11
Management-LAN sichern
Hallo,
bei der Abschirmung meines Management-LANs hab ich noch ein kleines Problem.
Dazu erstmal ein kleiner Screenshot (siehe unten).
Ich habe zwei Firewall-Regeln für das Management-LAN:
MANAGEMENT_OUT (management-interface; out; standard: drop):
MANAGEMENT_LOCAL (alle interfaces bis auf guest; local; standard drop):
MANGEMENT_OUT funktioniert soweit auch. Es können wie gewünscht nur das Management- und Secure-VLAN auf das Mangement-VLAN zugreifen. Passt die Konfiguration so oder sollte ich da noch Änderungen vornehmen? Ist es ein Problem, dass z.B. Wireless-Geräte nicht auf den Access-Point (der sich ja ebenfalls im Management-VLAN befindet) zugreifen können?
MANAGEMENT_LOCAL funktioniert nicht. Geräte außerhabl von Secure und Management können dann nämlich auch keine Internetverbindung mehr herstellen. Das liegt wohl daran, dass sie dafür auf den Router zugreifen müssten, diesen aber nicht mehr erreichen dürfen. Nur, was mache ich dagegen, wenn ich nach wie vor sicherstellen will, dass sie zwar Zugriff auf das Internet, aber nicht auf den Router selbst haben? Für GUEST_LOCAL z.B. habe ich z.B. nur DHCP und DNS für Local zugelassen. Wäre das für MANAGEMENT_LOCAL nicht etwas restriktiv?
bei der Abschirmung meines Management-LANs hab ich noch ein kleines Problem.
Dazu erstmal ein kleiner Screenshot (siehe unten).
Ich habe zwei Firewall-Regeln für das Management-LAN:
MANAGEMENT_OUT (management-interface; out; standard: drop):
1 Accept Secure address-group NETv4_eth0.10 all accept
2 Accept Management address-group NETv4_eth0 all accept
3 Accept Established/Related all accept MANAGEMENT_LOCAL (alle interfaces bis auf guest; local; standard drop):
1 Accept Secure address-group NETv4_eth0.10 all accept
2 Accept Management address-group NETv4_eth0 all accept
3 Accept Established/Related all accept MANGEMENT_OUT funktioniert soweit auch. Es können wie gewünscht nur das Management- und Secure-VLAN auf das Mangement-VLAN zugreifen. Passt die Konfiguration so oder sollte ich da noch Änderungen vornehmen? Ist es ein Problem, dass z.B. Wireless-Geräte nicht auf den Access-Point (der sich ja ebenfalls im Management-VLAN befindet) zugreifen können?
MANAGEMENT_LOCAL funktioniert nicht. Geräte außerhabl von Secure und Management können dann nämlich auch keine Internetverbindung mehr herstellen. Das liegt wohl daran, dass sie dafür auf den Router zugreifen müssten, diesen aber nicht mehr erreichen dürfen. Nur, was mache ich dagegen, wenn ich nach wie vor sicherstellen will, dass sie zwar Zugriff auf das Internet, aber nicht auf den Router selbst haben? Für GUEST_LOCAL z.B. habe ich z.B. nur DHCP und DNS für Local zugelassen. Wäre das für MANAGEMENT_LOCAL nicht etwas restriktiv?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 304907
Url: https://administrator.de/forum/management-lan-sichern-304907.html
Ausgedruckt am: 08.01.2025 um 06:01 Uhr
11 Kommentare
Neuester Kommentar
Erkläre doch bitte kurz mit eigenen Worten:
- was du unter Management-Lan verstehst - sprich welche Geräte hängen da bei dir drin
- ob du Lan / Wlan trennen willst
- ob evtl. ein Gäste-Lan / Wlan eingeführt werden soll
- Welche IP-Netzbereiche du nutzt und zu welchem "Netzwerk" die gehören
- selbiges für Vlans
Gruß Krämer
PS: Mir ist es wichtig, das du eine Lösung / Erklärung bekommst, die zu dem passt, was du erreichen willst. Es könnte ja sein, das deine bisherigen Regeln schon in die falsche Richtung gehen. Dann können wir das gleich mit korrigieren.
