У меня есть cisco ASA 5505 с тремя интерфейсами: внутренний (100), DMZ (50) и внешний (0). Внутренний имеет туннель IPSEC VPN к моей внутренней сети
Я не мог войти в свой домен из-за всех ограничений порта и тому подобного. Я пробовал отслеживать трафик через интерфейс, видеть, что он блокирует, а затем разблокировать эти порты, но даже тогда это работало не совсем правильно.
Наконец, я просто добавил правило, разрешающее любой IP-трафик из любой сети в любую сеть на внутреннем интерфейсе, и, конечно же, все работало нормально.
Но так ли это хорошая практика безопасности? Должен ли я блокировать порты на внутреннем интерфейсе и через VPN с наивысшим уровнем безопасности?
Было бы разумно разрешить только то, что определено как допустимый трафик, и заблокировать все остальные.
Я знаю, что это может быть неприятно, но вы должны проверить, что проходит через ваш маршрутизатор, и уметь определять, какой трафик следует разрешить как «официальный». Это может потребовать некоторой систематической работы для определения портов, используемых технологиями, которые вы используете в настоящее время.
Подумайте над этим: если внутренняя система скомпрометирована, сможет ли она отправлять данные через порт, который обычно не используется, на какой-либо IP-адрес?