13
Hilfe bei der ACL-Definition für Transfer-VLAN und Management-VLAN
Hallo,
um meine VLANs bestmöglich abzusichern, benötige ich Eure Unterstützung.
Aktueller Aufbau:
FB über Transfer-VLAN an CBS350 angebunden. auf dem CBS350 diverse VLANs definiert, die auch per ACLs abgesichert sind. Soweit ist alles erledigt.
Nun möchte ich das Management-VLAN weitestgehend abschotten. Allerdings benötigen die Switche in diesem VLAN einen Internetzugang für die Zeitserver und der L3-Switch ist gleichzeitig der DHCP-Server. Somit benötigen alle VLANs Zugriff auf die DHCP-Funktion. Und ich benötige den Zugriff auf die DNS-Server (Namensauflösung der Zeitserver und der Switch-Namen). Der Zugriff auf die Switche erfolgt nur über ein Gerät, dass im gleichen VLAN hängt.
Ich habe die ACLs nun wie folgt definiert :
Passt das so, oder habe ich einen Denkfehler. Ich habe die ACLs noch nicht dem VLAN zugeordnet.
Für das Transfer-VLAN benötige ich die Zugriffe auf den DHCP-Server und zwei weitere VLANs (140+180). Hier habe ich die ACLs wie folgt definiert:
Passt das so, oder "säge ich dann einen wichtigen Ast ab"?
Viele Grüße
Jürgen
um meine VLANs bestmöglich abzusichern, benötige ich Eure Unterstützung.
Aktueller Aufbau:
FB über Transfer-VLAN an CBS350 angebunden. auf dem CBS350 diverse VLANs definiert, die auch per ACLs abgesichert sind. Soweit ist alles erledigt.
Nun möchte ich das Management-VLAN weitestgehend abschotten. Allerdings benötigen die Switche in diesem VLAN einen Internetzugang für die Zeitserver und der L3-Switch ist gleichzeitig der DHCP-Server. Somit benötigen alle VLANs Zugriff auf die DHCP-Funktion. Und ich benötige den Zugriff auf die DNS-Server (Namensauflösung der Zeitserver und der Switch-Namen). Der Zugriff auf die Switche erfolgt nur über ein Gerät, dass im gleichen VLAN hängt.
Ich habe die ACLs nun wie folgt definiert :
ip access-list extended VLAN070-ACL
permit udp 0.0.0.0 0.0.0.0 bootps 255.255.255.255 0.0.0.0 bootpc ace-priority 10 DHCP-Anfragen erlauben
permit udp 192.168.70.0 0.0.0.255 any 192.168.180.50 0.0.0.0 domain ace-priority 20 DNS-Abfrage bei 192.168.180.50
permit tcp 192.168.70.0 0.0.0.255 any 192.168.180.50 0.0.0.0 domain ace-priority 30 DNS-Abfrage bei 192.168.180.50
permit udp 192.168.70.0 0.0.0.255 any 192.168.255.250 0.0.0.0 domain ace-priority 40 DNS-Abfrage bei 192.168.255.250
permit tcp 192.168.70.0 0.0.0.255 any 192.168.255.250 0.0.0.0 domain ace-priority 50 DNS-Abfrage bei 192.168.255.250
permit ip 192.168.70.0 0.0.0.255 192.168.70.0 0.0.0.255 ace-priority 1000 Zugriffe innerhalb des VLAN070 erlauben
deny ip 192.168.70.0 0.0.0.255 192.168.0.0 0.0.255.255 ace-priority 1100 Zugriff auf andere VLANs verbieten
permit udp 192.168.70.0 0.0.0.255 ntp any any ace-priority 1200 Zugriff auf Zeitserver im Internet
exitPasst das so, oder habe ich einen Denkfehler. Ich habe die ACLs noch nicht dem VLAN zugeordnet.
