[Resolu] Cisco 827 , cherche config acl sécurisé

[kamui]

Hi All ,

Je recherche des ACL pour sécurisés mon routeur , en bloquant tout , et en autorisant que les truc de bases , telnet ,dns, pop , smtp et ftp .

merci des régles antispoofing et macspoofing m'intéresse aussi , car mon c827 ne passe pas les test grc hallucinant pour un matos de haute gamme .

et merci de m'indiquer la procédure pour créer et appliquer des ACL en français svp ( je ne veux pas de liens vers des sites cisco qui sont pas claires et puis débrouille toi )
Merci d'avance:)


pour info je n'ai qu'un pc connecté au routeur
IP :10.0.0.1
Mask:255.0.0.0
Gateway 10.0.0.138

[kamui]

[ldidier]

En général la première info ont la cherche sur le site du fournisseur, ou dans les news groups. Maintenant vouloir faire d'un routeur un pseudo firewall c'est pas fonciérement leurs travail. C'est un peu comme dire que la twingo tu peut faire beaucoup de route. disont plus simplement que pour de la route, il vaut mieux une routiére faite pour ce genre de tâche.

[kamui]

En général la première info ont la cherche sur le site du fournisseur, ou dans les news groups. Maintenant vouloir faire d'un routeur un pseudo firewall c'est pas fonciérement leurs travail. C'est un peu comme dire que la twingo tu peut faire beaucoup de route. disont plus simplement que pour de la route, il vaut mieux une routiére faite pour ce genre de tâche.

mon routeur cisco intégre une fonction firewall alors pourquoi ne pas l'utiliser ??? , bref une réponse sérieuse svp
@++

[Souley]

Salut
Avant de vouloir acheter du matos haut de gamme achete le ivre qui va avec

J'hallucine sur ta demande
Des ACL c'est comme un kernel tu les setup en fonction de tes besoins ...


Alors tappe toi un man complet et fait les maison

De plus l'usage d'un 'vrai' firewall est conseille

Souley

[fraedhrim]

Bonjour,

Juste une petite info : le CISCO 827 peut être un vrai firewall. Tout dépend de l'IOS utilisé. Il y a un IOS on va dire "normal" de routeur de base et un IOS "firewall".

Donc pas la peine de le dénigrer ce pauvre 827.

Bon cela dit bon courage pour le configurer sans connaissances CISCO. Cela dit tu as une interface web disponible sur ce routeur qui embarque un assistant de configuration et des profils de règles (de mémoire pour cette partie). Donc cela devrait te simplifier l'affaire.

Pour activer l'interface je crois que c'est bêtement : http server enable (ou sans le enable je sais plus) en CLI.

A+

[moktar]

Je peux te faire ta config si tu veux !






J'ai juste besoin de tout savoir sur ta connection ton provider username password dns ip fixe ou pas ...

Quand j'aurais ca je pourrais te faire ta config..


Quand je vois ce que je vois et que j'entends ce que j'entends, je me dis que j'ai bien raison de penser ce que je pense ...

[kamui]

