Posizionamento di firewall per tunnel VPN RA e L2L

8

Per l'accesso remoto (RA) e LAN-to-LAN (L2L) VPN , ho operano attualmente un paio di Cisco VPN 3005 concentratori legate a edge router Internet sul lato esterno e l'interno legato ad una coppia interna di 535s PIX su quale sia il firewall esterno all'interfaccia prima di essere autorizzato a passare attraverso le nostre reti interne reali. Sia la VPN 3005 che la PIX 535 vengono sostituite con la piattaforma ASA-5545X. Questi firewall non sono destinati al nostro traffico Internet primario, ma solo alla VPN e possono anche fungere da firewall interni per il traffico che entra nel data center attraverso linee private.

Con gli ACL del firewall interno combinati in un unico firewall che serve il traffico VPN e potenzialmente altro traffico di linea privata, per limiti di sicurezza ed eliminazione di eventuali problemi di routing, l'interfaccia interna del firewall VPN (5545) dovrebbe rimanere in una sottorete separata dal firewall principale di Internet o non importa davvero? OSPF è attualmente in esecuzione sul firewall Internet (w / default-originate) e sulla VPN 3005. Dato che questo data center è il nostro DC principale per il traffico web - il nostro pane e burro - devo eliminare qualsiasi potenziale problema con il posizionamento del Firewall VPN che potrebbero interferire con questo anche nel minimo.

** Se l'interfaccia interna del 5545 dovesse atterrare prima sugli interruttori di bordo L2 e poi su trunk agli interruttori agg per una maggiore sicurezza o semplicemente far cadere direttamente l'interno nello strato Agg, anche considerando che il traffico di linea privata potrebbe passare attraverso un'altra interfaccia sul 5545 in futuro.

Solo le parti rilevanti della connettività L3 sono mostrate di seguito con l'ASA-5545X * in questione.

                     Internet
                        |
               Edge rtr + Edge rtr
                        |
5545 * (VPN / fw interno) + 5540 (fw Internet per traffico in / out DC)
                        |
                  Agg-1 + Agg-2
                        |
                       eccetera

Una coppia di interruttori L2 collega tutti i dispositivi periferici prima di raggiungere gli interruttori Agg.
Spazio IP pubblico all'esterno dei firewall, privato all'interno.
(Ogni firewall fa parte di una coppia di failover separata non mostrata; 5545 e 5540
non avere interazione.)

Cercare risposte / commenti che potrebbero essere considerati le migliori pratiche o ciò che hai trovato funziona meglio in una tipica rete aziendale.

cisco  security  cisco-asa  vpn  switching 
generalnetworkerror
fonte
Esiste un indirizzamento pubblico o privato tra i router perimetrali e l'ASA 5545X?
Mike Pennington,
@MikePennington, indirizzi pubblici tra router perimetrali e firewall ASA.
generalnetworkerror,
Qualche risposta ti è stata d'aiuto? in tal caso, dovresti accettare la risposta in modo che la domanda non continui a comparire per sempre, cercando una risposta. In alternativa, potresti fornire e accettare la tua risposta.
Ron Maupin

Risposte:

3

Se l'interfaccia interna del 5545 dovesse atterrare prima sugli interruttori di bordo L2 e poi sul trunk verso gli interruttori agg per una maggiore sicurezza o semplicemente far cadere direttamente l'interno nello strato Agg, anche considerando che il traffico di linea privata potrebbe passare attraverso un'altra interfaccia sul 5545 in futuro

Dal momento che non hai detto che gli L2 avrebbero eseguito ACL, non vedrei alcuna differenza. Immagino che eseguirai il tagging sugli ASA interni al livello di distribuzione. I miei firewall si collegano direttamente agli switch di aggregazione con un vlan dedicato che esegue HSRP / VRRP tra ciascun set di firewall e gli switch agg.

Per quanto riguarda il traffico di linea privata, non uso ASA ma penso che abbiano le zone costruite come IOS ZBF e tu impedirai al traffico VPN di andare da / verso il traffico di linea privata senza passare attraverso il filtraggio dei pacchetti.

