Toon posts:

Cisco ASA "alle" pakketten filteren

Pagina: 1
Acties:

Vraag

woensdag 26 september 2018 14:49

Acties:
  • 0Henk 'm!
  • StapelPanda
  • Registratie: Februari 2005
  • Laatst online: 26-05 23:14

StapelPanda

PB0MV

Topicstarter
Voor een Cisco netwerk infrastructuur zou ik graag op de applicatie switches gebruik maken van "switchport protected", dit zorgt ervoor dat apparaten elkaar niet kunnen zien. Alle servers draaien immers op andere VLAN's en zullen dus via de ASA met een ACL gerouteerd worden, zelfde geld voor internet gebruik.

De beoogde infrastructuur ziet er ongeveer zo uit (de CS1/CS2 worden uiteindelijk gestacked, nu even voor de test twee losse switches):


Nu zijn er gevallen op waarin bepaalde apparaten wel met elkaar mogen communiceren, dit wil ik dan graag met een ACL op de firewall/ASA doen. Voor de test probeer ik tussen de twee linux machines te pingen, deze zitten op hetzelfde vlan en subnet, als ik "no switchport protected" aanroep gaat dit goed. Als ik deze weer aan zet zie ik in traces van GNS3 dat deze tot de ASA firewall komen, maar vervolgens daar gedropt worden.

Mijn doel is voor de pakketten om de volgende weg af te leggen:
Linux1 -> AS1-> CS1 -> ASA -> CS1 -> AS1 -> Linux2

Wat heb ik al geprobeerd:
- Net als met een VPN tunnel "same-security-traffic permit intra-interface" aangezet.
- ACL met any -> any allow
- Static ARP in Linux1 naar Linux2, erna ping eruit gestuurd

Is dit mogelijk, of probeer ik het onmogelijke doordat de asa het zelfde pakket ongewijzigd weer op dezelfde interface moet terugzetten?


UPDATE: De volgende regel doet het "nat (LAN,LAN) 1 source static SUBNET_LAN SUBNET_LAN destination static SUBNET_LAN SUBNET_LAN unidirectional"

Dan is denk de volgende vraag: Is dit wenselijk? Het netwerk is redelijk opgedeeld in VLAN segmenten, het meeste verkeer moet nu toch al door de firewall heen, dus veel extra load verwacht ik niet.

[Voor 10% gewijzigd door StapelPanda op 26-09-2018 15:06. Reden: NAT regel zodat het werkt]

Beste antwoord (via StapelPanda op 28-09-2018 16:14)

donderdag 27 september 2018 09:39

  • GeleFles
  • Registratie: Augustus 2001
  • Niet online

GeleFles

What's in a bottle?

Om het verkeer toe te staan om over dezelfde interface weer terug te gaan, moet je inderdaad de intra-interface optie aanzetten. Ook is er een NAT regel nodig, zodat daar geen NAT op uitgevoerd word.

Of het wenselijk is, is natuurlijk afhankelijk van de situatie. Als de firewall uit zijn neus staat te eten, dan kan ie het extra traffic prima afhandelen. Wel moet je in het achterhoofd houden dat je ACL's bijhoud, en dat het verkeer dus altijd over de firewall moet. (kan wat 'owja....' momenten opleveren als je collega's gaan troubleshooten en pas na een aantal uren dit uitvinden)

Het enige wat ik niet snap, is dat je zegt dat je servers op aparte vlan's draaien; dan zou je de switchport protected helemaal niet nodig hebben.

Alle reacties

donderdag 27 september 2018 09:39

Acties:
  • Beste antwoord
  • +1Henk 'm!
  • GeleFles
  • Registratie: Augustus 2001
  • Niet online

GeleFles

What's in a bottle?

Om het verkeer toe te staan om over dezelfde interface weer terug te gaan, moet je inderdaad de intra-interface optie aanzetten. Ook is er een NAT regel nodig, zodat daar geen NAT op uitgevoerd word.

Of het wenselijk is, is natuurlijk afhankelijk van de situatie. Als de firewall uit zijn neus staat te eten, dan kan ie het extra traffic prima afhandelen. Wel moet je in het achterhoofd houden dat je ACL's bijhoud, en dat het verkeer dus altijd over de firewall moet. (kan wat 'owja....' momenten opleveren als je collega's gaan troubleshooten en pas na een aantal uren dit uitvinden)

Het enige wat ik niet snap, is dat je zegt dat je servers op aparte vlan's draaien; dan zou je de switchport protected helemaal niet nodig hebben.

donderdag 27 september 2018 10:18

Acties:
  • +1Henk 'm!
  • drie van acht
  • Registratie: December 2015
  • Niet online

drie van acht

Het klinkt mij een beetje als overkill in de oren. Port protection gebruik je meestal om klantjes onderling af te schermen omdat ze verschillende organisaties zijn die alleen een uplink verwachten en verder niet. Of dat nu kantoren, huizen, of (colo)servers zijn. Of mischien zijn het wel jouw servers maar vertrouw je de derde partij-serversoftware erop niet met de rest van je infrastructuur.

Ik zou dan dus twee VLANs aanhouden, eentje met de onvertrouwde servers en eentje met wat er wel met elkaar mag babbelen. Of mischien een bastionhost op een normale poort en vandaaruit alle verbindingen naar port protected servers maken, aangenomen dat het vooral om onderhoud gaat.

Maar al dit soort truuks, en individuele packet filtering regels nog meer, maken het geheel complexer en breekbaarder. Het levert ook meer werk op, want bij elke verandering zullen de filterregels mee moeten veranderen, zowel meer toegang als oude toegang weer terugdraaien. Dus zorg tenminste voor accurate documentatie, en dan kun je daar gelijk opschrijven waarom je het doet.

donderdag 27 september 2018 11:30

Acties:
  • 0Henk 'm!
  • Equator
  • Registratie: April 2001
  • Laatst online: 21:32

Equator

Crew Council

#whisky #barista

Ik ga wel een beetje mee met de heren hierboven. Het is mij niet duidelijk wat je nu precies functioneel probeert te bereiken.

Segmentatie van netwerken werkt prima met een VLAN. Wil je verkeer specifiek toestaan van een VLAN naar een ander VLAN, dan kan dat met een ASA met meerdere (sub) interfaces.

edit:
Mijn doel is voor de pakketten om de volgende weg af te leggen:
Linux1 -> AS1-> CS1 -> ASA -> CS1 -> AS1 -> Linux2
en Linux1 en Linux2 zitten in hetzelfde VLAN / SUBNET?

[Voor 24% gewijzigd door Equator op 27-09-2018 11:33]

Vragen/opmerkingen
Privacy is something you can sell, but you can't buy back!

donderdag 27 september 2018 12:04

Acties:
  • 0Henk 'm!
  • StapelPanda
  • Registratie: Februari 2005
  • Laatst online: 26-05 23:14

StapelPanda

PB0MV

Topicstarter
Het idee achter de "protected" ports is dat als een pc/laptop geinfecteerd is met een een virus of iets soort gelijks dat deze niet zomaar bij andere hosts komen. Gezien de hosts alleen maar data nodig hebben van het internet of andere vlans gaat alle data toch al via de ASA, zie dus geen nadelen om het wel in te voeren :)

Overkill lijkt het mij niet echt, het huidige Firewall beleid is toch al deny any met wat uitzonderingen al poort 443 en 80.

vrijdag 28 september 2018 14:01

Acties:
  • +1Henk 'm!
  • twiekert
  • Registratie: Februari 2001
  • Laatst online: 18:19

twiekert

Private VLAN's? Daar heeft de ASA ook ondersteuning voor

vrijdag 28 september 2018 15:31

Acties:
  • +1Henk 'm!
  • Ascension
  • Registratie: September 2008
  • Laatst online: 30-05 17:08

Ascension

Cisco heeft daar een community VLAN voor, hosts in dat VLAN mogen wel met elkaar praten maar niet met hosts in een ander community VLAN of in het primary VLAN.

