritto il: lun 21 apr , 2008 8:44 am

e se il nuovo IOS è corrotto posso ricaricare quello precedentemente salvato e la config?

ciao
Top
Avatar utente
Helix
Messianic Network master
Messaggi: 1175
Iscritto il: mar 04 dic , 2007 6:45 pm
Località: Frosinone
Contatta:
Contatta Helix

Certo che puoi tornare alla versione precedente!!!
---
Ciao, Leonardo

"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"

Cisco CCNP, CCDP Certified
Top
Avatar utente
anburg
Cisco fan
Messaggi: 63
Iscritto il: lun 21 apr , 2008 8:44 am

ciao

ho appena aggiornato IOS, tutto bene, alla ver. 12.4(18)LD IP/FW/PLUS 3DES
ho la configurazione funzionante.
quali sono le differenze fra la 12.3 e 12.4?
lo sh run:

Router#sh run
Building configuration...

Current configuration : 1761 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
!
!
ip cef
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
!
!
!
!
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!
interface Ethernet2
no ip address
shutdown
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
interface Dialer0
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp chap hostname xxxxx
ppp chap password 0 xxxxxx
ppp pap sent-username xxxxxx password 0 xxxxx
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
no ip http secure-server
!
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.3 16401 interface Dialer0 16401
ip nat inside source static udp 192.168.1.3 36728 interface Dialer0 36728
ip nat inside source static tcp 192.168.1.3 6893 interface Dialer0 6893
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.1.0 0.0.0.255
!
!
!
control-plane
!
!
line con 0
no modem enable
transport output all
line aux 0
transport output all
line vty 0 4
exec-timeout 120 0
login
length 0
transport input all
transport output all
!
scheduler max-task-time 5000
end

ho notato:

ip cef
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3

che prima nn c'era. cos'e'?

grazie ciao
Ultima modifica di anburg il ven 31 ott , 2008 8:25 pm, modificato 1 volta in totale.
Top
Avatar utente
anburg
Cisco fan
Messaggi: 63
Iscritto il: lun 21 apr , 2008 8:44 am

nn ho barrato user name e passw si puo' rimediare?
scusatemi
Top
Avatar utente
Helix
Messianic Network master
Messaggi: 1175
Iscritto il: mar 04 dic , 2007 6:45 pm
Località: Frosinone
Contatta:
Contatta Helix

anburg ha scritto:nn ho barrato user name e passw si puo' rimediare?
scusatemi
Edita il messaggio e metti XXXXXX al posto della user e della pass:)
---
Ciao, Leonardo

"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"

Cisco CCNP, CCDP Certified
Top
Rispondi

Torna a “Configurazioni”