Salve a tutti,
sono nuovo del forum e inizio col chiedervi un consiglio.
Devo acquistare un firewall hardware per configurare (ovviamente) il firewall e una VPN per un piccolo ufficio con 10 postazioni; le connessioni VPN simultanee presumibilmente non saranno mai superiori a 2.
La mia esigenza nasce dal fatto che il semplice firewall attualmente integrato sul router non è sufficiente per rispondere ai requisiti di sicurezza che mi sono stati imposti; ad esempio non c'è modo di far funzionare l'FTP verso l'esterno, ad es. per l'aggiornamento dei software, senza essere costretti a sbloccare la porta 21 (fin qui nessun problema) e tutte le non privilegiate dalla 1024 alla 65535 (in quanto l'FTP apre porte random >1023; questo è un problema, praticamente dovrei lasciare tutto aperto!).
Che voi sappiate, l'ASA 5505 è abbastanza intelligente da riconoscere il traffico FTP e sbloccare le sole porte che tale protocollo apre per il trasferimento comandi/dati? Ovvero, gli si può dire di "trustare" il protocollo FTP e similari?
Inoltre, in ottica VPN (e qui sono molto ignorante), sarà possibile utilizzare il Cisco Client VPN? Se si, questo software ha dei costi di licenza? L'ho utilizzato una volta come client in un'altra società ed è estremamente intuitivo e di facile utilizzo...
Grazie mille in anticipo
Francesco
Consiglio per acquisto ASA 5505
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Ciao, x il vpn client non ha costi di licenza.
Per l'ftp non ho ben capito...
ASA ha una funziona di inspection sul ftp (vecchi fixup).
Tu non puoi abilitare n porte in uscita o in entrata?
Per l'ftp non ho ben capito...
ASA ha una funziona di inspection sul ftp (vecchi fixup).
Tu non puoi abilitare n porte in uscita o in entrata?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
atxkors
- n00b
- Messaggi: 16
- Iscritto il: dom 08 giu , 2008 9:17 pm
Wizard, grazie per la tua risposta.
Sicuramente posso abilitare n porte per l'FTP (è come ho fatto), purtroppo per avere la matematica certezza che il protocollo FTP trovi sempre aperte le porte necessarie alla connessione sono stato costretto ad aprire TUTTE le porte dalla 1024 alla 65535 (per approfondimenti sul protocollo FTP io mi sono basato su questo link: http://slacksite.com/other/ftp.html ), e ciò non penso sia una best practice in tema di sicurezza.
Come ho detto nel mio primo post, l'attuale firewall integrato nel router non è così intelligente da permettere l'apertura "temporanea" (o workaround simili) delle porte >1023 per il protocollo FTP a meno di non tenerle SEMPRE aperte indistintamente...
Che tu sappia l'ASA supporta un discorso del genere? o continuerò ad avere problemi con l'FTP?
Grazie mille,
Francesco
Sicuramente posso abilitare n porte per l'FTP (è come ho fatto), purtroppo per avere la matematica certezza che il protocollo FTP trovi sempre aperte le porte necessarie alla connessione sono stato costretto ad aprire TUTTE le porte dalla 1024 alla 65535 (per approfondimenti sul protocollo FTP io mi sono basato su questo link: http://slacksite.com/other/ftp.html ), e ciò non penso sia una best practice in tema di sicurezza.
Come ho detto nel mio primo post, l'attuale firewall integrato nel router non è così intelligente da permettere l'apertura "temporanea" (o workaround simili) delle porte >1023 per il protocollo FTP a meno di non tenerle SEMPRE aperte indistintamente...
Che tu sappia l'ASA supporta un discorso del genere? o continuerò ad avere problemi con l'FTP?
Grazie mille,
Francesco
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Sinceramente non ho mai avuto di questi problemi anche perchè in uscita, anche se sono un "maniaco" della sicurezza non ci sono grossi problemi ad aprire delle porte sopratutto se nella acl gestisci gli ip destinazione (i server ftp a cui devi puntare)
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
atxkors
- n00b
- Messaggi: 16
- Iscritto il: dom 08 giu , 2008 9:17 pm
Ok il fatto che tu non abbia avuto problemi con l'FTP mi rincuora, penso quindi che l'ASA 5505 vada bene per quel discorso;
sul fronte VPN invece, comprando la versione ASA5505-BUN-K9, mi puoi rassicurare anche che potrò configurare una VPN utilizzando il Cisco VPN Client con (max) 2 connessioni contemporanee? sul sito della Cisco c'è scritto appunto che sono supportate 2 sessioni SSL ma per scopi di evaluation e per gestione remota... sono comunque 2 sessioni ( = connessioni concorrenti ??) pienamente funzionanti?
Grazie mille per la pazienza
Ciao
Francesco
sul fronte VPN invece, comprando la versione ASA5505-BUN-K9, mi puoi rassicurare anche che potrò configurare una VPN utilizzando il Cisco VPN Client con (max) 2 connessioni contemporanee? sul sito della Cisco c'è scritto appunto che sono supportate 2 sessioni SSL ma per scopi di evaluation e per gestione remota... sono comunque 2 sessioni ( = connessioni concorrenti ??) pienamente funzionanti?
Grazie mille per la pazienza
Ciao
Francesco
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Le vpn ssl sono diverse dalle ipsec.
Con il Cisco VPN Client devi configurare una vpn ipsec quindi no problem x ke 2 sessioni parallele
Con il Cisco VPN Client devi configurare una vpn ipsec quindi no problem x ke 2 sessioni parallele
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
RJ45
- Network Emperor
- Messaggi: 456
- Iscritto il: mer 07 giu , 2006 6:40 am
- Località: Udine (UD)
Ciao,Che voi sappiate, l'ASA 5505 è abbastanza intelligente da riconoscere il traffico FTP e sbloccare le sole porte che tale protocollo apre per il trasferimento comandi/dati? Ovvero, gli si può dire di "trustare" il protocollo FTP e similari?
in merito a quanto hai chiesto ti confermo che la funzione di inspect che ti ha indicato Wizard assolve egregiamente allo scopo: sia in ftp attivo che passivo tiene conto delle porte aperte dinamicamente, perciò vai tranquillamente tranquillo col tranquillante!
