Ciao a tutti
volevo chiarirmi un pò le idee sulla programmazione dei firewall Cisco su router.
Ormai,bene o male su utilizzano le zone base,almeno da quello che leggo.
Sto studiando per la ccna security,ma purtroppo non lo faccio per lavoro,quindi la mia grammatica stà migliorando ma la pratica si limita ad un piccolo laboratorio che ho fatto a casa ed ha un simulatore.
Ma la mia domanda,se io programmo un firewall con delle zone base,diciamo 2 zone,lan ed wan,al limite delle regole acl in entrate se c'e' n'e' bisogno, insomma nella vita reale è sufficiente ?
Stessa domanda con delle zone base inserite in una rete con una zona dmz ?
Spero non sia una domanda stupida ma adesso la spiego meglio.
Mentre configuro la connessione tra wan ed dmz,dove wan ha delle acl per un web server ed un server ftp, insomma il classico esempio di laboratorio,la programmazione,sempre nelle programmazioni reali è sufficiente o ha bisogno anche di espliciti deny per indirizzi privati,multicast e speciali per evitare che richieste maligne dall'interno aprano delle porte dall'esterno ?
Spero che mi capiate e che non siano domande troppo banali.Da quello che leggo sui curriculum Cisco una normale programmazione è sufficiente ma vorrei qualche conferma,insomma,vorrei capire meglio cosa serve veramente da clienti .....
Grazie
Luca
Configurazione firewall
Moderatore: Federico.Lagni
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Imho la tua domanda si potrebbe differenziare per 2/3 macro classi generiche:
1) azienda piccolina su cui trovi tipicamente dei router della serie 800 (se va bene che non hanno degli infami access point con 4 porte ethernet e modem adsl integrato).
-In questo tipo di azienda secondo me è importante farli navigare in sicurezza perciò l'approccio che hai descritto va tipicamente bene: LAN + OUTSIDE (o WAN se preferisci). Proteggi la lan dall'accesso dall'esterno con acl (classiche contro gli accessi a porte e protocolli indesiderati) e sono a posto.
2) azienda medio/piccola in cui, oltre alla configurazione di cui sopra ti viene chiesto un accesso vpn per qualche consulente (tipicamente per paghe o finanza).
-Anche qui solitamente trovi degli 8xx e, se proprio sono degli scialacquatori (o hanno avuto pessimi consulenti IT) dei 1800/1900. In più ci può essere la parte dell'accesso vpn dall'esterno da configurare. In questa fascia credo sia possibile trovare una necessità in più che consiste nella configurazione di una vpn lan to lan per accedere a consociate o controllate dallo stesso gruppo, anche se, la vedo rara perchè se hanno un'azienda madre hanno anche il personale tecnico che le fà, solitamente.
3) azienda media in espansione che vuole cominciare ad avere un server mail interno o altri server di servizio clienti (ftp o web) in casa.
-A questo punto puoi dover aggiungere una dmz in cui metti questi server e a cui devi dare accesso molto granulare e attento sia dall'esterno che dalla lan. Però qui cominci a vedere ASA 5505, 28xx/29xx etc etc. Cioè comincia ad essere un'azienda già ben strutturata dove difficilmente non hanno almeno una persona che si occupa dell'aspetto IT perciò di solito sei più "guidato" perchè di là hai qualcuno che se ne intende (o per lo meno così crede
)
Cmq per quanto mi è dato a vedere senza essere sul mercato le cose che vanno per la maggiore sono gli accessi ad internet "canonici" (senza fronzoli o cose particolari) e gli accessi VPN (LAN2LAN e/o road warrior).
TUtto ovviamente IMHO
Rizio
1) azienda piccolina su cui trovi tipicamente dei router della serie 800 (se va bene che non hanno degli infami access point con 4 porte ethernet e modem adsl integrato).
-In questo tipo di azienda secondo me è importante farli navigare in sicurezza perciò l'approccio che hai descritto va tipicamente bene: LAN + OUTSIDE (o WAN se preferisci). Proteggi la lan dall'accesso dall'esterno con acl (classiche contro gli accessi a porte e protocolli indesiderati) e sono a posto.
2) azienda medio/piccola in cui, oltre alla configurazione di cui sopra ti viene chiesto un accesso vpn per qualche consulente (tipicamente per paghe o finanza).
-Anche qui solitamente trovi degli 8xx e, se proprio sono degli scialacquatori (o hanno avuto pessimi consulenti IT) dei 1800/1900. In più ci può essere la parte dell'accesso vpn dall'esterno da configurare. In questa fascia credo sia possibile trovare una necessità in più che consiste nella configurazione di una vpn lan to lan per accedere a consociate o controllate dallo stesso gruppo, anche se, la vedo rara perchè se hanno un'azienda madre hanno anche il personale tecnico che le fà, solitamente.
3) azienda media in espansione che vuole cominciare ad avere un server mail interno o altri server di servizio clienti (ftp o web) in casa.
-A questo punto puoi dover aggiungere una dmz in cui metti questi server e a cui devi dare accesso molto granulare e attento sia dall'esterno che dalla lan. Però qui cominci a vedere ASA 5505, 28xx/29xx etc etc. Cioè comincia ad essere un'azienda già ben strutturata dove difficilmente non hanno almeno una persona che si occupa dell'aspetto IT perciò di solito sei più "guidato" perchè di là hai qualcuno che se ne intende (o per lo meno così crede
)Cmq per quanto mi è dato a vedere senza essere sul mercato le cose che vanno per la maggiore sono gli accessi ad internet "canonici" (senza fronzoli o cose particolari) e gli accessi VPN (LAN2LAN e/o road warrior).
TUtto ovviamente IMHO
Rizio
Si vis pacem para bellum
-
lucahornet
- Cisco power user
- Messaggi: 121
- Iscritto il: mar 15 giu , 2010 4:07 pm
grande risposta,molto esaudiente,grazie .....
ma qua mi vien fuori un'altra domanda.
Ma un asa cosa fa in piu' rispetto ad un router di fascia alta,tipo un 2800 ?
il senso di un asa è quello di dividersi i compiti per non sovraccaricare la cpu e rendere piu' veloce il traffico diminuendo il delay ? almeno questa è la risposta che mi vien spontanea visto che sulla carta,in se,fanno le stesse cose .....
ma qua mi vien fuori un'altra domanda.
Ma un asa cosa fa in piu' rispetto ad un router di fascia alta,tipo un 2800 ?
il senso di un asa è quello di dividersi i compiti per non sovraccaricare la cpu e rendere piu' veloce il traffico diminuendo il delay ? almeno questa è la risposta che mi vien spontanea visto che sulla carta,in se,fanno le stesse cose .....
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Cioè? Parli suoi router normali vero?ghira ha scritto:Per la cronaca credo che il CBAC (ip inspect) sia ancora perfettamente utilizzabile
anche se ufficialmente il futuro appartiene allo ZBFW.
Parti dal presupposto che il concetto di Zone Based FireWall devo ancora leggermelo perciò non ne sò nulla, uso asa e router ognuno per il compito che hanno.
Ti rispondo sempre dal basso della mia conclamata ignoranza perciò spero di essere corretto ed istruito laddove sbaglio.lucahornet ha scritto:Ma un asa cosa fa in piu' rispetto ad un router di fascia alta,tipo un 2800 ?
Premesso questo e per quanto mi riguarda io cerco di far fare routing al router (ossia instradare pacchetti valutando tutte le complesse regole implicite ed esplicite che questo comporta) appesantendolo di tutto il possibile riguardo al routing perciò shape, policy routing, dynamic routing, qos.
Mentre invece cerco di sfruttare tutte le caratteristiche inserite da Cisco nell'ios dell'ASA, tipo il sistema del peso implicito nelle interfacce, il natting statico, lo statefull inspection, la gestione delle connessioni con i relativi timeout.
Insomma, le differenze sono implicite nell'ios montato su ogni differente hardware. Se guardiamo sotto il coperchio le differenze si assotigliano molto ma il sistema operativo e le capacità di gestione di diverse interfacce (immagina un'asa con un'interfaccia frame-relay o un 2911 con un modulo antivirus hardware -sono proprio lontane delle logiche a cui ci ha abituato Cisco-).
Ognuno dei 2 apparati fà qualcosina di quello che fà l'altro ma è solo in "copertura" e non riesce a completare l'ambito. Fai fare routing ad un ASA per capire
Per lo meno secondo me.
Rizio
Si vis pacem para bellum
-
ghira
- Holy network Shaman
- Messaggi: 668
- Iscritto il: mer 30 mar , 2011 5:25 pm
[/quote]Rizio ha scritto:Cioè? Parli suoi router normali vero?ghira ha scritto:Per la cronaca credo che il CBAC (ip inspect) sia ancora perfettamente utilizzabile
anche se ufficialmente il futuro appartiene allo ZBFW.
Cerca "CBAC" sui documenti Cisco.
essenzialmente blocchi tutto in entrata, e in uscita metti una regola "ip inspect".
il router poi, nonostante il blocco in entrata, permette le risposte alle cose
ispezionate in uscita.
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Ok, lo farò.ghira ha scritto:Cerca "CBAC" sui documenti Cisco.
Ahhh, il statefull inspectionghira ha scritto:essenzialmente blocchi tutto in entrata, e in uscita metti una regola "ip inspect".
il router poi, nonostante il blocco in entrata, permette le risposte alle cose
ispezionate in uscita.
Ok,capito l'ip inspect controlla lo stato "related" delle connessioni in ingresso e agisce di conseguenza sulle acl.
Grazie mille delle info, sei sempre prezioso
Rizio
Si vis pacem para bellum
