Pagina 1 di 1
Best practice per PIX \ ASA IOS 7 - 8
Inviato: mer 10 giu , 2009 2:35 pm
da egarim
Ciao,
ho scoperto che nell'ASA si può consentire il transito di icmp sia tramite acl applicandole poi con la access-group che con la direttiva icmp ( scoperta di recente
).
Quale secondo voi è la best practice ?
Non trovate sia un pò illogico fornire più strade per consentire la stessa cosa ?
Inviato: gio 11 giu , 2009 10:41 am
da Wizard
Sn 2 cose diverse!
Con il comando "icmp ..." dichiari quali type sono accettati verso l'ip della interfaccia in questione.
Con il comando "access-l xxx permit icmp ... " dichiari quali type icmp possono attraversare la interfaccia e quindi il traffico va e viene dai client \ server
Spero di essere stato chiaro
Chiaramente sono da inserire entrabe le configurazioni
Inviato: gio 11 giu , 2009 10:43 am
da Wizard
Volendo questo topic può essere rinominato in "Best practice per PIX \ ASA IOS 7 - 8"
Se vi interessa rinomino, metto come importante e inizio a scrivere qualche cosa
Inviato: gio 11 giu , 2009 3:54 pm
da francesco_savona
E lo scrivi pure????
Inviato: mar 16 giu , 2009 7:47 pm
da Wizard
Va bene dai, appena riesco inizio!
Pardon ma questo è un periodo in cui ho un po' poco tempo ahimè
Inviato: gio 18 giu , 2009 1:32 pm
da Wizard
1 - Abilitare nat-control e xlate-bypass
2 - Confg logging almeno nel buffer (livello warning)
3 - Accesso il ssh sia da reti interne che da internet
4 - Filtrare accesso alla console del fw con gli ip sorgente
5 - Avere 2 firewall per avere il failover
6 - Abbassare arp timeout a 120 secondi
7 - Aumentare il limite per le richieste dns a 1500 (inspection)
8 - Rimuovere inspections su smtp
9 - Abilitare threat-detection
10 - Per la comunicazione tra le varie interfaccie usare nat0 invece che la regola di nat statico (qua è oppinabile e magari approfondiremo meglio questo discorso)
11 - Configurare i type icmp permessi verso gli ip delle interfaccie
12 - Config acl su tutte le interfaccie
13 - Settare staticamente la velocità delle interfaccie
Inviato: mar 25 gen , 2011 11:22 am
da fransyk
Wizard ha scritto:
10 - Per la comunicazione tra le varie interfaccie usare nat0 invece che la regola di nat statico (qua è oppinabile e magari approfondiremo meglio questo discorso)
Ciao,
leggendo questa Best Practice, secondo te è meglio usare NAT0 oppure mettere per ogni singolo server che deve essere visto da un interfaccia di livello inferiore (es Domain controller) fare solo NAT statico?
Grazie,
Francesco