ACL-Design - Deny in mehreren VLANs
Hallo zusammen,
ich habe zum ACL-Design auf einem Aruba 3810M eine Verständnisfrage.
Wir verwenden Inbound-ACLs je VLAN und eine ACL, die den Clients nur den Zugriff auf das Subnetz 10.10.100.0/24 nicht erlaubt sieht dann so aus:
Das Subnetz 10.10.100.0/24 ist ebenfalls ein VLAN, jedoch sieht unsere Konfiguration vor, dass wir bereits an der Quelle die Kommunikation unterbinden (Inbound im Source-VLAN). Ist das so korrekt?
Wir haben nun mehrere VLANs die mit diesem Subnetz nicht kommunizieren sollen, ist hier der einzig sinnvolle weg je VLAN dieses Subnetz mit deny zu verbieten?
ich habe zum ACL-Design auf einem Aruba 3810M eine Verständnisfrage.
Wir verwenden Inbound-ACLs je VLAN und eine ACL, die den Clients nur den Zugriff auf das Subnetz 10.10.100.0/24 nicht erlaubt sieht dann so aus:
ip access-list extended "ACL-In-Client"
permit tcp any any established
deny ip any 10.10.100.0/24
permit ip any any
exit
Das Subnetz 10.10.100.0/24 ist ebenfalls ein VLAN, jedoch sieht unsere Konfiguration vor, dass wir bereits an der Quelle die Kommunikation unterbinden (Inbound im Source-VLAN). Ist das so korrekt?
Wir haben nun mehrere VLANs die mit diesem Subnetz nicht kommunizieren sollen, ist hier der einzig sinnvolle weg je VLAN dieses Subnetz mit deny zu verbieten?
Please also mark the comments that contributed to the solution of the article
Content-ID: 2465980678
Url: https://administrator.de/contentid/2465980678
Printed on: October 6, 2024 at 16:10 o'clock
5 Comments
Latest comment
Ist das so korrekt?
Ja, das ist korrekt und auch best Practise. Es wäre ja auch unsinnig nicht gewollten Traffic in den Switch zu lassen um ihn dann da wieder umständlich rauszufiltern. Abgesehen davon sind outbound ACLs oftmal Process switched, werden also in CPU abgearbeitet anstatt in Silizium in den Asics. Ganz besonders bei Billigheimern ist das der Fall. Oftmal supporten die auch deshalb keine outbound ACLs.ist hier der einzig sinnvolle weg je VLAN dieses Subnetz mit deny zu verbieten?
Ja, wie sollte es auch anders gehen?! Ist bei Firewalls ja identisch.Ich hätte hier auch nochmal gerne einen Ratschlag
Das ist nicht zu beantworten ohne deine genauen Anforderungen ans Regelwerk zu kennen. Meistens sind ja die Filter Anforderungen pro Router IP Interface individuell so das es auch individuelle ACLs sind.
1.)
Wenn du Interface oder IP spezifische ACLs vermeiden willst ala "permit udp <souce_host/network> eq 3389 any (oder <destination_host/network> " die diesbezüglich sicherer sind weil sie Allerwelts Absender- und Zieladressen ausschliessen die es in dem jeweiligen Netz natürlich nicht geben sollte, dann ist diese "Schrotschuss" Variante für alle IP Interfaces deine einzige Option. Wie sollte es auch anders gehen...?!
Hier musst du also selber nach deiner Security Policy entscheiden welchen Weg du da gehst bzw. ob dir Einfachheit mehr wert ist als Sicherheit oder umgekehrt. Nur deine eigene Policy schreibt dir vor was wie zu regeln ist und bestimmt dann die ACL Umsetzung.
2.)
Sinnvoll wäre bei ACLs immer eine Sequence Number zu verwenden sofern die HP Gurken sowas überhaupt supporten. Damit ist eine Steuerung der Reihenfolge deutlich einfacher.
Ein "ACL Tool" ist mir nicht bekannt.
Wenn du Interface oder IP spezifische ACLs vermeiden willst ala "permit udp <souce_host/network> eq 3389 any (oder <destination_host/network> " die diesbezüglich sicherer sind weil sie Allerwelts Absender- und Zieladressen ausschliessen die es in dem jeweiligen Netz natürlich nicht geben sollte, dann ist diese "Schrotschuss" Variante für alle IP Interfaces deine einzige Option. Wie sollte es auch anders gehen...?!
Hier musst du also selber nach deiner Security Policy entscheiden welchen Weg du da gehst bzw. ob dir Einfachheit mehr wert ist als Sicherheit oder umgekehrt. Nur deine eigene Policy schreibt dir vor was wie zu regeln ist und bestimmt dann die ACL Umsetzung.
2.)
Sinnvoll wäre bei ACLs immer eine Sequence Number zu verwenden sofern die HP Gurken sowas überhaupt supporten. Damit ist eine Steuerung der Reihenfolge deutlich einfacher.
Ein "ACL Tool" ist mir nicht bekannt.