Für das Transfer-VLAN benötige ich die Zugriffe auf den DHCP-Server und zwei weitere VLANs (140+180). Hier habe ich die ACLs wie folgt definiert:
ip access-list extended VLAN255-ACL
permit udp 0.0.0.0 0.0.0.0 bootpc 255.255.255.255 0.0.0.0 bootps ace-priority 10 gesendete DHCP-Anfragen erlauben
permit ip 192.168.255.0 0.0.0.255 192.168.140.0 0.0.0.255 ace-priority 400 Vollzugriff auf VLAN140
permit ip 192.168.255.0 0.0.0.255 192.168.180.0 0.0.0.255 ace-priority 600 Vollzugriff auf VLAN180
permit ip 192.168.255.0 0.0.0.255 192.168.255.0 0.0.0.255 ace-priority 1000 Zugriffe innerhalb des VLAN255 erlauben
deny ip 192.168.255.0 0.0.0.255 192.168.0.0 0.0.255.255 ace-priority 1100 Zugriff auf andere VLANs verbieten
permit ip 192.168.255.0 0.0.0.255 any ace-priority 1200 Zugriff auf das Internet erlauben
exitPasst das so, oder "säge ich dann einen wichtigen Ast ab"?
Viele Grüße
Jürgen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1750545529
Url: https://administrator.de/contentid/1750545529
Printed on: July 27, 2024 at 12:07 o'clock
13 Comments
Latest comment
Passt das so, oder "säge ich dann einen wichtigen Ast ab"?
Warum probierst du es dann nicht einfach einmal an einem Test VLAN Segment aus. Wäre doch das Intelligenteste um die Funktion zu verifizieren, oder ? 
Zumindestens Zeile 2 solltest du auf permit udp any any eq bootpc korrigieren sonst erleidest du Schiffbruch.
Außerdem ist permit ip 192.168.255.0 0.0.0.255 192.168.255.0 0.0.0.255 ziemlicher Blödsinn den du besser entsorgen solltest ! Ebenso das Pendant am 70er VLAN. Was sollte der tiefere Sinn dieser sinnfreien ACL sein ?? Lokaler Traffic rennt doch niemals über den Router !
Der Rest ist soweit OK. Zumindestens dann wenn es eine inbound ACL für das 70er und 255er VLAN ist.
Bedenke aber das dann Rückrouten Traffic via 255 rein nur in das 255er, das 140er und das 180er Netz kommt. Alle anderen VLANs sind mit der ACL vom Internet dann geblockt.
Sinnvoller wäre es wenn du in der 255er ACL den restlichen VLAN Inbound Traffic über eine Summary ACL mit Established Bit passieren lässt. So stellst du sicher das aller initiierter Traffic aus den VLANs passieren kann. Ist viel effizienter...
Hallo aqui,
danke für Deine Antwort. Das mit dem Test-VLAN hatte ich mir auch schon überlegt. Muss ich einfach einmal ausprobieren.
Die DHCP-Anfrage aus den VLANs habe ich bisher mit
permit udp 0.0.0.0 0.0.0.0 bootpc 255.255.255.255 0.0.0.0 bootps ace-priority 10
umgesetzt. Bisher scheint dies auch zu funktionieren. Da im VLAN255 der DHCP-Server liegt (CBS-350), habe ich die ACL aus den anderen VLANs einfach umgedreht. Dazu habe ich diese Info gefunden:
For DHCP relay and DHCP proxy, packets sent to the DHCP server from the router have both the source and destination UDP ports set to 67. The DHCP server responds using the same ports. However, when the line card receives these DHCP response packets, it changes both port numbers from 67 to 68 before passing the packets to the Routing Engine. Consequently the filter needs to accept port 67 for packets relayed from the client to the server, and port 68 for packets relayed from the server to the client. (DHCP-Ports
Ist das so nicht korrekt? In Deiner Regel ist ja nur Port 67 enthalten. Wird Port 68 hier nicht benötigt?
Die Zeile " permit ip 192.168.255.0 0.0.0.255 192.168.255.0 0.0.0.255" habe ich in allen VLANs eingefügt, da ich ohne diese Zeile das Problem habe, das die Kommunikation der Geäte untereinander nicht funktioniert, wenn ich am Ende diese Zeile in den VLANs habe "deny ip 192.168.120.0 0.0.0.255 192.168.0.0 0.0.255.255 ace-priority 1100". Hiermit will ich intern verbieten, was vorher nicht erlaubt war.
Welche Regel mus ich noch definieren, dass im 255-Netz alle VLANs, für die es erlaubt ist, auch die Antwort aus dem Internet erhalten?
