Cisco ASA e VLAN multiple

9

Attualmente gestisco 6 dispositivi Cisco ASA (2 coppie di 5510 e 1 coppia di 5550). Funzionano tutti abbastanza bene e sono stabili, quindi questa è più una domanda di consigli sulle migliori pratiche piuttosto che "OMG è rotto aiutami a risolverlo".

La mia rete è divisa in più VLAN. Praticamente ogni ruolo di servizio ha la propria VLAN, quindi i server DB avrebbero la propria VLAN, server APP, nodi Cassandra.

Il traffico viene gestito in base a un solo consenso specifico, negando le nozioni di base sul riposo (pertanto la politica predefinita prevede l'eliminazione di tutto il traffico). Lo faccio creando due ACL per interfaccia di rete, ad es .:

  • lista di accesso dc2-850-db-in ACL che viene applicata all'interfaccia dc2-850-db nella direzione "in"
  • lista di accesso dc2-850-db-out ACL applicata all'interfaccia dc2-850-db in direzione "out"

È tutto abbastanza stretto e funziona come previsto, tuttavia mi chiedevo se questo è il modo migliore per andare? Al momento sono arrivato a un punto in cui ho oltre 30 VLAN e devo dire che in alcuni punti sta diventando leggermente confuso per gestirle.

Probabilmente qualcosa come ACL comuni / condivisi potrebbe aiutare qui che potrei ereditare da altri ACL ma AFAIK non esiste nulla del genere ...

Qualche consiglio molto apprezzato.

networking  security  cisco  cisco-asa  best-practices 
bart613
fonte
3
Hai studiato l'appiattimento dello spazio degli indirizzi e l'utilizzo private vlans? Un'altra alternativa potrebbe essere quella di suddividere le unità aziendali VRFs. Ognuno di questi potrebbe aiutare a gestire parte dell'esplosione dei requisiti ACL. Onestamente, è difficile commentare questa domanda perché molto dipende dalle ragioni commerciali e tecniche del tuo progetto esistente
Mike Pennington,
Grazie Mike - Sto andando a leggere un po 'su entrambi hai menzionato.
Bart613,
Prego ... l'idea di base dietro entrambi i suggerimenti è che si costruisce un limite naturale di livello 2 o livello 3 in base alle esigenze aziendali che consenta tutte le comunicazioni tra host all'interno della stessa funzione aziendale. A quel punto, sarebbe necessario firewall tra interessi aziendali. Molte aziende stanno costruendo VPN separate per ogni unità aziendale dell'azienda; il concetto è simile a quello che sto suggerendo qui, ma la VPN sarebbe locale nella tua struttura (e basata su vlan privati ​​o VRF)
Mike Pennington

Risposte:

1

Per te con dispositivi Cisco ASA (2 coppie di 5510 e 1 coppia di 5550). Ciò significa che ti stai allontanando dal filtraggio dei pacchetti con acls e stai passando alle tecniche basate sulla zona firewall negli ASA.

Crea mappe delle classi, mappe delle politiche e politiche di servizio.

Gli oggetti di rete ti semplificheranno la vita.

La tendenza nella tecnica del firewall è

filtro pacchetti - ispezione pacchetti - ispezione ip (ispezione stateful) - Zonebasedfirewall

Queste tecniche sono state fatte per essere meno confuse all'aumentare delle aree.

C'è un libro, potresti voler leggere.

L'amministratore accidentale-Mi ha davvero aiutato.

Dai un'occhiata e muoviti dagli acl in due diverse direzioni.

Con gli ASA non dovresti avere problemi.

In passato, ho realizzato ip inspect serie 800 e ZBF, quindi ho confrontato i vantaggi e hanno utilizzato la stessa tecnica negli ASA per passare dal filtraggio dei pacchetti a ip inspect avanzato.

don IT Consultant
fonte
don, non vedo nessun capitolo che discuti di allontanarsi dal filtraggio usando acls nel (tuo?) libro. Mi puoi riferire al capitolo e alla pagina?
3molo,
0

Una soluzione molto semplice (e, certamente, un po 'ingannevole) sarebbe quella di assegnare a ciascuna interfaccia VLAN un livello di sicurezza coerente con il traffico che deve consentire.

È quindi possibile impostare same-security-traffic permit inter-interface, ovviando così alla necessità di instradare in modo specifico e proteggere la stessa VLAN su più dispositivi.

Non ridurrebbe il numero di VLAN, ma probabilmente dimezzerebbe il numero di ACL necessari per le VLAN che raggiungono tutti e 3 i firewall.

Certo, non c'è modo per me di sapere se questo ha senso nel tuo ambiente.

adaptr
fonte
0

Perché hai elenchi di accesso sia in entrata che in uscita? Dovresti provare a catturare il traffico il più vicino possibile alla fonte. Ciò significherebbe solo elenchi di accesso in entrata, dimezzando il numero totale di ACL. Ciò contribuirebbe a mantenere basso l'ambito di applicazione. Quando si dispone di un solo elenco di accesso possibile per flusso, l'ASA diventerà più facile da mantenere e, soprattutto, più facile da risolvere in caso di problemi.

Inoltre, tutte le VLAN devono superare un firewall per raggiungersi? Ciò limita notevolmente la produttività. Ricorda: un ASA è un firewall, non un router (buono).

JelmerS
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.