Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Switch ACL-Konfiguration

Mitglied: Philipp711

Philipp711 (Level 2) - Jetzt verbinden

17.07.2017, aktualisiert 16:03 Uhr, 2924 Aufrufe, 9 Kommentare, 1 Danke

Hallo Leute,

ich habe eine kleine Frage zur Konfiguration von ACL's auf unserem Switch. Unsere Infrastruktur ist in verschiedene Netzwerke (VLAN's) aufgeteilt. Darunter befinden sich fünf Abteilungs- und drei Servernetzwerke sowie diverse andere wie z.B. Drucker, Sonstiges, WLAN etc.

Die VLAN's werden vom zentralen Switch auf die Access-Switche verteilt. Das Routing wird auch über das zentrale Switch abgefackelt. Alle Netzwerke sind mit 172.16.VLANID.X/24 definiert (Z.b. 172.16.218.0/24; 172.16.219.0/24 etc. & das dritte Oktett ist identisch mit der VLAN-ID)

Bisher wurden keine ACL's definiert und alle Netzwerke konnten sich ohne Probleme erreichen - Sicherheitstechnisch ist das natürlich ziemlich "doof".

Daher habe ich folgende ACL definiert und dem VLAN218 mit dem Subnetz 172.16.218.0/24 zugeordnet:

Erläuterung:
  • Zu Regel 10-13 macht den Weg für die Administrationsnotebooks frei (Jeweils Hin- und Rückweg da stateless).
  • Zu Regel 100-401 definierte die drei Servernetzwerke die uneingeschränkt geroutet werden sollen (Jeweils Hin- und Rückweg da stateless).
  • Zu Regel 600+601 soll den Internetverkehr regeln - alles was oben nicht passt soll (ins Internet) geroutet werden (Jeweils Hin- und Rückweg da stateless) .
  • Zu Regel 500: Wie oben erwähnt sind alle anderen Netzwerkwerke ebenfalls mit 172.16.VLANID.X/24-Adressierung versehen. Dieses Schema werde ich auch bei zukünftigen Netzwerken beibehalten. Daher wollte ich mit dieser Regel bewirken, dass alle 172.16er Netzwerke, die in den vorhergehenden Regeln nicht beachtet werden, blockiert werden.

Leider scheint es so, also ob Regel 500 nicht funktioniert und alles durch die letzten beiden zugelassen wird - jedenfalls ist die Kommunikation zwischen den Netzen weiter uneingeschränkt möglich.

Wie definiere ich solch eine Regel oder muss ich jedes Netz explizit angeben??

P.S.: Ist ein Procurve 5412zl
Mitglied: chgorges
17.07.2017, aktualisiert um 16:39 Uhr
Grundsätzlich:

1) Die letzte Zeile einer ACL ist immer >deny any any<, oben drüber gibst du frei, was du benötigst
2) Bei HP musst du alles explizit angeben, also jeweils beide Richtungen (mein letzter Stand)

Dennoch sind das Problem, wieso es trotz Deny funktioniert, deine Wildcards.

Beispiel:

Eintrag 10:
10 permit ip 172.16.218.0 0.0.0.255 172.16.107.100 0.0.0.255

Mit der IP 172.16.107.100 meinst du sicherlich einen Host, und kein Netz. Mit der Wildcard 0.0.0.255 sagst du der ACL aber 24er-Netzwerk und nicht Host.
Das heißt, du sagst mit dem ACE 172.16.107.0/24 und nicht 172.16.107.100/32

Das bedeutet, dass du nicht nur IP .100 und .101 aus VLAN 107 aufmachst, sondern das komplette VLAN 107.

