6
VLAN ACL-Design
Guten Morgen,
ich habe ein paar Fragen zu einem geplanten ACL-Design.
Wir haben standortübergreifend mehrere L3-Switche mit jeweils mehreren VLANs, wir möchten nun von verschiedenen VLANs den Zugriff auf das VLAN an Core Switch 1 mit unserer ESXi-Infrastruktur verweigern.
Wenn ich den allgemeinen Empfehlungen folge, dann würde ich allen betroffenen VLAN-Interfaces über eine inbound extended ACL den Zugriff auf das Ziel-Subnetz über deny verweigern, damit bereits frühestmöglich und nah an der Quelle die Kommunikation unterbunden wird. Das würde doch bedeuten, dass ich am Routing-VLAN zu den anderen Core-Switchen die ACL nicht aktivieren muss, richtig?
Von der Handhabung her wäre es aus meiner Sicht wesentlich einfacher die ACL als Outbound am ESXi-VLAN zu konfigurieren und dort die jeweiligen Quell-VLANs zu verweigern, da es hier mit einer ACL nah am Ziel getan wäre. Das soll aber alleine aus Gründen der Performance nicht gemacht werden, oder?
Danke für eure Einschätzung!
ich habe ein paar Fragen zu einem geplanten ACL-Design.
Wir haben standortübergreifend mehrere L3-Switche mit jeweils mehreren VLANs, wir möchten nun von verschiedenen VLANs den Zugriff auf das VLAN an Core Switch 1 mit unserer ESXi-Infrastruktur verweigern.
Wenn ich den allgemeinen Empfehlungen folge, dann würde ich allen betroffenen VLAN-Interfaces über eine inbound extended ACL den Zugriff auf das Ziel-Subnetz über deny verweigern, damit bereits frühestmöglich und nah an der Quelle die Kommunikation unterbunden wird. Das würde doch bedeuten, dass ich am Routing-VLAN zu den anderen Core-Switchen die ACL nicht aktivieren muss, richtig?
Von der Handhabung her wäre es aus meiner Sicht wesentlich einfacher die ACL als Outbound am ESXi-VLAN zu konfigurieren und dort die jeweiligen Quell-VLANs zu verweigern, da es hier mit einer ACL nah am Ziel getan wäre. Das soll aber alleine aus Gründen der Performance nicht gemacht werden, oder?
Danke für eure Einschätzung!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1704392314
Url: https://administrator.de/contentid/1704392314
Printed on: April 26, 2024 at 20:04 o'clock
6 Comments
Latest comment
über eine inbound extended ACL den Zugriff auf das Ziel-Subnetz über deny verweigern
Das ist richtig, denn das soll verhindern das nicht gewollter Traffic überhaupt das Forwarding Device erreicht. Es wäre ja wenig zielführend den gesamten ungewollten Traffic vollständig im System zu routen, es zusätzlich damit zu belasten (ohne jetzt von Security zu reden) und dann am Ziel am Outbound Interface final zu löschen.Bedenke aber immer das Switch ACLs nicht stateful sind im Vergleich zu Firewalls ! Ein reines ACL Regelwerk ist also etwas aufwändiger.
Was stutzig macht zu deinem Vorhaben ist das du hier von "Standorten" redest ?! Standorte sind ja in der Regel immer mit VPNs oder mit anderen Tunnel Techniken angebunden sofern man über öffentliche Netze koppelt. Dann filtert man natürlich nicht am Switch sondern immer an der Firewall oder Router welcher diese Standort Kopplung realisiert.
Leider machst du zum Design ja nur recht oberflächliche bis keine Angaben so das eine zielführende Hilfe bzw. Antwort nicht wirklich möglich ist.
Zitat von @aqui:
Bedenke aber immer das Switch ACLs nicht stateful sind im Vergleich zu Firewalls ! Ein reines ACL Regelwerk ist also etwas aufwändiger.
Bedenke aber immer das Switch ACLs nicht stateful sind im Vergleich zu Firewalls ! Ein reines ACL Regelwerk ist also etwas aufwändiger.
Danke, das habe ich bereits berücksichtigt. Ich plane bei tcp-ACEs entsprechende Regeln für Antwortpakete bei aufgebaute Verbindungen (established, also kein SYN-Flag) mit ein.
Was stutzig macht zu deinem Vorhaben ist das du hier von "Standorten" redest ?! Standorte sind ja in der Regel immer mit VPNs oder mit anderen Tunnel Techniken angebunden sofern man über öffentliche Netze koppelt. Dann filtert man natürlich nicht am Switch sondern immer an der Firewall oder Router welcher diese Standort Kopplung realisiert.
Stimmt, das mit den Standorten ist irreführend. Es geht um eine direkte providerseitige Netzkopplung, die Standorte werden über Providerkomponenten transparent auf unsere L3-Switche geroutet, dort haben wir jeweils ein Routing-VLAN eingerichtet. Das bedeutet, dass die L3-Switche die jeweils erste Filtermöglichkeit darstellt. Für die Verbindung zum Internet gibt es eine Firewall, hier wird der externe Datenverkehr bereits gefiltert.
OK, danke für das Feedback. Das war etwas unklar ist aber ein gutes Design so mit dem Routing VLAN. Damit wird das dann mit den ACLs auch fehlerlos klappen.
Guten Morgen nochmal,
alle Tests waren erfolgreich, ich habe bereits einige ACLs implementiert und über einen Syslog-Server anhand der Meldungen nachjustiert.
Mir stellt sich nun noch die Frage nach einem sinnvollen Konzept bezüglich der Antwortpakete bei TCP- und UDP-Pakete.
Spricht grundsätzlich etwas dagegen, bei allen VLANs die TCP-Antworten grundsätzlich folgendermaßen zu erlauben?
Bei UDP-Verbindungen gibt es diese Möglichkeit nicht, hier habe ich vorgesehen, die Verbindungen ausgehend explizit zu erlauben:
In diesem Beispiel um einem DNS-Server Antworten via 53/UDP zu erlauben, analog zum TCP/Established.
Ist das so sinnvoll, oder gibt es ein Best Practice?
alle Tests waren erfolgreich, ich habe bereits einige ACLs implementiert und über einen Syslog-Server anhand der Meldungen nachjustiert.
Mir stellt sich nun noch die Frage nach einem sinnvollen Konzept bezüglich der Antwortpakete bei TCP- und UDP-Pakete.
Spricht grundsätzlich etwas dagegen, bei allen VLANs die TCP-Antworten grundsätzlich folgendermaßen zu erlauben?
permit tcp any any establishedBei UDP-Verbindungen gibt es diese Möglichkeit nicht, hier habe ich vorgesehen, die Verbindungen ausgehend explizit zu erlauben:
permit udp host 10.12.3.1 eq 53 anyIn diesem Beispiel um einem DNS-Server Antworten via 53/UDP zu erlauben, analog zum TCP/Established.
Ist das so sinnvoll, oder gibt es ein Best Practice?
Spricht grundsätzlich etwas dagegen, bei allen VLANs die TCP-Antworten grundsätzlich folgendermaßen zu erlauben?
Nein, spricht nichts dagegen. Im Gegenteil, das ist gängige Praxis bei ACLs.UDP fehlt ja bekanntlich der Sessionlayer, deshalb klappt es da nicht und auch da macht man es so wie du es schon angegeben hast !
Alles richtig also !
1
Super, danke für die Bestätigung meiner Vermutungen 