SOHO 77H e il CRWS da remoto, come disabilitarlo?

[UoMoTaLpA]

Salve bimbi, il mio quesito è già intuibile dal titolo del thread... Possiedo un soho 77h che funziona alla perfezione come router adsl. La conf è perfettamente a posto (credo ), l'unico dubbio che resta è su come disabilitare il crws da remoto. Certo, c'è la password di accesso, ma non sarebbe meglio togliere completamente la possibilità di accedervi? Ho pensato anche di cambiare la porta, il che aumenterebbe di un pelo la sicurezza, ma di fronte ad un portscan non ci sarebbe nulla da fare. Ho pensato di disabilitarlo del tutto, addirittura anche di cancellare la webflash di netto, ma perché devo rinunciare al crws (anche se fa tutto sommato schifo) se magari c'è un modo di disabilitarne l'accesso dall'esterno?
Purtroppo il 77h non offre funzionalità firewall, per cui questa soluzione è esclusa... Qualcuno ha qualche suggerimento?

Grazie!!!

[TheIrish]

Purtroppo il 77h non offre funzionalità firewall

non avrà firewall di livello sessione, ma filtering di livello 3 dovrà pur averlo! una acl su atm0.1 (o dialer, a seconda della conf) e la cosa è fatta.

[UoMoTaLpA]

Proprio te aspettavo ^_^ ma... potresti mica essere un pelino più logorroico nella spiegazione? non sono esattamente un genio nel maneggiare lo IOS

p.s. ti ho addato a msn, se vuoi sbloccami

Edit: posto stratup-config e ip interfaces, sia mai che servano

SHOW STARTUP-CONFIG:


Using 3832 out of 131072 bytes
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname XXXXXXXXXXXXXXXXXX
!
boot-start-marker
boot-end-marker
!
enable secret 5 XXXXXXXXXXXXXXXXXX
!
ip subnet-zero
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool CLIENT
import all
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
lease 0 2
!
username XXXXXXXXXXXXXXXXXX password 7 XXXXXXXXXXXXXXXXXX
!
!
!
interface Ethernet0
ip address 10.10.10.1 255.255.255.0
ip nat inside
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface Dialer1
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname XXXXXXXXXXXXXXXXXX
ppp chap password 7 XXXXXXXXXXXXXXXXXX
ppp pap sent-username XXXXXXXXXXXXXXXXXX password 7 XXXXXXXXXXXXXXXXXX
B4705100A
ppp ipcp dns request
ppp ipcp wins request
!
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static udp 10.10.10.3 XXXXX interface Dialer1 XXXXX
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
!
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 120 0
stopbits 1
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
end

SHOW IP INTERFACE:


ATM0 is up, line protocol is up
Internet protocol processing disabled
Dialer1 is up, line protocol is up
Internet address is XXX.XXX.XXX.XXX/XX
Broadcast address is 255.255.255.255
Address determined by IPCP
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is enabled
IP CEF switching is disabled
IP Feature Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast
Router Discovery is disabled
IP output packet accounting is disabled
IP access violation accounting is disabled
TCP/IP header compression is disabled
RTP/IP header compression is disabled
Policy routing is disabled
Network address translation is enabled, interface in domain outside
WCCP Redirect outbound is disabled
WCCP Redirect inbound is disabled
WCCP Redirect exclude is disabled
BGP Policy Mapping is disabled
Ethernet0 is up, line protocol is up
Internet address is 10.10.10.1/24
Broadcast address is 255.255.255.255
Address determined by non-volatile memory
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is disabled
IP CEF switching is disabled
IP Feature Fast switching turbo vector
IP multicast fast switching is disabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast
Router Discovery is disabled
IP output packet accounting is disabled
IP access violation accounting is disabled
TCP/IP header compression is disabled
RTP/IP header compression is disabled
Policy routing is disabled
Network address translation is enabled, interface in domain inside
WCCP Redirect outbound is disabled
WCCP Redirect inbound is disabled
WCCP Redirect exclude is disabled
BGP Policy Mapping is disabled
Virtual-Access1 is up, line protocol is up
Internet protocol processing disabled
Virtual-Access2 is up, line protocol is up
Peer address is 192.168.100.1
Dialer interface is Dialer1

