[OT]: Hilfe bei Access-Liste

30/08/2009 - 16:16 von Sven Schulz | Report spam
Hallo,

ich habe mir hier eine Access-Liste (für PIX von Cisco) ausgegrübelt,
die für das
folgende Netz nur HTTP, HTTPS, DNS-Auflösung aus Clientsicht zulassen
sollte.

Bitte mit der Kritik am grundsàtzlichen Netzaufbau zurückhalten, das
das Murks ist weiss ich leider selber. Ich soll das Schlimmste mit der
Firewall verhindern. Typisches Frikelnetzwerk was nichts kosten darf.

Netz:1--192.168.22.0-PIX-Firewall-Netz:2--192.168.1.0-Router-WWW-vom-ISP

Netz:2 ist ein klassiches DSL-Heimnetzwerk, DNS kommt vom ISP. Dort
stehen Windowskisten, mit nicht unbedingt sicheren Passwörtern. Das
HTTP-Interface vom Router ist dort ebenfalls zu erreichen. Der Router
liefert dort per DHCP alles nötige aus.

Netz1: Hier tummeln sich mehrere Hundert Anwender auf 8
Windows98-Rechner(kein Witz). Dort sollen sich die Anwender mit
Websurfen die Zeit totschlagen können. Es ist anzunehmen das dort auch
einige "Spezialisten" versuchen werden ihre Neugier zu befriedigen und
zumindest die Netzstruktur zu entdecken. In Netz1 herrscht praktisch
Vollzugriff auf die dort stehenden Computer.

Hier die Access-Liste:

access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 256)
alert-interval 300
access-list inside_access_in; 7 elements
access-list inside_access_in line 1 permit udp any any eq domain
(hitcnt’2)
access-list inside_access_in line 2 deny tcp any 192.0.0.0 255.0.0.0
(hitcnt)
access-list inside_access_in line 3 permit tcp any any eq www
(hitcntR12)
access-list inside_access_in line 4 permit tcp any any eq https
(hitcnt'80)
access-list inside_access_in line 5 deny udp any any (hitcnt0)
access-list inside_access_in line 6 deny icmp any any (hitcnt=0)
access-list inside_access_in line 7 deny ip any any (hitcnt=0)
access-list outside_access_in; 3 elements
access-list outside_access_in line 1 deny udp any any (hitcnt=0)
access-list outside_access_in line 2 permit icmp any any source-quench
(hitcnt=0)
access-list outside_access_in line 3 deny ip any any (hitcnt=0)

Mit konstruktiver Kritik und Fragen bitte nicht zurückhalten.

Sven
 

Lesen sie die antworten

#1 Juergen Ilse
31/08/2009 - 00:22 | Warnen spam
Hallo,

Sven Schulz wrote:
ich habe mir hier eine Access-Liste (für PIX von Cisco) ausgegrübelt,
die für das
folgende Netz nur HTTP, HTTPS, DNS-Auflösung aus Clientsicht zulassen
sollte.
Bitte mit der Kritik am grundsàtzlichen Netzaufbau zurückhalten, das
das Murks ist weiss ich leider selber. Ich soll das Schlimmste mit der
Firewall verhindern. Typisches Frikelnetzwerk was nichts kosten darf.

Netz:1--192.168.22.0-PIX-Firewall-Netz:2--192.168.1.0-Router-WWW-vom-ISP



Was fuer eine PIX ist es denn? Wenn es eine kleine 501 ist (und die Lizenz
die Nutzung von 3 Interfaces zulassen wuerde), koenntest du schlicht die Pix
an den Router und die beiden NEtze Netz1 und Netz2 an unterschiedliche Inter-
faces der PIX haengen. Gibst du dann Netz1 und Netz2 den selben Security-
Level, werden sich die beiden Netze dann (unabhaengig von den ACLs) unter-
einander nicht sehen koennen, jedes Netz wird nur (ueber die PIX) in Richtung
Internet zugreifen koennen. Wenn du dann nicht noch den Traffic Richtung
Internet einschranken wolltest, wuerdest du in dem Setup ueberhaupt keine
ACLs benoetigen ...

