Toon posts:

Cisco PIX + Alcatel 510 + MS Proxy/Exchange:best practis

Pagina: 1
Acties:

donderdag 19 juni 2003 20:39

Acties:

Verwijderd

Topicstarter
Ik zit een beetje te puzzelen wat de fraaiste (en meest secure) manier is om alles aan te sluiten.

Aanwezig:
* MS Proxyserver/Exchange 5.5 (worden later nog geupgrade)
* Cisco PIX 501
* Alcatel Speedtouch 510

De PIX is een nieuwe toevoeging, welke ik moet plaatsen. Hoe een PIX ingesteld moet worden weet ik wel, evenals wat de mogelijkheden zijn. Daar gaat het mij niet om (althans, lees verder ;) )

Huidige manier van aansluiten:

code:
1
2
3
4
5
6
7
8
9

[clients, 192.168.1.x] 
        |
        |
[192.168.1.1 proxy/exchange]
[ 10.0.0.10 proxy/exchange]
      |
      |
[10.0.0.138 Alcatel Speedtouch 510]
[x.y.z.w Alcatel Speedtouch 510]


In de exchange server zitten dus 2 nic's, 1tje voor het interne netwerk, en eentje voor de verbinding met de ISP. Bedoeling is om tussen de proxy/mail-server en de alcatel die PIX 510 te plaatsen.

Problemen:
1) de PIX 501 zal een VPN verbinding moeten kunnen opzetten met een andere 510 ergens anders
2) de PIX 501 mag geen deel uitmaken van het lokale netwerk

Cisco stelt zelf het volgende voor:
Afbeeldingslocatie: http://www.cisco.com/warp/public/110/single-net-ex.gif

Een beetje aangepast voor onze infrastructuur kom ik dan tot het volgende:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13

[clients 192.168.1.x]
           |
           |
[proxy 192.168.1.1]
[proxy 192.168.2.2]
           |
           |
[pix 192.168.2.1]
[pix 192.168.3.2]
           |
           |
[alcatel 192.168.3.1]
[alcatel x.y.z.w (internet-IP]


Is dit de beste manier om dit probleem te tackelen, of zijn er nog mooiere oplossingen? Was dat externe VPN niet nodig geweest dan had ik de PIX de VPN verbinding met de ISP laten opzetten, maar volgens mij is dat nu geen optie meer. In dat geval zou namelijk die PIX een VPN over een VPN moeten aanleggen, iets wat hij imo niet kan (?)

//edit
Pix 510501

[ Voor 6% gewijzigd door Verwijderd op 19-06-2003 21:16 ]

donderdag 19 juni 2003 20:57

Acties:
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 23:17

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Waarom maak je geen DMZ opstelling ipv de mailserver etc op het interne netwerk te zetten? Dat is een beter oplossing als die jij voorstelt in je picture. Hoeveel interfaces heb je op de PIX zitten? Als je al weet hoe de PIX ingesteld moet worden en wat ie allemaal kan je een goede opstelling toch ook wel zelf bedenken / opzoeken?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

donderdag 19 juni 2003 21:02

Acties:

Verwijderd

Topicstarter
Een 501 heeft helaas geen DMZ optie. Daarnaast is die mail/proxy ook de BDC in een NT4 netwerk. Dit gaat wel relatief binnekort veranderen, maar is momenteel gewoon de situatie.

Ik heb een hoop lopen zoeken over dit geheel, en eigenlijk overal wordt het scenario voorgesteld wat ik zelf ook weergeef. Ikzelf vind dit eigenlijk geen mooie oplossing, en kan me voorstellen dat er toch een betere is. Vandaar mijn vraag hier.

donderdag 19 juni 2003 21:05

Acties:
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 23:17

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Verwijderd schreef op 19 June 2003 @ 21:02:
Een 501 heeft helaas geen DMZ optie. Daarnaast is die mail/proxy ook de BDC in een NT4 netwerk. Dit gaat wel relatief binnekort veranderen, maar is momenteel gewoon de situatie.