- was du unter Management-Lan verstehst - sprich welche Geräte hängen da bei dir drin
- ob du Lan / Wlan trennen willst
- ob evtl. ein Gäste-Lan / Wlan eingeführt werden soll
- Welche IP-Netzbereiche du nutzt und zu welchem "Netzwerk" die gehören
- selbiges für Vlans
Gruß Krämer
PS: Mir ist es wichtig, das du eine Lösung / Erklärung bekommst, die zu dem passt, was du erreichen willst. Es könnte ja sein, das deine bisherigen Regeln schon in die falsche Richtung gehen. Dann können wir das gleich mit korrigieren.
Management-LAN sind Geräte, die zur Netzwerkinfrastruktur gehört. Router, Switches, AccessPoints, usw...
Gäste-Netz ist schon ordnungsgemäßg abgegrenzt und muss hier nicht gesondert berücksichtigt werden.
Das Management-LAN ist eth0. Die übrigen VLANs entsprechend die anderen. Guest ist eth0.100.
Gäste-Netz ist schon ordnungsgemäßg abgegrenzt und muss hier nicht gesondert berücksichtigt werden.
Das Management-LAN ist eth0. Die übrigen VLANs entsprechend die anderen. Guest ist eth0.100.
Es ist schon spät - aber einen ersten Hinweis habe ich schon einmal:
Das Management-vLAN sollte nicht das Standard-vLAN sein. Warum? Weil neue Geräte da Standardmäßig drin landen würden. Das kann man zwar durch richtige Konfiguration abfangen - aber auch da kann man mal nen Fehler machen oder etwas übersehen.
Das Management-vLAN sollte nicht das Standard-vLAN sein. Warum? Weil neue Geräte da Standardmäßig drin landen würden. Das kann man zwar durch richtige Konfiguration abfangen - aber auch da kann man mal nen Fehler machen oder etwas übersehen.
Aber wie bekommt dann beispielsweise der Switch seine IP?
Das untagged VLAN am Routerport, wo der Switch angeschlossen ist, muss doch das Management-VLAN sein oder?
Das untagged VLAN am Routerport, wo der Switch angeschlossen ist, muss doch das Management-VLAN sein oder?
Ein Switch oder ein Router oder allgemein gesagt Netzwerk Infrastruktur Komponenten bekommen ihre IPs indem sie vorher statisch über das terminal oder per Auto Provisioning fest gesetzt werden. Das war noch nie anders.
Der ganze Thread ist total wirr, da er wie Kollege Kraemer schon richtig gesagt hat eine wirre und kryptische Syntax eines Gerätes oder Herstellers beschreibt die keiner hier in der Lage ist auch nur annähernd nachzuvollziehen.
In so fern ist dieser Thread recht sinnfrei. Wenn, dann wäre es sinnvoll global ein Zugriffszeario zu klären.
In der Regel beachtet man diese Punkte zur Absicherung des Mgmt Netzes:
Der ganze Thread ist total wirr, da er wie Kollege Kraemer schon richtig gesagt hat eine wirre und kryptische Syntax eines Gerätes oder Herstellers beschreibt die keiner hier in der Lage ist auch nur annähernd nachzuvollziehen.
In so fern ist dieser Thread recht sinnfrei. Wenn, dann wäre es sinnvoll global ein Zugriffszeario zu klären.
In der Regel beachtet man diese Punkte zur Absicherung des Mgmt Netzes:
- Isoliertes VLAN für den Management Zugriff erstellen.
- Alle Infrastruktur Komponenten arbeiten mit ihrer Management IP in diesem VLAN
- Zugriff wird über ACLs gesichert so das nur Absender IPs und Netze aus dem Admin Bereich zugriff haben.
- Letzteres kann man auch zentral über eine FW steuern wenn die Mgmt VLANs keinerlei L3 Interfaces in andere Netze (Backdoor Route) haben also isoliert sind.
Schon lange erledigt.
