Jump to content

DMZ-Konzept mit Cisco871 gesucht


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Geschrieben

Hi,

 

ich will hinter einem 871 einen Webserver betreiben. Dieser soll sich allerdings nicht direkt im Vlan1 befinden, sondern mehr abgeschottet in einem anderen VLAN bzw. DMZ.

Zugriff vom Vlan1 auf den Server soll für einige Dienste möglich sein (ssh, evtl. icmp) andersherum soll Zugriff auf eine Datenbank möglich sein, im Idealfall sollte dieser Traffic noch mit ip inspect rules gefiltert sein.

 

Momentan fehlen mir dazu noch Ansatzpunkte, z.B. wie ich die ACLs /ip inspect-Rules definieren muss, damit Anfragen aus dem VLAN1 auch auf dem "Rückweg" erlaubt werden, aber keine vom Webserver ausgehenden Pakete ins VLAN1 durchgelassen werden.

Das ist erstmal die Minimalanforderung, im nächsten Schritt soll dann noch eine transparente IPS vor dem Router oder zwischen VLAN1 und DMZ die Filterung des Traffics übernehmen.

 

Hat sich schon mal jemand mit solch einem Konzept befasst?

  • 1 Monat später...
Geschrieben

Ansonstne, ein Router ist nun mal keine Firewall, warum wurde nicht gleich ne ASA angeschafft ?

 

Das hab ich mich auch schon gefragt - und das steht jetzt auch zur Diskussion :-)

Leider habe ich da aktuell keinen Überblick mehr über die verfügbaren Modelle - als ich mich das letzte Mal damit beschäftigt habe, hießen die noch PIX ;-)

 

Welches Modell wäre da denn zu empfehlen? Eine ASA 5505 oder gleich 5510 ?

Wir bräuchten Support für ca. 5-6 Site-2-Site VPNs und ca. 10 mobile VPN-User. Außerdem wäre es wünschenswert, wenn aus Gründen der Redundanz 2 DSL-Anschlüsse (aktiv & backup) zu nutzen wären, aber da sind wir wieder beim Thema Router und HSRP/VRRP, oder?

Geschrieben

Hi Wordo,

 

das hört sich doch gut an - Geräteredundanz ist aber gar nicht gefragt (oder hat jemand Erfahrungen, dass die Kisten öfter mal ausfallen? Bei Routern hatte ich bisher nie Hardware-Probleme).

Allerdings ist ein Standort über VPN angebunden, bei dem gerne mal der Provider ausfällt - in dem Fall muss das VPN dann über den anderen Provider gehen, sicherlich nicht ganz trivial zu lösen, vor allem nicht bei Teilausfällen (DNS gestört o.ä.) aber grundsätzlich sollte es zumindest mit manuellen Eingriff zu lösen sein.

Hast Du eine ungefähre Hausnummer, was eine kleine ASA mit entsprechender Lizenz kostet? Ist da auch der VPN-Client enthalten?

Geschrieben
Hi Wordo,

 

das hört sich doch gut an - Geräteredundanz ist aber gar nicht gefragt

 

Du redest von HSRP/VRRP .. fuer mich ist das Hardwareredundanz, ausser du betreibst 2 Router mit je einer Leitung und machst ein Tracking im HSRP.

 

 

ASA5505-SEC-BUN-K9 .. mein Standarddistributor sagt da was von 626 netto.

Geschrieben

Das hört sich doch alles ganz gut an. :)

Macht es bei einer kleineren Umgebung eigentlich Sinn, schon ein zweistufiges Firewall-Konzept mit einer internen und einer externen Firewall zu planen, und Server in der DMZ dualhomed anzubinden?

Oder ist das DMZ-Konzept mit einer ASA nahezu genauso sicher?

Zusätzlich kommt bei uns sowieso eine TippingPoint IPS jeweils mit einem Segment in die DMZ und in das externe Segment.

Geschrieben

Kommt drauf an wie klein die Umgebung ist, und was du unter dualhomed verstehst. Das DMZ-Konzept ist meist nur so sicher wie derjenige der es konfiguriert :)

IPS ist nie verkehrt, wobei ich nicht der Fan von Konstellationen bin in denen Geraete in 2 Netzwerken stehen (also parallel zu FW) und sicht nicht "Firewall" nennen :D

Geschrieben
Kurz ne Info.

 

Wir betreiben ebenfalls zwei ASA's. Die laufen wg. zwei ISP's im Context Mode.

 

Grüße

 

Rolf

 

Tjo, und schon wars das mit VPN Terminierung auf der ASA :)

 

 

@ threadersteller...genau aufpassen welche Featues du benötigst...server multihomed zu machen ist ohne eigenes AS eher schwierig, selbst wenn man einen NS hat der einem die Einträge ändert wenn eine Leitung weg ist, solange die TTL nicht abgelaufen ist haben noch alle anderen NS den alten Eintrag.

Und bei einer flappenden Leitung ist dann schnell das Chaos perfekt.

 

man kannnatürlich über 2 PA Adressbereiche quasi die beiden WAn links "loadbalancen"...aber wenn hier die Rede von einem 876er war ist das wohl ein wenig zu hoch gegriffen.

 

Je nachdem wie wichtig der Service ist der da nach drausen angeboten wird, reicht vielleicht auch ein einzelner Internetzugang mit brauchbaren SLA und eben 2 Firewalls/Router auf deiner Seite...ob das jetzt eine cold standby Box im Schubladl oder eine automatische Failoverlösung ist muss man danneben abschätzen.

Geschrieben

Mit Dualhomed meine ich, dass jeder Server zwei NICs hat, eine zur internen und eine zur externen FW.

Vielleicht ist so ein Konzept ja auch bereits überholt...

 

Die TippingPoint kann natürlich niemals eine Firewall ersetzen, ist aber auch nicht als eine solche vorgesehen - durch die Filterung (bis Schicht 7) in Echtzeit entlastet sie aber spürbar die dahinter liegenden Komponenten. Da die einzelnen Segmente voneinander und vom Mgmt-Interface getrennt sind, sehe ich da auch keine Schwächung des Gesamtkonzeptes.

Geschrieben

man kannnatürlich über 2 PA Adressbereiche quasi die beiden WAn links "loadbalancen"...aber wenn hier die Rede von einem 876er war ist das wohl ein wenig zu hoch gegriffen.

 

871/876 ist dafür auf jeden Fall aussen vor...

Es geht auch eher darum, zu einem anderen Standort ein VPN über einen zweiten Weg nutzen zu können - wie gesagt, es wäre ein Nice2Have, und sollte (sofern im Budget) später einmal mit der vorhandenen Hardware zu realisieren sein

Geschrieben
Ne ASA5505 mit hoechster Lizenz schafft das. Kannst 2 im Active/Standby Failover betrieben, 25 IPSecs erlaubt, und ich glaub 10 VLANs. Die kann dann auch Dual ISP Backup mit Static Object Tracking (z.B.)

 

Hm, bekomme auf Anfrage nur die Version für 10 IPSec/VPN User - gibt es da keine 25er Lizenz?

Geschrieben
Hm, bekomme auf Anfrage nur die Version für 10 IPSec/VPN User - gibt es da keine 25er Lizenz?

Kannst Du nicht noch eine 10er Lizenz dazu bestellen?

Wir haben bei unserer 5510 jeweils 10 dabei gehabt + 3 x 10 dazu bestellt.

 

Grüße

 

Rolf

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...