ansolut 10 Geschrieben 1. April 2008 Melden Teilen Geschrieben 1. April 2008 Hallo, Habe eine ASA mit der ich nicht ganz warm werde will. Ich verfüge über 2 Zonen: Zone A (incoming) mit SecurityLevel von 100% Zone B (incoming) mit SecurityLevel von 50% Wenn ich nun eine Verbindung von ZoneA nach ZoneB aufbauen möchte, müsste laut Aussage von Cisco diese Kommukation nicht dem Regelwerk unterliegen da ich von einer 100% Zone nach 50% Zone kommuniziere. Ist das Richtig? Weiterhin stellt sich für mich die Frage ob ich dann überhaubt einen Rückweg (Regelwerk) von ZoneB in die ZoneA definieren müsste (da Session von A bereits initiiert wurde). Hierbei geht es um eine Voice UDP Verbindung. Wird auch bei UDP eine Session in der ASA für eine gewissen Zeit offengehalten? Besten Dank im vorraus, Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 1. April 2008 Melden Teilen Geschrieben 1. April 2008 Hast Du es mal in der Praxis versucht? Wenn nicht, mache es mal: - vielleicht wirst Du dann mit der ASA schneller warm und - Deine Fragen beantworten sich von selbst Und wenn die ASA schon mit ´ner Grundkonfiguration läuft, ist das ´ne Sache von 5 Minuten. Zitieren Link zu diesem Kommentar
ansolut 10 Geschrieben 1. April 2008 Autor Melden Teilen Geschrieben 1. April 2008 Hast Du es mal in der Praxis versucht? Wenn nicht, mache es mal: - vielleicht wirst Du dann mit der ASA schneller warm und - Deine Fragen beantworten sich von selbst Und wenn die ASA schon mit ´ner Grundkonfiguration läuft, ist das ´ne Sache von 5 Minuten. Das beantwortet keines Wegs meine Anfrage. :confused: Ich habe ein Lifesystem wo testen sone Sache ist deshlab meine Frage fürs Verständis. Wenn ich mir das alleine Beantworten könnte würde ich keinen Beitrag schreiben. Zitieren Link zu diesem Kommentar
frzso 10 Geschrieben 2. April 2008 Melden Teilen Geschrieben 2. April 2008 kenn die asa zwar nicht, sollte aber nach dem gleichen prinzip wie eine pix arbeiten.... d.h. von ein interface mit höherem security-level zu einem interface mit niedrigerem security-level wird alles durchgelassen. auch die antwortpakete zu einer solchen session werden wieder zugelassen, ohne dass es einer expliziten freischaltung bedarf. wenn du dir das regelwerk mit dem asdm ansiehst, solltest du bei allen interfaces am schluss ein "permit ip any any" sehen, ausgenommen bei jenem, welches den niedrigsten security-level aufweist (meist das "outside-interface") hoffe dir damit ein wenig helfen zu können! mfg Schurli Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 2. April 2008 Melden Teilen Geschrieben 2. April 2008 Das beantwortet keines Wegs meine Anfrage. :confused:Ich habe ein Lifesystem wo testen sone Sache ist deshlab meine Frage fürs Verständis. Wenn ich mir das alleine Beantworten könnte würde ich keinen Beitrag schreiben. Da hast Du Recht! Zur Erklärung, warum ich so reagiert habe: Ich habe den Eindruck, dass Du nicht wirklich weisst, wie eine PIX/ASA arbeitet. Dieses Forum sollte m.E. dazu dienen Tipps und Tricks zu geben, oder auch bei Problemen zu helfen. Keinesfalls sollte hier ein Crashkurs stattfinden. Jetzt zu Deinen Fragen: Wenn ich nun eine Verbindung von ZoneA nach ZoneB aufbauen möchte, müsste laut Aussage von Cisco diese Kommukation nicht dem Regelwerk unterliegen da ich von einer 100% Zone nach 50% Zone kommuniziere. Ist das Richtig? Ich kenne diese Aussage zwar nicht, aber ich denke zu wissen, was CISCO damit ausdrücken möchte. Wenn Du von einer vertrauenswürdigen Zone zu einer weniger vertrauenswürdigen Zone eine Verbindung aufbaust, reicht dazu nat/global und Du brauchst, sofern Du keine access-group an das interface bindest, keine Regel zu erstellen. Weiterhin stellt sich für mich die Frage ob ich dann überhaubt einen Rückweg (Regelwerk) von ZoneB in die ZoneA definieren müsste (da Session von A bereits initiiert wurde). Hierbei geht es um eine Voice UDP Verbindung. Wird auch bei UDP eine Session in der ASA für eine gewissen Zeit offengehalten? Hier möchte ich Dich auf Stateful Packet Inspection – Wikipedia verweisen. Dass die Verbindung auch für udp eine gewisse Zeit offen gehalten wird, erkennt man doch auch schon an der config timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 Ich hoffe, damit Deine Fragen genügend beantwortet zu haben. ;) Zitieren Link zu diesem Kommentar
ansolut 10 Geschrieben 2. April 2008 Autor Melden Teilen Geschrieben 2. April 2008 @ frzso Vielen Dank für die Information. @ hegl Leider hast du recht. Ich hab fast keine Ahnung wie eine ASA incl. Zonendesign etc arbeitet. Leider ist das heute in der IT alltag und für alle die das auch nicht anders kennen purer Stress. Man wächst mit seinen Aufgaben und ist somit immer wieder ins klate Wasser geworfen worden wie jetzt auch. Verstehe meinen vorherigen Beitrag bitte nicht falsch, dies sollte keine Beileidigung sein. Ich habe das vorhandene ASA System weder aufgebaut noch eigene Gedanken zum design gemacht. (Systemübernahme). Dennoch thx für deine Hilfe. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.