Meine einzige Frage ist eigentlich, welche Berechtigungen ins Management-VLAN brauchen Geräte, die nicht aufs Management-VLAN zugreifen sollen, mindestens, damit sie korrekt funktionieren können.
Also z.B. soll Gerät 192.168.3.123 nicht auf das Management VLAN 192.168.254.0/24 zugreifen dürfen, braucht aber trotzdem gewisse Freigaben wie beispielsweise UDP 53, 67 für DNS und DHCP. Also die Regeln:
Source 192.168.3.0/24 UDP 53 allow
Source 192.168.3.0/24 UDP 67 allow
Sonst standardmäßig drop
Nun nochmal die Frage: Reichen die beiden Regeln für DNS und DHCP oder braucht es noch mehr?
* Alle Infrastruktur Komponenten arbeiten mit ihrer Management IP in diesem VLAN
Schon lange erledigt.* Zugriff wird über ACLs gesichert so das nur Absender IPs und Netze aus dem Admin Bereich zugriff haben.
Schon lange elredigt.* Letzteres kann man auch zentral über eine FW steuern wenn die Mgmt VLANs keinerlei L3 Interfaces in andere Netze (Backdoor Route) haben also isoliert sind.
Ist der fall.Eigentlich ganz einfach und logisch !
Ja.Meine einzige Frage ist eigentlich, welche Berechtigungen ins Management-VLAN brauchen Geräte, die nicht aufs Management-VLAN zugreifen sollen, mindestens, damit sie korrekt funktionieren können.
Also z.B. soll Gerät 192.168.3.123 nicht auf das Management VLAN 192.168.254.0/24 zugreifen dürfen, braucht aber trotzdem gewisse Freigaben wie beispielsweise UDP 53, 67 für DNS und DHCP. Also die Regeln:
Source 192.168.3.0/24 UDP 53 allow
Source 192.168.3.0/24 UDP 67 allow
Sonst standardmäßig drop
Nun nochmal die Frage: Reichen die beiden Regeln für DNS und DHCP oder braucht es noch mehr?
Meine einzige Frage ist eigentlich, welche Berechtigungen ins Management-VLAN brauchen Geräte, die nicht aufs Management-VLAN zugreifen sollen
Eine etwas sinnfreie Frage...! GAR KEINE Berechtigung natürlich !!!Mit der ACL excludest du ja generll die IP Netze dieser unberechtigten Clients zum Management VLAN.
Komische Frage...oder sie ist missverständlich.
ACLs für Managemtn VLAN machst du immer inbound also das diese Hosts oder IP gar nicht IN das Management VLAN kommen.
Was sie außen in anderen VLANs brauchen oder nicht ist davon doch vollkommen ausgeschlossen !!
Beispiel:
access-class 23 in
login local
transport input telnet ssh
access-list 23 permit 192.168.100.0 0.0.0.255
Lässt nur Clients mit der Absender IP 192.168.100.x ans Management per Telent oder SSH.
Was die Absender in anderen Netzen für Berechtigungen brauchen ist dieser ACL doch Latte wie DNS, DHCP etc. !
Relevant ist einzig die Absender IP im Paket.
Danke.
Leider muss ich die Einträge für DNS und DHCP wohl stehen lassen, denn sonst bekommen Geräte keine IP mehr zugewiesen und das Internet geht sowieso nicht mehr
Ich will ja quasi, dass Geräte diese Dienste im Management nutzen dürfen oder?
Leider muss ich die Einträge für DNS und DHCP wohl stehen lassen, denn sonst bekommen Geräte keine IP mehr zugewiesen und das Internet geht sowieso nicht mehr
Ich will ja quasi, dass Geräte diese Dienste im Management nutzen dürfen oder?
Ooops...komisch, das macht man ja eigentlich logischerweise VOR den Management ACLs !!
Deshalb ja auch der wichtige Hinweis oben das die Management ACLs immer inbound am Management VLAN Interface oder Router Interface konfiguriert werden und niemals vorher inbound an den VLAN Interfaces dieser Clients !
