PIX ACL & Application Inspection: chiarimenti

[jaxel]

Ciao a tutti,
ho un PIX 515 con il software 8.0(3) Restricted (R) license con 96 MB di RAM, 16 MB di flash e 3 interfacce.
Non ho mai configurato un apparato di questo tipo e perciò mi sono documentato anche leggendo parte del libro "Cisco ASA: All-in-One Firewall, IPS, Anti-X, and VPN Adaptive Security Appliance (2nd Edition)".

Da quanto ho capito, i PIX (come gli ASA) permettono al traffico in entrata dalla outside (security-level 0) all'inside (security-level 100) ma, invece, dovrebbero permettere il contrario (e i pacchetti di risposta) senza bisogno di configurare nessuna ACL.
La configurazione di eventuali ACL dovrebbe essere fatta solo per pubblicare un server (o servizio) interno verso l'esterno, corretto?

Nei router Cisco era possibile configurare con il comando

Codice: Seleziona tutto

ip inspect [i]nome[/i] [in|out]

sull'interfaccia, nei pix, invece, dove è possibile definire la direzione dell'inspection?

Io ho trovato solo la configurazione dell'Application Inspection che, dopo aver configurato le class-map e le policy-map, è possile applicarla solo con

Codice: Seleziona tutto

service-policy [i]name[/i] global 
     oppure
service-policy [i]name[/i] [i]nameif[/i]

Ma la global come funziona? Effettua l'inspection in entrambe le direzioni? E mettendo il nome dell'interfaccia? Come si comporta?

[jaxel]

Dunque, in accordo al libro "Cisco ASA: All-in-one...." p.144

Codice: Seleziona tutto

  When TCP or UDP traffic flows through the security appliance, the return traffic is automatically allowed to pass through because they are connsidered established and bi-directional connections.

e in accordo al documenti sul sito della Cisco http://www.ciscosystems.com/en/US/docs/ ... rview.html dove c'è scritto:

Codice: Seleziona tutto

In Figure 37-1, operations are numbered in the order they occur, and are described as follows:

1. A TCP SYN packet arrives at the adaptive security appliance to establish a new connection.

2. The adaptive security appliance checks the access list database to determine if the connection is permitted.

3. The adaptive security appliance creates a new entry in the connection database (XLATE and CONN tables).

4. The adaptive security appliance checks the Inspections database to determine if the connection requires application-level inspection.

5. After the application inspection engine completes any required operations for the packet, the adaptive security appliance forwards the packet to the destination system.

6. The destination system responds to the initial request.

7. The adaptive security appliance receives the reply packet, looks up the connection in the connection database, and forwards the packet because it belongs to an established session. 

Deduco che per consentire al traffico da una interfaccia con un low security level ad una interfaccia con high security level devo creare una ACL che lo consenta esplicitamente, mentre il return traffic è automaticamente consentito perché è sconsiderato established.
A questo punto l'application inspection controlla il traffico ai livelli superiori aprendo eventuali porte se necessario.

Quindi, impostando solo le ACL (senza quelle per il traffico di ritorno) il PIX effettua in automatico la stateful inspection (o stateful packet filtering).

A questo punto l'applicazione delle service-policy global o interface è banale in quanto attiva l'Application Inspection di determinati protocolli (a seconda della policy-map) o su tutte le interfacce (global) o sulla specifica interfaccia. Se entrambe vengono abilitate, è valida sull'interfaccia di riferimento quella più specifica (service-policy interface).

E' tutto corretto quello che ho scritto? Qualcuno può confermare?:?

Grazie,
Fabio

[jaxel]

Nessuno?
Nessuno che sappia come lavora un PIX con software 8.x?

[zot]

Ad occhio e croce si.....calcola che il traffico di rtorno e' normalmente permesso in tutti gli apparati di livello 3 o superiori.......sarebbe una smazzata inverosimile scrivere regole in e out.....

[jaxel]

Beh, spero che sia più si che no!
Comunque grazie mille della risposta!