Best practice per PIX \ ASA IOS 7 - 8

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
egarim
Cisco fan
Messaggi: 67
Iscritto il: dom 12 apr , 2009 2:44 pm

Ciao,
ho scoperto che nell'ASA si può consentire il transito di icmp sia tramite acl applicandole poi con la access-group che con la direttiva icmp ( scoperta di recente :) ).
Quale secondo voi è la best practice ?
Non trovate sia un pò illogico fornire più strade per consentire la stessa cosa ?
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Sn 2 cose diverse!

Con il comando "icmp ..." dichiari quali type sono accettati verso l'ip della interfaccia in questione.

Con il comando "access-l xxx permit icmp ... " dichiari quali type icmp possono attraversare la interfaccia e quindi il traffico va e viene dai client \ server

Spero di essere stato chiaro

Chiaramente sono da inserire entrabe le configurazioni
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Volendo questo topic può essere rinominato in "Best practice per PIX \ ASA IOS 7 - 8"

Se vi interessa rinomino, metto come importante e inizio a scrivere qualche cosa
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
francesco_savona
Cisco enlightened user
Messaggi: 129
Iscritto il: mer 01 apr , 2009 9:58 am

E lo scrivi pure????
-------------------------------------------------------
SAVONA FRANCESCO
CCNA
-------------------------------------------------------
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Va bene dai, appena riesco inizio!

Pardon ma questo è un periodo in cui ho un po' poco tempo ahimè
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

1 - Abilitare nat-control e xlate-bypass

2 - Confg logging almeno nel buffer (livello warning)

3 - Accesso il ssh sia da reti interne che da internet

4 - Filtrare accesso alla console del fw con gli ip sorgente

5 - Avere 2 firewall per avere il failover

6 - Abbassare arp timeout a 120 secondi

7 - Aumentare il limite per le richieste dns a 1500 (inspection)

8 - Rimuovere inspections su smtp

9 - Abilitare threat-detection

10 - Per la comunicazione tra le varie interfaccie usare nat0 invece che la regola di nat statico (qua è oppinabile e magari approfondiremo meglio questo discorso)

11 - Configurare i type icmp permessi verso gli ip delle interfaccie

12 - Config acl su tutte le interfaccie

13 - Settare staticamente la velocità delle interfaccie
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
fransyk
n00b
Messaggi: 11
Iscritto il: mer 09 lug , 2008 3:42 pm

Wizard ha scritto:
10 - Per la comunicazione tra le varie interfaccie usare nat0 invece che la regola di nat statico (qua è oppinabile e magari approfondiremo meglio questo discorso)
Ciao,
leggendo questa Best Practice, secondo te è meglio usare NAT0 oppure mettere per ogni singolo server che deve essere visto da un interfaccia di livello inferiore (es Domain controller) fare solo NAT statico?

Grazie,
Francesco
Rispondi