fox_m Опубликовано 11 апреля, 2018 · Жалоба Коллеги, в свете последних событий (атака на коммутаторы Cisco), решил наконец озаботится безопасностью сети. После прочтения https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html решил для начала повесить ACL на аплинки к внешним провайдерам. Подскажите, есть какой-то общий шаблон ACL именно для внешних каналов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 11 апреля, 2018 · Жалоба statefull firewall решает все подобные проблемы, если вы энтерпрайз. на IOS цисках это ZBFW, на ASA они сами себе фаерволы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 11 апреля, 2018 · Жалоба ИМХО ацл на аплинк- это лишнее. Понятно что есть дыры, за ними надо следить и закрывать при первой же возможности. А так, у вас контрол план в принципе не должен светить в инет и в сторону пользователей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smart85 Опубликовано 11 апреля, 2018 · Жалоба У меня на juniper/cisco защита control-plane + на бордерах на аплинках режу входящий траф, который мне не нужен внутри AS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fox_m Опубликовано 11 апреля, 2018 · Жалоба 19 минут назад, mse.rus77 сказал: У меня на juniper/cisco защита control-plane + на бордерах на аплинках режу входящий траф, который мне не нужен внутри AS. У меня на бордерах ASR9006. CPPr там тоже есть, пока не крутил. А какой трафик режете на входе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 апреля, 2018 · Жалоба 2 часа назад, ShyLion сказал: statefull firewall решает все подобные проблемы Провайдеру такое не подходит: 1. оно ресурсов слишком дохрена сожрёт 2. у провайдера ассиметрия трафика встречается почти всегда Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smart85 Опубликовано 11 апреля, 2018 · Жалоба 1 час назад, fox_m сказал: У меня на бордерах ASR9006. CPPr там тоже есть, пока не крутил. А какой трафик режете на входе? В моей специфике режу так: accept-transit-ae7.224-i 77186332281 1106761032 accept-transit-ntp-to-trusted-ae7.224-i 0 0 accept-trusted-ssh-transit-ae7.224-i 0 0 discard-bl-sources-ae7.224-i 0 0 discard-cisco-smartinstall-ae7.224-i 8124 164 discard-transit-ntp-ae7.224-i 116237 1724 discard-transit-smb-tcp-ae7.224-i 3236476 72397 discard-transit-smb-udp-ae7.224-i 754170 9669 discard-transit-snmp-ae7.224-i 278610 3998 discard-transit-ssh-ae7.224-i 863084 19021 discard-transit-telnet-ae7.224-i 18352196 452757 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
starik-i-more Опубликовано 12 апреля, 2018 (изменено) · Жалоба У Циски по ACL есть вот такой неновый документ https://www.cisco.com/c/en/us/about/security-center/protecting-border-gateway-protocol.html Изменено 12 апреля, 2018 пользователем starik-i-more Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...