Ik heb een hoop lopen zoeken over dit geheel, en eigenlijk overal wordt het scenario voorgesteld wat ik zelf ook weergeef. Ikzelf vind dit eigenlijk geen mooie oplossing, en kan me voorstellen dat er toch een betere is. Vandaar mijn vraag hier.
Je moet je afvragen of je uberhaubt een bdc ook als mailserver aan het inet wilt koppelen. Kun je geen "tussen" situatie maken? Heb je de PIX al aangeschaft? Met 2 kun je zowiezo een dmz maken.

edit: is't nu een 501 of 510 (?)? je gebruikt ze door elkaar of zie ik het nu niet goed?

[ Voor 11% gewijzigd door Bor op 19-06-2003 21:13 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

donderdag 19 juni 2003 21:14

Acties:

Verwijderd

Topicstarter
Dat je een BDC niet aan het internet wilt koppelen weet ik wel, ik ben dan ook bezig gefaseerd e.e.a. op orde te brengen. Door tijdsnood kom ik er nu pas aan toe (werk er al anderhalf jaar). Wel heb ik bij binnenkomst die alcatel geinstalleerd (was flatfee ISDN via een Cisco 801) en daar alles op dichtgetimmerd. Omdat ik een Alcatel 510 als corporate firewall nou niet echt je-van-het vind, is er die PIX bijgekomen. Geloof het of niet, de huidige situatie is al een sterke verbetering. Toen ik er kwam werken, hing die proxy/mail server zonder enige updates na SP6 rechstreeks en ongefilterd aan het internet. Daarnaast was IIS geinstalleerd en draaide er een anonymous FTP.

Er is gekozen voor een Cisco 501, om verschillende redenen. De keuze Cisco is gedaan vanwege uniformiteit (alle overige netwerk-apparatuur is ook cisco), betrouwbaarheid (cisco staat goed bekend) en de support mogelijkheden (smartnet). Het is een 501 geworden omdat de laagste versie met een DMZ fors duurder is, en een DMZ niet echt nodig is. Door deze segmentering creëer je al een soort van DMZ.

In plaats van me op m'n fouten te wijzen, zou je ook kunnen proberen mee te denken ;)

//edit
idd, ik zie nu dat 510 en 501 door elkaar gebruikt worden (komt door die alcatel). 't is een 501

[ Voor 8% gewijzigd door Verwijderd op 19-06-2003 21:15 ]

donderdag 19 juni 2003 21:17

Acties:
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 23:17

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Verwijderd schreef op 19 June 2003 @ 21:14:
Het is een 501 geworden omdat de laagste versie met een DMZ fors duurder is, en een DMZ niet echt nodig is. Door deze segmentering creëer je al een soort van DMZ.

In plaats van me op m'n fouten te wijzen, zou je ook kunnen proberen mee te denken ;)
Leg me eens uit waarom dit een "soort dmz opstelling" zou moeten zijn want dat zie ik helaam niet :? Probeer juist wel mee te denken maar vroeg me af of dit een "al afgesproken" setup is of dat er nog apaaratuur bij kon oid.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

donderdag 19 juni 2003 21:22

Acties:

Verwijderd

Topicstarter
De apparatuur ligt al vast. Dit is al 'een soort van DMZ opstelling' omdat de extern aangeboden services niet vanaf het interne netwerk komen, maar vanaf een 'tussensegment'. Dat het geen full-blown DMZ is, weet ik wel.

//edit
DMZ:
Afbeeldingslocatie: http://www.firewalls.com/images/document-dmz.jpg

Pseudo:
Afbeeldingslocatie: http://www.tweakers.net/ext/f/6883/full.png

Eventueel valt er waarsch. wel een DMZ te 'vogelen' met behulp van onze cisco switches en een paar VLAN's, maar dan maak ik de situatie onnodig gecompliceerd. e.e.a. moet wel opgezet worden volgens het KISS principe.

Het gaat mij voornamelijk om het stuk Proxy -- PIX -- Alcatel. Hardwarematig zal dit stuk gelijk blijven, maar de vraag is of er een andere oplossing is mbt. segmenten/protocollen.

[ Voor 14% gewijzigd door Verwijderd op 19-06-2003 22:22 ]

donderdag 19 juni 2003 22:41

Acties:
  • snakeye
  • Registratie: Januari 2000
  • Laatst online: 27-04 11:01

snakeye

vanaf versie 6.3.1 ondersteund een pix vlan routering. Je kan dan vlan interfaces aanmaken op je pix en heb je dus effectief meer beschikbare (virtuele) interfaces. Weet alleen niet ook de pix501 dat ook ondersteund aangezien het een instapmodel is.

