xDSL.at

[gogosch]

Hallo!
Habe mir für meinen CISCO eine Config für ein /29-Subnetz gebastelt die auch einwandfrei läuft.
Trotzdem hätte ich eine Frage an die Spezialisten, ob man in angefügter Config was verbessern kann?

Code: Alles auswählen

Current configuration : 1528 bytes
!
version 12.2
no service pad
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname ****
!
logging queue-limit 100
enable secret *****
!
username ***** password ****
clock timezone gmt+1 1
clock summer-time MET recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
!
!
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!

interface Ethernet0
ip address *.*.*.* 255.255.255.248
no ip proxy-arp
no cdp enable
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/48
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
!
dsl operating-mode auto
!
interface Dialer1
ip address negotiated
encapsulation ppp
dialer pool 1
dialer remote-name redback
dialer idle-timeout 0
dialer persistent
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname *****@linea7.com
ppp chap password *****
ppp pap sent-username ****@linea7.com password *****
hold-queue 224 in
!
ip classless
ip default-network 0.0.0.0
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
no ip http secure-server
!
access-list 111 permit ip any any
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 0 0
login local
no modem enable
stopbits 1
line aux 0
stopbits 1
line vty 0 4
exec-timeout 120 0
logging synchronous
login local
!
scheduler max-task-time 5000
!
end



[martin]

dein router lässt auch von aussen für jedemann telnet verbindungen zu, bist du sicher dass du das willst?

[gogosch]

dein router lässt auch von aussen für jedemann telnet verbindungen zu, bist du sicher dass du das willst?

Ja! Das ist gewünscht! Wegen allfälliger Fernwartung!

[martin]

Wegen allfälliger Fernwartung!

access-list 111 permit ip any any

recht viel mehr kannst du auch aus der ferne nicht aufmachen?

ich würd mir gut überlegen ob du das wirklich brauchst...

[lordpeng]

>Ja! Das ist gewünscht! Wegen allfälliger Fernwartung!
autsch ... btw. anstelle von telnet würd ich secureshell verwenden, soferns der router kann ...

wie martin bereits erwähnt hat, solltest du nur die services zulassen, die du wirklich brauchst ...

[barbakuss]

ich würd den zugriff mit access-listen total beschränken und dann nur diejenigen IPs freischalten von denen aus der Zugriff per ssh oder telnet erlaubt sein soll

du kannst auch noch von http://www.pool.ntp.org/zone/europe einen ntp server eintragen, dann aktualisieren sich die Uhrzeiten automatisch ( sntp-server xxx.xxx.xxx.xxx), ändert zwar nix an der funktion jedoch ist es beim durchforsten der logfiles komfortabler

[gogosch]

ich würd den zugriff mit access-listen total beschränken und dann nur diejenigen IPs freischalten von denen aus der Zugriff per ssh oder telnet erlaubt sein soll

du kannst auch noch von http://www.pool.ntp.org/zone/europe einen ntp server eintragen, dann aktualisieren sich die Uhrzeiten automatisch ( sntp-server xxx.xxx.xxx.xxx), ändert zwar nix an der funktion jedoch ist es beim durchforsten der logfiles komfortabler

Das mit dem SNTP-Server ist eine gute Idee.
Danke!
Hab folgende Statements zur Config hinzugefügt:
C***(config)#ip name-server 195.16.241.140
C***(config)#ip name-server 195.16.241.141
C***(config)#sntp server at.pool.ntp.org
Jetzt wird die Uhrzeit im Log wenigstens richtig angezeigt!

[martin]

trotzdem ist wie schon zuvor erwähnt die uhrzeit das kleinste problem das du hast/hattest

das "permit any any" ist schon eine etwas "russische" konfiguration...

[wicked_one]

überleg dir eine vernünftige access-list...

[gogosch]

Habe
access-list 2 permit *.*.*.* (steht für IP des Firewall-Rechners)
eingefügt.
Denke das reicht!

[ANOther]

bzgl telnet... wenn du unbedingt von überall fernwarten willst, bastel dir doch ein vpn auf eine kiste dahinter, dann kannst du bzgl telnet zumindest auf eine ip einschränken...

[gogosch]

Habe
access-list 2 permit *.*.*.* (steht für IP des Firewall-Rechners)
eingefügt.
Denke das reicht!

Um Missverständnisse und dauernde Anfragen zuvermeiden.
Die genannte Access-List wurde an "line vty 0 4" mittels "access-class 2 in" gebunden:

Code: Alles auswählen

!
line con 0
exec-timeout 0 0
login local
no modem enable
stopbits 1
line aux 0
stopbits 1
line vty 0 4
access-class 2 in
exec-timeout 120 0
logging synchronous
login local
!


Somit ist ein Zugriff auf die Konfiguration nur von genannter IP möglich.

[wicked_one]

hat bisher keiner gemerkt das da nix genattet wird...?

[jutta]

ich dachte, dass das absicht ist

Config für ein /29-Subnetz gebastelt

[wicked_one]

eben, wozu also access-lists... das einzige das geschützt werden muss is der Router - das Netzt schützt der Firewall rechner dahinter...