4
Site-to-Site VPN Zugriff auf ausgewählte VLANs
Guten Abend Zusammen,
bei uns steht demnächst das Projekt an, 3 Standorte per VPN mit der Zentrale zu verbinden und dort nur in das Server VLAN.
Wir haben derzeit folgenden IST-Zustand:
12 VLANs:
10 Default VLAN - derzeit Parkplatz für nicht genutzte Switchports
20 Server
30-90 Abteilungen
100 VoIP
200 Gast
900 Firewall
Das VLAN Routing übernimmt ein L3 Switch. Alle Switche sitzen derzeit im Server VLAN und sollen in ein Mgmt VLAN ausgelagert werden. Die Firewall (WatchGuard) ist derzeit unter anderem als HTTP/S und SMTP Proxy im Einsatz und hängt in einem separatem VLAN am untagged Port.
Nun sollen 3 Standorte per VPN über die Firewall an die Zentrale angebunden werden. Der Zugriff soll allerdings nur in das Server VLAN möglich sein. Ich kann mir jetzt nicht vorstellen auf was ich standardmäßig Zugriff habe wenn ich das VPN aufbaue.
Ich hätte folgende Fragen:
1 Auf den Clients in der Zentrale soll ein Hostsensor für die Firewall laufen. Dazu muss ich die Firewall erreichen können. Das VLAN muss ich demnach freigeben für die Clients - also die ACL entfernen. Gibt es da noch andere Möglichkeiten oder bohre ich mir so eine Sicherheitslücke ins Netz? Die TDR Funktion der WatchGuard in Verbindung mit dem Hostsensor finde ich ziemlich nett...
2 Wie richte ich das VPN so ein, dass ich nur ins Server VLAN komme? Wo muss ich ACLs / Regeln setzen? Die Firewall hängt ja am untagged Port, kennt also keine VLANs und der L3 Switch kennt die Standorte nicht. An den Standorten soll auch jeweils eine kleine WatchGuard zum Einsatz kommen - als VPN Router.
3 Wir nutzen derzeit alle Security Funktionen auf der WatchGuard - In- und Outbound Proxy der Clients, Mail und Webserver, TDR, AntiSpam, GatewayAntivirus usw
Außerdem haben wir ja VLANs im Einsatz. Ein NAC soll in Zukunft ebenfalls noch kommen. Gibt es noch Punkte die man im Hinblick auf Security im Netzdesign verbessern könnte oder muss ich dazu noch mehr Details bekannt geben?
Vielen Dank derweil!
bei uns steht demnächst das Projekt an, 3 Standorte per VPN mit der Zentrale zu verbinden und dort nur in das Server VLAN.
Wir haben derzeit folgenden IST-Zustand:
12 VLANs:
10 Default VLAN - derzeit Parkplatz für nicht genutzte Switchports
20 Server
30-90 Abteilungen
100 VoIP
200 Gast
900 Firewall
Das VLAN Routing übernimmt ein L3 Switch. Alle Switche sitzen derzeit im Server VLAN und sollen in ein Mgmt VLAN ausgelagert werden. Die Firewall (WatchGuard) ist derzeit unter anderem als HTTP/S und SMTP Proxy im Einsatz und hängt in einem separatem VLAN am untagged Port.
Nun sollen 3 Standorte per VPN über die Firewall an die Zentrale angebunden werden. Der Zugriff soll allerdings nur in das Server VLAN möglich sein. Ich kann mir jetzt nicht vorstellen auf was ich standardmäßig Zugriff habe wenn ich das VPN aufbaue.
Ich hätte folgende Fragen:
1 Auf den Clients in der Zentrale soll ein Hostsensor für die Firewall laufen. Dazu muss ich die Firewall erreichen können. Das VLAN muss ich demnach freigeben für die Clients - also die ACL entfernen. Gibt es da noch andere Möglichkeiten oder bohre ich mir so eine Sicherheitslücke ins Netz? Die TDR Funktion der WatchGuard in Verbindung mit dem Hostsensor finde ich ziemlich nett...
2 Wie richte ich das VPN so ein, dass ich nur ins Server VLAN komme? Wo muss ich ACLs / Regeln setzen? Die Firewall hängt ja am untagged Port, kennt also keine VLANs und der L3 Switch kennt die Standorte nicht. An den Standorten soll auch jeweils eine kleine WatchGuard zum Einsatz kommen - als VPN Router.
3 Wir nutzen derzeit alle Security Funktionen auf der WatchGuard - In- und Outbound Proxy der Clients, Mail und Webserver, TDR, AntiSpam, GatewayAntivirus usw
Außerdem haben wir ja VLANs im Einsatz. Ein NAC soll in Zukunft ebenfalls noch kommen. Gibt es noch Punkte die man im Hinblick auf Security im Netzdesign verbessern könnte oder muss ich dazu noch mehr Details bekannt geben?
