форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Проверьте конфиг Cisco Pix на безопасность pls."
Сообщение от Vad_S on 20-Мрт-04, 13:41  (MSK)
Уважаемые гуру, есть Cisco Pix 515E. Перед установкой я ее собрал на полигоне, с характеристиками приближенными к "боевым". Есть провайдер, который дает шлюз (в тестовом режиме 10.125.10.5) и NAT - диапазон. В DMZ подсетке (192.168.10.0) есть  WEB-сервер 192.168.10.3. Своим пользователям нужен инет, внешним нужен веб-сервер. Случай хрестоматийный, но цисковские примеры у меня не заработали. Методом научного тыка родилась такая работающая конфигурация. У меня вопрос не нагородил ли я лишнего с разрешением  доступа tcp и icmp пакетов извне внутрь? Хотя пинги извне не проходят, меня напрягают подчеркнутые access-list'ы, но без них у меня внешние адреса не пингуются. PIX Version 6.3(1) interface ethernet0 auto interface ethernet1 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password kkjjh76gfhgfh encrypted passwd kkjjh76gfhgfh encrypted hostname pixfire domain-name test fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol ils 389 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 names name 192.168.10.3 Web_srv access-list inside_access_in permit tcp any any access-list inside_access_in permit icmp any any access-list outside_access_in permit tcp any host Web_srv eq www access-list outside_access_in permit icmp any any ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ access-list outside_access_in permit tcp any any ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ pager lines 24 logging console debugging mtu outside 1500 mtu inside 1500 ip address outside 10.125.10.1 255.255.255.0 ip address inside 192.168.10.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm location 192.168.10.9 255.255.255.255 inside pdm location Web_srv 255.255.255.255 inside pdm history enable arp timeout 14400 global (outside) 10 10.125.10.11-10.125.10.15 nat (inside) 10 0.0.0.0 0.0.0.0 0 0 static (inside,outside) Web_srv Web_srv netmask 255.255.255.255 0 0 access-group outside_access_in in interface outside access-group inside_access_in in interface inside route outside 0.0.0.0 0.0.0.0 10.125.10.5 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local http server enable http 192.168.10.9 255.255.255.255 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable telnet 192.168.10.9 255.255.255.255 inside telnet timeout 60 ssh timeout 5 console timeout 0 terminal width 80 Спасибо.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Проверьте конфиг Cisco Pix на безопасность pls."
Сообщение от Костя on 22-Мрт-04, 10:06  (MSK)
Привет, я  хоть и не гуру (пока :-))), но позволю себе несколько замечаний. Возможно старшие товарищи меня поправят. >access-list inside_access_in permit tcp any any >access-list inside_access_in permit icmp any any Если я правильно понял вы хотите оставить внутренней сети возможность  ходить во внешние сети только по протоколам tcp и icmp? Использование других протоколов не ожидается? Кстати на icmp не обязательно писать лист для inside интерфейса. >access-list outside_access_in permit tcp any host Web_srv eq www >access-list outside_access_in permit icmp any any >^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Этим листом вы разрешаете пинговать машины вашей сети из интернета, я бы написал по другому. access-list outside_access_in permit icmp any 192.168.10.0 255.255.255.0 >access-list outside_access_in permit tcp any any >^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ а этим листом вы разрешаете входящие соединения по tcp на всю сеть. Я бы разрешил коннект извне только для web. access-list outside_access_in permit tcp any host Web_srv eq список портов сервера. P.S. Советую на этом не останавливаться, а прописать еще листы на private and reserved  адреса интернета и т.п.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Проверьте конфиг Cisco Pix на безопасность pls."
Сообщение от Костя on 22-Мрт-04, 10:17  (MSK)
Совсем забыл, еще несколько замечаний. 1. Обязательно смените имя community snmp. 2. Напишите acl на ограничение доступа по snmp. 3. Зачем вам pdm на два ip, если http server прописан на один адрес? P.S. Вот вроде и все что я могу сказать.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Проверьте конфиг Cisco Pix на безопасность pls."
	Сообщение от Vad_S on 22-Мрт-04, 21:33  (MSK)
	>>access-list inside_access_in permit icmp any any > Кстати на icmp не обязательно писать лист для inside интерфейса. С помощью сниффера выяснил, что если не прописать вот такую строку: access-list inside_access_in permit icmp any any echo то пинги изнутри наружу блокируются правилом "inside_access_in"! Может это из-за того что вшивку свежую поставил, такое у Циски не документировано, хотя логически объяснимо. >>access-list outside_access_in permit tcp any host Web_srv eq www >>access-list outside_access_in permit icmp any any >>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ > Этим листом вы разрешаете пинговать машины вашей сети из интернета, я бы > написал по другому. > access-list outside_access_in permit icmp any 192.168.10.0 255.255.255.0 Да, я переделал, конкретизировал: access-list outside_access_in permit icmp any 192.168.10.0 255.255.255.0 echo-reply access-list outside_access_in permit icmp any 192.168.10.0 255.255.255.0 time-exceeded access-list outside_access_in permit icmp any 192.168.10.0 255.255.255.0 unreachable >>access-list outside_access_in permit tcp any any >>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ > а этим листом вы разрешаете входящие соединения по tcp на всю сеть. Я бы > разрешил коннект извне только для web. access-list outside_access_in permit tcp > any host Web_srv eq список портов сервера. Да, это конечно же ляпа, я переделал: access-list outside_access_in permit tcp any host Web_srv eq www > P.S. Советую на этом не останавливаться, а прописать еще листы на private and > reserved  адреса интернета и т.п. То есть выяснить на каких портах DNS'ы висят? С этим еще не разбирался, но ожидаю заморочки. DNS - внешний, значит изнутри на WEB-сервер народ через левое ухо будет попадать по имени. Можете для этого случая подсказать конфиг? > Совсем забыл, еще несколько замечаний. > 1. Обязательно смените имя community snmp. Угу, сенькс. > 2. Напишите acl на ограничение доступа по snmp. Вот так пойдет: access-list outside_access_in deny udp any eq 161 any eq 161 ? > 3. Зачем вам pdm на два ip, если http server прописан на один адрес? По-хорошему надо, наверное, на три порта, ну да это вопрос двухсот баксов, потом докупим. Преогромнейшее сенькс.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Проверьте конфиг Cisco Pix на безопасность pls."
	Сообщение от Костя on 23-Мрт-04, 10:22  (MSK)
	>>>access-list inside_access_in permit icmp any any >> Кстати на icmp не обязательно писать лист для inside интерфейса. > >С помощью сниффера выяснил, что если не прописать вот такую строку: >access-list inside_access_in permit icmp any any echo >то пинги изнутри наружу блокируются правилом "inside_access_in"! Может >это из-за того что вшивку свежую поставил, такое у Циски не >документировано, хотя логически объяснимо. Вы не совсем правы что это не документированно. Самое первое что нужно усвоить при работе с PIX - это ASA (adaptive security algorithm). Если вкратце, то суть в том что по умолчанию запрещены любые соединения инициированные с интерфейса с меньшим security level на интерфейс с большим security level. И наоборот, все соединения которые учтанавливаются в направлении интерфейса с меньшим значением security level - разрешены. Таким образом, навешивая acl на интерфейсы Вы тем самым делаете дополнительные разрешения или запрещения. И еще один момент. В доках это называется imlicit deny (вроде так), а суть в том, что в конец каждого acl добавляется запись deny any any, которую не видно по sh access-l. >> P.S. Советую на этом не останавливаться, а прописать еще листы на private and >> reserved  адреса интернета и т.п. см. www.ietf.org/rfc/rfc1918.txt. > >То есть выяснить на каких портах DNS'ы висят? С этим еще не >разбирался, но ожидаю заморочки. DNS - внешний, значит изнутри на >WEB-сервер народ через левое ухо будет попадать по имени. >Можете для этого случая подсказать конфиг? Ну днс - это на мой взгляд не проблема, а народ изнутри будет получать ip по имени так же как и все остальные, путем опроса внешнего dns сервера. Не вижу особого смысла делать по другому, особенно если у вас всего один web внетри. Траффика большого это не создаст. >> 2. Напишите acl на ограничение доступа по snmp. > >Вот так пойдет: >access-list outside_access_in deny udp any eq 161 any eq 161? посмотрите команду snmp-server host (snmp-server host [if_name] ip_addr [trap | poll] ваш выбор poll).
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.