LucentAmar 0 Report post Posted November 7, 2006 Hehe Mr Admin, ingatkan putera sajer yang bermasalah. Kawe pun sama gaks ngan PIX506e kawe ni. TMNet punyer line OK. Bila masukkan firewall jer, network jadi slow giler. Tensen woo jadi camni. Test ping slalu jadik Request Time Out. Bypass jer, cun giler network kawer.Hush, kawe nyaris2 panggilkan Mesiniaga sediakan DMZ Firewall yang baru. Ingatkan external port dia rosak. Kawe raser cam network port dia rosak jer. Test ping ke local IP, cun giler time dia.Mat Tenuk, leh analysis sikik ker Firewall kawe ni? Kawe pun belajar gak sampe CCNA. Tapi tak terer2 pun, sbb banyak terlibat dengan peringkat Server2 jer. Jarang2 sentuh PIX ni. Dapek gak blajo ngasah bakat ngan ko erk.Email sini erk: [email protected]. Kawe nak gak email ko. Tapi ko nyer email kawe dak dok.Lagipun, kawe punyer configuration ni macam redundant jer. Kalo ada mamat yang buat test macam azuan buat tu. Mampuslah firewall kawe nih. Quote Share this post Link to post Share on other sites
Ehc 0 Report post Posted November 8, 2006 Hehe Mr Admin, ingatkan putera sajer yang bermasalah. Kawe pun sama gaks ngan PIX506e kawe ni. TMNet punyer line OK. Bila masukkan firewall jer, network jadi slow giler. Tensen woo jadi camni. Test ping slalu jadik Request Time Out. Bypass jer, cun giler network kawer.Hush, kawe nyaris2 panggilkan Mesiniaga sediakan DMZ Firewall yang baru. Ingatkan external port dia rosak. Kawe raser cam network port dia rosak jer. Test ping ke local IP, cun giler time dia.pendapat aku, kalau dah firewall tu mendatangkan kemudaratan kepada proses kijer harian di company/jabatan, mungkin perlu dicari alternatif lain untuk menggantikan firewall tersebut. cuma tinggal lagi mungkin anda tak berani atau takut untuk mencuba.mungkin anda boleh mencubanya dengan menggunakan LRP . tapi kalau kuasa bukan ditangan anda,keputusan kepadanya pula bukan yang anda boleh pengaruhi, tunggulah "support" yang dikatakan boleh diharapkan terhadap firewall itu.tapi anda masih ada dua pilihan study firewall tersebut atau buang je dalam "longkang".p/s: perit jerih bekerjasama dengan "company" ini telah menjadi Kenangan terindah dalam hidupku. Quote Share this post Link to post Share on other sites
crypto.md5 1 Report post Posted November 8, 2006 (edited) Aisehhmen, jangan guna conduit command, sebab command tu dah hampir pupus. Ok, begini, bermula dari static nat dulu, katakan dalam rangkaian awak ada 3 server.Server 1= 192.168.1.2 (web server) , Public IP= 200.200.200.202Server 2= 192.168.1.3 (mail server) , Public IP= 200.200.200.203Server 3= 192.168.1.4 (dns server) , Public IP= 200.200.200.204!Guna Static Command dengan syntax ni: Selepas guna static command kena taip clear xlate, jika tak, semua translation akan berhenti.static (real_ifc,mapped_ifc) {mapped_ip | interface} {real_ip [netmaskmask]} | {access-list access_list_name} [dns] [norandomseq [nailed]] [[tcp][max_conns [emb_lim]] [udp udp_max_conns]!Untuk server 1firewall(config)#static (inside,outside) 200.200.200.202 192.168.1.2 netmask 255.255.255.255 0 0!Untuk server 2firewall(config)#static (inside,outside) 200.200.200.203 192.168.1.3 netmask 255.255.255.255 0 0!Untuk server 3firewall(config)#static (inside,outside) 200.200.200.204 192.168.1.4 netmask 255.255.255.255 0 0!Berdasarkan config di atas, ada kelemahan sekuriti, PIX putera ada ciri-ciri kelemahan ini. Cuba tengok kat hujungnya 0 0, iaitu max_conns & emb_limit. Remember 3 handshake? By default, Open-State Connection & Half-Open Connection dalam PIX ialah unlimited, apa akan jadi kalau attacker hantar TCP Syn packet belebihan tanpa menghabiskan 3 Handshake Steps ni, banyak yg. PIX kena handle, processor pun makin sibuk, akhirnya PIX tu restart sendiri. Untuk mengelakkan serangan jenis ni, limitkan max_con kepada value dari 70-90, dan emb_limit (half-open, juga dipanggil embryonic limit) kepada value dari 30-50 , kena test dulu value yg sesuai berdasarkan networking environment. Config yg selamat should be like this!firewall(config)#static (inside,outside) 200.200.200.202 