Vielen Dank derweil!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 369846
Url: https://administrator.de/contentid/369846
Printed on: April 26, 2024 at 15:04 o'clock
4 Comments
Latest comment
Hi
wenn Ihr an allen Standorten Watchguard einsetzt einfach mit BOPVN (IPSec VPN mit Key) arbeiten, dass ist mit einigen Klicks eingerichtet, dort kannst du auch einstellen welche VLANs/Subnetze man von wo erreichen kann. Die Einrichtung sollte recht fix gehen, dass ist kein Hexenwerk.
Wenn du den gesamten Traffic über eure Hauptfirewall lenken willst kannst du dir auch bei allen Niederlassung die NextGen Features sparen und nur das "nackte" Gerät kaufen für die Niederlassungen, setzt aber eine (sehr) schnelle Internetanbindung am Hauptstandort voraus (mehr Bandbreite wie alle Standorte in Summe wäre da ideal - haben wir so bei den EU Niederlassungen).
VoIP ist immer eine Frage der Qualität der Leitungen, QoS bekommst lediglich mit MPLS oder direkt Verbindung hin, wobei das nicht so maßlos viel Traffic benötigt.
Das Routing musst dann natürlich anpassen. die Watchguard kann das ohne Probleme und dein L3 Switch muss fast nix wissen, da der ja mit Sicherheit die WG als Gateway hat und somit ist es dem "egal", was die Arbeit allerdings erleichtert: jede Niederlassung sollte Ihr eigenes Subnetz haben, das sich von allen anderen Standorten unterscheidet.
Was das ganze ggf. günstiger machen würde, aber evtl. mehr Aufwand mit sich bringt wären pfSense Firewalls in den SideOffices, die Firewall selbst ist kostenlos, man kann dort aber auch Geräte in jeder Leistungsklasse erwerben, die bieten z.B. auch Mikrofirewalls für sehr kleine Niederlassunge und/oder HomeOffice Arbeitsplätze an.
Gruß
@clSchak
wenn Ihr an allen Standorten Watchguard einsetzt einfach mit BOPVN (IPSec VPN mit Key) arbeiten, dass ist mit einigen Klicks eingerichtet, dort kannst du auch einstellen welche VLANs/Subnetze man von wo erreichen kann. Die Einrichtung sollte recht fix gehen, dass ist kein Hexenwerk.
Wenn du den gesamten Traffic über eure Hauptfirewall lenken willst kannst du dir auch bei allen Niederlassung die NextGen Features sparen und nur das "nackte" Gerät kaufen für die Niederlassungen, setzt aber eine (sehr) schnelle Internetanbindung am Hauptstandort voraus (mehr Bandbreite wie alle Standorte in Summe wäre da ideal - haben wir so bei den EU Niederlassungen).
VoIP ist immer eine Frage der Qualität der Leitungen, QoS bekommst lediglich mit MPLS oder direkt Verbindung hin, wobei das nicht so maßlos viel Traffic benötigt.
Das Routing musst dann natürlich anpassen. die Watchguard kann das ohne Probleme und dein L3 Switch muss fast nix wissen, da der ja mit Sicherheit die WG als Gateway hat und somit ist es dem "egal", was die Arbeit allerdings erleichtert: jede Niederlassung sollte Ihr eigenes Subnetz haben, das sich von allen anderen Standorten unterscheidet.
Was das ganze ggf. günstiger machen würde, aber evtl. mehr Aufwand mit sich bringt wären pfSense Firewalls in den SideOffices, die Firewall selbst ist kostenlos, man kann dort aber auch Geräte in jeder Leistungsklasse erwerben, die bieten z.B. auch Mikrofirewalls für sehr kleine Niederlassunge und/oder HomeOffice Arbeitsplätze an.
Gruß
@clSchak
1.)
Auf allen Clients ? Sprich auch auf den Clients die keine Admins sind also quasi so als Verfügbarkeitsanzeige der Firewall ?
Das sollte ja kein Problem sein, denn die Firewall wird ja der zentrale Router ins Internet und die VPNs sein also musst du hier nix groß was machen.
Wenn das VLAN 900 das Koppelnetz ist zwischen dem Layer 3 Switch und der Firewall, dann musst du den Clients natürlich Zugriff auf das VLAN 900 und die dortige Firewall IP gewähren, das ist klar.
