отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

В логах странности. Периодически падает сеть.

   Есть cisco 851, раздает интернет

Содержимое лога

Log Buffer (51200 bytes):

Apr 16 17:43:50: %FW-4-ALERT_ON: getting aggressive, count (3/500) current 1-min rate: 501
Apr 16 17:47:07: %FW-4-ALERT_OFF: calming down, count (1/400) current 1-min rate: 306
Apr 16 18:13:22: %FW-4-TCP_OoO_SEG: Deleting session as expected TCP segment with seq:2336285954 has not arrived even after 25 seconds - session 192.168.1.14:4346 to 95.142.195.125:80
Apr 16 18:16:19: %FW-4-ALERT_ON: getting aggressive, count (5/500) current 1-min rate: 501
Apr 16 18:16:36: %FW-4-ALERT_OFF: calming down, count (2/400) current 1-min rate: 361
Apr 16 19:00:57: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: mkmgr] [Source: 81.177.22.106] [localport: 22] [Reason: Login Authentication Failed] at 19:00:57 MSK Wed Apr 16 2014
Apr 16 21:13:48: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: 122.156.44.223] [localport: 22] [Reason: Login Authentication Failed] at 21:13:48 MSK Wed Apr 16 2014
Apr 17 00:43:59: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: 211.151.13.105] [localport: 22] [Reason: Login Authentication Failed] at 00:43:59 MSK Thu Apr 17 2014
Apr 17 03:30:58: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: 211.110.184.45] [localport: 22] [Reason: Login Authentication Failed] at 03:30:58 MSK Thu Apr 17 2014
Apr 17 08:37:21: %SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: root] [Source: 180.149.49.227] [localport: 22] [Reason: Login Authentication Failed] at 08:37:21 MSK Thu Apr 17 2014
Apr 17 09:06:37: %FW-4-ALERT_ON: getting aggressive, count (10/500) current 1-min rate: 501
Apr 17 09:10:33: %FW-4-ALERT_OFF: calming down, count (1/400) current 1-min rate: 312
Apr 17 09:16:49: %FW-4-ALERT_ON: getting aggressive, count (14/500) current 1-min rate: 501
Apr 17 09:17:28: %FW-4-ALERT_OFF: calming down, count (3/400) current 1-min rate: 295
Apr 17 09:24:36: %FW-4-ALERT_ON: getting aggressive, count (13/500) current 1-min rate: 501
Apr 17 09:24:39: %FW-4-ALERT_OFF: calming down, count (1/400) current 1-min rate: 370
Apr 17 09:40:53: %FW-4-ALERT_ON: getting aggressive, count (9/500) current 1-min rate: 501

Apr 17 09:41:51: %FW-4-ALERT_OFF: calming down, count (1/400) current 1-min rate: 398

 

 

С этим понятно

%SEC_LOGIN-4-LOGIN_FAILED:

пытаются подобрать пароли к ssh

А что другое?

18 ОТВЕТ.

Много соединений в synwait.

Много соединений в synwait. Нормально это или нет - сложно сказать, зависит от профиля трафика, качества канала и так далее.

 

Подробное описание и воркараунд:

https://supportforums.cisco.com/document/10441/fw-4-alerton-getting-aggressive-count501500-current-1-min-rate-126-warning-message

New Member

Так понял, что количество

Так понял, что количество полуоткрытых сессий рассчитывается из количества хостов в локальной сети?

Вот выдержка из зарубежного форума

This error message indicates that an unusually high rate of new connections is coming through the firewall, and a DOS attack may be in progress

У меня не может быть такого?

It depends. К примеру,

It depends. К примеру, протокол bittorrent подразумевает огромный вал создаваемых соединений и может вызвать пик.

 

Можно попробовать посниффить трафик в момент проблемы, чтобы понять, откуда берутся соединения. Может быть и такое, что у вас вся локальная сеть завирусована и постоянно занимается сканированием портов всему интернету, или снаружи кто-то бьет.

New Member

Торрентами  никто не

Торрентами  никто не пользуется, антивирусные базы обновляются регулярно, и полное сканирование проходит каждую неделю. Наврядли что-то изнутри, но все же проверю.

А снаружи как проверить? Отследить откуда кто бьет, с каких адресов?

Вот running конфиг. Что тут можно подправить, улучшить, что поповетуете



version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname home!
boot-start-marker
boot-end-marker
!
logging count
logging userinfo
logging buffered 51200 warnings
no logging console guaranteed
no logging console
!
aaa new-model
!
!
aaa authentication password-prompt "Password:  "
aaa authentication username-prompt "Login as:  "
aaa authentication login default local
aaa authentication login userauthen local
aaa authorization network groupauthor local 
!
!
aaa session-id common
clock timezone MSK 4
!
crypto pki trustpoint TP-self-signed-3816933621
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3816933621
 revocation-check none
 rsakeypair TP-self-signed-3816933621
!
!
crypto pki certificate chain TP-self-signed-3816933621
 certificate self-signed 01
  3082024C 308201B5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 33383136 39333336 3231301E 170D3134 30333238 30343435 
  30335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 38313639 
  33333632 3130819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 
  8100CAE8 72634640 2F10E362 3BF9381B 7F274CFC 6AA368F2 43565A9B 309BB461 
  FD2FD9F3 D727512B 045B1D0F 0EA289DB 1F2F5D26 60C17F8D 0CBB69F2 92CCFD30 
  19EF8504 678CFBA5 FE088988 9F5DBB6C 424DD81F 8C9D64E6 3545ECCE 53AAA918 
  7EC406A7 EE31BC98 58297208 DF679E85 F33E2FF0 C45D2903 21B7BF28 72EFE56A 
  C14D0203 010001A3 74307230 0F060355 1D130101 FF040530 030101FF 301F0603 
  551D1104 18301682 144D4B4D 47522D52 542E4D4B 4D47522E 6C6F6361 6C301F06 
  03551D23 04183016 80141871 67C5C367 0F960828 53352131 87C58929 175E301D 
  0603551D 0E041604 14187167 C5C3670F 96082853 35213187 C5892917 5E300D06 
  092A8648 86F70D01 01040500 03818100 5B37A739 6C75B4E3 D2D5D0A0 8A1396CC 
  A4956272 F1718B32 5D26D7B7 A4B58B13 25A45CF5 55153424 B354E1C3 4CD74A1D 
  F37BA445 6D53B0D8 76B27A5B F9E3AADF C39D8C57 51FD2F69 097E12EE 277EDAE0 
  33EF9FEF 7D52B214 793A4D70 B6ADC7CF BB6A5CA6 DD9241B2 AA32A620 941FDE70 
  0F60CF64 0FE87B91 026845ED B97A221D
      quit
dot11 syslog
no ip source-route
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.11
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.2
ip dhcp excluded-address 192.168.1.80
ip dhcp excluded-address 192.168.1.81
ip dhcp excluded-address 192.168.1.200
ip dhcp excluded-address 192.168.1.250
!
ip dhcp pool INTERNAL-LAN
   network 192.168.1.0 255.255.255.0
   dns-server 192.168.1.11 
   default-router 192.168.1.254 
   lease 36
!
!
ip cef
ip inspect max-incomplete low 400
ip inspect max-incomplete high 500
ip inspect one-minute low 400
ip inspect one-minute high 500
ip inspect udp idle-time 20
ip inspect tcp idle-time 60
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 100 block-time 0
ip inspect tcp reassembly queue length 1024
ip inspect name FW tcp
ip inspect name FW udp
ip inspect name FW icmp
ip inspect name FW http
ip inspect name FW https
ip inspect name FW pop3
ip inspect name FW imap
ip inspect name FW dns
ip inspect name FW router
ip inspect name FW echo
ip inspect name FW finger
ip inspect name FW ftp
ip inspect name FW ftps
ip inspect name FW h323
ip inspect name FW isakmp
ip inspect name FW kerberos
ip inspect name FW login
ip inspect name FW ntp
ip inspect name FW nntp
ip inspect name FW snmp
ip inspect name FW ssh
ip inspect name FW telnet
ip inspect name FW telnets
ip inspect name FW smtp
ip inspect name LAN http timeout 3600
ip inspect name LAN https timeout 3600
ip inspect name LAN smtp timeout 3600
ip inspect name LAN udp timeout 15
ip inspect name LAN tcp timeout 3600
ip inspect name LAN pop3 timeout 3600
ip inspect name LAN ftp timeout 3600
no ip bootp server
ip domain name home
ip name-server 212.44.132.65
ip name-server 212.44.130.6
ip name-server 192.168.1.11
ip name-server 192.168.1.1
ip name-server 8.8.8.8
ip name-server 8.8.4.4
login block-for 60 attempts 3 within 30
login delay 10
login on-failure log
login on-success log
!
!
!
file verify auto
username …. privilege 15 secret 5 $1$uKla$BpUBXIFekjRSMR.vZrcx60
username ….password 7 153F20212318