J'ai un cisco c827 avec le dernier IOS c820-oy6-mz.123-8.T.bin , ios 12.3(8)T

voici mon sh run

Code: Tout sélectionner

version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Kamui
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
username Kamui password 0 xxxxxxxxxx
no aaa new-model
ip subnet-zero
ip dhcp excluded-address 10.0.0.138
!
ip dhcp pool CLIENT
   import all
   network 10.0.0.0 255.0.0.0
   default-router 10.0.0.138
   lease 0 2
!
!
ip name-server 80.118.196.36
ip name-server 80.118.192.100
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
!
!
!
interface Ethernet0
ip address 10.0.0.138 255.0.0.0
ip nat inside
ip virtual-reassembly
no ip route-cache
hold-queue 100 out
!
interface ATM0
no ip address
atm vc-per-vp 64
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
!
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip nat outside
ip inspect myfw out
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxx
ppp chap password 0 xxxxxxxxxx
ppp pap sent-username xxxxx password 0 xxxxxxx
ppp ipcp dns request
ppp ipcp wins request
hold-queue 224 in
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
ip nat translation timeout 3600
ip nat translation tcp-timeout 3600
ip nat translation udp-timeout 1200
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 120
ip nat translation max-entries 4096
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 10.0.0.1 9999 interface Dialer1 9999
ip nat inside source static udp 10.0.0.1 10000 interface Dialer1 10000
ip nat inside source static tcp 10.0.0.1 10002 interface Dialer1 10002
ip nat inside source static tcp 10.0.0.1 10003 interface Dialer1 10003
!
access-list 102 permit ip 10.0.0.0 0.255.255.255 any
access-list 102 remark Flux sortant
access-list 102 deny   udp any any eq netbios-ns
access-list 102 deny   udp any any eq netbios-dgm
access-list 102 deny   udp any any eq netbios-ss
access-list 102 deny   tcp any any eq 135
access-list 102 deny   udp any any eq 135
access-list 102 deny   tcp any any eq 139
access-list 102 deny   ip any any
access-list 111 deny   ip 10.0.0.0 0.255.255.255 any
access-list 111 deny   ip 172.0.0.0 0.240.255.255 any
access-list 111 deny   ip 192.168.0.0 0.0.255.255 any
access-list 111 deny   ip 127.0.0.0 0.255.255.255 any
access-list 111 deny   ip 255.0.0.0 0.255.255.255 any
access-list 111 deny   ip 224.0.0.0 7.255.255.255 any
access-list 111 deny   ip host 0.0.0.0 any
access-list 111 permit tcp any any eq 10003
access-list 111 permit tcp any any eq 10002
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 9999
access-list 111 deny   ip any any
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
transport preferred all
transport output all
line vty 0 4
exec-timeout 120 0
password xxxxxxxxx
login
length 0
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
end


donc moktar si tu pouvais améliorer mes ACL sa serait sympas , de tels sorte que je puisse pinger vers le WAN , et interdire le WAN de pinguer mon routeur , je passe tous les tests de sécurité , grc,pc flank mise à part celui ci , sygate udp scan , si tu pouvais me réglais çà sa serais sympas
http://scan.sygatetech.com/preudpscan.html


merci @+++


PS: j'utilise un firwall logiciel en parallèle look n stop 2.05 +phantom rules 5

[kamui]

[kamui]

personne n'as du cisco ici , ou trouver un forum cisco svp ????

[Methos_Hi]

tu connais
http://www.labo-cisco.com/ ?

Je l'ai pas encore bien fouillé mais çà peut peut-être t'aider.

[kamui]

merci mais je connais ,j'y suis incrit ,il pas très actif ce forum , bon je vois qu'il n'y as pas beaucoup de cisco users , je laisse tomber

++

[Methos_Hi]

Je ne pense pas qu'il faille que tu trouve quelqu'un qui te fasse tes règles.
Cela ne te rendra pas service à long termes.

Il faut que tu t'auto forme pour les réaliser toi même.

Le site cisco lab a apparement un module pédagogique avec des leçons que je n'ai pas encore regardées mais qui devrait pouvoir t'aider à atteindre ce but.


Bon courage!

[kamui]

autodidacte powaa , la puplart des régles je les ai crée moi même mais pour le reste je vois pas , c pour cela que je demande de l'aide , on progresse aussi quand on demande de l'aide et quand on vas à la pêche aux infos non ??,quand à labo cisco les tuto sont très mal faits

+++

[_sebf]

Salut kamui,

Tu doit commencer par inspecter le protocole Icmp afin de laisser passer les réponses. Pour cela :
ip inspect name myfw icmp
Puuis l'appeler en out sur l'interface Wan, mais tu l'as déjà fait

Puis, permettre la sortie des trame Icmp :
Ha non, tu n'a pas spécifier d'Ip access group en sorie... Donc cela fonctionnera.

Je te conseil tout de même de filtrer tes flux sortant

_SebF

http://www.frameip.com
Pour ceux qui aiment TCPIP