Security Professionals - ipfw add deny all from eindgebruikers to any

Cisco ASA firewall bij bedrijven (MKB en groter)

03-04-2013, 01:35 door MrRight, 11 reacties
Goededag,

Veel (MKB) bedrijven hebben een Cisco ASA firewall aan de buitenzijde van het netwerk richting het Internet.
Veelal is deze ook nog ingericht voor Remote Access en Site-to-Site VPN.
Standaard is deze ingericht met rules van outside -> inside en rules van inside -> outside.
Natuurlijk ook nog vaak voor een DMZ.
Welke rules, instellingen, specials zijn er nog meer aan te raden op een dergelijke firewall?

Zijn er mogelijkheden voor java, javascript, flash etc. etc.?

Is er software om de rules te controleren?

Wie heeft er tips en trics voor een optimale inzet van dit apparaat en beveiliging van de netwerken?

Wie heeft goede tips voor backup van deze specifieke firewall?
Wie heeft goede tips voor Netflow m.b.t. deze specifieke firewall?
(freeware/shareware/koopware)

Wie heeft er goede/slechte ervaringen met versie 9.x van de software?

Natuurlijk ben ik bekend met www.cisco.com en heb ik een Cisco ID. Maar ik hoop op specials, configs voorbeelden etc. m.b.t. extra beveiliging.

Oftewel het optimaal benutten van features/mogelijkheden van deze firewall voor MKB en groter.

Wellicht is dit platform (security.nl) te generiek hiervoor maar ik hoop op diepgaande reacties :-) Ik vermoed dat veel "kijkers" toch wel diepgaande kennis hieromtrent hebben....

(Cisco ASA is maar een merk van een specifieke firewall)

Alvast bedankt voor de reacties/input!

MrRight.
Reacties (11)
03-04-2013, 07:27 door ZeteMKaa
Wellicht kan je eens kijken naar de tool Nipper, een configuratieanalyse tool voor Cisco devices. Geeft je een output van alle instellingen + alle best practices.

http://sourceforge.net/projects/nipper/
03-04-2013, 09:46 door [Account Verwijderd]
[Verwijderd]
03-04-2013, 11:48 door Anoniem
Hoewel een Cisco ASA veel gebruikt is en simpel, kun je er geen applicaties mee tegen houden, zoals je java en flash noemt.
Om je beeld wat te verruimen zou je eens kunnen kijken naar Clavister (Security Subscription) of Meraki.

Een simpele regel om aan te houden is om geen any-any verkeer toe te laten. Dus geen outside regel met any (en daar achter een NAT regel met any). Vaak hou je bijvoorbeeld je webserver wel in de gaten maar vergeet je dat je FTP ook open hebt gezet....
Als je verder wilt gaan zul je in het verkeer moeten kijken en dat doet een ASA niet.
03-04-2013, 12:03 door AcidBurn
- Alle poorten dicht die niet nodig zijn, zowel inside->outside als outside->inside.
- ICMP uitzetten op de WAN kant (helpt aanzienlijk tegen port scans)
- Netflow monitoring gebruiken om data te analyseren.

Zelfs gebruiken we Cisco dan ook nog voor transparante proxy, zo kun je malware goed stoppen en porno blokkeren.
03-04-2013, 23:21 door WeSecure
Wij zien dat veel MKB bedrijven juist afstappen van een Cisco ASA. Het toevoegen van extra modules zoals een IPS en Application Control geven alleen maar extra beheerslast en het wordt er vaak ook niet veel veiliger op omdat je meerdere rules moet onderhouden. Wij zien dat veel MKB bedrijven daarom overstappen naar bijvoorbeeld een Palo Alto Firewall. bv [admin] geen linkspam [/admin]

gr,
[admin] geen linkspam [/admin]
04-04-2013, 07:57 door MrRight
Goededag,

Dank voor alle reacties, tips etc.

Ik heb de diverse getipte websites al bekeken en dit is allemaal zeer interessant!

MrRight.
05-04-2013, 16:14 door Jer0n1mo
@anoniem woe 11:48.

Ook de Cisco ASA kan overweg met Deep Packet Inspection en kan dus ook kijken naar applicaties. Is bij de ASA familie ondergebracht in de IPS module.

http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5729/ps5713/ps4077/at_a_glance_c45-459038_v5.pdf

Op de Cisco website staan ook veel 'best practices' beschreven.

J.
06-04-2013, 15:13 door AcidBurn
Door WeSecure: Wij zien dat veel MKB bedrijven juist afstappen van een Cisco ASA. Het toevoegen van extra modules zoals een IPS en Application Control geven alleen maar extra beheerslast en het wordt er vaak ook niet veel veiliger op omdat je meerdere rules moet onderhouden. Wij zien dat veel MKB bedrijven daarom overstappen naar bijvoorbeeld een Palo Alto Firewall. [admin] geen linkspam [/admin]

gr,
[admin] geen linkspam [/admin]


Wellicht de wat kleinere bedrijven maar de bedrijven waar wij zaken mee doen (top 25 in NL) gebruiken nog Cisco voor bijna alle router/firewall zaken. Ik ben er geen fan van maar als het werkt, werkt het.

De meeste problemen met Cisco's zijn human errors, typfouten.. Maar hier zijn ook tools voor de verkrijgen om de beheerstaken eenvoudiger te maken.

Zelfs ben ik sinds vorig jaar groot fan van Vyatta, zowel de opensource als subscription versies. Vyatta doet alles wat een Cisco kan maar dan v??l goedkoper en met v??l hogere performance.
06-04-2013, 18:50 door MrRight
Goededag,

Ik kijk inderdaad ook verder dan MKB. Als je het hebt over multi-tenant / multi-customer dan ontkom je ook niet aan Cisco (en wat anderen). Contexten etc. etc.

Ik kan ook zeer beamen dat een IPS module de beheerslast vergroot.

Ik ga kijken naar Palo Alto en ik ga zeker even kijken naar Vyatta.

Wederom dank!

MrRight.
09-04-2013, 00:29 door WeSecure
Voor beheer van Cisco firewall kun je ook eens naar Infoblox Security Device Controller kijken. Dit lost tevens het probleem op van beheer van multi-vendor firewalls. We hebben wat klanten die hiermee Cisco ASA beheer uitvoeren incl reports etc. Het is een management overlay voor firewalls. Dit is het oude Solsoft product wat Infoblox vorig jaar heeft overgenomen. staat korte clip op: http://youtu.be/WMyQqThFFNU
09-04-2013, 08:41 door Anoniem
Als je toch gaat kijken vergeet Fortinet dan niet, een hele grote in wording en een ideale UTM voor MKB/groter.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.