192.168.1.2 netmask 255.255.255.255 70 30firewall(config)#static (inside,outside) 200.200.200.203 192.168.1.3 netmask 255.255.255.255 70 30firewall(config)#static (inside,outside) 200.200.200.204 192.168.1.4 netmask 255.255.255.255 70 30!!!Sekarang, buat access-list untuk server2 yg telah di-static Nat-Kan tadi.Untuk access-list, guna syntax ni:access-list id [line line-number] [extended] {deny | permit} protocol {hostsip | sip mask | any} {host dip | dip mask | any}!access-list id [line line-number] [extended] {deny | permit} {tcp | udp}{host sip | sip mask | any} [operator port] {host dip | dip mask | any}!access-list id [line line-number] [extended] {deny | permit}icmp {host sip | sip mask | any} {host dip | dip mask | any} [icmp_type]!Untuk server 1, (web server)firewall(config)#access-list out_in permit tcp any host 200.200.200.202 eq 80!Untuk server 2, (mail server)firewall(config)#access-list out_in permit tcp any host 200.200.200.203 eq 25!Untuk server 3, (DNS server)firewall(config)#access-list out_in permit udp any host 200.200.200.204 eq dns!Apply access-list out_in ke interface outsidefirewall(config)#access-group out_in in interface outside!Selepas permit traffic diatas, automatic PIX deny traffic lain dari luar, so don't worry. How bout ICMP traffic? ICMP mungkin deny kat webserver tetapi tidak firewall outside interface.firewall(config)#access-list out_in deny icmp any anyfirewall(config)#access-list out_in permit ip any anyfirewall(config)#access-group out_in in interface outside!Mesti tertanya2, kenapa ada access-list out_in permit ip any any, command ni hanya digunakan setelah membuat acess-list deny supaya traffic lain yg. awak benarkan boleh masuk. contoh server 1,2,3. otherwise, all traffic will stop. Tapi lain lak config putera, aku tak tengok apa2 access-list deny tapi buat command ni jugak.!Berkenaan dengan Server mana yg portnya perlu dibuka, its hard to predict mana satu yg perlu dibuka. Mesti tau service apa kat setiap server. Anyway, awak boleh tengok logging kat terminal monitor!firewall(config)#logging onfirewall(config)#logging monitor debuggingfirewall(config)#logging buffered debuggingfirewall(config)#terminal monitor!ataupun, scan open port guna 3rd party software, seperti iptoolsSetakat ni jer, rehat dulu.. ada lagi yg belum diconfigure. IDS pun belum lagik, sebab pix ni ada built-in IDS.Aikss, LucentAmar pun ada problem gak ngan pix, send firewall(config)#write terminal kat aku, email gi [email protected] Edited November 8, 2006 by mat_tenuk Quote Share this post Link to post Share on other sites
LucentAmar 0 Report post Posted November 8, 2006 Hehe..kawe baru send jer kat crypto.md5. Tengok2kan la. Ini amatur punyer configuration jer. Banyak port gak kawe bukak untuk kemudahan diri sendiri kalo tak gi office. Buka aper, kalo Remote Desktop tak working pada certain keadaan, kawe dapek pakai VNC untuk dapatkan real desktop. Quote Share this post Link to post Share on other sites
crypto.md5 1 Report post Posted November 8, 2006 Alamak, mmg terrer ko, banyak nyer port ko bukak, sampai ke management access ke firewall dari outside ko bukak, later i'll reply, bingung tengok config ko nih.. Quote Share this post Link to post Share on other sites
LucentAmar 0 Report post Posted November 8, 2006 Alamak, mmg terrer ko, banyak nyer port ko bukak, sampai ke management access ke firewall dari outside ko bukak, later i'll reply, bingung tengok config ko nih.. Hehe..tu la dasat namanyer...sampe orang cisco sendiri pun pening..hehe. Itulah kawe kata tadi, ini amatur punyer tangan buat kerje. Skang ni pun, kawe dah lupa lak cara2 nak reset password Firewall tu. Sendiri pun poning. Tu la lama sangat tak memain. 3 tahun dah kawe configure dulu pun. Mana la ingat sangat. Lagipun time tu memang syok sendiri pun.Itupun kawe bukak untuk 4 server tau. Bukan satu server jer. Kalo ko leh wat bagi cun. Kawe leh la blanjer ko makan nanti.Tulung la erk....sian kat kawe. Quote Share this post Link to post Share on other sites
Shanai 31 Report post Posted November 8, 2006 ehh.. cepatnya tukar, tadi berjela2 deny icmp list, skrg dah tinggal sebaris je.Kalau tak silap, skrng ni, oleh kerana kita permit ip any any, maka.. tidakkah dia akan overide permit tcp any host ... eq 80 dan lain-lain yg dah diset sebelum tu?satu lagi.. macamana kalau icmp tu nak benarkan ping sahaja? boleh permit echo-reply? Quote Share this post Link to post Share on other sites
crypto.md5 1 Report post Posted November 8, 2006 ehh.. cepatnya tukar, tadi berjela2 deny icmp list, skrg dah tinggal sebaris je.Kalau tak silap, skrng ni, oleh kerana kita permit ip any any, maka.. tidakkah dia akan overide permit tcp any host ... eq 80 dan lain-lain yg dah diset sebelum tu?satu lagi.. macamana kalau icmp tu nak benarkan ping sahaja? boleh permit echo-reply?bukan apa, dari taip semua jenis icmp traffic, baik type command tu jer untuk deny all, jadi kalau nak permit certain icmp traffic, begini confignyafirewall(config)#access-list out_in permit icmp any host 200.200.200.202 echo-replyuntuk firewall outside interfacefirewall(config)#access-list out_in permit icmp any any echo-replypermit ip any any bermaksud, membenarkan traffic yg awak dah permit, takkan overide. Quote Share this post Link to post Share on other sites
Shanai 31 Report post Posted November 8, 2006 permit ip any any bermaksud, membenarkan traffic yg awak dah permit, takkan overide.maknanya, apa-apa trafik tcp/udp yg tak declare akan dihalang dari masuk la ye? begitu ke?Satu lagi.. macamana pula nak avoid server (pc win xp) daripada guna smtp untuk send out email. Sbb pc ni dikesan infected dgn virus yg kirim spam keluar. Boleh ke guna:access-list in_in deny smtp host 200.200.200.205 any eq smtp Quote Share this post Link to post Share on other sites
crypto.md5 1 Report post Posted November 8, 2006 command tu invalid, awak nak block outbound traffic should be like thisaccess-list in_out deny tcp host 192.168.1.3 any eq smtpaccess-list in_out permit ip any anyaccess-group in_out in interface insideyer, betul, sekarang awak dah faham apa gunanya permit ip any any. Quote Share this post Link to post Share on other sites
Shanai 31 Report post Posted November 8, 2006 tapi katakan kita nak biarkan hanya mail server sahaja yg boleh guna outbound smtp dan deny server2 yang lain, boleh ke kita pakai permit dan tak guna deny macam tu. contohnya:access-list in_out permit tcp host 192.168.1.3 any eq smtpaccess-list in_out permit ip any anyaccess-group in_out in interface inside- & yang 2 baris terakhir tu nak kena repeat setiap kali ke?dan satu lagi.. kalau saya nak implement config ni, saya nak kena betul2 tahu port apa yg diperlukan oleh setiap server, sebab kalau kita tak declare permit, maka trafik untuk port2 tu tak boleh lalu la kan? Quote Share this post Link to post Share on other sites
crypto.md5 1 Report post Posted November 8, 2006 (edited) Yeahh boleh, tapi tak perlu taip permit ip any any, command tu awak taip bila melakukan access-list deny, dan untuk access-list deny, SETIAP KALI buat access-list deny, mesti taip permit ip any any penghujungnya, begitu juga dengan access-group. Mesti tau setiap open port kat server untuk guna access-list ni, jika tak, traffic2 berkenaan tak leh masuk. Edited November 8, 2006 by mat_tenuk Quote Share this post Link to post Share on other sites
Shanai 31 Report post Posted November 8, 2006 Skrg nak belajar pasal camana nak guna IDS dan hal-hal berkaitan syslog pulak ... Quote Share this post Link to post Share on other sites
crypto.md5 1 Report post Posted November 9, 2006 (edited) IDS takla susah sangat seperti access-list, simple jek..firewall(config)#ip audit name ATTACKPOLICY attack action alarm dropfirewall(config)#ip audit name INFORMATIONPOLICY info action alarm drop firewall(config)#ip audit interface outside INFORMATIONPOLICYfirewall(config)#ip audit interface outside ATTACKPOLICYBoleh view gunafirewall(config)#terminal monitoratau send ke syslog serverfirewall(config)#logging host inside 192.168.1.4 Edited November 9, 2006 by mat_tenuk Quote Share this post Link to post Share on other sites
