Toon posts:

[CISCO] PIX 515E is kieskeurig over verbindingen

Pagina: 1
Acties:

Verwijderd

Topicstarter
Gegroet mede-tweakers :)

Ik heb een probleempje met een PIX 515E. De Pix bevind zich in een DMZ opstelling dus:
code:
1
2
3
4
5
   Outside
      |
    PIX   ----   DMZ
      |
    Inside


Aan de Inside kant staan een aantal werkstations die dingen zoals mail uit de server in de DMZ halen. Echter soms heeft de PIX geen zin om een verbinding te leggen naar de Server in de DMZ. Hij blijft dan connecties weigeren van de workstation, pas zodra de PIX gereboot word, of als de workstations bijvoorbeeld een uur uitgestaan heeft kan hij weer connectie maken met de server in de DMZ. Andere workstations werken opdat moment wel gewoon goed.

De error die de PIX dan geeft is:
code:
1
Jan  6 11:12:50 30.30.30.1 Jan 06 2005 11:15:51: %PIX-3-305006: regular translation creation failed for tcp src inside:172.16.1.63/32796 dst dmz:zeus/389

DNS etc geeft ook deze error:
code:
1
Jan  6 11:12:40 30.30.30.1 Jan 06 2005 11:15:41: %PIX-3-305006: regular translation creation failed for udp src inside:172.16.1.63/32776 dst dmz:zeus/53


Dit is de configuratie van mijn PIX:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
Building configuration...
: Saved
:
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
enable password <<CENSORED> encrypted
passwd <<CENSORED>> encrypted
hostname hades
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 30.30.30.2 zeus
access-list outside_access_in remark [HTTP] (outside) -> (dmz) 30.30.30.2
access-list outside_access_in permit tcp any interface outside eq www 
access-list outside_access_in remark [SSH] (outside) -> (dmz) 30.30.30.2
access-list outside_access_in permit tcp any interface outside eq ssh 
access-list outside_access_in remark [SMTP] (outside) -> (dmz) 30.30.30.2
access-list outside_access_in permit tcp any interface outside eq smtp 
access-list outside_access_in remark [IMAP] (outside) -> (dmz) 30.30.30.2
access-list outside_access_in permit tcp any interface outside eq imap4 
access-list outside_access_in remark [FTP] (outside) -> (dmz) 30.30.30.2
access-list outside_access_in permit tcp any interface outside eq ftp 
pager lines 24
logging on
logging timestamp
logging trap warnings
logging facility 23
logging host dmz zeus
icmp deny any echo-reply outside
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside<<CENSORED>> 255.255.255.0
ip address inside 172.16.1.1 255.255.0.0
ip address dmz 30.30.30.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location zeus 255.255.255.255 dmz
pdm location 30.0.0.0 255.0.0.0 dmz
pdm location 172.16.0.0 255.255.0.0 inside
pdm logging warnings 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
global (dmz) 1 30.30.30.50-30.30.30.60
nat (inside) 1 172.16.0.0 255.255.0.0 0 0
nat (dmz) 1 30.30.30.0 255.255.255.0 0 0
static (dmz,outside) tcp interface www zeus www netmask 255.255.255.255 0 0 
static (dmz,outside) tcp interface ssh zeus ssh netmask 255.255.255.255 0 0 
static (dmz,outside) tcp interface smtp zeus smtp netmask 255.255.255.255 0 0 
static (dmz,outside) tcp interface imap4 zeus imap4 netmask 255.255.255.255 0 0 
static (dmz,outside) tcp interface ftp zeus ftp netmask 255.255.255.255 0 0 
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 <<CENSORED>> 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server TACACS+ max-failed-attempts 3 
aaa-server TACACS+ deadtime 10 
aaa-server RADIUS protocol radius 
aaa-server RADIUS max-failed-attempts 3 
aaa-server RADIUS deadtime 10 
aaa-server LOCAL protocol local 
ntp server zeus source dmz prefer
http server enable
http 172.16.0.0 255.255.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet 172.16.0.0 255.255.0.0 inside
telnet timeout 60
ssh timeout 5
management-access inside
console timeout 0
dhcpd address 172.16.1.50-172.16.1.150 inside
dhcpd dns zeus<<CENSORED>>
dhcpd lease 600
dhcpd ping_timeout 750
dhcpd domain <<CENSORED>>
dhcpd auto_config outside
dhcpd enable inside
terminal width 80
banner login -------
banner login WARNING
banner login -------
banner login Unauthorized access to this system is forbidden and will be prosecuted by law. 
banner login By accessing this system, you agree that your actions may be monitored if 
banner login unauthorized usage is suspected.
Cryptochecksum:<<CENSORED>
: end
[OK]


