Para preguntas sobre o relacionadas con las operaciones de firewall, configuración y solución de problemas.
Buscando alrededor no he podido determinar la mejor práctica para ICMP en un firewall. Por ejemplo, en un ASA de Cisco, sería seguro y recomendable permitir ICMP desde cualquiera si la inspección ICMP está habilitada. Esto permitiría cosas como inalcanzables de tipo 3 para volver a los...
Utilizamos el Cisco ASA 5585 en un modo transparente de capa 2. La configuración son solo dos enlaces 10GE entre nuestro socio comercial dmz y nuestra red interna. Un mapa simple se ve así. 10.4.2.9/30 10.4.2.10/30 core01-----------ASA1----------dmzsw El ASA tiene 8.2 (4) y SSP20. Los...
Estoy en medio de un proyecto para migrar algunos enlaces troncales dot1q de ethernet conmutados existentes detrás de un firewall ASA ... estos enlaces tienen cinco vlans cada uno (numerados 51-55). Este es un dibujo simple del servicio original de layer2 ... Uno de los requisitos es tener un...
¿Cómo puedo encontrar una empresa como las direcciones IP de Facebook? Estoy tratando de bloquear Facebook en el trabajo y tengo algunas dificultades con HTTPs y el bloqueo de URL. Cada vez que bloqueo una IP de Facebook, parecen aparecer más. ¿Hay alguna manera fácil de averiguar todas las IP que...
Sería conveniente marcar segmentos TCP solo con el conjunto de banderas FIN, como una intrusión (sin rastrear la respuesta). Siempre he asumido que un FIN sin un ACK, aunque grosero y raro, es legal, basado en la terminación de la conexión . Pero luego leí declaraciones como "A FIN nunca...
Estoy tratando de configurar el doble NAT automático con traducción de DNS en Cisco ASA 9.0 (3), y tengo algunos desafíos con la parte de DNS. Obtuve el doble NAT funcionando correctamente, de modo que tengo un servidor en producción y en el laboratorio con la misma dirección IP. Ver b2masd1,...
Estoy en el proceso de sobrecargar nuestra red, el problema al que vuelvo es: tratar de llevar la capa 3 al núcleo, sin dejar de tener un firewall centralizado. El problema principal que tengo aquí es que los conmutadores "mini core" que he estado mirando siempre tienen límites bajos de ACL en el...
Parece que Dropbox usa Amazon AWS para su almacenamiento, por lo que no puedo bloquear o limitar el tráfico a dropbox.com Dado que hay muchos servicios web que dependen de AmazonAWS, no puedo simplemente bloquear ese dominio. ¿Tienes alguna sugerencia sobre cómo manejar el tráfico de Dropbox?...
Tenemos algunos ASA-5555X existentes en modo de contexto múltiple, y estamos usando un contexto por vlan como un firewall transparente de capa2. Con el tiempo, hemos ido agregando a esta solución, y estamos a punto de superar nuestra licencia original de 5 contextos de seguridad. Compramos...
Mientras leía sobre CISCO NetFlow Analysis se me ocurrió un término llamado NAT Stitching. Entiendo Flow Stitchingcuáles se unen al mismo tipo de conexión entrante y saliente. Pero no puedo encontrar nada discreto NAT Stitchingexcepto lo siguiente, Unión de NAT: unifique la información de NAT...
es necesario unir dos srx650 en el clúster de chasis (pasivo / activo) a través de dos conmutadores EX4200. Necesito elegir uno de tres ejemplos. Por favor, ayude a definir la elección correcta y describa cuáles deben ser las configuraciones en Srx650 y cambie ex4200. También es un momento...
Estoy trabajando en un laboratorio en este momento y tengo algunos problemas con el enrutamiento ASA. Aquí está la topología de red actual: Actualmente, si inicio sesión en la consola en el ASA o en el enrutador, puedo acceder a Internet sin problemas. En el segundo inicio de sesión en el...
Me he encontrado con una situación que no puedo entender. Tenemos un cortafuegos Fortigate que hemos habilitado para equilibrar la carga en dos servidores web Apache de back-end. Luego se asigna un nombre DNS a la IP virtual en Load Balancer. Como se esperaba, cuando navega hasta el nombre / URL...
Tengo un cortafuegos, donde tengo que reducir el tiempo de espera de la sesión TCP de 24h a 1h. Antes de hacer eso, estoy tratando de determinar si esto interrumpirá alguna aplicación, es decir, aplicaciones que tienen sesiones que pueden estar inactivas durante mucho tiempo, pero no pueden...
Tenemos un problema simple Queremos restringir a nuestros usuarios inalámbricos a ciertos sitios web comerciales basados en su nombre de usuario cuando inician sesión. Tenemos muchos tipos de dispositivos inalámbricos: teléfonos voip, teléfonos celulares, computadoras portátiles, escáneres de...
Tuve una mala experiencia con Cisco ASA al cambiar / renombrar los atributos de la interfaz "nameif". Me gustaría saber si cambiar el nombre o simplemente eliminar los nombres existentes utilizados en la configuración ASA dañará la
Saqué un viejo ASA5550 del estante, que tenía 8.4 (2) cargado. Cuando intenté iniciarlo, recibí el siguiente error ... ----------------------------------------------- Traceback output aborted. Flushing first exception frame: Abort: Assert failure vector 0x00000000 edi 0x00000002 esi 0x0973a2dc...
Tengo un ASA que ejecuta 9.0 (1) con cuatro contextos de seguridad. Cuando modificamos un contexto, nuestro procedimiento estándar es hacer una "memoria de escritura" dentro de ese contexto. Pero a veces tenemos que modificar todos los contextos en la misma ventana de cambio. ¿Podemos hacer una...
Cerrado. Esta pregunta está fuera de tema . Actualmente no está aceptando respuestas. ¿Quieres mejorar esta pregunta? Actualice la pregunta para que sea sobre el tema de Network Engineering Stack Exchange. Cerrado hace 2 años . La situación es...
No tengo un ASA de laboratorio para confirmar esto y leer los documentos de Cisco me dejó menos del 100% seguro. Lo que realmente quiero saber es que si extraigo un atributo de una política de grupo, ¿será reemplazado por lo que ya está configurado en DfltGrpPolicy? Aquí hay un buen...