CBAC, IOS e brute force su FTP...

[masterx81]

Ciao a tutti...
Stavo guardando che il mo cisco 1801 ha l'IDS ed il CBAC...
Sto iniziando a cercare di capire come funzionano...
Al momento ho inserito i seguenti comandi per evitare dei DOS:

Codice: Seleziona tutto

ip inspect max-incomplete low 250
ip inspect max-incomplete high 300
ip inspect one-minute low 300
ip inspect one-minute high 400
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name IDS-OUT tcp

Mentre questi ce li ha la config del router di default (e non so a cosa servano...):

Codice: Seleziona tutto

ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive

Infine nell'interfaccia esterna ho messo

Codice: Seleziona tutto

ip inspect IDS-OUT in

Poi ho inserito questo (che non sapevo esistesse - e che non c'entra nulla con il CBAC, ma è utile!):

Codice: Seleziona tutto

login block-for 300 attempts 3 within 30

Ora, contro i bruteforce sulla vty dorei essere a posto, e contro il DOS pure...
Ma ho un paio di seccatori che mi fanno sei bruteforce su un server FTP IIS dietro al cisco, vorrei applicare un filtro che se arrivano troppe richieste di login a raffica le droppa...

Se non ho capito male il CBAC dovrebbe fare questo, giusto?

Come posso implementarlo?

Grazie mille!!!

[Wizard]

Frena frena...

ip inspect IDS-OUT

La devi mettere in IN sulla eth oppure in OUT sulla interfaccia pubblica (ATM, dialer, serial...)

Volendo puoi fare un

ip inspect name IDS-IN ftp

e metterlo in IN sulla int esterna

[masterx81]

Mhuauahauhau, ok, tiro il freno a mano
Non ci ho capito molto di questo firewall... Non si è capito?

Queste a cosa si applicano?:

Codice: Seleziona tutto

ip inspect max-incomplete low 250 
ip inspect max-incomplete high 300 
ip inspect one-minute low 300 
ip inspect one-minute high 400 
ip inspect hashtable-size 2048 

A tutte le interfacce in cui metto

Codice: Seleziona tutto

ip inspect NOME DIREZIONE

Giusto?

Mentre queste:

Codice: Seleziona tutto

ip inspect tcp synwait-time 20 
ip inspect tcp max-incomplete host 300 block-time 60 
ip inspect name IDS-OUT tcp

si applicano sull'interfaccia con l'ip inspect 'nome' dell'ultima riga?


Oppure sono delle liste, che partono dal primo ip inspect e che terminano alla riga

Codice: Seleziona tutto

ip inspect name .......

e dopo si applicano all'interfaccia?

IDS-OUT pensavo che fosse solo una descrizione, giusto?
Attualmente è applicata all'interfaccia esterna del router, con direzione 'in', quindi applica gli inspect dei pacchetti che mi arrivano da internet...

Codice: Seleziona tutto

ip inspect IDS-OUT in 

Quale sarebbe l'effetto di una:
ip inspect name IDS-IN ftp
che se non sbaglio non va messa nell'interfaccia, ma nella config generale???

Grazie!

[Wizard]

Codice: Seleziona tutto

ip inspect max-incomplete low 250
ip inspect max-incomplete high 300
ip inspect one-minute low 300
ip inspect one-minute high 400
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60

Valgono per tutte le connessioni.

Il nome dopo il "name" è solo descrittivo!
Nel tuo caso "ip inspect IDS-OUT in" serve si per inspezionare il traffico proveniente da internet ma nn serve a nulla fatto così poichè controlli dei protocolli che nn hai pubblicato!

Codice: Seleziona tutto

ip inspect name IDS-IN ftp 

Va messo in conf t poi applicato alla int pubblica in IN

[Wizard]

Magari facci vedere la config completa così capiamo meglio

[masterx81]

La config completa è meglio lasciarla nel router, c'e' un po' di tutto la dentro... VPN PPTP, radius, ed un bel po di altre cose
E' bella lunghetta... Se mi dici che cmq la vuoi vedere, la posto
Non volevo intasare il post con una paginata di configurazione!
Solo che ora volevo vedere se riesco a bloccare gli attacchi a bruteforce ed a dizionario...
Ma ste CBAC non mi entrano bene in testa...

Quindi tutte le cose messe come 'ip inspect xxx' direttamente nella 'conf t' si applicano a tutte le interfacce registrare con 'ip inspect NOME DIREZIONE'? Oppure proprio a tutte le interfacce?

E se io volessi abilitare il CBAC con diverse regole su diverse interfacce??

