Whistleblower

Hi,

versuch das ganze am besten mal über die Konsole zu konfigurieren (seriell oder per Telnet/ssh), das ist dann verständlicher, als Auszüge aus dem Web-Frontend.

Ich habe so eine Konfig auch laufen, allerdings mit einem "normalen" Switch (4210PWR) und 7760 von 3Com.

Dazu konfigurierst Du entsprechend SSIDs auf dem Access-Point (oder in deinem Fall auf den Profiles, wenn Du einen Thin-Accesspoint hast) und ordnest ihnen die entsprechenden VLANs zu (802.1Q).

Den Switch-Port konfigurierst Du dann als trunk oder hybrid mit den entsprechenden VLANs.

Wenn's noch aktuell ist, kannst Du ja mal deine Konfig posten.

Du meinst sicher "power inline auto/never" o.ä. Gibt es leider nicht...

Da hilft dann höchstens ein 4adriges Patchkabel... :D

Moin,

kann es sein, dass die ASA einen Wechsel der PPPoE-Einstellungen erst nach einem Reboot übernimmt?

Ich habe 2 vpdn pppoe Gruppen, zwischen denen ich (in der Testphase) zeitweise wechseln muss, indem ich mal die eine und mal die andere an das outside-IF binde. Leider werden die neuen Einstellungen dann scheinbar nicht erkannt - es wird keine PPPoE-Verbindung aufgebaut, auch nicht nach Reset des Interfaces und des DSL-Modems... "debug pppoe events" brachte leider auch keine hilfreichen Infos, außer dass der pppoe Dienst irgendwann gestoppt wurde...

PPPoE: PADS

PPPoE: IN PADS from PPPoE tunnel

PPPoE: Opening PPP link and starting negotiations.

PPPoE: PADT

PPPoE: Shutting down client session

Nach einem Reboot hat er sich dann gleich mit den aktuellen Gruppe wieder verbunden...

Moin,

gibt es eine Möglichkeit, PoE auf den beiden letzten Ports der ASA 5505 auszuschalten? Wenn ich da ein non-PoE Device anschließe (in diesem Fall eine PCMCIA-NIC) geht das Notebook stumpf aus... :mad:

Glücklicherweise hat scheinbar weder Port noch NIC Schaden dabei genommen, hab testweise grad mal ein altes 7940 IP-Tel drangehängt...

einfach q drücken bei der ausgabe, dann mochmal enter und schon kannst du wieder was eingeben

Supi, danke für den Tipp!

Damit macht die Konsole auch gleich mehr Spass :)

Hab mittlerweile festgestellt, dass ich auch mehrere Regeln für die VPN-Verbindungen angeben kann. Hab's über die Konsole gemacht, und scheinbar geht's auch im ASDM - wobei ich mehr zur Konsole tendiere, da kann ich wenigstens die Nomenklatur für die ACLs beinflussen, so dass da vielleicht auch mal ein Kollege durchsteigt :D

Jetzt habe ich aber ein anderes konkretes Problem.

Der Router baut auch diverse L2L-VPNs auf.

Z.B.

NetzA: internes LAN

NetzA2: DHCP-Range VPN-Clients

NetzB: internes LAN zweiter Standort

NetzC: internes LAN dritter Standort

VPN1: NetzA zu NetzB

VPN2: NetzA zu NetzA2 (VPN-Clients)

VPN3: NetzA zu NetzC

Derzeit ist es so, dass auch Zugriff von NetzB zu NetzC über NetzA zugelassen wird, Traffic kommt also über Tunnel von NetzB rein, wird decrypted und wieder encrypted und nach NetzC geschickt.

Ähnliches ist für die VPN-Clients konfiguriert, Einwahl in NetzA und von dort über bestehende Tunnel nach NetzB und NetzC.

Auf dem (abzulösenden) Router habe ich dazu jeweils eine statische crypto map, mit entsprechenden Verweisen aufs ISAKMP-Profil und die ACLs, z.B.:

crypto map staticmap 1 ipsec-isakmp
description Tunnel zu NetzB
set peer x.x.x.x
set transform-set XYZ
set pfs-group 2
set isakmp-profile NetzBprofile
match address vpn_NetzB

crypto isakmp profile NetzBprofile
description ...
keyring NetzBkeyring
match identity address x.x.x.x 255.255.255.255

ip access-list extended vpn_NetzB
permit ip (NetzA) (NetzB)
permit ip (NetzA2) (NetzB)
permit ip (NetzB) (NetzC)
deny ip any any

So, wenn ich das jetzt auf die ASA übertragen will, habe ich dabei Schwierigkeiten, weil ich (zumindest wenn ich mit dem ASDM arbeite) unter den IPSec-Rules quasi immer nur eine Zuordnung der Netze angeben kann (Source/Destination). Ich kann zwar vorher Netze entsprechend zusammenfassen (z.B. NetzA und NetzA2 zu einer Gruppe und NetzB und NetzC zu einer zweiten Gruppe), aber dadurch hätte ich auch eine Beziehung NetzA2 zu NetzC, welche gar nicht gewünscht ist.

Vielleicht ist das auch nur eine Einschränkung durch den ASDM, und über die Konsole könnte ich das alte Konzept wie gewünscht umsetzen??

Ich hoffe, jemand versteht mein Problem und kann ein paar Tipps geben... :)

Achja, noch eine Kleinigkeit - wie kann man eigentlich an der Konsole die Ausgabe von "show run" u.ä. abbrechen, wenn man nicht bis zum Ende durchblättern will? :confused:

Bin einen Schritt weiter - Zugriff vom VPN-Client funktioniert jetzt. :)

Fehlerquelle war vermutlich noch NAT oder ACL vom Router, hinter dem der VPN-Client hing. Von einem anderen DSL-Anschluss mit SOHO-Kiste war der Zugriff problemlos möglich.

