Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Pix Firewall ist offen (any -any) welche Ports im Netz brauche ich, für sichere Konfig d. FW?

Frage Sicherheit Firewall

Mitglied: 12know

12know (Level 1) - Jetzt verbinden

15.10.2009, aktualisiert 12:50 Uhr, 3686 Aufrufe, 5 Kommentare

Newbie mit Firewalls

Hallo an alle,

habe eine Firewall die ich auf die schnell, bis ein Fachmann verfügbar ist, möglichst gut absichern muss.
Es ist eine Pix und ich hab mich auch schon dran gemacht.
Mit kleinen Teilerfolgen.
Erforderlich ist :
VPN das ist aber eingerichtet und funktioniert.
Mail ist auch eingerichtet und funtkioniert

Es soll aber so sein, dass die User intern nur die nötigen Ports bekommen.
Gruppe1: Zum "nur" im Internetsurfen
Gruppe2: Für Internet und 2-3 zusätliche Programme die Internetzugriff brauchen.
Wie ist das dann mit der Reihenfolge der Regeln?

Hab eine Gruppe angelegt der ich die Ports hinzugefügt habe.
7,25,53,80,8080,443http + https dienst, ssh,

Mittlerweile bekomm ich dann einen Teil einer Website angezeigt,
in manchen Teilen der Website kommt aber die Meldung " kann den Namen nicht auflösen".

Welche Ports brauche ich noch, damit die Pix nicht mehr auf "Any -> Any" stehen muss,
und die User trotzedem arbeiten können.

Hoffe hier kann mich jemand unterstützen.
Danke schon mal,
newbie


PS: ich weiß, wenn ich keine Ahnung hab soll ich das lassen,
aber erstens will ich Ahnung bekommen, Literatur ist unterwegs.
und zweitens bekomme ich auf die SCHNELLE niemanden her der sich damit auskennt.
Mitglied: aqui
15.10.2009 um 15:07 Uhr
Ist eigentlich kein großes Ding mit einer Inbound (oder outbound) Accesslist. Die kannst du entweder für Dummies über das Webinterface konfigurieren oder wie richtige Admins über das Command Line Interface !
User die nur Surfen sollen den gibst du die Ports TCP 80 und TCP 443 frei (HTTP und HTTPS)
Die, die mehr dürfen eben noch ein paar Ports mehr 25 SMTP, 110 POP3 für Email, TCP 22 SSH je nachdem was du denen alles erlauben willst. Dazu hast du dich ja leider nicht sehr detailiert geäußert.

Ansonsten findest du hier auch eine gute Hilfe für deine Fragen:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/prod_configuratio ...

Nochwas: Eine PIX ist niemals offen ! Das Outbound Interface hat immer eine niedrigere Prio als das Inbound Interface und per default sind Verbindungen vom Outbound ins Inbound immer per default geblockt. So offen ist deine PIX also nicht wie du behauptest !!
Bitte warten ..
Mitglied: jhinrichs
15.10.2009 um 15:10 Uhr
Hallo,
Du schreibst zwar, welche Ports geöffnet sind, aber nicht für wen und für welches Protokoll (TCP/UDP).
Weiterhin wäre wichtig zu wissen, ob es nur darum geht, vom LAN aus Dienste im Internet zuerreichen, oder ob Dienste im LAN aus dem Internet erreicht werden sollen (bei Maildiensten finde ich in Deiner Liste nur SMTP, was darauf schließen läßt, dass der Mailempfang über SMTP läuft, und nicht über POP3/IMAP)
Bitte warten ..
Mitglied: 12know
15.10.2009 um 16:34 Uhr
Hallo und vielen Dank für Eure Antworten !!

Diese offene „any-> any“ Regel lt.
access-list inside_access_in permit ip any any

Mein Wunsch war es nun, diese Regel zu ändern, weiter einzuschränken.

Habe mir eine DiensteGruppe erstellt, dort die Ports rein,
die ich möchte (erst mal nur 80,443,)
Für den Mailserver (smtp)gibt es eine eigene Regel, Mail geht ja.

In der momentanen "any-any" (IP) Regel wähle ich
anstatt IP dann TCP und wähle dann meine DiensteGruppe .(So dachte ich mir das)
(Natürlich nicht ohne voher alles zu sichern.)

Inhalt dieser DiensteGruppe
object-group service INTgruppe tcp
description einige Ports -testen
port-object eq www
group-object servGr-WebDirekt
port-object eq ssh
port-object range 8080 8080
port-object range www www
port-object range echo echo
port-object range smtp smtp
port-object range domain domain
port-object range https https

So sieht das dann der Configuration aus:
access-list inside_access_in permit tcp any object-group diensteGruppe any
(kann/sollte b. Destination auch lieber die diensteGruppe rein, anstatt dem letzten any? )

So müsste es doch eigentlich gehen, also der Zugriff
vom Client aufs Internet.

Weil es leider nicht ging, hab ich mehr Ports rein, wie nur 80 +443.
Ich möchte eigentlich nur dieses
any – any weiter einschränken.

Kann mir evtl. jemand eine Beispielkonfig senden,
oder passt das etwa so wie ich es vorhabe?

Was bedeutet eq www ?

Das die Pix niemals offen ist, beruhigt mich ja schon etwas. Danke.

Vielen Dank für Eure Antworten.
Grüße
Bitte warten ..
Mitglied: 12know
15.10.2009 um 16:42 Uhr
Danke für die Antwort Jhinrichs.

- Jeder soll von intern im Internet surfen können (ohne FTP) (80+443)
- Gruppe Buha soll ins Internet und Ihr Bankprogramm (Port xy) ausführen können.(80+443+xy)
- Gruppe 3 soll ins Internet und FTP können (80+443+21)

Mailserver geht über SMTP und funktioniert mit der Pix.
Mir ginge es blos drum "any-any" einzuschränken"

weiteres -siehe meine Antwort an "aqui"

Vielen Dank und viele Grüße
Bitte warten ..
Mitglied: aqui
15.10.2009 um 19:09 Uhr
.
eq www heisst übrigens "equals www" = gleich www = gleich TCP 80
Es gibt noch gt greater than = größer als und kleiner als... als logische Operatoren in ACLs.
www steht immer für den Dienst. Hat Cisco so gemacht damit auch weniger bemittelte es verstehen. Bekannte wellknown Ports werden in den Dienst umgewandelt.
22= SSH, 21=FTP usw.
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Windows Server
Server 2016 RemoteApps interfere with any full screen application! (1)

Link von DerWoWusste zum Thema Windows Server ...

Exchange Server
gelöst Hosted Exchange Firewall Ports (4)

Frage von Axel90 zum Thema Exchange Server ...

Windows Netzwerk
gelöst Firewall was machen bei Freigaben aus anderem Netz (4)

Frage von dauatitsbest zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...