-= Brummbär =- 10 Geschrieben 7. Juli 2008 Melden Teilen Geschrieben 7. Juli 2008 Hallo, Ich habe mit unserem 3750 verschiedene Subnetze für Clients und Server erstellt. Bislang gibt es eine ACL die von allen Client-Subnetzen den Traffic zu den Servern regelt. Da die mittlerweile doch schon etwas länger geworden ist, wollte ich fragen, ob etwas Optimierung sinnvoll ist. Macht es Sinn die Regeln für VoIP und Citrix an den Anfang der Liste zu stellen, damit die Pakete schnell durch gelassen werden? Bislang habe ich für alle Client-Subnetze die selbe ACL verwendet. Und dann imemr wie folgt die Regel definiert: permit any host ProxyServer eq 8080 Da nur das Subnetz der Buchhaltung ELSTER, HBCI etc. braucht, sind die Regeln so definiert: permit Subnetz Buchhaltung host LStA-Server eq 8000 Macht es da vielleicht mehr Sinn eine zweite ACL zu definieren und diese ausschließlich dem VLAN der Buchhaltung zuzuweisen? interface Vlan111 ip access-group zugriffe-von-clients in ip access-group zugriffe-buchhaltung in Bin natürlich auch für zusätzliche Tipps zu haben :-) Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 7. Juli 2008 Melden Teilen Geschrieben 7. Juli 2008 Ich würde auf einem Switch überhaupt nur die notwendigsten ACLs definieren (Wartungszugriff und noch einige Kleinigkeiten), und alles andere auf ner Firewall machen, immerhin sicherst du hier nur aber wer wohin auf welchen Port darf, das ist schon lang nicht mehr state of the art. Wenn du bei deiner Lösung bleiben willst, musst wahrscheinlich mehr Infos preisgeben, ich zumindest kenne mich 0 aus welche ACLs du denn jetzt wo verwendest Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 7. Juli 2008 Melden Teilen Geschrieben 7. Juli 2008 Ich glaube diese Switchreihe macht ACL processing schon in Hardware, von daher isses egal an welcher Stelle die Regel steht solang du nicht mehr wie ca. 1000 Regeln hast. Eine Firewall waere doch angebrachter und auf dem Switch nur den groben Dreck filtern damit die FW nich mehr so viel schwitzen muss :) Zitieren Link zu diesem Kommentar
-= Brummbär =- 10 Geschrieben 7. Juli 2008 Autor Melden Teilen Geschrieben 7. Juli 2008 Da es sich ums Hausnetz handelt fand ich ein Einschränken von Ports schon mal als nicht so schlechte Lösung. Wenn ich das alles über eine Firewall regeln würde, dann müsste die aber einigen Durchsatz ermöglichen. Im Moment läuft es so, dass ich für die Clients die Ports auf den Servern frei gebe, deren Dienste sie auch nutzen dürfen. Was wäre denn state of the art um im Hausnetz für mehr Sicherheit zu sorgen? Bzw. welche Firewalls nutzt man im Hausnetz. Zu den Außenstellen habe ich 876 Router für den VPN-Tunnel und dahinter eine Cisco PIX 506. Das läuft ganz ordentlich. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 7. Juli 2008 Melden Teilen Geschrieben 7. Juli 2008 Das kommt auf die Beduerfnisse an. Wenn du jetzt ne Rechtsanwaltskanzlei hat wo keiner auf die anderen Mandantendaten kommen darf, oder im Falle von Banken .. dann brauchst du minimalst ne ASA (und das Knowhow dazu!). Wenn du nicht willst das Frau Fritsche aus der Buchhaltung auf den privaten Ordner von Herrn Schlagmichtot kommt reicht der Switch. Zitieren Link zu diesem Kommentar
-= Brummbär =- 10 Geschrieben 7. Juli 2008 Autor Melden Teilen Geschrieben 7. Juli 2008 Na so schlimm ist es hier zum Glück nicht. Das es immer noch eine Stufe besser geht, wenn man das Budget dafür bekommt, ist mir klar. Mein Gedanke war aber, dass unterschiedliche Subnetze mit einem Layer 3 Switch und ACLs schon mal eine Steigerung zum bisherigen Hausnetz mit Layer 2 Switchen darstellt. Da du oben was von 1000 Regeln geschrieben hast, bin ich mit meinen knapp 80 Zeilen ohne Kommentare sicher ganz gut aufgestellt. Die ASA kommt dann in eins der nächsten Budgets ;-) Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 7. Juli 2008 Melden Teilen Geschrieben 7. Juli 2008 Ich bin mir nicht sicher, den 3750 hab ich nirgends im Einsatz. Wenn allerdings ein 4948 der finanziell nicht viel groesser dasteht mit rund 8000 Regeln locker klarkommt sollte der 3750 das schon schaffen. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 7. Juli 2008 Melden Teilen Geschrieben 7. Juli 2008 achso, na wenns nur hausintern ist, dann ist manchen Fällewohl ne extra Securityappliance wohl übertrieben...kommt halt davon wenn man nciht genau weiß was die ACLs denn tun :D Aber mit Proxyserver hatte ich eigentlich einen Proxy weiter Richtung Internet gedacht. Je nach Anforderung und vor Wissensstand müsst eman sich halt ne Firewall aussuchen, von kleinen Sonicwalls, Fortigates über PIX(jaja toooot)/ASA bis Checkpoint ist dann alles drin was das Budget hergibt. Je mehr eigene Leute davon ne Ahnung haben desto besser. Zitieren Link zu diesem Kommentar
-= Brummbär =- 10 Geschrieben 7. Juli 2008 Autor Melden Teilen Geschrieben 7. Juli 2008 Ok. War mit dem Proxyserver etwas verwirrend. Aber von intern muss man da ja auch erstmal hinkommen :-) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.