Platzierung der Firewall für VPN RA- und L2L-Tunnel


8

Für Remote Access (RA) und LAN-zu-LAN (L2L) VPN betreibe ich derzeit ein Paar Cisco VPN 3005-Konzentratoren, die außen an Internet-Edge-Router und innen an ein internes Paar PIX 535 angeschlossen sind Firewall außerhalb der Schnittstelle, bevor sie an unsere realen internen Netzwerke weitergeleitet werden darf. Sowohl die VPN 3005 als auch die PIX 535 werden durch die ASA-5545X-Plattform ersetzt. Diese Firewalls sind nicht für unseren primären Internetverkehr bestimmt, sondern nur für VPN. Sie können auch als interne Firewalls für den Verkehr dienen, der über private Leitungen in das Rechenzentrum gelangt.

Wenn die internen Firewall-ACLs in einer einzigen Firewall kombiniert werden, die VPN-Verkehr und möglicherweise anderen privaten Leitungsverkehr bedient, um Sicherheitsgrenzen zu gewährleisten und potenzielle Routingprobleme zu beseitigen, sollte die interne Schnittstelle der VPN-Firewall (5545) in einem separaten Subnetz verbleiben von der Haupt-Internet-Firewall oder spielt es wirklich keine Rolle? OSPF wird derzeit auf der Internet-Firewall (mit Standard-Ursprung) und dem VPN 3005 ausgeführt. Da dieses Rechenzentrum unser primärer DC für den Web-Verkehr ist - unser Brot und Butter - muss ich alle potenziellen Probleme bei der Platzierung des VPN-Firewalls, die dies auch nur im geringsten stören könnten.

** Sollte die innere Schnittstelle des 5545 zuerst auf den L2-Edge-Switches landen und dann zur besseren Sicherheit auf die Agg-Switches verlegt werden oder sollte das Innere direkt in die Agg-Schicht fallen, auch wenn der private Leitungsverkehr möglicherweise über eine weitere Schnittstelle erfolgt auf dem 5545 in der Zukunft.

Mit dem fraglichen ASA-5545X * werden unten nur die relevanten Teile der L3-Konnektivität angezeigt.

                     Internet
                        |
               Kante rtr + Kante rtr
                        |
5545 * (VPN / Interne fw) + 5540 (Internet fw für Verkehr in / aus DC)
                        |
                  Agg-1 + Agg-2
                        |
                       usw

Ein Paar L2-Schalter verbindet alle Edge-Geräte, bevor die Agg-Schalter erreicht werden.
Öffentlicher IP-Bereich außerhalb von Firewalls, privat innen.
(Jede Firewall ist Teil eines separaten Failover-Paares (5545 und 5540)
habe keine Interaktion.)

Suchen Sie nach Antworten / Kommentaren, die als Best Practice angesehen werden können oder die in einem typischen Unternehmensnetzwerk am besten funktionieren.


Gibt es eine private oder öffentliche Adressierung zwischen den Edge-Routern und dem ASA 5545X?
Mike Pennington

@ MikePennington, öffentliche Adressen zwischen Edge-Routern und ASA-Firewalls.
Generalnetworkerror

Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:


3

Sollte die innere Schnittstelle des 5545 zuerst auf den L2-Edge-Switches landen und dann zur besseren Sicherheit auf die Agg-Switches übertragen werden oder sollte das Innere direkt in die Agg-Schicht fallen, sollte auch berücksichtigt werden, dass der private Leitungsverkehr möglicherweise über eine weitere Schnittstelle auf dem Agg-Switch erfolgt 5545 in der Zukunft

Da Sie nicht gesagt haben, dass auf den L2 ACLs ausgeführt werden, würde ich keinen Unterschied feststellen. Ich vermute, Sie werden Tagging auf den internen ASAs für die Verteilungsschicht ausführen. Meine Firewalls stellen mit einem dedizierten VLAN, das HSRP / VRRP zwischen jedem Satz von Firewalls und den Agg-Switches ausführt, eine direkte Verbindung zu Aggregations-Switches her.

In Bezug auf den privaten Leitungsverkehr verwende ich kein ASA, aber ich denke, dass die Zonen wie IOS ZBF aufgebaut sind und Sie verhindern, dass der VPN-Verkehr zum / vom privaten Leitungsverkehr gelangt, ohne die Paketfilterung zu durchlaufen.

