Delucidazione su ip inspect

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
schuldiner
n00b
Messaggi: 10
Iscritto il: mer 22 feb , 2006 5:29 pm

Salve,
sono un pò di giorni che mi documento sul firewall di ios ma non riesco a capire una cosa, forse sarà una domanda stupida...:roll:
Mi spiego meglio, se io applico una access list sull'interfaccia esterna (cioè quella connessa ad internet) che mi blocca tutto il traffico in ingresso e quindi permettendo di uscire solo il traffico generato dalla LAN che senso ha applicare l'inspect sulla ethernet???
Se mettessi per esempio un ip inspect firewall tcp e udp e poi lo applicassi sulla Ethernet 0 in ingresso o sulla Dialer1 in uscita che effetto ha?Oltre di appensatire la cpu del router che dovrà controllare tutti i pacchetti che passano?
tricca
n00b
Messaggi: 11
Iscritto il: gio 20 mar , 2008 8:57 pm

Fai una prova: Lascia l'acl che blocca tutto il traffico in ingresso e disabilita l'inspect. Vedrai che non navighi più.

Quando navighi non generi solo traffico "in uscita" dalla tua lan. Vi sono infatti in ingresso una serie di pacchetti di risposta ai pacchetti in uscita dalla lan.

Ora se vuoi utilizzare in ingresso una acl che blocca tutto, senza l'inspect di solito si usa "tcp any any enstablished" che è in grado di aprire "varchi dinamci" in ingresso ad hoc per i pacchetti tcp di risposta.
Per gli altri tipi di pacchetti udp,icmp ecc .. ecc... invece non c'è soluzione. Bisogna per forza di cose aprire dei "varchi statici" cioè devi aggiungere qualche "permit" sulla acl in ingresso....ma così potresti essere soggetto a qualche tipo di attacco.

L'inspect viene incontro proprio a questo problema. Si occupa direttamente del controllo del traffico in uscita e del conseguente traffico di ritorno e permette l'accesso dinamicamente ai pacchetti di risposta. Al contrario del "tcp any any enstablished" però gestisce diversi tipi di traffico ip: oltre al solito tcp gestisce anche l'udp l'icmp ecc ecc
schuldiner
n00b
Messaggi: 10
Iscritto il: mer 22 feb , 2006 5:29 pm

In effetti non ho ancora fatto delle prove ma ho solo letto varie cose, io ho fatto questa domanda appunto perchè mi sembrava di avere capito che applicando l'acl in ingresso all'interfaccia, si creavano dinamicamente le acl di ritorno per il traffico generato dalla lan, quindi non capivo il senso di mettere un inspect tcp.
kobaiachi
Cisco pathologically enlightened user
Messaggi: 175
Iscritto il: gio 27 ott , 2005 3:34 pm

tricca ha scritto:
Ora se vuoi utilizzare in ingresso una acl che blocca tutto, senza l'inspect di solito si usa "tcp any any enstablished" che è in grado di aprire "varchi dinamci" in ingresso ad hoc per i pacchetti tcp di risposta.
Per gli altri tipi di pacchetti udp,icmp ecc .. ecc... invece non c'è soluzione. Bisogna per forza di cose aprire dei "varchi statici" cioè devi aggiungere qualche "permit" sulla acl in ingresso....ma così potresti essere soggetto a qualche tipo di attacco.

"L'inspect viene incontro proprio a questo problema. Si occupa direttamente del controllo del traffico in uscita e del conseguente traffico di ritorno e permette l'accesso dinamicamente ai pacchetti di risposta. Al contrario del "tcp any any enstablished" però gestisce diversi tipi di traffico ip: oltre al solito tcp gestisce anche l'udp l'icmp ecc ecc

"

Interessante finalmente inizio a caprici qualcosa anche io,
pero scusa tricca ma mi sorge una domanda, quello che fa l'inspect non lo posso faren sul router con con tcp any any estabilished ed una access list riflessiva per gli altri protocolli ?
Do
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
maggiore81
Cisco pathologically enlightened user
Messaggi: 215
Iscritto il: gio 15 feb , 2007 8:34 pm
Località: Ravenna - ITALY -
Contatta:

Domandone di chiarimento

consideriamo una acl che fa deny ip any any sulla atm0.35 (int esterna)
se io faccio un ip inspect name tcp (e poi udp) in ingresso sulla eth0 (lato lan) il tutto funziona.

vedo che alcuni la mettono IN sulla eth0 o OUT sulla ATM0.35

differenze?

io ho sempre messo in ingresso sulla int che da sulla lan
Dott. Spadoni
Network Administrator
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

vedo che alcuni la mettono IN sulla eth0 o OUT sulla ATM0.35
Cisco consiglia di metterla in out sulla atm anche se nel 90% dei casi nn cambia nulla

Cambia nel momento in cui hai 2 o 3 eth e nn vuoi che il traffico venga insepezionato quando il passa ad es dalla eth 1 alla 2 ma solo verso internet
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Rispondi