Firewall su 837

[aries58net]

Mi hanno chiesto di impostare il firewall su un 837 che abbiamo in ditta, che consenta di navigare e di usare FTP (come client..)....dopo essermi letto un po di CISCO IOS in a NUTSHELL ho partorito questa conf che riporto..vorrei sapere se c'e' qualche errore grossolano o no ....a me pare che funzioni

Codice: Seleziona tutto

!
version 12.1
service nagle
no service pad
service tcp-keepalives-in
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname CISCO
!
logging buffered 4096 debugging
enable secret (HASHED PASSWORD)
!
!
!
!
!
ip subnet-zero
no ip source-route
no ip finger
no ip domain-lookup
ip domain-name router.lugo.it
ip name-server x.x.x.x
ip name-server y.y.y.y
!
no ip bootp server
ip inspect name FW h323
ip inspect name FW smtp
ip inspect name FW tcp
ip inspect name FW udp
ip inspect name FW fragment maximum 256 timeout 1
ip inspect name FW tftp
ip inspect name FW ftp
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
!
!
interface Ethernet0
 ip address a.b.c.d 255.255.255.0
 ip access-group 111 out
 ip nat inside
 ip inspect FW in
 no cdp enable
!
interface ATM0
 no ip address
 load-interval 30
 no atm ilmi-keepalive
 bundle-enable
 dsl operating-mode auto
 hold-queue 224 in
!
interface ATM0.1 point-to-point
 bandwidth 640
 ip address (STATIC IP) 255.255.255.252
 ip nat outside
 pvc 8/35
  encapsulation aal5snap
 !
!
ip nat inside source route-map web interface ATM0.1 overload
ip nat inside source static a.c.d.c s.s.s.s
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip route x.x.x.x 255.255.255.0 (OTHER ROUTER IN THE LAN)
ip route y.y.y.y 255.255.255.0 (OTHER ROUTER IN THE LAN)
ip http server
!
access-list 1 permit 192.168.100.0 0.0.0.255
access-list 2 permit any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any any eq ntp
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit tcp any any established
access-list 111 permit udp any eq domain any
no cdp run
route-map web permit 10
 match ip address 1
 match interface ATM0.1
!
snmp-server engineID local XXXXXXXXXXXXXXXXXXXXXX
snmp-server community public RO
!
line con 0
 password XXXXXXXXXXXXXX
 login
 transport input none
 stopbits 1
line vty 0 4
 access-class 2 in
 password XXXXXXXXXXXXXX
 login
!
no scheduler max-task-time
end

Fatemi sapere !!!!! TIA

[TheIrish]

1. Fra gli icmp che hai permesso tramite la lista 111, la maggior parte sono delle risposte. Ora, fra gli ip inspect a tua disposizione ci dovrebbe essere anche icmp...

access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm

Perché? A chi potrebbe interessare lì fuori?
Per il resto la 111 va bene.
Un'altra cosa, non pensi sia il caso di proteggere il router da configuratori folli. Io metterei qualcosa sull'atm0.1 in, giusto per precauzione.

[aries58net]

Ma...per quel che ne no è possibile mettere delle inspect sull ICMP ....non è proprio previsto dal CBAC che non vede per niente quel protocollo....correggimi se sbaglio...!

per il resto ho applicato sia le inspect che le access-list alla ethernet0...pensando fosse lo stesso che in qualsiasi altra interfaccia ( beh quasi...ci siamo capiti..)e quel che conta e' azzeccare il verso giusto.....
avrei fatto meglio applicare l'access-list alla atm0.1 ...? o cosaltro ???...Acc!! il CBAC comincia a essere dannatamente difficile!!!!!!

[aries58net]

Che differenza faceva se applicavo le inspect e le access list all'interfaccia atm0.1 invece che sull'e0????

[marckalex]

Re:

Ciao,

mi permetto di fare un'osservazione :

Tua frase : Mi hanno chiesto di impostare il firewall su un 837 che abbiamo in ditta, che consenta di navigare e di usare FTP (come client..)....

il buon senso detta che è piu sensato permettere solo quello che serve dalla lan verso internet e/o verso le varie destinazioni e negare tutto il resto....dato che è poco utile generare la richiesta lasciare che entri nel router per rigettarla...dato che, come da corso CCNA, si tende a bloccare vicino alla sorgenti.

Inoltre sulla atm, dialer o sub int atm...permettere solo quello che serve e negare il resto..questo primo perche il NAT è una falsa sicurezza, inoltre evitiamo stravasi di traffico inutile e/o tossico da internet verso la LAN...inoltre eventuali prob anche di spoofing, ecc.

Le funzioni di FW, a mio avviso..,sono reltivamente utili specialmente se nn ti tengono servizi permeneti su internet. Inspect e audit solo da traffico nativo da internet verso una DMZ o una LAN.

By Marckalex

[aries58net]

OK mi hai convinto .....credo che cosi' sia piu' corretto: (a proposito quella riportata e' la conf di un 827, quella dell'837 pero' e' eguale!!!) ....finora tutto sembra funzionare al meglio....

Se avete qualche consiglio per migliorare....sono tutto orecch!!!!

Codice: Seleziona tutto

interface ATM0.1 point-to-point
bandwidth 640
ip address (STATIC IP) 255.255.255.252
ip inspect FW out
ip access-group 111 in
ip nat outside
pvc 8/35
encapsulation aal5snap
 ! 

