router cisco 837

[mako]

Perdona la schiettezza... ma veramente il router funziona con quelle ACL?

si, fa tutto quello che mi serve

cmq se hai dei suggerimenti utili, o ritieni che qualcosa non va bene, mi saresti veramente utile

c'è sempre da imparare, giusto?

Grazie,ciao ciao

[TheIrish]

Ciao! Bella questione quella dell'smtp. L'unica cosa che posso dire è che il sistema di auditing per smtp supporta solo l'smtp tradizionale, non l'esmtp. Per verificare la tipologia di protocollo impiegata, puoi fare un telnet alla porta 25 del tuo mail provider. Posso consigliarti di disabilitare ogni ispezione su smtp e vedere se la situazione migliora?
Detto questo, effettivamente le access-list che hai creato sono abbastanza bizzarre... ma d'altra parte, l'hardening della sicurezza è un arte e gli artisti devo essere liberi di esprimersi, no?
Si possono migliorare? certo. Però prima sarebbe indispensabile che tu postassi una breve descrizione della tua rete, includendo informazioni sulle operazioni concesse agli utenti, perché leggendo le ACL non mi salta all'occhio.
Sarò molto felice di darti qualche consiglio.

[mako]

eccomi di nuovo qui...
come richiesto da the irish una breve descrizione della rete aziendale.

nulla di più semplice: un solo server di dominio con 20 work station collegate, nessun mail, ras, web, proxy server, e il router cisco 837 nuovo di zecca che spero possa funzionare al più presto.

Togli i comandi di ip audit e tutto funzionerà magicamente.

ok, proverò a disabilitare il tutto.

ciao

[TheIrish]

Perdonami, ma per server di dominio intendi un DNS o un dominio Windows?
Nel primo caso, serve solo a fare caching?
Nel secondo, deve accedere a internet?

[mako]

...server di dominio intendevo windows.

non c'è nessun server dns

grazie ancora

[TheIrish]

deve accedere a internet o è solo locale?

[MrCisco]

si irish, effettivamente la cosa è curiosa.
per esempio:

Codice: Seleziona tutto

ip access-list extended e0-in
deny ip any 0.0.0.0 0.255.255.255 log
deny ip any 10.0.0.0 0.255.255.255 log
deny ip any 127.0.0.0 0.255.255.255 log
deny ip any 192.0.0.0 0.255.255.255 log
deny ip any 172.16.0.0 0.15.255.255
deny ip any 224.0.0.0 31.255.255.255 log
deny ip any 192.0.2.0 0.0.0.255 log
deny ip any 169.254.0.0 0.0.255.255 log 

ma poi, qualche riga più in basso, dice:

Codice: Seleziona tutto

 permit tcp 192.168.0.0 0.0.0.255 gt 1023 any eq www
permit tcp 192.168.0.0 0.0.0.255 gt 1023 any eq 443
permit udp 192.168.0.0 0.0.0.255 gt 1023 any eq domain
permit ip 192.0.0.0 0.255.255.255 any
permit icmp 192.168.0.0 0.0.0.255 any echo
permit tcp 192.168.0.0 0.0.0.255 gt 1023 any eq smtp 

Non dimentichiamo che le regole vengono lette dall'alto verso il basso e appena una viene verificata, stop, non continua.
Ma che indirizzi utilizzi?

[mako]

il server in questione è solo locale.

non viene utilizzato per l'accesso ad internet

[mako]

il server in questione è solo locale.

non viene utilizzato per l'accesso ad internet

[TheIrish]

Ok, ehm... come dire, le ACL sono un po' da ritoccare...
Nel senso, cancellale.
Di fatto ti servono 2 istruzioni in tutto per permettere alla LAN al navigazione nuda e cruda al 100% di sicurezza.
Pensiamo ad una ACL da associare ad ATM0.1 in.

Codice: Seleziona tutto

ip acces-list extended atm0.1_in
permit tcp any any established
permit udp any eq domain any

Il primo dice: "fai entrare qualsiasi cosa sia stato richiesto dall'interno"
il secondo dice: "fai entrare il responso delle richieste DNS"
il resto, nega.
Se hai esigenze particolari, facci sapere!

