Best practice per PIX \ ASA IOS 7 - 8

Mettete al sicuro la vostra rete!

Moderators: Federico.Lagni, TheIrish, Wizard, andrewp

Best practice per PIX \ ASA IOS 7 - 8

Postby egarim » Wed 10 Jun , 2009 2:35 pm

Ciao,
ho scoperto che nell'ASA si può consentire il transito di icmp sia tramite acl applicandole poi con la access-group che con la direttiva icmp ( scoperta di recente :) ).
Quale secondo voi è la best practice ?
Non trovate sia un pò illogico fornire più strade per consentire la stessa cosa ?
egarim
Cisco fan
 
Posts: 67
Joined: Sun 12 Apr , 2009 2:44 pm

Postby Wizard » Thu 11 Jun , 2009 10:41 am

Sn 2 cose diverse!

Con il comando "icmp ..." dichiari quali type sono accettati verso l'ip della interfaccia in questione.

Con il comando "access-l xxx permit icmp ... " dichiari quali type icmp possono attraversare la interfaccia e quindi il traffico va e viene dai client \ server

Spero di essere stato chiaro

Chiaramente sono da inserire entrabe le configurazioni
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
User avatar
Wizard
Intergalactic subspace network admin
 
Posts: 3441
Joined: Fri 03 Feb , 2006 10:04 am
Location: Emilia Romagna

Postby Wizard » Thu 11 Jun , 2009 10:43 am

Volendo questo topic può essere rinominato in "Best practice per PIX \ ASA IOS 7 - 8"

Se vi interessa rinomino, metto come importante e inizio a scrivere qualche cosa
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
User avatar
Wizard
Intergalactic subspace network admin
 
Posts: 3441
Joined: Fri 03 Feb , 2006 10:04 am
Location: Emilia Romagna

Postby francesco_savona » Thu 11 Jun , 2009 3:54 pm

E lo scrivi pure????
-------------------------------------------------------
SAVONA FRANCESCO
CCNA
-------------------------------------------------------
francesco_savona
Cisco enlightened user
 
Posts: 129
Joined: Wed 01 Apr , 2009 9:58 am

Postby Wizard » Tue 16 Jun , 2009 7:47 pm

Va bene dai, appena riesco inizio!

Pardon ma questo è un periodo in cui ho un po' poco tempo ahimè
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
User avatar
Wizard
Intergalactic subspace network admin
 
Posts: 3441
Joined: Fri 03 Feb , 2006 10:04 am
Location: Emilia Romagna

Postby Wizard » Thu 18 Jun , 2009 1:32 pm

1 - Abilitare nat-control e xlate-bypass

2 - Confg logging almeno nel buffer (livello warning)

3 - Accesso il ssh sia da reti interne che da internet

4 - Filtrare accesso alla console del fw con gli ip sorgente

5 - Avere 2 firewall per avere il failover

6 - Abbassare arp timeout a 120 secondi

7 - Aumentare il limite per le richieste dns a 1500 (inspection)

8 - Rimuovere inspections su smtp

9 - Abilitare threat-detection

10 - Per la comunicazione tra le varie interfaccie usare nat0 invece che la regola di nat statico (qua è oppinabile e magari approfondiremo meglio questo discorso)

11 - Configurare i type icmp permessi verso gli ip delle interfaccie

12 - Config acl su tutte le interfaccie

13 - Settare staticamente la velocità delle interfaccie
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
User avatar
Wizard
Intergalactic subspace network admin
 
Posts: 3441
Joined: Fri 03 Feb , 2006 10:04 am
Location: Emilia Romagna

Postby fransyk » Tue 25 Jan , 2011 11:22 am

Wizard wrote:
10 - Per la comunicazione tra le varie interfaccie usare nat0 invece che la regola di nat statico (qua è oppinabile e magari approfondiremo meglio questo discorso)



Ciao,
leggendo questa Best Practice, secondo te è meglio usare NAT0 oppure mettere per ogni singolo server che deve essere visto da un interfaccia di livello inferiore (es Domain controller) fare solo NAT statico?

Grazie,
Francesco
fransyk
n00b
 
Posts: 11
Joined: Wed 09 Jul , 2008 3:42 pm


Return to Sicurezza

Who is online

Users browsing this forum: No registered users and 2 guests

cron