Wat me dus het meest verbaast is dat het zo selectief is. Als een workstation eenmaal verbinding heeft met de DMZ blijft het allemaal gewoon werken, maar voor andere workstations in het netwerk kan het dan opeens weer niet werken . De "regular translation failed blabla" duid op een NAT regel die niet bestaat, maar zoals je ziet bestaat deze gewoon, en anders zou het voor de andere stations ook niet moeten werken.

De load van de PIX is niet hoog, memory gebruik is ook niet hoog (16mb).

Zie ik iets stoms over het hoofd?

[ Voor 4% gewijzigd door Verwijderd op 07-01-2005 12:41 ]


Verwijderd

Ik vind het wel erg gevaarlijk dat jij zomaar je complete firewall configuratie op een forum plaatst... Lekker secure dat netwerkje van jou :) Als ik jou was zou ik deze post snel verwijderen en professioneel support vragen aan bijv. Cisco zelf of een Cisco gecertificeerd bedrijf. Ik denk dat als je baas dit zit je niet lang meer aan het werk zal zijn.. Daarnaast moet je misschien wat static mappings aanmaken tussen je dmz en je inside netwerk om je probleempjes te verhelpen.

Verwijderd

Meph heeft gelijk...
Je moet voorzichtiger zijn met je config's...

/Ontopic
Is het niet gewoon een licentie probleem??
Cisco pix met 10 licenties laat niet meer dan 10 connecties toe.

Post eens een "show version"

Ps. Let op de serials :)

Verwijderd

Topicstarter
Ik zal de laatste zijn die zal ontkennen dat je niet voorzichtig moet zijn met je configs. Maar dit is een PIX, PIX OS heeft niet zo gek veel opties vergeleken met de router IOS. De setup is ook redelijk standaard :)

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
Cisco PIX Firewall Version 6.3(4)
Cisco PIX Device Manager Version 3.0(2)

Compiled on Fri 02-Jul-04 00:07 by morlee

hades up 1 day 2 hours

Hardware:   PIX-515E, 32 MB RAM, CPU Pentium II 433 MHz
Flash E28F128J3 @ 0x300, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB

0: ethernet0: address is <<CENSORED>>, irq 10
1: ethernet1: address is <<CENSORED>>, irq 11
2: ethernet2: address is <<CENSORED>>, irq 11
Licensed Features:
Failover:                    Disabled
VPN-DES:                     Enabled
VPN-3DES-AES:                Enabled
Maximum Physical Interfaces: 3
Maximum Interfaces:          5
Cut-through Proxy:           Enabled
Guards:                      Enabled
URL-filtering:               Enabled
Inside Hosts:                Unlimited
Throughput:                  Unlimited
IKE peers:                   Unlimited

This PIX has a Restricted (R) license.

Serial Number: <<CENSORED>>
Running Activation Key: <<CENSORED>>
Configuration last modified by enable_15 at 14:05:05.178 CEST Thu Jan 6 2005


515's worden volgens mij alleen maar geleverd met Unlimited Inside Hosts (Correct me if im wrong).

  • Maarten @klet.st
  • Registratie: Oktober 2001
  • Laatst online: 13-02 23:00
Verwijderd schreef op vrijdag 07 januari 2005 @ 12:38:
Ik zal de laatste zijn die zal ontkennen dat je niet voorzichtig moet zijn met je configs. Maar dit is een PIX, PIX OS heeft niet zo gek veel opties vergeleken met de router IOS. De setup is ook redelijk standaard :)
Nja, ik vond de opmerking ook nogal overtrokken, aangezien er geen specifieke vermeldingen in stonden.

Maar goed, heb je al ge-google-ed? Ik kwam onder andere deze tegen:
http://www.cisco.com/en/U...186a00801e88d4.html#23100

Suc7!

Verwijderd

Geen specifieke vermeldingen? Gisteren stond ook zijn WAN ip er nog in, en zijn domeinnaam... Ik weet nu precies hoe ik bij deze jongen naar binnen moet komen en voor welk bedrijf hij werkt.. Tevens is het zo dat hij voor een bedrijfje werkt waarbij ik ervan overtuigd ben dat daar welke leuke informatie vandaan te halen is en door te verkopen is..

TS heeft zijn post al flink aangepast, en dat is verstandig.

Verder zitten er kwa users inderdaad geen restricties op het aantal connecties dat je maakt.. Zoals ik in mijn eerste post al zij, en zoals een poster hiervoor ook al aangeeft met zijn link, maak eens wat static mappings aan, it helps....

[ Voor 23% gewijzigd door Verwijderd op 08-01-2005 15:21 ]


Verwijderd

Topicstarter
Verwijderd schreef op zaterdag 08 januari 2005 @ 15:19:
Geen specifieke vermeldingen? Gisteren stond ook zijn WAN ip er nog in, en zijn domeinnaam... Ik weet nu precies hoe ik bij deze jongen naar binnen moet komen
Interessant, aangezien de info die in die config staat je ook met de eerste de beste port scanner (en nog wat andere tooltjes) kan achterhalen.

Jij wilt dus zeggen dat als je weet dat ik 4 services heb draaien te weten: SSH, WWW, IMAP en FTP ik meteen te hacken ben??

Moet je voor de grap is telnet www.nu.nl proberen, die hebben ook gewoon telnet naar buiten openstaan. Betekend dit nu dat ze meteen te hacken zijn???
Ik weet nu precies hoe ik bij deze jongen naar binnen moet komen
Ik zou zeggen: Laat maar horen hoe....

Verwijderd

Never mind kerel.. Ik denk dat zo'n 99% van alle tweakers het met me eens zal zijn dat het gewoon niet verstandig is om je complete firewall config op een forum te posten.. Inclusief je bedrijfsnaam en je ip's ... Je maakt het de mensen gewoon wel erg makkelijk.. Verder vind ik het erg ignorant van je dat je mijn advies niet eens tot je door wilt laten dringen door je standpunt te verdedigen dat het niet uitmaakt om je firewall config op een site te plaatsen, terwijl je intussen toch wel zelf snel je config in je post ge-edit hebt..

btw als je telnet naar een site op poort 80 hebben ze geen telnet open staan maar tcp poort 80 verkeer, wat opzich wel handig is als je een site host..

En je wilt weten hoe?? Als je niet eens doorhebt hoe een hacker je netwerk binnenkomt snap ik zowieso niet waarom je jou in hemelsnaam met een firewall config laten werken.. Ik zou je bij deze willen adviseren om hiervoor een geschikt iemand in te huren..

Tevens hebben we ook nog geen reactie van je mogen ontvangen over de inhoudelijke zaak, je probleem, en de adviezen die je daarover gegeven zijn..

suc6 ermee verder.

