Sicurezza router 857w

[Fumetto]

Salve a tutti... sto cercando di aumentare la sicurezza del router... cosa potrei ancora fare?
La configurazione attuale è questa:

Router#sh run
Building configuration...

Current configuration : 3888 bytes
!
! Last configuration change at 15:01:13 UTC Thu Dec 13 2007
! NVRAM config last updated at 15:01:52 UTC Thu Dec 13 2007
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxx
!
resource policy
!
ip subnet-zero
no ip source-route
!
!
ip cef
no ip domain lookup
ip domain name interbusiness.it
ip name-server 151.99.0.100
ip name-server 151.99.125.2
!
!
crypto............
..........
!
!
crypto pki certificate...........
..........
!
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 88.xxx.xxx.10 255.255.255.252
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Dot11Radio0
no ip address
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0
54.0
station-role root
!
interface Vlan1
ip address 88.xxx.xxx.241 255.255.255.248
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
no ip http server
ip http secure-server
!
no cdp run
!
control-plane
!
banner motd ^C
****************************************************************
----------------------------------------------------------------
* *** ---- ROUTER PERIMETRALE ---- *** *
----------------------------------------------------------------
****************************************************************
^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
exec-timeout 3 0
password 7 xxxxxx
login
!
scheduler max-task-time 5000
scheduler interval 500
ntp clock-period 17176806
ntp server 193.204.114.232
end

Manca tutta la parte firewall... posso attivare delle acl su atm? con tipo

Codice: Seleziona tutto

interface atm
ip access-group xxx in

Dovrei inserirla sull'atm o sull'atm0.1?
che differenza passa tra le numerazioni inferiori e superiori a 100?

...in termini pratici... dove posso trovare informazioni al riguardo?
esiste una buona guida online oppure un libro in italiano (che a studiarlo in inglese ci sto impazzendo...)?

Al router sono collegati due server che fanno nat per la rete interna e che hanno ip seguenti a quello della vlan1 che uso come gateway...

Vorrei cominciare a inserire delle ACL per limitare i tentativi di spoofing che vedo dai log dell'ids di uno dei server... se li immetto sull'atm dovrei risolvere, giusto?

Poi vorrei permettere l'accesso a SDM solo dalla rete interna (e quindi solo dagli ip assegnati) ma questo penso di aver capito come fare a farlo...

E' possibile inoltre attivare l'SNMP solo per il pool degli ip assegnati in modo da poter mettere su un pc in lan (con le opportune porte aperte sul server) un server syslog per cominciare a studiare cosa mi dice il router?!?!


Altra domandina semplice... perchè non mi accetta l'istruzione?

Codice: Seleziona tutto

scheduler allocate 1000 750

[SunsetB]

Le ACL da 1 a 99 e da 1300 a 1999 sono le STANDARD e filtrano solo in base all'indirizzo sorgente. Le ACL da 100 a 199 e da 2000 a 2699 sono le ESTESE e possono filtrare anche in base all'indirizzo di destinazione, al protocollo ed alla porta. Le prime andrebbero poste il più vicino possibile alla destinazione, le seconde (le estese) il più vicino possibile alla sorgente.
Puoi trovare molte informazioni cercando su google e andando a sbirciare sul sito Cisco.

[Wizard]

Manca praticamente tutto riguardo alla security...
Il 857 è un 877 e quindi molte funzioni (come qos, dmz, ips... non si possono configurare) però, delle belle acl in ingresso, ip inspect in uscita e tenere aggiurnata la ios è "il minimo".