Quindi metto questo nella 'conf t' :
ip inspect name IDS-IN ftp

E poi la applico all'interfaccia con
ip inspect NOME DIREZIONE

Che tipo di controlli farebbe sull'ftp?

Scusa lo stress...
Grazie mille!!!

[Wizard]

Codice: Seleziona tutto

ip inspect max-incomplete low 250
ip inspect max-incomplete high 300
ip inspect one-minute low 300
ip inspect one-minute high 400
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60 

Sono "generiche" e sono applicate alle interfaccie a cui è associato ip inspect.

Es.

Codice: Seleziona tutto

ip inspect name inspection-out tcp
ip inspect name inspection-out udp
int eth0
ip inspect inspection-out in

Significa che verranno inspezionate le connessioni tcp e udp in entrata sulla eth e quindi nella maggior parte dei casi verso internet. Dato che ip inspect è statefoul viene permesso automaticamente il traffico di ritorno

Codice: Seleziona tutto

ip inspect name inspection-in ftp
ip inspect name inspection-in http
int atm0.1
ip inspect inspection-in in

Mettiamo che pubblichiamo dei servizi ftp e http allora è buona norma (non obbligatorio) abilitare i controlli questa volta in entrata. Per i brute force però è + indicato un bel sistema IPS (configurabile sul 1801)

[masterx81]

Aahhh!!!
Capito!
Avevo frainteso l'utilita' del cbac!
Praticamente si occupa di aprire i varchi temporanei nel firewall per evitare di dover lasciare aperti varchi statici (e pericolosi...) con le access list! In piu' controlla che le sessioni siano sempre valide per evitare dei DoS...
Dunque (per i protocoli che conosce) puo' sostituire la voce nell'access list

Codice: Seleziona tutto

permit tcp any any established

Aggiungendo in piu' la protezione per i DoS...

Quindi se volessi abilitare la navigazione FTP interna (funziona sia col passivo che con l'attivo???) basta un

Codice: Seleziona tutto

ip inspect name inspection-out ftp
int eth0 
ip inspect inspection-out in 

Oppure dei piu' generici TCP/UDP per permettere tutti i tipi di traffico come nel tuo esempio.

E se avessi un server ftp attivo interno al quale voglio fargli ispezionare le connessioni mi bastano quei comandi che mi hai mandato tu? E nel caso di un ftp passivo?

Attualmente permetto (per necessita!) sia l'ftp attivo che il passivo, sia per la navigazione che per il server ftp interno, ed il fw è un po' aperto... Non sarebbe male tappare un po' di porte!!!

Quindi per evitare i brute force devo utilizzare l'IPS... Mi informo...
Grazie ancora per le spiegazioni![/code]

[Wizard]

Direi che hai capito tutto!
Per l'IPS se hai una ios adeguata la puoi configurare anche sul tuo router!

[masterx81]

ehehehe, ci impiego un po', ma ci arrivo

Ultima domanda: se applico alla porta interna

Codice: Seleziona tutto

ip inspect name inspection-out tcp 
ip inspect name inspection-out udp 
int eth0 
ip inspect inspection-out in 

lui si mette in ascolto sull'interfaccia eth0 per dei syn verso host remoti, e da solo riconosce l'interfaccia in cui aprire i varchi?

E per per un server ftp passivo dietro il router, mi puo' aiutare anzichè lasciare dei varchi statici nella acl?

Grazie ancora!

[Wizard]

Se tu devi pubblicare dei servizi devi per forza creare una regola di nat statico e relativa acl

[masterx81]

Scusa ancora una cosa...
Ho iniziato a mettere il cbac (o kebab, come ogni tanto mi sbaglio a dire )sul mio 877w a casa , e devo dire che fa tutto a meraviglia (meno voci nelle acl ), e non richiede neanche piu' di tante risorse, nemmeno col mulo attaccato (anche perchè ho aumentato la ram da 128 a 256, ciomunque me ne avanza 30mb sui 128).
Volevo sapere, per aprire col cbac la navigazione si applica nella eth direzione in la regola per l'ip inspect, ma non sarebbe la stessa cosa applicarla (access list permettendo...) all'interfaccia esterna in direzione out? O mi sbalgio? Premetto che non ho ancora provato, era solo una curiosità.
Grazie!

[Wizard]

Volevo sapere, per aprire col cbac la navigazione si applica nella eth direzione in la regola per l'ip inspect, ma non sarebbe la stessa cosa applicarla (access list permettendo...) all'interfaccia esterna in direzione out? O mi sbalgio?

Si!
O in "in" sulla eth o in "out" sulla atm, dialer...

[masterx81]

Allora inizio a capirci qualcosa

Grazie mille!!! Sta sera smanetto :->