home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / comp / dcom / sys / cisco / 2074 < prev    next >
Encoding:
Text File  |  1993-01-26  |  5.3 KB  |  115 lines
  1. Newsgroups: comp.dcom.sys.cisco
  2. Path: sparky!uunet!boulder!recnews
  3. From: John Bashinski <jbash@cisco.com>
  4. Subject: Re: ACLs 
  5. In-Reply-To: Your message of "Mon, 25 Jan 93 23:09:03 GMT."
  6.              <C1FMz4.I4n@cantua.canterbury.ac.nz> 
  7. Message-ID: <728032083.2859@news.Colorado.EDU>
  8. Sender: news
  9. Date: 25 Jan 93 21:39:45 -0800
  10. Approved: news
  11. X-Note1: message-id generated by recnews
  12. X-Note2: mail msgid was   <9301260539.AA05885@wolf.cisco.com>
  13. Lines: 100
  14.  
  15. > Currently I have configured our cisco (which is the gateway) to let anyone
  16. > talk to this host on the nntp port, and on any port over 1000 - and visa
  17. > versa for connections from the other direction. This works fine, but means
  18. > that the node is still open for connections over 1000 - which I don't want.
  20. > (just enabling port 119 isn't enough as there are two ports to every
  21. > connection)
  23. > Is there any other ACL set I could use to ensure that _only_ connections
  24. > to .OR. from port nntp were allowed? 
  25.  
  26. Let me restate the requirement to make sure I understand it. You want to
  27. allow incoming connections only to port 119 on this machine (from any port
  28. on a remote machine), and outgoing connections from this machine only to
  29. port 119 on remote machines. Presumably the incoming restriction is to
  30. protect yourself from ne'er-do-wells on the Internet, and the outgoing
  31. restriction is to protect the Internet from similar ne'er-do-wells inside
  32. your site.
  33.  
  34. You can do this with the "established" keyword. What "established" does on
  35. an extended access list entry is to let that entry match any packet that's
  36. part of an already-created TCP connection, but not any packet that could
  37. serve to create a new connection. It does this by examining the SYN and RST
  38. bits in the TCP header.
  39.  
  40. Suppose your internal net is on Ethernet 0, and the outside world is on
  41. Serial 0. Your NNTP host has address 1.2.3.4. You're using access list 101
  42. on Ethernet 0, and access 102 on serial 0. A partial view of your
  43. configuration file might look like this (untested) example:
  44.  
  45. ! Access list 101 is applied to traffic coming in from the outside world
  46. ! to the internal network.
  47. !
  48. ! The first entry lets our local machine connect to NNTP ports in
  49. ! the outside world. Anything destined from that machine to port 119
  50. ! anywhere in the universe is allowed.
  51. !
  52. access-list 101 permit tcp 1.2.3.4 0.0.0.0 0.0.0.0 255.255.255.255 eq 119
  53. !
  54. ! The second entry lets machines that already have connections to the
  55. ! local machine continue to talk to it. Presumably they wouldn't have
  56. ! gotten those connections unless the local machine had initiated them.
  57. !
  58. access-list 101 permit tcp 0.0.0.0 255.255.255.255 1.2.3.4 0.0.0.0 established
  59. !
  60. ! In the real world, you'd probably want to permit more than the NNTP port,
  61. ! and/or allow connections to other machines. In particular, you'd probably
  62. ! want to allow ICMP from anywhere to anywhere, and you'd probably need to
  63. ! give the outside world TCP and UDP access to your DNS services. You might
  64. ! also have some mail hosts that needed to talk to outside hosts.
  65. !
  66. ! The second access list is very much like the first...
  67. access-list 102 permit tcp 0.0.0.0 255.255.255.255 1.2.3.4 0.0.0.0 eq 119
  68. access-list 102 permit tcp 1.2.3.4 0.0.0.0 0.0.0.0 255.255.255.255 established
  69. !
  70. interface ethernet 0
  71. ip access-group 101
  72. !
  73. interface serial 0
  74. ip access-group 102
  75.  
  76. Another common configuration would be to leave out access list 102
  77. entirely, so that the outside world could only connect to port 119 on your
  78. NNTP server, but your own (presumably trusted) host could connect to
  79. anything in the outside world that would accept the connection.
  80.  
  81. The "established" keyword was introduced in Release 8.2, but there's a
  82. problem with it in some versions. It's unlikely that anybody could actually
  83. exploit the bug to get unauthorized access to anything-- perhaps not
  84. impossible, but certainly very difficult, especially without knowing
  85. proprietary details of how Cisco routers work. The bug *will* sometimes
  86. make legitimate accesses fail.
  87.  
  88. The bug in question is CSCdi07901. It's fixed in all shipping software,
  89. including 8.3(6-and-above), 9.0(3), and 9.1(2). It was present in 8.2,
  90. 8.3(1-5), 9.0(1-2), and 9.1(1). Even if your software has the bug, you can
  91. avoid any incorrect behavior by disabling IP fast switching on the involved
  92. interfaces using the command "no ip route-cache". This will increase the
  93. load on your CPU, but isn't usually a problem, especially for the
  94. relatively slow WAN links where access lists are most often used. If you're
  95. concerned about system load without fast-switching, you can use "show
  96. process" and "show interface" to check for CPU overloading and/or packet
  97. drops. If disabling fast switching causes a load problem for you, you can
  98. order a ROM upgrade from Cisco, or download new net-bootable software via
  99. anonymous FTP from ftp.cisco.com.
  100.  
  101. The official release-note text for the bug follows--
  102.  
  103.    If extended access lists are used on an MCI, SCI or cBus interface,
  104.    the IP route cache is enabled, and also the 'established' keyword
  105.    is used, it can be improperly evaluated. This can permit packets
  106.    which should be filtered and exclude packets which should be
  107.    permitted. This behavior was first introduced in 8.2.
  108.  
  109. If you have any further problems or questions, you should probably send
  110. mail to "tac@cisco.com".
  111.  
  112.                                    -- J. Bashinski
  113.                                       Cisco Systems
  114.  
  115.