Da mutieren solche ACLs dann logischerweise zu Filtermonstern die kein Admin mehr managen kann.
Ist so als wenn man das Pferd von hinten aufzäumt... Geht auch, klar aber obs Sinn macht...?! Wohl eher nein.. Keep it simple stupid...gilt auch für ACLs...
Deshalb ja auch der wichtige Hinweis oben das die Management ACLs immer inbound am Management VLAN Interface oder Router Interface konfiguriert werden und niemals vorher inbound an den VLAN Interfaces dieser Clients !
Da mutieren solche ACLs dann logischerweise zu Filtermonstern die kein Admin mehr managen kann.
Ist so als wenn man das Pferd von hinten aufzäumt... Geht auch, klar aber obs Sinn macht...?! Wohl eher nein.. Keep it simple stupid...gilt auch für ACLs...
Zitat von @aqui:
Ooops...komisch, das macht man ja eigentlich logischerweise VOR den Management ACLs !!
Deshalb ja auch der wichtige Hinweis oben das die Management ACLs immer inbound am Management VLAN Interface oder Router Interface konfiguriert werden und niemals vorher inbound an den VLAN Interfaces dieser Clients !
Da mutieren solche ACLs dann logischerweise zu Filtermonstern die kein Admin mehr managen kann.
Ist so als wenn man das Pferd von hinten aufzäumt... Geht auch, klar aber obs Sinn macht...?! Wohl eher nein.. Keep it simple stupid...gilt auch für ACLs...
Ooops...komisch, das macht man ja eigentlich logischerweise VOR den Management ACLs !!
Deshalb ja auch der wichtige Hinweis oben das die Management ACLs immer inbound am Management VLAN Interface oder Router Interface konfiguriert werden und niemals vorher inbound an den VLAN Interfaces dieser Clients !
Da mutieren solche ACLs dann logischerweise zu Filtermonstern die kein Admin mehr managen kann.
Ist so als wenn man das Pferd von hinten aufzäumt... Geht auch, klar aber obs Sinn macht...?! Wohl eher nein.. Keep it simple stupid...gilt auch für ACLs...
Du meinst, dass sämtliche Regeln, die sich auf das Management INBOUND beziehen, angewendet werden müssen, bevor irgendwelche Regeln auf andere Schnittstellen INBOUND angewendet werden?
Yepp...so sollte es sein !
Also am Management VLAN Interface hast du dann sowas stehen wie:
interface vlan 10
description Management VLAN
ip address 10.1.1.0 /24
access-group 100 in
access-list 100 permit ip 192.168.100.0 0.0.0.255 10.1.1.0 0.0.0.255
Das lässt dann nur Zugriffe aus dem 192.168.100er Netz ins Management Netz zu.
Natürlich kann man das noch dicherter ziehen:
access-list 100 permit ip 192.168.100.11 0.0.0.255 10.1.1.0 0.0.0.255
Lässt nur den Hostrechner mit der .11 zugreifen. Oder:
access-list 100 permit tcp 192.168.100.0 0.0.0.255 10.1.1.0 0.0.0.255 eq 23
Lässt nur Telnet zu
usw. usw.
Andere Rechte für andere Zielnetze dieser Clients sind davon völlig unabhängig.
Also am Management VLAN Interface hast du dann sowas stehen wie:
interface vlan 10
description Management VLAN
ip address 10.1.1.0 /24
access-group 100 in
access-list 100 permit ip 192.168.100.0 0.0.0.255 10.1.1.0 0.0.0.255
Das lässt dann nur Zugriffe aus dem 192.168.100er Netz ins Management Netz zu.
Natürlich kann man das noch dicherter ziehen:
access-list 100 permit ip 192.168.100.11 0.0.0.255 10.1.1.0 0.0.0.255
Lässt nur den Hostrechner mit der .11 zugreifen. Oder:
access-list 100 permit tcp 192.168.100.0 0.0.0.255 10.1.1.0 0.0.0.255 eq 23
Lässt nur Telnet zu
usw. usw.
Andere Rechte für andere Zielnetze dieser Clients sind davon völlig unabhängig.
