[Question] Câu hỏi: cisco router như firewall |
11/09/2006 02:03:03 (+0700) | #1 | 22288 |
pnco
HVA Friend
|
Joined: 24/06/2005 16:33:48
Messages: 515
Offline
|
|
Mình có cấu hình router sau:
interface Serial0/0
bandwidth 2048
ip address xxx.xxx.xxx.xxx 255.255.255.252
ip access-group 101 in
ip access-group 100 out
no cdp enable
!
access-list 100 permit udp any any eq domain
access-list 100 permit udp any any eq ntp
access-list 100 permit tcp any any eq www time-range AM
access-list 100 permit tcp any any eq 443 time-range AM
access-list 100 permit tcp any any eq ftp-data
access-list 100 permit tcp any any eq ftp
access-list 100 permit tcp any any eq 22
access-list 100 permit tcp any any gt 1023
access-list 101 deny tcp any any eq 1723
access-list 101 deny tcp any any eq 3389
access-list 101 permit tcp any any gt 1023
access-list 101 permit udp any any gt 1023
access-list 101 deny tcp any any fin syn
những dòng màu đỏ mình cảm thấy không ổn lắm, không biết có cách nào làm cho nó tốt hơn không. Mình muốn là chỉ những traffic từ các cổng tcp 20,21,22,80,443 và các cổng udp 53,123 là được phép đi vào, tuy nhiên không biết làm cách nào. Ngoài ra mình muốn bỏ dòng màu vàng, tuy nhiên nếu bỏ thì ftp passive không truy cập được. Các bạn giúp với. |
|
|
|
|
[Question] Câu hỏi: cisco router như firewall |
11/09/2006 12:13:43 (+0700) | #2 | 22424 |
|
dabu
Elite Member
|
0 |
|
|
Joined: 03/03/2003 03:31:20
Messages: 226
Offline
|
|
access-list 100 permit tcp any any gt 1023 <<~~~cho phép các gói tin TCP đi ra từ any đến any với destination port > 1023, vì vậy trong chế độ passive FTP bắt buộc phải cho phép port đích mở để truyền dữ liệu. Bạn có thể tìm hiểu thêm về passive FTP.
access-list 101 permit tcp any any gt 1023
access-list 101 permit udp any any gt 1023
Cho phép các gói tcp,udp đi từ any đến any với port vào > 1023.
Với any~ ip bất kì.
Thân, |
|
It's time to build a new network. |
|
|
|
[Question] Câu hỏi: cisco router như firewall |
12/09/2006 00:25:40 (+0700) | #3 | 22549 |
pnco
HVA Friend
|
Joined: 24/06/2005 16:33:48
Messages: 515
Offline
|
|
chả hiểu
ý mình là muốn bỏ dòng màu vàng và 2 dòng màu đỏ, chính xác là thay thế nó bằng access-list khác hay bằng cách khác mà mình chưa biết. Hai dòng màu đỏ và vàng sẽ mở rất nhiều cổng. Ngoài ra bạn có thể cho các access-list chống lại nmap không? |
|
|
|
|
[Question] Câu hỏi: cisco router như firewall |
12/09/2006 00:45:28 (+0700) | #4 | 22557 |
|
dabu
Elite Member
|
0 |
|
|
Joined: 03/03/2003 03:31:20
Messages: 226
Offline
|
|
pnco wrote:
chả hiểu
ý mình là muốn bỏ dòng màu vàng và 2 dòng màu đỏ, chính xác là thay thế nó bằng access-list khác hay bằng cách khác mà mình chưa biết. Hai dòng màu đỏ và vàng sẽ mở rất nhiều cổng. Ngoài ra bạn có thể cho các access-list chống lại nmap không?
Nếu bồ theo rule như bồ nói thì bỏ 2 dòng màu đỏ thì không ảnh hưởng gì, nếu bồ không config các dịch vụ trong LAN bồ chạy các port >1023.
Còn dòng màu vàng thì mình nghĩ không thể bỏ được nếu bồ chạy dịch vụ FTP passive.
