Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 17:17



Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней.  [ Сообщений: 22 ] 
Помогите начинающему с ASой.. 
Автор Сообщение

Зарегистрирован: 05 ноя 2009, 07:39
Сообщения: 32
Привет всем. Начал ставить 5520 и наткнулся на такую ситуацию.
Аса в роутинг моде.
Интерфейсы Inside 10.161.161.254 255.255.252.0 Seclevel 100, Dmz 10.161.31.5 255.255.255.0 SecLevel 50. Natа нет, no nat control. Все всем разрешено (ip, udp, tcp, icmp). Пингую из инсайда с 10.161.162.72 в дмз адрес 10.161.31.8, все ок.
Добавляю статический маршрут route Inside 10.161.31.8 255.255.255.255 10.161.161.69.
Пинг пропадает, а в сислоге появляеться такая запись
Deny inbound icmp src inside:10.161.162.72 dst inside:10.161.31.8 (type 8, code 0)
Маршрут удаляю - снова все в порядке.
Как с этим бороться и куда смотреть?


05 ноя 2009, 10:56
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
у вас с инасайд интерфейс на инсайд и уходит. Те аса по идеи должна слать редирект. По дефолту с одного и того же интерфейса принимать и отсылать аса не умеет. Начиная с 7.2
можно ей сказать same-security-traffic permit intra-interface что разрешить. Но я б переделал дейзайн - мне не нравится любой решение где задействован icmp redirect ( потенциально ).


05 ноя 2009, 12:24
Профиль WWW
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Опередил :)

Не понятно только, как раньше пинговалось :) Видимо, отрабатываем прокси-арп?


05 ноя 2009, 12:26
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
Не там адрес в ДМЗ должен быть тип с инсайда в дмз все норм, потом его статикой /32 через инсайд обратно пустили. Но говорю - дезайн странный какой то :)


05 ноя 2009, 12:29
Профиль WWW
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
А, да, туплю. Не понятно вообще, зачем такой редирект. Там прокся чтоли стоит?


05 ноя 2009, 12:30
Профиль

Зарегистрирован: 05 ноя 2009, 07:39
Сообщения: 32
Спасибо за участие.
То что уходит с инсайда на инсайд я вижу, но почему? Должна же в дмз отправлять. 10.161.31.8 подключен со стороны дмз?
same-security-traffic permit intra-interface и inter-interface выключено. arp-прокси отключен на всех интерфейсах.
"зачем такой редирект" это про что? Про статику?


05 ноя 2009, 13:12
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
ВОт эта строка
route Inside 10.161.31.8 255.255.255.255 10.161.161.69

явно отправляет искать хост .8 за интерфейс Inside и явно отправляет на поиски через хост 10.161.161.69

По умолчанию, пакеты пришедшие и уходящие одного интерфейса на АСА запрещены. Поэтому дроп.
Если разрешить (см. Hando), то пакет убежит обратно в Inside и потеряется навсегда.

Я так понимаю, что такой задачи нет, а есть некое недопонимание процесса маршрутизации?


05 ноя 2009, 13:45
Профиль

Зарегистрирован: 05 ноя 2009, 07:39
Сообщения: 32
Да, недопонимание :) есть. Я тоже уже додумал что иммено из-за этой строки все и происходит...
Получаеться, что аса любой пришедний на инсайд пакет, адресованый 31.8 отправит на маршрутизатор 161.69. А от нее требуется отправлять на 161.69 пакеты только ОТ адреса 31.8. А этого, как я понимаю, Аса не умеет ?


05 ноя 2009, 14:10
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Аз1:

Маршрутизация ВСЕГДА идёт по адресу назначения. На всех без исключения маршрутизаторах. Везде указывается адрес НАЗНАЧЕНИЯ.

Аз2:

Маршрутизаторы умею маршрутизировать, учитывая адрес источника. Называется это Policy Based Routing (PBR).

