[Resolu] Cisco 827 , cherche config acl sécurisé

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

[Resolu] Cisco 827 , cherche config acl sécurisé

Messagepar kamui » 08 Mai 2004 20:53

Hi All ,

Je recherche des ACL pour sécurisés mon routeur , en bloquant tout , et en autorisant que les truc de bases , telnet ,dns, pop , smtp et ftp .

merci des régles antispoofing et macspoofing m'intéresse aussi , car mon c827 ne passe pas les test grc hallucinant pour un matos de haute gamme .

et merci de m'indiquer la procédure pour créer et appliquer des ACL en français svp ( je ne veux pas de liens vers des sites cisco qui sont pas claires et puis débrouille toi )
Merci d'avance:)


pour info je n'ai qu'un pc connecté au routeur
IP :10.0.0.1
Mask:255.0.0.0
Gateway 10.0.0.138
Dernière édition par kamui le 15 Juin 2004 11:56, édité 1 fois au total.
Avatar de l’utilisateur
kamui
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 20 Sep 2003 00:00

Messagepar kamui » 10 Mai 2004 20:53

:roll:
Avatar de l’utilisateur
kamui
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 20 Sep 2003 00:00

Messagepar ldidier » 10 Mai 2004 20:57

En général la première info ont la cherche sur le site du fournisseur, ou dans les news groups. Maintenant vouloir faire d'un routeur un pseudo firewall c'est pas fonciérement leurs travail. C'est un peu comme dire que la twingo tu peut faire beaucoup de route. disont plus simplement que pour de la route, il vaut mieux une routiére faite pour ce genre de tâche.
Rien de grand ne c'est accompli dans le monde sans passion.
A.ENGEL
Avatar de l’utilisateur
ldidier
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 175
Inscrit le: 05 Fév 2002 01:00
Localisation: Mulhouse

Messagepar kamui » 26 Mai 2004 00:17

ldidier a écrit:En général la première info ont la cherche sur le site du fournisseur, ou dans les news groups. Maintenant vouloir faire d'un routeur un pseudo firewall c'est pas fonciérement leurs travail. C'est un peu comme dire que la twingo tu peut faire beaucoup de route. disont plus simplement que pour de la route, il vaut mieux une routiére faite pour ce genre de tâche.



mon routeur cisco intégre une fonction firewall alors pourquoi ne pas l'utiliser ??? :roll: , bref une réponse sérieuse svp
@++
Avatar de l’utilisateur
kamui
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 20 Sep 2003 00:00

Messagepar Souley » 26 Mai 2004 08:47

Salut
Avant de vouloir acheter du matos haut de gamme achete le ivre qui va avec ;)

J'hallucine sur ta demande
Des ACL c'est comme un kernel tu les setup en fonction de tes besoins ...


Alors tappe toi un man complet et fait les maison ;)

De plus l'usage d'un 'vrai' firewall est conseille

Souley
Souley
administrateur@support-fr.com
Support-fr.com Reseaux & Securite
Life is like a box of chocolate ...
Souley
Premier-Maître
Premier-Maître
 
Messages: 67
Inscrit le: 18 Mai 2004 15:07
Localisation: France Paris

Messagepar fraedhrim » 26 Mai 2004 09:32

Bonjour,

Juste une petite info : le CISCO 827 peut être un vrai firewall. Tout dépend de l'IOS utilisé. Il y a un IOS on va dire "normal" de routeur de base et un IOS "firewall".

Donc pas la peine de le dénigrer ce pauvre 827.

Bon cela dit bon courage pour le configurer sans connaissances CISCO. Cela dit tu as une interface web disponible sur ce routeur qui embarque un assistant de configuration et des profils de règles (de mémoire pour cette partie). Donc cela devrait te simplifier l'affaire.

Pour activer l'interface je crois que c'est bêtement : http server enable (ou sans le enable je sais plus) en CLI.

A+
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar moktar » 26 Mai 2004 13:36

Je peux te faire ta config si tu veux !






J'ai juste besoin de tout savoir sur ta connection ton provider username password dns ip fixe ou pas ...

Quand j'aurais ca je pourrais te faire ta config..
:D

Quand je vois ce que je vois et que j'entends ce que j'entends, je me dis que j'ai bien raison de penser ce que je pense ...

;-)
All unix is love (moktar - 2004)
Avatar de l’utilisateur
moktar
Aspirant
Aspirant
 
Messages: 119
Inscrit le: 04 Déc 2003 01:00
Localisation: france

Messagepar kamui » 01 Juin 2004 23:38

J'ai un cisco c827 avec le dernier IOS c820-oy6-mz.123-8.T.bin , ios 12.3(8)T

voici mon sh run

Code: Tout sélectionner
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Kamui
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
username Kamui password 0 xxxxxxxxxx
no aaa new-model
ip subnet-zero
ip dhcp excluded-address 10.0.0.138
!
ip dhcp pool CLIENT
   import all
   network 10.0.0.0 255.0.0.0
   default-router 10.0.0.138
   lease 0 2
!
!
ip name-server 80.118.196.36
ip name-server 80.118.192.100
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
!
!
!
interface Ethernet0
ip address 10.0.0.138 255.0.0.0
ip nat inside
ip virtual-reassembly
no ip route-cache
hold-queue 100 out
!
interface ATM0
no ip address
atm vc-per-vp 64
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
!
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip nat outside
ip inspect myfw out
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxx
ppp chap password 0 xxxxxxxxxx
ppp pap sent-username xxxxx password 0 xxxxxxx
ppp ipcp dns request
ppp ipcp wins request
hold-queue 224 in
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
ip nat translation timeout 3600
ip nat translation tcp-timeout 3600
ip nat translation udp-timeout 1200
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 120
ip nat translation max-entries 4096
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 10.0.0.1 9999 interface Dialer1 9999
ip nat inside source static udp 10.0.0.1 10000 interface Dialer1 10000
ip nat inside source static tcp 10.0.0.1 10002 interface Dialer1 10002
ip nat inside source static tcp 10.0.0.1 10003 interface Dialer1 10003
!
access-list 102 permit ip 10.0.0.0 0.255.255.255 any
access-list 102 remark Flux sortant
access-list 102 deny   udp any any eq netbios-ns
access-list 102 deny   udp any any eq netbios-dgm
access-list 102 deny   udp any any eq netbios-ss
access-list 102 deny   tcp any any eq 135
access-list 102 deny   udp any any eq 135
access-list 102 deny   tcp any any eq 139
access-list 102 deny   ip any any
access-list 111 deny   ip 10.0.0.0 0.255.255.255 any
access-list 111 deny   ip 172.0.0.0 0.240.255.255 any
access-list 111 deny   ip 192.168.0.0 0.0.255.255 any
access-list 111 deny   ip 127.0.0.0 0.255.255.255 any
access-list 111 deny   ip 255.0.0.0 0.255.255.255 any
access-list 111 deny   ip 224.0.0.0 7.255.255.255 any
access-list 111 deny   ip host 0.0.0.0 any
access-list 111 permit tcp any any eq 10003
access-list 111 permit tcp any any eq 10002
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 9999
access-list 111 deny   ip any any
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
transport preferred all
transport output all
line vty 0 4
exec-timeout 120 0
password xxxxxxxxx
login
length 0
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
end




donc moktar si tu pouvais améliorer mes ACL sa serait sympas , de tels sorte que je puisse pinger vers le WAN , et interdire le WAN de pinguer mon routeur , je passe tous les tests de sécurité , grc,pc flank mise à part celui ci , sygate udp scan , si tu pouvais me réglais çà sa serais sympas ;)
http://scan.sygatetech.com/preudpscan.html


merci @+++


PS: j'utilise un firwall logiciel en parallèle ;) look n stop 2.05 +phantom rules 5 8)
Avatar de l’utilisateur
kamui
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 20 Sep 2003 00:00

Messagepar kamui » 02 Juin 2004 23:46

:cry:
Avatar de l’utilisateur
kamui
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 20 Sep 2003 00:00

Messagepar kamui » 05 Juin 2004 01:23

personne n'as du cisco ici , ou trouver un forum cisco svp ???? :roll:
Avatar de l’utilisateur
kamui
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 20 Sep 2003 00:00

Messagepar Methos_Hi » 05 Juin 2004 10:18

tu connais
http://www.labo-cisco.com/ ?

Je l'ai pas encore bien fouillé mais çà peut peut-être t'aider.
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

Messagepar kamui » 05 Juin 2004 18:25

merci mais je connais ,j'y suis incrit ,il pas très actif ce forum :( , bon je vois qu'il n'y as pas beaucoup de cisco users , je laisse tomber :cry:

++
Avatar de l’utilisateur
kamui
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 20 Sep 2003 00:00

Messagepar Methos_Hi » 05 Juin 2004 18:34

Je ne pense pas qu'il faille que tu trouve quelqu'un qui te fasse tes règles.
Cela ne te rendra pas service à long termes.

Il faut que tu t'auto forme pour les réaliser toi même.

Le site cisco lab a apparement un module pédagogique avec des leçons que je n'ai pas encore regardées mais qui devrait pouvoir t'aider à atteindre ce but.


Bon courage!
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

Messagepar kamui » 05 Juin 2004 20:44

autodidacte powaa , la puplart des régles je les ai crée moi même mais pour le reste je vois pas , c pour cela que je demande de l'aide , on progresse aussi quand on demande de l'aide et quand on vas à la pêche aux infos non ??,quand à labo cisco les tuto sont très mal faits :(

+++
Avatar de l’utilisateur
kamui
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 20 Sep 2003 00:00

Inspect

Messagepar _sebf » 08 Juin 2004 23:57

Salut kamui,

Tu doit commencer par inspecter le protocole Icmp afin de laisser passer les réponses. Pour cela :
ip inspect name myfw icmp
Puuis l'appeler en out sur l'interface Wan, mais tu l'as déjà fait :)

Puis, permettre la sortie des trame Icmp :
Ha non, tu n'a pas spécifier d'Ip access group en sorie... Donc cela fonctionnera.

Je te conseil tout de même de filtrer tes flux sortant :)

_SebF

http://www.frameip.com
Pour ceux qui aiment TCPIP
_sebf
Matelot
Matelot
 
Messages: 7
Inscrit le: 08 Juin 2004 23:50

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)