PDA

Επιστροφή στο Forum : Βοήθεια Cisco 876 firewall



Asxetos1
06-07-10, 21:17
Καλησπέρα σε όλους,

Δεν είμαι έμπειρος στο σετάρισμα του cisco και θέλω βοήθεια στο εξής.

Προσπαθώ να εντοπίσω ένα spambot στο εσωτερικό δίκτυο της εταιρίας αλλα με ταλαιπωρεί.
Σκανάρω περιπου 25 pc με ένα σωρό antivirus, antimalware, stinger κλπ αλλα μέχρι τώρα δεν έχω βρεί που κρύβεται.

Έχω σετάρει το firewall να μπλοκάρει όλα τα εξερχόμενα στο port 25 εκτός απο το ip του mail-server της εταιρίας, και τουλάχιστον δεν βγαίνουν έξω τα spam.

Απο τα logs βλεπω οτι μπλοκάρονται πολλά, αλλα βλέπω μόνο το destination IP. Δεν μπορώ να δω το εσωτερικό IP που τα στέλνει.
Υπάρχει τρόπος να το δώ με κάποια ρύθμιση-αλλαγή?

Ευχαριστώ...

euri
07-07-10, 00:55
Δύο τρόπους μπορώ να σκεφτώ.

Α' τρόπος

Ενεργοποιείς το netflow στο vlan1 interface


ip flow ingress

και μετά βλέπεις τα αποτελέσματα με


show ip cache flow

Τα αποτελέσματα θα είναι της μορφής


SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Vl1 xxx.xxx.xxx.xxx Di1 xxx.xxx.xxx.xxx 06 CF95 0050 4
Vl1 xxx.xxx.xxx.xxx Null xxx.xxx.xxx.xxx 11 CB6F 0035 1
Vl1 xxx.xxx.xxx.xxx Di1 xxx.xxx.xxx.xxx 06 0584 4E84 585
Vl1 xxx.xxx.xxx.xxx Di1 xxx.xxx.xxx.xxx 06 474F 0747 2


Στη στήλη SrcIPaddress θα βλέπεις τις ΙΡ από τις οποίες ξεκινά η κίνηση, στη στήλη DstIPaddress θα βλέπεις τον προορισμό και στη στήλη DstP την πόρτα στον προορισμό (προσοχή, είναι σε δεκαεξαδικό). Οπότε ψάχνεις να δεις ποιες ΙΡ έχουν DstIPaddress εκτός του δικτύου σου και DstP 0019 (δηλαδή 25 δεκαδικό), αγνοείς την ΙΡ του mailserver και μάλλον βρήκες τους ενόχους.

Β' τρόπος

Ενεργοποιείς inspection (αν δεν έχεις ήδη) για το smtp, με audit-trail


ip inspect name dokimes smtp audit-trail on timeout 60

Το εφαρμόζεις στο Dialer interface


ip inspect dokimes out

και μετά μπορείς να βλέπεις τα μηνύματα είτε στην κονσόλα, είτε σε syslog server. Με αυτόν τον τρόπο θα πρέπει όμως θα πρέπει προσωρινά να επιτρέψεις την εξερχόμενη κίνηση στην πόρτα 25, έτσι ώστε να καταφέρουν οι clients να μιλήσουν με τον εξωτερικό SMTP server και να το πιάσει το audit trail.

Τα μηνύματα που θα λάβεις σε αυτήν την περίπτωση είναι της μορφής:


Jul 7 00:43:49 routername 5712: Jul 7 00:43:47.963: %FW-6-SESS_AUDIT_TRAIL_START: Start smtp session: initiator (xxx.xxx.xxx.xxx:20274) -- responder (yyy.yyy.yyy.yyy:25)
Jul 7 00:44:01 routername 5713: Jul 7 00:44:00.744: %FW-6-SESS_AUDIT_TRAIL: Stop smtp session: initiator (xxx.xxx.xxx.xxx:20274) sent 104 bytes -- responder (yyy.yyy.yyy.yyy:25) sent 188 bytes

Asxetos1
07-07-10, 07:15
Ευχαριστώ Euri, Το δοκιμάζω...

Ασχετος.

taxiarxos
07-07-10, 16:27
Επίσης μπορείς σαν εναλακτική να δείς τα active translations sto Nat Table. ;)

gatoulas
07-07-10, 17:10
...με show ip nat trans

euri
07-07-10, 17:50
Το πήγα λίγο μακρυά ε;

:lol:

taxiarxos
07-07-10, 19:25
Πολύ καλή η απάντηση που έδωσες αλλά για πιο advance περιπτώσεις... :)

@ ADSLgr.com All rights reserved.