-> Wildcard der Host-IPs nach 0.0.0.0 ändern
10 permit ip 172.16.218.0 0.0.0.255 172.16.107.100 0.0.0.0

Zur Hilfe: http://www.subnet-calculator.com/wildcard.php
Bitte warten ..
Mitglied: Philipp711
17.07.2017, aktualisiert um 17:44 Uhr
Zitat von chgorges:

Grundsätzlich:

1) Die letzte Zeile einer ACL ist immer >deny any any<, oben drüber gibst du frei, was du benötigst

Deshalb habe ich ja auf Pos. 600 & 601 alles sonstige Freigegeben.

Mit der IP 172.16.107.100 meinst du sicherlich einen Host, und kein Netz. Mit der Wildcard 0.0.0.255 sagst du der ACL aber 24er-Netzwerk und nicht Host.

Korrekt meine den Host damit. War mein Fehler...die Wildcard der Regel 10-13 wurde geändert.

Trotzdem bleibt das Problem, dass die VLAN's untereinander weiterhin uneingeschränkt kommunizieren können. Testweise habe ich ein zweites VLAN (ID 219 mit dem Netz 172.16.219.0/24) mit einer ACL versehen. Die ACL aus VLAN219 ist identisch mit der aus VLAN218 (natürlich wurden die jeweiligen Netze von .218.0/24 auf .219.0/24 geändert). Laut Regelwerk sollte die Kommunikation zwischen 172.16.218.0 und 172.16.219.0 durch Regel 500 geblockt werden - wird sie aber nicht, die Kommunikation ist immer noch uneingeschränkt möglich - irgendwas mache ich falsch...
Bitte warten ..
Mitglied: chgorges
17.07.2017 um 19:01 Uhr
Und ganz banal, die ACLs sind auch korrekt auf die VLANs angewendet?

https://ictschule.com/2014/01/03/access-control-lists-acl-auf-hp-switch/ ganz unten.
Bitte warten ..
Mitglied: Philipp711
17.07.2017 um 21:15 Uhr
Jop genau so habe ich die ACLs an die VLANs gebunden.

Die ACL's sind Outbound angewendet.

Die konfig bestätigt auch die korrekte Anwendung...
Bitte warten ..
Mitglied: Philipp711
17.07.2017, aktualisiert um 21:28 Uhr
Macht es eigentlich einen Unterschied wenn ich bei der ACE-Definition keine Wildcard sondern CIDR-Masken angebe?

Ich habe die ACE's so definiert:
Das Switch hat die Masken automatisch so umgewandelt...sollte doch trotzdem passen?!
Bitte warten ..
Mitglied: chgorges
LÖSUNG 18.07.2017 um 10:35 Uhr
Ich denke, dass du besser fährst, wenn du für jedes VLAN eine eigene ACL anlegst, anstatt eine Große.
Damit kannst du dann auch besser differenzieren, was wohin darf und was nicht.
Bitte warten ..
Mitglied: aqui
LÖSUNG 18.07.2017, aktualisiert um 13:26 Uhr
wenn du für jedes VLAN eine eigene ACL anlegst,
Anders geht das auch gar nicht ! Die ACLs greifen immer nur am L3 Interface also muss auch pro L3 Interface dann eine ACL hin.
Die ACL ist grob gesehen syntaktisch korrekt hat aber ein paar gravierende Fehler in den Statements !
Bedenke das eine ACL bei Billigswitches immer nur inbound greift, also für Pakete die vom "Draht" in den Switch bzw. sein L3 Interface reinlaufen.
Deshalb sind die folgenden Filterstatements in der Liste Unsinn:
  • 11 permit ip 172.16.107.100 0.0.0.255 172.16.218.0 0.0.0.255 Überflüssig, denn im 218er VLAN kann es ja nach deine durchaus sinnvollen IP Adressierung niemals Pakete mit einer Absender IP 172.16.107.x geben. D.h. diese Regel ist sinnfrei und wird nie greifen.
  • 13 permit ip 172.16.107.101 0.0.0.255 172.16.218.0 0.0.0.255 Dto. Gleicher Unsinn wie "11"
  • Das wiederholt sich jetzt in den Regeln 101, 201, 301, 401 und 601 !! Alles überflüssig da sie niemals greifen.
  • Ganz besonders unsinnig ist die Regel 601 die ALLES auf das eigene Segment zulässt. Falscher und unlogischer als DAS kann man eine Regel gar nicht mehr definieren ! Überleg selber mal wie unsinnig das ist, denn eigene Pakete laufen ja niemals über den L3 Switch sondern verbleiben im Switch selber da rein Layer 2.
Zeigt eigentlich das du völligen Blindflug machst beim Thema ACLs

Beachte immer die Grundregeln:
  • Filter geht nur inbound !
  • "First match wins"... d.h. nach einem Regelhit wird der Rest der ACL NICHT mehr weiter abgearbeitet ! Reihenfolge zählt also auch !
Bitte warten ..
Mitglied: Philipp711
21.07.2017, aktualisiert um 09:49 Uhr
Zitat von aqui:

wenn du für jedes VLAN eine eigene ACL anlegst,

Ist so geplant...

Deshalb sind die folgenden Filterstatements in der Liste Unsinn:
  • 11 permit ip 172.16.107.100 0.0.0.255 172.16.218.0 0.0.0.255 Überflüssig, denn im 218er VLAN kann es ja nach deine durchaus sinnvollen IP Adressierung niemals Pakete mit einer Absender IP 172.16.107.x geben. D.h. diese Regel ist sinnfrei und wird nie greifen.
  • 13 permit ip 172.16.107.101 0.0.0.255 172.16.218.0 0.0.0.255 Dto. Gleicher Unsinn wie "11"
  • Das wiederholt sich jetzt in den Regeln 101, 201, 301, 401 und 601 !! Alles überflüssig da sie niemals greifen.
  • Ganz besonders unsinnig ist die Regel 601 die ALLES auf das eigene Segment zulässt. Falscher und unlogischer als DAS kann man eine Regel gar nicht mehr definieren ! Überleg selber mal wie unsinnig das ist, denn eigene Pakete laufen ja niemals über den L3 Switch sondern verbleiben im Switch selber da rein Layer 2.

War der Tatsache geschuldet, dass ich In- und Outbound falsch interpretiert habe. Die ACLs sind alle Outbound angewendet, dementsprechend sind die Regeln 10, 100, 200 etc. Sinnlos.

Für mich war Outbound quasi Inbound...dementsprechend habe ich die Regeln 10, 100, 200 etc. definiert und es hat nicht funktioniert. Als ich dann Regel 11,101,201 definiert habe (die ja faktisch richtig waren wenn man die ACL outbound an ein VLAN-Interface bindet) hat es dann funktioniert. War relativ verwirrend für mich - nach paar Tagen Abstand hat es dann *klick* gemacht! Vielen Dank dafür!


Beachte immer die Grundregeln:
  • Filter geht nur inbound !

Die Procurve-Gurke kann In- sowie Outbound

* "First match wins"... d.h. nach einem Regelhit wird der Rest der ACL NICHT mehr weiter abgearbeitet ! Reihenfolge zählt also auch !

Eins der wenigen Dinge dich ich vorher in die Planung mit einbezogen habe

--> Wichtig ist: Es funktioniert jetzt und ich hab es verstanden! Allerdings: Was ist denn ressourcenschonend - In- oder Outbound??
Bitte warten ..
Mitglied: aqui
27.07.2017, aktualisiert um 16:31 Uhr
Die Procurve-Gurke kann In- sowie Outbound
Ja ja...aber Outbound geht nur über CPU und reisst den HP Billig Switch dann mit entsprechen Trafficvolumen in den Orkus wenn die ACL entsprechend dimensioniert ist.
Outbound ACL sind letztlich Blödsinn weil man ja immer generell verhindern will das ungewollte Pakete gar nicht erst in den Switch reinkommen.
Outbound ACL zeigen in der Regel das die Konfiug nicht richtig gemacht wurde...
Bitte warten ..
Ähnliche Inhalte
Router & Routing

HP Switch ACL bearbeiten - Netzwerkübernahme

gelöst Frage von banane31Router & Routing

Hallo zusammen, ich habe ein Anliegen bzgl HP Switchen. Es ist ein produktives Firmennetzwerk, wo nur HP Hardware für ...

