Posicionamento do firewall para túneis VPN RA e L2L

8

Para acesso remoto (RA) e VPN LAN-to-LAN (L2L) , atualmente eu opero um par de concentradores Cisco VPN 3005 vinculados a roteadores de borda da Internet no lado externo e interno vinculados a um par interno de PIX 535s no que é o firewall fora da interface antes de poder passar para nossas redes internas reais. O VPN 3005s e o PIX 535s estão sendo substituídos pela plataforma ASA-5545X. Esses firewalls não são para o tráfego primário da Internet, apenas VPN, e também podem servir como firewalls internos para o tráfego que entra no datacenter por linhas privadas.

Com as ACLs do firewall interno sendo combinadas em um único firewall que atende ao tráfego da VPN e potencialmente outro tráfego de linha privada, para limites de segurança e para eliminar possíveis problemas de roteamento, a interface interna do firewall da VPN (5545) deve permanecer em uma sub-rede separada do firewall principal da Internet ou isso realmente não importa? No momento, o OSPF está sendo executado no firewall da Internet (com origem padrão) e na VPN 3005. Como esse data center é o nosso controlador de domínio primário para tráfego da Web - nosso pão com manteiga -, devo eliminar quaisquer problemas em potencial com a colocação do Firewalls de VPN que podem interferir nisso, mesmo que de maneira mínima.

** Se a interface interna do 5545 pousar primeiro nos comutadores de borda L2 e depois entrar nos comutadores agg para melhor segurança ou apenas ter a queda interna diretamente na camada Agg, também considerando que o tráfego de linha privada pode passar por outra interface no 5545 no futuro.

Somente as partes relevantes da conectividade L3 são mostradas abaixo com o ASA-5545X * que está em questão.

                     Internet
                        |
               Edge rtr + Edge rtr
                        |
5545 * (VPN / transmissão interna) + 5540 (Internet para tráfego de entrada / saída de DC)
                        |
                  AGG-1 + AGG-2
                        |
                       etc

Um par de switches L2 conecta todos os dispositivos de borda antes de alcançar os switches Agg.
Espaço IP público fora dos firewalls, privado por dentro.
(Cada firewall faz parte de um par de failover separado não mostrado; o 5545 e o 5540
não tem interação.)

Procurando respostas / comentários que possam ser considerados práticas recomendadas ou o que você encontrou funciona melhor em uma rede corporativa típica.

generalnetworkerror
fonte
Há endereçamento público ou privado entre os roteadores de borda e o ASA 5545X?
Mike Pennington
@ MikePennington, endereços públicos entre roteadores de borda e firewalls ASA.
generalnetworkerror
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:

3

Se a interface interna do 5545 aterrissar primeiro nos comutadores de borda L2 e depois passar para os comutadores agg para obter melhor segurança ou apenas ter a gota interna diretamente na camada Agg, também considerando que o tráfego de linha privada pode passar por outra interface no 5545 no futuro

Como você não disse que os L2s estariam executando ACLs, eu não veria diferença. Suponho que você executará a marcação nos ASAs internos na camada de distribuição. Meus firewalls se conectam diretamente aos switches de agregação com uma vlan dedicada que executa o HSRP / VRRP entre cada conjunto de firewalls e os switches agg.

Quanto ao tráfego de linha privada, eu não uso o ASA, mas acho que eles têm as zonas construídas como o IOS ZBF e você impedirá o tráfego VPN de ir para / do tráfego de linha privada sem passar pela filtragem de pacotes.

Soa como pontos de rota padrão para o 5540 e você usará rotas mais específicas para acessar seus pools de acesso VPN interno e os endereços de linha privada. O 5545 tem a rota padrão apontando para o 5540 e não há problema em o tráfego VPN acessar a Internet diretamente (não sei se você dividiu o túnel em seus clientes VPN) e outras rotas para o seu espaço de endereço interno.

Portanto, não vejo nenhum problema real com seu plano. Mas algumas das minhas suposições acima podem estar erradas

fredpbaker
fonte
Qual é o seu raciocínio para a vlan dedicada entre cada conjunto de firewalls? BTW, os switches de borda L2 não possuem ACLs para o tráfego que passa.
generalnetworkerror
Para facilitar o gerenciamento, podemos associar uma VLAN a um firewall e um conjunto de HSRP nos roteadores, VRRP nos firewalls a um cluster de firewall específico. Obtenha um pouco mais de isolamento como 1 domínio de broadcast por firewall. É basicamente uma questão de estilo, realmente não precisa fazê-lo.
Fredpbaker 29/08
2

Pelo que entendi do seu cenário, não importa se você tem duas interfaces internas de firewalls diferentes na mesma sub-rede interna. Você precisa manter o seguinte em mente ao tomar esta decisão:

  1. Tê-los na mesma sub-rede torna a configuração mais simples e fácil?
  2. Ajudará se eles estiverem em sub-redes separadas de alguma forma?
  3. Eu fiz o roteamento adequado e compreendo o caminho de qualquer cenário de conexão? Por exemplo, o tráfego interno passará por quais dispositivos antes de chegar ao destino?
  4. Eu configurei todas as regras nos firewalls corretamente para garantir que nenhum roteamento entre domínios esteja ocorrendo? Isso significa que o tráfego na mesma sub-rede que pertence a outro dispositivo (outro firewall) não é roteado. Isso pode ser a coisa mais crítica em sua configuração, com a qual você está preocupado. Novamente, tudo depende dos seus caminhos de tráfego necessários.
AdnanG
fonte
2

Implantei ASAs em cenários semelhantes e tudo correu bem, com planejamento e manutenção cuidadosos.

Para a interface externa, primeiro proteja seu processo OSPF usando o MD5. Você deve conectar essa interface aos seus switches agregados L2.

Na sua interface interna, podemos mergulhar em: - tecnicamente, você pode conectá-lo ao seu switch L3, para dividir a função ou a carga entre os dispositivos de rede, também faz sentido para um firewall comum (se em algum momento você tiver problemas com seus dispositivos agregados L2, pelo menos a rede de baixo para o firewall está funcionando) - para este cenário, como o ASA é usado por VPN, significa que você também pode conectar seu interior aos comutadores de agregação L2. Sem esses switches agregados L2, o seu 5545 se tornará inútil para a sua rede. No entanto, para essa escolha, é necessário pensar nas interfaces monitoradas, pois todas as interfaces físicas do firewall serão conectadas a um dispositivo físico. Bottom line: se eu tiver portas e capacidade para uma melhor lógica e solução de problemas, conectarei diretamente aos switches L3-bottom.

Finalmente, com relação à sua 1ª pergunta: usei a interface interna como uma rede compartilhada com o outro firewall interno (você pode encontrar alguns detalhes com o mesmo comando de segurança de tráfego e também como uma rede dedicada) do que usar comutadores inferiores para se conectar ao resto da rede.

Eu prefiro o último, pois neste caso a filtragem VPN L2L é feita no firewall (ASA 5545) em vez da ACL da política de grupo (e aplicando-a ao grupo de túneis). É fácil de gerenciar, visualizar, solucionar problemas (para mim) e também me mantém longe de alguns cenários mais delicados do tráfego ASA.

laf
fonte