Ciao, mi pare di aver sentito parlare (insultatemi se sbaglio) che sui PIX esistono dei protocolli detti "single-channel" che passano da una zona trusted a una untrusted abilitando automaticamente il traffico di ritorno.
Se ciò è corretto ho un paio di domande:
- l'smtp è tra questi protocolli?
- se c'è anche una acl che permette esplicitamente il traffico di ritorno, verranno loggati (nel hitcnt) i pacchetti di ritorno oppure no?
Grazie
PIX & protocolli "single-channel"
Moderatore: Federico.Lagni
-
Francesco87
- Cisco fan
- Messaggi: 59
- Iscritto il: mar 10 apr , 2007 9:13 am
- Località: Ethernet 0/0
The netmask in Cisco access lists are inverted. Nobody knows why, they just are.
-
hashashin
- Cisco enlightened user
- Messaggi: 125
- Iscritto il: sab 22 ott , 2005 7:40 am
- Località: Frascati (RM)
ciao,
allora, i protocolli single-channel sono quelli che, come dice il nome, utilizzano solo un canale per lo scambio di dati.
alcuni esempi possono essere, come dici tu, SMTP, oppure l'HTTP, l'SSH, il TELNET ecc...
i multi-channel invece al contrario utitlizzano più canali.
il più famoso di tutti è l'FTP (dato che utilizza una canale per l'invio dei comandi ed un altro per il trasferimento dei dati) oppure anche l'RSTP.
a questo punto ti posso dire che il PIX è un firewall che usa la tecnologia stateful inspection, cioè tiene conto delle sessioni per il traffico permesso tra le diverse dmz. in questo modo, non c'è bisogno di aggiungere acl per il traffico di ritorno, perchè come dicevo prima il firewall tenendo conto delle sessoni aperte, ne permette di default il ritorno.
attenzione però perchè per alcuni protocolli tipo ICMP, le acl di ritorno vanno inserite, in quanto questo protocollo non crea vere e prorpie sessioni, quindi il firewall non ne tiene traccia e non si comporta come ad esempio per il telnet.
se invece vuoi tenere traccia del traffico di ritorno per le tue sessioni, devi utilizzare delle capture, che permettono di sniffare il traffico sull'interfaccia.
di seguito la sintassi per creare un capture:
prima di tutto si crea una access-list con la quale si determina il traffico da sniffare/catturare
- access-list traffico-smtp permit tcp host 192.168.0.17 host 172.14.123.12 eq smtp
poi si lega l'access-list appena creata ad una capture, applicandola all'interfaccia sulla quale vogliamo sniffare il traffico.
- capture <nome_capture> access-list traffico-smtp interface outside
e il gioco è fatto.
allora, i protocolli single-channel sono quelli che, come dice il nome, utilizzano solo un canale per lo scambio di dati.
alcuni esempi possono essere, come dici tu, SMTP, oppure l'HTTP, l'SSH, il TELNET ecc...
i multi-channel invece al contrario utitlizzano più canali.
il più famoso di tutti è l'FTP (dato che utilizza una canale per l'invio dei comandi ed un altro per il trasferimento dei dati) oppure anche l'RSTP.
a questo punto ti posso dire che il PIX è un firewall che usa la tecnologia stateful inspection, cioè tiene conto delle sessioni per il traffico permesso tra le diverse dmz. in questo modo, non c'è bisogno di aggiungere acl per il traffico di ritorno, perchè come dicevo prima il firewall tenendo conto delle sessoni aperte, ne permette di default il ritorno.
attenzione però perchè per alcuni protocolli tipo ICMP, le acl di ritorno vanno inserite, in quanto questo protocollo non crea vere e prorpie sessioni, quindi il firewall non ne tiene traccia e non si comporta come ad esempio per il telnet.
se invece vuoi tenere traccia del traffico di ritorno per le tue sessioni, devi utilizzare delle capture, che permettono di sniffare il traffico sull'interfaccia.
di seguito la sintassi per creare un capture:
prima di tutto si crea una access-list con la quale si determina il traffico da sniffare/catturare
- access-list traffico-smtp permit tcp host 192.168.0.17 host 172.14.123.12 eq smtp
poi si lega l'access-list appena creata ad una capture, applicandola all'interfaccia sulla quale vogliamo sniffare il traffico.
- capture <nome_capture> access-list traffico-smtp interface outside
e il gioco è fatto.
-
hashashin
- Cisco enlightened user
- Messaggi: 125
- Iscritto il: sab 22 ott , 2005 7:40 am
- Località: Frascati (RM)
e cmq le access-list sui router cisco sono invertite (si chiamano wildcard-mask) per permettere una maggiore precisione nel determinare il tipo di traffico con il quale dovranno "matchare".
esempio:
access-list 109 permit ip 192.168.10.1 0.0.0.3 any
ti consente di fare in modo che SOLO gli host sorgenti che vanno da 192.168.10.1 al 192.168.10.3 vengano confrontati con quella access-list
cosa che non puoi fare con le subnet-mask
esempio:
access-list 109 permit ip 192.168.10.1 0.0.0.3 any
ti consente di fare in modo che SOLO gli host sorgenti che vanno da 192.168.10.1 al 192.168.10.3 vengano confrontati con quella access-list
cosa che non puoi fare con le subnet-mask
-
Francesco87
- Cisco fan
- Messaggi: 59
- Iscritto il: mar 10 apr , 2007 9:13 am
- Località: Ethernet 0/0
Grazie 1000! Tutto risolto.
Che figata la questione della capture...
Che figata la questione della capture...
The netmask in Cisco access lists are inverted. Nobody knows why, they just are.
-
hashashin
- Cisco enlightened user
- Messaggi: 125
- Iscritto il: sab 22 ott , 2005 7:40 am
- Località: Frascati (RM)
un'altra cosa sulle capture. se gestisci il pix da web (cosa però sconsigliata a meno che non ti colleghi dall'inside) puoi vedere il contenuto della capture direttamente da browser.
basta che da firefox digiti: https://<indirizzo_pix>/capture/<nome_capture>
è leggermente più visibile rispetto alla linea di comando!!!
ciaoooo
basta che da firefox digiti: https://<indirizzo_pix>/capture/<nome_capture>
è leggermente più visibile rispetto alla linea di comando!!!
ciaoooo
-
Francesco87
- Cisco fan
- Messaggi: 59
- Iscritto il: mar 10 apr , 2007 9:13 am
- Località: Ethernet 0/0
Ho optato per la soluzione TFTP + Ethereal
Grazie ancora
Grazie ancora
The netmask in Cisco access lists are inverted. Nobody knows why, they just are.
