Автор |
Сообщение |
Ignor
Зарегистрирован: 27 май 2009, 07:49 Сообщения: 133
|
Доброго всем время суток. Забрел на сайт совершенно случайно, увидев ссылку у Fedia в профиле. Хочу выразить благодарность ему за ведение тем на habrahabr.ру (ссылку изменил специально).
Теперь к интересующему вопросу.
Cisco Asa 5510 может работать в разных режимах. В режиме моста например. Есть ли статьи, которые подробно описывали бы работу этих режимов? Какие они дают плюсы, какие минусы? Например в режиме моста Циска не видна из интернета...
Спасибо за ответ или ссылку на соответствующий топик.
С уважением.
|
27 май 2009, 07:53 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Моё личное мнение: переводить АСУ в режим transparent очень расточительно, ибо в этом режиме она не умеет почти ничего. Вот чего она может: 1. Бриджевать трафик с фильтрацией парой интерфейсов 2. Отправлять трафик на анализ на модуль (AIP или CSC) 3. Защищать таблицу МАС-адресов 4. Защищать таблицу АРП от "отравления" 5. Не пускать снаружи ничего, кроме явно разрешенного 6. Не пускать различные протоколы канального уровня (анализируя заголовок Ethernet)
Т.е. ни тебе туннелей с шифрованием, ни маршрутизации, ни НАТа, ни посредничесвта в аутентификации, ни глубокого анализа трафика...
Полезен такой режим, кмк, на FWSMах, где можно создать много виртуальных фаерволов (context), перевести их в режим transparent и анализировать трафик, разделяя домены, не изменяя схемы маршрутизации. На FWSMах и так нет шифрования, поэтому потери практически нет.
|
27 май 2009, 11:04 |
|
|
Ignor
Зарегистрирован: 27 май 2009, 07:49 Сообщения: 133
|
А есть мануалы для более конкретного описания? Как переключать и так далее. Говоря проще: У меня на руках есть Asa 5510 и я могу ее вертеть, как хочу, но защита должна быть на максимум..
|
27 май 2009, 11:49 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
А какие задачи вы ей ставите? Просто отделить 2 зоны? ЧТобы никто об этом не узнал? Тогда да, transparent Переключение командой asa(config)# firewall transparent АСАшка сохранит старый конфиг, потребует ребутнуться и выа-ля - настраивайте бридж. пример: http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a008089f467.shtml
|
27 май 2009, 11:54 |
|
|
Ignor
Зарегистрирован: 27 май 2009, 07:49 Сообщения: 133
|
Цели просты. Сеть компьютеров должна быть в безопасной зоне. Защита от нападений серверов. Желательно чтобы ни кто из нутри не полез в сеть, куда не надо.
На данный момент она стоит в режиме моста. Настойки я сделал крайне простые. Просто прописал в фаерволе deny all кроме определенных правил (нужные порты серверов и полный доступ определенным людям). Не знаю на сколько хорошо оно прекрыто. Собираю информацию и соответственно учусь Цискам)
P.S.-за ссылку спасибо
|
27 май 2009, 12:06 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Типичные задачи для создания DMZ.
Создаём на АСЕ 3 интерфейса, в ДМЗ помещаем сервера. Гибко настраиваем правила доступа. ИМХО: так к АСЕ ещё много чего прикрутить потом можно и это - выгодно.
|
27 май 2009, 12:10 |
|
|
Ignor
Зарегистрирован: 27 май 2009, 07:49 Сообщения: 133
|
Я думал о ДМЗ, но начальство не очень хочет так делать. Сервера сейчас спрятаны еще за маленькими цисками, а АСА будет прятать еще сильнее..
Вообще задачи - максимально защитить, но не хотят: ДМЗ и хотят в прозрачном режиме дердать АСУ, чтобы соблазна залезть под нее не было...
|
27 май 2009, 12:14 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Под АСУ залезть можно только если явно разрешено. Что в случае routed, что в случае transparent mode Просто при помощи АСЫ можно, например, организовать защищённый удалённый доступ, что бывает крайне удобно в командировках, для начальства и т.д. А имея transparent режим мы всех пирожков лишаемся
|
27 май 2009, 12:39 |
|
|
Ignor
Зарегистрирован: 27 май 2009, 07:49 Сообщения: 133
|
Ясно. Попробуем настроить. А вы скоро зададите новую задачку?:)
|
27 май 2009, 12:54 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Да народ вообще как то не отреагировал на второе решение последней задачки. Я аж расстроился! Такой хинт - в пустоту... ЗЫ Придумаю - опубликую
|
27 май 2009, 13:32 |
|
|
Ignor
Зарегистрирован: 27 май 2009, 07:49 Сообщения: 133
|
Я отреагировал, но реги нет, чтобы поблагодарить) Осталось придумать, как закрыть тот способ, чтобы другие не смогли обходить эти правила
|
27 май 2009, 13:59 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Я здесь в "Задачках" тоже отписал. Но здесь тоже нет реакции
|
27 май 2009, 15:19 |
|
|