[ Voor 37% gewijzigd door Verwijderd op 08-01-2005 18:22 ]


Verwijderd

Topicstarter
Verwijderd schreef op zaterdag 08 januari 2005 @ 18:19:
Never mind kerel.. Ik denk dat zo'n 99% van alle tweakers het met me eens zal zijn dat het gewoon niet verstandig is om je complete firewall config op een forum te posten.. Inclusief je bedrijfsnaam en je ip's ... Je maakt het de mensen gewoon wel erg makkelijk.. Verder vind ik het erg ignorant van je dat je mijn advies niet eens tot je door wilt laten dringen door je standpunt te verdedigen dat het niet uitmaakt om je firewall config op een site te plaatsen, terwijl je intussen toch wel zelf snel je config in je post ge-edit hebt..
Dat wil ik wel, en je hebt inderdaad gelijk dat het misschien niet handig is om ook me WAN IP erbij te laten staan, daarom heb ik die ook weggehaald. Maar deze config is redelijk standaard, en valt verder niks aan te zien.
btw als je telnet naar een site op poort 80 hebben ze geen telnet open staan maar tcp poort 80 verkeer, wat opzich wel handig is als je een site host..
No shit.... Maar had ik gezegd dat je moest telnetten op poort 80? Nee. Bij nu.nl staat poort 23 telnet gewoon open, als je gekeken had en niet meteen naar me had geschreeuwd had je dat gezien. Maar kennelijk trek jij liever eerst conclusies.
En je wilt weten hoe?? Als je niet eens doorhebt hoe een hacker je netwerk binnenkomt snap ik zowieso niet waarom je jou in hemelsnaam met een firewall config laten werken.. Ik zou je bij deze willen adviseren om hiervoor een geschikt iemand in te huren..
Weet jij het eigenlijk wel waar je het over hebt? Die poort mappings kan je zo achterhalen door middel van een simpele poortscan. Hackers komen je netwerk bijvoorbeeld via je webserver binnen, en bouwen het van daar verder uit. Het is erg makkelijk om de topologie van een netwerk uittevissen.

Om even inhoudelijk te reageren:

Iemand had een unauthorized latop in het netwerk gehangen met virus. Nu deze eruit is levert het geen problemen meer op. Toch moet ik zowiezo nog access naar de DMZ restricten met access rules en Static routes als ik tijd heb.

[ Voor 8% gewijzigd door Verwijderd op 08-01-2005 18:48 ]


  • ijdod
  • Registratie: April 2000
  • Laatst online: 17:44
Je probleem zit hem denkelijk is de volgende regel:

code:
1
global (dmz) 1 30.30.30.50-30.30.30.60


Daarmee geef je aan dat verkeer je DMZ in geNAT wordt op die 10 adressen. Voor zover ik weet doet een PIX in die config alleen NAT, en is de koek na 10 verschillende interne hosts dus op (geen verbinding), totdat er een translatie uitgetimed is (uur wachten), of de translatie tabel gecleared wordt (reset).

Oplossing is op NAT/PAT te gebruiken (zoals op je outside interface) als alle hosts van inside naar dmz mogen. In het geval van een beperkt aantal (bekende) hosts zou je statics kunnen overwegen.

Naar binnen toe ziet het er verder goed uit, ik zou de toegang naar buiten (dmz -> outside, inside -> dmz en inside -> outside) nog wat beperken. Vuistregel is altijd alleen dat open zetten wat nodig is. Uiteraard is combinatie met beleid. Als de klant wil dat alles naar buiten openstaat, prima, maar dan kan jij er niet op worden afgerekend :P

[ Voor 22% gewijzigd door ijdod op 09-01-2005 11:45 ]

Root don't mean a thing, if you ain't got that ping...


Verwijderd

Topicstarter
Bedankt voor je reactie ijdod,

Ik zal het is proberen met PAT, vervelend is alleen dat sinds ik dat virus geinfecteerde notebook van het netwerk afgeboot hebt, het probleem niet meer optreed, lastig checken dus :). Ook moet ik idd nog even een deny all erin zetten en daarna wat gaatjes door de firewall prikken waar nodig.
Pagina: 1