Es klingt so, als ob Standardrouten auf den 5540 verweisen, und Sie verwenden spezifischere Routen, um zu Ihren internen VPN-Zugriffspools und den Adressen der privaten Leitungen zu gelangen. Der 5545 hat die Standardroute, die auf den 5540 verweist, und es ist in Ordnung, dass der VPN-Verkehr direkt ins Internet gelangt (ich weiß nicht, ob Sie den Tunnel auf Ihren VPN-Clients aufgeteilt haben) und andere Routen zu Ihrem internen Adressraum.

Ich kann also keine wirklichen Probleme mit Ihrem Plan erkennen. Aber einige meiner obigen Annahmen können falsch sein


Was ist Ihre Begründung für das dedizierte VLAN zwischen den einzelnen Firewalls? Übrigens haben die L2-Edge-Switches keine ACLs für den durchlaufenden Verkehr.
Generalnetworkerror

Zur einfacheren Verwaltung können wir ein VLAN einer Firewall und eine Reihe von HSRP auf den Routern und VRRP auf den Firwalls einem bestimmten Firewall-Cluster zuordnen. Holen Sie sich etwas mehr Isolation als 1 Broadcast-Domain pro Firewall. Es ist im Grunde ein Stilproblem, muss es nicht wirklich tun.
Fredpbaker

2

Soweit ich Ihr Szenario verstehe, spielt es keine Rolle, ob Sie zwei verschiedene interne Firewalls-Schnittstellen im selben internen Subnetz haben. Bei dieser Entscheidung müssen Sie Folgendes berücksichtigen:

  1. Macht es die Konfiguration einfacher und einfacher, sie im selben Subnetz zu haben?
  2. Wird es helfen, wenn sie sich in irgendeiner Weise in separaten Subnetzen befinden?
  3. Habe ich das richtige Routing durchgeführt und verstehe den Pfad eines Verbindungsszenarios? Beispielsweise wird der interne Datenverkehr über welche Geräte geleitet, bevor das Ziel erreicht wird?
  4. Habe ich alle Regeln auf den Firewalls richtig konfiguriert, um sicherzustellen, dass kein domänenübergreifendes Routing stattfindet? Dies bedeutet, dass der Datenverkehr in demselben Subnetz, das zu einem anderen Gerät (einer anderen Firewall) gehört, nicht weitergeleitet wird. Dies ist möglicherweise die kritischste Sache in Ihrem Setup, über die Sie sich Sorgen machen. Auch hier hängt alles von Ihren erforderlichen Verkehrspfaden ab.

2

Ich habe ASAs in ähnlichen Szenarien bereitgestellt und alles lief gut, mit sorgfältiger Planung und Wartung.

Sichern Sie für die externe Schnittstelle zunächst Ihren OSPF-Prozess mit MD5. Sie müssen diese Schnittstelle mit Ihren L2-Aggregat-Switches verbinden.

Auf Ihrer internen Schnittstelle können wir uns mit folgenden Themen befassen: - Technisch können Sie sie an Ihren L3-Switch anschließen, um die Rolle oder die Last zwischen Ihren Netzwerkgeräten aufzuteilen. Dies ist auch für eine reguläre Firewall sinnvoll (wenn Sie irgendwann Probleme mit haben) Auf Ihren L2-Aggregationsgeräten funktioniert zumindest das Netzwerk von unten bis zur Firewall. In diesem Szenario bedeutet ASA, dass VPN verwendet wird, dass Sie Ihr Inneres auch mit den L2-Aggregations-Switches verbinden können. Ohne diese L2-Aggregat-Switches wird Ihr 5545 für Ihr Netzwerk unbrauchbar. Bei dieser Auswahl müssen Sie jedoch an überwachte Schnittstellen denken, da alle physischen Firewall-Schnittstellen mit einem physischen Gerät verbunden werden. Fazit: Wenn ich Ports und Kapazitäten für eine bessere Logik und Fehlerbehebung habe, würde ich mich direkt an L3-Bottom-Switches anschließen.

Abschließend zu Ihrer ersten Frage: Ich habe die interne Schnittstelle sowohl als gemeinsam genutztes Netzwerk mit der anderen internen Firewall verwendet (Sie könnten mit dem Befehl für denselben Sicherheitsverkehr als auch als dediziertes Netzwerk auf einige Details stoßen, als wenn Sie die unteren Switches verwenden, um eine Verbindung zum Rest herzustellen des Netzwerks.

Ich bevorzuge die letzte, da in diesem Fall die VPN L2L-Filterung in der Firewall (ASA 5545) anstelle der Gruppenrichtlinien-ACL erfolgt (und diese dann auf die Tunnelgruppe anwendet). Es ist einfach zu verwalten, anzuzeigen und Fehler zu beheben (für mich) und hält mich auch von einigen heiklen ASA-Verkehrsnadel-Szenarien fern.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.