Das kann man aber kinderleicht mit einer IP Accessliste am Layer 3 Switch mit ein paar Mausklicks lösen. Es reicht ja dann nur die VLAN 900 IP Hostadresse der FW in der ACL freizugeben. Ist also kein Thema.
2.)
Die VPNs richtest du erstmal ganz normal ein so das eine normale Site to Site Verbindung besteht. Auf den Tunnel Interfaces richtest du dann die entsprechenden Firewall Regeln ein die die IP Kommunikation zw. den Netzen steuern.
Leider ist deine VPN Beschreibung hier recht oberflächlich. Gerade in dem Punkt welche HW die VPN Tunnel realisiert in den Standorten. Vermutlich ein VPN Router oder auch eine Firewall.
Sehr sinnvoll wäre es dann hier schon eine entsprechende ACL zu definieren das schon am Standort nur einzig VLAN Server Traffic in den VPN Tunnel geforwardet wird.
Das zentralisiert zu machen hat den gravierenden Nachteil das dann eigentlich schon Traffic den man gar nicht haben will den Tunnel in seiner Bandbreite belastet und die Performance in den Keller zieht.
Also immer gleich da am Eingagng filtern wo ich den Traffic NICHT haben will.
3.)
Nein, das ist schon sehr gut. Mit einem NAC hast du so ziemlich die oberste (Security) Fahnenstange erreicht.
Auf allen Clients ? Sprich auch auf den Clients die keine Admins sind also quasi so als Verfügbarkeitsanzeige der Firewall ?
Das sollte ja kein Problem sein, denn die Firewall wird ja der zentrale Router ins Internet und die VPNs sein also musst du hier nix groß was machen.
Wenn das VLAN 900 das Koppelnetz ist zwischen dem Layer 3 Switch und der Firewall, dann musst du den Clients natürlich Zugriff auf das VLAN 900 und die dortige Firewall IP gewähren, das ist klar.
Das kann man aber kinderleicht mit einer IP Accessliste am Layer 3 Switch mit ein paar Mausklicks lösen. Es reicht ja dann nur die VLAN 900 IP Hostadresse der FW in der ACL freizugeben. Ist also kein Thema.
2.)
Die VPNs richtest du erstmal ganz normal ein so das eine normale Site to Site Verbindung besteht. Auf den Tunnel Interfaces richtest du dann die entsprechenden Firewall Regeln ein die die IP Kommunikation zw. den Netzen steuern.
Leider ist deine VPN Beschreibung hier recht oberflächlich. Gerade in dem Punkt welche HW die VPN Tunnel realisiert in den Standorten. Vermutlich ein VPN Router oder auch eine Firewall.
Sehr sinnvoll wäre es dann hier schon eine entsprechende ACL zu definieren das schon am Standort nur einzig VLAN Server Traffic in den VPN Tunnel geforwardet wird.
Das zentralisiert zu machen hat den gravierenden Nachteil das dann eigentlich schon Traffic den man gar nicht haben will den Tunnel in seiner Bandbreite belastet und die Performance in den Keller zieht.
Also immer gleich da am Eingagng filtern wo ich den Traffic NICHT haben will.
3.)
Nein, das ist schon sehr gut. Mit einem NAC hast du so ziemlich die oberste (Security) Fahnenstange erreicht.
1) Der Host-Sensor kommt auf alle Clients. Ist eine Art Zusatz für den Virenschutz - ein weiterer Sicherheitslayer. Der kommuniziert mit der Firewall und muss somit die IP-Adresse erreichen können. Bisher hatte kein Client Zugriff auf die IP der FW
2) Das VPN wird an allen Standorten mit Watchguard realisiert. Die Watchguard übernimmt an jedem Standort für sich die Security-Funktionen wie Proxy. Wir wollen den Traffic nicht immer in die Zentrale routen. Normaler Internetverkehr soll über den dortigen Provider raus. Domänendienste sollen über die Firewall an die Zentrale.
Wenn ich den Traffic in die anderen VLANs unterbinden will, setze ich also in der Watchguard Firewall am Standort bereits eine Regel, die mir den Traffic nur zum Server erlaubt - also alles verbietet außer Server VLAN? Was ich mich noch nicht vorstellen kann: Aufgrund der Default Routen am Core-Switch und an der Firewall wird ja der gesamte Traffic, der nicht ins interne Netz gehört, an die Firewall und demnach ins Internet gesendet. Ohne Regel wäre der VPN Tunnel Internet, oder? Somit würde ohne Regel alles durch den Tunnel gehen.
Die Standorte bekommen ihre eigenen Subnetze. Am Hauptstandort muss ich in der Watchguard Firewall bei der BranchOffice VPN Konfig ebenfalls einen privaten IP-Bereich angeben. Somit benötige ich 2 private Adressbereiche für das Site2Site VLAN (Site A und Site B).
Muss ich am Hauptstandort nun Regeln setzen, die den Zugriff von den VLANs (außer Server) auf den privaten VPN-Adressbereich des Hauptstandortes oder den Adressbereich des VPNs am Standort verbieten? Ist der private IP-Adressbereich am Hauptstandort dann einfach nur ein Transfernetz für das Routing?
Benötige ich dann für den Standort einen zusätzlichen Transferbereich oder kann ich in der VPN Konfig an der dortigen Firewall den Adressbereich angeben, indem auch die Clients sind?
Habe ich also auf jeder Seite ein Transfernetz in der Firewall und dahinter das eigentliche Subenetz, indem die Clients hängen?
2) Das VPN wird an allen Standorten mit Watchguard realisiert. Die Watchguard übernimmt an jedem Standort für sich die Security-Funktionen wie Proxy. Wir wollen den Traffic nicht immer in die Zentrale routen. Normaler Internetverkehr soll über den dortigen Provider raus. Domänendienste sollen über die Firewall an die Zentrale.
Wenn ich den Traffic in die anderen VLANs unterbinden will, setze ich also in der Watchguard Firewall am Standort bereits eine Regel, die mir den Traffic nur zum Server erlaubt - also alles verbietet außer Server VLAN? Was ich mich noch nicht vorstellen kann: Aufgrund der Default Routen am Core-Switch und an der Firewall wird ja der gesamte Traffic, der nicht ins interne Netz gehört, an die Firewall und demnach ins Internet gesendet. Ohne Regel wäre der VPN Tunnel Internet, oder? Somit würde ohne Regel alles durch den Tunnel gehen.
Die Standorte bekommen ihre eigenen Subnetze. Am Hauptstandort muss ich in der Watchguard Firewall bei der BranchOffice VPN Konfig ebenfalls einen privaten IP-Bereich angeben. Somit benötige ich 2 private Adressbereiche für das Site2Site VLAN (Site A und Site B).
Muss ich am Hauptstandort nun Regeln setzen, die den Zugriff von den VLANs (außer Server) auf den privaten VPN-Adressbereich des Hauptstandortes oder den Adressbereich des VPNs am Standort verbieten? Ist der private IP-Adressbereich am Hauptstandort dann einfach nur ein Transfernetz für das Routing?
Benötige ich dann für den Standort einen zusätzlichen Transferbereich oder kann ich in der VPN Konfig an der dortigen Firewall den Adressbereich angeben, indem auch die Clients sind?
Habe ich also auf jeder Seite ein Transfernetz in der Firewall und dahinter das eigentliche Subenetz, indem die Clients hängen?
setze ich also in der Watchguard Firewall am Standort bereits eine Regel, die mir den Traffic nur zum Server erlaubt
Richtig !Ohne Regel wäre der VPN Tunnel Internet, oder?
Nein, das ist Unsinn. Der Tunnel hat auf der Firewall ein virtuelles Tunnel Interface.Internet geht also dann Richtung Provider und alles was in die Zentrale (Server) geht, geht in das Tunnel Interface. Klar von außen betrachtet ist das wieder Internet aber aus Layer 3 (Routing) Sicht ist ein Tunnel Interface wie eine separate Standleitung zu sehen !
Sieh dir die Routing Tabelle der Watchguard an, dann kannst du das selber sofort sehen !
Die Standorte bekommen ihre eigenen Subnetze.
Das wäre auch komisch wenn es anderes wäre... Würden sie alle gleich sein ists aus mit VPNs und Routing. Siehe auch HIER.Muss ich am Hauptstandort nun Regeln setzen, die den Zugriff ...
Stell dir immer die IP Pakete vor mit Absender und Ziel IP Adresse wie die durchs Netzwerk laufen...dann hast du eine Antwort !Es ist von deiner Security Policy abhängig !!!
Du solltest also erstmal ein Papier erstellen wo dediziert draufsteht WER darf mit WEM !
Das setzt du dann als Regeln jeweils auf den Watchguards um !
oder kann ich in der VPN Konfig an der dortigen Firewall den Adressbereich angeben, indem auch die Clients sind?
Client IP Adressbereich reicht vollkommen.Habe ich also auf jeder Seite ein Transfernetz in der Firewall
Nein, in der Regel nicht !Bzw. es hängt etwas vom verwendeten VPN Protokoll ab. Bei SSL (OpenVPN) hast du prinzipienbedingt immer ein internes Transfernetz.
Bei IPsec nicht. Welches VPN Protokoll nutzt du denn überhaupt ?