[TheIrish]

Che differenza faceva se applicavo le inspect e le access list all'interfaccia atm0.1 invece che sull'e0????

dal tuo punto di vista, relativamente poco, ma sai, è una questione di approccio.
In presenza di NAT delle acl su un'interfaccia esterna hanno "proprietà" diverse da quelle posizionate su un interfaccia interna.
Per esempio (sempre nel caso di NAT), se poni delle ACL sull'interfaccia esterna, ti sarà impossibile discriminare le destinazioni. In altre parole non puoi dire, "...solo se va verso 192.168.0.10" perché il router ancora non conosce gli indirizzi interni (come non conosce le sorgenti in senso opposto).
D'altra parte però, se poni delle ACL sull'interfaccia esterna, ti sarà possibile filtrare il traffico ancor prima che esso "tocchi" il router.
In linea di massima, io lavoro in questo modo:
sull'interfaccia esterna metto una acl che filtra tutto quello che SICURAMENTE non deve entrare, in soldoni (se non ho server interni, falcio le porte inferiori alla 1024) e in più falcio tutti i servizi con i quali il router sarebbe in grado di parlare, ma non voglio che lo faccia (tipo telnet e affini).
sull'interfaccia interna, invece, metto un'altra acl che funziona esattamente al contrario. Di politica base nega tutto, eccetto il traffico di ritorno, i dns ecc. ecc.
sempre sull'interfaccia interna, mi è possibile dire al router quali servizi possono essere utilizzati dalla lan (navigare web, (dest: 80) posta (dest 25) ) ecc. lo faccio qui, di modo che i dati possano essere filtrati prima che "entrino" nel router e siano sottoposti a nat per poi magari essere scartati più avanti.
spero di essere stato chiaro

[aries58net]

Chiaro.....Se tu potessi farmi un esempio pratico,magari in relazione alla conf che ho postato, te ne sarei grato (della serie:un esempio vale piu' di mille discorsi!!!!!)

TIA

[marckalex]

Re:

Io in una situazione normale di router che si limita all'accesso/NAT/minima sicurezza necessaria...la metto cosi per quanto riguada l'ACL...ovviamente ipotizando che la LAN sia intesa sicura e senza gente che fa cose strane.....le limitazioni per la LAN sono a personalizzazione :

!
ip access-list extended inside-lan
permit ip 192.168.0.0 0.0.0.255 any
permit icmp 192.168.0.0 0.0.0.255 any
deny tcp any any range 135 139
deny udp any any range 135 netbios-ss
deny ip any any
remark *** Inside ACL for Local LAN ***
remark *********************************
!
!
ip access-list extended outside-wan
permit tcp any any gt 1023 established
permit tcp any eq ftp-data any gt 1023
permit udp host NTP_Server_PUB any eq ntp
permit udp host NTP2_Server_PUB any eq ntp
permit icmp any any echo-reply
permit icmp any any packet-too-big
permit icmp any any time-exceeded
deny icmp any any redirect
deny icmp any any information-reply
deny icmp any any information-request
deny icmp any any mask-reply
deny icmp any any mask-request
deny icmp any any fragments
deny icmp any any net-tos-redirect
deny icmp any any ttl-exceeded
deny icmp any any source-route-failed
deny ip 10.0.0.0 0.255.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 224.0.0.0 0.255.255.255 any
deny pim any any log
deny tcp any any range 135 139
deny udp any any range 135 netbios-ss
deny ip any any
remark ****** Internet Outside ACL ******
remark **********************************
!

In sostanza la outside permette l'ftp attivo, ha l'antispoofing, protegge dai vari icmp dannosi, liquida lo schifo traffico del mondo M$ che viene da internet, il pim degli ISP e permette la sync con gli ntp server...già così si puo vivere con un po di tranquillità.


Naturalmente sfruttando le capacità statefull di IOS, si creano dinamicamente le ACL di ritorno per i pacchetti nati dalla LAN verso Ineternet.
By Marckalex - Cisco Systems Engineer

[aries58net]

Grazie per la dritta!!!
cmq mi sembra che in linea di massima, a parte qualche correzione, la mia conf possa andare...

[aries58net]

Capisco la Vs politica .....Ma in soldoni ...la mia conf è da stravolgere TUTTA ?(spero di no) o ....Insomma visto che finora funziona...vorrei sapere Quale accorgimentro in piu' posso usare per NON stravolgerla ( tenete presente che e' una macchiana che serve per Internet ,FTP, email e serve circa 7/8client...che eseguono normali operazioni di routine ...e oni tanto scaricano la posta ,navigano saltuariamente su internet, mentre solo 1 client usa l'FTP ).....btw..alla fine della 111 ho msso un deny ip any any esplicito ..cosi' non mi logga niente....

[aries58net]

BTW

deny ip 127.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 224.0.0.0 0.255.255.255 any

sono queste le linee che impediscono lo spoofing ....non dovrebbero essere in una outbound?...o mi sfugge pesantemente qu
alcosa!!!!

[marckalex]

Re:

interface Serial0/0.xxx point-to-point
description ** Internet Access Link **
ip address ip_pub 255.255.255.252
ip access-group outside-wan in

il commento nn credo che sia necessario.

By marckalex

[TheIrish]

Citazione:
deny ip 127.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 224.0.0.0 0.255.255.255 any


sono queste le linee che impediscono lo spoofing ....non dovrebbero essere in una outbound?...o mi sfugge pesantemente qu
alcosa!!!!

spiegati

[aries58net]

per quel poco che ne so...trattasi di spoofing quando un "hacker" modifica,secondo varie tecnice, l'header dei pacchetti inserendo l'IP di un "trusted host"...otenendo cosi' l'accesso ...Secondo queste premesse mi sembrava che dovesse essere prevenuto tramite una INBOUND access list
mentre marckAlex indica una OUTSIDE come antispoofing ..e mi sembra che le righe di codice per l'antispoofing siano quelle citate....o no (sempre disposto a imparare ...solo gli imbecilli hanno paura di chiedere...)