Viele Grüße
Jürgen
danke für Deine Antwort. Das mit dem Test-VLAN hatte ich mir auch schon überlegt. Muss ich einfach einmal ausprobieren.
Die DHCP-Anfrage aus den VLANs habe ich bisher mit
permit udp 0.0.0.0 0.0.0.0 bootpc 255.255.255.255 0.0.0.0 bootps ace-priority 10
umgesetzt. Bisher scheint dies auch zu funktionieren. Da im VLAN255 der DHCP-Server liegt (CBS-350), habe ich die ACL aus den anderen VLANs einfach umgedreht. Dazu habe ich diese Info gefunden:
For DHCP relay and DHCP proxy, packets sent to the DHCP server from the router have both the source and destination UDP ports set to 67. The DHCP server responds using the same ports. However, when the line card receives these DHCP response packets, it changes both port numbers from 67 to 68 before passing the packets to the Routing Engine. Consequently the filter needs to accept port 67 for packets relayed from the client to the server, and port 68 for packets relayed from the server to the client. (DHCP-Ports
Ist das so nicht korrekt? In Deiner Regel ist ja nur Port 67 enthalten. Wird Port 68 hier nicht benötigt?
Die Zeile " permit ip 192.168.255.0 0.0.0.255 192.168.255.0 0.0.0.255" habe ich in allen VLANs eingefügt, da ich ohne diese Zeile das Problem habe, das die Kommunikation der Geäte untereinander nicht funktioniert, wenn ich am Ende diese Zeile in den VLANs habe "deny ip 192.168.120.0 0.0.0.255 192.168.0.0 0.0.255.255 ace-priority 1100". Hiermit will ich intern verbieten, was vorher nicht erlaubt war.
Welche Regel mus ich noch definieren, dass im 255-Netz alle VLANs, für die es erlaubt ist, auch die Antwort aus dem Internet erhalten?
Viele Grüße
Jürgen
Hi Jürgen
Die einfache Variante filtert halt nicht nach Quellport.
Man kann das aber auch auf Blacklistung umstellen dann ist ein permit any any gültig.
Die Inverse Maske musst du so setzen das sie alle deine VLANs inkludiert.
Dadurch kommen nur TCP Frames mit gesetztem Established Bit durch also nur Rücktraffic von Sessions die in den VLANs initiiert wurden.
Hier musst du aber etwas aufpassen wenn du UDP auch durchlassen willst/musst. Das musst du getrennt mit zusätzlichen Regeln dort handhaben, denn ACLs sind nicht stateful.
Bisher scheint dies auch zu funktionieren.
Ist logisch auch das gleiche wie permit udp any any eq bootpc. Deine Variante ist etwas dichter was die IP Adressen betrifft und Sourc e und Destination Port betrifft. Wird Port 68 hier nicht benötigt?
Doch. Guckst du hier: https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#Ablauf ...Die einfache Variante filtert halt nicht nach Quellport.
das die Kommunikation der Geäte untereinander nicht funktioniert
Das ist eigentlich Unsinn. Zieh einfach mal den Router ab oder setze den Port auf shutdown nachdem die IPs bezogen haben. Die können auch ohne kommunizieren. Der L3 Port wird doch nur dann benutzt wenn ein Client IP Pakete in andere Netze routen muss. Wireshark ist hier wieder dein bester Freund !! Der zeigt dir doch die Client Kommunikation mit dem Switch IP Port genau an ! Hiermit will ich intern verbieten, was vorher nicht erlaubt war.
Das musst du nicht bzw. kommt darauf an WAS für eine Default Logik du aktiviert hast. Normal ist immer ein impliziertes deny any any in der Liste. (Whitelisting)Man kann das aber auch auf Blacklistung umstellen dann ist ein permit any any gültig.
dass im 255-Netz alle VLANs, für die es erlaubt ist,
permit tcp any 192.168.0.0 0.0.255.255 eq establishedDie Inverse Maske musst du so setzen das sie alle deine VLANs inkludiert.
Dadurch kommen nur TCP Frames mit gesetztem Established Bit durch also nur Rücktraffic von Sessions die in den VLANs initiiert wurden.
