Penempatan firewall untuk VPN RA dan terowongan L2L

8

Untuk Remote Access (RA) dan LAN-to-LAN (L2L) VPN , saya saat ini mengoperasikan sepasang Cisco VPN 3005 Konsentrator yang terikat dengan router tepi Internet di bagian luar dan bagian dalam diikat ke sepasang internal PIX 535 pada apa firewall di luar antarmuka sebelum diizinkan melewati jaringan internal kami yang sebenarnya. Baik VPN 3005s dan PIX 535s sedang diganti dengan platform ASA-5545X. Firewall ini bukan untuk lalu lintas Internet utama kami, hanya VPN, dan mereka juga dapat berfungsi sebagai firewall internal untuk lalu lintas yang masuk ke pusat data melintasi jalur pribadi.

Dengan firewall internal ACL digabungkan dalam satu firewall yang melayani lalu lintas VPN dan berpotensi lalu lintas jalur pribadi lainnya, untuk batas keamanan dan untuk menghilangkan masalah perutean potensial, seandainya antarmuka bagian dalam firewall-VPN (5545) tetap berada dalam subnet terpisah dari firewall Internet utama atau apakah itu benar-benar tidak masalah? OSPF saat ini berjalan pada firewall Internet (w / default-origin) dan VPN 3005. Karena pusat data ini adalah DC utama kami untuk lalu lintas web - roti dan mentega kami - Saya harus menghilangkan masalah potensial dengan penempatan Firewall VPN yang dapat mengganggu ini bahkan dengan cara sekecil apa pun.

** Jika antarmuka bagian dalam tanah 5545 mendarat terlebih dahulu pada sakelar tepi L2 dan kemudian trunk ke sakelar ag untuk keamanan yang lebih baik atau hanya memasukkan bagian dalamnya langsung ke lapisan Agg, juga mempertimbangkan bahwa lalu lintas jalur pribadi mungkin datang melalui antarmuka lain pada 5545 di masa depan.

Hanya bagian yang relevan dari konektivitas L3 yang ditunjukkan di bawah ini dengan ASA-5545X * yang dipertanyakan.

                     Internet
                        |
               Edge rtr + Edge rtr
                        |
5545 * (VPN / Internal fw) + 5540 (Internet fw untuk traffic masuk / keluar DC)
                        |
                  Agg-1 + Agg-2
                        |
                       dll

Sepasang saklar L2 menghubungkan semua perangkat tepi sebelum mencapai switch Agg.
Ruang IP publik di luar firewall, pribadi di dalam.
(Setiap firewall adalah bagian dari pasangan failover terpisah yang tidak ditampilkan; 5545 dan 5540
tidak ada interaksi.)

Mencari jawaban / komentar yang dapat dianggap praktik terbaik atau apa yang Anda temukan berfungsi paling baik dalam jaringan perusahaan yang khas.

cisco security cisco-asa vpn switching generalnetworkerror
sumber
Apakah ada pengalamatan pribadi atau publik antara router tepi dan ASA 5545X?
Mike Pennington
@ MikePennington, alamat publik antara router tepi dan firewall ASA.
generalnetworkerror
Apakah ada jawaban yang membantu Anda? jika demikian, Anda harus menerima jawabannya sehingga pertanyaan tidak terus muncul selamanya, mencari jawaban. Atau, Anda bisa memberikan dan menerima jawaban Anda sendiri.
Ron Maupin

Jawaban:

3

Haruskah antarmuka di dalam tanah 5545 mendarat terlebih dahulu pada L2 edge switches dan kemudian trunk ke ag switch untuk keamanan yang lebih baik atau hanya memasukkan bagian dalamnya langsung ke lapisan Agg, juga mempertimbangkan bahwa lalu lintas jalur pribadi mungkin datang melalui antarmuka lain pada antarmuka 5545 di masa depan

Karena Anda tidak mengatakan bahwa L2 akan menjalankan ACL, saya tidak akan melihat perbedaan. Saya kira Anda akan menjalankan penandaan di bagian dalam ASA ke lapisan distribusi. Firewall saya terhubung langsung ke switch agregasi dengan vlan khusus yang menjalankan HSRP / VRRP antara setiap set firewall dan switch ag.

Mengenai lalu lintas jalur pribadi, saya tidak menggunakan ASA tapi saya pikir mereka memiliki zona konstruksi seperti IOS ZBF dan Anda akan menjaga lalu lintas VPN dari / ke lalu lintas jalur pribadi tanpa melalui penyaringan paket.

