CiscoForums.it

Ciao a tutti, ho un piccolo problemino... sul mio server ho negato l'accesso all'esterno (in realtà è di default con la regola global-deny) ma vorrei che potesse accedere al solo servizio SMTP per poter inviare e-mail all'amministratore nel caso in cui determinati eventi di alcuni programmi richiedano un avviso importante, però allo stesso tempo non voglio che sia consentito l'accesso a internet per sicurezza. E' possibile creare questa possibilità ?

Al momento per abilitare internet ho una Access Rule che abilita il servizio IP all'host del mio server, ma in questo modo abilita tutto il traffico IP, dovrei forse aggiungere una access rule dove nego il servizio TCP ?

Basta semplicemente che tu dica tolga dall'asa la regola che abilita il protocollo IP e la sostituisca con questa acl (ovviamente da modificare secondo i tuoi parametri):

Hummm... va bene lavorare con gli object ma imho tu ti sei lasciato un pò prendere la mano ehhh
BTW, per la regola per la navigazione dovrebbe essere così: Per la mail altrettanto però così abiliti chiunque all'interno della tua rete a spedire mail verso l'esterno (perciò anche eventuali bot o spyware).
Nella conf che hai girato non c'è l'associazione tra access-list e interfacce, l'hai ommessa tu vero? Perchè se la conf è tutta lì c'è qualcosa che non va.

Così dovrebbe andare tutto, se non và riportami quello che hai scritto e gli eventuali messaggi di errore. In ogni caso dando il comando ti viene anche mostrato l'hit count (in fondo all'acl, tra parentesi) che incrementa quando un'acl "matcha" con uno stream di dati (perciò quando viene "attraversata" dai pacchetti) e quello significa che è giusta, o quanto meno coerente con quello che puoi aver pensato di scrivere.
In caso non funzioni potresti provare a mettere in coda alle tue acl un bel (in un momento di traffico minimo perchè rischi di sdraiare il processore dell'asa e di perderlo con conseguente riavvio necessario perciò fai un write della conf prima di mettere quest'ultima acl e tienti pronto ad andare a staccargli la corrente perchè può impallarsi).

Altro non sò cosa dirti, prova e sappimi dire.
Rizio

Rizio ha scritto:Hummm... va bene lavorare con gli object ma imho tu ti sei lasciato un pò prendere la mano ehhh
BTW, per la regola per la navigazione dovrebbe essere così:

Codice: Seleziona tutto

access-list inside_access_in permit tcp any any eq 80
access-list inside_access_in permit tcp any any eq 443

Per la mail altrettanto

Codice: Seleziona tutto

access-list inside_access_in permit tcp any any eq 25

però così abiliti chiunque all'interno della tua rete a spedire mail verso l'esterno (perciò anche eventuali bot o spyware).
Nella conf che hai girato non c'è l'associazione tra access-list e interfacce, l'hai ommessa tu vero? Perchè se la conf è tutta lì c'è qualcosa che non va.

Così dovrebbe andare tutto, se non và riportami quello che hai scritto e gli eventuali messaggi di errore. In ogni caso dando il comando

Codice: Seleziona tutto

sh access-l inside_access_in

ti viene anche mostrato l'hit count (in fondo all'acl, tra parentesi) che incrementa quando un'acl "matcha" con uno stream di dati (perciò quando viene "attraversata" dai pacchetti) e quello significa che è giusta, o quanto meno coerente con quello che puoi aver pensato di scrivere.
In caso non funzioni potresti provare a mettere in coda alle tue acl un bel

Codice: Seleziona tutto

permit any any log

(in un momento di traffico minimo perchè rischi di sdraiare il processore dell'asa e di perderlo con conseguente riavvio necessario perciò fai un write della conf prima di mettere quest'ultima acl e tienti pronto ad andare a staccargli la corrente perchè può impallarsi).

Altro non sò cosa dirti, prova e sappimi dire.
Rizio

No scusa mi sono accorto che mi ha troncato il copia/incolla... ecco la config completa:

: Saved
:
ASA Version 8.4(4)1
!
hostname ciscoasa
domain-name net.alfatex
enable password l0/TAuaNNdp1qUs. encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
ftp mode passive
dns server-group DefaultDNS
domain-name net.alfatex
same-security-traffic permit intra-interface
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network Pc_uffici
range 10.10.10.10 10.10.10.12
description PC abilitati a internet
object network SonyTv
host 10.10.10.13
description TV internet abilitato
object network Stampante
host 10.10.10.20
object service tcp8080
service tcp source eq 8080 destination eq 8080
object network TelecamereGuardian
host 10.10.10.21
object network Server
range 10.10.10.5 10.10.10.6
object network NETWORK_OBJ_10.10.10.0_24
subnet 10.10.10.0 255.255.255.0
object network NETWORK_OBJ_10.10.10.16_28
subnet 10.10.10.16 255.255.255.240
object network Pc_reparto
range 10.10.10.23 10.10.10.24
description PC produzione + bilancia
object network qNap_NAS
host 10.10.10.22
description qNap NAS
object network Iomega_NAS
host 10.10.10.14
description Iomega NAS
object network NAS_qNap_CLOUD
host 10.10.10.22
description Abilita Cloud
object-group service ricezioneFAX tcp
description Ricezione Fax PDF su server
port-object eq 445
object-group service TCP_Cloud_NAS tcp
port-object eq 50500
access-list inside_access_in remark Abilita il Server a INTERNET
access-list inside_access_in extended permit ip object Server any inactive
access-list inside_access_in extended permit tcp object Server any eq smtp
access-list inside_access_in remark Abilita il NAS a INTERNET
access-list inside_access_in extended permit ip object qNap_NAS any inactive
access-list inside_access_in remark Abilita determinati PC a INTERNET
access-list inside_access_in extended permit ip object Pc_uffici any
access-list inside_access_in remark Abilita INTERNET in reparto momentaneamente
access-list inside_access_in extended permit ip object Pc_reparto any
access-list inside_access_in remark Abilita INTERNET su TV
access-list inside_access_in extended permit ip object SonyTv any
access-list inside_access_in remark Abilita creazione PDF FAX su server
access-list inside_access_in extended permit tcp object Stampante object Server eq 445
access-list inside_access_in remark Abilita invio email da stampante
access-list inside_access_in extended permit ip object Stampante any
access-list outside_access_in remark Abilita connessione da esterno per telecamere
access-list outside_access_in extended permit tcp any object TelecamereGuardian
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat (inside,outside) source static NETWORK_OBJ_10.10.10.0_24 NETWORK_OBJ_10.10.10.0_24 destination static NETWORK_OBJ_10.10.10.16_28 NETWORK_OBJ_10.10.10.16_28 no-proxy-arp route-lookup
!
object network obj_any
nat (inside,outside) dynamic interface
object network TelecamereGuardian
nat (inside,outside) static interface service tcp 8080 8080
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa local authentication attempts max-fail 5
http server enable
http 10.10.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev2 ipsec-proposal DES
protocol esp encryption des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal 3DES
protocol esp encryption 3des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES
protocol esp encryption aes
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES192
protocol esp encryption aes-192
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES256
protocol esp encryption aes-256
protocol esp integrity sha-1 md5
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map inside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map inside_map interface inside
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto ca trustpoint ASDM_TrustPoint0
enrollment self
subject-name CN=ciscoasa
proxy-ldc-issuer
crl configure
crypto ca trustpoint ASDM_TrustPoint1
enrollment self
subject-name CN=ciscoasa
proxy-ldc-issuer
crl configure
crypto ca certificate chain ASDM_TrustPoint0
certificate 42e2b450
30820262 308201cb a0030201 02020442 e2b45030 0d06092a 864886f7 0d010105
05003043 3111300f 06035504 03130863 6973636f 61736131 2e302c06 092a8648
86f70d01 0902161f 63697363 6f617361 2e646566 61756c74 2e646f6d 61696e2e
696e7661 6c696430 1e170d31 32313132 37313731 3130365a 170d3232 31313235
31373131 30365a30 43311130 0f060355 04031308 63697363 6f617361 312e302c
06092a86 4886f70d 01090216 1f636973 636f6173 612e6465 6661756c 742e646f
6d61696e 2e696e76 616c6964 30819f30 0d06092a 864886f7 0d010101 05000381
8d003081 89028181 00c326ad e4d8ff61 bb987775 f2236c51 de1448c2 81b0ff6a
239230c4 83b4d255 4ca28d64 3236da26 4d7739e7 8f6fc6b2 fc46a4ff d32eaa63
f83745a4 501dd211 01cb3d57 ad5f3566 427a6574 68238206 01793f96 42340660
f3dbfc66 fcd6f9ff 6fa78e43 714e5fc1 9b334e36 b091ad99 1b343cb7 8f1438f1
ebd82bd6 43e8bce9 eb020301 0001a363 3061300f 0603551d 130101ff 04053003
0101ff30 0e060355 1d0f0101 ff040403 02018630 1f060355 1d230418 30168014
7638df39 097c5143 bfa3e1c6 98e46769 89495109 301d0603 551d0e04 16041476
38df3909 7c5143bf a3e1c698 e4676989 49510930 0d06092a 864886f7 0d010105
05000381 8100402d 10e3a414 fb0ccfee 14b4cff8 fbcb4cbd 6b6b4770 54723503
39c33045 eb841c07 0161a886 aaf40a7c 58f8853a b202e1b7 d97e0bc7 7cb79617
548a1f06 19579d2e cfe28fbf 361b353b 681aa8cc 3c5e7429 b3780d5f 758ae244
de7b82db 23b1095c e06f81c7 23e53b3c 7992239a 1494dc10 94e401e4 538a8884
7e505cd2 229c
quit
crypto ca certificate chain ASDM_TrustPoint1
certificate 33b750
3082024b 308201b4 a0030201 02020333 b750300d 06092a86 4886f70d 01010505
00303831 11300f06 03550403 13086369 73636f61 73613123 30210609 2a864886
f70d0109 02161463 6973636f 6173612e 6e65742e 616c6661 74657830 1e170d31
32313132 39313735 3934355a 170d3232 31313237 31373539 34355a30 38311130
0f060355 04031308 63697363 6f617361 31233021 06092a86 4886f70d 01090216
14636973 636f6173 612e6e65 742e616c 66617465 7830819f 300d0609 2a864886
f70d0101 01050003 818d0030 81890281 8100c326 ade4d8ff 61bb9877 75f2236c
51de1448 c281b0ff 6a239230 c483b4d2 554ca28d 643236da 264d7739 e78f6fc6
b2fc46a4 ffd32eaa 63f83745 a4501dd2 1101cb3d 57ad5f35 66427a65 74682382
0601793f 96423406 60f3dbfc 66fcd6f9 ff6fa78e 43714e5f c19b334e 36b091ad
991b343c b78f1438 f1ebd82b d643e8bc e9eb0203 010001a3 63306130 0f060355
1d130101 ff040530 030101ff 300e0603 551d0f01 01ff0404 03020186 301f0603
551d2304 18301680 147638df 39097c51 43bfa3e1 c698e467 69894951 09301d06
03551d0e 04160414 7638df39 097c5143 bfa3e1c6 98e46769 89495109 300d0609
2a864886 f70d0101 05050003 8181000c d2f6bb60 6048e0e0 60e8dac5 6bed1f0f
467c0152 da0504bd dcee9dcb 5f19f541 887ce973 d24b2fdb e1ba7caf 1f6c0a55
fd7c340c 6c48f7a5 c4743f03 3796b959 c33620bf 677941e9 16b2866d 5ab920a7
44984c24 151c731a 68d5bed7 2f47338b 85a345b4 2bea419f ca2ee389 8c1ac6d5
9ca77add dd0c9526 67564d4b 1434d5
quit
crypto ikev2 policy 1
encryption aes-256
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 10
encryption aes-192
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 20
encryption aes
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 30
encryption 3des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 40
encryption des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 enable inside client-services port 443
crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint ASDM_TrustPoint0
telnet timeout 5
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
vpnclient server 10.10.10.5
vpnclient mode client-mode
vpnclient vpngroup vpn password *****
vpnclient username admin password *****
dhcpd auto_config outside
!
dhcpd address 10.10.10.5-10.10.10.36 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection scanning-threat shun duration 3600
threat-detection statistics
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
ssl trust-point ASDM_TrustPoint1 outside
ssl trust-point ASDM_TrustPoint0 inside
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-2.5.2014-k9.pkg 1
anyconnect enable
tunnel-group-list enable
group-policy AnyConnect internal
group-policy AnyConnect attributes
vpn-tunnel-protocol ssl-clientless
webvpn
url-list value AnyLinks
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
hpm topN enable
Cryptochecksum:88c37e77f48f95d9e49eeb0309cb760b
: end
no asdm history enable

