ASA oder ACL

[opfo]

Hallo zusammen,


in einem Gebäude gibt es folgende Cisco Hardware:

- 1x Catalyst 3750 ( Routinginstanz )
- 3x Catalyst 2960
- 2x WAN Anbindung ( im HSRP )

In diesem Gebäude existieren bereits mehrere VLANs, welche geroutet werden ( über 3750 ). Der Zugriff unter diesen VLANs ist nicht reglementiert.

Jetzt sollen aber weitere VLANs ( ca. 10 ) definiert werden, welche untereinander und zu den bereits bestehenden VLANs keinen Zugriff haben dürfen. In jedes dieser VLANs werden ca. 3-5 Geräte eingebunden. Diese Geräte möchte ich in die bestehende Infrastrucktur einbinden. ( Switche haben noch genügend freie Ports ).
Ziel soll es sein, dass jedes Gerät innerhalb eines VLANs nur mit einer bestimmten IP Adresse oder einem bestimmten Subnetz kommunizieren kann. ( Auch über die WAN Strecke hinweg)

Frage: sollte ich dies mittels einer ASA 5505 oder 5510 lösen, oder geht dies auch per ACL, bzw. welche Vorteile würde mir eine ASA bringen?

Vielen Dank für eure Unterstüzung

[Otaku19]

das kommt darauf an

ich sage mal wenn es wirklich zu 100% sicher ist das die VLANS nie untereinander (also jetzt die neuen mit den alten) kommunzieren und auch keine Dienste nach draussen anbieten, dann köntne man schon mit einer ACL leben.

Ab dem Moment wo da irgendwelche Server drin sind die von draussen erreichbar sind oder Zugriffen zwischen den VLAN notwendig sind ist eine Firewall schon besser bzw ist es fahrlässig keine FW davor zu haben.
Vor allem weiß ich nicht wie ein 3750 die ACL handlet, wenn das CPU lastig ist sollte man das filtern nicht unbedingt auf seiner zentralen Routinginstanz haben.

ich hab jetz absichtlich nicht ASA geschrieben, die Firewallentscheidung hängt von zig Punkten ab

[Wordo]

Sogar der 3560 macht schon fast alle ACL's in Hardware, fuer die Sachen oben sollte das reichen, aber wie erwaehnt gibts mit NAT etc. Probleme.

Hier kommts auch auf die Performance an, wenns der Switch in Hardware macht hast du Wirespeed, bei Gigabit brauchst du schon ne ASA 5550, kostet ca. 10k.

[opfo]

noch eine Frage: kann ich mittels einer ACL auf einem Catalyst 3750 z.B: eine ssh Verbindung kontrollieren?

Beispiel:

ein Client 192.168.1.1/24 soll eine ssh Session zu der IP Adresse 192.168.10.1/24 aufbauen. Beide Subnetze werden durch den Catalyst geroutet. Definiere ich nun für das entsprechende VLAN Interface eine Outbound ACL, dann erlaube ich ssh von der IP 192.168.10.1 zur 192.168.1.1. Die ssh Session soll aber nur von der IP Adresse 192.168.1.1 aufgebaut werden dürfen. Die IP 192.168.10.1 darf keine SSH Session initiieren. Kann ich dies per ACL realisieren?


Firmware 3750: "(C3750-IPBASE-M), Version 12.2(35)SE5"


Im Voraus schonmal ein Dankeschön für eure Hilfe.

[Otaku19]

natürlich

[opfo]

wenn du mir jetzt noch sagst wie, wäre ich glücklich :-)

[Wordo]

Dazu sagst du uns entweder die genauen VLAN's und IP's oder suchst bei cisco.com nach "Catalyst 3750 configuration guide" .. da stehts auch drin

[opfo]

VLAN 100: 192.168.1.0/24, Gateway 192.168.1.254
Client IP: 192.168.1.1

VLAN 150: 192.168.10.0/24, Gateway 192.168.10.254
Server IP:192.168.10.1

SSH Zugriff auf den Server mit der IP 192.168.10.1 darf nur von der IP Adresse 192.168.1.1 initiiert werden. Der Server selbst darf keine SSH Session zu anderen IPs aufbauen.

Parallell schaue ich mir natürlich auch noch den Konfig Guide an.

[Otaku19]

tjo, und sonst clients in den netzen ? je nachdem wo weniger freigeschaltet werden muss, dort würde ich ansetzen.

hier für dein Anliegen

access-list 100 permit tcp host 192.168.1.1 host 192.168.10.1 eq 22
access-list 100 deny tcp any host 192.168.10.1 eq 22
access-list 100 permit ip any any


access-list 101 permit tcp established
access-list 101 deny tcp host 192.168.10.1 any eq 22
access-list 101 permit ip any any

int vlan 150
ip access-group 100 out
ip access-group 101 in

interessant wirds dann halt bei prokollen die dynamisch weitere Ports aushandeln, ftp oder nfs, da wäre dann CBAC angesagt, da weiß ich allerdings nciht ob das der Switch kann

[opfo]

ging ja schnell. Super, vielen Dank.