Netz:2 ist ein klassiches DSL-Heimnetzwerk, DNS kommt vom ISP. Dort
stehen Windowskisten, mit nicht unbedingt sicheren Passwörtern. Das
HTTP-Interface vom Router ist dort ebenfalls zu erreichen. Der Router
liefert dort per DHCP alles nötige aus.



Das muesstst du im von mir skizzierten Szenario dann dahingehend aendern,
dass die PIX fuer das Netz DHCP macht ...

Netz1: Hier tummeln sich mehrere Hundert Anwender auf 8
Windows98-Rechner(kein Witz). Dort sollen sich die Anwender mit
Websurfen die Zeit totschlagen können. Es ist anzunehmen das dort auch
einige "Spezialisten" versuchen werden ihre Neugier zu befriedigen und
zumindest die Netzstruktur zu entdecken. In Netz1 herrscht praktisch
Vollzugriff auf die dort stehenden Computer.



Was soll denn ueberhaupt gehen und was nicht? Was fuer eine PIX ist das?
Welche Firmware-Version? Wieviele (logische) Interfaces hast du auf der
PIX zur Verfuegung (das sollte bei einem "show version" mit ausgegeben
werden)? Wenn du auf der PIX mindestens 3 Interfaces hast, wuerde ich
Netz1, Netz2 und den Router jeweils an unterschiedliche Interfaces der
PIX haengen und (wenn man NEtz1 und Netz2 moeglichst gegeneinander ab-
schotten will) die Interfaces fuer Netz1 und Netz2 auf den selben
Security-Level setzen. Solange du dann nicht explizit "same-security-
traffic" zulast, werden die Netze si<ch nicht gegenseitig erreichen und
daher auch nicht gegensitig stoeren koennen ...

Hier die Access-Liste:

access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 256)
alert-interval 300
access-list inside_access_in; 7 elements
access-list inside_access_in line 1 permit udp any any eq domain
(hitcnt’2)
access-list inside_access_in line 2 deny tcp any 192.0.0.0 255.0.0.0
(hitcnt)
access-list inside_access_in line 3 permit tcp any any eq www
(hitcntR12)
access-list inside_access_in line 4 permit tcp any any eq https
(hitcnt'80)
access-list inside_access_in line 5 deny udp any any (hitcnt0)
access-list inside_access_in line 6 deny icmp any any (hitcnt=0)



Lass das sein. Wer ICMP filtern will, sollte sehr genau wissen was er tut
und sich ueber die Konsequenzen genau im klaren sein. Das ist bei dir mit
an Sicherheit grenzender Wahrscheinlichkeit nicht der Fall, also lass das
mit dem ICMP filtern sein.

access-list inside_access_in line 7 deny ip any any (hitcnt=0)



Ausserdem waere das in dieser Regel auch schon enthalten.

access-list outside_access_in; 3 elements
access-list outside_access_in line 1 deny udp any any (hitcnt=0)
access-list outside_access_in line 2 permit icmp any any source-quench
(hitcnt=0)
access-list outside_access_in line 3 deny ip any any (hitcnt=0)

Mit konstruktiver Kritik und Fragen bitte nicht zurückhalten.



Warum setzt du ueberhaupt eine in-ACL auf dem outside-Interface?
Wenn du den Security-Level auf dem inside-Interface hoeher setzt
als auf dem outside-Interface, werden keine von outside initiierten
Verbindungen durchgelassen, auch voellig ohne ACL auf dem outside-
Interface.

Mach dir zuerst einmal einen Plan, was denn ueberhaupt gehen soll und
was nicht gehen soll. Mach dir einen Plan, ob (und wenn ja, wo) NAT zum
Einsatz kommen soll. Ueberleg dir dann, auf welche Security-Level du die
Interfaces der PIX setzen moechtest. Und *erst* *dann* fang an, eine
Konfiguration fuer die PIX zu erstellen, keinesfalls vorher.

Tschuess,
Juergen Ilse ()
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Ähnliche fragen