cisco 887 firewall

Mettete al sicuro la vostra rete!

Moderators: Federico.Lagni, TheIrish, Wizard, andrewp

cisco 887 firewall

Postby fulviobz » Mon 19 Nov , 2018 7:52 pm

Ciao,

ho un router cisco 887 con c880data-universalk9-mz.154-3.M9.bin
con questa config di firewall:

Code: Select all
class-map type inspect match-any self-net-class
 match protocol tcp
 match protocol udp
 match protocol icmp

policy-map type inspect self-net-policy
 class type inspect self-net-class
  inspect
 class class-default
  drop

zone security net

zone-pair security self-net source self destination net
 service-policy type inspect self-net-policy

interface Dialer0
 zone-member security net


Così configurato funziona su TCP e ICMP: ssh, http e ping vengono bloccati da internet.. (facendo un nmap mi da "filtred" come atteso).

Con l'udp invece purtroppo non funziona, si riesce ad accedere al dns e al snmp (udp 53 e 161) che sono servizi attivi sul router è vorrei fossero raggiungibili
solamente della lan interna e non da internet...
(l'ho scoperto notando del traffico anomalo... e analizzando il tutto è saltato fuori che l'snmp veniva usato come amplificatore per un d.o.s.
Code: Select all
Established Sessions
        Session 89964F00 (87.8.x.x:161)=>(144.168.x.x:80) udp SIS_OPEN
          Created 15:06:25, Last heard 00:00:00
          Bytes sent (initiator:responder) [3466555325:133962597]

circa 4K in ingresso che mi facevano buttare fuori 70K
)

Come mai il traffico udp non viene filtrato come il tcp??
fulviobz
Cisco fan
 
Posts: 28
Joined: Sat 25 Feb , 2012 4:14 pm

Re: cisco 887 firewall

Postby paolomat75 » Wed 21 Nov , 2018 9:23 am

Ciao.
Hai provato un altro IOS?

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2909
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: cisco 887 firewall

Postby fulviobz » Thu 22 Nov , 2018 7:24 pm

paolomat75 wrote:Hai provato un altro IOS?


Stesso problema anche col c880data-universalk9-mz.153-3.M10.bin
fulviobz
Cisco fan
 
Posts: 28
Joined: Sat 25 Feb , 2012 4:14 pm

Re: cisco 887 firewall

Postby paolomat75 » Mon 26 Nov , 2018 3:55 pm

Hai provato a mettere un ACL che ti blocca le porte che non vuoi accessibili dal esterno?

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2909
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: cisco 887 firewall

Postby fulviobz » Thu 29 Nov , 2018 11:49 pm

paolomat75 wrote:Hai provato a mettere un ACL che ti blocca le porte che non vuoi accessibili dal esterno?

Paolo

ho fatto cosi:
Code: Select all
class-map type inspect match-any self-net-class
 match protocol tcp
 match protocol icmp
 match access-group name net-udp

policy-map type inspect self-net-policy
 class type inspect self-net-class
  inspect
 class class-default
  drop

zone-pair security self-net source self destination net
 service-policy type inspect self-net-policy

ip access-list extended net-udp
 deny   udp any eq snmp any
 deny   udp any eq domain any
 permit udp any any

così fa quello che deve fare.. però ora il traffico udp da internet verso il router non viene più bloccato a pare le due porte 53 e 161 :roll: (cosa che succedeva comunque...)

Esiste un comando sul cisco per sapere se ci sono altre porte udp in ascolo sul router? (corrispedivo in linux di: "netstat -tulnp")
fulviobz
Cisco fan
 
Posts: 28
Joined: Sat 25 Feb , 2012 4:14 pm

Re: cisco 887 firewall

Postby paolomat75 » Fri 30 Nov , 2018 2:12 pm

Prova
Code: Select all
sho control-plane host open-ports | i udp


Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2909
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE


Return to Sicurezza

Who is online

Users browsing this forum: No registered users and 3 guests