Atari 2600 @ 1,1 Hz, 1 Bits speaker, 16 Kb mem, 8 kleuren..

donderdag 19 juni 2003 23:14

Acties:
  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025

Flyduck

Ik zou sowieso de alcatel laten bridgen zodat je je internet IP op je pix hebt.
Dat is sowieso wel aan te raden wil je je IPSEC tunnel laten werken... (voor zover ik weet werkt IPSEC namelijk niet via NAT)
Maar je kan natuurlijk ook een static IP mapping maken vanaf de alcatel naar de PIX.

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

vrijdag 20 juni 2003 08:30

Acties:

Verwijderd

Topicstarter
Flyduck schreef op 19 juni 2003 @ 23:14:
Ik zou sowieso de alcatel laten bridgen zodat je je internet IP op je pix hebt.
Dat is sowieso wel aan te raden wil je je IPSEC tunnel laten werken... (voor zover ik weet werkt IPSEC namelijk niet via NAT)
6.3.1 ondersteund NAT Traverse, dit houdt in dat de IPSEC verbinding over meerdere NAT stations mag gaan.
Network Address Translation (NAT), including Port Address Translation (PAT), is used in many networks where IPSec is also used, but there are a number of incompatibilities that prevent IPSec packets from successfully traversing NAT devices. NAT traversal enables ESP packets to pass through one or more NAT devices.
bron
Maar je kan natuurlijk ook een static IP mapping maken vanaf de alcatel naar de PIX.
Dat heb ik nu nog, via 'nat defserver'
vanaf versie 6.3.1 ondersteund een pix vlan routering. Je kan dan vlan interfaces aanmaken op je pix en heb je dus effectief meer beschikbare (virtuele) interfaces. Weet alleen niet ook de pix501 dat ook ondersteund aangezien het een instapmodel is.
Ja hij ondersteund het, evenals onze Cisco 2950 switches. Echter maak ik de situatie daarmee niet onnodig gecompliceerd? Wat voor meerwaarde heeft een VLAN in deze setup?

Waar ik zelf nog wel over heb lopen denken: Die Alcatel kun je zien als firewalll, die pix ook. Zou het mogelijk zijn met deze hardware icm. een paar VLAN's om een back-to-back DMZ te maken?

Of mag je al van een back-to-back DMZ spreken als de 2e 'firewall' en proxy is?

vrijdag 20 juni 2003 17:56

Acties:

Verwijderd

Topicstarter
Nou dat bridgen gaat dus (helaas) niet door; het kan nl. domweg niet. Heeft me een hele dag gekost om daar achter te komen :(

Wat ik deed:

Alcatel:
Alles weggooien daarna in het phonebook een entry 'bridging' aanmaken met VCP/VCI (oid) 48/8, FSC: NO, daarna in het 'bridge' menu een bridge aanmaken welke op forwarding staat.

Cisco:
vpdn group adsl request dialout
vpdn group adsl authentication PAP
vpdn username <username> pass <password>
ip address outside pppoe

Helaas werkt dit niet. KPN ondersteund geen PPPoE, alleen PPPoA. De andere optie is om een PPTP verbinding te starten, echter dan kan ik (volgens Cisco) geen VPN meer aanmaken.

Dus, terug naar de static mapping dan maar, dat werkt iig.

[ Voor 4% gewijzigd door Verwijderd op 20-06-2003 17:56 ]

vrijdag 20 juni 2003 23:46

Acties:
  • snakeye
  • Registratie: Januari 2000
  • Laatst online: 27-04 11:01

snakeye

Verwijderd schreef op 20 juni 2003 @ 08:30:


Ja hij ondersteund het, evenals onze Cisco 2950 switches. Echter maak ik de situatie daarmee niet onnodig gecompliceerd? Wat voor meerwaarde heeft een VLAN in deze setup?

Waar ik zelf nog wel over heb lopen denken: Die Alcatel kun je zien als firewalll, die
Je configureerd een extra vlan op je ethernet en zo creeer je dus een dmz m.b.v een vlan. Al het verkeer van /naar dit vlan moet langs de pix en zo kan je dus je lokale lan afschermen.

Atari 2600 @ 1,1 Hz, 1 Bits speaker, 16 Kb mem, 8 kleuren..

zaterdag 21 juni 2003 00:56

Acties:

Verwijderd

Topicstarter
Je configureerd een extra vlan op je ethernet en zo creeer je dus een dmz m.b.v een vlan. Al het verkeer van /naar dit vlan moet langs de pix en zo kan je dus je lokale lan afschermen.
Dat is voorlopig gewoon geen optie. Op die manier ga ik nl. al het (interne) verkeer naar de BDC server, exchange server en proxy server over de pix sturen. Daar zijn de clients niet blij mee denk ik (server=Gbit, clients 100Mbit).

//edit
Maar goed, ik zie net dat het uberhaupt niet kan; de 501 blijkt toch geen VLAN's te ondersteunen:
VLANs are not supported on the PIX 501
So be it.

\\ edit
Al het verkeer komt zowiezo al langs de PIX:

- SMTP ---> PIX > --- Exchange
- Exchange ---> PIX --> SMTP
- Overige --- PIX (X)
- intern netwerk --> proxy --> PIX --> Internet
- internet (established, bepaalde poorten) --> PIX --> proxy --> intern netwerk

Ik zie voor m'n email 1 beveiliging (PIX), en voor m'n interne netwerk 2 (PIX/Proxy)

Ik ben al aan het lobbyen voor een betere functiescheiding op de servers, maar voorlopig moet ik het hier mee doen.

[ Voor 25% gewijzigd door Verwijderd op 21-06-2003 01:28 ]

zondag 22 juni 2003 11:08

Acties:
  • Maarten @klet.st
  • Registratie: Oktober 2001
  • Laatst online: 13-02 23:00

Maarten @klet.st

snakeye schreef op 19 juni 2003 @ 22:41:
vanaf versie 6.3.1 ondersteund een pix vlan routering. Je kan dan vlan interfaces aanmaken op je pix en heb je dus effectief meer beschikbare (virtuele) interfaces. Weet alleen niet ook de pix501 dat ook ondersteund aangezien het een instapmodel is.
Op de Pix 501 worden VLANs helaas niet ondersteund in versie 6.3x. Wel loopt ie een stuk sneller volgens cisco, dus een upgrade kan zeker de moeite waard zijn.

Om terug te komen op de originele vraag uit het topic: De tussenvoeging van de pix tussen proxy en 'router' lijkt me de meest logische oplossing. De oplossing zoals die nu is (dubbel NATten enzo) is niet ideaal, maar daar zal die PIX geen verslechtering in aanbrengen :-)

De Pseudo DMZ oplossing is zeker het overwegen waard. Een DMZ creeeren met de PIX zal niet makkelijk gaan. Een extra interface in de 'proxy' is een mooie oplossing. VLANs zou ik niet gaan gebruiken als je KIS aan wilt houden, lijkt me ook niet echt nodig in deze setup.

VLANs bieden erg mooie oplossingen, zowel voor je netwerk als voor een pix met te weinig interfaces (in de pix die ik beheer past helaas maar 3x Gigabit >:) ), maar overzichtelijker wordt je netwerk er niet op.

Als ik jou was en ik moest het doen met de geschetste apparatuur zou ik het cisco voorbeeld volgen en daarnaast een extra nic in de proxy stoppen om daar de mailserver aan te hangen.

Suc7!

zondag 22 juni 2003 21:25

Acties:

Verwijderd

Topicstarter
Ik ben inmiddels een paar dagen verder, en kom tot de conclusie dat bridgen uberhaupt niet kan. Die PIX kan nl. geen uitgaande PPTP aanmaken, oftewel ik MOET het modem het externe IP laten hebben - als ik dit verkeerd zie dan hoor ik het graag.

Een extra interface in de proxy kan best, die zit er zelfs al (nu nog uitgeschakeld). Die machine heeft dan 3 interfaces; 1 voor intern; 1 voor mail extern en 1 voor proxy, is dat hoe je het voor je ziet?

maandag 23 juni 2003 21:01

Acties:
  • Maarten @klet.st
  • Registratie: Oktober 2001
  • Laatst online: 13-02 23:00

Maarten @klet.st

Verwijderd schreef op 22 June 2003 @ 21:25:
Ik ben inmiddels een paar dagen verder, en kom tot de conclusie dat bridgen uberhaupt niet kan. Die PIX kan nl. geen uitgaande PPTP aanmaken, oftewel ik MOET het modem het externe IP laten hebben - als ik dit verkeerd zie dan hoor ik het graag.

