access-list sulle interfacce

[dimi82]

Ciao raga,

ho una domanda... ho un cisco soho 77 e stavo appunto impostando delle ACL, nello specifico contro attacchi esterni.
il mio router configurato dispone di queste interfacce:

- ATM0
- ATM 0.1 POINT-TO-POINT
- DIALER 1
- VIRTUAL ACCESS 1

dovendo impostare una ACL dall'esterno all'interno, dove mi conviene posizionarla? cioè l'interfaccia più esposta qual è? E' forse ATM0 cioè dove attacco la linea ADSL?

Poi, se volessi limitare le connessioni TELNET, ho impostato ACL sulle linee VTY 0-4, sono quelle specifiche x connessioni telnet oppure l'ACL dovrei impostarla sull'interfaccia più esposta per maggiore sicurezza?

Premetto, uso libero infostrada, ind ip dinamico.

Se qualcuno di voi ha qualche suggerimento...ben accetto!

Grazie a tutti!

[Renato.Efrati]

allora x il telnet va bene l'access-class sotto la line vty 0 4

per gli attacchi ma che cosa vuoi bloccare xke devi considerare che se metti un acl sotto un interfaccia magari pacchetti escono ma nn rientrano piu' , e cosi' SI ti proteggi pero' nn navighi piu' neanke te..... quindi ti converrebbe un ios firewall e ci configuri su una bella CBAC pero' nn penso ci sia x il soho 77

[MrCisco]

per gli attacchi ma che cosa vuoi bloccare xke devi considerare che se metti un acl sotto un interfaccia magari pacchetti escono ma nn rientrano piu' , e cosi' SI ti proteggi pero' nn navighi piu' neanke te

eh? cosa vuoi dire? E la Stateful inspection che fine ha fatto??

dovendo impostare una ACL dall'esterno all'interno, dove mi conviene posizionarla? cioè l'interfaccia più esposta qual è? E' forse ATM0 cioè dove attacco la linea ADSL?

dipendetemente dalla tipologia di servizio. Se devi discriminare in base agli indirizzi interni alla rete, beh, devi metterlo dietro al nat, altrimenti davanti (in altre partole, nel primo caso ethernet0, nel secondo, l'interfaccia virtuale che si occupa di alzare il tunnel, nel caso specifico il dialer).

[Renato.Efrati]

stateful packet filtering??? O_O mica e' un firewall.....

[MrCisco]

La stateful inspection c'è IN TUTTI gli IOS... penso a partire dalla 12.0

[TheIrish]

La stateful inspection c'è IN TUTTI gli IOS... penso a partire dalla 12.0

ah, forse anche prima

[IlConte]

Cisco Certified Security Professional CCSP

La stateful inspection è uno strumento BASILARE. Qui qualcosa non mi torna... senza offesa, Devo credere che sia una certificazione inutile?

[TheIrish]

Conte, non cominciamo che sono ancora incazzato dall'altro giorno...

[Renato.Efrati]

Cisco Certified Security Professional CCSP

La stateful inspection è uno strumento BASILARE. Qui qualcosa non mi torna... senza offesa, Devo credere che sia una certificazione inutile?

ma sei fuori???

we we qui c'e' qulkosa ke nn va rega' se io faccio un access list fa quello che dico e nn fa eccezioni senno' le CBAC dell'IOS FIREWALL A che serve???

cmq conte de sto cacio sta zitto e fai piu' bella figura

[TheIrish]

ok ok, buoni. comunque le ACL estese contemplano la stateful inspection, PUNTO. Mai sentito parlare di established?

[Renato.Efrati]

ex.... se io faccio un acl ke blocca il ping in ingresso su un interfaccia se io da dentro ping un host fuori il router il ping esce ma la reply nn rientra.......
metnre con le CBAC(per farla breve delle dynamic acl che fanno stafeull packet filtering)il router capisce ke e' una risposta e fa entrare .

cmq se avete dubbi consultate il sito cisco

[TheIrish]

Grazie della preziosa info! gli ICMP sono stateless!!!
La stateful inspection funziona OVVIAMENTE sui protocolli che hanno stato. Altrimenti, come dici tu, la cosa si fa solo tramite CBAC.
Ma per i protocolli che hanno stato, la steteful inspection è implementata nei layer OSI 3 e 4, quindi pienamente accessibili alle ACL.

[Renato.Efrati]

lol vabbe' ero ignaro d questa cosa buono a sapersi... io x fare questo lavoro ho sempre usato le ios firewall o i pix

[dimi82]

Ragazzi....

certo che siete fuori tutti!!!

Ho fatto una domanda ed ho scatenato una specie di putiferio!
Siete mitici, è un buon spirito questo per la crescita di un forum, credo!

Comunque grazie, avete un pò sviato con le ACL ma più o meno ho capito!

Grazie ancora!