Còn áp dụng thế nào thì tự tìm hiểu. :?) |
|
It's time to build a new network. |
|
|
|
[Question] Re: Câu hỏi: cisco router như firewall |
12/09/2006 01:05:45 (+0700) | #5 | 22565 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Nên tham khảo tài liệu /book/Syngress-CiscoSecuritySpecialistGuideToPixFirewall.pdf.gz |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Câu hỏi: cisco router như firewall |
13/09/2006 00:12:02 (+0700) | #6 | 22795 |
pnco
HVA Friend
|
Joined: 24/06/2005 16:33:48
Messages: 515
Offline
|
|
Cám ơn anh conmale. Tiếc rằng router của em chỉ là router thường không phải là PIX hàng hiệu, chỉ là packet filter. Tuy nhiên trong đó có 1 chương về access-list lúc trước có học mà quên béng, chỉ cần check src port và des port là xong. Vì vậy access-list ở trên được sửa lại như sau:
access-list 100 permit udp any gt 1023 any eq domain
access-list 100 permit udp any gt 1023 any eq ntp
access-list 100 permit tcp any gt 1023 any eq www time-range AM
access-list 100 permit tcp any gt 1023 any eq 443 time-range AM
access-list 100 permit tcp any gt 1023 any eq ftp-data
access-list 100 permit tcp any gt 1023 any eq ftp
access-list 100 permit tcp any gt 1023 any eq 22
access-list 100 permit tcp any gt 1023 any gt 10000
access-list 101 permit udp any eq domain any gt 1023
access-list 101 permit udp any eq ntp any gt 1023
access-list 101 permit tcp any eq www any gt 1023 time-range AM
access-list 101 permit tcp any eq 443 any gt 1023 time-range AM
access-list 101 permit tcp any eq ftp-data any gt 1023
access-list 101 permit tcp any eq ftp any gt 1023
access-list 101 permit tcp any eq 22 any gt 1023
access-list 101 permit tcp any gt 10000 any gt 1023
Cám ơn anh nhiều, nếu anh có lòng thì mở lối cho em về cái vụ chặn nmap scan, em noob về cái này.
|
|
|
|
|
[Question] Câu hỏi: cisco router như firewall |
13/09/2006 02:53:29 (+0700) | #7 | 22831 |
father_nghia_den
Elite Member
|
0 |
|
|
Joined: 06/10/2003 16:48:21
Messages: 95
Offline
|
|
Bạn phải đưa ra mô hình và nói rõ ACL trên của bạn đang được apply trên Interface nào của Router. |
|
|
|
|
[Question] Câu hỏi: cisco router như firewall |
13/09/2006 06:03:47 (+0700) | #8 | 22876 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
pnco wrote:
Cám ơn anh conmale. Tiếc rằng router của em chỉ là router thường không phải là PIX hàng hiệu, chỉ là packet filter.
.....
Cám ơn anh nhiều, nếu anh có lòng thì mở lối cho em về cái vụ chặn nmap scan, em noob về cái này.
Em không thể biến một router thành một firewall thực thụ vì chức năng của nó là để định tuyến chớ không phải để gánh vác công tác cản lọc. Một số khả năng "packet filter" ứng dụng trên cisco router những OS phiên bản gần đây là để phụ trợ vào việc nâng cao bảo mật cho router. Việc "chặn" nmap scan cho một cisco router bình thường là việc gần như không thể được. Lý do: nmap chỉ cần 1 port mở và có thể gởi một số gói tin đến router là đủ đoán được footprint của router. Điều em cần làm là thực sự kiện toàn bảo mật cho router thay vì dấu foot print (đối với những công cụ như nmap). Em cần bảo đảm ACL không có lỗ hổng, bảo đảm OS được patch thường xuyên, theo dõi logs đều đặn cho những dấu hiệu bất thường... Cơ chế bảo vệ các máy chủ đằng sau router này phải do một số ứng dụng có đủ khả năng và chức năng (như firewall, reverse proxy, NIDS...) nếu em quan ngại về vấn đề bảo mật. Ngoài ra, mỗi software tạo các dịch vụ phải được cập nhật, kiểm tra và điều chỉnh thường xuyên.
Thân mến. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Câu hỏi: cisco router như firewall |
13/09/2006 07:13:28 (+0700) | #9 | 22894 |
pnco
HVA Friend
|
Joined: 24/06/2005 16:33:48
Messages: 515
Offline
|
|
Cám ơn lời khuyên của anh, em ngại nhất là các máy chủ windows ở đằng sau router, nếu *nix không thì đỡ lo. Gần đây lại có ngôi sao mới nổi metasploit, em đã thử và tình hình là rất bi quan đối với các máy chủ windows, vì vậy chặn được footprint thì cũng yên tâm được phần nào. |
|
|
|