Een extra interface in de proxy kan best, die zit er zelfs al (nu nog uitgeschakeld). Die machine heeft dan 3 interfaces; 1 voor intern; 1 voor mail extern en 1 voor proxy, is dat hoe je het voor je ziet?
De alcatel het externe IP laten hebben en al het verkeer richting je pix sturen werkt op zich ook prima. Het is keer NAT die je liever niet wilt, maar die bridge-oplossing met die alcatel verdient ook niet echt een schoonheidsprijs 8).

Die derde interface interface op je proxy gebruiken voor je mailserver is inderdaad wat ik bedoelde..

dinsdag 24 juni 2003 16:30

Acties:
  • raymonvdm
  • Registratie: December 2001
  • Laatst online: 30-06-2025

raymonvdm

SipSpoof ?

http://jp.dhs.org/~jp/

http://www.jelmerbarhorst.com/mxstream.html


Hiermee heb ik mijn alcatel 510i het externe ip doorlaten geven naar m`n 2000 server. Ik denk dat een pix dat ook moet kunnen het is tenslotte Cisco...

dinsdag 24 juni 2003 17:59

Acties:

Verwijderd

Topicstarter
Ik vind het maar een raar verhaal. In principe heb ik alles ingesteld volgens die manuals, echter dan heeft je modem wel degelijk het externe IP. Als ik beschrijvingen goed lees dan zie ik dat zowel het modem als de machine achter het modem het externe IP zou hebben?

dinsdag 24 juni 2003 20:56

Acties:
  • Maarten @klet.st
  • Registratie: Oktober 2001
  • Laatst online: 13-02 23:00

Maarten @klet.st

raymonvdm schreef op 24 June 2003 @ 16:30:
SipSpoof ?
http://jp.dhs.org/~jp/
http://www.jelmerbarhorst.com/mxstream.html
Hiermee heb ik mijn alcatel 510i het externe ip doorlaten geven naar m`n 2000 server. Ik denk dat een pix dat ook moet kunnen het is tenslotte Cisco...
Sommige OS-en schijnen er niet lekker mee te werken, ivm netmask (zie ook de truc met Windows). Ook de default route naar een IP dat buiten het netmask ligt (logisch, met een /32 :-) ) wil nog wel eens wat proberen opleveren voor het werkt.
Het is best mogelijk dat dit met een PIX ook niet een twee drie te doen is, ik heb het (nog) niet geprobeerd. Via google is ook niet zo snel iets te vinden.

dinsdag 24 juni 2003 21:08

Acties:

Verwijderd

Topicstarter
een PIX pakt geen default route buiten de netmask. Hoe ik het nu heb:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13

Alcatel
outside: ISP IP
inside: 192.168.2.1  (255.255.255.248)
    |
    |
Pix 501
outside: 192.168.2.2 (255.255.255.248)
inside: 192.168.2.9 (255.255.255.248)
    |
    |
MS Proxy 2.0/Exchange 5.5
outside: 192.168.2.10  (255.255.255.248)
inside: 192.168.1.2 (255.255.255.0)


Ondertussen heb ik mezelf bedacht dat ik met de aanwezige hardware best een DMZ op kan zetten, back-to-back zelfs. Dit omdat het modem ook een firewall heeft, dan wordt het:

code:
1
2
3
4
5
6
7
8
9
10

Alcatel
    |
    |            
  switch  -- email
    |
    |
PIX 501
    |
    |
Proxy


zoals je ziet heb ik dan een volwaardige DMZ. Enige minpunt eraan is nu nog dat de proxy en de email 1 en dezelfde machine zijn (wel 2 interfaces). Dit gaat echter binnen 3 maand veranderen, en dan draait er ook ISA ipv. MS Proxy en de laatste versie van exchange.

Mochten mensen trouwens denken:security by obscurity rules, de hier geposte configuraties zijn analoog aan hetgeen ik gebruik, echter niet identiek..
Pagina: 1
Reageer