cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
739
Visitas
5
ÚTIL
1
Respuestas

Configuración de puertos seguros para navegación en Internet en conexion PPPoE en Router 1905

Mauricio-1542
Level 1
Level 1

Buenas noches compañeros, tengo duda acerca de la seguridad de mi configuración en mi Router 1905, pues estoy permitiendo todo el trafico con el comando "access-list 101 permit ip any any",. quisiera saber si me pudieran facilitar alguna configuración para dar acceso solo a los puertos seguros para navegar en Internet.

De antemano gracias por su ayuda.

 

Adjunto configuración actual....

 

R01#sh run
Building configuration...

Current configuration : 2880 bytes
!
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R01
!
boot-start-marker
boot system flash c1900-universalk9-mz.SPA.151-1.T.bin
boot-end-marker
!
!
no aaa new-model
!
no ipv6 cef
ip source-route
ip cef
!
!
ip dhcp excluded-address 192.168.5.1 192.168.5.5
!
ip dhcp pool LAN
network 192.168.5.0 255.255.255.0
dns-server 8.8.8.8
default-router 192.168.5.1
netbios-name-server 192.168.1.5

!
ip dhcp pool LAN 2
network 192.168.6.0 255.255.255.0
dns-server 8.8.8.8
default-router 192.168.6.1
netbios-name-server 192.168.6.5

!
ip dhcp pool LAN 3
network 192.168.7.0 255.255.255.0
dns-server 8.8.8.8
default-router 192.168.7.1
netbios-name-server 192.168.7.5

!
ip dhcp pool LAN 4
network 192.168.8.0 255.255.255.0
dns-server 8.8.8.8
default-router 192.168.8.1
netbios-name-server 192.168.8.5

!
!
multilink bundle-name authenticated
!
vpdn enable
!
!
!
license udi pid CISCO1905/K9
!
!
!
!
!
!
!
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.1
encapsulation dot1Q 1 native
ip address 192.168.5.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface GigabitEthernet0/0.2
encapsulation dot1Q 2
ip address 192.168.6.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface GigabitEthernet0/0.3
encapsulation dot1Q 3
ip address 192.168.7.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface GigabitEthernet0/0.4
encapsulation dot1Q 4
ip address 192.168.8.1 255.255.255.0
ip nat inside
ip virtual-reassembly
shutdown
!
interface GigabitEthernet0/1
ip dhcp client update dns
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
no cdp enable
!
interface Serial0/0/0
no ip address
shutdown
no fair-queue
clock rate 2000000
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1400
ip nbar protocol-discovery
ip flow ingress
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1360
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname tmx********@prodigy.net.mx
ppp chap password 0 ***********
ppp pap sent-username tmx*******@prodigy.net.mx password 0 *******
no cdp enable
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list 101 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
!
access-list 101 permit ip any any
!
!
!

transport input all
!
scheduler allocate 20000 1000
end

1 RESPUESTA 1

Julio E. Moisa
VIP Alumni
VIP Alumni

Hola,

No conozco tu topologia, pero podrias tener un firewall antes del router para aplicar un filtrado de contenido y aplicaciones. 

 

Ahora bien si solo cuentas con el router, en tu ACL podrias aplicar configuraciones a tu NAT, por ejemplo:

**Asi debes manejar tu ACL extendida, si borras algo de tu actual ACL numerada borraras el resto de ACL 101**

 

Realizar filtrado a traves de una ACL puede ser muy complicado porque es manual y puedes hacer crecer tu ACL considerablemente lo que puede generar mas procesamiento. Pero es mejor un dispositivo que pueda realizar filtrado de contenido y de aplicaciones, como lo hace un firewall tipo firepower y otro fabricantes. 

 

ip access-list extended 101

line 5 deny tcp any any eq 4662

line 10 deny udp any any eq 4672

line 1000 permit ip any any ---> puedes agregar el parametro log, para ver que eventos se ejecutan unicamente que te puede cargar mas procesamiento. 

 

Si lo quieres hacer mas personalizado, revisa si estos parametros te sirven o son soportados en tu router:

logging ip access-list cache entries 1000
logging ip access-list cache interval 5
logging ip access-list cache threshold 1
hardware rate-limiter access-list-log 200
acllog match-log-level 3

 

Pero revisa si eso no genera mas procesamiento a tu equipo, sino desactivalo.

 

Otro comando que puedes aplicar es el siguiente:

 

Ip verify Urpf, para verificar la validez de tu origen cuando se envia un trafico y se recibe una respuesta, si el origen no coincide en los paquetes, estos son descartados. 

 

http://networkexpertsolutions.blogspot.com/p/should.html

 

Saludos. 

 

 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<