Hier musst du aber etwas aufpassen wenn du UDP auch durchlassen willst/musst. Das musst du getrennt mit zusätzlichen Regeln dort handhaben, denn ACLs sind nicht stateful.
Danke für die Tipps.
Ich werde dies die nächsten Tage testen und dann berichten.
Viele Grüße
Jürgen
Ich werde dies die nächsten Tage testen und dann berichten.
Viele Grüße
Jürgen
Hallo aqui,
ich verzweifle
Dann habe ich noch in den Regeln für VLAN100 die Zeile
gelöscht und nur die ACLs für VLAN100 aktiviert. Das Ergebnis war, dass die Geräte nicht mehr untereinander kommunizieren (kein ping). Zeile wieder rein, alles ok.
Was läuft hier falsch?
Hier alle Regeln.
Viele Grüße
Jürgen
ich verzweifle
- Ich kann Dein Vorschlag mit permit tcp any 192.168.0.0 0.0.255.255 eq established nicht umsetzen. In den ACL-Kommandos finde ich es nicht ACLs für CBS350 und wenn ich es mit
- #configure
- #permit tcp any 192.168.0.0 0.0.255.255 eq established
Dann habe ich noch in den Regeln für VLAN100 die Zeile
permit ip 192.168.100.0 0.0.0.255 192.168.100.0 0.0.0.255Was läuft hier falsch?
ip access-list extended VLAN100-ACL
permit udp 0.0.0.0 0.0.0.0 bootpc 255.255.255.255 0.0.0.0 bootps ace-priority 10 gesendete DHCP-Anfragen erlauben
permit udp 192.168.100.0 0.0.0.255 any 192.168.180.50 0.0.0.0 domain ace-priority 20 DNS-Abfrage bei 192.168.180.50
permit tcp 192.168.100.0 0.0.0.255 any 192.168.180.50 0.0.0.0 domain ace-priority 30 DNS-Abfrage bei 192.168.180.50
permit udp 192.168.100.0 0.0.0.255 any 192.168.255.250 0.0.0.0 domain ace-priority 40 DNS-Abfrage bei 192.168.255.250
permit tcp 192.168.100.0 0.0.0.255 any 192.168.255.250 0.0.0.0 domain ace-priority 50 DNS-Abfrage bei 192.168.255.250
permit ip 192.168.100.0 0.0.0.255 192.168.70.0 0.0.0.255 ace-priority 100 Vollzugriff auf VLAN1
permit ip 192.168.100.0 0.0.0.255 192.168.120.0 0.0.0.255 ace-priority 300 Vollzugriff auf VLAN120
permit ip 192.168.100.0 0.0.0.255 192.168.140.0 0.0.0.255 ace-priority 400 Vollzugriff auf VLAN140
permit ip 192.168.100.0 0.0.0.255 192.168.160.0 0.0.0.255 ace-priority 500 Vollzugriff auf VLAN160
permit ip 192.168.100.0 0.0.0.255 192.168.180.0 0.0.0.255 ace-priority 600 Vollzugriff auf VLAN180
permit ip 192.168.100.0 0.0.0.255 192.168.255.0 0.0.0.255 ace-priority 800 Vollzugriff auf VLAN255
permit ip 192.168.100.0 0.0.0.255 192.168.100.0 0.0.0.255 ace-priority 1000 Zugriffe innerhalb des VLAN100 erlauben
deny ip 192.168.100.0 0.0.0.255 192.168.0.0 0.0.255.255 ace-priority 1100 Zugriff auf andere VLANs verbieten
permit ip 192.168.100.0 0.0.0.255 any ace-priority 1200 Zugriff ins Internet
exitViele Grüße
Jürgen
versuche, bekomme ich die Info "Unrecognized command".
Warum hangelst du dich dann nicht mit dem "?" mal durch ??? Das ist doch das Naheliegenste und kommt jeder sofort selber drauf ?!Der Cisco hat doch die Hilfe für dich immer gleich an Bord, du musst ihn nur danach fragen mit dem "?"
https://www.coufal.info/cisco_ios/basis.shtml
An jeder Stelle der Syntax kannst du ein "?" eingeben und der Cisco sagt dir dann immer was er von dir möchte !
Also vielleicht einmal permit tcp any 192.168.0.0 0.0.255.255 ? versuchen.
Hallo aqui,
das habe ich doch längst versucht
Manchmal höre ich doch auf Dich
Aber schon bei "permit ?" kommt die Meldung und ich habe keine Ahnung, welchen Befehl ich vorher nutzen soll, den ich mit "?" angezeigt bekomme.
Wenn ich vorher noch eingebe, erhalte ich die Fehlermeldung Auch hier hatte ich versucht, mich mit dem ? durchzuhangeln. Bei der kompletten Befehlszeile mit ? am Ende, wiederholt er diese nur.
"established" wird mir mit ? nirgendwo angezeigt. Ich habe zumindest keinen Weg dahin gefunden.
Viele Grüße
Jürgen
das habe ich doch längst versucht
Manchmal höre ich doch auf Dich Aber schon bei "permit ?" kommt die Meldung und ich habe keine Ahnung, welchen Befehl ich vorher nutzen soll, den ich mit "?" angezeigt bekomme.
Wenn ich vorher noch
#ip access-list extended VLAN255-ACL% Wrong number of parameters or invalid range, size or characters entered"established" wird mir mit ? nirgendwo angezeigt. Ich habe zumindest keinen Weg dahin gefunden.
Viele Grüße
Jürgen
Hallo aqui,
ich glaube, ich habe die Lösung gefunden. Ich gehe davon aus, das die Eingabe von
nicht funktioniert sondern in der Form
eingegeben werden muss.
Damit werden zumindest die Internetanfragen aus dem Transfernetz beantwortet.
Bleibt noch die Frage, warum die Zugriffe innerhalb eines VLANs nicht funktioieren, wenn ich dies nicht explizit erlaube.
Viele Grüße
Jürgen
ich glaube, ich habe die Lösung gefunden. Ich gehe davon aus, das die Eingabe von
permit tcp any 192.168.0.0 0.0.255.255 eq establishedpermit tcp any any 192.168.0.0 0.0.255.255 any match-all +ack ace-priority 900
permit udp any any 192.168.0.0 0.0.255.255 any ace-priority 910Damit werden zumindest die Internetanfragen aus dem Transfernetz beantwortet.
Bleibt noch die Frage, warum die Zugriffe innerhalb eines VLANs nicht funktioieren, wenn ich dies nicht explizit erlaube.
Viele Grüße
Jürgen
Das ist aber auch eine schwere Geburt mit dir....
<cody>HV-Stack(config)#ip access-list ?
extended Create an extended ACL.
WORD<1-32> The IP standard access list name.
Du siehst hier will er wissen ob du eine extend List oder eine Simple List haben willst. Simple will er die ACL Nummer extended <name_acl> legt diese Liste an !
Logischerweise musst du dann immer erst den Namen angeben wenn du eine Extended List bearbeitest.
Ausnahme natürlich du nutzt lokale L2 Funktionen auf dem Switch wie DHCP usw. Aber die fragen ja dann imemr die Switch IP und niemals ihre eigenen IPs bei Kommunikation untereinander.
Das kannst du einfach nachvollziehen indem du den lokalen Clients einmal statische IPs verpasst. Dann kannst du ein deny any any an der ACL eingeben und diese Clients können trotzdem lokal kommunizieren was ja auch aus L3 Sicht logisch nachvollziehbar ist.
<cody>HV-Stack(config)#ip access-list ?
extended Create an extended ACL.
WORD<1-32> The IP standard access list name.
Du siehst hier will er wissen ob du eine extend List oder eine Simple List haben willst. Simple will er die ACL Nummer extended <name_acl> legt diese Liste an !
Logischerweise musst du dann immer erst den Namen angeben wenn du eine Extended List bearbeitest.
- permit ? zeigt dir dann welche Protokolle die ACL supportet
- z.B. permit tcp ? erklärt sich selber... Sequence fpr die Reihenfolge usw.
- usw. usw
permit tcp any 192.168.0.0 0.0.255.255 eq established
Nichts anderes wurde dir ja oben schon erklärt ! 😉sondern in der Form
Das ist richtig. Oben war nur der grobe Rahmen der dich auf diese Spur bringen sollte... Bleibt noch die Frage, warum die Zugriffe innerhalb eines VLANs nicht funktioieren, wenn ich dies nicht explizit erlaube.
