Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 13:46



Ответить на тему  [ Сообщений: 12 ] 
Режимы работы ASA 5510 
Автор Сообщение

Зарегистрирован: 27 май 2009, 07:49
Сообщения: 133
Доброго всем время суток. Забрел на сайт совершенно случайно, увидев ссылку у Fedia в профиле. Хочу выразить благодарность ему за ведение тем на habrahabr.ру (ссылку изменил специально).

Теперь к интересующему вопросу.

Cisco Asa 5510 может работать в разных режимах. В режиме моста например. Есть ли статьи, которые подробно описывали бы работу этих режимов? Какие они дают плюсы, какие минусы? Например в режиме моста Циска не видна из интернета...

Спасибо за ответ или ссылку на соответствующий топик.

С уважением.


27 май 2009, 07:53
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Моё личное мнение: переводить АСУ в режим transparent очень расточительно, ибо в этом режиме она не умеет почти ничего. Вот чего она может:
1. Бриджевать трафик с фильтрацией парой интерфейсов
2. Отправлять трафик на анализ на модуль (AIP или CSC)
3. Защищать таблицу МАС-адресов
4. Защищать таблицу АРП от "отравления"
5. Не пускать снаружи ничего, кроме явно разрешенного
6. Не пускать различные протоколы канального уровня (анализируя заголовок Ethernet)

Т.е. ни тебе туннелей с шифрованием, ни маршрутизации, ни НАТа, ни посредничесвта в аутентификации, ни глубокого анализа трафика...

Полезен такой режим, кмк, на FWSMах, где можно создать много виртуальных фаерволов (context), перевести их в режим transparent и анализировать трафик, разделяя домены, не изменяя схемы маршрутизации. На FWSMах и так нет шифрования, поэтому потери практически нет.


27 май 2009, 11:04
Профиль

Зарегистрирован: 27 май 2009, 07:49
Сообщения: 133
А есть мануалы для более конкретного описания? Как переключать и так далее. Говоря проще: У меня на руках есть Asa 5510 и я могу ее вертеть, как хочу, но защита должна быть на максимум..


27 май 2009, 11:49
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
А какие задачи вы ей ставите? Просто отделить 2 зоны? ЧТобы никто об этом не узнал? Тогда да, transparent

Переключение командой

asa(config)# firewall transparent

АСАшка сохранит старый конфиг, потребует ребутнуться и выа-ля - настраивайте бридж.

пример:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a008089f467.shtml


27 май 2009, 11:54
Профиль

Зарегистрирован: 27 май 2009, 07:49
Сообщения: 133
Цели просты. Сеть компьютеров должна быть в безопасной зоне. Защита от нападений серверов. Желательно чтобы ни кто из нутри не полез в сеть, куда не надо.

На данный момент она стоит в режиме моста. Настойки я сделал крайне простые. Просто прописал в фаерволе deny all кроме определенных правил (нужные порты серверов и полный доступ определенным людям). Не знаю на сколько хорошо оно прекрыто. Собираю информацию и соответственно учусь Цискам)

P.S.-за ссылку спасибо


27 май 2009, 12:06
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Типичные задачи для создания DMZ.

Создаём на АСЕ 3 интерфейса, в ДМЗ помещаем сервера. Гибко настраиваем правила доступа. ИМХО: так к АСЕ ещё много чего прикрутить потом можно и это - выгодно.


27 май 2009, 12:10
Профиль

Зарегистрирован: 27 май 2009, 07:49
Сообщения: 133
Я думал о ДМЗ, но начальство не очень хочет так делать. Сервера сейчас спрятаны еще за маленькими цисками, а АСА будет прятать еще сильнее..

Вообще задачи - максимально защитить, но не хотят: ДМЗ и хотят в прозрачном режиме дердать АСУ, чтобы соблазна залезть под нее не было...


27 май 2009, 12:14
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Под АСУ залезть можно только если явно разрешено. Что в случае routed, что в случае transparent mode

Просто при помощи АСЫ можно, например, организовать защищённый удалённый доступ, что бывает крайне удобно в командировках, для начальства и т.д.

А имея transparent режим мы всех пирожков лишаемся :)


27 май 2009, 12:39
Профиль

Зарегистрирован: 27 май 2009, 07:49
Сообщения: 133
Ясно. Попробуем настроить. А вы скоро зададите новую задачку?:)


27 май 2009, 12:54
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Да народ вообще как то не отреагировал на второе решение последней задачки. Я аж расстроился! Такой хинт - в пустоту...

ЗЫ Придумаю - опубликую :)


27 май 2009, 13:32
Профиль

Зарегистрирован: 27 май 2009, 07:49
Сообщения: 133
Я отреагировал, но реги нет, чтобы поблагодарить) Осталось придумать, как закрыть тот способ, чтобы другие не смогли обходить эти правила :twisted:


27 май 2009, 13:59
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Я здесь в "Задачках" тоже отписал. Но здесь тоже нет реакции :)


27 май 2009, 15:19
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 12 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 88


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB