Toon posts:

Security Zones i.c.m. VPN

Pagina: 1
Acties:

dinsdag 31 december 2013 11:36

Acties:

Verwijderd

Topicstarter
Bedrijf_A --s2s VPN--  Bedrijf_B
De Site to Site VPN is gekoppeld aan de outside interfaces

Bedrijf_A Sec zones:
  • 100 inside
  • 50 dmz
  • 0 outside
Bedrijf_B Sec zones:
  • 100 inside
  • 0 outside
Vragen:
  • Binnen de gedefinieerde “intrested traffic” van de VPN kan Bedrijf_B alles doen bij Bedrijf_A en andersom, waar zit bedrijf_B logisch gezien? Onder inside?
  • Als ik beperkingen wil aanbrengen voor Bedrijf_B richting Bedrijf_A, waar is volgens jullie de beste plaats om dit te doen?

dinsdag 31 december 2013 14:16

Acties:
  • KennieNL
  • Registratie: Mei 2007
  • Laatst online: 30-11 11:18

KennieNL

Elke firewall gaat anders om met security zones/firewall policues, dus ik denk dat je het moet testen. Zal of inside of outside zijn :).

Naar mijn mening is de beste locatie Bedrijf_A, gezien dit waarschijnlijk je 'hoofdlocatie' is... hier wil je de controle hebben wat Bedrijf_B kan doen.

dinsdag 31 december 2013 14:45

Acties:

Verwijderd

Topicstarter
Het gaat om een Cisco ASA

dinsdag 31 december 2013 15:42

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 26-11 16:03

Mikey!

Je wilt beveiliging op basis van source/destination verkeer (Extended Access-List) altijd zo dicht mogelijk bij de bron afvangen. Dus om beperkingen aan te brengen voor Bedrijf_B richting Bedrijf_A, zal je op de ASA van Bedrijf_B op basis van ACLs het verkeer moeten beperken.

Het heeft namelijk geen functioneel nut om het verkeer eerst over de VPN (en internetverbindingen) te laten gaan, waarna je het alsnog blokkeert :)

donderdag 2 januari 2014 13:23

Acties:

Verwijderd

Topicstarter
Dank. Verhelderend.

En deze vraag?:
•Binnen de gedefinieerde “intrested traffic” van de VPN kan Bedrijf_B alles doen bij Bedrijf_A en andersom, waar zit bedrijf_B logisch gezien? Onder inside?

donderdag 2 januari 2014 13:30

Acties:
  • Yokidrink
  • Registratie: November 2000
  • Laatst online: 27-11 11:05

Yokidrink

!

Dat hangt af van waar je traffic normaal binnenkomt maar aangezien je zegt dat het via outside binnenkomt is het voor de remote peer (A in dit geval) een outside source

zoals boven gezegd, je moet een ACL maken inside to out op de ASA van bedrijf B

donderdag 2 januari 2014 13:38

Acties:

Verwijderd

Topicstarter
Yokidrink schreef op donderdag 02 januari 2014 @ 13:30:
Dat hangt af van waar je traffic normaal binnenkomt maar aangezien je zegt dat het via outside binnenkomt is het voor de remote peer (A in dit geval) een outside source

zoals boven gezegd, je moet een ACL maken inside to out op de ASA van bedrijf B
Ja dat dacht ik ook, maar outside sec-level is 0, hoe kan het dan dat ze toch alles bij elkaar kunnen doen (Bedrijf_B bij Bedrijf_A en andersom)?

Waar brengt de s2s-vpn bedrijf_B logisch gezien?

Ik bedoel eigenlijk: Zonder enige ACL's en alleen een S2S vpn: Kunnen ze dan gewoon hetzelfde als wat de "intrested traffic" subnets in Bedrijf_A kunnen?

donderdag 2 januari 2014 14:12

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 26-11 16:03

Mikey!

VPN-netwerken vallen onder de inside, maar bevinden zich achter de outside interface :)

donderdag 2 januari 2014 15:14

Acties:

Verwijderd

Topicstarter
Dank.helder! Nog één vraag.

Hoe zit het als ik ook een stukje DMZ (als uitwijk) bij bedrijf_B heb? Deze koppel (VPN) ik met alle netwerken bij Bedrijf_A. Betekent dit dan ook dat ze logisch gezien weer INSIDE zijn bij bedrijf_A? En dat ze (in default setting) dus communceren met alle netwerken van bedrijf_A en daarmee de Security-levels genegeerd worden?

Hoe moet ik dit zien?

donderdag 2 januari 2014 15:28

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 26-11 16:03

Mikey!

Verwijderd schreef op donderdag 02 januari 2014 @ 15:14:
Dank.helder! Nog één vraag.

Hoe zit het als ik ook een stukje DMZ (als uitwijk) bij bedrijf_B heb? Deze koppel (VPN) ik met alle netwerken bij Bedrijf_A. Betekent dit dan ook dat ze logisch gezien weer INSIDE zijn bij bedrijf_A? En dat ze (in default setting) dus communceren met alle netwerken van bedrijf_A en daarmee de Security-levels genegeerd worden?

Hoe moet ik dit zien?
Vanaf Bedrijf_A gezien is de DMZ bij Bedrijf_B inside, echter retourverkeer wordt behandeld met de normale Security-levels waardoor over het algemeen verkeer van een DMZ naar inside wordt geblokkeerd. Hiervoor zal je het verkeer wat vanuit de DMZ bij Bedrijf_B komt expliciet moeten toestaan met een ACL en je (no)-NAT goed hebben geregeld :)

donderdag 2 januari 2014 15:56

Acties:

Verwijderd

Topicstarter
Thx!

donderdag 2 januari 2014 16:01

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 26-11 16:03

Mikey!

Geen dank :)

Mocht je overigens verkeer vanaf Bedrijf_A naar de DMZ van Bedrijf_B niet willen toestaan (of beperken) zal je het verkeer al op de ASA van Bedrijf_A moeten blokkeren alvorens het over de VPN heen gaat.

donderdag 2 januari 2014 16:42

Acties:

Verwijderd

Topicstarter
Ik snap het toch nog niet helemaal. Omdat ze logisch gezien “INSIDE” zitten: op basis waarvan mag verkeer wel/niet door. Werken de security-levels op beide locaties soms samen? Bv: 100 in Bedrijf_B mag naar 50 in Bedrijf_A?
Bedrijf A interface Security levelOnderhangend Netwerk
Outside0
DMZ50192.168.0.0/16
Inside100172.16.0.0/16


Bedrijf B interfaceSecurity levelOnderhangend Netwerk
Outside0
DMZ5010.10.0.0/16
Inside10010.50.0.0/16


Alle netwerken zijn aan beide kanten aangeduid als intrested traffic :
access-list outside_cryptomap extended permit ip object-group Bedrijf_A Bedrijf_B 255.255.0.0
Uiteraard exempt NAT. Routering op orde.

Kun jij het misschien aanvullen/uitleggen ?
SourceDestenationPass/failEvt. ACLs toepassen op
B_InsideA_Inside B_Inside
B_InsideA_DMZPassB_Inside
B_DMZA_InsideFail? B_DMZ
B_DMZA_DMZ B_DMZ

Alvast bedankt. Ik kan via Google nog geen hulp vinden over Sec.levels i.c.m. s2s vpn en hoe dit werkt.

donderdag 2 januari 2014 16:54

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 26-11 16:03

Mikey!

Hou er rekening mee dat de ASA's niet op de hoogte zijn van elkanders security levels, een ASA kan alleen voor zijn eigen 'connected' networks bepalen wat het security level is. Er zijn dus geen speciale regels omtrent security levels voor VPN's, deze vallen standaard onder security level 100 aangezien deze als trusted network worden gekoppeld.

Voor Bedrijf_A:
Outside = 0
Inside = 100
DMZ = 50
VPN = 100

Voor Bedrijf_B:
Outside = 0
Inside = 100
DMZ = 50
VPN = 100

SourceDestenationPass/failEvt. ACLs toepassen op
B_InsideA_InsidePassB_Inside
B_InsideA_DMZPassB_Inside
B_DMZA_InsideFailB_DMZ
B_DMZA_DMZPass*B_DMZ


* Let wel dan voor je voor verkeer tussen security levels met dezelfde waarde je het 'same-security permit' commando moet toepassen om er voor te zorgen dat ze met elkaar kunnen communiceren :)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq