Pagina 1 di 1

Best practice per PIX \ ASA IOS 7 - 8

Inviato: mer 10 giu , 2009 2:35 pm
da egarim
Ciao,
ho scoperto che nell'ASA si può consentire il transito di icmp sia tramite acl applicandole poi con la access-group che con la direttiva icmp ( scoperta di recente :) ).
Quale secondo voi è la best practice ?
Non trovate sia un pò illogico fornire più strade per consentire la stessa cosa ?

Inviato: gio 11 giu , 2009 10:41 am
da Wizard
Sn 2 cose diverse!

Con il comando "icmp ..." dichiari quali type sono accettati verso l'ip della interfaccia in questione.

Con il comando "access-l xxx permit icmp ... " dichiari quali type icmp possono attraversare la interfaccia e quindi il traffico va e viene dai client \ server

Spero di essere stato chiaro

Chiaramente sono da inserire entrabe le configurazioni

Inviato: gio 11 giu , 2009 10:43 am
da Wizard
Volendo questo topic può essere rinominato in "Best practice per PIX \ ASA IOS 7 - 8"

Se vi interessa rinomino, metto come importante e inizio a scrivere qualche cosa

Inviato: gio 11 giu , 2009 3:54 pm
da francesco_savona
E lo scrivi pure????

Inviato: mar 16 giu , 2009 7:47 pm
da Wizard
Va bene dai, appena riesco inizio!

Pardon ma questo è un periodo in cui ho un po' poco tempo ahimè

Inviato: gio 18 giu , 2009 1:32 pm
da Wizard
1 - Abilitare nat-control e xlate-bypass

2 - Confg logging almeno nel buffer (livello warning)

3 - Accesso il ssh sia da reti interne che da internet

4 - Filtrare accesso alla console del fw con gli ip sorgente

5 - Avere 2 firewall per avere il failover

6 - Abbassare arp timeout a 120 secondi

7 - Aumentare il limite per le richieste dns a 1500 (inspection)

8 - Rimuovere inspections su smtp

9 - Abilitare threat-detection

10 - Per la comunicazione tra le varie interfaccie usare nat0 invece che la regola di nat statico (qua è oppinabile e magari approfondiremo meglio questo discorso)

11 - Configurare i type icmp permessi verso gli ip delle interfaccie

12 - Config acl su tutte le interfaccie

13 - Settare staticamente la velocità delle interfaccie

Inviato: mar 25 gen , 2011 11:22 am
da fransyk
Wizard ha scritto:
10 - Per la comunicazione tra le varie interfaccie usare nat0 invece che la regola di nat statico (qua è oppinabile e magari approfondiremo meglio questo discorso)
Ciao,
leggendo questa Best Practice, secondo te è meglio usare NAT0 oppure mettere per ogni singolo server che deve essere visto da un interfaccia di livello inferiore (es Domain controller) fare solo NAT statico?

Grazie,
Francesco