Tweet
Mục tiêu
Cấu hình để router nhận ra các ứng dụng không sử dụng port chuẩn.
Mô hình
Mô tả
Cấu hình PAM chỉ port mà CBAC phải kiểm tra trong trường hợp ứng dụng không dùng port chuẩn, ví dụ HTTP nhưng dùng port 8080.
Cấu hình tham khảo
Bước 1: Đặt địa chỉ IP, định tuyến, cấu hình "Static PAT"
Router 4
!
!
!
interface Loopback0
ip address 150.1.4.4 255.255.255.0
!
interface FastEthernet0/0
ip address 155.1.45.4 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.0.0.4 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
!
router ospf 1
log-adjacency-changes
network 150.1.4.0 0.0.0.255 area 0
network 155.1.45.0 0.0.0.255 area 0
!
ip classless
!
!
no ip http server
no ip http secure-server
ip nat inside source static tcp 10.0.0.1 23 interface Loopback0 1023
!
!
!
Router 1
!
!
!
interface FastEthernet0/0
ip address 10.0.0.1 255.255.255.0
duplex auto
speed auto
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.0.0.4
!
!
line vty 0 4
no login
priviledge level 15
!
Router 5
!
!
!
interface FastEthernet0/0
ip address 155.1.45.5 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 150.1.5.5 255.255.255.0
duplex auto
speed auto
no keepalive
!
!
router ospf 1
log-adjacency-changes
network 150.1.5.0 0.0.0.255 area 0
network 155.1.45.0 0.0.0.255 area 0
!
ip classless
ip http server
!
!
!
Bước 2: Tạo inspection rule INSPECT_TELNET và ACL INSIDE, apply vào các interface của router 4
Router 4
!
!
ip port-map telnet port tcp 1023 list 1
ip inspect name INSPECT_TELNET telnet
!
!
!
!
ip access-list extended INSIDE
deny ip any any
!
!
access-list 1 permit 10.0.0.1
!
interface FastEthernet0/0
ip inspect INSPECT_TELNET in
!
interface FastEthernet0/1
ip access-group INSIDE in
!
!
!
Bước 3: Kiểm tra
Router 5
R5#telnet 150.1.4.4 1023
Trying 150.1.4.4, 1023 ... Open
R1#
Router 4
R4#show ip inspect sessions
Established Sessions
Session 6655A278 (155.1.45.5:39005)=>(10.0.0.1:23) telnet SIS_OPEN
R4#show ip port-map telnet
Default mapping: telnet tcp port 23 system defined
Host specific: telnet tcp port 1023 in list 1 user defined
Cấu hình để router nhận ra các ứng dụng không sử dụng port chuẩn.
Mô hình
Mô tảCấu hình PAM chỉ port mà CBAC phải kiểm tra trong trường hợp ứng dụng không dùng port chuẩn, ví dụ HTTP nhưng dùng port 8080.
- Cấu hình router sử dụng "Static PAT"
- Tạo CBAC inspection rule với tên là INSPECT_TELNET trên Router 4 và cấu hình để nó kiểm tra protocol telnet
- Tạo ACL 99 trên Router 4 và match mạng 10.0.0.0/24 vào
- Map port 1023 là port telnet cho mạng trong list 99
- Apply inspection rule INSPECT_TELNET vào cổng fa0/0 của Router 4 theo chiều in
- Tạo ACL INSIDE và deny tất cả các traffic
- Apply ACL INSIDE trên cổng fa0/1 của Router 4 theo chiều in
Cấu hình tham khảo
Bước 1: Đặt địa chỉ IP, định tuyến, cấu hình "Static PAT"
Router 4
!
!
!
interface Loopback0
ip address 150.1.4.4 255.255.255.0
!
interface FastEthernet0/0
ip address 155.1.45.4 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.0.0.4 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
!
router ospf 1
log-adjacency-changes
network 150.1.4.0 0.0.0.255 area 0
network 155.1.45.0 0.0.0.255 area 0
!
ip classless
!
!
no ip http server
no ip http secure-server
ip nat inside source static tcp 10.0.0.1 23 interface Loopback0 1023
!
!
!
Router 1
!
!
!
interface FastEthernet0/0
ip address 10.0.0.1 255.255.255.0
duplex auto
speed auto
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.0.0.4
!
!
line vty 0 4
no login
priviledge level 15
!
Router 5
!
!
!
interface FastEthernet0/0
ip address 155.1.45.5 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 150.1.5.5 255.255.255.0
duplex auto
speed auto
no keepalive
!
!
router ospf 1
log-adjacency-changes
network 150.1.5.0 0.0.0.255 area 0
network 155.1.45.0 0.0.0.255 area 0
!
ip classless
ip http server
!
!
!
Bước 2: Tạo inspection rule INSPECT_TELNET và ACL INSIDE, apply vào các interface của router 4
Router 4
!
!
ip port-map telnet port tcp 1023 list 1
ip inspect name INSPECT_TELNET telnet
!
!
!
!
ip access-list extended INSIDE
deny ip any any
!
!
access-list 1 permit 10.0.0.1
!
interface FastEthernet0/0
ip inspect INSPECT_TELNET in
!
interface FastEthernet0/1
ip access-group INSIDE in
!
!
!
Bước 3: Kiểm tra
Router 5
R5#telnet 150.1.4.4 1023
Trying 150.1.4.4, 1023 ... Open
R1#
Router 4
R4#show ip inspect sessions
Established Sessions
Session 6655A278 (155.1.45.5:39005)=>(10.0.0.1:23) telnet SIS_OPEN
R4#show ip port-map telnet
Default mapping: telnet tcp port 23 system defined
Host specific: telnet tcp port 1023 in list 1 user defined