Global list jaki sens jak to w praktyce

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
lorencpl
wannabe
wannabe
Posty: 126
Rejestracja: 17 sie 2006, 12:37
Lokalizacja: Wrocław

Global list jaki sens jak to w praktyce

#1

#1 Post autor: lorencpl »

Witam,
spotkałem się z dziwnym konfigiem i proszę o poradę czy to może być jakiś błąd czy może jest w tym jakiś głębszy sens.
Chodzi o zastosowanie global listy z wpisami DENY mimo że na samym koncu jest deny any any.

Przykład o co chodzi na obrazku
http://fotowrzut.pl/EYBV1DIL04

access-list inside_access_in_1 extended permit udp any any eq domain
access-list inside_access_in_1 extended permit tcp any any eq www
access-list inside_access_in_1 extended permit tcp any any eq https
access-list inside_access_in_1 extended permit ip any object-group DOMAIN
access-list global_access extended deny ip any object 22.22.22.22
access-list global_access extended deny ip any object 33.33.33.33
-------------------------------
Cisco

rafu_007
member
member
Posty: 26
Rejestracja: 15 maja 2017, 05:29
Lokalizacja: Bydgoszcz
Kontakt:

Re: Global list jaki sens jak to w praktyce

#2

#2 Post autor: rafu_007 »

Zależy co masz na tym ip reguła jest pewnie dla statystyki.


Wysłane z iPhone za pomocą Tapatalk
Inna Sieć - innasiec.pl

lorencpl
wannabe
wannabe
Posty: 126
Rejestracja: 17 sie 2006, 12:37
Lokalizacja: Wrocław

Re: Global list jaki sens jak to w praktyce

#3

#3 Post autor: lorencpl »

Tzn chodzi Tobie w enable logging włączone domyślnie na ACL?
-------------------------------
Cisco

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Global list jaki sens jak to w praktyce

#4

#4 Post autor: mihu »

z tego co mi wiadomo global ACL zostalo wprowadzone w celu ulatwienia migracji z CheckPointow. Pomijając kwestię czy lubię global ACL czy nie (kwestia przyzwyczajenia na danej platformie), nie widzę sensu mieszania ACLek per interface i global, to tak jak stosowanie ACLek na wejściu i wyjściu - da się ale po co utrudniać sobie życie.

ACLki są rozpatrywane następująco:
Global access list applies logically to the entire firewall in inbound direction to all interface.
If there are existing interface access lists, those will be considered first and instead of having implicit deny any any at the end of interface ALCs, the Global access list is processed and in case of non-matching rule, the implicit deny any any is used at the end of Global access list.
source: https://cciesecblog.com/2014/07/21/asa- ... cess-list/

poza tym best practice jest zawsze ustawienie explicit deny na końcu reguł i nawet jak wszystko pozwalasz na inside to i tak skonfigurowanie dwóch ACLek:
- permit ip any any
- deny ip any any

bo i tak na 95% w przyszłości będziesz musiał coś zablokować, więc lepiej mieć gotowy template.

na zrzucie z ekranu widać że global deny jest implicit więc w CLI jej nie zobaczysz
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

ODPOWIEDZ