comando ip inspect ????

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
Avatar utente
richardsith
Cisco fan
Messaggi: 37
Iscritto il: mar 08 lug , 2008 1:44 pm
Località: everywhere
Contatta:

Ciao a tutti,

avrei bisogno di capire il funzionamento del comando ip inspect e come si deve utilizzare.
ho trovato vari link su internet che spiegano il funzionamento ma non riesco a capire esattamente il suo comportamento.
c'è qualcuno che si offre per darmi un breve spiegazione????

grazie anticipatamente a tutti
Se "a" è il successo, la sua formula è: a=x+y*z, dove x è il lavoro, y il gioco e z tenere la bocca chiusa.

-- Albert Einstein
Avatar utente
ghira
Holy network Shaman
Messaggi: 668
Iscritto il: mer 30 mar , 2011 5:25 pm

Molto sinteticamente:

blocchi tutto in entrata. ispezioni tutto in uscita.

se arrivano cose da fuori che sembrano risposte plausibili a pacchetti "ispezionati",
il router fa passare le risposte, nonostante l'access-list "deny any any".

ovviamente se ci sono delle cose che vuoi permettere da fuori comunque (http?
ssh?) allora permetti queste cose esplicitamente.
Avatar utente
richardsith
Cisco fan
Messaggi: 37
Iscritto il: mar 08 lug , 2008 1:44 pm
Località: everywhere
Contatta:

grazie per la spiegazione

quindi quando imposto un

ip inspect name TEST tcp

dico al cisco di ispezionare tutti pacchetti tcp in uscita e di bloccarli in entrata???anche se non cè 1 ACL in IN che blocca i pacchetti TCP?
grazie
Se "a" è il successo, la sua formula è: a=x+y*z, dove x è il lavoro, y il gioco e z tenere la bocca chiusa.

-- Albert Einstein
Avatar utente
ghira
Holy network Shaman
Messaggi: 668
Iscritto il: mer 30 mar , 2011 5:25 pm

No, metti un access list che blocca tutto in entrata e
Metti inspect in uscita. Inspect crea buchi temporanei nell'access-list
Avatar utente
richardsith
Cisco fan
Messaggi: 37
Iscritto il: mar 08 lug , 2008 1:44 pm
Località: everywhere
Contatta:

grazie mille per la spiegazione sei stato molto chiaro.

Quindi se blocco con 1 ACL in IN, tutto il traffico TCP non veritiero viene rifiutato, ma se la richiesta è fatta in OUT inspect apre un buco temporale per accettare la risposta dall'esterno facendo passare il pacchetto in IN.

corretto???
Se "a" è il successo, la sua formula è: a=x+y*z, dove x è il lavoro, y il gioco e z tenere la bocca chiusa.

-- Albert Einstein
Avatar utente
ghira
Holy network Shaman
Messaggi: 668
Iscritto il: mer 30 mar , 2011 5:25 pm

richardsith ha scritto:grazie mille per la spiegazione sei stato molto chiaro.

Quindi se blocco con 1 ACL in IN, tutto il traffico TCP non veritiero viene rifiutato, ma se la richiesta è fatta in OUT inspect apre un buco temporale per accettare la risposta dall'esterno facendo passare il pacchetto in IN.

corretto???
perche' limitarti al tcp? blocca tutto, ispeziona tutto.

Va bene, questo e' leggermente esagerato. Blocca quasi tutto, pero'. Dovrei
Controllare ma io permetto alcuni tipi di icmp, ssh e http da alcuni
Posti, pochissime altre cose, poi deny any any.
Avatar utente
richardsith
Cisco fan
Messaggi: 37
Iscritto il: mar 08 lug , 2008 1:44 pm
Località: everywhere
Contatta:

grazie per la corposa e breve formazione sull inspect adesso mi è più chiaro il suo funzionamento.

ricontraccambierò il tuo favore al + presto.

a presto
Se "a" è il successo, la sua formula è: a=x+y*z, dove x è il lavoro, y il gioco e z tenere la bocca chiusa.

-- Albert Einstein
Avatar utente
ghira
Holy network Shaman
Messaggi: 668
Iscritto il: mer 30 mar , 2011 5:25 pm

Comunque, per la cronaca la Cisco dice adesso che "ip inspect" e' roba 'legacy', e che dovremmo
passare a "zone-based firewall".

Se hai solo due interfacce il vantaggio non mi e' chiaro, devo dire. Comunque, mi sa
che i miglioramenti da adesso in poi appariranno solo in ZBFW. Se lo vuoi provare,
forse ti conviene passare alla 15.0 o 15.1.
Avatar utente
richardsith
Cisco fan
Messaggi: 37
Iscritto il: mar 08 lug , 2008 1:44 pm
Località: everywhere
Contatta:

è da dargli un'occhiata, anche se ancora non trovo 5 min per mettere mano ad 1 ASA.
Cmq in qsti gg appena ho 5 min vedo il funzionamento di zone-based firewall e vedo di tiranci fuori qlke cfg.
Ti faccio sapere cosa riesco a tirarci fuori!!!
Se "a" è il successo, la sua formula è: a=x+y*z, dove x è il lavoro, y il gioco e z tenere la bocca chiusa.

-- Albert Einstein
Avatar utente
ghira
Holy network Shaman
Messaggi: 668
Iscritto il: mer 30 mar , 2011 5:25 pm

richardsith ha scritto:è da dargli un'occhiata, anche se ancora non trovo 5 min per mettere mano ad 1 ASA.
Cmq in qsti gg appena ho 5 min vedo il funzionamento di zone-based firewall e vedo di tiranci fuori qlke cfg.
Ti faccio sapere cosa riesco a tirarci fuori!!!
ZBFW e' una cosa sui router.
Rispondi