crypto logging session
!
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2
crypto isakmp client configuration address-pool local easy-vpn-group-dynpool
!
crypto isakmp client configuration group groupauthor
 key …….
 dns 192.168.1.11
 domain …..
 pool easy-vpn-group-dynpool
 acl VPN_SPLIT
 include-local-lan
 netmask 255.255.255.0
crypto isakmp profile VPN-CLIENT
   match identity group groupauthor
   client authentication list userauthen
   isakmp authorization list groupauthor
   client configuration address respond
   keepalive 20 retry 3
   virtual-template 1
!
!
crypto ipsec transform-set rtpset esp-aes esp-sha-hmac 
!
crypto ipsec profile VPN
 set transform-set rtpset 
 set isakmp-profile VPN-CLIENT
!
!
crypto dynamic-map rtp 100
 set transform-set rtpset 
 set isakmp-profile VPN-CLIENT
 reverse-route
!
!
crypto map rtp client authentication list userlist
crypto map rtp isakmp authorization list groupauthor
crypto map rtp client configuration address respond
crypto map rtp 100 ipsec-isakmp dynamic rtp 
!
archive
 log config
  logging enable
  notify syslog contenttype plaintext
  hidekeys
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh source-interface FastEthernet4
ip ssh logging events
ip ssh version 2
!
!
!
interface FastEthernet0
 duplex full
 speed 100
!
interface FastEthernet1
 duplex full
 speed 100
!
interface FastEthernet2
 duplex full
 speed 100
!
interface FastEthernet3
 duplex full
 speed 100
!
interface FastEthernet4
 description WAN
 mac-address 0005.5d4e.cf40
 ip address XX.YY.ZZ.HH 255.255.255.192
 ip access-group OUTSIDE in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip inspect FW out
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable
 crypto map rtp
!
interface Virtual-Template1 type tunnel
 ip unnumbered FastEthernet4
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile VPN
!
interface Vlan1
 description LAN
 ip address 192.168.1.254 255.255.255.0
 ip access-group INSIDE in
 ip accounting output-packets
 ip inspect LAN in
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1408
!
ip local pool easy-vpn-group-dynpool 10.10.1.1 10.10.1.100
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 XX.YY.ZZ.QQ
!
no ip http server
no ip http secure-server
ip nat translation timeout 900
ip nat translation tcp-timeout 300
ip nat translation udp-timeout 60
ip nat translation dns-timeout 10
ip nat translation port-timeout tcp 110 60
ip nat translation port-timeout tcp 25 60
ip nat translation port-timeout tcp 8080 20
ip nat translation port-timeout tcp 80 20
ip nat translation max-entries all-host 200
ip nat inside source list 1 interface FastEthernet4 overload
ip nat inside source list NAT interface FastEthernet4 overload
ip nat inside source static tcp 192.168.1.11 3389 interface FastEthernet4 3389
ip nat inside source static tcp 192.168.1.254 22 XX.YY.ZZ.HH 22 extendable
!
ip access-list extended INSIDE
 permit tcp 192.168.1.0 0.0.0.255 any
 permit udp 192.168.1.0 0.0.0.255 any
 permit icmp 192.168.1.0 0.0.0.255 any
 deny   ip any any log
ip access-list extended NAT
 deny   ip 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255
 permit ip any any
ip access-list extended OUTSIDE
 permit icmp any host XX.YY.ZZ.HH unreachable
 permit icmp any host XX.YY.ZZ.HH echo
 permit icmp any host XX.YY.ZZ.HH echo-reply
 permit icmp any host XX.YY.ZZ.HH packet-too-big
 permit icmp any host XX.YY.ZZ.HH time-exceeded
 permit icmp any host XX.YY.ZZ.HH traceroute
 permit icmp any host XX.YY.ZZ.HH administratively-prohibited
 permit tcp any host XX.YY.ZZ.HH eq 22
 permit tcp host  host XX.YY.ZZ.HH eq 3389
 permit tcp host  host XX.YY.ZZ.HH eq 3389
 permit tcp host host XX.YY.ZZ.HH eq 3389
 permit tcp host  host XX.YY.ZZ.HH eq 3389
 permit tcp host  host XX.YY.ZZ.HH eq 3389
 permit tcp host  host XX.YY.ZZ.HH eq 3389
 permit tcp host  host XX.YY.ZZ.HH eq 3389
 permit tcp host  host XX.YY.ZZ.HH eq 3389
 permit tcp host  host XX.YY.ZZ.HH eq 3389
 permit tcp host  host XX.YY.ZZ.HH eq 3389
 permit tcp host  host XX.YY.ZZ.HH eq 3389
 permit tcp host  host XX.YY.ZZ.HH eq 3389
 permit udp any host XX.YY.ZZ.HH eq isakmp log
 permit udp any host XX.YY.ZZ.HH eq non500-isakmp log
 permit esp any host XX.YY.ZZ.HH log
 deny   tcp any any eq 3389 log
 deny   ip any any
ip access-list extended TerminalAccess
 permit tcp 192.168.1.0 0.0.0.255 any eq telnet log
 permit tcp any any eq 22 log
 deny   tcp any any log
ip access-list extended VPN_SPLIT
 permit ip 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255
!
access-list 1 permit 192.168.1.0 0.0.0.255
snmp-server group netadmins v3 priv 
!
control-plane
!
banner login WARNING!!!
line con 0
 exec-timeout 15 0
 no modem enable
line aux 0
 no exec
line vty 0 4
 access-class TerminalAccess in
 exec-timeout 0 0
 privilege level 15
 logging synchronous
 transport input telnet ssh
!
scheduler max-task-time 5000
end

 

 

Попробуйте просмотреть show

Попробуйте просмотреть show ip inspect sessions на предмет наличия странностей. Можно еще show ip inspect statistics глянуть.

New Member

Спасибо за помощь Дмитрий.

Спасибо за помощь Дмитрий. Обязательно гляну. Если что выложу сюда содержимое.

 

Если по каким-то причинам

Если по каким-то причинам решите выложить show ip inspect sessions - умоляю, только вложением в txt. Бывали тут уже простыни на много десятков экранов.

New Member

:) Хорошо

:) Хорошо

New Member

Вывод ip inspect

Вывод ip inspect

Ну например у 192.168.1.12

Ну например у 192.168.1.12 суммарно 113 TCP соединений, из них на вид половина к vk.com.

На втором месте 192.168.1.28, у него, кажется, тоже работа не спорится с 90 соединениями.

 

На вид криминала нет, полуоткрытых соединений мало. Можно попробовать повысить пороги как было сказано в документации:

Router(config)#ip inspect max-incomplete high 1000
Router(config)#ip inspect max-incomplete low 800

New Member

уже сделал. Очищу лог,

уже сделал. Очищу лог, посмотрим, что накопится за день и ночь. Соц сети это бич любой организации. Блокировать по адресам - это бред. А ZBF не поддерживается. Слезно буду просить раскошелится на 1921.

Как защититься от подбора паролей к ssh

%SEC_LOGIN-1-QUIET_MODE_ON: Still timeleft for watching failures is 1 secs, [user: root] [Source: 61.174.51.210] [localport: 22] [Reason: Login Authentication Failed] [ACL: sl_def_acl] at 05:24:40 MSK Fri Apr 18 2014

Есть только 

login block-for 60 attempts 3 within 30
login delay 10
login on-failure log
login on-success log

Добавил еще 

control-plane host management int

и добавлю

login quiet-mode access-class

По поводу ssh - у вас уже

По поводу ssh - у вас уже есть ACL, но странный.

 

ip access-list extended TerminalAccess
 permit tcp 192.168.1.0 0.0.0.255 any eq telnet log
 permit tcp any any eq 22 log
 deny   tcp any any log

 

Т.е. он ничего не блокирует. И не надо увлекаться словом "log" в ACL, оно гораздо хуже, чем кажется.

 

ACL OUTSIDE туда же. Вам действительно нужно разрешать к железке доступ из интернета?

New Member

Доступ из интернета нужен, т

Доступ из интернета нужен, т.к. не всегда бываю в офисе, а вдруг чего случись. Как вариант можно подключиться к vpn а оттуда уже по внутреннему ip к роутеру.

Как считаете, к каком виде acl TerminalAccess и OUTSIDE сделать, что в них лучше поменять?

Ну тогда такие соображения.Те

Ну тогда такие соображения.

Те попытки обращения - перебор всего интернета по стандартным, даже не словарным логинам-паролям на случай, если их не сменили. Даже со стандартным интервалом в 1 секунду после неудачной попытки брутфорс - задача нереализуемая. Потому если у вас нормальный персонифицированный логин (не admin, не cisco, тем более не root) с нормальным, нигде больше не используемым паролем, то беспокоиться по этому поводу не стоит даже если вас целенаправленно атакуют. К тому моменту, когда подберут, земляне уже закончат отстраивать колонию на Альфа Центавра, и это еще если атакующему очень повезет.

Login quiet-mode - отличный способ отрезать самому себе доступ к железке. Стоит ли этим пользоваться?

Но вот о чем можно беспокоиться, это о багах, которые пусть и не позволят завладеть роутером, но могут уронить его. Стоит поглядывать в список дефектов.

 

Например (первое попавшееся):

 

 CSCtr49064

The Secure Shell (SSH) server implementation in Cisco IOS Software and Cisco IOS XE Software contains a denial of service (DoS) vulnerability in the SSH version 2 (SSHv2) feature. An unauthenticated, remote attacker could exploit this vulnerability by attempting a reverse SSH login with a crafted username. Successful exploitation of this vulnerability could allow an attacker to create a DoS condition by causing the device to reload. Repeated exploits could create a sustained DoS condition.

The SSH server in Cisco IOS Software and Cisco IOS XE Software is an optional service, but its use is highly recommended as a security best practice for the management of Cisco IOS devices. Devices that are not configured to accept SSHv2 connections are not affected by this vulnerability.

Cisco has released free software updates that address this vulnerability. This advisory is available at the following link:

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120328-ssh

 

 

New Member

Версия IOS самая последняя

Версия IOS самая последняя для этого маршрутизатора Version 12.4(15)T17, RELEASE SOFTWARE (fc2).

Остается только править ACL TerminalAccess

ip access-list extended TerminalAccess
 permit tcp 192.168.1.0 0.0.0.255 any eq telnet log
 permit tcp any any eq 22 log
 deny   tcp any any log

И все равно в лог валится

Apr 21 12:38:33: %FW-4-ALERT_ON: getting aggressive, count (11/1000) current 1-min rate: 501
Apr 21 12:41:43: %FW-4-ALERT_OFF: calming down, count (3/800) current 1-min rate: 376
Apr 21 12:44:59: %FW-4-ALERT_ON: getting aggressive, count (5/1000) current 1-min rate: 501
Apr 21 12:45:02: %FW-4-ALERT_OFF: calming down, count (1/800) current 1-min rate: 334
Apr 21 12:48:20: %FW-4-ALERT_ON: getting aggressive, count (2/1000) current 1-min rate: 501
Apr 21 12:49:10: %FW-4-ALERT_OFF: calming down, count (1/800) current 1-min rate: 369
Apr 21 13:07:16: %FW-4-ALERT_ON: getting aggressive, count (22/1000) current 1-min rate: 501
Apr 21 13:07:53: %FW-4-ALERT_OFF: calming down, count (4/800) current 1-min rate: 374

 

В момент проблемы (сразу

В момент проблемы (сразу после "aggressive") соберите информацию по соединениям как в прошлый раз.

New Member

 Session 82E0FEAC (192.168.1

 Session 82E0FEAC (192.168.1.75:3966)=>(24.234.58.5:80) http SIS_OPEN
Half-open Sessions
 Session 82672A00 (192.168.1.14:31747)=>(213.146.168.254:10042) udp SIS_OPENING
Terminating Sessions

 

New Member

Очистил счетчики во входном

Очистил счетчики во входном ACL, добавил некоторые записи

231 deny tcp any any eq 137
    232 deny ip host 255.255.255.255 any
    233 deny ip 248.0.0.0 7.255.255.255 any
    234 deny tcp any any eq 138
    235 deny tcp any any eq 139
    236 deny tcp any any eq 445
    237 deny udp any any eq netbios-ns (4158 matches)
    238 deny udp any any eq netbios-dgm (166 matches)
    239 deny udp any any eq netbios-ss
    240 deny tcp any any eq 3389 log (47 matches)
    241 deny udp any any eq 445
    242 deny ip host 0.0.0.0 any (243 matches)
    243 deny ip 127.0.0.0 0.255.255.255 any
    244 deny ip 192.0.2.0 0.0.0.255 any
    245 deny ip 224.0.0.0 31.255.255.255 any
    246 deny ip 169.254.0.0 0.0.255.255 any
    247 deny ip 172.16.0.0 0.15.255.255 any
    248 deny ip 192.168.0.0 0.0.255.255 any

Сообщений почти не приходит

Еще добавил

ip inspect log drop-pkt

чтобы видеть что дропает файервол

В логах

 %FW-4-TCP_OoO_SEG: Deleting session as expected TCP segment with seq:2583063577 has not arrived even after 25 seconds - session 192.168.1.32:50651 to 62.76.90.2:80
Apr 22 11:51:27: %FW-4-ALERT_ON: getting aggressive, count (11/1000) current 1-min rate: 501
Apr 22 11:51:48: %FW-4-ALERT_OFF: calming down, count (4/800) current 1-min rate: 269

 

 

346
Просмотры
10
Полезный материал
18
Ответы
СоздатьДля создания публикации, пожалуйста в систему