Аз3:

ASA не умеет PBR


05 ноя 2009, 14:13
Профиль

Зарегистрирован: 05 ноя 2009, 07:39
Сообщения: 32
Спасибо Сергей. Возможности АСы переоценили..


05 ноя 2009, 14:44
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Это, увы, типично. Не все циски одинаковы :) Многие привыкли думать про все устройства, как про маршрутизаторы, однако это часто приводит к разочарованию.

А в чём состоят задача? МОжет быть ещё не все потеряно и можно таки решить при помощи АСЫ?


05 ноя 2009, 16:28
Профиль

Зарегистрирован: 05 ноя 2009, 07:39
Сообщения: 32
Да, я думаю ничего тут не сделаешь... В обоих сегментах стоят балансировщики ALteon. И требовалось трафик от определенных адресов отправлять на другие маршрутизаторы... Переделаем схему, на Асу оставим только фаерволинг и ипээсинг..


06 ноя 2009, 11:12
Профиль

Зарегистрирован: 05 ноя 2009, 07:39
Сообщения: 32
Еще один вопрос возник... Как сделать время жизни tcp(или udp)-сесии больше...Искал искал, но пока не нашел...


09 ноя 2009, 10:40
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
http://www.cisco.com/en/US/docs/securit ... #wp1527234 ?


09 ноя 2009, 10:45
Профиль WWW
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Очень просто: командой timeout :)

наберите команду
timeout ?

она вам покажет кучу параметров.


09 ноя 2009, 12:09
Профиль

Зарегистрирован: 05 ноя 2009, 07:39
Сообщения: 32
Ага, спасбо...


09 ноя 2009, 14:00
Профиль

Зарегистрирован: 05 ноя 2009, 07:39
Сообщения: 32
Очередной вопрос..
В syslog е часто появляеться такое сообщение
"%ASA-4-733100: [ Scanning] drop rate-1 exceeded. Current burst rate is 13 per second, max configured rate is 10; Current average rate is 27 per second, max configured rate is 5; Cumulative total count is 16434"

Это, я так понимаю от basic threat detection. Адреса, с которого якобы идет сканирование нет... Как определить откуда сканирование? Threat-detection rate уменьшать не хочу, хочу понять причину...


12 ноя 2009, 12:54
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Да, это он, basic threat

ЧТобы меньше выскакивало, надо увеличить порог

Только тут не сканирование, по-моему, а просто отброшенные сессии: ACL не пропускает или сессии такой нет.
Сканирование - это продвинутый threat detection


12 ноя 2009, 13:01
Профиль

Зарегистрирован: 05 ноя 2009, 07:39
Сообщения: 32
ACL пропускают все всем, а вот сессий и правда иногда нет. Причем на любом интерфейсе, но чаще на инсайде. Дропов немного, пакетов 3-8 в секунду. Но это следующий вопрос, с кторым предстоит разобраться.
Т.е. по поводу [Scanning] drop rate-1 exceeded не париться? Искать причину дальше..


12 ноя 2009, 13:51
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Сессии могут дропаться и по дефолтному правилу (входящие сессии неявно запрещены)

Я похоже сбил с толку вас: у вас есть строчки threat detect в конфиге?

Похоже все таки это не basic, а как раз scanning.


13 ноя 2009, 02:44
Профиль

Зарегистрирован: 05 ноя 2009, 07:39
Сообщения: 32
no threat-detection basic-threat
no threat-detection statistic tcp-intercept
threat-detection statistics access-list
Сканиннг трит не включен. Как бейсик трит выключил - сообщения приходить перестали.
Сессии дропаються как No connection. Т.е. я так понимаю нет в таблице сессий такой..


13 ноя 2009, 11:37
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Да, подглядел в талмуде: 733100 - это basic threat, 733101 - scanning-threat
Меня смутило слово [scanning] в сообщении, хотя привык к [ACL Drop]
Но оказалось, что такое сообщение тоже бывает :)


13 ноя 2009, 16:56
Профиль
Показать сообщения за:  Поле сортировки  
Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней.   [ Сообщений: 22 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 9


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB