Pagina 1 di 1

Consiglio per acquisto ASA 5505

Inviato: dom 08 giu , 2008 9:31 pm
da atxkors
Salve a tutti,
sono nuovo del forum e inizio col chiedervi un consiglio.

Devo acquistare un firewall hardware per configurare (ovviamente) il firewall e una VPN per un piccolo ufficio con 10 postazioni; le connessioni VPN simultanee presumibilmente non saranno mai superiori a 2.
La mia esigenza nasce dal fatto che il semplice firewall attualmente integrato sul router non è sufficiente per rispondere ai requisiti di sicurezza che mi sono stati imposti; ad esempio non c'è modo di far funzionare l'FTP verso l'esterno, ad es. per l'aggiornamento dei software, senza essere costretti a sbloccare la porta 21 (fin qui nessun problema) e tutte le non privilegiate dalla 1024 alla 65535 (in quanto l'FTP apre porte random >1023; questo è un problema, praticamente dovrei lasciare tutto aperto!).

Che voi sappiate, l'ASA 5505 è abbastanza intelligente da riconoscere il traffico FTP e sbloccare le sole porte che tale protocollo apre per il trasferimento comandi/dati? Ovvero, gli si può dire di "trustare" il protocollo FTP e similari?
Inoltre, in ottica VPN (e qui sono molto ignorante), sarà possibile utilizzare il Cisco Client VPN? Se si, questo software ha dei costi di licenza? L'ho utilizzato una volta come client in un'altra società ed è estremamente intuitivo e di facile utilizzo...

Grazie mille in anticipo
Francesco

Inviato: dom 08 giu , 2008 9:40 pm
da atxkors
Scusate, non ho messo il modello preciso che intenderei acquistare per realizzare quanto sopra esposto:

ASA5505-BUN-K9

(ovvero il meno costoso)

Inviato: lun 09 giu , 2008 9:19 am
da Wizard
Ciao, x il vpn client non ha costi di licenza.
Per l'ftp non ho ben capito...
ASA ha una funziona di inspection sul ftp (vecchi fixup).
Tu non puoi abilitare n porte in uscita o in entrata?

Inviato: lun 09 giu , 2008 10:21 am
da atxkors
Wizard, grazie per la tua risposta.
Sicuramente posso abilitare n porte per l'FTP (è come ho fatto), purtroppo per avere la matematica certezza che il protocollo FTP trovi sempre aperte le porte necessarie alla connessione sono stato costretto ad aprire TUTTE le porte dalla 1024 alla 65535 (per approfondimenti sul protocollo FTP io mi sono basato su questo link: http://slacksite.com/other/ftp.html ), e ciò non penso sia una best practice in tema di sicurezza.

Come ho detto nel mio primo post, l'attuale firewall integrato nel router non è così intelligente da permettere l'apertura "temporanea" (o workaround simili) delle porte >1023 per il protocollo FTP a meno di non tenerle SEMPRE aperte indistintamente...

Che tu sappia l'ASA supporta un discorso del genere? o continuerò ad avere problemi con l'FTP?

Grazie mille,
Francesco

Inviato: lun 09 giu , 2008 10:30 am
da Wizard
Sinceramente non ho mai avuto di questi problemi anche perchè in uscita, anche se sono un "maniaco" della sicurezza non ci sono grossi problemi ad aprire delle porte sopratutto se nella acl gestisci gli ip destinazione (i server ftp a cui devi puntare)

Inviato: lun 09 giu , 2008 12:17 pm
da atxkors
Ok il fatto che tu non abbia avuto problemi con l'FTP mi rincuora, penso quindi che l'ASA 5505 vada bene per quel discorso;

sul fronte VPN invece, comprando la versione ASA5505-BUN-K9, mi puoi rassicurare anche che potrò configurare una VPN utilizzando il Cisco VPN Client con (max) 2 connessioni contemporanee? sul sito della Cisco c'è scritto appunto che sono supportate 2 sessioni SSL ma per scopi di evaluation e per gestione remota... sono comunque 2 sessioni ( = connessioni concorrenti ??) pienamente funzionanti?

Grazie mille per la pazienza
Ciao
Francesco

Inviato: lun 09 giu , 2008 1:37 pm
da Wizard
Le vpn ssl sono diverse dalle ipsec.
Con il Cisco VPN Client devi configurare una vpn ipsec quindi no problem x ke 2 sessioni parallele

Inviato: mar 10 giu , 2008 6:41 am
da RJ45
Che voi sappiate, l'ASA 5505 è abbastanza intelligente da riconoscere il traffico FTP e sbloccare le sole porte che tale protocollo apre per il trasferimento comandi/dati? Ovvero, gli si può dire di "trustare" il protocollo FTP e similari?
Ciao,
in merito a quanto hai chiesto ti confermo che la funzione di inspect che ti ha indicato Wizard assolve egregiamente allo scopo: sia in ftp attivo che passivo tiene conto delle porte aperte dinamicamente, perciò vai tranquillamente tranquillo col tranquillante! :D

Inviato: mar 10 giu , 2008 7:30 pm
da atxkors
Grazie mille a tutti per i consigli!
Aspettatevi altre mie domande da pivello in fase di configurazione VPN... :oops:

Acora grazie a tutti!