Kedengarannya seperti titik rute default ke 5540 dan Anda akan menggunakan rute yang lebih spesifik untuk sampai ke kolam akses VPN internal Anda dan alamat jalur pribadi. 5545 memiliki rute default yang menunjuk ke 5540 dan tidak apa-apa untuk lalu lintas VPN langsung ke internet (tidak tahu apakah Anda membagi terowongan pada klien VPN Anda) dan rute lainnya ke ruang alamat internal Anda.

Jadi saya tidak bisa melihat masalah nyata dengan rencana Anda. Tetapi beberapa asumsi saya di atas mungkin salah

fredpbaker
sumber
Apa alasan Anda untuk vlan khusus di antara setiap set firewall? BTW, sakelar tepi L2 tidak memiliki ACL untuk lalu lintas yang lewat.
generalnetworkerror
Untuk manajemen yang lebih mudah, kita dapat mengaitkan VLAN ke firewall dan satu set HSRP pada router, VRRP pada firewall untuk cluster firewall tertentu. Dapatkan isolasi lebih sedikit sebagai 1 broadcast domain per firewall. Ini pada dasarnya masalah gaya, tidak perlu melakukannya.
fredpbaker
2

Dari apa yang saya mengerti tentang skenario Anda, tidak masalah jika Anda memiliki dua antarmuka internal firewall yang berbeda pada subnet internal yang sama. Anda perlu mengingat hal-hal berikut saat membuat keputusan ini:

  1. Apakah memiliki mereka pada subnet yang sama membuat konfigurasi lebih sederhana dan lebih mudah?
  2. Apakah akan membantu jika mereka berada di subnet yang terpisah dengan cara apa pun?
  3. Sudahkah saya melakukan perutean yang benar dan saya mengerti jalan skenario koneksi apa pun? Misalnya, lalu lintas internal akan melewati perangkat mana sebelum mencapai tujuan?
  4. Apakah saya sudah mengkonfigurasi semua aturan pada firewall dengan benar untuk memastikan tidak ada perutean antar-Domain yang terjadi? Ini berarti bahwa lalu lintas pada subnet yang sama milik perangkat lain (firewall lain) tidak dialihkan. Ini mungkin hal paling kritis dalam pengaturan Anda yang Anda khawatirkan. Sekali lagi itu semua tergantung pada jalur lalu lintas yang Anda butuhkan.
AdnanG
sumber
2

Saya telah menggunakan ASA dalam skenario yang sama dan semuanya berjalan dengan baik, dengan perencanaan dan pemeliharaan yang cermat.

Untuk antarmuka luar, pertama-tama amankan proses OSPF Anda menggunakan MD5. Anda harus menghubungkan antarmuka ini ke sakelar agregat L2 Anda.

Pada antarmuka bagian dalam Anda, kami dapat menyelami: - secara teknis Anda dapat menghubungkannya ke sakelar L3 Anda sehingga Anda akan membagi peran atau beban antara perangkat jaringan Anda, juga masuk akal untuk firewall biasa (jika pada suatu saat Anda akan memiliki masalah dengan perangkat agregat L2 Anda, setidaknya jaringan dari bawah ke firewall berfungsi) - untuk skenario ini karena ASA digunakan VPN itu berarti Anda juga dapat menghubungkan bagian dalam Anda ke sakelar agregasi L2. Tanpa sakelar L2-aggreg tersebut, 5545 Anda akan menjadi tidak berguna untuk jaringan Anda. Namun demikian untuk pilihan ini Anda harus memikirkan antarmuka yang dipantau karena semua antarmuka fisik firewall Anda akan terhubung ke satu perangkat fisik. Intinya: jika saya memiliki port dan kapasitas untuk logika dan pemecahan masalah yang lebih baik, saya akan menghubungkan langsung ke dalam L3-bottom-switch.

Akhirnya mengenai pertanyaan pertama Anda: Saya telah menggunakan antarmuka dalam baik sebagai jaringan bersama dengan firewall di dalam lainnya (Anda bisa mengalami beberapa detail dengan perintah lalu lintas keamanan yang sama dan juga sebagai jaringan khusus, daripada menggunakan sakelar bawah yang terhubung ke yang lain. dari jaringan.

Saya lebih suka yang terakhir karena dalam hal ini penyaringan VPN L2L dilakukan pada firewall (ASA 5545) daripada ACL kebijakan grup (dan kemudian menerapkannya pada tunnel-group). Mudah untuk mengelola, melihat, memecahkan masalah (untuk saya) dan juga menjauhkan saya dari beberapa skenario hairpin lalu lintas ASA yang lebih halus.

laf
sumber