Cisco ASA e VLANs múltiplas

9

Atualmente, gerencio 6 dispositivos Cisco ASA (2 pares de 5510s e 1 par de 5550s). Todos eles funcionam muito bem e são estáveis; portanto, essa é mais uma pergunta de aconselhamento sobre práticas recomendadas do que "OMG está quebrado, me ajude a corrigi-lo".

Minha rede é dividida em várias VLANs. Praticamente cada função de serviço tem sua própria VLAN, portanto os servidores de banco de dados teriam seus próprios VLAN, servidores de aplicativos e nós do Cassandra.

O tráfego está sendo gerenciado de uma forma permitida apenas para fins específicos de negação e descanso (portanto, a política padrão é eliminar todo o tráfego). Eu faço isso criando duas ACLs por interface de rede, por exemplo:

  • ACL da lista de acesso dc2-850-db-in que está sendo aplicada à interface dc2-850-db na direção "in"
  • ACL da lista de acesso dc2-850-db-out que está sendo aplicada à interface dc2-850-db na direção "out"

É tudo bem apertado e funciona como esperado, no entanto, eu queria saber se este é o melhor caminho possível. No momento, cheguei a um ponto em que tenho mais de 30 VLANs e devo dizer que está ficando um pouco confuso em alguns pontos para gerenciá-las.

Provavelmente algo como ACLs comuns / compartilhadas ajudaria aqui, o que eu poderia herdar de outras ACLs, mas o AFAIK não existe ...

Qualquer conselho muito apreciado.

networking  security  cisco  cisco-asa  best-practices 
bart613
fonte
3
Você já pensou em achatar o espaço de endereço e usá-lo private vlans? Outra alternativa pode ser dividir as unidades de negócios VRFs. Qualquer um desses pode ajudar a gerenciar parte da explosão dos requisitos da ACL. Honestamente, porém, é difícil comentar sobre essa questão, porque depende muito dos motivos comerciais e técnicos do seu projeto existente
Mike Pennington
Obrigado, Mike - vou ler um pouco sobre os dois que você mencionou.
bart613
De nada ... a idéia básica por trás de ambas as sugestões é que você construa um limite natural da camada 2 ou 3 com base nas necessidades comerciais, o que permite toda a comunicação entre hosts na mesma função comercial. Nesse ponto, você precisaria fazer um firewall entre os interesses comerciais. Muitas empresas estão construindo VPNs separadas para cada unidade de negócios da empresa; o conceito é semelhante ao que eu estou sugerindo aqui, mas a VPN seria locais dentro de suas instalações (e baseado em VLANs privadas ou VRFs)
Mike Pennington

Respostas:

1

Para você ter dispositivos Cisco ASA (2 pares de 5510s e 1 par de 5550s). Isso significa que você está se afastando da filtragem de pacotes com acls e passando para as técnicas baseadas em zonas de firewall nos ASAs.

Crie mapas de classes, mapas de políticas e políticas de serviço.

Objetos de rede facilitarão sua vida.

A tendência na técnica de firewall é

filtragem de pacotes - inspeção de pacotes - inspeção IP (inspeção com estado) - Zonebasedfirewall

Essas técnicas foram feitas para que fosse menos confuso à medida que as áreas aumentam.

Há um livro, você pode querer ler.

O administrador acidental - Isso realmente me ajudou.

Dê uma olhada e mova-se dos acls em duas direções diferentes.

Com ASAs você não deve ter nenhum problema.

No passado, eu fiz a inspeção IP da série 800 e o ZBF, depois comparei as vantagens e eles usaram a mesma técnica nos ASAs, deixando de lado a filtragem de pacotes para a inspeção avançada de IP.

Consultor de TI
fonte
Não vejo nenhum capítulo discutindo como deixar de filtrar usando ACLS no (seu?) livro. Você pode me indicar o capítulo e a página?
3molo
0

Uma solução muito simples (e, reconhecidamente, um truque) seria atribuir a cada interface VLAN um nível de segurança consistente com o tráfego que ele precisa permitir.

Você pode então definir same-security-traffic permit inter-interface, evitando assim a necessidade de rotear e proteger especificamente a mesma VLAN em vários dispositivos.

Não reduziria o número de VLANs, mas provavelmente reduziria pela metade o número de ACLs necessárias para as VLANs que atingem os três firewalls.

Claro, não há como eu saber se isso faz sentido no seu ambiente.

adaptr
fonte
0

Por que você tem listas de acesso de entrada e saída? Você deve tentar capturar o tráfego o mais próximo possível da fonte. Isso significaria apenas listas de acesso de entrada, reduzindo pela metade o número total de ACLs. Isso ajudaria a manter o escopo baixo. Ao ter apenas uma lista de acesso possível por fluxo, o seu ASA se tornará mais fácil de manter e mais importante: mais fácil de solucionar problemas quando as coisas derem errado.

Além disso, todas as VLANs precisam passar por um firewall para alcançar um ao outro? Isso limita severamente a taxa de transferência. Lembre-se: um ASA é um firewall, não um (bom) roteador.

JelmerS
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.