Vraag over cisco IOS accesslists via VLANS - Serversoftware en clouddiensten

donderdag 17 augustus 2006 12:23

Acties:

Verwijderd

Topicstarter

Hallo! Mijn situatie is als volgt. Ik heb een cisco 1841 router met een aantal interfaces. Door deze interfaces als vlans te configureren kan ik iedere switchport als een apart netwerk gaan gebruiken. Nu wil ik tussen 2 bepaalde vlans verkeer gaan blokkeren.

Situatie:

Ik heb een vlan poort naar een dmz, en een vlan poort naar het kantoorlan. Ik wil dat vanuit het kantoorlan iedereen de dmz in kan komen, maar dat vanuit de dmz geen connecties opgezet kunnen worden naar het kantoorlan.

Op dit moment, heeft de interface van het kantoorlan geen access-list.

interface Vlan5
description kantoorLAN
ip address 192.168.1.254 255.255.255.0
!

De interface van de DMZ wel:

!
interface Vlan2
ip address 192.168.2.254 255.255.255.0
ip access-group 102 in
!

De access-list 102 ziet er als volgt uit:
access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 permit ip any any
access-list 102 permit icmp any any
!

Wanneer je dit zo op een cisco pix firewall configureerd, is het wel mogelijk vanuit kantoorlan naar dmz te gaan maar andersom niet. Op deze router echter, niet. Ik heb voor de test eens de volgende acces-list geconfigureerd:
access-list 102 permit ip 192.168.1.1 0.0.0.0 192.168.2.5 0.0.0.0
access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 permit ip any any
access-list 102 permit icmp any any

Het vreemde is dat ik nu vanuit het kantoorlan vanuit server 192.168.2.5 wel de server 192.168.1.1 kan benaderen. Op een pix als je incoming traffic op interface vlan2 blokkeerd naar het kantoorlan, maar op het kantoorlan sta je dit verkeer wel uitgaand toe naar de dmz toe, dan wordt het wel doorgelaten. de sessies kunnen dan wel geinitieerd worden vanuit het kantoorlan.

Graag uw expertise

donderdag 17 augustus 2006 16:24

Acties:

Clueless

access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Met de bovenstaande regel blokkeer je de toegang van KantoorLAN naar je DMZ, je moet de ranges omdraaien ( het is eerst source, dan source-wildcard, dan destination en destination-wildcard).

Volgens mij is er een foutje in je zin:

Het vreemde is dat ik nu vanuit het kantoorlan vanuit server 192.168.2.5 wel de server 192.168.1.1 kan benaderen.

192.168.2.5 is volgens mij een IP dat in je DMZ thuis hoort en niet in je KantoorLAN. Maar het komt er dus op neer dat je wel van je DMZ naar je KantoorLAN kan.

regeltje om op te lossen:
access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

Nog een foutje in je config:

access-list 102 permit ip any any

Deze regel zegt dus dat als ik mijn IP op dat subnet verander in iets anders dat ik dan wel communicatie mag hebben met KantoorLAN... Niet echt slim.

Je hele access list hoeft maar dit te zijn:
access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 permit icmp any any

Deze regels zorgen dat je van KantoorLAN naar DMZ kan en dat je ICMP verkeer kan ontvangen en versturen. De rest wordt automatisch geblokkeerd omdat je gebruik maakt van een extended ACL. Aan het einde van een ACL zit altijd een implicit deny any. Je zou die ook eventueel nog expliciet kunnen maken.

offtopic:
Mn CCNA is een beetje roestig, dus niet boos worden als het niet helemaal klopt

I Don't Know, So Don't Shoot Me

vrijdag 18 augustus 2006 09:25

Acties:

DGTL_Magician

Kijkt regelmatig vooruit

Verwijderd schreef op donderdag 17 augustus 2006 @ 12:23:
Hallo! Mijn situatie is als volgt. Ik heb een cisco 1841 router met een aantal interfaces. Door deze interfaces als vlans te configureren kan ik iedere switchport als een apart netwerk gaan gebruiken. Nu wil ik tussen 2 bepaalde vlans verkeer gaan blokkeren.

Situatie:

Ik heb een vlan poort naar een dmz, en een vlan poort naar het kantoorlan. Ik wil dat vanuit het kantoorlan iedereen de dmz in kan komen, maar dat vanuit de dmz geen connecties opgezet kunnen worden naar het kantoorlan.

Op dit moment, heeft de interface van het kantoorlan geen access-list.

interface Vlan5
description kantoorLAN
ip address 192.168.1.254 255.255.255.0
!

De interface van de DMZ wel:

!
interface Vlan2
ip address 192.168.2.254 255.255.255.0
ip access-group 102 in
!

De access-list 102 ziet er als volgt uit:
access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 permit ip any any
access-list 102 permit icmp any any
!

Wanneer je dit zo op een cisco pix firewall configureerd, is het wel mogelijk vanuit kantoorlan naar dmz te gaan maar andersom niet. Op deze router echter, niet. Ik heb voor de test eens de volgende acces-list geconfigureerd:
access-list 102 permit ip 192.168.1.1 0.0.0.0 192.168.2.5 0.0.0.0
access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 permit ip any any
access-list 102 permit icmp any any

Het vreemde is dat ik nu vanuit het kantoorlan vanuit server 192.168.2.5 wel de server 192.168.1.1 kan benaderen. Op een pix als je incoming traffic op interface vlan2 blokkeerd naar het kantoorlan, maar op het kantoorlan sta je dit verkeer wel uitgaand toe naar de dmz toe, dan wordt het wel doorgelaten. de sessies kunnen dan wel geinitieerd worden vanuit het kantoorlan.

Graag uw expertise

Als ik het goed heb moet je access-list 102 er zoiets uitzien:

code:

1
2
3

access-list 102 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 established
access-list 102 permit udp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 established
access-list 102 permit icmp any any

Je moet namelijk wel zorgen dat de DMZ kan antwoorden naar je kantoorlan, maar niet uit zich zelf nieuwe verbindingen kan leggen.

Blog | aaZoo - (Wireless) Networking, Security, DDoS Mitigatie, Virtualisatie en Storage

zaterdag 19 augustus 2006 15:05

Acties:

Clueless

DGTL_Magician schreef op vrijdag 18 augustus 2006 @ 09:25:
[...]

Als ik het goed heb moet je access-list 102 er zoiets uitzien:
code:
1
2
3
access-list 102 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 established
access-list 102 permit udp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 established
access-list 102 permit icmp any any
Je moet namelijk wel zorgen dat de DMZ kan antwoorden naar je kantoorlan, maar niet uit zich zelf nieuwe verbindingen kan leggen.

Ook jij moet even je source en destination even omdraaien, je staat nu dus wel toe dat je DMZ naar je KantoorLAN gaat. Inderdaad moeten mijn regels even "established" zijn. KantoorLAN is namelijk 192.168.1.x (source) en 192.168.2.x (destination) is DMZ. Established zorgt dat er puur en alleen ook door de andere kant geantwoord kan worden En je kan gewoon op IP-niveau aangeven wat wel en wat niet in plaats van dit op TCP-niveau te doen

I Don't Know, So Don't Shoot Me

zondag 20 augustus 2006 20:56

Acties:

Verwijderd

Topicstarter

@DGTL_Magician dat is inderdaad de oplossing die ik zoek, complete blokkade vanuit dmz naar kantoor maar wel de mogelijkheid om vanuit kantoor alle servers in de dmz op alle mogelijke wijzen te benaderen.

Vraagje nog, de dmz moet wel weer full internet access hebben. Kan dit simpel door dit te doen:
access-list 102 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 established
access-list 102 permit udp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 established
access-list 102 deny any 102.168.2.0 0.0.0.255 192.168.1.0 0.0.0.0
access-list 102 permit ip any any
access-list 102 permit icmp any any

Alvast bedankt.

maandag 21 augustus 2006 16:30

Acties:

Clueless

Verwijderd schreef op zondag 20 augustus 2006 @ 20:56:
@DGTL_Magician dat is inderdaad de oplossing die ik zoek, complete blokkade vanuit dmz naar kantoor maar wel de mogelijkheid om vanuit kantoor alle servers in de dmz op alle mogelijke wijzen te benaderen.

Vraagje nog, de dmz moet wel weer full internet access hebben. Kan dit simpel door dit te doen:
access-list 102 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 established
access-list 102 permit udp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 established
access-list 102 deny any 102.168.2.0 0.0.0.255 192.168.1.0 0.0.0.0
access-list 102 permit ip any any
access-list 102 permit icmp any any

Alvast bedankt.

Voor de 3e keer: je moet even je source en je destination omdraaien in je 2 eerste regels.... Access lists worden van boven naar beneden gelezen en toegepast. Op deze manier sta je dus eerst alle connecties op UDP/TCP toe waardoor de rest van de ACL er al niet meer toe doet en je DMZ dus volledige toegang heeft op je KantoorLAN (in plaats van anders om).

Dit zou het moeten zijn
access-list 102 deny tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 (blokkade TCP naar KantoorLAN, hoeft niet established te zijn want hij mag sowieso geen verbinding maken)
access-list 102 deny udp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 (blokkade UDP naar KantoorLAN, hoeft niet established te zijn want hij mag sowieso geen verbinding maken)

Maar dat zou dus inhouden dat je uberhaupt geen verbinding kan opzetten naar KantoorLAN zonder je ACL excessief lang te maken.

Wat je zou moeten doen is dus het volgende:
access-list 102 permit ip 192.168.1.0 any established
access-list 102 deny ip any 192.168.1.0 0.0.0.255
access-list 102 permit ip 192.168.2.0 0.0.0.255 any
access-list 102 permit ip any 192.168.2.0 0.0.0.255
access-list 102 permit icmp any any

Hiermee sta je al het IP-verkeer toe van je KantoorLAN naar elk adres, zowel internet als naar je DMZ, terwijl je veiligheid behoud omdat er alleen geantwoord kan worden door bestaande verbindingen en de rest wordt afgevangen door implicit deny any (kan je eventueel als laatste regel nog expliciet maken).

De 2de regel zorgt ervoor dat er geen zelfstandige connecties naar je KantoorLAN kunnen komen vanaf welk adres dan ook (zeg maar een stafefull firewall, inkomende verbindingen die geen resultaat zijn van een connectie die geinitieerd is door je KantoorLAN worden afgestopd, geldt voor zowel Internet als je DMZ)

De derde en vierde regels staan het overige verkeer tussen de DMZ en het internet toe, omdat de voorgaande regels je KantoorLAN beschermen. Regel 5 spreekt voor zich denk ik.

I Don't Know, So Don't Shoot Me

donderdag 24 augustus 2006 15:41

Acties:

Verwijderd

Topicstarter

clueless ik snap niet helemaal waarom je dat precies zegt maar de volgorde klopt wel hoor.
access-list 102 permit ip XXXX established werkt niet, dus je moet persee TCP established opgeven.

Hier is de nu werkende config:

access-list 102 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 established
access-list 102 deny ip any 192.168.6.0 0.0.0.255
access-list 102 deny ip any 192.168.9.0 0.0.0.255
access-list 102 deny ip any 192.168.8.0 0.0.0.255
access-list 102 permit ip any any
access-list 102 permit icmp any any