Deutschsprachiges Cisco Board
Main Menu
Home
Cisco Beispielkonfiguration
Forum
Forum Regeln
WebLink Sammlung
wktools
Speedtest
Search
Contact Us
Impressum
Wer ist Online?
Aktuell 2 Gäste und 1 Mitglied online
Zwerg#7
User Menu
Willkommen Gast.
Benutzername:
Passwort:
Angemeldet bleiben
Passwort vergessen?
Noch kein Benutzerkonto?
Registrieren
Home
Forum
Cisco Technologien
Cisco Security
Cisco 876W Security Probleme
Die Cisco Community
November 19, 2008, 11:39:56
Willkommen
Gast
. Bitte
einloggen
oder
registrieren
.
Haben Sie Ihre
Aktivierungs E-Mail
übersehen?
1 Stunde
1 Tag
1 Woche
1 Monat
Immer
Einloggen mit Benutzername, Passwort und Sitzungslänge
News
:
Übersicht
Hilfe
Suche
Einloggen
Registrieren
Die Cisco Community
>
Cisco Technologien
>
Cisco Security
>
Cisco 876W Security Probleme
Seiten: [
1
]
« vorheriges
nächstes »
Drucken
Autor
Thema: Cisco 876W Security Probleme (Gelesen 139 mal)
Dominic Schallert
Cisco Hilfsadminvertretung
Beiträge: 34
Cisco 876W Security Probleme
«
am:
August 27, 2008, 03:37:25 »
Hallo erstmal,
bin ganz neu in der Cisco Welt und versuche mich derzeit an einem Cisco 876W Router.
Ich habe das problem, dass ich den Ping-Reply per deny icmp any any in der ACL zwar blocke, aber wenn man von aussen auf die öffentliche ip einen Ping macht, erhält man trozdem noch das "Reply from x.x.x.x - Dest. Host Unreachable".
Wie kann ich das abstellen?
Danke im Vorraus
Dominic
!
version 12.4
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname Cisco
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging userinfo
logging buffered 51200 informational
no logging console
enable secret 5 xxx
!
aaa new-model
!
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization ipmobile default group rad_pmip
aaa accounting network acct_methods start-stop group rad_acct
!
aaa session-id common
!
resource policy
!
clock timezone PCTime 1
clock summer-time PCTime date Aug 27 2008 15:00 Oct 26 2003 3:00
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.0.1 192.168.0.99
ip dhcp excluded-address 192.168.0.201 192.168.0.254
ip dhcp excluded-address 192.168.2.1 192.168.2.199
ip dhcp excluded-address 192.168.2.201 192.168.2.254
!
ip dhcp pool 192.168.0.0
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 194.183.128.35 194.183.128.36
lease 12
!
ip dhcp pool 192.168.2.0
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server x y
lease infinite
!
!
ip domain name xxx
ip ssh maxstartups 3
ip ssh time-out 40
ip ssh authentication-retries 5
ip ssh logging events
ip ssh version 2
ip inspect log drop-pkt
ip inspect name SDM_HIGH appfw SDM_HIGH
ip inspect name SDM_HIGH icmp
ip inspect name SDM_HIGH tcp
ip inspect name SDM_HIGH udp
ip inspect name SDM_HIGH dns
ip inspect name SDM_HIGH https
ip inspect name dmzinspect tcp
ip inspect name dmzinspect udp
ip inspect name dmzinspect ftp
ip inspect name dmzinspect100 tcp
ip inspect name dmzinspect100 udp
ip ips notify SDEE
ip ips name sdm_ips_rule
login block-for 120 attempts 5 within 30
login on-failure log
!
appfw policy-name SDM_HIGH
application http
!
password encryption aes
!
crypto pki trustpoint TP-self-signed-1885888056
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1885888056
revocation-check none
rsakeypair TP-self-signed-1885888056
!
!
crypto pki certificate chain TP-self-signed-1885888056
certificate self-signed 01 nvram:IOS-Self-Sig#3602.cer
username admin privilege 15 password 7 xxx
!
!
!
!
!
