[Cisco 800 - SoHo96] Firewall instellen - Netwerken

dinsdag 21 november 2006 09:17

Acties:

Verwijderd

Topicstarter

Van onze ISP hebben we een Cisco 800 gekregen, waarop niets geblockt wordt, wat in eerste instantie ook niet de bedoeling is.

Nu hebben we een Software Telefooncentrale (Soft-PBX) op Windows 2003 Server Standard waar we een public-ip aan moeten geven voor de inkomende SIP-trunks.

Nu is het niet de bedoeling dat alles openstaat voor iedereen omdat Ome Bill zijn producten niet zo veilig maakt.
Het is de bedoeling dat alle binnenkomende TCP poorten en alle UDP poorten onder de 1024 dicht komen te staan op de Cisco.

Hoe doe ik dat?

Heb zelf al aan het knoeien geweest met:
access-list 101 deny tcp 10.20.30.43 0.0.0.0 any
access-list 101 permit udp any any
access-list 101 permit tcp any any
En dan op de eth0:
ip access-group 101 in
Vanaf dat moment hebben we niets geen inkomend verkeer meer op het gewone netwerk achter de firewall.

Wat doe ik fout?

dinsdag 21 november 2006 09:36

Acties:

nextware

Nu heb ik niet zoveel verstand van Cisco apparatuur, maar het lijkt mij erop dat je met de policy die je opgeeft, volgens mij alle poorten dichtzet.

Volgens mij is er een apart commando om alle poorten onder 1024 dicht te zetten, maar wat dat precies is, weet ik eerlijk gezegd niet

dinsdag 21 november 2006 09:41

Acties:

Verwijderd

Topicstarter

nextware schreef op dinsdag 21 november 2006 @ 09:36:
Nu heb ik niet zoveel verstand van Cisco apparatuur, maar het lijkt mij erop dat je met de policy die je opgeeft, volgens mij alle poorten dichtzet.

Volgens mij is er een apart commando om alle poorten onder 1024 dicht te zetten, maar wat dat precies is, weet ik eerlijk gezegd niet

Dat commando is er inderdaad:
ack Match on the ACK bit
dscp Match packets with given dscp value
eq Match only packets on a given port number
established Match established connections
fin Match on the FIN bit
fragments Check non-initial fragments
gt Match only packets with a greater port number
log Log matches against this entry
log-input Log matches against this entry, including input interface
lt Match only packets with a lower port number
neq Match only packets not on a given port number
precedence Match packets with given precedence value
psh Match on the PSH bit
range Match only packets in the range of port numbers
rst Match on the RST bit
syn Match on the SYN bit
tos Match packets with given TOS value
urg Match on the URG bit

Ik zet alle poorten tcp dicht voor ip 10.20.30.43, en de rest open.

dinsdag 21 november 2006 10:26

Acties:

Herby

Stalknecht

Neem dit eens door. Mooie documentatie van Cisco over hoe je precies access-lists kunt maken. Let op dat je voor jouw wensen (porten) een extended access-list moet gebruiken.

Compromis? Hoezo heb ik het mis dan?! | Geluk = gelul met een K | з=(•̪●)=ε

woensdag 22 november 2006 09:54

Acties:

Mikey!

Verwijderd schreef op dinsdag 21 november 2006 @ 09:17:
Van onze ISP hebben we een Cisco 800 gekregen, waarop niets geblockt wordt, wat in eerste instantie ook niet de bedoeling is.

Nu hebben we een Software Telefooncentrale (Soft-PBX) op Windows 2003 Server Standard waar we een public-ip aan moeten geven voor de inkomende SIP-trunks.

Het interne ipadres van deze server is waarschijnlijk 10.20.30.43?

Nu is het niet de bedoeling dat alles openstaat voor iedereen omdat Ome Bill zijn producten niet zo veilig maakt.
Het is de bedoeling dat alle binnenkomende TCP poorten en alle UDP poorten onder de 1024 dicht komen te staan op de Cisco.

Kan ik me voorstellen

Hoe doe ik dat?
Heb zelf al aan het knoeien geweest met:
access-list 101 deny tcp 10.20.30.43 0.0.0.0 any
access-list 101 permit udp any any
access-list 101 permit tcp any any
En dan op de eth0:
ip access-group 101 in
Vanaf dat moment hebben we niets geen inkomend verkeer meer op het gewone netwerk achter de firewall.

Deze access-list geeft aan dat host 10.20.30.43 géén tcp verkeer naar buiten mag maken. Is deze server ook de default-gateway voor de werkstations of functioneerd hij als proxy? Poort 80,443 en 53 zouden in dit geval óók niet naar buiten mogen, erg vervelend als je wilt internetten!

Een betere oplossing op je eerste post zou zijn:

access-list 101 deny tcp host 10.20.30.43 any lt 1024
access-list 101 permit ip any any

Desondanks heb je hier hetzelfde probleem, je gooit weer alle gangbare poorten dicht. Is het niet handiger om een goede softwarematige firewall in te zetten op de server zelf? Als je alles onder de 1024 dichtgooit, blijven 3389 (Remote Desktop Protocol), 5900,5901,etc gewoon openstaan. Wat je server nog steeds blootstelt aan gevaar.

[ Voor 10% gewijzigd door Mikey! op 22-11-2006 09:59 ]

woensdag 22 november 2006 09:57

Acties:

TrailBlazer

Karnemelk FTW

welk interface gaat naar je lan en welke naar je wan

woensdag 22 november 2006 10:01

Acties:

Mikey!

TrailBlazer schreef op woensdag 22 november 2006 @ 09:57:
welk interface gaat naar je lan en welke naar je wan

Als ik Eth0 hoor, moet ik denken aan een ouder type 826,827 of 828. De versies met maar een lan-interface.

Als ethernet0 de outside is (8x1) dan is de access-list uiteraard niet goed

woensdag 22 november 2006 19:24

Acties:

Verwijderd

Waarom niet gewoon de poorten doorlaten die je nodig hebt? Alles tot 1024 blokken heeft weinig nut IMHO.

Nu is het niet de bedoeling dat alles openstaat voor iedereen omdat Ome Bill zijn producten niet zo veilig maakt.

Ik heb meer vertrouwen in 2k3 dan in "Soft-PBX".

[ Voor 46% gewijzigd door Verwijderd op 22-11-2006 19:32 ]