DMZ-Konzept mit Cisco871 gesucht

[Whistleblower 45]

Hi,

 

ich will hinter einem 871 einen Webserver betreiben. Dieser soll sich allerdings nicht direkt im Vlan1 befinden, sondern mehr abgeschottet in einem anderen VLAN bzw. DMZ.

Zugriff vom Vlan1 auf den Server soll für einige Dienste möglich sein (ssh, evtl. icmp) andersherum soll Zugriff auf eine Datenbank möglich sein, im Idealfall sollte dieser Traffic noch mit ip inspect rules gefiltert sein.

 

Momentan fehlen mir dazu noch Ansatzpunkte, z.B. wie ich die ACLs /ip inspect-Rules definieren muss, damit Anfragen aus dem VLAN1 auch auf dem "Rückweg" erlaubt werden, aber keine vom Webserver ausgehenden Pakete ins VLAN1 durchgelassen werden.

Das ist erstmal die Minimalanforderung, im nächsten Schritt soll dann noch eine transparente IPS vor dem Router oder zwischen VLAN1 und DMZ die Filterung des Traffics übernehmen.

 

Hat sich schon mal jemand mit solch einem Konzept befasst?

[Otaku19 33]

einlesen:

Configuring Context-Based Access Control [Cisco IOS Software Releases 12.2 Mainline] - Cisco Systems

 

zonebased wäre hier ein brauchbarer Ansatz:

Zone-Based Policy Firewall Design and Application Guide - Cisco Systems

 

Ansonstne, ein Router ist nun mal keine Firewall, warum wurde nicht gleich ne ASA angeschafft ?

[Whistleblower 45]

Ansonstne, ein Router ist nun mal keine Firewall, warum wurde nicht gleich ne ASA angeschafft ?

 

Das hab ich mich auch schon gefragt - und das steht jetzt auch zur Diskussion :-)

Leider habe ich da aktuell keinen Überblick mehr über die verfügbaren Modelle - als ich mich das letzte Mal damit beschäftigt habe, hießen die noch PIX ;-)

 

Welches Modell wäre da denn zu empfehlen? Eine ASA 5505 oder gleich 5510 ?

Wir bräuchten Support für ca. 5-6 Site-2-Site VPNs und ca. 10 mobile VPN-User. Außerdem wäre es wünschenswert, wenn aus Gründen der Redundanz 2 DSL-Anschlüsse (aktiv & backup) zu nutzen wären, aber da sind wir wieder beim Thema Router und HSRP/VRRP, oder?

[Wordo 11]

Ne ASA5505 mit hoechster Lizenz schafft das. Kannst 2 im Active/Standby Failover betrieben, 25 IPSecs erlaubt, und ich glaub 10 VLANs. Die kann dann auch Dual ISP Backup mit Static Object Tracking (z.B.)

[Whistleblower 45]

Hi Wordo,

 

das hört sich doch gut an - Geräteredundanz ist aber gar nicht gefragt (oder hat jemand Erfahrungen, dass die Kisten öfter mal ausfallen? Bei Routern hatte ich bisher nie Hardware-Probleme).

Allerdings ist ein Standort über VPN angebunden, bei dem gerne mal der Provider ausfällt - in dem Fall muss das VPN dann über den anderen Provider gehen, sicherlich nicht ganz trivial zu lösen, vor allem nicht bei Teilausfällen (DNS gestört o.ä.) aber grundsätzlich sollte es zumindest mit manuellen Eingriff zu lösen sein.

Hast Du eine ungefähre Hausnummer, was eine kleine ASA mit entsprechender Lizenz kostet? Ist da auch der VPN-Client enthalten?

[Wordo 11]

Hi Wordo,

 

das hört sich doch gut an - Geräteredundanz ist aber gar nicht gefragt

 

Du redest von HSRP/VRRP .. fuer mich ist das Hardwareredundanz, ausser du betreibst 2 Router mit je einer Leitung und machst ein Tracking im HSRP.

 

 

ASA5505-SEC-BUN-K9 .. mein Standarddistributor sagt da was von 626 netto.

[v-rtc 88]

Kurz ne Info.

 

Wir betreiben ebenfalls zwei ASA's. Die laufen wg. zwei ISP's im Context Mode.

 

Grüße

 

Rolf

[Whistleblower 45]

Das hört sich doch alles ganz gut an. :)

Macht es bei einer kleineren Umgebung eigentlich Sinn, schon ein zweistufiges Firewall-Konzept mit einer internen und einer externen Firewall zu planen, und Server in der DMZ dualhomed anzubinden?

Oder ist das DMZ-Konzept mit einer ASA nahezu genauso sicher?

Zusätzlich kommt bei uns sowieso eine TippingPoint IPS jeweils mit einem Segment in die DMZ und in das externe Segment.

[Wordo 11]

Kommt drauf an wie klein die Umgebung ist, und was du unter dualhomed verstehst. Das DMZ-Konzept ist meist nur so sicher wie derjenige der es konfiguriert :)

IPS ist nie verkehrt, wobei ich nicht der Fan von Konstellationen bin in denen Geraete in 2 Netzwerken stehen (also parallel zu FW) und sicht nicht "Firewall" nennen :D

[Otaku19 33]

Kurz ne Info.

 

Wir betreiben ebenfalls zwei ASA's. Die laufen wg. zwei ISP's im Context Mode.

 

Grüße

 

Rolf

 

Tjo, und schon wars das mit VPN Terminierung auf der ASA :)

 

 

@ threadersteller...genau aufpassen welche Featues du benötigst...server multihomed zu machen ist ohne eigenes AS eher schwierig, selbst wenn man einen NS hat der einem die Einträge ändert wenn eine Leitung weg ist, solange die TTL nicht abgelaufen ist haben noch alle anderen NS den alten Eintrag.

Und bei einer flappenden Leitung ist dann schnell das Chaos perfekt.

 

man kannnatürlich über 2 PA Adressbereiche quasi die beiden WAn links "loadbalancen"...aber wenn hier die Rede von einem 876er war ist das wohl ein wenig zu hoch gegriffen.

 

Je nachdem wie wichtig der Service ist der da nach drausen angeboten wird, reicht vielleicht auch ein einzelner Internetzugang mit brauchbaren SLA und eben 2 Firewalls/Router auf deiner Seite...ob das jetzt eine cold standby Box im Schubladl oder eine automatische Failoverlösung ist muss man danneben abschätzen.

[Whistleblower 45]

Mit Dualhomed meine ich, dass jeder Server zwei NICs hat, eine zur internen und eine zur externen FW.

Vielleicht ist so ein Konzept ja auch bereits überholt...

 

Die TippingPoint kann natürlich niemals eine Firewall ersetzen, ist aber auch nicht als eine solche vorgesehen - durch die Filterung (bis Schicht 7) in Echtzeit entlastet sie aber spürbar die dahinter liegenden Komponenten. Da die einzelnen Segmente voneinander und vom Mgmt-Interface getrennt sind, sehe ich da auch keine Schwächung des Gesamtkonzeptes.

[Whistleblower 45]

man kannnatürlich über 2 PA Adressbereiche quasi die beiden WAn links "loadbalancen"...aber wenn hier die Rede von einem 876er war ist das wohl ein wenig zu hoch gegriffen.

 

871/876 ist dafür auf jeden Fall aussen vor...

Es geht auch eher darum, zu einem anderen Standort ein VPN über einen zweiten Weg nutzen zu können - wie gesagt, es wäre ein Nice2Have, und sollte (sofern im Budget) später einmal mit der vorhandenen Hardware zu realisieren sein

[v-rtc 88]

Tjo, und schon wars das mit VPN Terminierung auf der ASA :)

Das stimmt, vergessen zu erwähnen.

Also zurück.

 

Sorry.

 

Grüße

 

Rolf

[Whistleblower 45]

Ne ASA5505 mit hoechster Lizenz schafft das. Kannst 2 im Active/Standby Failover betrieben, 25 IPSecs erlaubt, und ich glaub 10 VLANs. Die kann dann auch Dual ISP Backup mit Static Object Tracking (z.B.)

 

Hm, bekomme auf Anfrage nur die Version für 10 IPSec/VPN User - gibt es da keine 25er Lizenz?

[v-rtc 88]

Hm, bekomme auf Anfrage nur die Version für 10 IPSec/VPN User - gibt es da keine 25er Lizenz?

Kannst Du nicht noch eine 10er Lizenz dazu bestellen?

Wir haben bei unserer 5510 jeweils 10 dabei gehabt + 3 x 10 dazu bestellt.

 

Grüße

 

Rolf