!
interface FastEthernet0
description LAN
no cdp enable
!
interface FastEthernet1
description DMZ
switchport access vlan 2
no cdp enable
!
interface FastEthernet2
shutdown
!
interface FastEthernet3
description WAN
switchport access vlan 3
no cdp enable
!
interface Dot11Radio0
ip address 10.2.200.254 255.255.255.0
ip nat inside
ip virtual-reassembly
shutdown
!
encryption mode ciphers tkip
!
ssid Schallert
authentication open eap eap_methods
authentication network-eap eap_methods
authentication key-management wpa
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Vlan1
description LAN$FW_INSIDE$
ip address 192.168.0.1 255.255.255.0
ip broadcast-address 192.168.0.255
ip nat inside
ip inspect SDM_HIGH in
ip virtual-reassembly
!
interface Vlan2
description DMZ$FW_DMZ$
ip address 192.168.2.1 255.255.255.0
ip broadcast-address 192.168.2.255
ip nat inside
ip virtual-reassembly
!
interface Vlan3
description WAN$FW_OUTSIDE$
ip address dhcp
ip access-group sdm_vlan3_in in
ip flow ingress
ip flow egress
ip nat outside
ip inspect SDM_HIGH in
ip ips sdm_ips_rule in
ip virtual-reassembly
!
!
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Vlan3 overload
ip nat inside source static tcp 192.168.2.200 80 interface Vlan3 80
ip nat inside source static tcp 192.168.2.200 22 interface Vlan3 22
ip nat inside source static udp 192.168.2.200 8767 interface Vlan3 8767
ip nat inside source static tcp 192.168.0.254 3389 interface Vlan3 3389
ip nat inside source static tcp 192.168.2.200 9001 interface Vlan3 9001
!
ip access-list extended sdm_vlan3_in
remark SDM_ACL Category=1
deny icmp any any
permit tcp any any
permit udp any any
permit ip any any
permit tcp any any eq www
permit tcp any any eq 22
permit udp any any eq 8767
permit tcp any any eq 3389
permit tcp any any eq 9001
permit udp host xxx eq domain any
permit udp host xxx eq domain any
permit ip 192.168.0.0 0.0.0.255 any
deny ip 192.168.2.0 0.0.0.255 any
deny ip 192.168.0.0 0.0.0.255 any
deny ip 10.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip host 255.255.255.255 any
deny tcp any any
deny udp any any
deny ip any any
ip access-list extended sdm_vlan3_out
remark SDM_ACL Category=1
deny tcp 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
deny udp 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
!
logging 192.168.0.1
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255
no cdp run
!
control-plane
!
banner login #
---------------------------------------------------------------------------
HOST: x-x-x-x.tele.net
IP: x.x.x.x
---------------------------------------------------------------------------
NOTICE: This is a private network device. If you are not authorized
to connect or configure this device, disconnect at once! Actual
or attempted use, access, examination, or configuration change by
an unauthorized person will result in criminal and civil pro-
secution to the full extent of the law.
---------------------------------------------------------------------------
#
!
line con 0
password 7 xxx
no modem enable
line aux 0
password 7 xxx
line vty 0 4
password 7 xxx
transport input ssh
transport output ssh
!
scheduler max-task-time 5000
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end
Gespeichert
Multitasking erzeugt Schizophrenie!
#9370
Global Moderator
Cisco Veteran
Beiträge: 1247
CCIE #9370
Re: Cisco 876W Security Probleme
«
Antworten #1 am:
August 27, 2008, 03:44:51 »
Zitat
Reply from x.x.x.x - Dest. Host Unreachable
Ist x.x.x.x die IP von deinem Router?
/#9370
Gespeichert
--
www.spoerr.org/wktools
--
Keine Anfragen per Private Nachricht
Fragen werden nur im Forum beantwortet!
Dominic Schallert
Cisco Hilfsadminvertretung
Beiträge: 34
Re: Cisco 876W Security Probleme
«
Antworten #2 am:
August 27, 2008, 04:20:26 »
Jop genau.
Gespeichert
Multitasking erzeugt Schizophrenie!
#9370
Global Moderator
Cisco Veteran
Beiträge: 1247
CCIE #9370
Re: Cisco 876W Security Probleme
«
Antworten #3 am:
August 27, 2008, 04:44:15 »
probier mal "no ip unreachables" am intreface Vlan 3 zu konfigurieren.
/#9370
Gespeichert
--
www.spoerr.org/wktools
--
Keine Anfragen per Private Nachricht
Fragen werden nur im Forum beantwortet!
Dominic Schallert
Cisco Hilfsadminvertretung
Beiträge: 34
Re: Cisco 876W Security Probleme
«
Antworten #4 am:
August 27, 2008, 05:37:35 »
supa es funktioniert
vielen dank!
Gespeichert
Multitasking erzeugt Schizophrenie!
#9370
Global Moderator
Cisco Veteran
Beiträge: 1247
CCIE #9370
Re: Cisco 876W Security Probleme
«
Antworten #5 am:
August 27, 2008, 05:43:43 »
bitte gerne
/#9370
Gespeichert
--
www.spoerr.org/wktools
--
Keine Anfragen per Private Nachricht
Fragen werden nur im Forum beantwortet!
