5
Pix Firewall ist offen (any -any) welche Ports im Netz brauche ich, für sichere Konfig d. FW?
Newbie mit Firewalls
Hallo an alle,
habe eine Firewall die ich auf die schnell, bis ein Fachmann verfügbar ist, möglichst gut absichern muss.
Es ist eine Pix und ich hab mich auch schon dran gemacht.
Mit kleinen Teilerfolgen.
Erforderlich ist :
VPN das ist aber eingerichtet und funktioniert.
Mail ist auch eingerichtet und funtkioniert
Es soll aber so sein, dass die User intern nur die nötigen Ports bekommen.
Gruppe1: Zum "nur" im Internetsurfen
Gruppe2: Für Internet und 2-3 zusätliche Programme die Internetzugriff brauchen.
Wie ist das dann mit der Reihenfolge der Regeln?
Hab eine Gruppe angelegt der ich die Ports hinzugefügt habe.
7,25,53,80,8080,443http + https dienst, ssh,
Mittlerweile bekomm ich dann einen Teil einer Website angezeigt,
in manchen Teilen der Website kommt aber die Meldung " kann den Namen nicht auflösen".
Welche Ports brauche ich noch, damit die Pix nicht mehr auf "Any -> Any" stehen muss,
und die User trotzedem arbeiten können.
Hoffe hier kann mich jemand unterstützen.
Danke schon mal,
newbie
PS: ich weiß, wenn ich keine Ahnung hab soll ich das lassen,
aber erstens will ich Ahnung bekommen, Literatur ist unterwegs.
und zweitens bekomme ich auf die SCHNELLE niemanden her der sich damit auskennt.
habe eine Firewall die ich auf die schnell, bis ein Fachmann verfügbar ist, möglichst gut absichern muss.
Es ist eine Pix und ich hab mich auch schon dran gemacht.
Mit kleinen Teilerfolgen.
Erforderlich ist :
VPN das ist aber eingerichtet und funktioniert.
Mail ist auch eingerichtet und funtkioniert
Es soll aber so sein, dass die User intern nur die nötigen Ports bekommen.
Gruppe1: Zum "nur" im Internetsurfen
Gruppe2: Für Internet und 2-3 zusätliche Programme die Internetzugriff brauchen.
Wie ist das dann mit der Reihenfolge der Regeln?
Hab eine Gruppe angelegt der ich die Ports hinzugefügt habe.
7,25,53,80,8080,443http + https dienst, ssh,
Mittlerweile bekomm ich dann einen Teil einer Website angezeigt,
in manchen Teilen der Website kommt aber die Meldung " kann den Namen nicht auflösen".
Welche Ports brauche ich noch, damit die Pix nicht mehr auf "Any -> Any" stehen muss,
und die User trotzedem arbeiten können.
Hoffe hier kann mich jemand unterstützen.
Danke schon mal,
newbie
PS: ich weiß, wenn ich keine Ahnung hab soll ich das lassen,
aber erstens will ich Ahnung bekommen, Literatur ist unterwegs.
und zweitens bekomme ich auf die SCHNELLE niemanden her der sich damit auskennt.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 127183
Url: https://administrator.de/contentid/127183
Printed on: April 25, 2024 at 01:04 o'clock
5 Comments
Latest comment
Ist eigentlich kein großes Ding mit einer Inbound (oder outbound) Accesslist. Die kannst du entweder für Dummies über das Webinterface konfigurieren oder wie richtige Admins über das Command Line Interface !
User die nur Surfen sollen den gibst du die Ports TCP 80 und TCP 443 frei (HTTP und HTTPS)
Die, die mehr dürfen eben noch ein paar Ports mehr 25 SMTP, 110 POP3 für Email, TCP 22 SSH je nachdem was du denen alles erlauben willst. Dazu hast du dich ja leider nicht sehr detailiert geäußert.
Ansonsten findest du hier auch eine gute Hilfe für deine Fragen:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...
Nochwas: Eine PIX ist niemals offen ! Das Outbound Interface hat immer eine niedrigere Prio als das Inbound Interface und per default sind Verbindungen vom Outbound ins Inbound immer per default geblockt. So offen ist deine PIX also nicht wie du behauptest !!
User die nur Surfen sollen den gibst du die Ports TCP 80 und TCP 443 frei (HTTP und HTTPS)
Die, die mehr dürfen eben noch ein paar Ports mehr 25 SMTP, 110 POP3 für Email, TCP 22 SSH je nachdem was du denen alles erlauben willst. Dazu hast du dich ja leider nicht sehr detailiert geäußert.
Ansonsten findest du hier auch eine gute Hilfe für deine Fragen:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...
Nochwas: Eine PIX ist niemals offen ! Das Outbound Interface hat immer eine niedrigere Prio als das Inbound Interface und per default sind Verbindungen vom Outbound ins Inbound immer per default geblockt. So offen ist deine PIX also nicht wie du behauptest !!
Hallo,
Du schreibst zwar, welche Ports geöffnet sind, aber nicht für wen und für welches Protokoll (TCP/UDP).
Weiterhin wäre wichtig zu wissen, ob es nur darum geht, vom LAN aus Dienste im Internet zuerreichen, oder ob Dienste im LAN aus dem Internet erreicht werden sollen (bei Maildiensten finde ich in Deiner Liste nur SMTP, was darauf schließen läßt, dass der Mailempfang über SMTP läuft, und nicht über POP3/IMAP)
Du schreibst zwar, welche Ports geöffnet sind, aber nicht für wen und für welches Protokoll (TCP/UDP).
Weiterhin wäre wichtig zu wissen, ob es nur darum geht, vom LAN aus Dienste im Internet zuerreichen, oder ob Dienste im LAN aus dem Internet erreicht werden sollen (bei Maildiensten finde ich in Deiner Liste nur SMTP, was darauf schließen läßt, dass der Mailempfang über SMTP läuft, und nicht über POP3/IMAP)
Hallo und vielen Dank für Eure Antworten !!
Diese offene „any-> any“ Regel lt.
access-list inside_access_in permit ip any any
Mein Wunsch war es nun, diese Regel zu ändern, weiter einzuschränken.
Habe mir eine DiensteGruppe erstellt, dort die Ports rein,
die ich möchte (erst mal nur 80,443,)
Für den Mailserver (smtp)gibt es eine eigene Regel, Mail geht ja.
In der momentanen "any-any" (IP) Regel wähle ich
anstatt IP dann TCP und wähle dann meine DiensteGruppe .(So dachte ich mir das)
(Natürlich nicht ohne voher alles zu sichern.)
Inhalt dieser DiensteGruppe
object-group service INTgruppe tcp
description einige Ports -testen
port-object eq www
group-object servGr-WebDirekt
port-object eq ssh
port-object range 8080 8080
port-object range www www
port-object range echo echo
port-object range smtp smtp
port-object range domain domain
port-object range https https
So sieht das dann der Configuration aus:
access-list inside_access_in permit tcp any object-group diensteGruppe any
(kann/sollte b. Destination auch lieber die diensteGruppe rein, anstatt dem letzten any? )
So müsste es doch eigentlich gehen, also der Zugriff
vom Client aufs Internet.
Weil es leider nicht ging, hab ich mehr Ports rein, wie nur 80 +443.
Ich möchte eigentlich nur dieses
any – any weiter einschränken.
Kann mir evtl. jemand eine Beispielkonfig senden,
oder passt das etwa so wie ich es vorhabe?
Was bedeutet eq www ?
Das die Pix niemals offen ist, beruhigt mich ja schon etwas. Danke.
Vielen Dank für Eure Antworten.
Grüße
Diese offene „any-> any“ Regel lt.
access-list inside_access_in permit ip any any
Mein Wunsch war es nun, diese Regel zu ändern, weiter einzuschränken.
Habe mir eine DiensteGruppe erstellt, dort die Ports rein,
die ich möchte (erst mal nur 80,443,)
Für den Mailserver (smtp)gibt es eine eigene Regel, Mail geht ja.
In der momentanen "any-any" (IP) Regel wähle ich
anstatt IP dann TCP und wähle dann meine DiensteGruppe .(So dachte ich mir das)
(Natürlich nicht ohne voher alles zu sichern.)
Inhalt dieser DiensteGruppe
object-group service INTgruppe tcp
description einige Ports -testen
port-object eq www
group-object servGr-WebDirekt
port-object eq ssh
port-object range 8080 8080
port-object range www www
port-object range echo echo
port-object range smtp smtp
port-object range domain domain
port-object range https https
So sieht das dann der Configuration aus:
access-list inside_access_in permit tcp any object-group diensteGruppe any
(kann/sollte b. Destination auch lieber die diensteGruppe rein, anstatt dem letzten any? )
So müsste es doch eigentlich gehen, also der Zugriff
vom Client aufs Internet.
Weil es leider nicht ging, hab ich mehr Ports rein, wie nur 80 +443.
Ich möchte eigentlich nur dieses
any – any weiter einschränken.
Kann mir evtl. jemand eine Beispielkonfig senden,
oder passt das etwa so wie ich es vorhabe?
Was bedeutet eq www ?
Das die Pix niemals offen ist, beruhigt mich ja schon etwas. Danke.
Vielen Dank für Eure Antworten.
Grüße
Danke für die Antwort Jhinrichs.
- Jeder soll von intern im Internet surfen können (ohne FTP) (80+443)
- Gruppe Buha soll ins Internet und Ihr Bankprogramm (Port xy) ausführen können.(80+443+xy)
- Gruppe 3 soll ins Internet und FTP können (80+443+21)
Mailserver geht über SMTP und funktioniert mit der Pix.
Mir ginge es blos drum "any-any" einzuschränken"
weiteres -siehe meine Antwort an "aqui"
Vielen Dank und viele Grüße
- Jeder soll von intern im Internet surfen können (ohne FTP) (80+443)
- Gruppe Buha soll ins Internet und Ihr Bankprogramm (Port xy) ausführen können.(80+443+xy)
- Gruppe 3 soll ins Internet und FTP können (80+443+21)
Mailserver geht über SMTP und funktioniert mit der Pix.
Mir ginge es blos drum "any-any" einzuschränken"
weiteres -siehe meine Antwort an "aqui"
Vielen Dank und viele Grüße
.
eq www heisst übrigens "equals www" = gleich www = gleich TCP 80
Es gibt noch gt greater than = größer als und kleiner als... als logische Operatoren in ACLs.
www steht immer für den Dienst. Hat Cisco so gemacht damit auch weniger bemittelte es verstehen. Bekannte wellknown Ports werden in den Dienst umgewandelt.
22= SSH, 21=FTP usw.
eq www heisst übrigens "equals www" = gleich www = gleich TCP 80
Es gibt noch gt greater than = größer als und kleiner als... als logische Operatoren in ACLs.
www steht immer für den Dienst. Hat Cisco so gemacht damit auch weniger bemittelte es verstehen. Bekannte wellknown Ports werden in den Dienst umgewandelt.
22= SSH, 21=FTP usw.
