Cấu hình Application Port-Mapping với cbac mục tiêu: Cấu hình để router nhận ra các ứng dụng không sử dụng port chuẩn. Mô hình



tải về 5.36 Kb.
Chuyển đổi dữ liệu23.07.2016
Kích5.36 Kb.
#2814
Cấu hình Application Port-Mapping với CBAC


Mục tiêu: Cấu hình để router nhận ra các ứng dụng không sử dụng port chuẩn.
Mô hình:




Mô tả:

Cấu hình PAM chỉ port mà CBAC phải kiểm tra trong trường hợp ứng dụng không dùng port chuẩn, ví dụ HTTP nhưng dùng port 8080.
- Cấu hình router sử dụng "Static PAT"
- Tạo CBAC inspection rule với tên là INSPECT_TELNET trên Router 4 và cấu hình để nó kiểm tra protocol telnet
- Tạo ACL 99 trên Router 4 và match mạng 10.0.0.0/24 vào
- Map port 1023 là port telnet cho mạng trong list 99
- Apply inspection rule INSPECT_TELNET vào cổng fa0/0 của Router 4 theo chiều in
- Tạo ACL INSIDE và deny tất cả các traffic
- Apply ACL INSIDE trên cổng fa0/1 của Router 4 theo chiều in


Cấu hình tham khảo

Bước 1: Đặt địa chỉ IP, định tuyến, cấu hình "Static PAT"

Router 4
!
!
!
interface Loopback0
ip address 150.1.4.4 255.255.255.0
!
interface FastEthernet0/0
ip address 155.1.45.4 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.0.0.4 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
!
router ospf 1
log-adjacency-changes
network 150.1.4.0 0.0.0.255 area 0
network 155.1.45.0 0.0.0.255 area 0
!
ip classless
!
!
no ip http server
no ip http secure-server
ip nat inside source static tcp 10.0.0.1 23 interface Loopback0 1023
!
!
!

Router 1
!
!
!
interface FastEthernet0/0
ip address 10.0.0.1 255.255.255.0
duplex auto
speed auto
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.0.0.4
!
!
line vty 0 4
no login
priviledge level 15
!

Router 5
!
!
!
interface FastEthernet0/0
ip address 155.1.45.5 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 150.1.5.5 255.255.255.0
duplex auto
speed auto
no keepalive
!
!
router ospf 1
log-adjacency-changes
network 150.1.5.0 0.0.0.255 area 0
network 155.1.45.0 0.0.0.255 area 0
!
ip classless
ip http server
!
!
!

Bước 2: Tạo inspection rule INSPECT_TELNET và ACL INSIDE, apply vào các interface của router 4


Router 4
!
!
ip port-map telnet port tcp 1023 list 1
ip inspect name INSPECT_TELNET telnet
!
!
!
!
ip access-list extended INSIDE
deny ip any any
!
!
access-list 1 permit 10.0.0.1
!
interface FastEthernet0/0
ip inspect INSPECT_TELNET in
!
interface FastEthernet0/1
ip access-group INSIDE in
!
!
!


Bước 3: Kiểm tra

Router 5

R5#telnet 150.1.4.4 1023


Trying 150.1.4.4, 1023 ... Open

R1#


Router 4

R4#show ip inspect sessions
Established Sessions
Session 6655A278 (155.1.45.5:39005)=>(10.0.0.1:23) telnet SIS_OPEN

R4#show ip port-map telnet
Default mapping: telnet tcp port 23 system defined
Host specific: telnet tcp port 1023 in list 1 user defined

tải về 5.36 Kb.

Chia sẻ với bạn bè của bạn:




Cơ sở dữ liệu được bảo vệ bởi bản quyền ©hocday.com 2024
được sử dụng cho việc quản lý

    Quê hương