Sembra che i percorsi predefiniti puntino al 5540 e utilizzerai percorsi più specifici per accedere ai tuoi pool di accesso VPN interni e agli indirizzi delle linee private. Il 5545 ha il percorso predefinito che punta al 5540 ed è ok per il traffico VPN colpire direttamente Internet (non so se hai diviso il tunnel sui tuoi client VPN) e altri percorsi verso il tuo spazio degli indirizzi interno.

Quindi non riesco a vedere alcun problema reale con il tuo piano. Ma alcune delle mie assunzioni di cui sopra potrebbero essere sbagliate

fredpbaker
fonte
Qual è il tuo ragionamento per il vlan dedicato tra ogni set di firewall? A proposito, gli interruttori di bordo L2 non hanno alcun ACL per il passaggio del traffico.
generalnetworkerror,
Per una gestione più semplice, possiamo associare una VLAN a un firewall e un set di HSRP sui router, VRRP sui firewall a uno specifico cluster di firewall. Ottieni un po 'più di isolamento come 1 dominio di trasmissione per firewall. Fondamentalmente è un problema di stile, non è necessario farlo.
Fredpbaker,
2

Da quello che ho capito del tuo scenario, non importa se hai due diversi firewall interni sulla stessa sottorete interna. È necessario tenere presente quanto segue quando si prende questa decisione:

  1. Il fatto di averli sulla stessa sottorete rende la configurazione più semplice e facile?
  2. Aiuterà se fossero in sottoreti separate in qualche modo?
  3. Ho eseguito il routing corretto e comprendo il percorso di qualsiasi scenario di connessione? Ad esempio, il traffico interno passerà attraverso quali dispositivi prima di raggiungere la destinazione?
  4. Ho configurato correttamente tutte le regole sui firewall per assicurarmi che non si verifichi alcun routing tra domini? Ciò significa che il traffico sulla stessa sottorete che appartiene ad un altro dispositivo (altro firewall) non viene instradato. Questa potrebbe essere la cosa più critica nella tua installazione di cui sei preoccupato. Ancora una volta dipende tutto dai percorsi di traffico richiesti.
AdnanG
fonte
2

Ho implementato ASA in scenari simili e tutto è andato bene, con un'attenta pianificazione e manutenzione.

Per l'interfaccia esterna, innanzitutto proteggere il processo OSPF utilizzando MD5. Devi collegare questa interfaccia ai tuoi switch L2-aggregate.

Sulla tua interfaccia interna possiamo immergerci in: - tecnicamente puoi collegarlo al tuo switch L3 in modo da dividere il ruolo o il carico tra i tuoi dispositivi di rete, ha anche senso per un normale firewall (se in qualche momento avessi problemi con i tuoi dispositivi L2-aggreg, almeno la rete dal basso al firewall funziona) - per questo scenario, poiché ASA viene utilizzato dalla VPN, significa che puoi anche connettere il tuo interno agli switch di aggregazione L2. Senza quegli switch L2-aggreg, il tuo 5545 diventerà inutile per la tua rete. Tuttavia per questa scelta devi pensare alle interfacce monitorate poiché tutte le tue interfacce fisiche del firewall saranno connesse a un dispositivo fisico. In conclusione: se avessi porte e capacità per una migliore logica e risoluzione dei problemi, mi collegherei direttamente agli switch L3-bottom.

Infine per quanto riguarda la tua prima domanda: ho usato l'interfaccia interna sia come rete condivisa con l'altro firewall interno (potresti imbatterti in alcuni dettagli con il comando dello stesso traffico di sicurezza e anche come rete dedicata, rispetto all'utilizzo di switch in basso per collegarti al resto della rete.

Preferisco l'ultimo perché in questo caso il filtro VPN L2L viene eseguito sul firewall (ASA 5545) anziché sull'ACL dei criteri di gruppo (e quindi applicandolo al gruppo tunnel). È facile da gestire, visualizzare, risolvere i problemi (per me) e inoltre mi tiene lontano da alcuni scenari ASA più delicati del traffico.

LAF
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.