Új hozzászólás Aktív témák

• #8829 crok Topikgazda zsolti.22 #8828

  Új Válasz 2015-06-26 00:55:28 #8829

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  crok

  Topikgazda

  válasz zsolti.22 #8828 üzenetére

  Na.

  A self zone nem rossz, csak jól át kell gondolni mit akarsz elérni a routeren, mihez kell a routernek kapcsolódnia és mi kapcsolódhat hozzá ( : De amúgy ennyi, a self zone a router saját védelmére van kitalálva security szempontból (túlterhelésre ott a CoPP). Meg lehetőleg legyen backdoor-od mielőtt a self-et piszkálod távolról, mondjuk egy input ACL-ben először explicit engedd be magadat SSH-n ( :

  INSIDE-to-OUTSIDE: egyértelmű, ahogy írtad.

  INSIDE-to-VOIP: Ha nem lesz SIP forgalom az INSIDE és a VOIP közt vagy eleve csak és kizárólag a WWW felületét akarod csak elérni a telefonnak az INSIDE-ból akkor INSIDE-to-VOIP inspect www-re vagy tcp-re - elég, de igazából minden a security policy-den múlik, hogy mennyire akarsz strict lenni és hogy mi a célod: működő de megfelelően strict elérést biztosítani vagy sz#p&tni magad ( :

  VOIP-to-OUTSIDE: Látom SIP-et használsz. Az 5060-as port csak a signaling (SIP), ugye nincs benne maga a voice stream (nyugi, nem para a sok packet, CEF-ből letolja a router, egyébként mondjuk G711-el egy hívás másodpercenként default értékekkel 50db 20ms-es voice stream-et generál ( : ). A STUN a NAT-olást magában megoldja, de ha a VOIP-to-OUTSIDE-ba csinálsz egy policy-t UDP inspectre (esetleg szűkítheted a 16384 - 32767 port-range-re) akkor megoldja azt is - de kell az inspect vagy az oda-vissza pass a OUTSIDE-to-VOIP irányban is, mert téged is hívhatnak és te is akarsz hívni. A SIP-nek kellhet a TCP és/vagy UDP 5060 és/vagy az 5061 port (nem tudom mit használsz pontosan.. így ez lehet TCP és/vagy UDP, az 5060 cleartext, az 5061 crypted SIP). Ezt én csak azért tenném be pass-ra (vagy oda-vissza inspect-be) a VOIP-to-OUTSIDE és az OUTSIDE-to-VOIP zónákba mert tudom, hogy a SIP inspection ritka szarul működik ZBF-ben (klasszikus CBAC inspect-ben is.. ASA-ban is.. PIX-ben is.. FWSM-ben is..). Ha jól működne a SIP inspection akkor csinálhatnál olyat, hogy a VOIP-to-OUTSIDE és az OUTSIDE-to-VOIP zónákba is felveszed inspect-el a SIP-et és az RTP-t is (UDP 16384 - 32767) - így akár kintről hívnak téged, akár bentről hívsz valakit a ZBF mindig megnézné a session-öket és ha nem lenne baj a csomagokkal akkor menne minden.

  OUTSIDE-to-SELF: "Vannak olyan forgalmak, ami egy az egyben csak a routernek szól és nem mögöttes eszköznek, ilyen forgalom: az SSH, router órájának szinkonizációja, DDNS, uplink DHCP egyeztetés, DNS lekérdezés (konfigurációban meglévő domain-név feloldása) - ez mind igaz a self zónára, de nem feltétlen az OUTSIDE-to-SELF irányra. A routerre SSH-ni szeretnél - ez OUTSIDE-to-SELF. Óraszinkron, DDNS, DNS: biztos hogy ez OUTSIDE-to-SELF -el a legegyszerűbb? Mi lenne, ha SELF-to-OUTSIDE-ra csinálnád inspect-el? Akkor nem kell szívni a visszaengedéssel és a session-t még ellenőrzi is a router. Az SSH-t meg a DHCP-t a WAN-on egy in és egy out ACL-el eleve engedném (SSH-t kintről a megbízható source-ból, bentről mindenhova, DHCP az IP szerzés és def.route miatt kell kifelé/befelé). Persze megcsinálhatod úgy is hogy amit tutira engednél azt a SELF-to-OUTSIDE és OUTSIDE-to-SELF irányban is pass-ra teszed. Minden más meg vagy drop, vagy drop log, vagy amit szeretnél, akár oda-vissza inspect-elheted, akkor kifelé/befelé is mehet mindenféle forgalom ( :

  "És akkor a fentiek tudatában szeretne az ember VPN-t konfigurálni": igen, így kell, ahogy leírod.. de miért érintené az OUTSIDE-to-VOIP zónát? Hiszen le is írod, hogy OUTSIDE-ból jön a public IP-s IPSec forgalmad és a router terminálja az IPSec-et - tehát OUTSIDE-to-SELF-et érinti valamint a SELF-to-OUTSIDE-ot. Azért mindkettőt, mert az IPSec itt most UDP és ESP, amit nem fog tudni inspect-elni a router, pass kell, oda-vissza. Ez az IPSec műkédésére kell - vagy ugye order-of-operation alapján engedheted ACL-el is az IPSec végponti forgalmat kifele/befele.. Aztán meglesz a NAT ha kell.. Aztán a VOIP-to-OUTSIDE és az OUTSIDE-to-VOIP-ban leírsz mindent, ami a telefonok közt meg a SIP szolgáltatóhoz kell, oda/vissza, pass-al vagy inspect-el, ahogy jónak látod.

  Ha valami nem tiszta írj, tisztázzuk ( : Csak már én is fáradt vagyok..

  Ja igen: IOS függő, de ~15.1 alatt intra-zone interface-ek közti forgalom implicit engedélyezve van (same security level principle..) ám felette explicit módon csinálni kell intra-zone policy-t, ami egyébként ugyan elsőre hülyeség, de ha belegondolsz ez egy plusz védelmi szint is lehet ha kihasználod: mondhatod, hogy INSIDE-to-INSIDE és match+pass mindenre, mint eddig.. de ha mondjuk azt mondod, hogy INSIDE-to-INSIDE match mindenre és inspect.. akkor az azonos zónákban levő interface-ek közti session-öket a router ellenőrzheti is! Vagy csinálhatsz policy-ket, class-okat és ACL-eket, hogy ugyan ZBF szempontból egy zónába eső hálózatok közt is meg tudj valósítani szűrést a routeren keresztül - ami viszont tök jó kis komplex megoldásokat eredményezhet ha okosan használod.

  (B#&zkidehusszúlett'..)

Új hozzászólás Aktív témák