up

Si, non mi hai detto se hanno funzionato le acl che ti ho detto e, visto che probabilmente non ha funzionato cosa ti dice l'asa.


Rizio

Ciao! scusa la mia ignoranza ma vorrei capire una cosa, ho trovato il problema.
Nelle regole Global (quella che non si può eliminare) c'è di default il deny ip any any. Ora io pensavo che introducendo una regola nella inside dove davo accesso ai servizi Tcp/http ad un determinato host la regola global veniva (per quel determinato host) saltata, invece vedo che non è così. Infatti provando ad inserire nella global una regola inversa permit ip any any funziona la navigazione su tutti i dispositivi. Il problema è forse che inibendo tutti i servizi IP nessuna regola TCP viene poi accettata ? Perdonami ma questa è la prima volta che ho a che fare con un firewall, e non sono nemmeno esperto di reti

Ricapitolando in questo momento ho una rule global con deny ip any any, mentre nella inside ho inserito una regola permit tcp/http host any... e non funziona. Se invece di tcp/http metto ip allora funziona Dove sbaglio ? (questo è il motivo per cui non funziona nemmeno la regola SMTP, funziona solo con IP)

Guarda sinceramente non capisco. Per quanto ne posso capire io, dalla configurazione che hai spedito le regole che ti ho dato dovrebbero andare.
La regola che dici tu "deny ip any any" è implicita al termine delle altre regole e se parli di questa quando dici che hai trovato il problema purtroppo non è così. Probabilmente tu usi l'SDM (o chi per lui) per inserire le regole e questo te la mostra ma in realtà è implicita al termine della catena.
Il tuo ragionamento a proposito è corretto: se inserisci una regola precedente e questa "matcha" (nel senso che combacia con un determinato host e/o una determinata porta) allora i pacchetti in arrivo vengono considerati traffico corretto e vengono fatto passare altrimenti vengono bloccati da quest'ultima regola implicita.

Detto questo la tua conf è davvero incasinata da 2000 object-group inutili ma a prescindere da questo non capisco dove possa essere il problema perchè teoricamente se tu inserisci le regole che ti ho scritto dovrebbero andare.
Ma tu le hai inserite in che modo? Confermami che interfaccia usi per accedere.

Rizio

Rizio ha scritto:Guarda sinceramente non capisco. Per quanto ne posso capire io, dalla configurazione che hai spedito le regole che ti ho dato dovrebbero andare.
La regola che dici tu "deny ip any any" è implicita al termine delle altre regole e se parli di questa quando dici che hai trovato il problema purtroppo non è così. Probabilmente tu usi l'SDM (o chi per lui) per inserire le regole e questo te la mostra ma in realtà è implicita al termine della catena.
Il tuo ragionamento a proposito è corretto: se inserisci una regola precedente e questa "matcha" (nel senso che combacia con un determinato host e/o una determinata porta) allora i pacchetti in arrivo vengono considerati traffico corretto e vengono fatto passare altrimenti vengono bloccati da quest'ultima regola implicita.

Detto questo la tua conf è davvero incasinata da 2000 object-group inutili ma a prescindere da questo non capisco dove possa essere il problema perchè teoricamente se tu inserisci le regole che ti ho scritto dovrebbero andare.
Ma tu le hai inserite in che modo? Confermami che interfaccia usi per accedere.

Rizio

Esattamente uso l'ASDM... ecco i dati:
ASA version 8.4.1
ASDM 6.4.9

Ti allego uno screen capture della configurazione attuale sulle access rules...

Per quanto riguarda gli object devo dare una bella ripulita, all'inizio ne ho creati un casino ma solo adesso ho capito bene o male come si usano quindi ne andrò a creare 2/3 al massimo quando avrò sistemato il tutto...

Non conosco bene sdm però se crei semplicmente una regola nuova nella tabella inside che riporta come protocollo il tcp e come porta 80 permettendo il traffico any any deve andare.

Nella voce SERVICE non mettere solo tcp ma cerca proprio (mi sembra all'inizio della tabella) la voce tpc/http

Rizio

p.s. ovviamente DEVE essere spuntata la regola

Rizio ha scritto:Non conosco bene sdm però se crei semplicmente una regola nuova nella tabella inside che riporta come protocollo il tcp e come porta 80 permettendo il traffico any any deve andare.

Nella voce SERVICE non mettere solo tcp ma cerca proprio (mi sembra all'inizio della tabella) la voce tpc/http

Rizio

p.s. ovviamente DEVE essere spuntata la regola

E' esattamente quello che provo a fare io da giorni, ma invece che mettere any any metto host any... adesso ho provato anche come dici tu any any con servizio tcp/http (selezionato dalla ricerca) ma nulla da fare non vuole andare. L'unico modo per farlo andare in internet è selezionare il servizio IP, è questo che non capisco

Ho provato ad utilizzare invece che TCP/HTTP il protocollo TCP/UDP e così funziona, potrebbe essere una soluzione accettabile ?

Dipende cosa scrive poi nella conf. Dovrebbe dirti quando applichi che riga scrive, prova a postarla.

Mi spiace ma io non uso praticamente mai l'sdm perciò non ti sò rispondere su come procedere. Dovresti provare ad accedere via cli e vedere se ti dà il problema lo stesso.

Domanda: hai provato a riavviare l'ASA che non si sia imputtanato qualcosa?

Rizio