Cisco ASA: All-in-one Firewall

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
ODPOWIEDZ
Wiadomość
Autor
pjeter
CCIE
CCIE
Posty: 1391
Rejestracja: 17 lis 2003, 17:29

Cisco ASA: All-in-one Firewall

#1

#1 Post autor: pjeter »

Pytanie moje dot. ksiazki
Cisco ASA: All-in-one firewall...
strona 146-147
1. Dla ruchu przychodzacego z outside do WEB_Servers(DMZ) jest ACL na outside IN ktory zezwala, a jednoczesnie nie ma odpowiednich wpisów na DMZ OUT, ktore by zezwalaly na ten ruch. Dlaczego ?
2. Dla tego samego ruchu, outside -> DMZ, brakuje staticów.

Może mi to ktoś potwierdzić lub jeśli się mylę wytłumaczyć ?

PJ
Na górę
Awatar użytkownika
kktm
CCIE
CCIE
Posty: 2025
Rejestracja: 20 paź 2004, 14:43
Lokalizacja: Wrocław

Re: Cisco ASA: All-in-one Firewall

#2

#2 Post autor: kktm »

pjeter pisze:Pytanie moje dot. ksiazki
Cisco ASA: All-in-one firewall...
strona 146-147
1. Dla ruchu przychodzacego z outside do WEB_Servers(DMZ) jest ACL na outside IN ktory zezwala, a jednoczesnie nie ma odpowiednich wpisów na DMZ OUT, ktore by zezwalaly na ten ruch. Dlaczego ?
2. Dla tego samego ruchu, outside -> DMZ, brakuje staticów.

Może mi to ktoś potwierdzić lub jeśli się mylę wytłumaczyć ?

PJ
moja kniga *.chm niestety numerów stron nie posiada :)
"Trust no one"
Na górę
pjeter
CCIE
CCIE
Posty: 1391
Rejestracja: 17 lis 2003, 17:29

#3

#3 Post autor: pjeter »

Chapter 5
Figure 5-8
Example 5-26

PJ
Na górę
Awatar użytkownika
kktm
CCIE
CCIE
Posty: 2025
Rejestracja: 20 paź 2004, 14:43
Lokalizacja: Wrocław

#4

#4 Post autor: kktm »

pjeter pisze:Chapter 5
Figure 5-8
Example 5-26

PJ
no zeczywiscie jakas dupna ta siec.
Wszystkie hosty maja publiczne adresy, hehe.

Pewnie autor zaklada ze w tej skrzynce jest wbita komenda no nat-control. Czy cos takiego.

Co do ACL, to rzeczwiscie na logike do DMZ przez ta ACL uwalany jest caly ruch z outside.

Wogole koles ja wzocil na DMZ w kierunku out - czuje sie zaklopotany bo logika podpowiada ze powinna byc na inside w kierunku in.


Co do pytania 2 to o jakie staticki ci chodzi dokladnie

ps. expertem z asa nie jestem to moje prywatne przemyslenia :)
"Trust no one"
Na górę
pjeter
CCIE
CCIE
Posty: 1391
Rejestracja: 17 lis 2003, 17:29

#5

#5 Post autor: pjeter »

kktm pisze:Co do pytania 2 to o jakie staticki ci chodzi dokladnie
No komenda static
dla zainicjowanego ruchu z outside do inside jesli nie ma w tablicy polaczen wczesniej utworzonych wpisow AFAIK potrzebne sa statyczne wpisy wpuszczajace z nizszego sec do wyzszego. Zgadza sie ?

PJ
Na górę
Awatar użytkownika
kktm
CCIE
CCIE
Posty: 2025
Rejestracja: 20 paź 2004, 14:43
Lokalizacja: Wrocław

#6

#6 Post autor: kktm »

pjeter pisze:
kktm pisze:Co do pytania 2 to o jakie staticki ci chodzi dokladnie
No komenda static
dla zainicjowanego ruchu z outside do inside jesli nie ma w tablicy polaczen wczesniej utworzonych wpisow AFAIK potrzebne sa statyczne wpisy wpuszczajace z nizszego sec do wyzszego. Zgadza sie ?

PJ

teoretycznie sie zgadza :)

idac za ciosem nie ma komendy do nata z indide na outside, i z inside do dmz.

Ale tym razem wydaje mi sie ze powinno juz zaskoczyc bo od pix 7.0 w gore domyslnie nie jest wymagane jak w poprzednich wersjach zeby uruchamiac obligatoryjnie natowanie.

Dlatego sądze ze w tym pix działa domyślna komenda

Kod: Zaznacz cały

no nat-control


The nat-control Command

With nat-control disabled, the PIX forwards packets from a higher-security interface to a lower one without a specific translation entry in the configuration. In order to pass traffic from a lower security interface to a higher one, use access-lists to permit the traffic. The PIX then forwards the traffic. This document focuses on the PIX firewall behavior with nat-control enabled.
"Trust no one"
Na górę
ODPOWIEDZ

Wróć do „Security”