Cisco ASA - Port 80 offen?

[firefighter 10]

Vielleicht ist es einfach nur spät........

 

Ich habe heute unsere ASA auf die neuste Version aktualisiert, von Standleitung auf SDSL umgestellt und IP's ändern müssen.....

 

... der Abschluss (dieses Testtages) bestand in einem Portscan. Was mir dabei auffiel war, dass Port 80 am OUTSIDE offen ist, obwohl es dafür keine Regeln gibt?

 

Die einzige Regel ist eine deny any any an OUTSIDE, daher die Frage: Wieso ist der Port offen? Ein Webservicer scheint sich zwar nicht zu melden, aber ich raf nicht was da genau passiert.

 

Ist das ein bekanntes Feature der V.7.2(2) oder vielleicht völlig normal?:suspect:

 

//EDIT: Ich glaube ich habs :-)

 

In einer alten Konfiguration gabs einen SSL-Zugang. Innerhalb der Konfiguration finde ich dann folgende Konfiguration:

 

http redirect OUTSIDE 80
http redirect INSIDE 80

 

Korrigiert mich, aber damit wird der Port doch gemappt ohne in den Sicherheitseinstellungen etc. was eingeben zu müssen - richtig?

[mturba 10]

Hi,

 

der Port dürfte trotzdem nicht offen sein. "http redirect" sorgt nur dafür, dass auf 80/tcp ankommende Requests auf HTTPS umgeleitet werden. Cisco sagt dazu aber explizit:

 

The interface requires an access list that permits HTTP. Otherwise the security appliance does not listen to port 80, or to any other port that you configure for HTTP.

Quelle: Cisco Security Appliance Command Reference, Version 7.2 - gateway through hw-module module shutdown Commands [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems

 

Ich werd das mal nächste Woche an ner ASA von uns ausprobieren, die auch mit 7.2(2) läuft...

[mturba 10]

Ich kann das auf unserer ASA hier nachvollziehen. Sobald ich ein

http redirect outside 80

eingebe, ist der Port 80 von außen offen, unabhängig von der Accessliste. Allerdings reagiert auf dem Port dann auch nichts...

 

Gruß,

Martin