fu123 10 Geschrieben 23. Mai 2006 Melden Teilen Geschrieben 23. Mai 2006 Hallo, ich versuche gerade auf einer pix 501 einen Netzwerkeintrag für "any" anzulegen. Aber ich verstehe das Prinzip nicht so ganz. Ich kenne Regeln der Art: deny von any -> outside Wobei outside für mich das outside interface ist. Aber ich finde keine Möglichkeit ein "any" anzulegen. Wenn ich ein Netzwerkanlegen möchte werde ich immer nach einer gültigen IP Adresse gefragt. Und mit 0.0.0.0 klappt das nicht. Wo ist da der Denkfehler und was mache ich falsch? Fu Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 23. Mai 2006 Autor Melden Teilen Geschrieben 23. Mai 2006 Hier noch mal zur Erklärung. Wenn ich versuche eine Regel einzurichten die den Zugriff auf "outside" beschränken soll, dann versuche ich als Source IP "any" anzugeben. Das geht auch noch mit Interface: outside IP Address 0.0.0.0 Mask: 0.0.0.0 Aber sobald ich dann als Destination "outside" eintrage, bekomme ich: "No Communication is allowed between two interfaces which have the same security level." Fu Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 23. Mai 2006 Melden Teilen Geschrieben 23. Mai 2006 Öhm. Verstehe ich nicht :) Willst Du verhindern dass bestimmte Syteme von Inside auf bestimmte oder alle Systeme Outside zugreifen können? Gruss Markus Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 23. Mai 2006 Autor Melden Teilen Geschrieben 23. Mai 2006 Öhm. Verstehe ich nicht :) Willst Du verhindern dass bestimmte Syteme von Inside auf bestimmte oder alle Systeme Outside zugreifen können? Gruss Markus Ich hatte vor, eine Regel zu errichten die es verbietet auf eine Schnittstelle zuzugreifen. Z.B. deny von any nach outside interface. Aber das scheint nicht zu gehen, oder? Als Source habe ich da kein any oder ich seh's einfach nur nicht. Kann es sein, das sich nur regeln mit unterschiedlichen Interfaces einrichten lassen? So in der Art von inside nach outside oder von outside nach inside? fu Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 23. Mai 2006 Melden Teilen Geschrieben 23. Mai 2006 Das kann durchaus sein :) Beim Konfigurieren der PIX musst Du Dir immer vorstellen dass Du mitten in der PIX sitzt. Abgesehen von speziellen Konfigs mit Split-ACLs muss der Traffic durch ein Interface rein und durch ein anderes Interface raus. Mit einer ACL mit dem Ziel OutsideIf könntest Du nur Traffic blocken der auf genau dieses If adressiert ist, nichts anderes. Du kannst das If auch nicht synonym für die grosse weite Welt dahinter nehmen. Wenn Du Clients nach draussen blocken willst ist es am einfachsten, für diese Clients kein "NAT (inside) 1 ..." eintragen. Wenn es über ACLs gehen soll kannst Du das natürlich in allen Varianten durchspielen access-list INSIDE-OUT deny ip 10.0.0.0 255.255.255.0 any Wenn Du mehrere interne Hosts blocken willst kannst Du die ACL mit einer entsprechenden object-group einigermassen übersichtlich halten: object-group network DENY-INSIDEOUT description Blafasel network-object 10.0.0.1 255.255.255.255 network-object 10.0.0.17 255.255.255.255 network-object 10.0.0.199 255.255.255.255 access-list INSIDE-OUT deny ip any object-group DENY-INSIDEOUT Gruss Markus Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 23. Mai 2006 Autor Melden Teilen Geschrieben 23. Mai 2006 Das kann durchaus sein :) Beim Konfigurieren der PIX musst Du Dir immer vorstellen dass Du mitten in der PIX sitzt. Abgesehen von speziellen Konfigs mit Split-ACLs muss der Traffic durch ein Interface rein und durch ein anderes Interface raus. Mit einer ACL mit dem Ziel OutsideIf könntest Du nur Traffic blocken der auf genau dieses If adressiert ist, nichts anderes. Du kannst das If auch nicht synonym für die grosse weite Welt dahinter nehmen. Wenn Du Clients nach draussen blocken willst ist es am einfachsten, für diese Clients kein "NAT (inside) 1 ..." eintragen. Wenn es über ACLs gehen soll kannst Du das natürlich in allen Varianten durchspielen access-list INSIDE-OUT deny ip 10.0.0.0 255.255.255.0 any Wenn Du mehrere interne Hosts blocken willst kannst Du die ACL mit einer entsprechenden object-group einigermassen übersichtlich halten: object-group network DENY-INSIDEOUT description Blafasel network-object 10.0.0.1 255.255.255.255 network-object 10.0.0.17 255.255.255.255 network-object 10.0.0.199 255.255.255.255 access-list INSIDE-OUT deny ip any object-group DENY-INSIDEOUT Gruss Markus Ah, danke. Das ist eine gute Info. Mitten drin sitzen ..., das ist vom Verständnis her anders, als alle anderen Firewalls die ich sonst kennengelernt habe. Ist das denn nur bei der PIX 501 so? Ist das bei der 506 oder anderen auch so? Ich denke nicht, oder? Die PIX 501 ist da das Einsteigermodel. Ich hatte nur mal versucht z.B. ICMP Traffic auf das Outside Interface zu blocken. Aber das geht wohl mit den normalen Regeln nicht. Ich habe Versucht eine Regel für "any -> outside Interface" anzulegen. Aber dafür gibt es eine extra Einstellmöglichkeit, die nicht zu den normalen Regeln gehört. Ich