In dit document beschrijf ik hoe je een Cisco ACL dynamisch kan bouwen op een Linux machine en naar je Cisco router kan sturen. Dit artikel sluit aan op Connectie van een Cisco 836 met XS4ALL en een minimale blik op dat document is noodzakelijk omdat je er namen van de ACL en zo in kan terugvinden.

Aannames

1. Je wilt dshield.org blacklists gebruiken.
2. Je hebt een Linux machine om dit op te zetten.
3. Je hebt een Cisco router met de juiste firmware dit type ACL te maken.
4. Je durft met telnet van je linux machine naar je router te gaan.
5. Je hebt netcat, perl en dergelijke tools op je linux machine. (Controleer het perl script op perl modules die je nodig hebt.)
6. Je kan zelf de nodige wijzigingen verzinnen in de scripts en dergelijke.

De files

1. get-dshield.pl (Het perl script dat de dshield blacklist ophaalt.)
2. ipv4-inet-in-policy(De policy voor toegang tot je netwerk.)
3. ipv4-inet-in-blacklist(De permanente blacklist.)
4. ipv4-inet-in-install(Het install script.)
5. ipv4-inet-in-dshield(Voorbeeld dshield lijst.)
6. ipv4-inet-in.install(Voorbeeld ACL lijst met alle extra commando's.)

De installatie

1. Maak een aparte subdirectory aan in je home directory en zorg dat er verder niemand bij kan. Bijvoorbeeld met mkdir /home/hvdkooij/Cisco en chmod go-rwx /home/hvdkooij/Cisco
2. Plaats alle 4 de files in die directory.
3. Pas de blacklist en policy files aan aan je eigen wensen!!!
4. Pas het script aan met de juiste account info en enable wachtwoord voor je Cisco router!!! Ik ga hier ervan uit dat je username/password moet gebruiken om aan te loggen en nog een enable commado voor je bij je config optie bent.
5. Test het get-dshield perl script. Bijvoorbeeld met ./get-dshield.pl
6. Herhaal voorgaande stappen tot dat je tevreden bent met het resultaat.
   Test het eerst door alles alleen naar een file te schrijven die je nog niet weg gooit en zonder het netcat commando actief.
7. Test het live op je router en controleer na uitvoer van het script of de config van je router correct is aangepast.
8. Als meerdere tests correct zijn uitgevoerd kan het geautomatiseerd worden met cron.
   Maak een cron job aan die:
   1. Elk uur, maar op een willekeurige minuut, wordt uitgevoerd.
   2. Naar de juiste directory springt.
   3. Het script uitvoert.
   4. De uitvoer naar een logfile schrijft
   Bijvoorbeeld met: 12 * * * * cd /home/hvdkooij/Cisco/ipv4-inet-in-install > ipv4-inet-in.log 2>&1 (Dit is één regel!!!)

Deze configuratie is gebaseerd op mijn Cisco 836 met firewall feature set. Op dit moment draai ik 'Cisco IOS Software, C836 Software (C836-K9O3S8Y6-M), Version 12.3(11)T7, RELEASE SOFTWARE (fc3)' omdat het de laatste versie is die nog in 48MB RAM draait.

DISCLAIMER

• Vragen om de Cisco software zal ik stelselmatig negeren.
  Dat zoek je maar uit met je leverancier van je Cisco router!
• Dit script gebruikt telnet toegang en dient absoluut vermeden te worden als het niet over veilige verbinding gaat. Onveilige netwerken zijn bijvoorbeeld: wireless (elke variant), internet, huurlijnen, ISDN lijnen, ....