Così già che ci siamo magari qualcuno vede qualche errore nel conf e mi dice anche come eventualmente risolverlo ^__^

Grazie

[TheIrish]

Sì, scusa hai ragione, ma sono sempre di fretta.
CRWS è un'interfaccia web (penso di averla usato una volta nella vita) e, tranne contr'ordini, presuno che ascolti le connessioni sulla porta 80.
Quindi, escludendo ulteriori configurazioni (che cmq sarebbero necessarie per implementare ulteriori politiche di sicurezza):

Codice: Seleziona tutto

access-list 105 deny tcp any any 80
access-list 105 permit ip any any

questa, da applicare al dialer1 con:

Codice: Seleziona tutto

interface dialer1
ip access-group 105 in

Comunque sia, come già detto, posso dire di non conoscere CRWS. Non escluderei la presenza di un comando che permetta di dire su quale interfaccia ascoltare o affini.

[UoMoTaLpA]

sarò deficiente ma mi da errore su "access-list 105 deny etc etc"...

ricapitolando:

conf t
access-list 105 deny tcp any any 80


segue errore sotto "80", come se mancasse qualcosa :-\

trovato l'inghippo...

Codice: Seleziona tutto

access-list 105 deny tcp any any eq 80

mancava un "eq"

[UoMoTaLpA]

trovato l'inghippo... ma inutilmente.

sia così:

Codice: Seleziona tutto

access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 105 deny   tcp any any eq 80
dialer-list 1 protocol ip permit

che così:

Codice: Seleziona tutto

access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 105 permit ip any any
access-list 105 deny   tcp any any eq 80
dialer-list 1 protocol ip permit

il crws rimane accessibile dall'esterno

[TheIrish]

Scusa per l'eq, sono veramente rimbecillito.
cmq, io ho scritto:

Codice: Seleziona tutto

access-list 105 deny tcp any any eq 80
access-list 105 permit ip any any

non:

access-list 105 deny tcp any any eq 80

e nemmeno

access-list 105 permit ip any any
access-list 105 deny tcp any any eq 80

E comunque, l'hai applicata all'interfaccia?

[UoMoTaLpA]

mmm allora andiamo con ordine...

vado di "conf t", poi nell'ordine:

Codice: Seleziona tutto

access-list 105 deny tcp any any eq 80
access-list 105 permit ip any any

e di seguito, per addare il tutto al dialer1 scrivo:

Codice: Seleziona tutto

interface dialer1
ip access-group 105 in

fatto questo, il config diventa:

Codice: Seleziona tutto

interface Dialer1
 ip address negotiated
 ip access-group 105 in
 ip nat outside
 encapsulation ppp

[...]

!
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 105 permit ip any any
access-list 105 deny   tcp any any
access-list 105 deny   tcp any any eq www
dialer-list 1 protocol ip permit
!
line con 0
 exec-timeout 120 0
 stopbits 1
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login local
 length 0
!
scheduler max-task-time 5000
end

... e il crws rimane accessibile :-\
Probabile che sia io ad esser troppo niubbo e sbaglio qualcosa...

[MrCisco]

non è q
uestione di niubbo è questione di... beh, insomma.
GUARDA BENE COSA C'E' SCRITTO NELLA TUA CONF!
Quanti comandi ci sono nell'acl 105 che ti ha dato l'irish? quante nella tua?
guarda:

Codice: Seleziona tutto

access-list 105 permit ip any any
access-list 105 deny   tcp any any
access-list 105 deny   tcp any any eq www

Se magari ti ricordi di levare un permit ip any any in cima alla lista... e poi è ancora diverso da quello che ti ha dato l'irish:
dai un no access-list 105 e poi:

Codice: Seleziona tutto

access-list 105 deny   tcp any any eq www
access-list 105 permit ip any any

quando dai uno show run o uno show access-list nella 105 devono esserci solamente quei comandi

[UoMoTaLpA]

MrCisco e TheIrish non saprei quale dei due ringraziare di più...

CRWS inattivo dall'esterno, grazie infinite ^___^

[MrCisco]

bene bene. buon divertimento