such eben die ganze Zeit verzweifelt nach "any -> outside Interface" finde es aber nicht. Darum muss ich dann tatsächlich erst mal die Logik verstehen die dahintersteckt. Die ist mir einfach sehr unvertraut. fu Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 23. Mai 2006 Melden Teilen Geschrieben 23. Mai 2006 Die 501er tickt nicht anders wie alle anderen PIXen auch - gleiche PIX-OS-Versionen vorausgesetzt (für 501/506 gibt es kein 7.x). Wenn Du ganz einfach verhindern willst dass die PIX auf einen Ping antwortet ist das ganz einfach, schau Dir mal die an: icmp permit any outside icmp permit any inside Die kann man negieren und dann wir die PIX selbst zum schwarzen Loch für ICMP. Abgesehen davon macht die PIX von sich aus garnix - man muss ihr alles sagen. Wenn Du von drinnen nach draussen pingen (und die Antworten von draussen empfangen) willst brauchst Du keine riesen Löcher in die PIX zu schiessen, da hilft eine saubere ACL - die den (meiner Meinung nach wünschenswerten ) Nebeneffekt hat dass nicht die ganze Welt auf Deiner PIX oder gar durch die PIX durch in Deinem Netz rumpingt: object-group icmp-type icmp-outbound description DEFINITION ICMP OUTBOUND (ALLOW REPLIES) icmp-object echo-reply icmp-object source-quench icmp-object unreachable icmp-object time-exceeded access-list OUTSIDE-IN permit icmp any any object-group ICMP-OUTBOUND Gruss Markus Zitieren Link zu diesem Kommentar
Blacky_24 10 Geschrieben 23. Mai 2006 Melden Teilen Geschrieben 23. Mai 2006 Ah, danke. Das ist eine gute Info. Mitten drin sitzen ..., das ist vom Verständnis her anders, als alle anderen Firewalls die ich sonst kennengelernt habe. Nachtrag: Bei der PIX muss man immer im Hinterkopf haben: - Eine PIX ist kein Router (auch wenn sie mit ein paar Routingprotokollen umgehen kann) - Traffic kann nicht durch das Interface raus durch das er reingekommen ist - "Traffic may not exit the PIX Firewall on the same network interface it entered." - Jedes Interface hat einen Security-Level (inside 100, outside 0), je höher der Level desto "vertrauenswürdiger" ist das Interface aus sicht der PIX - Traffic von einem If mit höherem Security-Level kann nur dann durch ein If mit niedrigerem Security-Level wenn es dafür ein NAT oder ein STATIC gibt - Du kannst das aber auch so hinbauen dass eine IP-Adresse auf sich selbst genattet wird (sollte man aber erst machen wenn man weiss was man tut) - Umgekehrt (niedriger Security-Level an höheren Secerity-Level) geht nur wenn Du mit einer ACL (ab PIX-OS 5.irgendwas) entsprechende Löcher in die PIX schiesst (es gibt historisch auch noch den Befehl "CONDUIT" i.V.m. "OUTBOUND" der im Prinzip ähnlich tickt wie ein ACL-Statement, CONDUIT/OUTBOUND sollte aber nicht mehr verwendet werden und eine bunte Mischung von CONDUIT und ACL ist ein abolutes Nono). - Wenn Du wissen willst was Deine ACLs tun - setz Dich in die Mitte von der PIX - VPNs werden in der Mitte von der PIX terminiert, deswegen kannst Du VPN-Traffic nicht mit ACLs auf dem Outside-If kontrollieren Auch wenn es verpönt ist - Handbuch lesen hilft :) - zumindest das zweite Kapitel sollte man gelesen und verstanden haben bevor man sich an die PIX ran macht, da stehen die ganzen wichtigen Prinzipien drin: http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_configuration_guide_book09186a0080172852.html Gruss Markus Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 14. November 2006 Melden Teilen Geschrieben 14. November 2006 Auch wenn dieser Thread schon älter ist, noch ein paar Anmerkungen, da sich gerade ein aktueller Thread hierauf bezogen hat und mir zwei Sachen aufgefallen sind, die so nicht vollständig richtig zu sein scheinen: Traffic kann nicht durch das Interface raus durch das er reingekommen ist - "Traffic may not exit the PIX Firewall on the same network interface it entered." Ab PIX Version 7.x ist es möglich, dies explizit zu erlauben mit "same-security-traffic permit inter-interface". VPNs werden in der Mitte von der PIX terminiert, deswegen kannst Du VPN-Traffic nicht mit ACLs auf dem Outside-If kontrollieren Nein, VPNs werden an dem Interface terminiert, an dem die Verbindung hereinkommt, in diesem Beispiel also am Outside-Interface. Es ist deswegen auch möglich, den VPN-Traffic in der Outside-ACL zu filtern, es sei denn, man hat "sysopt connection permit-ipsec" verwendet, da dann jeglichem IPSec-Traffic implizit vertraut wird. Gruß, Martin Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 15. November 2006 Melden Teilen Geschrieben 15. November 2006 Ab PIX Version 7.x ist es möglich, dies explizit zu erlauben mit "same-security-traffic permit inter-interface". Ääähm, ich meine natürlich "same-security-traffic permit intra-interface" - dies erlaubt das hairpinning, d.h. Verkehr sowohl ein- als auch ausgehend auf dem selben Interface. "same-security-traffic permit inter-interface" hingegen erlaubt die Kommunikation zwischen verschiedenen Interfaces mit gleichem Securitylevel. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.