Re: [redewan] access-list cisco

Tue, 20 Mar 2001 13:42:38 -0800

Date: Oct 21 2000 07:23:40 EDT
From: "Kevison Dennys Carrilho Bentes" <[EMAIL PROTECTED]>
Subject: Re: [redewan] access-list cisco 

Oi Hugo,

A linha "access-list 101 permit tcp any any established" � uma
forma de configura��o.
O "established"  � opcional.

Creio que a melhor configura��o em termos de seguran�a seria:
Supondo que n�o haja servidor de correio (smtp e pop3) dentro
da rede local.

ip access-group 101 in
access-list 101 permit tcp any eq 25 10.66.0.0 0.0.255.255 gt 1023
access-list 101 permit tcp any eq 110 10.66.0.0 0.0.255.255 gt 1023

ip access-group 101 out
access-list 101 permit tcp 10.66.0.0 0.0.255.255 gt 1023 any eq 25
access-list 101 permit tcp 10.66.0.0 0.0.255.255 gt 1023 any eq 110

Com isto, voce amarra as portas dos dois lados e n�o usa a flag
"established".
A Cisco colocou  a flag established para facilitar, mas, sem d�vida
n�o � recomend�vel us�-la.

A configura��o acima permite apenas tr�fego de cliente smtp + pop3
da rede local para fora.

Se houver servidor de correio na rede local, ent�o outras linhas ter�o
que ser adicionadas.

Isto pode ser visto em:
http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113t/113t_
3/stdlog.htm#20521


Grato.



Kevison Dennys Carrilho Bentes
Gerente de Rede
Air System Network
Bras�lia - DF Brasil
Fone: 55 61 313-8002
Fax: 55 61 313-8008
[EMAIL PROTECTED]
----- Original Message -----
From: "Hugo Caye" <[EMAIL PROTECTED]>
To: "Lista de Discuss�o Rede Wan" <[EMAIL PROTECTED]>
Sent: Wednesday, October 18, 2000 10:55 AM
Subject: RE: [redewan] access-list cisco


Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br

-----Original Message-----
From: Kevison Dennys Carrilho Bentes

A linha: access-list 101 permit tcp any any established:

Deixa passar qualquer pacote que pertence a uma conex�o que j� foi
aberta (estabelecida) anteriormente. Se refere ao tr�fego de volta ou
de resposta a um pedido de conex�o.
Essa linha deixa passar os pacotes que possuem o flag ACK ligado.
� a linha de volta.

__________________________________________________________

Esta linha eu trocaria por:

access-list 101 permit tcp any 10.66.0.0 0.0.255.255 gt 1023
established

onde 10.66.0.0/16 � a rede interna e o filtro � Incoming na Interface
Serial0.

Mas mesmo assim fica um grande "buraco" de seguran�a. Todos os Port's
din�micos (1024 - 65535) com permiss�o de entrada desde que o Hacker
sete o Bit Ack=1 (o que � uma barbada).


            Hugo Caye

O__  ----
c/ /'_ ---
(*) \(*) --
~~~~~~~~
ccna ccda
mcne� ncip
mcse cne5


______________________________________________________________________

Responder a