Das einzige, was einen an dieser Aufgabe wahnsinnig machen kann, ist, dass nirgendwo angegeben ist, wie die Listen benannt werden sollen, deswegen schreibe ich es gleich am Anfang: Die erwarteten Namen sind "OUT-IN" für die Access-Liste und "IN-OUT-IN" für die CBAC-Liste (das kann man sehen, wenn man auf "check results" klickt ^_^)
Tischplattenbeißpotential:
1. Eine "named IP ACL" auf R3 soll allen Datenfluss (Traffic) von außen blocken:
R3(config)#ip access-list extended OUT-IN
-> wie oben schon erwähnt, ist der Name nicht beliebig
R3(config-ext-nacl)#deny ip any any
-> als "außen" wird das Netzwerk an der seriellen Schnittstelle gewertet:
R3(config)#int s0/0/1
R3(config-if)#ip acc OUT-IN in
2. Eine "CBAC Inspection Rule" soll ICMP, Telnet und HTTP inspizieren:
R3(config)#ip inspect name IN-OUT-IN icmp alert on
R3(config)#ip inspect name IN-OUT-IN telnet alert on
R3(config)#ip inspect name IN-OUT-IN http alert on
3. Time-stamped logging und CBAC audit trail messages sollen aktiviert werden
R3(config)#service timestamps log datetime msec
R3(config)#service timestamps debug datetime msec
-> In dieser Aufgabe müssen auch Zeitstempel für "debug" aktiviert werden
R3(config)#ip inspect audit-trail
R3(config)#logging host 192.168.1.3
-> Auf Server PC-A läuft der Syslog-Dienst. Nach diesem Befehl kommt folgende Meldung:
%SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 192.168.1.3 port 514 started - CLI initiated
R3(config)#logging on
4. Die bei 2. definierte CBAC-Regel soll für "egress traffic" an Interface S0/0/1 angebracht werden
-> egress ist das Gegenteil von ingress, und ingress bedeutet (wie man schon raten kann) "inbound", also ist egress "outbound"
R3(config)#int s0/0/1
R3(config-if)#ip inspect IN-OUT-IN out
5. Verifizieren
-> das wird zwar nicht gewertet, aber bei solchen fortgeschrittenen Konfigurationen ist es durchaus mal interessant, sich die Infos darüber anzeigen zu lassen - und Pakete zu generieren:
R3#sh ip inspect all
Session audit trail is enabled
Session alert is enabled
one-minute (sampling period) thresholds are [unlimited : unlimited] connections
max-incomplete sessions thresholds are [unlimited : unlimited]
max-incomplete tcp connections per host is unlimited. Block-time 0 minute.
tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
tcp idle-time is 3600 sec -- udp idle-time is 30 sec
tcp reassembly queue length 16; timeout 5 sec; memory-limit 1024 kilo bytes
dns-timeout is 5 sec
Inspection Rule Configuration
Inspection name FWRULE
icmp alert is on audit-trail is on timeout 10
telnet alert is on audit-trail is on timeout 3600
Inspection name IN-OUT-IN
icmp alert is on audit-trail is on timeout 10
telnet alert is on audit-trail is on timeout 3600
http alert is on audit-trail is on timeout 3600
Interface Configuration
Interface Serial0/0/1
Inbound inspection rule is not set
Outgoing inspection rule is IN-OUT-IN
icmp alert is on audit-trail is on timeout 10
telnet alert is on audit-trail is on timeout 3600
http alert is on audit-trail is on timeout 3600
Inbound access list is OUT-IN
Outgoing access list is not set
R3# sh ip inspect sessions
*Mrz 01, 00:05:40.055: %FW-6-SESS_AUDIT_TRAIL_START: Start telnet session: initiator (192.168.3.3:1025) -- responder (10.2.2.2:23)
*Mrz 01, 00:05:42.055: %FW-6-SESS_AUDIT_TRAIL_STOP: Stop telnet session: initiator (192.168.3.3:1025) -- responder (10.2.2.2:23)
*Mrz 01, 00:05:50.055: %FW-6-SESS_AUDIT_TRAIL_START: Start telnet session: initiator (192.168.3.3:1026) -- responder (192.168.1.3:23)
*Mrz 01, 00:05:55.055: %FW-6-SESS_AUDIT_TRAIL_STOP: Stop telnet session: initiator (192.168.3.3:1026) -- responder (192.168.1.3:23)
*Mrz 01, 00:06:06.066: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator (192.168.3.3:1027) -- responder (192.168.1.3:80)
*Mrz 01, 00:06:11.066: %FW-6-SESS_AUDIT_TRAIL_STOP: Stop http session: initiator (192.168.3.3:1027) -- responder (192.168.1.3:80)
R3#sh ip inspect statistics
Packet inspection statistics [process switch:fast switch]
tcp packets: [0:4]
Interfaces configured for inspection 1
Session creations since subsystem startup or last reset 4
Current session counts (estab/half-open/terminating) [0:0:0]
Maxever session counts (estab/half-open/terminating) [1:0:0]
Last session created 00:06:24
Last statistic reset never
Last session creation rate 0
Maxever session creation rate 1
Last half-open session total 0
TCP reassembly statistics
received 0 packets out-of-order; dropped 0
peak memory usage 0 KB; current usage: 0 KB
peak queue length 0
Tischplattenbeißpotential:
1. Eine "named IP ACL" auf R3 soll allen Datenfluss (Traffic) von außen blocken:
R3(config)#ip access-list extended OUT-IN
-> wie oben schon erwähnt, ist der Name nicht beliebig
R3(config-ext-nacl)#deny ip any any
-> als "außen" wird das Netzwerk an der seriellen Schnittstelle gewertet:
R3(config)#int s0/0/1
R3(config-if)#ip acc OUT-IN in
2. Eine "CBAC Inspection Rule" soll ICMP, Telnet und HTTP inspizieren:
R3(config)#ip inspect name IN-OUT-IN icmp alert on
R3(config)#ip inspect name IN-OUT-IN telnet alert on
R3(config)#ip inspect name IN-OUT-IN http alert on
3. Time-stamped logging und CBAC audit trail messages sollen aktiviert werden
R3(config)#service timestamps log datetime msec
R3(config)#service timestamps debug datetime msec
-> In dieser Aufgabe müssen auch Zeitstempel für "debug" aktiviert werden
R3(config)#ip inspect audit-trail
R3(config)#logging host 192.168.1.3
-> Auf Server PC-A läuft der Syslog-Dienst. Nach diesem Befehl kommt folgende Meldung:
%SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 192.168.1.3 port 514 started - CLI initiated
R3(config)#logging on
4. Die bei 2. definierte CBAC-Regel soll für "egress traffic" an Interface S0/0/1 angebracht werden
-> egress ist das Gegenteil von ingress, und ingress bedeutet (wie man schon raten kann) "inbound", also ist egress "outbound"
R3(config)#int s0/0/1
R3(config-if)#ip inspect IN-OUT-IN out
5. Verifizieren
-> das wird zwar nicht gewertet, aber bei solchen fortgeschrittenen Konfigurationen ist es durchaus mal interessant, sich die Infos darüber anzeigen zu lassen - und Pakete zu generieren:
R3#sh ip inspect all
Session audit trail is enabled
Session alert is enabled
one-minute (sampling period) thresholds are [unlimited : unlimited] connections
max-incomplete sessions thresholds are [unlimited : unlimited]
max-incomplete tcp connections per host is unlimited. Block-time 0 minute.
tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
tcp idle-time is 3600 sec -- udp idle-time is 30 sec
tcp reassembly queue length 16; timeout 5 sec; memory-limit 1024 kilo bytes
dns-timeout is 5 sec
Inspection Rule Configuration
Inspection name FWRULE
icmp alert is on audit-trail is on timeout 10
telnet alert is on audit-trail is on timeout 3600
Inspection name IN-OUT-IN
icmp alert is on audit-trail is on timeout 10
telnet alert is on audit-trail is on timeout 3600
http alert is on audit-trail is on timeout 3600
Interface Configuration
Interface Serial0/0/1
Inbound inspection rule is not set
Outgoing inspection rule is IN-OUT-IN
icmp alert is on audit-trail is on timeout 10
telnet alert is on audit-trail is on timeout 3600
http alert is on audit-trail is on timeout 3600
Inbound access list is OUT-IN
Outgoing access list is not set
R3# sh ip inspect sessions
*Mrz 01, 00:05:40.055: %FW-6-SESS_AUDIT_TRAIL_START: Start telnet session: initiator (192.168.3.3:1025) -- responder (10.2.2.2:23)
*Mrz 01, 00:05:42.055: %FW-6-SESS_AUDIT_TRAIL_STOP: Stop telnet session: initiator (192.168.3.3:1025) -- responder (10.2.2.2:23)
*Mrz 01, 00:05:50.055: %FW-6-SESS_AUDIT_TRAIL_START: Start telnet session: initiator (192.168.3.3:1026) -- responder (192.168.1.3:23)
*Mrz 01, 00:05:55.055: %FW-6-SESS_AUDIT_TRAIL_STOP: Stop telnet session: initiator (192.168.3.3:1026) -- responder (192.168.1.3:23)
*Mrz 01, 00:06:06.066: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator (192.168.3.3:1027) -- responder (192.168.1.3:80)
*Mrz 01, 00:06:11.066: %FW-6-SESS_AUDIT_TRAIL_STOP: Stop http session: initiator (192.168.3.3:1027) -- responder (192.168.1.3:80)
R3#sh ip inspect statistics
Packet inspection statistics [process switch:fast switch]
tcp packets: [0:4]
Interfaces configured for inspection 1
Session creations since subsystem startup or last reset 4
Current session counts (estab/half-open/terminating) [0:0:0]
Maxever session counts (estab/half-open/terminating) [1:0:0]
Last session created 00:06:24
Last statistic reset never
Last session creation rate 0
Maxever session creation rate 1
Last half-open session total 0
TCP reassembly statistics
received 0 packets out-of-order; dropped 0
peak memory usage 0 KB; current usage: 0 KB
peak queue length 0
Keine Kommentare:
Kommentar veröffentlichen