cisco 887 firewall

Mettete al sicuro la vostra rete!

Moderators: Federico.Lagni, TheIrish, Wizard, andrewp

cisco 887 firewall

Postby fulviobz » Mon 19 Nov , 2018 7:52 pm

Ciao,

ho un router cisco 887 con c880data-universalk9-mz.154-3.M9.bin
con questa config di firewall:

Code: Select all
class-map type inspect match-any self-net-class
 match protocol tcp
 match protocol udp
 match protocol icmp

policy-map type inspect self-net-policy
 class type inspect self-net-class
  inspect
 class class-default
  drop

zone security net

zone-pair security self-net source self destination net
 service-policy type inspect self-net-policy

interface Dialer0
 zone-member security net


Così configurato funziona su TCP e ICMP: ssh, http e ping vengono bloccati da internet.. (facendo un nmap mi da "filtred" come atteso).

Con l'udp invece purtroppo non funziona, si riesce ad accedere al dns e al snmp (udp 53 e 161) che sono servizi attivi sul router è vorrei fossero raggiungibili
solamente della lan interna e non da internet...
(l'ho scoperto notando del traffico anomalo... e analizzando il tutto è saltato fuori che l'snmp veniva usato come amplificatore per un d.o.s.
Code: Select all
Established Sessions
        Session 89964F00 (87.8.x.x:161)=>(144.168.x.x:80) udp SIS_OPEN
          Created 15:06:25, Last heard 00:00:00
          Bytes sent (initiator:responder) [3466555325:133962597]

circa 4K in ingresso che mi facevano buttare fuori 70K
)

Come mai il traffico udp non viene filtrato come il tcp??
fulviobz
Cisco fan
 
Posts: 30
Joined: Sat 25 Feb , 2012 4:14 pm

Re: cisco 887 firewall

Postby paolomat75 » Wed 21 Nov , 2018 9:23 am

Ciao.
Hai provato un altro IOS?

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2911
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: cisco 887 firewall

Postby fulviobz » Thu 22 Nov , 2018 7:24 pm

paolomat75 wrote:Hai provato un altro IOS?


Stesso problema anche col c880data-universalk9-mz.153-3.M10.bin
fulviobz
Cisco fan
 
Posts: 30
Joined: Sat 25 Feb , 2012 4:14 pm

Re: cisco 887 firewall

Postby paolomat75 » Mon 26 Nov , 2018 3:55 pm

Hai provato a mettere un ACL che ti blocca le porte che non vuoi accessibili dal esterno?

Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2911
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: cisco 887 firewall

Postby fulviobz » Thu 29 Nov , 2018 11:49 pm

paolomat75 wrote:Hai provato a mettere un ACL che ti blocca le porte che non vuoi accessibili dal esterno?

Paolo

ho fatto cosi:
Code: Select all
class-map type inspect match-any self-net-class
 match protocol tcp
 match protocol icmp
 match access-group name net-udp

policy-map type inspect self-net-policy
 class type inspect self-net-class
  inspect
 class class-default
  drop

zone-pair security self-net source self destination net
 service-policy type inspect self-net-policy

ip access-list extended net-udp
 deny   udp any eq snmp any
 deny   udp any eq domain any
 permit udp any any

così fa quello che deve fare.. però ora il traffico udp da internet verso il router non viene più bloccato a pare le due porte 53 e 161 :roll: (cosa che succedeva comunque...)

Esiste un comando sul cisco per sapere se ci sono altre porte udp in ascolo sul router? (corrispedivo in linux di: "netstat -tulnp")
fulviobz
Cisco fan
 
Posts: 30
Joined: Sat 25 Feb , 2012 4:14 pm

Re: cisco 887 firewall

Postby paolomat75 » Fri 30 Nov , 2018 2:12 pm

Prova
Code: Select all
sho control-plane host open-ports | i udp


Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2911
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: cisco 887 firewall

Postby fulviobz » Thu 27 Dec , 2018 11:03 am

Qualcosa non torna.. questi i log del router:
Code: Select all
Dec 25 14:03:16 cisco 206: Dec 25 14:03:14.843 CET: %DNSSERVER-3-BADQUERY: Bad DNS query from 139.162.126.103
Dec 26 10:02:38 cisco 207: Dec 26 10:02:37.204 CET: %DNSSERVER-3-BADQUERY: Bad DNS query from 193.140.110.68
Dec 26 13:16:45 cisco 208: Dec 26 13:16:44.320 CET: %DNSSERVER-3-BADQUERY: Bad DNS query from 193.140.110.68
Dec 26 16:14:52 cisco 209: Dec 26 16:14:50.655 CET: %DNSSERVER-3-BADQUERY: Bad DNS query from 193.140.110.68
Dec 26 19:37:30 cisco 210: Dec 26 19:37:29.323 CET: %DNSSERVER-3-BADQUERY: Bad DNS query from 193.140.110.68
Dec 26 22:36:20 cisco 211: Dec 26 22:36:19.216 CET: %DNSSERVER-3-BADQUERY: Bad DNS query from 193.140.110.68
Dec 27 01:20:27 cisco 212: Dec 27 01:20:26.050 CET: %DNSSERVER-3-BADQUERY: Bad DNS query from 193.140.110.68
mi aspettavo che non fosse più possibile usare il server dns del router da internet..
ed effettivamente se provo da un pc esterno pare non vada:
Code: Select all
# nmap 87.X.X.X -p 53 -Pn
PORT   STATE    SERVICE
53/tcp filtered domain
Code: Select all
# dig -t A google.com @87.X.X.X

; <<>> DiG 9.9.5-9+deb8u16-Debian <<>> -t A google.com @87.X.X.X
;; global options: +cmd
;; connection timed out; no servers could be reached
Cosa mi sfugge? :shock: :o
fulviobz
Cisco fan
 
Posts: 30
Joined: Sat 25 Feb , 2012 4:14 pm

Re: cisco 887 firewall

Postby paolomat75 » Fri 28 Dec , 2018 11:57 am

Ciao.
Posta il risultato di
Code: Select all
sho control-plane host open-ports | i udp


Paolo
CCNA R&S and CCNP Route Pass - Studing....
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
 
Posts: 2911
Joined: Fri 29 Jan , 2010 10:25 am
Location: Prov di GE

Re: cisco 887 firewall

Postby fulviobz » Fri 28 Dec , 2018 4:28 pm

Code: Select all
#sho control-plane host open-ports | i udp
 udp                     *:55548                         *:0                  IP SNMP   LISTEN
 udp                        *:53                         *:0               DNS Server   LISTEN
 udp                        *:67                         *:0            DHCPD Receive   LISTEN
 udp                       *:123                         *:0                      NTP   LISTEN
 udp                       *:161                         *:0                  IP SNMP   LISTEN
 udp                       *:162                         *:0                  IP SNMP   LISTEN
fulviobz
Cisco fan
 
Posts: 30
Joined: Sat 25 Feb , 2012 4:14 pm


Return to Sicurezza

Who is online

Users browsing this forum: No registered users and 0 guests