Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 19:33



Ответить на тему  [ Сообщений: 17 ] 
Перенос ACL с роутера на Cisco ASA 
Автор Сообщение

Зарегистрирован: 29 май 2013, 12:50
Сообщения: 4
Есть ядровой роутер на котором жили ACL, сейчас нужно их мигрировать на новенькую Cisco ASA.
Вопрос, строку данного вида можно пропустить? если нет, то какой вид она примет на АСе
    permit tcp host 192.168.123.1 host 192.168.0.123 established


29 май 2013, 13:13
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4519
О_О читаем CCNP Secure & CCNP Firewall & CCNP IPS.....

Имхо просто непонимание, что есть что.


29 май 2013, 13:27
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Напрямую мигрировать нельзя.

Надо понять, что должно ходить. Установленные соединения (обратные пакеты по ним) АСА пропустит сама.

В любом случае не рекомендую вот так сломя голову конфиги переливать


29 май 2013, 14:10
Профиль

Зарегистрирован: 29 май 2013, 12:50
Сообщения: 4
Fedia писал(а):
Напрямую мигрировать нельзя.

Надо понять, что должно ходить. Установленные соединения (обратные пакеты по ним) АСА пропустит сама.

В любом случае не рекомендую вот так сломя голову конфиги переливать


Перенос делаю не прямым копированием
это
    ip access-list extended ACL_NAME
    permit tcp host 192.168.123.1 host 192.168.0.123
превращается в
    access-list ACL_NAME extended permit tcp host 192.168.123.1 host 192.168.0.123

В свою очередь строка в ACL
    permit tcp host 192.168.123.1 host 192.168.0.123 established
нужна для разрешения обратной сесси, а АСА вроде как делает это по-умолчанию


29 май 2013, 14:18
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4519
established - флаг ACK, никакой речи о сессии быть не может.
Не обратной, сессия одна. ASA это брандмауэр.
Для того, чтобы понять как работает, я привел выше литературу.


29 май 2013, 14:23
Профиль

Зарегистрирован: 10 июл 2012, 15:37
Сообщения: 200
Цитата:
превращается в
access-list ACL_NAME extended permit tcp host 192.168.123.1 host 192.168.0.123

Превращается в дыру, которую можно использовать ;)
Fedia уже все написал ;)

imperorr
Зачем IPS и Secure? Imho, достаточно CCNA Sec + Firewall :roll:


29 май 2013, 22:58
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4519
Человек работал с маршрутизаторами, вдруг ASA, он ведь не знает, что она умеет :)


30 май 2013, 08:32
Профиль

Зарегистрирован: 29 май 2013, 12:50
Сообщения: 4
imperorr писал(а):
Человек работал с маршрутизаторами, вдруг ASA, он ведь не знает, что она умеет :)

Тут вы правы, к сожалению времени нет прочитать указанную литературу, сейчас стоит задача мигрировать ACL с минимальными изменениями, ACL очень объемные и нужно их перенести пока роутер еще жив, что бы не остаться совсем без фильтров.


30 май 2013, 09:28
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4519
На ASA по дефолту запрещено все, для добавления используй ASDM, добавь критичное, остальное добавишь потом.
Добавлять только на in и стой стороны, с которой инициируется сессия.

Для UDP подобных протоколов включаются инспекции.

В ASA можно смотреть почему, что-то не работает с помощью реал-тайм логирования (через ASDM).

Начни с меньшего, остальное потом :)


30 май 2013, 10:17
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1874
kosten_kz писал(а):
Тут вы правы, к сожалению времени нет прочитать указанную литературу, сейчас стоит задача мигрировать ACL с минимальными изменениями, ACL очень объемные и нужно их перенести пока роутер еще жив, что бы не остаться совсем без фильтров.
Если Вы раньше не имели дела с ASA, и нет времени читать, то, возможно, лучше Вам найти компетентного человека. который поможет Вам максимально безболезненно перенести конфигурацию. Иначе с большой вероятностью закончится остановкой работы сети.
Тут люди с PIX на ASA переходят - и то есть проблемы.
Я, скажем так, не всегда согласен с imperorr :) , но в данном случае не могу не согласиться.
CCNP Firewall обязательно стоило бы прочитать хотя бы основы сначала...


30 май 2013, 11:24
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4519
Nikolay_ ты всегда со мной согласен, просто не всегда это понимаешь))


30 май 2013, 11:51
Профиль

Зарегистрирован: 10 июл 2012, 15:37
Сообщения: 200
Цитата:
На ASA по дефолту запрещено все

Не соглашусь, но понимаю :D


30 май 2013, 14:38
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4519
А чего не соглашаться) добавь любое правило и увидишь ;)
Зачем грузить человека про поведение ASA без ACL?)

Кстати какая версия ASA? Будет ли на ней NAP/IPSec?

NAT на ASA не такой как на маршрутизаторе, для того чтобы с включеным NAT не натить определенный трафик, нужно написать правило (конструкция зависит от версии [8.0/8.1/8.3]).


30 май 2013, 16:01
Профиль

Зарегистрирован: 29 май 2013, 12:50
Сообщения: 4
imperorr писал(а):
А чего не соглашаться) добавь любое правило и увидишь ;)
Зачем грузить человека про поведение ASA без ACL?)

Кстати какая версия ASA? Будет ли на ней NAP/IPSec?

NAT на ASA не такой как на маршрутизаторе, для того чтобы с включеным NAT не натить определенный трафик, нужно написать правило (конструкция зависит от версии [8.0/8.1/8.3]).


NAT не предвидится, все туннели через ФПСУ, две ASA 5520 в failover режиме, софт 8.4
ASA будет фильтровать весь трафик который будет уходить в VPN тунели


30 май 2013, 17:44
Профиль

Зарегистрирован: 10 июл 2012, 15:37
Сообщения: 200
Цитата:
А чего не соглашаться) добавь любое правило и увидишь
Зачем грузить человека про поведение ASA без ACL?)

По-дефолту, на асе уже есть правила)
Imho, если это понять, то это здорово упростить в дальнейшем жизнь ;)

Цитата:
ASA будет фильтровать весь трафик который будет уходить в VPN тунел

В этом случае на outside вообще не нужны листы, только на inside (и то, только для того, чтобы в туннелях не было ничего лишнего).
По-умолчанию, трафик в туннелях не проверяется на ACL, но это можно исправить.


30 май 2013, 18:15
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4519
По дефолту правила есть но поведение зависит от security-level.

Добавляя ACL мы отменяем действие относительно security-level.


31 май 2013, 08:32
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Ох, запутали вы человека...

Чтобы не читать все подряд про CCNP Firewall, рекомендую прочитать несколько первых статей в блоге про ASA (я писал). Там про security-level и про ACL есть.

Вкратце: по умолчанию "наружу" (т.е. с интерфейса с бОльшим security level в сторону меньшего) весь трафик по умолчанию разрешен. В обратную сторону разрешены лишь ответы по установленным сессиям. АСАшка при помощи ACL проверят только ПЕРВЫЙ пакет в сессии (в отличие от рутера). Если он разрешен - создается запись сессии (поглядеть можно в sh conn). Если сессия установлена, то более ACLне проверяется.

Таким образом, то что мы вешаем на "выход" (т.е. с большего на меньший sec level) играет ЗАПРЕТИТЕЛЬНУЮ роль, а в обратном направлении - РАЗРЕШИТЕЛЬНУЮ (было нельзя ничего, а теперь можно что-то инициировать снаружи внутрь).


31 май 2013, 09:58
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 17 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 34


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB