Jump to content

ASA oder ACL


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

 

in einem Gebäude gibt es folgende Cisco Hardware:

 

- 1x Catalyst 3750 ( Routinginstanz )

- 3x Catalyst 2960

- 2x WAN Anbindung ( im HSRP )

 

In diesem Gebäude existieren bereits mehrere VLANs, welche geroutet werden ( über 3750 ). Der Zugriff unter diesen VLANs ist nicht reglementiert.

 

Jetzt sollen aber weitere VLANs ( ca. 10 ) definiert werden, welche untereinander und zu den bereits bestehenden VLANs keinen Zugriff haben dürfen. In jedes dieser VLANs werden ca. 3-5 Geräte eingebunden. Diese Geräte möchte ich in die bestehende Infrastrucktur einbinden. ( Switche haben noch genügend freie Ports ).

Ziel soll es sein, dass jedes Gerät innerhalb eines VLANs nur mit einer bestimmten IP Adresse oder einem bestimmten Subnetz kommunizieren kann. ( Auch über die WAN Strecke hinweg)

 

Frage: sollte ich dies mittels einer ASA 5505 oder 5510 lösen, oder geht dies auch per ACL, bzw. welche Vorteile würde mir eine ASA bringen?

 

Vielen Dank für eure Unterstüzung

Link zu diesem Kommentar

das kommt darauf an :)

 

ich sage mal wenn es wirklich zu 100% sicher ist das die VLANS nie untereinander (also jetzt die neuen mit den alten) kommunzieren und auch keine Dienste nach draussen anbieten, dann köntne man schon mit einer ACL leben.

 

Ab dem Moment wo da irgendwelche Server drin sind die von draussen erreichbar sind oder Zugriffen zwischen den VLAN notwendig sind ist eine Firewall schon besser bzw ist es fahrlässig keine FW davor zu haben.

Vor allem weiß ich nicht wie ein 3750 die ACL handlet, wenn das CPU lastig ist sollte man das filtern nicht unbedingt auf seiner zentralen Routinginstanz haben.

 

ich hab jetz absichtlich nicht ASA geschrieben, die Firewallentscheidung hängt von zig Punkten ab

Link zu diesem Kommentar

noch eine Frage: kann ich mittels einer ACL auf einem Catalyst 3750 z.B: eine ssh Verbindung kontrollieren?

 

Beispiel:

 

ein Client 192.168.1.1/24 soll eine ssh Session zu der IP Adresse 192.168.10.1/24 aufbauen. Beide Subnetze werden durch den Catalyst geroutet. Definiere ich nun für das entsprechende VLAN Interface eine Outbound ACL, dann erlaube ich ssh von der IP 192.168.10.1 zur 192.168.1.1. Die ssh Session soll aber nur von der IP Adresse 192.168.1.1 aufgebaut werden dürfen. Die IP 192.168.10.1 darf keine SSH Session initiieren. Kann ich dies per ACL realisieren?

 

 

Firmware 3750: "(C3750-IPBASE-M), Version 12.2(35)SE5"

 

 

Im Voraus schonmal ein Dankeschön für eure Hilfe.

Link zu diesem Kommentar

VLAN 100: 192.168.1.0/24, Gateway 192.168.1.254

Client IP: 192.168.1.1

 

VLAN 150: 192.168.10.0/24, Gateway 192.168.10.254

Server IP:192.168.10.1

 

SSH Zugriff auf den Server mit der IP 192.168.10.1 darf nur von der IP Adresse 192.168.1.1 initiiert werden. Der Server selbst darf keine SSH Session zu anderen IPs aufbauen.

 

Parallell schaue ich mir natürlich auch noch den Konfig Guide an.

Link zu diesem Kommentar

tjo, und sonst clients in den netzen ? je nachdem wo weniger freigeschaltet werden muss, dort würde ich ansetzen.

 

hier für dein Anliegen

 

access-list 100 permit tcp host 192.168.1.1 host 192.168.10.1 eq 22

access-list 100 deny tcp any host 192.168.10.1 eq 22

access-list 100 permit ip any any

 

 

access-list 101 permit tcp established

access-list 101 deny tcp host 192.168.10.1 any eq 22

access-list 101 permit ip any any

 

int vlan 150

ip access-group 100 out

ip access-group 101 in

 

interessant wirds dann halt bei prokollen die dynamisch weitere Ports aushandeln, ftp oder nfs, da wäre dann CBAC angesagt, da weiß ich allerdings nciht ob das der Switch kann

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...