Best practice per PIX \ ASA IOS 7 - 8

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
egarim
Cisco fan
Messaggi: 67
Iscritto il: dom 12 apr , 2009 2:44 pm

Ciao,
ho scoperto che nell'ASA si può consentire il transito di icmp sia tramite acl applicandole poi con la access-group che con la direttiva icmp ( scoperta di recente :) ).
Quale secondo voi è la best practice ?
Non trovate sia un pò illogico fornire più strade per consentire la stessa cosa ?
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Sn 2 cose diverse!

Con il comando "icmp ..." dichiari quali type sono accettati verso l'ip della interfaccia in questione.

Con il comando "access-l xxx permit icmp ... " dichiari quali type icmp possono attraversare la interfaccia e quindi il traffico va e viene dai client \ server

Spero di essere stato chiaro

Chiaramente sono da inserire entrabe le configurazioni
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Volendo questo topic può essere rinominato in "Best practice per PIX \ ASA IOS 7 - 8"

Se vi interessa rinomino, metto come importante e inizio a scrivere qualche cosa
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
francesco_savona
Cisco enlightened user
Messaggi: 129
Iscritto il: mer 01 apr , 2009 9:58 am

E lo scrivi pure????
-------------------------------------------------------
SAVONA FRANCESCO
CCNA
-------------------------------------------------------
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Va bene dai, appena riesco inizio!

Pardon ma questo è un periodo in cui ho un po' poco tempo ahimè
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

1 - Abilitare nat-control e xlate-bypass

2 - Confg logging almeno nel buffer (livello warning)

3 - Accesso il ssh sia da reti interne che da internet

4 - Filtrare accesso alla console del fw con gli ip sorgente

5 - Avere 2 firewall per avere il failover

6 - Abbassare arp timeout a 120 secondi

7 - Aumentare il limite per le richieste dns a 1500 (inspection)

8 - Rimuovere inspections su smtp

9 - Abilitare threat-detection

10 - Per la comunicazione tra le varie interfaccie usare nat0 invece che la regola di nat statico (qua è oppinabile e magari approfondiremo meglio questo discorso)

11 - Configurare i type icmp permessi verso gli ip delle interfaccie

12 - Config acl su tutte le interfaccie

13 - Settare staticamente la velocità delle interfaccie
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
fransyk
n00b
Messaggi: 11
Iscritto il: mer 09 lug , 2008 3:42 pm

Wizard ha scritto:
10 - Per la comunicazione tra le varie interfaccie usare nat0 invece che la regola di nat statico (qua è oppinabile e magari approfondiremo meglio questo discorso)
Ciao,
leggendo questa Best Practice, secondo te è meglio usare NAT0 oppure mettere per ogni singolo server che deve essere visto da un interfaccia di livello inferiore (es Domain controller) fare solo NAT statico?

Grazie,
Francesco
Top
Rispondi

Torna a “Sicurezza”