Consiglio su sicurezza con 2811

[amatteo78]

Ciao a tutti,

ho installato in un ced di un grosso provider un router 2811, un pix 501 e un catalyst 2950, così assemblati, il cisco 2811 ha la fa0/0 connessa con il ced e la fa0/1 divisa in 4 sotto interfacce in trunk con il catalyst 2950, che è diviso in 4 vlan, la vlan 11 è su una porta su cui è connesso il pix 501, la vlan 12 attiva su più porte con vari server di tipo web,mail,dns e la vlan 13 su altre porte con connessi server voip (asterisk) in realtà questi server arriveranno tra un pò.

Ora la security per i server dietro al pix se la fai lui direttamente mentre quella per vlan 12 e 13 la fà il 2811.

Ho pensato di appilcare alla fa0/0 un inspect tcp e udp in IN e non appilcare direttamente sulla fa0/0 le access-list come in realtà dice cisco, ma le ho applicate alle subinterface in out, così da poter diversificare le access-list in base a i server che stanno dietro alle varie subinterface, visto che sono state creati in basa a una tipologia di applicazione più o meno, inoltre sul 2811 ho attivato la possibilità di collegarmi in vpn tramite il client vpn per fare management di lui e del catalyst se non sono nel mio ufficio da dove invece è possibile direttamente il telnet.

Cmq vi posto la conf del 2811 che monta come ios la "c2800nm-advsecurityk9-mz.124-1b"

P.s. sulla fa0/0 c'è un pubblico in classe /30 solo per ptp con il ced che poi mi gira una rete da 64 indirizzi che io mi sono subnettato utilizzando le subinterface, anche se ora non li uso tutti.......
Ancora una cosa sulla fa0/1.2 ho applicato un inspect in "IN" più che per il controlle dei pachetti generati dal mio server ma per aprirmi le porte di rientro visto che un access-list in out sulla stessa subint......

Codice: Seleziona tutto

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname router2811
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$bQZL$cKuvgfrpshhXxuYSMGwwH.
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local 
!
aaa session-id common
!
resource policy
!
ip subnet-zero
!
!
ip cef
ip inspect name myfw-global tcp
ip inspect name myfw-global udp
ip inspect name myfw-sty tcp
ip inspect name myfw-sty udp
ip inspect name myfw-sty ftp
ip inspect name myfw-sty telnet
ip inspect name myfw-sty ssh
ip inspect name myfw-sty smtp
ip inspect name myfw-sty imap
ip inspect name myfw-sty pop3
ip inspect name myfw-sty http
ip inspect name myfw-sty https
ip inspect name myfw-sty dns
no ip dhcp use vrf connected
!
!
no ip ips deny-action ips-interface
!
!
!
!
username cisco password 0 cisco
!
! 
!
crypto isakmp policy 3
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp client configuration group vpnclient
 key cisco123
 domain test.it
 pool vpnpool
 acl vpn-match
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac 
!
crypto dynamic-map dynmap 10
 set transform-set myset 
 reverse-route
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap 
!
!
!
interface FastEthernet0/0
 ip address IP-PUBBLICO-PTP-CON-PROVIDER  255.255.255.252
 ip inspect myfw-global in
 duplex auto
 speed 100
 crypto map clientmap
!
interface FastEthernet0/1
 no ip address
 duplex full
 speed 100
!
interface FastEthernet0/1.1
 encapsulation dot1Q 11
 ip address IP-PUBBLICO-VERSO-IL-PIX 255.255.255.252
 no snmp trap link-status
!
interface FastEthernet0/1.2
 encapsulation dot1Q 12
 ip address IP-PUBBLICO-VERSO-SERVER-WEB-MAIL 255.255.255.248
 ip access-group permit-sty out
 ip inspect myfw-sty in
 no snmp trap link-status
!
interface FastEthernet0/1.3
 encapsulation dot1Q 13
 ip address IP-PUBBLICO-VERSO-SERVER-VOIP 255.255.255.248
 no snmp trap link-status
!
interface FastEthernet0/1.4
 encapsulation dot1Q 1 native
 ip address 192.168.90.1 255.255.255.0 **IP PRIVATO PER IL CONTROLLO**
 no snmp trap link-status
!
ip local pool vpnpool 192.168.91.1 192.168.91.254
ip classless
ip route 0.0.0.0 0.0.0.0 DW-GATEWAY
!
ip http server
no ip http secure-server
!
ip access-list extended permit-sty
 permit tcp any host IP-PUB-SERVE eq ftp-data
 permit tcp any host IP-PUB-SERVE eq ftp
 permit tcp any host IP-PUB-SERVE eq 22
 permit tcp any host IP-PUB-SERVE eq telnet
 permit tcp any host IP-PUB-SERVE eq smtp
 permit udp any host IP-PUB-SERVE eq domain
 permit tcp any host IP-PUB-SERVE eq www
 permit tcp any host IP-PUB-SERVE eq pop3
 permit tcp any host IP-PUB-SERVE eq 143
 permit tcp any host IP-PUB-SERVE eq 443
 permit tcp any host IP-PUB-SERVE eq 8443
ip access-list extended telnet-in
 permit tcp host IP-PUBBLICO-MIO-UFFICIO any eq telnet
 permit tcp 192.168.91.0 0.0.0.255 any eq telnet
ip access-list extended vpn-match
 permit ip 192.168.90.0 0.0.0.255 192.168.91.0 0.0.0.255
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
 access-class telnet-in in
 password cisco
!
scheduler allocate 20000 1000
!
end

Grazie mille per i consigli che mi darete.....

Saluti

Matteo

[amatteo78]

ma è possibile che nessuna mi dica almeno che sono un.......
nessuno si è accorto che ho lasciato attivo "ip http server" e che senza nessuna access-list sulla fa0/0 potevano da fuori invocare l'http.....

Dai un errore l'ho scovato io.... meglio direi un mio amico... ora vediamo chi altro si lancia.... saluti

Mat

[Wizard]

Se hai la ios giusta configura anche l'ips almeno in entrata

[amatteo78]

ciao, ho la c2811-advanced-securityk9-124 etc etc

una cosa... lo sai che ho dovuto togliere l'ip inspect sulla fa0/0 in "in" del tcp e udp.... e lo stesso in out dalla fa0/1 e lasciare l'inspect solo dei pacchetti singoli tipo http, dns, etc etc.... altrimenti mi si rallentava tutto il traffico in maniere molto evidente.

Ho letto che l'inspect completo tcp e udp solo router dalla seria 7200 in su riescono a gestirla bene....

cosa ne pensi ?? e per l'ips dici che riesce ?? cosa dici il 128 o il 256 ??

Saluti

[Wizard]

Per l'ip inspect hai fatto bene, quanti host hai dietro al router?
L'ips configuralo almeno in entrata (in entrata sulla interfaccia esterna):

Codice: Seleziona tutto

ip ips sdf location disk2:attack-drop.sdf retries 3
ip ips name IPS-IN

ip ips signature 2004 0 disable
ip ips signature 2001 0 disable
ip ips signature 2005 0 disable
ip ips signature 2000 0 disable

(config)#interface ***
(config-subif)# ip ips IPS-IN in

Fammi sapere

[amatteo78]

dietro ho 4 server, 1 web+dns+mail, 1 solo web, 1 con davanti un pix che fà vpn con rete cliente e il server ha exchange server e 1 voip con asterisk.

domani attivo l'ips..... e ti dico....