English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận mạng và thiết bị mạng Câu hỏi: cisco router như firewall  XML
  [Question]   Câu hỏi: cisco router như firewall 11/09/2006 02:03:03 (+0700) | #1 | 22288
pnco
HVA Friend
Joined: 24/06/2005 16:33:48
Messages: 515
Offline
[Profile] [PM] [WWW]
Mình có cấu hình router sau:

interface Serial0/0
bandwidth 2048
ip address xxx.xxx.xxx.xxx 255.255.255.252
ip access-group 101 in
ip access-group 100 out
no cdp enable
!
access-list 100 permit udp any any eq domain
access-list 100 permit udp any any eq ntp
access-list 100 permit tcp any any eq www time-range AM
access-list 100 permit tcp any any eq 443 time-range AM
access-list 100 permit tcp any any eq ftp-data
access-list 100 permit tcp any any eq ftp
access-list 100 permit tcp any any eq 22
access-list 100 permit tcp any any gt 1023
access-list 101 deny tcp any any eq 1723
access-list 101 deny tcp any any eq 3389
access-list 101 permit tcp any any gt 1023
access-list 101 permit udp any any gt 1023
access-list 101 deny tcp any any fin syn
 

những dòng màu đỏ mình cảm thấy không ổn lắm, không biết có cách nào làm cho nó tốt hơn không. Mình muốn là chỉ những traffic từ các cổng tcp 20,21,22,80,443 và các cổng udp 53,123 là được phép đi vào, tuy nhiên không biết làm cách nào. Ngoài ra mình muốn bỏ dòng màu vàng, tuy nhiên nếu bỏ thì ftp passive không truy cập được. Các bạn giúp với.
[Up] [Print Copy]
  [Question]   Câu hỏi: cisco router như firewall 11/09/2006 12:13:43 (+0700) | #2 | 22424
[Avatar]
 dabu
Elite Member
[Minus]    0    [Plus]
Joined: 03/03/2003 03:31:20
Messages: 226
Offline
[Profile] [PM]
access-list 100 permit tcp any any gt 1023 <<~~~cho phép các gói tin TCP đi ra từ any đến any với destination port > 1023, vì vậy trong chế độ passive FTP bắt buộc phải cho phép port đích mở để truyền dữ liệu. Bạn có thể tìm hiểu thêm về passive FTP.

access-list 101 permit tcp any any gt 1023
access-list 101 permit udp any any gt 1023

Cho phép các gói tcp,udp đi từ any đến any với port vào > 1023.
Với any~ ip bất kì.
Thân,
It's time to build a new network.
[Up] [Print Copy]
  [Question]   Câu hỏi: cisco router như firewall 12/09/2006 00:25:40 (+0700) | #3 | 22549
pnco
HVA Friend
Joined: 24/06/2005 16:33:48
Messages: 515
Offline
[Profile] [PM] [WWW]
chả hiểu smilie

ý mình là muốn bỏ dòng màu vàng và 2 dòng màu đỏ, chính xác là thay thế nó bằng access-list khác hay bằng cách khác mà mình chưa biết. Hai dòng màu đỏ và vàng sẽ mở rất nhiều cổng. Ngoài ra bạn có thể cho các access-list chống lại nmap không?
[Up] [Print Copy]
  [Question]   Câu hỏi: cisco router như firewall 12/09/2006 00:45:28 (+0700) | #4 | 22557
[Avatar]
 dabu
Elite Member
[Minus]    0    [Plus]
Joined: 03/03/2003 03:31:20
Messages: 226
Offline
[Profile] [PM]

pnco wrote:
chả hiểu smilie

ý mình là muốn bỏ dòng màu vàng và 2 dòng màu đỏ, chính xác là thay thế nó bằng access-list khác hay bằng cách khác mà mình chưa biết. Hai dòng màu đỏ và vàng sẽ mở rất nhiều cổng. Ngoài ra bạn có thể cho các access-list chống lại nmap không? 


Nếu bồ theo rule như bồ nói thì bỏ 2 dòng màu đỏ thì không ảnh hưởng gì, nếu bồ không config các dịch vụ trong LAN bồ chạy các port >1023.
Còn dòng màu vàng thì mình nghĩ không thể bỏ được nếu bồ chạy dịch vụ FTP passive.
Còn áp dụng thế nào thì tự tìm hiểu. :?)
It's time to build a new network.
[Up] [Print Copy]
  [Question]   Re: Câu hỏi: cisco router như firewall 12/09/2006 01:05:45 (+0700) | #5 | 22565
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Nên tham khảo tài liệu /book/Syngress-CiscoSecuritySpecialistGuideToPixFirewall.pdf.gz
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Câu hỏi: cisco router như firewall 13/09/2006 00:12:02 (+0700) | #6 | 22795
pnco
HVA Friend
Joined: 24/06/2005 16:33:48
Messages: 515
Offline
[Profile] [PM] [WWW]
Cám ơn anh conmale. Tiếc rằng router của em chỉ là router thường không phải là PIX hàng hiệu, chỉ là packet filter. Tuy nhiên trong đó có 1 chương về access-list lúc trước có học mà quên béng, chỉ cần check src port và des port là xong. Vì vậy access-list ở trên được sửa lại như sau:

access-list 100 permit udp any gt 1023 any eq domain
access-list 100 permit udp any gt 1023 any eq ntp
access-list 100 permit tcp any gt 1023 any eq www time-range AM
access-list 100 permit tcp any gt 1023 any eq 443 time-range AM
access-list 100 permit tcp any gt 1023 any eq ftp-data
access-list 100 permit tcp any gt 1023 any eq ftp
access-list 100 permit tcp any gt 1023 any eq 22
access-list 100 permit tcp any gt 1023 any gt 10000
access-list 101 permit udp any eq domain any gt 1023
access-list 101 permit udp any eq ntp any gt 1023
access-list 101 permit tcp any eq www any gt 1023 time-range AM
access-list 101 permit tcp any eq 443 any gt 1023 time-range AM
access-list 101 permit tcp any eq ftp-data any gt 1023
access-list 101 permit tcp any eq ftp any gt 1023
access-list 101 permit tcp any eq 22 any gt 1023
access-list 101 permit tcp any gt 10000 any gt 1023
 


Cám ơn anh nhiều, nếu anh có lòng thì mở lối cho em về cái vụ chặn nmap scan, em noob về cái này.
[Up] [Print Copy]
  [Question]   Câu hỏi: cisco router như firewall 13/09/2006 02:53:29 (+0700) | #7 | 22831
father_nghia_den
Elite Member
[Minus]    0    [Plus]
Joined: 06/10/2003 16:48:21
Messages: 95
Offline
[Profile] [PM]
Bạn phải đưa ra mô hình và nói rõ ACL trên của bạn đang được apply trên Interface nào của Router.
[Up] [Print Copy]
  [Question]   Câu hỏi: cisco router như firewall 13/09/2006 06:03:47 (+0700) | #8 | 22876
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

pnco wrote:
Cám ơn anh conmale. Tiếc rằng router của em chỉ là router thường không phải là PIX hàng hiệu, chỉ là packet filter.
.....
Cám ơn anh nhiều, nếu anh có lòng thì mở lối cho em về cái vụ chặn nmap scan, em noob về cái này.
 


Em không thể biến một router thành một firewall thực thụ vì chức năng của nó là để định tuyến chớ không phải để gánh vác công tác cản lọc. Một số khả năng "packet filter" ứng dụng trên cisco router những OS phiên bản gần đây là để phụ trợ vào việc nâng cao bảo mật cho router. Việc "chặn" nmap scan cho một cisco router bình thường là việc gần như không thể được. Lý do: nmap chỉ cần 1 port mở và có thể gởi một số gói tin đến router là đủ đoán được footprint của router. Điều em cần làm là thực sự kiện toàn bảo mật cho router thay vì dấu foot print (đối với những công cụ như nmap). Em cần bảo đảm ACL không có lỗ hổng, bảo đảm OS được patch thường xuyên, theo dõi logs đều đặn cho những dấu hiệu bất thường... Cơ chế bảo vệ các máy chủ đằng sau router này phải do một số ứng dụng có đủ khả năng và chức năng (như firewall, reverse proxy, NIDS...) nếu em quan ngại về vấn đề bảo mật. Ngoài ra, mỗi software tạo các dịch vụ phải được cập nhật, kiểm tra và điều chỉnh thường xuyên.

Thân mến.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Câu hỏi: cisco router như firewall 13/09/2006 07:13:28 (+0700) | #9 | 22894
pnco
HVA Friend
Joined: 24/06/2005 16:33:48
Messages: 515
Offline
[Profile] [PM] [WWW]
Cám ơn lời khuyên của anh, em ngại nhất là các máy chủ windows ở đằng sau router, nếu *nix không thì đỡ lo. Gần đây lại có ngôi sao mới nổi metasploit, em đã thử và tình hình là rất bi quan đối với các máy chủ windows, vì vậy chặn được footprint thì cũng yên tâm được phần nào.
[Up] [Print Copy]
  [Question]   Câu hỏi: cisco router như firewall 13/09/2006 19:22:40 (+0700) | #10 | 22996
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

pnco wrote:
Cám ơn lời khuyên của anh, em ngại nhất là các máy chủ windows ở đằng sau router, nếu *nix không thì đỡ lo. Gần đây lại có ngôi sao mới nổi metasploit, em đã thử và tình hình là rất bi quan đối với các máy chủ windows, vì vậy chặn được footprint thì cũng yên tâm được phần nào.  


Windows hay *nix đều cần phải quan tâm và bảo quản / bảo mật. Một máy *nix ở chế độ mặc định cũng không nhất thiết bảo đảm hơn một máy chạy Windows ở chế độ mặc định.

Các công cụ dùng để "thử", để exploit lúc nào cũng có cả. Chúng hầu hết dùng để exploit các known bugs (bugs đã được phát hiện và được exploited). Nếu em duy trì patching cho các hệ thống kịp thời và đầy đủ thì những exploit này khó có thể thành công.

Quan niệm che dấu hoặc giả mạo footprint để "bảo mật" là quan niệm thiếu cơ sở. Đối với những ai thật sự muốn exploit thì việc dấu footprint không có giá trị gì mấy (bởi vì em không có cách gì dấu hết các foot print). Việc dấu foot print không phải là hoàn toàn vô ích nhưng nó không có ưu tiên cao bằng việc kiện toàn bảo mật thực sự.

Nếu em quan ngại cho tính bảo mật của hệ thống, em có thể thiết lập một cái firewall rẻ tiền (dùng BSD hoặc Linux) để bảo vệ chúng. Theo anh, đây là cách tích cực nhất. Việc "dấu" footprint nên dùng nó như một chi tiết điểm xuyết mà thôi smilie).

Thân mến.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Câu hỏi: cisco router như firewall 13/09/2006 20:16:05 (+0700) | #11 | 23003
[Avatar]
 anhdong2k5
Member
[Minus]    0    [Plus]
Joined: 01/07/2006 05:02:14
Messages: 92
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN]
Mình có thể Firewall bằng cách NAT 2 lần có được không anh?
[Up] [Print Copy]
  [Question]   Câu hỏi: cisco router như firewall 13/09/2006 22:30:47 (+0700) | #12 | 23036
pnco
HVA Friend
Joined: 24/06/2005 16:33:48
Messages: 515
Offline
[Profile] [PM] [WWW]

anhdong2k5 wrote:
Mình có thể Firewall bằng cách NAT 2 lần có được không anh? 

NAT nhiều sẽ giảm hiệu suất, tương tự như vậy nếu dùng quá nhiều firewall, đặt biệt là trong trường hợp bro có một kết nối chậm.

Cám ơn anh conmale, giải pháp của anh là tích cực nhất. Trong thực tế thì em vẫn đang áp dụng cách này cho các kết nối trực tiếp ra internet. Tuy nhiên mô hình mạng của em nó rất phức tạp và... tế nhị, nên em cần đề phòng cả các kết nối bên trong. Em lo sợ cho các máy windows là do windows có nhiều bug + với nhiều khai thác nhất. Mà khai thác windows lại cực kỳ dễ nếu nó không được cập nhật thường xuyên. Nếu có điều kiện thì em sẽ chuyển hết sang *nix. Tuy trình độ về *nix em còn rất kém, nhưng mỗi khi ngồi trước màn hình đen ngòm em thấy vẫn còn tự tin hơn ngồi trước màn hình GUI đẹp đẽ, hix.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|