Pagina 1 di 1
PIX & protocolli "single-channel"
Inviato: ven 08 giu , 2007 12:17 pm
da Francesco87
Ciao, mi pare di aver sentito parlare (insultatemi se sbaglio) che sui PIX esistono dei protocolli detti "single-channel" che passano da una zona trusted a una untrusted abilitando automaticamente il traffico di ritorno.
Se ciò è corretto ho un paio di domande:
- l'smtp è tra questi protocolli?
- se c'è anche una acl che permette esplicitamente il traffico di ritorno, verranno loggati (nel hitcnt) i pacchetti di ritorno oppure no?
Grazie
Inviato: sab 09 giu , 2007 9:24 am
da hashashin
ciao,
allora, i protocolli single-channel sono quelli che, come dice il nome, utilizzano solo un canale per lo scambio di dati.
alcuni esempi possono essere, come dici tu, SMTP, oppure l'HTTP, l'SSH, il TELNET ecc...
i multi-channel invece al contrario utitlizzano più canali.
il più famoso di tutti è l'FTP (dato che utilizza una canale per l'invio dei comandi ed un altro per il trasferimento dei dati) oppure anche l'RSTP.
a questo punto ti posso dire che il PIX è un firewall che usa la tecnologia stateful inspection, cioè tiene conto delle sessioni per il traffico permesso tra le diverse dmz. in questo modo, non c'è bisogno di aggiungere acl per il traffico di ritorno, perchè come dicevo prima il firewall tenendo conto delle sessoni aperte, ne permette di default il ritorno.
attenzione però perchè per alcuni protocolli tipo ICMP, le acl di ritorno vanno inserite, in quanto questo protocollo non crea vere e prorpie sessioni, quindi il firewall non ne tiene traccia e non si comporta come ad esempio per il telnet.
se invece vuoi tenere traccia del traffico di ritorno per le tue sessioni, devi utilizzare delle capture, che permettono di sniffare il traffico sull'interfaccia.
di seguito la sintassi per creare un capture:
prima di tutto si crea una access-list con la quale si determina il traffico da sniffare/catturare
- access-list traffico-smtp permit tcp host 192.168.0.17 host 172.14.123.12 eq smtp
poi si lega l'access-list appena creata ad una capture, applicandola all'interfaccia sulla quale vogliamo sniffare il traffico.
- capture <nome_capture> access-list traffico-smtp interface outside
e il gioco è fatto.
Inviato: sab 09 giu , 2007 9:30 am
da hashashin
e cmq le access-list sui router cisco sono invertite (si chiamano wildcard-mask) per permettere una maggiore precisione nel determinare il tipo di traffico con il quale dovranno "matchare".
esempio:
access-list 109 permit ip 192.168.10.1 0.0.0.3 any
ti consente di fare in modo che SOLO gli host sorgenti che vanno da 192.168.10.1 al 192.168.10.3 vengano confrontati con quella access-list
cosa che non puoi fare con le subnet-mask
Inviato: lun 11 giu , 2007 5:32 pm
da Francesco87
Grazie 1000! Tutto risolto.
Che figata la questione della capture...
Inviato: mar 12 giu , 2007 12:23 pm
da hashashin
un'altra cosa sulle capture. se gestisci il pix da web (cosa però sconsigliata a meno che non ti colleghi dall'inside) puoi vedere il contenuto della capture direttamente da browser.
basta che da firefox digiti: https://<indirizzo_pix>/capture/<nome_capture>
è leggermente più visibile rispetto alla linea di comando!!!
ciaoooo
Inviato: mer 13 giu , 2007 10:09 am
da Francesco87
Ho optato per la soluzione TFTP + Ethereal
Grazie ancora