Cisco CBACについて

Cisco 891 (versionVersion 15.8(3)M1)にて以下のCBACを設定しています。

ip inspect log drop-pkt
ip inspect name CBAC tcp
ip inspect name CBAC udp
ip inspect name CBAC icmp


interface Dialer1
 mtu 1454
 ip address negotiated
 ip nat outside
 ip inspect CBAC out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 0
 dialer-group 1
 no cdp enable
 ppp authentication chap callin
 ppp chap hostname *****
 ppp chap password 7 ******
 ppp ipcp dns request

以上を設定したのち、外部からpppoeで取得したIPにSSHしたら接続できてしまいます。
CBACは内部から返ってくるパケットのみを許可し、直接外部からきたパケットは拒否する仕様ではないのでしょうか。。。なぜ外部から直接きたSSHは許可されたのでしょうか。

行動規範の内容に同意します

回答1件

CBACは動的にトラフィックを検査し対応するACLを生成しますが，まずインターフェースのデフォルト状態を考えてください．

提示されたコンフィグで Dialer1 にInboundのACLは設定されていません．
つまり，このインターフェースは入力トラフィックに対して完全に無防備 permit ip any any の状態と言えます．

CBACをインターフェースにout方向で適用しても，in方向の暗黙のACLが作られるわけではないので，Dialer1のIPにSSHができてしまうのは設定の通りであると言えます．

目的の動作を行う（CBACで検査したトラフィックの戻りだけを許可して，それ以外は全て拒否したい）のであれば，Dialer1にin方向で deny ip any any 相当のACLを適用してください．

参考までに，IP接続性確認のためにpingだけを受け入れて，その他全てを拒否するACLを例示します．

ip access-list extended internet-inbound
permit icmp any any echo
exit

int Dialer1
ip access-group internet-inbound in

投稿2019/02/27 16:32

cariandrum22

総合スコア18

mint.cherry

2019/02/28 02:53

ご回答ありがとうございます。 >>このインターフェースは入力トラフィックに対して完全に無防備 permit ip any any の状態と言えます． CBACによりdrop したパケットのログを出すようにしています。ログを見るとポート番号443で来ているパケットを破棄しているように見えます。以下がそのログです。 (IPアドレスは「*」表示にしています) ``` %FW-6-DROP_PKT: Dropping tcp session *:33738 *:443 due to Stray Segment with ip ident 16650 tcpflags 0x5004 seq.no 4003756126 ack 0 ``` dialer 1にACLがないこのコンフィグで、外部から直接くる443は拒否できていて、SSHの22番は拒否できないのが不明です… でも、現にSSHをできてしまっていますので、ACLでも戻りのトラフィックのみを許可しないといけないというのはわかりました。 Cisco891で「ステートフルインスペクション」を実現させるために例として、ローカルIP：192.168.1.0/24のセグメント帯のパケットの行きと戻りのみを許可したい場合は以下のようでよろしいでしょうか。。。 (ACL経験すくなく、かなり自信はないです。。。) ``` ip inspect log drop-pkt ip inspect name CBAC tcp ip inspect name CBAC udp ip inspect name CBAC icmp ip access-list extended internet-inbound permit ip 0.0.0.0 0.0.0.0 192.168.1.0 0.0.0.255 interface Dialer1 mtu 1454 ip address negotiated ip nat outside ip inspect CBAC out ip access-group internet-inbound in ip virtual-reassembly in encapsulation ppp dialer pool 1 dialer idle-timeout 0 dialer-group 1 no cdp enable ppp authentication chap callin ppp chap hostname ***** ppp chap password 7 ****** ppp ipcp dns request ```

cariandrum22

2019/02/28 04:04

> %FW-6-DROP_PKT: Dropping tcp session *:33738 *:443 due to Stray Segment with ip ident 16650 tcpflags 0x5004 seq.no 4003756126 ack 0 マスクされたIPはどちらが内部のIPでどちらが外部のIPですか？判断がつかなければ，それぞれのIPの第一オクテットを残してください． > dialer 1にACLがないこのコンフィグで、外部から直接くる443は拒否できていて、SSHの22番は拒否できないのが不明です… どういう通信が拒否されているのか，ログからは読み取れません．また，コンフィグが一部しかないのでわかりませんが，Cisco891のデフォルト設定を使っているのであれば，CBACではなくZBFがデフォルトで有効では無いでしょうか？そちらの設定は確認されましたか？ > 192.168.1.0/24のセグメント帯のパケットの行きと戻りのみを許可したい場合は以下のようでよろしいでしょうか。。。少なくとも拡張IPアクセスリストinternet-inboundは正しいものではありません．やりたい構成を適切に組むためには，NAT，ACL，CBAC，ZBFに対する理解が不足しているように見受けられます．適切に回答するためには 1. コンフィグの全文を貼り付けてください 2. この通信がうまくいく．いかない．という場合には，それぞれ起点と終点がなんなのかを示してください．SSHが拒否でない，HTTPは拒否できる．という話は，Dialer1がPPPで取得したグローバルIPに対してインターネットから接続した場合．と過程してお話していますが，その前提が違う場合そもそも正しい答えは得られません 3. 下記のようなレベルでよいので，NW構成を示してください [Internet] ---- <Dialer1> [Cisco891] <Vlan1: 192.168.1.0/24> -- [LAN] これらの情報を提供してください．とりあえず， > 192.168.1.0/24のセグメント帯のパケットの行きと戻りのみを許可したい場合は以下のようでよろしいでしょうか。。。これ実現したいだけであれば，貼り付けられたコンフィグから > permit ip 0.0.0.0 0.0.0.0 192.168.1.0 0.0.0.255 これだけ削除すればよいと思います．ただ，ZBFやLAN側インターフェースなど，他に影響するアクセス制御設定がある場合うまくいかない可能性があります．

行動規範の内容に同意します