 asa transparent mode,  Aleks305, 21-Янв-11, 15:19 [смотреть все]привет всем!
Прошу помочь тех, кто больше знает asa, чем я в решении такой задачи(файл прилагается).
1)Уровень Core в ЛВС представлен коммутатором HP5412zl. На нем поднята маршрутизация между VLAN, на которые разделена ЛВС.
2)Интересующая нас подсеть 10.200.0.0/16 входит в VLAN 140, шлюз по умолчанию 10.200.0.1/16 также на коммутаторе core. В этом VLAN сосредоточены серверы, которые необходимо разделить на два сегмента(zachita и net_zachity) с помощью ASA. Менять адресацию их нельзя в силу определенных причин.
3)В аsa есть transparent режим, которые я и предлагаю использовать для разделения сети внутри одной vlan. Один мост прокинуть на защищаемый сегмент(коммутатор sw2), второй на незащищаемый (коммутатор sw1). Сформировать правила по доступу из сегмента пользователей в данные сегменты.
4) Вот собственно и вся идея. Теперь вопросы.
а) Работоспособна данная схема? будет ли файрвол корректно работать в данном случае? В мануалах приводится схема, когда несколько бриджей связывают различные подсети, а здесь 2 бриджа в пределах одного подсети.
б) Можно ли настроить взаимодействие между серверами в приведенной схеме(между сегментом zachita и net_zachity)?
в) Чтобы увеличить пропускную способность можно ли добавить еще по одному бриджу в каждый сегмент сети (будет не два бриджа, а 4).
г) Если схема, не работоспособна, не могли бы подсказать в какую сторону смотреть, чтобы решить задачу? Напомню, главное ограничение - нельзя менять ip в сегменте vlan140/
Всем спасибо! Ссылка на сайт, где приведена схема. http://tinypic.com/r/531mxj/7
|
- asa transparent mode, Aleks305, 16:42 , 22-Янв-11 (1)
так есть у кого-нить мнение по моему вопросу? - asa transparent mode, OvDP, 05:48 , 24-Янв-11 (2)
>[оверквотинг удален]
> здесь 2 бриджа в пределах одного подсети.
> б) Можно ли настроить взаимодействие между серверами в приведенной схеме(между сегментом
> zachita и net_zachity)?
> в) Чтобы увеличить пропускную способность можно ли добавить еще по одному бриджу
> в каждый сегмент сети (будет не два бриджа, а 4).
> г) Если схема, не работоспособна, не могли бы подсказать в какую сторону
> смотреть, чтобы решить задачу?
> Напомню, главное ограничение - нельзя менять ip в сегменте vlan140/
> Всем спасибо!
> Ссылка на сайт, где приведена схема. http://tinypic.com/r/531mxj/7 можно поподробнее, для чего вы это хотите сделать? зачем разделять сеть на "защищаемую" и "не защищаемую"?
- asa transparent mode, Aleks305, 20:12 , 24-Янв-11 (3)
>[оверквотинг удален]
>> zachita и net_zachity)?
>> в) Чтобы увеличить пропускную способность можно ли добавить еще по одному бриджу
>> в каждый сегмент сети (будет не два бриджа, а 4).
>> г) Если схема, не работоспособна, не могли бы подсказать в какую сторону
>> смотреть, чтобы решить задачу?
>> Напомню, главное ограничение - нельзя менять ip в сегменте vlan140/
>> Всем спасибо!
>> Ссылка на сайт, где приведена схема. http://tinypic.com/r/531mxj/7
> можно поподробнее, для чего вы это хотите сделать? зачем разделять сеть на
> "защищаемую" и "не защищаемую"?В этом серверном сегменте расположено около 70 серверов, часть из них содержит информацию, которые необходимо защищать. Примерно 10 из 70. Поэтому и хотим часть защищать, а часть нет + еще всякие требования законодательства. Вначале хотели разделить эти подсети выделением во разные vlan с другим ip-адресами. Но наши дбашники залупились, что изменив ip-адреса, могут незаработать критичные для бизнеса сервиса. Вот и думаю теперь, как сделать что-то...
- asa transparent mode, OvDP, 21:34 , 24-Янв-11 (4)
что приходит в голову:1. защитить всё (на будущее так сказать).
собрать все сервера на инсайде асы с помощью коммутатора, асу настроить как transparent firewall, аутсайд интерфейс асы в коммутатор ядра. Не забываем про пропускную способность железяки. 2. защитить один сегмент.
Собрать оба сегмента на разных коммутаторах, сервера важного сегмента аплинком на инсайд интерфейс асы, асу настроить как transparent firewall, аутсайд интерфейс асы в коммутатор ядра. второй сегмент сразу на коммутатор ядра. проверял, как-то раз. transparent firewall работает, но в силу требования проекта фича не прижилась. у асы в режмиме transparent firewall есть куча нюансов: http://www.cisco.com/en/US/docs/security/asa/asa80/configura...
пример конфигурации: http://xgu.ru/wiki/Cisco_ASA/Transparent_firewall
- asa transparent mode, Aleks305, 22:18 , 24-Янв-11 (5)
>[оверквотинг удален]
> transparent firewall, аутсайд интерфейс асы в коммутатор ядра. Не забываем про
> пропускную способность железяки.
> 2. защитить один сегмент.
> Собрать оба сегмента на разных коммутаторах, сервера важного сегмента аплинком на инсайд
> интерфейс асы, асу настроить как transparent firewall, аутсайд интерфейс асы в
> коммутатор ядра. второй сегмент сразу на коммутатор ядра.
> проверял, как-то раз. transparent firewall работает, но в силу требования проекта фича
> не прижилась.
> у асы в режмиме transparent firewall есть куча нюансов: http://www.cisco.com/en/US/docs/security/asa/asa80/configura...
> пример конфигурации: http://xgu.ru/wiki/Cisco_ASA/Transparent_firewall вынес из пункта 2 новую идею, че-то сам сначала не додумался, что из незащищаемого сегмента аплинк на коммутатор уровня ядра кинуть, я все сначала думал аплинк в асу засунуть. По-Вашему мнению, сервера смогут в защищаемом и незащищаемом сегменте общаться между собой? думаю, что должны...
а альтернативу cisco asa не можете предложить, ну чтобы и транспарент режим поддерживала и может чтобы подешевле...
завтра попробую стенд собрать.
спасибо за ответ
- asa transparent mode, OvDP, 22:28 , 24-Янв-11 (6)
>[оверквотинг удален]
>> у асы в режмиме transparent firewall есть куча нюансов: http://www.cisco.com/en/US/docs/security/asa/asa80/configura...
>> пример конфигурации: http://xgu.ru/wiki/Cisco_ASA/Transparent_firewall
> вынес из пункта 2 новую идею, че-то сам сначала не додумался, что
> из незащищаемого сегмента аплинк на коммутатор уровня ядра кинуть, я все
> сначала думал аплинк в асу засунуть. По-Вашему мнению, сервера смогут в
> защищаемом и незащищаемом сегменте общаться между собой? думаю, что должны...
> а альтернативу cisco asa не можете предложить, ну чтобы и транспарент режим
> поддерживала и может чтобы подешевле...
> завтра попробую стенд собрать.
> спасибо за ответ хм... dfl от dlink... в рутере восьмисотый работал стабильно, в транспарент не проверял (хотя фича есть)... но блин в логике работы иногда без бутылки не разберешься... имхо не стоит в вашем случае мелочиться..
- asa transparent mode, Aleks305, 11:03 , 25-Янв-11 (7)
Реши собрать в gns3 схему, чтобы попробовать понастравивать asa в transparent-режиме. Сначала собрал в routing, там все нормально, правила настраиваются корректно, можно манипулировать. В transparent даже при явно заданных permit ip any any пинги с хоста с инсайда не достигают аутсайда. Не пойму в чем дело. Вот конфиг:ASA Version 8.0(2)
!
firewall transparent
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
nameif inside
security-level 100
!
interface Ethernet0/1
nameif outside
security-level 20
!
interface Ethernet0/2
shutdown
no nameif
no security-level
!
interface Ethernet0/3
shutdown
no nameif
no security-level
!
interface Ethernet0/4
shutdown
no nameif
no security-level
!
interface Ethernet0/5
shutdown
no nameif
no security-level
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list 5 extended permit ip host 15.0.0.2 host 15.0.0.10
access-list 6 extended permit ip host 15.0.0.10 host 15.0.0.5
pager lines 24
mtu inside 1500
mtu outside 1500
ip address 15.0.0.5 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
access-group 5 in interface inside
access-group 6 in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list Не пойму, в чем проблема. Смотрую на статистику обработки пакетов на интерфейсах - все дропаются.