Otaku19
Cisco Admin
Beiträge: 452
Re: Cisco 876W Security Probleme
«
Antworten #6 am:
August 27, 2008, 09:24:02 »
müsste auch klappen wenn du evtl ne ACL ausgehend definierst und nach any any noch genau angibst welche ICMPs geblockt werden ?
Gespeichert
It is always something: Good, Fast, Cheap. Pick any two (you can't have all three).
#9370
Global Moderator
Cisco Veteran
Beiträge: 1247
CCIE #9370
Re: Cisco 876W Security Probleme
«
Antworten #7 am:
August 27, 2008, 09:35:24 »
Zitat von: Otaku19 am August 27, 2008, 09:24:02
müsste auch klappen wenn du evtl ne ACL ausgehend definierst und nach any any noch genau angibst welche ICMPs geblockt werden ?
keine Ahnung, aber wenn man es kompliziert haben will, dann vielleicht
/#9370
Gespeichert
--
www.spoerr.org/wktools
--
Keine Anfragen per Private Nachricht
Fragen werden nur im Forum beantwortet!
Dominic Schallert
Cisco Hilfsadminvertretung
Beiträge: 34
Re: Cisco 876W Security Probleme
«
Antworten #8 am:
August 27, 2008, 10:36:55 »
Ok danke Leute, mir ist gerade was aufgefallen.
Habe gerade versucht von einem Root-Server aus eine DoS Attacke auf meinen Internet-Anschluss und den darunter liegenden Webserver der sich in der DMZ befindet zu simulieren.
Mit erschrecken musste ich feststellen, dass bereits nach ca 30 Sekunden garnichts mehr geht, und ich rede nicht vom Webserver alleine sondern die komplette Leitung ist dicht, auf jedem PC im Haus ist es nichtmal mehr möglich eine Internetseite zu öffnen.
Die Router Logfiles geben folgendes in Massen aus:
Aug 27 20:42:34.717 UTC: %FW-4-HOST_TCP_ALERT_ON: Max tcp half-open connections (50) exceeded for host 192.168.2.200.
Aug 27 20:35:48.405 UTC: %IPS-4-SIGNATURE: Sig:3050 Subsig:0 Sev:5 Half-open Syn [62.47.234.246:55674 -> 192.168.2.200:80]
Aug 27 20:35:48.413 UTC: %IPS-4-SIGNATURE: Sig:3050 Subsig:0 Sev:5 Half-open Syn [62.47.234.246:55675 -> 192.168.2.200:80]
Aug 27 20:35:48.417 UTC: %IPS-4-SIGNATURE: Sig:3050 Subsig:0 Sev:5 Half-open Syn [62.47.234.246:55676 -> 192.168.2.200:80]
...
Habe IPS sowhl als auch ACLs auf dem exteren Interface Vlan3 laufen.
Brauche drignend Hilfe!!
Danke im vorraus
«
Letzte Änderung: August 27, 2008, 10:45:25 von dominic1134
»
Gespeichert
Multitasking erzeugt Schizophrenie!
#9370
Global Moderator
Cisco Veteran
Beiträge: 1247
CCIE #9370
Re: Cisco 876W Security Probleme
«
Antworten #9 am:
August 28, 2008, 12:24:25 »
http://www.cisco.com/en/US/docs/ios/12_3t/secur/command/reference/sec_i1gt.html#wp1186872
/#9370
Gespeichert
--
www.spoerr.org/wktools
--
Keine Anfragen per Private Nachricht
Fragen werden nur im Forum beantwortet!
Dominic Schallert
Cisco Hilfsadminvertretung
Beiträge: 34
Re: Cisco 876W Security Probleme
«
Antworten #10 am:
August 28, 2008, 12:40:49 »
Super hat bestens geholfen
Vielen Dank nochmals!!
Gespeichert
Multitasking erzeugt Schizophrenie!
Seiten: [
1
]
Drucken
« vorheriges
nächstes »
Gehe zu:
Bitte wählen Sie ein Ziel:
-----------------------------
Cisco Technologien
-----------------------------
=> Cisco Routing Switching und Wireless
=> Cisco Security
=> Cisco Voice
=> Beispielconfig und Tips und Tricks
=> Allgemeine Technische Fragen
-----------------------------
-=General=-
-----------------------------
=> Übersicht
=> Cisco News
=> Weiterbildung CCNA CCNP CCIE
=> Über Gott und die Welt
-----------------------------
wktools
-----------------------------
=> wktool Diskusionsforum (german)
=> wktools discussion forum (english)
Lade...
Mambo Template Supplied by Netshine Software Limited