Zie: Cisco docs

vrijdag 28 september 2018 15:58

Acties:
  • 0Henk 'm!
  • Equator
  • Registratie: April 2001
  • Laatst online: 21:32

Equator

Crew Council

#whisky #barista

Ascension schreef op vrijdag 28 september 2018 @ 15:31:
Cisco heeft daar een community VLAN voor, hosts in dat VLAN mogen wel met elkaar praten maar niet met hosts in een ander community VLAN of in het primary VLAN.

Zie: Cisco docs
Maar dat precies wat hij niet wilt. Hosts in het zelfde vlan mogen juist niet met elkaar praten begrijp ik..

Vragen/opmerkingen
Privacy is something you can sell, but you can't buy back!

vrijdag 28 september 2018 16:06

Acties:
  • 0Henk 'm!
  • Ascension
  • Registratie: September 2008
  • Laatst online: 30-05 17:08

Ascension

Equator schreef op vrijdag 28 september 2018 @ 15:58:
[...]

Maar dat precies wat hij niet wilt. Hosts in het zelfde vlan mogen juist niet met elkaar praten begrijp ik..
Maar sommige hosts wel. Dus de hosts die wel met elkaar mogen praten zet je samen in een community VLAN, hosts die niet met elkaar mogen praten zet je in een isolated VLAN. Beide VLAN's zijn onderdeel van het primary VLAN.

vrijdag 28 september 2018 16:09

Acties:
  • 0Henk 'm!
  • Equator
  • Registratie: April 2001
  • Laatst online: 21:32

Equator

Crew Council

#whisky #barista

Maar dan loopt het verkeer nog steeds niet via de firewall.

Vragen/opmerkingen
Privacy is something you can sell, but you can't buy back!

vrijdag 28 september 2018 16:14

Acties:
  • 0Henk 'm!
  • StapelPanda
  • Registratie: Februari 2005
  • Laatst online: 26-05 23:14

StapelPanda

PB0MV

Topicstarter
RonnieB82 schreef op donderdag 27 september 2018 @ 09:39:
Om het verkeer toe te staan om over dezelfde interface weer terug te gaan, moet je inderdaad de intra-interface optie aanzetten. Ook is er een NAT regel nodig, zodat daar geen NAT op uitgevoerd word.
Dit is eigenlijk al het antwoord, en in GNS3 heb ik dit ook werkend gekregen. Als ik nu of Private VLAN's ga maken (was in de veronderstelling dat onze SG300 switches dat niet ondersteunde), of protected ports gebruik maakt niet uit. Het idee blijft dat de "isolated" ports alleen mogen communiceren met andere "isolated" ports via de ASA. Het aanmaken van Private VLAN's is echter handiger omdat je dan binnen hetzelfde VLAN community en isolated VLANs kan maken en dus ook nog de mogelijkheid hebt om verschillende poorten wel met elkaar te laten communiceren.

Heel erg bedankt voor de input allemaal!

vrijdag 28 september 2018 16:34

Acties:
  • 0Henk 'm!
  • Ascension
  • Registratie: September 2008
  • Laatst online: 30-05 17:08

Ascension

Equator schreef op vrijdag 28 september 2018 @ 16:09:
Maar dan loopt het verkeer nog steeds niet via de firewall.
Die "eis" had ik over het hoofd gezien. 8)7

vrijdag 28 september 2018 16:38

Acties:
  • 0Henk 'm!
  • StapelPanda
  • Registratie: Februari 2005
  • Laatst online: 26-05 23:14

StapelPanda

PB0MV

Topicstarter
Uitendelijk gaat er dan volgens mij hetzelfde gebeuren, het pakket uit een isolated vlan gaat via de uplink richting de ASA, als die beslist dat het ok is gooit deze het pakket op dezelfde interface weer eruit en gaat dan alsnog naar de desbetreffende poort.
Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee