Latest posts for the topic "Câu hỏi: cisco router như firewall"

Câu hỏi: cisco router như firewall

pnco — GMT

Mình có cấu hình router sau:

interface Serial0/0 bandwidth 2048 ip address xxx.xxx.xxx.xxx 255.255.255.252 ip access-group 101 in ip access-group 100 out no cdp enable ! access-list 100 permit udp any any eq domain access-list 100 permit udp any any eq ntp access-list 100 permit tcp any any eq www time-range AM access-list 100 permit tcp any any eq 443 time-range AM access-list 100 permit tcp any any eq ftp-data access-list 100 permit tcp any any eq ftp access-list 100 permit tcp any any eq 22 access-list 100 permit tcp any any gt 1023 access-list 101 deny tcp any any eq 1723 access-list 101 deny tcp any any eq 3389 access-list 101 permit tcp any any gt 1023 access-list 101 permit udp any any gt 1023 access-list 101 deny tcp any any fin syn

những dòng màu đỏ mình cảm thấy không ổn lắm, không biết có cách nào làm cho nó tốt hơn không. Mình muốn là chỉ những traffic từ các cổng tcp 20,21,22,80,443 và các cổng udp 53,123 là được phép đi vào, tuy nhiên không biết làm cách nào. Ngoài ra mình muốn bỏ dòng màu vàng, tuy nhiên nếu bỏ thì ftp passive không truy cập được. Các bạn giúp với.

Câu hỏi: cisco router như firewall

dabu — GMT

access-list 100 permit tcp any any gt 1023 <<~~~cho phép các gói tin TCP đi ra từ any đến any với destination port > 1023, vì vậy trong chế độ passive FTP bắt buộc phải cho phép port đích mở để truyền dữ liệu. Bạn có thể tìm hiểu thêm về passive FTP. access-list 101 permit tcp any any gt 1023 access-list 101 permit udp any any gt 1023 Cho phép các gói tcp,udp đi từ any đến any với port vào > 1023. Với any~ ip bất kì. Thân,

Câu hỏi: cisco router như firewall

pnco — GMT

chả hiểu :D ý mình là muốn bỏ dòng màu vàng và 2 dòng màu đỏ, chính xác là thay thế nó bằng access-list khác hay bằng cách khác mà mình chưa biết. Hai dòng màu đỏ và vàng sẽ mở rất nhiều cổng. Ngoài ra bạn có thể cho các access-list chống lại nmap không?

Câu hỏi: cisco router như firewall

dabu — GMT

pnco wrote:

chả hiểu :D ý mình là muốn bỏ dòng màu vàng và 2 dòng màu đỏ, chính xác là thay thế nó bằng access-list khác hay bằng cách khác mà mình chưa biết. Hai dòng màu đỏ và vàng sẽ mở rất nhiều cổng. Ngoài ra bạn có thể cho các access-list chống lại nmap không?

Nếu bồ theo rule như bồ nói thì bỏ 2 dòng màu đỏ thì không ảnh hưởng gì, nếu bồ không config các dịch vụ trong LAN bồ chạy các port >1023. Còn dòng màu vàng thì mình nghĩ không thể bỏ được nếu bồ chạy dịch vụ FTP passive. Còn áp dụng thế nào thì tự tìm hiểu. :?)

Re: Câu hỏi: cisco router như firewall

conmale — GMT

Nên tham khảo tài liệu /book/Syngress-CiscoSecuritySpecialistGuideToPixFirewall.pdf.gz

Câu hỏi: cisco router như firewall

pnco — GMT

Cám ơn anh conmale. Tiếc rằng router của em chỉ là router thường không phải là PIX hàng hiệu, chỉ là packet filter. Tuy nhiên trong đó có 1 chương về access-list lúc trước có học mà quên béng, chỉ cần check src port và des port là xong. Vì vậy access-list ở trên được sửa lại như sau:

access-list 100 permit udp any gt 1023 any eq domain access-list 100 permit udp any gt 1023 any eq ntp access-list 100 permit tcp any gt 1023 any eq www time-range AM access-list 100 permit tcp any gt 1023 any eq 443 time-range AM access-list 100 permit tcp any gt 1023 any eq ftp-data access-list 100 permit tcp any gt 1023 any eq ftp access-list 100 permit tcp any gt 1023 any eq 22 access-list 100 permit tcp any gt 1023 any gt 10000 access-list 101 permit udp any eq domain any gt 1023 access-list 101 permit udp any eq ntp any gt 1023 access-list 101 permit tcp any eq www any gt 1023 time-range AM access-list 101 permit tcp any eq 443 any gt 1023 time-range AM access-list 101 permit tcp any eq ftp-data any gt 1023 access-list 101 permit tcp any eq ftp any gt 1023 access-list 101 permit tcp any eq 22 any gt 1023 access-list 101 permit tcp any gt 10000 any gt 1023

Cám ơn anh nhiều, nếu anh có lòng thì mở lối cho em về cái vụ chặn nmap scan, em noob về cái này.

Câu hỏi: cisco router như firewall

father_nghia_den — GMT

Bạn phải đưa ra mô hình và nói rõ ACL trên của bạn đang được apply trên Interface nào của Router.

Câu hỏi: cisco router như firewall

conmale — GMT

pnco wrote:

Cám ơn anh conmale. Tiếc rằng router của em chỉ là router thường không phải là PIX hàng hiệu, chỉ là packet filter. ..... Cám ơn anh nhiều, nếu anh có lòng thì mở lối cho em về cái vụ chặn nmap scan, em noob về cái này.

Em không thể biến một router thành một firewall thực thụ vì chức năng của nó là để định tuyến chớ không phải để gánh vác công tác cản lọc. Một số khả năng "packet filter" ứng dụng trên cisco router những OS phiên bản gần đây là để phụ trợ vào việc nâng cao bảo mật cho router. Việc "chặn" nmap scan cho một cisco router bình thường là việc gần như không thể được. Lý do: nmap chỉ cần 1 port mở và có thể gởi một số gói tin đến router là đủ đoán được footprint của router. Điều em cần làm là thực sự kiện toàn bảo mật cho router thay vì dấu foot print (đối với những công cụ như nmap). Em cần bảo đảm ACL không có lỗ hổng, bảo đảm OS được patch thường xuyên, theo dõi logs đều đặn cho những dấu hiệu bất thường... Cơ chế bảo vệ các máy chủ đằng sau router này phải do một số ứng dụng có đủ khả năng và chức năng (như firewall, reverse proxy, NIDS...) nếu em quan ngại về vấn đề bảo mật. Ngoài ra, mỗi software tạo các dịch vụ phải được cập nhật, kiểm tra và điều chỉnh thường xuyên. Thân mến.

Câu hỏi: cisco router như firewall

pnco — GMT

Cám ơn lời khuyên của anh, em ngại nhất là các máy chủ windows ở đằng sau router, nếu *nix không thì đỡ lo. Gần đây lại có ngôi sao mới nổi metasploit, em đã thử và tình hình là rất bi quan đối với các máy chủ windows, vì vậy chặn được footprint thì cũng yên tâm được phần nào.

Câu hỏi: cisco router như firewall

conmale — GMT

pnco wrote:

Cám ơn lời khuyên của anh, em ngại nhất là các máy chủ windows ở đằng sau router, nếu *nix không thì đỡ lo. Gần đây lại có ngôi sao mới nổi metasploit, em đã thử và tình hình là rất bi quan đối với các máy chủ windows, vì vậy chặn được footprint thì cũng yên tâm được phần nào.

Windows hay *nix đều cần phải quan tâm và bảo quản / bảo mật. Một máy *nix ở chế độ mặc định cũng không nhất thiết bảo đảm hơn một máy chạy Windows ở chế độ mặc định. Các công cụ dùng để "thử", để exploit lúc nào cũng có cả. Chúng hầu hết dùng để exploit các known bugs (bugs đã được phát hiện và được exploited). Nếu em duy trì patching cho các hệ thống kịp thời và đầy đủ thì những exploit này khó có thể thành công. Quan niệm che dấu hoặc giả mạo footprint để "bảo mật" là quan niệm thiếu cơ sở. Đối với những ai thật sự muốn exploit thì việc dấu footprint không có giá trị gì mấy (bởi vì em không có cách gì dấu hết các foot print). Việc dấu foot print không phải là hoàn toàn vô ích nhưng nó không có ưu tiên cao bằng việc kiện toàn bảo mật thực sự. Nếu em quan ngại cho tính bảo mật của hệ thống, em có thể thiết lập một cái firewall rẻ tiền (dùng BSD hoặc Linux) để bảo vệ chúng. Theo anh, đây là cách tích cực nhất. Việc "dấu" footprint nên dùng nó như một chi tiết điểm xuyết mà thôi :)). Thân mến.

Câu hỏi: cisco router như firewall

anhdong2k5 — GMT

Mình có thể Firewall bằng cách NAT 2 lần có được không anh?

Câu hỏi: cisco router như firewall

pnco — GMT

anhdong2k5 wrote:

Mình có thể Firewall bằng cách NAT 2 lần có được không anh?

NAT nhiều sẽ giảm hiệu suất, tương tự như vậy nếu dùng quá nhiều firewall, đặt biệt là trong trường hợp bro có một kết nối chậm. Cám ơn anh conmale, giải pháp của anh là tích cực nhất. Trong thực tế thì em vẫn đang áp dụng cách này cho các kết nối trực tiếp ra internet. Tuy nhiên mô hình mạng của em nó rất phức tạp và... tế nhị, nên em cần đề phòng cả các kết nối bên trong. Em lo sợ cho các máy windows là do windows có nhiều bug + với nhiều khai thác nhất. Mà khai thác windows lại cực kỳ dễ nếu nó không được cập nhật thường xuyên. Nếu có điều kiện thì em sẽ chuyển hết sang *nix. Tuy trình độ về *nix em còn rất kém, nhưng mỗi khi ngồi trước màn hình đen ngòm em thấy vẫn còn tự tin hơn ngồi trước màn hình GUI đẹp đẽ, hix.