Listas de acesso DMZ para externo

Navegue suas respostas
2

Estou aprendendo sobre firewalls e listas de acesso, e estou tentando decidir que tipo de lista de acesso devo ter na DMZ, especialmente em relação ao tráfego de saída. Há determinado tráfego de saída que não desejo permitir - obviamente, o SMTP só deve ter permissão para se originar do servidor de email e assim por diante. No entanto, ouvi dizer que a filtragem de saída geralmente causa problemas se você é muito rigoroso, porque há muitos recursos legítimos que podem ser solicitados e é difícil conhecer todos eles.

A minha pergunta é, uma vez que eu tenho uma ACL que permite coisas como SMTP apenas do servidor de email e assim por diante, quais regras devo colocar no final da ACL para não quebrar tudo? Dizendo 

access-list tcp permit any any
access-list udp permit any any
access-list ip permit any any

parece um pouco inseguro. Existem intervalos de portas que eu posso fechar com segurança? Ou é uma licença qualquer praticamente minha única opção?

Obrigado!

    
por Nate 07.03.2011 / 22:10

2 respostas

1

Você pode usar gt e lt em Cisco ACLs, então talvez queira algo como a segunda até a última linha:

access-list foo permit tcp 192.168.1.0/24 gt 1024 any e access-list foo permit udp 192.168.1.0/24 gt 1024 any

Onde 192.168.1.0/24 é sua rede interna e você deseja permitir o tráfego de portas sem privilégios para eles. Então a última linha é a negação de qualquer um.

Dependendo dos sistemas operacionais, talvez você queira alterar o 1024 para corresponder a qualquer que seja a parte inferior do intervalo porta efêmera . para esses sistemas operacionais.

(a sintaxe pode estar desativada, não ter feito as ACLs da Cisco daqui a pouco)

Dito isso, não acho que ter uma ACL de permissão padrão para o tráfego de saída é uma coisa horrível de se fazer - a solução de problemas que ela pode causar pode não valer a segurança adicional.

    
por 07.03.2011 / 22:18
1

Se você quiser usar seu roteador como um firewall, eu recomendo que você se afaste de ACLs "normais" e configure, dependendo da sua versão do IOS, CBAC (controle de acesso baseado em contexto) ou ZBF (Firewall de políticas baseadas em zonas). Se você tem uma versão recente do IOS (e uma "imagem de segurança ativada" ou o que costumava ser chamado de imagem "K9"), eu recomendo strongmente que você dê uma olhada no ZBF.

A coisa é que as ACLs regulares são sem estado . Com isto quero dizer que você pode cair em problemas porque, dependendo do protocolo do tráfego de saída, o roteador é incapaz de saber que tipo de portas tem que abrir para o tráfego de retorno. FTP é o exemplo clássico disso.

Como você deve saber, o cliente FTP negocia com o servidor as portas tcp que eles vão usar para a transferência de dados dentro do "canal de controle" do FTP. Se o roteador / firewall não inspecionar esse tráfego, ele não poderá saber qual porta abrir para permitir a transferência de dados e problemas. Existem muitos protocolos que se enquadram nessa categoria (os protocolos de voz e vídeo são ótimos exemplos)

Com o CBAC, melhor ainda, com o ZBF, isso não acontece. Eles são stateful . Com isso quero dizer que o roteador é capaz de inspecionar o tráfego (e potencialmente descobrir quais portas udp / tcp estão sendo negociadas) e por isso o roteador "sabe" quais portas abrir de quem a quem permitir a comunicação acontecer e ainda mais importante do ponto de vista da segurança, quando para fechá-los dinamicamente.

    
por 08.03.2011 / 01:11

Tags

Selinux: Gerenciando portas; Comando de Semanage não encontrado Não é possível fazer upload de arquivos com mais de 8 GB para o Amazon S3 por upload de várias partes devido ao cano quebrado