Das ist richtig. Habe das hier auf einem SG300 mit aktueller Firmware mal versucht zu reproduzieren. Passiert erwartbar nicht... Ist auch klar, denn lokaler L2 Traffic innerhalb eines VLANs "sieht" den L3 Switch niemals.Ausnahme natürlich du nutzt lokale L2 Funktionen auf dem Switch wie DHCP usw. Aber die fragen ja dann imemr die Switch IP und niemals ihre eigenen IPs bei Kommunikation untereinander.
Das kannst du einfach nachvollziehen indem du den lokalen Clients einmal statische IPs verpasst. Dann kannst du ein deny any any an der ACL eingeben und diese Clients können trotzdem lokal kommunizieren was ja auch aus L3 Sicht logisch nachvollziehbar ist.
Um so dankbarer bin ich Dir, dass Du nicht aufgibst.
Leider scheint die Definition von
permit tcp any any 192.168.0.0 0.0.255.255 any match-all +ack ace-priority 900
permit udp any any 192.168.0.0 0.0.255.255 any ace-priority 910nicht ausreichend zu sein. Fernseher und GigaTV-Box melden weiterhin "kein Internet". Beide sind im VLAN160.
Hast Du noch eine Idee? Ich würde ungerne für dieses VLAN alles auf machen.
ICh werde mal noch diese Freigabe testen:
permit icmp any 192.168.160.0 0.0.0.255 echo-reply any ace-priority 500Das mit der internen VLAN-Kommunikation teste ich später. Ich muss erst die Kommunikation mit dem Fernseher korrigieren. Sonst gibts ärger zu Hause
Viele Grüße
Jürgen
Fernseher und GigaTV-Box melden weiterhin "kein Internet". Beide sind im VLAN160.
Die machen garantiert irgendwie so eine "Nach Hause telefonier" Schnüffel Schweierei wie alle diese Fernseher. Die melden bekanntlich alle deinen TV Gewohnheiten an Hersteller und andere Interessierte. Damit verdienen die Hersteller mehr Geld als mit den TV allein.https://www.welt.de/wirtschaft/webwelt/article220724198/Smart-TV-So-hind ...
https://www.kaspersky.de/blog/shopping-und-online-banking-mit-dem-smart- ...
Belausche den am besten mal mit dem Kabelhai oder dem hier.
So erkennst du WO die genau hinfunken und was sie erwarten um ein funktionierendes Internet anzuzeigen. Das kannst du dann entsprechend mit den ACLs customizen.
Wenn die Giga TV Box eine Settop Box für IP TV ist macht die Mukticast. Da geht es dann wiede rum ganz andere IP Adressen.
Da hilft nur der Wireshark um genau rauszubekommen was die da machen im Netz und daraus dann die ACLs maßzuschneidern.
ok. Dann werde ich doch dieses VLAN vollumfänglich berechtigen (happy wife, happy life )
Habe noch genügend andere Baustellen.
Erst einmal vielen Dank für Deine Hilfe.
Wenn es mit dem Transfer-VLAN dann funktioniert werden ich mich noch einmal um die Kommunikation inerhalb eines VLANs kümmern. Ich kann ja temporär die DHCP-Funktion ausschalten.
Auf der anderen Seite finde ich die Möglichkeit der "Gerätetrennung" innerhalb eines VLANs gar nicht so schlecht.
Ich werde berichten.
Viele Grüße
Jürgen
)Habe noch genügend andere Baustellen.
Erst einmal vielen Dank für Deine Hilfe.
Wenn es mit dem Transfer-VLAN dann funktioniert werden ich mich noch einmal um die Kommunikation inerhalb eines VLANs kümmern. Ich kann ja temporär die DHCP-Funktion ausschalten.
Auf der anderen Seite finde ich die Möglichkeit der "Gerätetrennung" innerhalb eines VLANs gar nicht so schlecht
.Ich werde berichten.
Viele Grüße
Jürgen
Erst einmal vielen Dank für Deine Hilfe.
Immer gerne ! 🙂Wenn's das denn war bitte den Thread auch als erledigt markieren.
How can I mark a post as solved?