el 03-09-2020 10:23 PM
Buenas noches compañeros, tengo duda acerca de la seguridad de mi configuración en mi Router 1905, pues estoy permitiendo todo el trafico con el comando "access-list 101 permit ip any any",. quisiera saber si me pudieran facilitar alguna configuración para dar acceso solo a los puertos seguros para navegar en Internet.
De antemano gracias por su ayuda.
Adjunto configuración actual....
R01#sh run
Building configuration...
Current configuration : 2880 bytes
!
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R01
!
boot-start-marker
boot system flash c1900-universalk9-mz.SPA.151-1.T.bin
boot-end-marker
!
!
no aaa new-model
!
no ipv6 cef
ip source-route
ip cef
!
!
ip dhcp excluded-address 192.168.5.1 192.168.5.5
!
ip dhcp pool LAN
network 192.168.5.0 255.255.255.0
dns-server 8.8.8.8
default-router 192.168.5.1
netbios-name-server 192.168.1.5
!
ip dhcp pool LAN 2
network 192.168.6.0 255.255.255.0
dns-server 8.8.8.8
default-router 192.168.6.1
netbios-name-server 192.168.6.5
!
ip dhcp pool LAN 3
network 192.168.7.0 255.255.255.0
dns-server 8.8.8.8
default-router 192.168.7.1
netbios-name-server 192.168.7.5
!
ip dhcp pool LAN 4
network 192.168.8.0 255.255.255.0
dns-server 8.8.8.8
default-router 192.168.8.1
netbios-name-server 192.168.8.5
!
!
multilink bundle-name authenticated
!
vpdn enable
!
!
!
license udi pid CISCO1905/K9
!
!
!
!
!
!
!
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.1
encapsulation dot1Q 1 native
ip address 192.168.5.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface GigabitEthernet0/0.2
encapsulation dot1Q 2
ip address 192.168.6.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface GigabitEthernet0/0.3
encapsulation dot1Q 3
ip address 192.168.7.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface GigabitEthernet0/0.4
encapsulation dot1Q 4
ip address 192.168.8.1 255.255.255.0
ip nat inside
ip virtual-reassembly
shutdown
!
interface GigabitEthernet0/1
ip dhcp client update dns
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
no cdp enable
!
interface Serial0/0/0
no ip address
shutdown
no fair-queue
clock rate 2000000
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1400
ip nbar protocol-discovery
ip flow ingress
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1360
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname tmx********@prodigy.net.mx
ppp chap password 0 ***********
ppp pap sent-username tmx*******@prodigy.net.mx password 0 *******
no cdp enable
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list 101 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
!
access-list 101 permit ip any any
!
!
!
transport input all
!
scheduler allocate 20000 1000
end
03-10-2020 05:51 AM - editado 03-10-2020 06:00 AM
Hola,
No conozco tu topologia, pero podrias tener un firewall antes del router para aplicar un filtrado de contenido y aplicaciones.
Ahora bien si solo cuentas con el router, en tu ACL podrias aplicar configuraciones a tu NAT, por ejemplo:
**Asi debes manejar tu ACL extendida, si borras algo de tu actual ACL numerada borraras el resto de ACL 101**
Realizar filtrado a traves de una ACL puede ser muy complicado porque es manual y puedes hacer crecer tu ACL considerablemente lo que puede generar mas procesamiento. Pero es mejor un dispositivo que pueda realizar filtrado de contenido y de aplicaciones, como lo hace un firewall tipo firepower y otro fabricantes.
ip access-list extended 101
line 5 deny tcp any any eq 4662
line 10 deny udp any any eq 4672
line 1000 permit ip any any ---> puedes agregar el parametro log, para ver que eventos se ejecutan unicamente que te puede cargar mas procesamiento.
Si lo quieres hacer mas personalizado, revisa si estos parametros te sirven o son soportados en tu router:
logging ip access-list cache entries 1000
logging ip access-list cache interval 5
logging ip access-list cache threshold 1
hardware rate-limiter access-list-log 200
acllog match-log-level 3
Pero revisa si eso no genera mas procesamiento a tu equipo, sino desactivalo.
Otro comando que puedes aplicar es el siguiente:
Ip verify Urpf, para verificar la validez de tu origen cuando se envia un trafico y se recibe una respuesta, si el origen no coincide en los paquetes, estos son descartados.
http://networkexpertsolutions.blogspot.com/p/should.html
Saludos.
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad