Affinchè si possa realizzare la configurazione che sto per descrivere, è necessario che la IOS del nostro Cisco 827v4 supporti le funzionalità tipiche di un firewall (anche se MOLTO ridotte).
Nello specifico, il nome della IOS deve contenere la sigla o oppure o3, dove o sta appunto per firewall ed o3 sta per firewall/IDS. Nel mio caso, posso dirvi che ho a disposizione una IOS che supporta solo il firewall, quindi tale configurazione si limita a ciò che ho potuto effettivamente testare.
Per prima cosa accediamo alla modalità enable del router:
NightRouter>ena Password: NightRouter#conf t
entriamo nel menù di configurazione:
NightRouter#conf t
e creiamo le policy del nostro firewall:
NightRouter(config)#ip inspect name fw http NightRouter(config)#ip inspect name fw ftp NightRouter(config)#ip inspect name fw icmp NightRouter(config)#ip inspect name fw smtp NightRouter(config)#ip inspect name fw fragment NightRouter(config)#ip inspect name fw rcmd
in questo modo, il nostro router terrà d’occhio i pacchetti relativi ai protocolli specificati. Esistono altri protocolli che possono essere monitorati, basta lanciare il comando:
NightRouter(config)#ip inspect name <nomepolicy> ?
per averne una lista completa.
In particolare, l’output di tale comando sarà il seguente:
cuseeme CUSeeMe Protocol fragment IP fragment inspection ftp File Transfer Protocol h323 H.323 Protocol (e.g, MS NetMeeting, Intel Video Phone) http HTTP Protocol icmp ICMP Protocol netshow Microsoft NetShow Protocol rcmd R commands (r-exec, r-login, r-sh) realaudio Real Audio Protocol rpc Remote Prodedure Call Protocol rtsp Real Time Streaming Protocol sip SIP Protocol skinny Skinny Client Control Protocol smtp Simple Mail Transfer Protocol sqlnet SQL Net Protocol streamworks StreamWorks Protocol tcp Transmission Control Protocol tftp TFTP Protocol udp User Datagram Protocol vdolive VDOLive Protocol
Successivamente, si dovrà associare la policy di firewalling all’interfaccia dia0, ovvero quella direttamente esposta su Internet.
Il comando da utilizzare è il seguente:
NightRouter(config)#int dia0 NightRouter(config-if)#ip inspect fw in
Infine, salviamo la configurazione con il classico copy run start:
NightRouter(config)#exit NightRouter#copy run start
ed abbiamo finito.
A presto.
NB: dai test che ho effettuato sembrerebbe che il router non riesca a gestire correttamente una grande mole di traffico dopo aver abilitato il firewall. Proprio per questo motivo, vi consiglio di non ispezionare il payload dei pacchetti ma soltanto l’header degli stessi, evitando ad esempio delle policy del tipo:
NightRouter(config)#ip inspect name fw tcp
oppure
NightRouter(config)#ip inspect name fw udp