Colocación de firewall para túneles VPN RA y L2L

8

Para el acceso remoto (RA) y LAN-to-LAN (L2L) VPN , actualmente opero un par de concentradores Cisco VPN 3005 conectados a enrutadores de borde de Internet en el exterior y el interior atado a un par interno de PIX 535 en lo que es el cortafuegos fuera de la interfaz antes de poder pasar a nuestras redes internas reales. Tanto la VPN 3005 como la PIX 535 están siendo reemplazadas por la plataforma ASA-5545X. Estos firewalls no son para nuestro tráfico primario de Internet, solo VPN, y también pueden servir como firewalls internos para el tráfico que ingresa al centro de datos a través de líneas privadas.

Con las ACL del firewall interno combinadas en un solo firewall que sirve el tráfico VPN y potencialmente otro tráfico de línea privada, para los límites de seguridad y para eliminar cualquier posible problema de enrutamiento, si la interfaz interna del firewall VPN (5545) permanece en una subred separada desde el firewall principal de Internet o realmente no importa? OSPF se está ejecutando actualmente en el firewall de Internet (w / default-originate) y la VPN 3005. Como este centro de datos es nuestro DC principal para el tráfico web, nuestro pan y mantequilla, debo eliminar cualquier problema potencial con la colocación del Cortafuegos de VPN que podrían interferir con esto incluso de la manera más leve.

** Si la interfaz interna del 5545 aterriza primero en los conmutadores de borde L2 y luego se conecta a los conmutadores agg para una mayor seguridad o simplemente deja que el interior caiga directamente en la capa Agg, también teniendo en cuenta que el tráfico de línea privada puede pasar por otra interfaz en el 5545 en el futuro.

Solo las partes relevantes de la conectividad L3 se muestran a continuación con el ASA-5545X * que está en cuestión.

                     Internet
                        El |
               Edge rtr + Edge rtr
                        El |
5545 * (VPN / Internal fw) + 5540 (Internet fw para tráfico de entrada / salida DC)
                        El |
                  Agg-1 + Agg-2
                        El |
                       etc.

Un par de interruptores L2 conectan todos los dispositivos de borde antes de llegar a los interruptores Agg.
Espacio público de IP fuera de los firewalls, privado en el interior.
(Cada firewall es parte de un par de conmutación por error diferente que no se muestra; los 5545 y 5540
no tener interacción)

Buscando respuestas / comentarios que podrían considerarse mejores prácticas o lo que ha encontrado funciona mejor en una red empresarial típica.

cisco security cisco-asa vpn switching generalnetworkerror
fuente
¿Hay direccionamiento público o privado entre los enrutadores de borde y el ASA 5545X?
Mike Pennington
@ MikePennington, direcciones públicas entre enrutadores perimetrales y firewalls ASA.
generalnetworkerror
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

3

Si la interfaz interna del 5545 aterriza primero en los conmutadores de borde L2 y luego se conecta a los conmutadores agg para una mayor seguridad o simplemente deja que el interior caiga directamente en la capa Agg, también teniendo en cuenta que el tráfico de línea privada puede pasar a través de otra interfaz en el 5545 en el futuro

Como no dijiste que los L2 ejecutarían ACL, no vería una diferencia. Supongo que ejecutará el etiquetado en los ASA internos a la capa de distribución. Mis firewalls se conectan directamente a los conmutadores de agregación con un vlan dedicado que ejecuta HSRP / VRRP entre cada conjunto de firewalls y los conmutadores agg.

En cuanto al tráfico de línea privada, no uso ASA, pero creo que tienen las zonas construidas como IOS ZBF y evitará que el tráfico VPN vaya al / del tráfico de línea privada sin pasar por el filtrado de paquetes.

Parece que los puntos de ruta predeterminados hacia el 5540 y utilizará rutas más específicas para llegar a sus grupos de acceso VPN internos y a las direcciones de línea privadas. El 5545 tiene la ruta predeterminada que apunta al 5540 y está bien que el tráfico VPN llegue directamente a Internet (no sé si divide el túnel en sus clientes VPN) y otras rutas a su espacio de direcciones interno.

Así que no puedo ver ningún problema real con su plan. Pero algunos de mis supuestos anteriores pueden estar equivocados

fredpbaker
fuente
¿Cuál es su razonamiento para el vlan dedicado entre cada conjunto de firewalls? Por cierto, los conmutadores de borde L2 no tienen ninguna ACL para el tráfico que pasa.
generalnetworkerror
Para facilitar la administración, podemos asociar una VLAN a un firewall y un conjunto de HSRP en los enrutadores, VRRP en los firwalls a un grupo de firewall específico. Obtenga un poco más de aislamiento como 1 dominio de difusión por firewall. Básicamente es una cuestión de estilo, realmente no es necesario hacerlo.
fredpbaker
2

Por lo que entiendo de su escenario, no importa si tiene dos interfaces internas de firewalls diferentes en la misma subred interna. Debe tener en cuenta lo siguiente al tomar esta decisión:

  1. ¿Tenerlos en la misma subred hace que la configuración sea más simple y fácil?
  2. ¿Ayudaría si estuvieran en subredes separadas de alguna manera?
  3. ¿He realizado el enrutamiento adecuado y entiendo la ruta de cualquier escenario de conexión? Por ejemplo, ¿qué dispositivos pasarán antes del tráfico interno antes de llegar al destino?
  4. ¿He configurado todas las reglas en los firewalls correctamente para asegurarme de que no se produce un enrutamiento entre dominios? Esto significa que el tráfico en la misma subred que pertenece a otro dispositivo (otro firewall) no se enruta. Esto podría ser lo más crítico en su configuración que le preocupa. Nuevamente, todo depende de las rutas de tráfico requeridas.
AdnanG
fuente
2

He implementado ASA en escenarios similares y todo salió bien, con una cuidadosa planificación y mantenimiento.

Para la interfaz externa, en primer lugar, asegure su proceso OSPF con MD5. Debe conectar esta interfaz a sus conmutadores agregados L2.

En su interfaz interna podemos sumergirnos en: - técnicamente puede conectarlo a su conmutador L3 para que divida el rol o la carga entre sus dispositivos de red, también tiene sentido para un firewall normal (si en algún momento tendrá problemas con sus dispositivos de agregación L2, al menos la red desde la parte inferior hasta el firewall está funcionando): para este escenario, ya que ASA se usa VPN, significa que también puede conectar su interior a los conmutadores de agregación L2. Sin esos conmutadores de agregación L2, su 5545 será inútil para su red. Sin embargo, para esta elección, debe pensar en las interfaces monitoreadas, ya que todas las interfaces físicas de su firewall estarán conectadas a un dispositivo físico. En pocas palabras: si tengo puertos y capacidad para una mejor lógica y solución de problemas, me conectaría directamente a los interruptores inferiores L3.

Finalmente, con respecto a su primera pregunta: he usado la interfaz interna como una red compartida con el otro firewall interno (podría encontrar algunos detalles con el mismo comando de tráfico de seguridad y también como una red dedicada, que el uso de interruptores inferiores se conecta al resto de la red.

Prefiero el último ya que en este caso el filtrado VPN L2L se realiza en el firewall (ASA 5545) en lugar de ACL de política de grupo (y luego aplicarlo al grupo de túnel). Es fácil de administrar, ver, solucionar problemas (para mí) y también me mantiene alejado de algunos escenarios de horquilla de tráfico más delicados ASA.

laf
fuente