Come far controllare all'ip inspect il traffico del router

masterx81 · sab 10 gen , 2009 2:25 am

Ciao a tutti...
Non so se faccio cosa gradita dicendo che ho trovato il modo di far controllare al cbac i pacchetti originati dal router...
Da subito mi era sembrata una grossa limitazione quella di non fare l'ip inspect dei pacchetti originati dal router, ed oggi smanettando ho scoperto (cosa che magari ero l'unico a non sapere) come fare!
basta fare così:

Codice: Seleziona tutto

ip inspect name nome_regola tcp router-traffic
ip inspect name nome_regola udp router-traffic
ip inspect name nome_regola icmp router-traffic
...

E c'e' l'ip inspect per tutti i protocolli....
Finalmente ho tolto ancora le ultime acess list fisse che rimanevano per permettere al router di pingare, fare ntp e ddns...
Bellissimo!!!

Wizard · lun 12 gen , 2009 12:32 pm

Ottima notizia! Bravo!
In questo modo inspeziona sia il traffico generato dal router che dai client?!

masterx81 · lun 12 gen , 2009 1:51 pm

Si!
Infatti ora ho una acl che è una meraviglia, snella snella

Solo l'antispoofing ed i servizi interni... Fantastico! E' lunga la meta' e tutti i servizi vanno a meraviglia senza andare a capire che porte aprire!!!!
Non so da che IOS l'hannno messa, potrebbe anche esserci sempre stata, il problema è che come moltissime funzioni dei cisco sono difficilissime da scovare!

(Ce ne sono talmente tante...)

Wizard · lun 12 gen , 2009 3:38 pm

Eh si e tante non sono neanche documentate...almeno sulla documentazione pubblica

alfnetx · mar 13 gen , 2009 10:50 pm

Masterx, mi piacerebbe, se possibile, dare un'occhiata alla tua running conf specie nelle parti relative alle acl (snellite), al NAT ed ovviammente all'inspect.

Grazie

k4mik4ze · mer 14 gen , 2009 1:38 pm

Aggiungo che sarebbe assai carino mettere "di fronte" le ACL Pre e Post modifica

masterx81 · ven 16 gen , 2009 11:09 am

Scusate, non mi erano arrivate le notifiche di risposta...
Appena sta sera arrivo a casa (le mod le ho fatte su router di casa), se trovo un attimo di tempo, faccio vedere le differenze nelle ACL.
Cmq per esempio supponete che fate fare al router l'aggiornamento del ddns, normalmente dovete ovviamente mettere nelle acl l'apertura per la risposta dell'ip del server ddns. Beh, con questo ip inspect potete far sparire quella voce nell'acl, perchè l'ip inspect apre automaticamente il varco per i pacchetti di ritorno originati dal router (nel caso specifico essendo una richiesta http servira' l'ip inspect name nome_regola tcp router-traffic) .
Stessa storia se volete far fare al router da server dns, o per gli icmp.
Cmq sta sera posto un esempio...

masterx81 · ven 16 gen , 2009 12:25 pm

Allora, l'ho fatto anche da me qua a lavoro. Praticamente questa era l'access list prima dell'ip inspect:

Codice: Seleziona tutto

access-list 100 remark *** ACL ANTI-SPOOFING ***
access-list 100 deny   ip host 0.0.0.0 any log
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any log
access-list 100 deny   ip 192.0.2.0 0.0.0.255 any log
access-list 100 deny   ip 224.0.0.0 31.255.255.255 any log
access-list 100 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 100 deny   ip 172.16.0.0 0.15.255.255 any log
access-list 100 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 100 remark *** ACL PER CONTROLLARE TRAFFICO DNS ***
access-list 100 permit udp host 151.99.125.2 eq domain any
access-list 100 permit udp host 151.99.0.100 eq domain any
access-list 100 permit udp host 212.216.112.112 eq domain any
access-list 100 remark *** ACL PER CONTROLLARE NO-IP ***
access-list 100 permit tcp host 204.16.252.79 eq www any
access-list 100 remark *** ACL PER CONTROLLARE TRAFFICO NTP ***
access-list 100 permit udp host 193.204.114.233 eq ntp any eq ntp
access-list 100 permit udp host 193.204.114.232 eq ntp any eq ntp
access-list 100 remark *** ACL PER APPLICAZIONI SERVER ***
access-list 100 permit tcp any any eq 3389
access-list 100 permit tcp any any eq ftp
access-list 100 permit tcp any any eq www
access-list 100 permit tcp any any eq 8080
access-list 100 permit tcp any any eq 143
access-list 100 permit tcp any any eq 443
access-list 100 remark *** ACL PER VPN ***
access-list 100 permit tcp any any eq 1723
access-list 100 permit udp any eq isakmp any eq isakmp
access-list 100 permit gre any any
access-list 100 remark *** ACL PER CONTROLLARE TRAFFICO ICMP ***
access-list 100 permit icmp any any echo-reply
access-list 100 permit icmp any any time-exceeded
access-list 100 permit icmp any any unreachable
access-list 100 permit icmp any any administratively-prohibited
access-list 100 permit icmp any any packet-too-big
access-list 100 permit icmp any any traceroute
access-list 100 deny   icmp any any
access-list 100 remark *** ACL PER BLOCCARE ACCESSI ***
access-list 100 deny   ip any any

Invece questa è l'acl dopo l'intervento:

Codice: Seleziona tutto

access-list 100 remark *** ACL ANTI-SPOOFING ***
access-list 100 deny   ip host 0.0.0.0 any log
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any log
access-list 100 deny   ip 192.0.2.0 0.0.0.255 any log
access-list 100 deny   ip 224.0.0.0 31.255.255.255 any log
access-list 100 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 100 deny   ip 172.16.0.0 0.15.255.255 any log
access-list 100 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 100 remark *** ACL PER APPLICAZIONI SERVER ***
access-list 100 permit tcp any any eq 3389
access-list 100 permit tcp any any eq ftp
access-list 100 permit tcp any any eq www
access-list 100 permit tcp any any eq 8080
access-list 100 permit tcp any any eq 143
access-list 100 permit tcp any any eq 443
access-list 100 remark *** ACL PER VPN ***
access-list 100 permit tcp any any eq 1723
access-list 100 permit udp any eq isakmp any eq isakmp
access-list 100 permit gre any any
access-list 100 remark *** ACL PER BLOCCARE ACCESSI ***
access-list 100 deny   ip any any

Molto piu', snella, vero?

Questa è la mia attuale config dell'ip inspect

Codice: Seleziona tutto

ip inspect max-incomplete low 250
ip inspect max-incomplete high 300
ip inspect one-minute low 300
ip inspect one-minute high 400
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name inspection-out tcp router-traffic
ip inspect name inspection-out udp router-traffic
ip inspect name inspection-out ftp
ip inspect name inspection-out https
ip inspect name inspection-out dns
ip inspect name inspection-out ntp
ip inspect name inspection-out icmp router-traffic
ip inspect name inspection-out bittorrent
ip inspect name inspection-out edonkey
ip inspect name inspection-out http java-list 50
ip inspect name inspection-out imap
ip inspect name inspection-out irc
ip inspect name inspection-out l2tp
ip inspect name inspection-out pptp
ip inspect name inspection-out pop3
ip inspect name inspection-out smtp
ip inspect name inspection-out telnet
ip inspect name inspection-in http
ip inspect name inspection-in https
ip inspect name inspection-in imap
ip inspect name inspection-in ftp

Codice: Seleziona tutto

interface ATM0.1 point-to-point
 ip inspect inspection-in in
 ip inspect inspection-out out

Codice: Seleziona tutto

access-list 50 remark Permette java nel CBAC
access-list 50 permit any

alfnetx · ven 16 gen , 2009 1:09 pm

Davvero una gran cosa

Grazie Masterx. Stasera metterò a "dieta" le acl con i tuoi suggerimenti:D

nat · dom 15 feb , 2009 9:27 am

Ciao a tutti,riapro il topic di masterx81 per chiarirmi alcuni dubbi (se qualcuno lo farà), in merito alla config. dopo l’intervento infatti vedo che manca l’acl per controllare il traffico icmp in ingresso,se non sbaglio “ip inspect name nome_regola icmp router-traffic” è x il traffico in uscita,quindi andrebbe rimesso come acl?..............saluti.

masterx81 · dom 15 feb , 2009 6:14 pm

In ingresso il cbac non fa passare nulla che prima non sia uscito, se per esempio tu fai un ping verso fuori, il cbac sente il passaggio del pacchetto, e aspetta la risposta lasciando aperta la porta del firewall, cos' che la risposta del ping puo' passare...
Pero' ora mi è venuto un dubbio...
Cosa succede se ad esempio tu mandi un pacchetto tcp, ed il router dopo di te ti manda indietro un icmp dicendoti che il pacchetto era troppo grosso??
Il cbac dubito faccia una acl dinamica per gestire questo comportamento...

Wizard · lun 16 feb , 2009 11:13 am

Cosa succede se ad esempio tu mandi un pacchetto tcp, ed il router dopo di te ti manda indietro un icmp dicendoti che il pacchetto era troppo grosso??

Bella domadna...
Infatti io icmp echo, packet-too-big, traceroute etc li aprirei cmq in entrata

masterx81 · lun 16 feb , 2009 11:20 am

Beh, il traceroute dovrebbe funzionare perchè sono dei ping con ttl decrescente (da quello che mi ricordo...), quindi vedendo i pacchetti uscire li aspetta al rientro...
Forse è solo il packet too big il problema...
Cmq i ping ed i traceroute funzionano senza specificare le voci nelle acl...

Wizard · lun 16 feb , 2009 11:31 am

Cmq i ping ed i traceroute funzionano senza specificare le voci nelle acl...

Da dentro verso fuori ok ma se io voglio pingare la int esterna del router?!

masterx81 · lun 16 feb , 2009 12:30 pm

Wizard ha scritto:
Cmq i ping ed i traceroute funzionano senza specificare le voci nelle acl...
Da dentro verso fuori ok ma se io voglio pingare la int esterna del router?!

Beh, si, in quel caso bisogna aprire

Cmq io preferisco essere invisibile ai ping che vengono da fuori...

Come far controllare all'ip inspect il traffico del router

Login • Iscriviti