gegule 0 Report post Posted November 9, 2006 (edited) pepehal kalo nak create rules, makesure IOS/software tuh latest version.tang nak prevent routing spoof, DoS tuh firewall jenih nih memang capable pasai dier ader checking based on layer 4-7 dalam osi.pulak tuh ader url length checking kot kot ader exploiter leh exploit certain script dalam websiteplus++ aku pung takpenah involve dengan firewall kat tempat aku nih, stakat memain dengan router tuh penah ler, biasanye vendor jeks kasik config lepaihtuh aku load jeks dalam router tapi aper yg aku tau, pix jenih nih ader "advance intrusion-prevention features" macam floodguard, ipverify, tcp intercept. dia leh kenal 50++ jenis serangan berlainan based on attacking signature tuh. yang penting, yang nak mengedjas tuh mesti ader 99% knowledge pasai produk tuh. saper yang ader ccna tuh cuba ler bantu admin. Edited November 9, 2006 by gegule Quote Share this post Link to post Share on other sites
Shanai 31 Report post Posted November 9, 2006 Kalau saya guna contoh berikut berdasarkan yg mat_tenuk bagi:access-list out_in permit tcp any any eq www access-list out_in permit icmp any any echo-reply access-list out_in permit tcp any any eq smtp access-list out_in permit ip any any saya dapati, ssh masih boleh masuk.err.. macamana nak block semua unwanted/undeclared trafik? Quote Share this post Link to post Share on other sites
gegule 0 Report post Posted November 9, 2006 (edited) bukan ker mesti:access-list <number> deny ip any anylepaih tuh baru ler:access-list <number> permit tcp any any eq 80ataupunaccess-list <number> permit tcp any any eq httpmaksudnyer ngko allow untuk inbound http jeks lain sumer deniedcadangan aku, kalo ngko nak block access ssh, maybe ngko tokleh remote server ngko. aku suggest ngko just filtered access.filter ler based on your static ip yang ngko slalu guna, ataupun ngko register jeks satu dynamic dns macam yourhost.mine.nububuh line tuh dalam config:access-list <number> permit tcp any host yourhost.mine.nu 22maknanyer everytime ngko dialup, dapat dhcp ip, pepehal daftar dulu ip ngko dengan host tuh, baru leh ssh through machine ngkoplus++ aku tak pasti plaks baper number untuk inbound, 100 kut just my suggestion kalo salah abaikan ler pasai aku pun tak baper main sangat dengan pix nih Edited November 9, 2006 by gegule Quote Share this post Link to post Share on other sites
crypto.md5 1 Report post Posted November 9, 2006 Kalau saya guna contoh berikut berdasarkan yg mat_tenuk bagi:access-list out_in permit tcp any any eq www access-list out_in permit icmp any any echo-reply access-list out_in permit tcp any any eq smtp access-list out_in permit ip any any saya dapati, ssh masih boleh masuk.err.. macamana nak block semua unwanted/undeclared trafik?access-group sudah buat? belum apply lagi ni,access-group out_in in interface outsideTry to deny icmp, saya cuba ping dari sinibukan ker mesti:access-list <number> deny ip any anylepaih tuh baru ler:access-list <number> permit tcp any any eq 80ataupunaccess-list <number> permit tcp any any eq httpBy default, setiap kali permit, pix akan deny all at the end. access-jugak boleh guna number, boleh guna name, seperti out_in, senang untuk indentifyKalau boleh saya nak buat port scanning kat putera, kalau dibenarkan. Quote Share this post Link to post Share on other sites
azuan 2 Report post Posted November 9, 2006 kalau menurut kata gegule tu, ikut kata website nihttp://securitytracker.com/alerts/2001/Mar/1001127.htmlmacam menarik je. sebab dia ada provide config untuk prevent DDoS attack, ssh brute force dan sebagainya. aku pernah guna satu sekerip dalam pf freebsd untuk denied access bila orang cuba connect ke ssh port lebih dari 3 kali berturut turut dalam selang masa beberapa seken. memang menjadi. rasanya cisco PIX yang mahal harganya ni mesti boleh buat punya. memandangkan bak kata lan dia boleh kenal attacking signature, rasanya tak jadi masalah, dengan syarat config tu cun abih la.kalau dah siap, sila maklumkan meh sini aku test sekali lagi <- gelak jahat ni Quote Share this post Link to post Share on other sites
crypto.md5 1 Report post Posted November 9, 2006 ok, reply timeout, thats mean access-list takde problem. jangan lupa setiap kali buat access-list, apply kat interface guna access-group. Quote Share this post Link to post Share on other sites
crypto.md5 1 Report post Posted November 9, 2006 kalau menurut kata gegule tu, ikut kata website nihttp://securitytracker.com/alerts/2001/Mar/1001127.htmlmacam menarik je. sebab dia ada provide config untuk prevent DDoS attack, ssh brute force dan sebagainya. aku pernah guna satu sekerip dalam pf freebsd untuk denied access bila orang cuba connect ke ssh port lebih dari 3 kali berturut turut dalam selang masa beberapa seken. memang menjadi. rasanya cisco PIX yang mahal harganya ni mesti boleh buat punya. memandangkan bak kata lan dia boleh kenal attacking signature, rasanya tak jadi masalah, dengan syarat config tu cun abih la.kalau dah siap, sila maklumkan meh sini aku test sekali lagi <- gelak jahat niHehehe, ko ni buat admin panic jer, jangan risau, vulnerabilty ni dah fix dengan pix os 6.3.1. Quote Share this post Link to post Share on other sites
Shanai 31 Report post Posted November 9, 2006 mat_tenuk,access-group out_in in interface outsidedah ada, nak kena re-apply ke?pasal ping tu, server putera mmg set untuk deny all, tapi pada firewall permit echo-reply. Kalau nak test ping, boleh ke 61.6.64.186.bila show ip audit count, didapati ICMP Echo Request outside dan Global ada 5367, ICMP time exceed pun ada 4040 untuk outside dan global.Bukan ke sepatutnya tak ada langsung sebab dah permit ICMP echo-reply saje?Kalau nak buat port scanning kat putera, silakandan scan juga 61.6.64.186, tapi yg ni mmg tengah giler skit sbb ada trojan idup lagi dlm tu.. saje biar dulu sbb nak buat testing.gegule, saya bukan nak block ssh, tapi cuma contoh je. Tapi idea guna dynamic dns tu orait juga. Quote Share this post Link to post Share on other sites
azuan 2 Report post Posted November 9, 2006 ssh ko tu aku rasa baik jangan open public. sebab kat luar tu banyak beruk yang akan cuba brute-force, atau main teka teki. tak percaya ko boleh tengok ssh log ko ada tak cubaan berkali kali.filter la ke hostname yang gegule cadangkan tu supaya boleh allow ke IP address ko sahaja untuk remote.akan datang ko boleh monitor firewall log dan jugak http log dan tengok ip mana yang banyak mendatangkan masalah, macam buat probing carik vulnerable ka, exploite ke apa ke. lepastu zasss kat firewall. nampak kejam, tapi sebenarnya boleh memudahkan kerja. orang macamni tak layak diberi akses masuk ke lamanweb sini. lagipun kebanyakan ip address yang digunakan tu sah open proxy, takpun segmen ip dari negara negara yang browse website ni tapi tak paham apa yang kita bincang Quote Share this post Link to post Share on other sites
crypto.md5 1 Report post Posted November 10, 2006 (edited) ip address outside firewall bukan ke 61.6.64.178 255.255.255.240? i ping time out, bagaimana dengan server2 yg lain, i test masih dapat ping, make sure jugak awak buat untuk server2 yg lain. Let me know if this work, jika tak, saya ada alternatif lain.nak saya pegi sana ke? ehehehe,Aku kat sini pun guna pix, model 525, 8 interface, semuanya berjalan lancar, tapi kalau buat support kat client aku, sampai 30,40 email reply baru settle Edited November 10, 2006 by mat_tenuk Quote Share this post Link to post Share on other sites
crypto.md5 1 Report post Posted November 10, 2006 Admin, Buat ni,---apply acl ni kat semua server---firewall(config)#access-list out_in deny tcp any host 61.6.64.187 eq 22firewall(config)#access-list out_in deny tcp any host 61.6.64.186 eq 22firewall(config)#access-list out_in deny tcp any any eq 22firewall(config)#access-list permit ip any anyfirewall(config)#access-group out_in in interface outsidefirewall(config)#ip verify reverse-path interface outsidefirewall(config)#ip verify reverse-path interface insideSebab saya tengah jalankan attack ni, hampir success, buat seperti kat atas should be ok. Saya test 1 by 1 ok? Quote Share this post Link to post Share on other sites