[mako]

..quindi la mia conf diventerebbe cosi, evitando tutte quelle istruzioni che mi hanno incasinato?!?!


version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname gruppo
!
enable secret 5 $1$G3Q2$SL4jNisDPTwmabjq4IV5h.
!
no aaa new-model
ip subnet-zero
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool CLIENT
import all
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
lease 0 2
!
!
no ip bootp server
ip cef
ip inspect audit-trail
ip inspect max-incomplete low 20
ip inspect one-minute low 20
ip inspect udp idle-time 15
ip inspect tcp idle-time 1800
ip inspect tcp finwait-time 1
ip inspect tcp synwait-time 15
ip inspect name INTERNET-IN tcp alert on audit-trail on
ip inspect name INTERNET-IN udp alert on audit-trail on
ip inspect name INTERNET-IN smtp alert on audit-trail on
ip inspect name INTERNET-IN http alert on audit-trail on
ip inspect name INTERNET-IN fragment maximum 50 timeout 1
ip inspect name INTERNET-OUT tcp alert on audit-trail on
ip inspect name INTERNET-OUT udp alert on audit-trail on
ip inspect name INTERNET-OUT smtp alert on audit-trail on
ip inspect name INTERNET-OUT http alert on audit-trail on
ip inspect name INTERNET-OUT fragment maximum 50 timeout 1
ip audit notify log
ip audit po max-events 100
ip audit smtp spam 20
ip audit name INTERNET-IN info action alarm
ip audit name INTERNET-IN attack action alarm drop reset
ip audit name INTERNET-OUT info action alarm
ip audit name INTERNET-OUT attack action alarm drop reset
vpdn enable
!
no ftp-server write-enable
!
!
!
!
!
!
!
interface Ethernet0
ip address 192.168.0.1 255.255.255.0
ip access-group atm0.1-in in
no ip unreachables
no ip proxy-arp
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
bundle-enable
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
ip access-group atm0.1-in in
ip mtu 1492
ip nat outside
ip inspect INTERNET-IN in
ip inspect INTERNET-OUT out
ip audit INTERNET-IN in
ip audit INTERNET-OUT out
pvc 8/35
protocol ip xxx.xxx.xxx.xxx broadcast
oam-pvc manage
encapsulation aal5snap
!
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
ip nat inside source list 1 interface ATM0.1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
no ip http server
no ip http secure-server
!
!
ip access-list extended atm0.1-in

permit tcp any any established
permit udp any eq domain any
deny tcp any any range 0 65535 log
deny udp any any range 0 65535 log
deny ip any any log
!
!

line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 0 0
password 7 073C00787B3B372A
login
!
scheduler max-task-time 5000
!
end


speriamo in bene

[TheIrish]

Quasi,
hai cancellato un ACL di troppo, ovvero:
access-list 1 permit 192.168.0.0, wildcard bits 0.0.0.255
poi, DEVI:
1. eliminare ip access-group atm0.1-in in da Ethernet0
Quella istruzione va solo in ATM0.1
2. Eliminare:
deny tcp any any range 0 65535 log
deny udp any any range 0 65535 log
deny ip any any log
in quanto alla fine di ogni ACL c'è un deny ip any any implicito. Puoi al massimo dare un deny ip any any log se hai bisogno dei log, ma potrebbero essere tonnellate!
dovremmo essere a posto.
ricordati di eliminare gli inspect per smtp e vedere se così funziona

[mako]

ok, very well!!

grazie per gli aiuti e per il tempo dedicatomi.

appena aggrinfio il cisco lo configuro e vi faccio sapere..

a risentirci

[mako]

bene, rieccomi qui!!

se vi racconto cosa mi è successo con questo benedetto router stenterete a crederci.

ieri sera appena ho acceso il bestia, questi mi accoglie con un bel messaggio di benvenuto: al digitare della enable pass mi dice

% bad secrtes

..nulla di grave; password recovery e tutto a posto.. pero che iella!!


appena configurato il tutto con la conf che mi ha suggerito the irish il router non si allinea alla adsl.

mettendo il cisco sotto consolle vedo che tutte le interfaccie si alzano tranne la atm che è in down. da precisare che l'atm0.1 è up così come tutte le altre interfacce.

se mando manualmente la atm in up non accade un bel niente e il router continua ad essere fermo.

cosa ne dite???

grazi e ciao

[/b]

[TheIrish]

mmm, strano.
Anche perché l'allineamento non dovrebbe aver a che vedere con le ACL perché è un'operazione di layer 2...
CMQ, per escludere ogni possibilità, per il momento elimina ip group su tutte le interfacce e controlla se si allinea.
Se lo fa, metti l'acl che ti ho dato su e0 out.
Altrimenti il problema è altrove