Router & Routing

MikroTik Switch Konfiguration

gelöst Frage von Pixi123Router & Routing5 Kommentare

Hallo! Dank einem Hinweis von aqui bin ich von einem d-link Switch zu Mikrotik gewechselt. Ich habe ein bisschen ...

LAN, WAN, Wireless

HP Switch VLAN Konfiguration

Frage von staybbLAN, WAN, Wireless12 Kommentare

Hallo, ich möchte eine bereits bestehende Netzwerkstruktur mit VLANs erweitern. Und zwar ist folgendes Szenario vorhanden: HP Layer 2 ...

Switche und Hubs

HPE 1920-48G Switch JG927A Link Layer ACL wirkt nicht

gelöst Frage von RalfHackmannSwitche und Hubs7 Kommentare

Hallo, ich habe bei dem o.g. Switch eine Link Layer ACL erstellt, um unerwünschte MACs zu sperren. Der PC ...

Neue Wissensbeiträge
Instant Messaging
Jitsi Meet - April Update verfügbar
Information von Frank vor 1 StundeInstant Messaging2 Kommentare

Im Rahmen des April-Updates erhält Jitsi Meet mehrere interessante Features. Anwender können nun nicht mehr nur ihren Bildschirm, sondern ...

Rechtliche Fragen

Rechtliche Grundlagen: Datenschutz und Datensicherheit im Homeoffice

Information von AnkhMorpork vor 21 StundenRechtliche Fragen

Sollte bekannt sein, aber

Router & Routing
"Upgrade" Fritte 7520 zu Fritte 7530 :-)
Information von Lochkartenstanzer vor 1 TagRouter & Routing6 Kommentare

Moin, wie sich herausgestellt hat, ist die 7520 eine per Software kastrierte Version der 7530. Per "Chiptuning", um es ...

Informationsdienste

RKI - Corona-Datenspende App zur Erfassung von Informationen und Ausbreitung des Coronavirus (SARS-CoV-2) in Deutschland

Information von Frank vor 2 TagenInformationsdienste3 Kommentare

Das Robert Koch-Institut stellt ab sofort eine App zur Verfügung, die ergänzende Informationen dazu liefern soll, wo und wie ...

Heiß diskutierte Inhalte
Rechtliche Fragen
Nachweispflicht für Status-Emails?
Frage von VincentGdGRechtliche Fragen35 Kommentare

Moin. Mein Kollege und Datenschutzbeauftragter erfreut mich täglich mit neuen Auslegungen. Heute erklärt er mir, wir müssen die Status-Emails, ...

Server-Hardware
Wie viel Speicher braucht eine Wissensdatenbank für bis zu 50 User?
Frage von Mrhallo19981Server-Hardware22 Kommentare

Hallo, könnt ihr mir sagen wieviel Speicherplatz eine Wissensdatenbank braucht (die physikalisch speichert, also nicht mit einer Datenbank zusammen) ...

Linux
Internetprobleme mit Wine für Linux um .exe Dateien auszuführen
Frage von WinLiCLILinux20 Kommentare

Hallo zusammen, ich möchte auf meinem debian 10 einen client für cloud-telefonie (cloud pbx) installieren, den es nur für ...

Ubuntu
Suche nach einer Moeglichkeit im AWK oder cut die Inhalte von einer bestimmten Spalte bis Zeilenende anzeigen zu lassen
gelöst Frage von takitanoUbuntu18 Kommentare

Hallo geehrte Mitsreiter/innen, als erstes wünsche ich Euch allen in diese Zeit viel Gesundheit, Optimismus und Freude! Ich habe ...