- asa transparent mode, OvDP, 11:37 , 25-Янв-11 (8)
>[оверквотинг удален]
> no snmp-server contact
> snmp-server enable traps snmp authentication linkup linkdown coldstart
> no crypto isakmp nat-traversal
> telnet timeout 5
> ssh timeout 5
> console timeout 0
> threat-detection basic-threat
> threat-detection statistics access-list
> Не пойму, в чем проблема. Смотрую на статистику обработки пакетов на интерфейсах
> - все дропаются.сделайте тупо по примеру для начала
- asa transparent mode, Aleks305, 12:08 , 25-Янв-11 (9)
> сделайте тупо по примеру для начала так я так и сделал, правили про icmp и так и этак крутил... не получилось пингу пройти через асу. А вот с ее менеджмент интерфейса пинг проходит и на инсайд и на аутсайд
- asa transparent mode, OvDP, 12:35 , 25-Янв-11 (10)
>> сделайте тупо по примеру для начала
> так я так и сделал, правили про icmp и так и этак
> крутил... не получилось пингу пройти через асу. А вот с ее
> менеджмент интерфейса пинг проходит и на инсайд и на аутсайд попробуйте:
1. навесит на интерфейсы ацл эни ту эни
2. пропинговать с асы в обе стороны
- asa transparent mode, Aleks305, 14:34 , 25-Янв-11 (11)
>>> сделайте тупо по примеру для начала
>> так я так и сделал, правили про icmp и так и этак
>> крутил... не получилось пингу пройти через асу. А вот с ее
>> менеджмент интерфейса пинг проходит и на инсайд и на аутсайд
> попробуйте:
> 1. навесит на интерфейсы ацл эни ту эни
> 2. пропинговать с асы в обе стороны пробовал permit ip any any вешать на inside и outside, пинги с асы в обе стороны проходят замечательно. Блин, то ли qemu тупит...то ли я
- asa transparent mode, OvDP, 14:39 , 25-Янв-11 (12)
>>>> сделайте тупо по примеру для начала
>>> так я так и сделал, правили про icmp и так и этак
>>> крутил... не получилось пингу пройти через асу. А вот с ее
>>> менеджмент интерфейса пинг проходит и на инсайд и на аутсайд
>> попробуйте:
>> 1. навесит на интерфейсы ацл эни ту эни
>> 2. пропинговать с асы в обе стороны
> пробовал permit ip any any вешать на inside и outside, пинги с
> асы в обе стороны проходят замечательно. Блин, то ли qemu тупит...то
> ли я уберите сцлы и попробуйте с хоста в инсайде пинговать аутсаудовские хосты... трафик должен проходить без явного разрешения, потому что 100>20
- asa transparent mode, Aleks305, 15:02 , 25-Янв-11 (13)
>[оверквотинг удален]
>>>> крутил... не получилось пингу пройти через асу. А вот с ее
>>>> менеджмент интерфейса пинг проходит и на инсайд и на аутсайд
>>> попробуйте:
>>> 1. навесит на интерфейсы ацл эни ту эни
>>> 2. пропинговать с асы в обе стороны
>> пробовал permit ip any any вешать на inside и outside, пинги с
>> асы в обе стороны проходят замечательно. Блин, то ли qemu тупит...то
>> ли я
> уберите сцлы и попробуйте с хоста в инсайде пинговать аутсаудовские хосты... трафик
> должен проходить без явного разрешения, потому что 100>20 пробовал уже...все-таки qemu глючит, других причин я не вижу
|
Версия для распечатки
