joedevlin
Goto Top

VLAN ACL-Design

Guten Morgen,

ich habe ein paar Fragen zu einem geplanten ACL-Design.

Wir haben standortübergreifend mehrere L3-Switche mit jeweils mehreren VLANs, wir möchten nun von verschiedenen VLANs den Zugriff auf das VLAN an Core Switch 1 mit unserer ESXi-Infrastruktur verweigern.

Wenn ich den allgemeinen Empfehlungen folge, dann würde ich allen betroffenen VLAN-Interfaces über eine inbound extended ACL den Zugriff auf das Ziel-Subnetz über deny verweigern, damit bereits frühestmöglich und nah an der Quelle die Kommunikation unterbunden wird. Das würde doch bedeuten, dass ich am Routing-VLAN zu den anderen Core-Switchen die ACL nicht aktivieren muss, richtig?

Von der Handhabung her wäre es aus meiner Sicht wesentlich einfacher die ACL als Outbound am ESXi-VLAN zu konfigurieren und dort die jeweiligen Quell-VLANs zu verweigern, da es hier mit einer ACL nah am Ziel getan wäre. Das soll aber alleine aus Gründen der Performance nicht gemacht werden, oder?

Danke für eure Einschätzung!

Content-ID: 1704392314

Url: https://administrator.de/forum/vlan-acl-design-1704392314.html

Ausgedruckt am: 25.12.2024 um 17:12 Uhr

aqui
Lösung aqui 09.01.2022 aktualisiert um 12:09:42 Uhr
Goto Top
über eine inbound extended ACL den Zugriff auf das Ziel-Subnetz über deny verweigern
Das ist richtig, denn das soll verhindern das nicht gewollter Traffic überhaupt das Forwarding Device erreicht. Es wäre ja wenig zielführend den gesamten ungewollten Traffic vollständig im System zu routen, es zusätzlich damit zu belasten (ohne jetzt von Security zu reden) und dann am Ziel am Outbound Interface final zu löschen.
Bedenke aber immer das Switch ACLs nicht stateful sind im Vergleich zu Firewalls ! Ein reines ACL Regelwerk ist also etwas aufwändiger.

Was stutzig macht zu deinem Vorhaben ist das du hier von "Standorten" redest ?! Standorte sind ja in der Regel immer mit VPNs oder mit anderen Tunnel Techniken angebunden sofern man über öffentliche Netze koppelt. Dann filtert man natürlich nicht am Switch sondern immer an der Firewall oder Router welcher diese Standort Kopplung realisiert.
Leider machst du zum Design ja nur recht oberflächliche bis keine Angaben so das eine zielführende Hilfe bzw. Antwort nicht wirklich möglich ist. face-sad
JoeDevlin
JoeDevlin 09.01.2022 um 17:18:50 Uhr
Goto Top
Zitat von @aqui:

Bedenke aber immer das Switch ACLs nicht stateful sind im Vergleich zu Firewalls ! Ein reines ACL Regelwerk ist also etwas aufwändiger.

Danke, das habe ich bereits berücksichtigt. Ich plane bei tcp-ACEs entsprechende Regeln für Antwortpakete bei aufgebaute Verbindungen (established, also kein SYN-Flag) mit ein.

Was stutzig macht zu deinem Vorhaben ist das du hier von "Standorten" redest ?! Standorte sind ja in der Regel immer mit VPNs oder mit anderen Tunnel Techniken angebunden sofern man über öffentliche Netze koppelt. Dann filtert man natürlich nicht am Switch sondern immer an der Firewall oder Router welcher diese Standort Kopplung realisiert.

Stimmt, das mit den Standorten ist irreführend. Es geht um eine direkte providerseitige Netzkopplung, die Standorte werden über Providerkomponenten transparent auf unsere L3-Switche geroutet, dort haben wir jeweils ein Routing-VLAN eingerichtet. Das bedeutet, dass die L3-Switche die jeweils erste Filtermöglichkeit darstellt. Für die Verbindung zum Internet gibt es eine Firewall, hier wird der externe Datenverkehr bereits gefiltert.
aqui
aqui 09.01.2022 um 19:15:02 Uhr
Goto Top
OK, danke für das Feedback. Das war etwas unklar ist aber ein gutes Design so mit dem Routing VLAN. Damit wird das dann mit den ACLs auch fehlerlos klappen.
JoeDevlin
JoeDevlin 16.01.2022 um 08:49:52 Uhr
Goto Top
Guten Morgen nochmal,

alle Tests waren erfolgreich, ich habe bereits einige ACLs implementiert und über einen Syslog-Server anhand der Meldungen nachjustiert.

Mir stellt sich nun noch die Frage nach einem sinnvollen Konzept bezüglich der Antwortpakete bei TCP- und UDP-Pakete.

Spricht grundsätzlich etwas dagegen, bei allen VLANs die TCP-Antworten grundsätzlich folgendermaßen zu erlauben?

permit tcp any any established

Bei UDP-Verbindungen gibt es diese Möglichkeit nicht, hier habe ich vorgesehen, die Verbindungen ausgehend explizit zu erlauben:

permit udp host 10.12.3.1 eq 53 any

In diesem Beispiel um einem DNS-Server Antworten via 53/UDP zu erlauben, analog zum TCP/Established.

Ist das so sinnvoll, oder gibt es ein Best Practice?
aqui
Lösung aqui 16.01.2022 um 16:49:22 Uhr
Goto Top
Spricht grundsätzlich etwas dagegen, bei allen VLANs die TCP-Antworten grundsätzlich folgendermaßen zu erlauben?
Nein, spricht nichts dagegen. Im Gegenteil, das ist gängige Praxis bei ACLs.
UDP fehlt ja bekanntlich der Sessionlayer, deshalb klappt es da nicht und auch da macht man es so wie du es schon angegeben hast !
Alles richtig also ! face-wink
JoeDevlin
JoeDevlin 16.01.2022 um 21:26:01 Uhr
Goto Top
Super, danke für die Bestätigung meiner Vermutungen face-smile