Grundsätzlich habe ich z.Zt. einen IOS-Router, der durch die ASA abgelöst werden soll. Somit habe ich einen Haufen an extended ACLs, die ich so leider nicht 1:1 in die ASA übernehmen kann.

Folgende ACLs kommen auf dem Router derzeit vor:

inside_rule (gebunden an vlan1:

ip access-group inside_rule out

beinhaltet u.a., welche privaten Netze auf das interne LAN zugreifen dürfen.

z.B.

permit ip 172.16.2.0 0.0.0.255 17.16.1.0 0.0.0.255

NAT_rule (gebunden an route-map)

Legt Ausnahmen für NAT fest (alles natten, ausser Verbindungen zw. priv. Netzen über VPN

z.B.

remark NAT-Ausnahme StandortXY
deny   ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

dmz_rule (derzeit nicht genutzt, (gebunden an vlan99:

ip access-group dmz_rule out

war mal vorgesehen für Zugriff auf DMZ-VLAN

mgmt_rule (gebunden an vty 0 4:

ip access-group mgmt_rule in

regelt Zugriff auf den Router

outside_rule (gebunden an dialer1:

ip access-group outside_rule in

Welche Dienste werden von extern zugelassen

z.B.

permit esp host x.x.x.x host pubIP
permit udp host x.x.x.x host pubIP eq isakmp

vpn_rule01 ... vpn_rule05

diverse VPNs, regelt den Zugriff der priv. Netze untereinander

z.B.

remark NAT-Ausnahme StandortXY
permit   ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
deny ip any any

Dass ich statt inversen Maske jeweils die Subnetz-Maske auf der ASA angeben muss, ist soweit auch bekannt.

Die Frage ist halt, warum geht z.B. kein Traffic von einem per VPN-Client eingewählten Client vom VPN-Client-Netz (über entsprechenden DHCP-Pool eingerichtet) zum internen Netz durch, wenn er eigentlich erlaubt sein sollte.

Dazu sollte doch eine inside-ACL und eine entsprechende NAT-ACL ausreichend sein?

Am besten poste ich nachher nochmal eine Konfig von der ASA, muss ich mal sehen, wie ich die entsprechend kürze, dass sie hier reinpasst... :D

Hi,

ich habe noch etwas Verständnisprobleme mit ACLs auf der ASA hinsichtlich der Richtung (in/out), an irgendeiner Stelle mache ich da einen Denkfehler und deswegen machen meine ACLs nicht das, was sie sollen. :(

Konkrete Beispiele wären z.B.

• Traffic, der von einem mobilen VPN-Client kommt (Netz 192.168.60.0/24) in das interne LAN (172.16.1.0/24) und vice versa zu erlauben
  
• ausgehenden Traffic vom internen Netz nur zu bestimmten Diensten (http, https, DNS) zuzulassen
  

Letzteres soll als Übung nur getestet werden, erstes muss gehen.

Internetzugriff vom LAN funktioniert soweit, das Aufbauen der Verbindung über den VPN-Client funktioniert von einem anderen Provider auch soweit.

ICMP-Replies können auch über ACLs zugelassen sein, evtl. auch in irgendeiner Service-Gruppe versteckt...

Mein Fehler, hab PPTP und Windows gelesen, und da gingen alle Lampen an ;-)

Ich werd verschiedene Ansätze mal austesten, hab die ASA jetzt da und kann etwas mit rumspielen...

Praktisch wäre natürlich auch, wenn User sich mit Ihrem Windows-Credentials anmelden können (entsprechende Passwort-Komplexität und Ablauf-Richtlinien vorausgesetzt) - LDAP sollte doch möglich sein, was ich so bisher überflogen habe...

Natuerlich geht auch L2TP/IPSec was bei Windows onboard ist ...

Hm, ja, da setze ich aber lieber auf zweifache Authentifizierung mit PSK und XAUTH mit Username/Passwort ... :D

Servus.

Unter Win7 und anderen 64-Bit Systemen nutzen wir diesen VPN Client für IPsec Verbindungen: Shrew Soft Inc : Home

Stefan

Das sieht interessant aus, werde ich mal testen !!

Du hast bei der ASA5505 (egal welches Bundle) immer nur 2 SSL (Anyconnect) Lizensen. Wenn du mehr haben möchtest - dann musst du die passenden Lizensen zukaufen.

Hm, was kosten da die Lizenzen ca.?

Du kannst aber kostfrei den IPSec VPN Client nehmen - da hast du eigentlich "unlimited" - glaube die 5505 kann 20 gleichzeitige Session

Funktioniert der noch mit der ASA? Stellt sich aber zukünftig das Problem: Neue Clients mit Windows7, 64Bit - wird vom VPN Client nicht mehr unterstützt (außer evtl. im XP-Komp. Modus)...

Alternativen? OpenVPN ?

Also können nach wie vor mehr als 2 User gleichzeitig von Remote via AnyConnect Client arbeiten?

Hi,

wir werden unseren "alten" Cisco 871 wohl bald in Ruhestand schicken und durch eine ASA 5505 ersetzen.

Gekauft wird wohl das Bundle mit unlimited user (ASA5505-SEC-BUN-K9).

Worauf bezieht sich diese Userzahl ? User, die sich an der ASA authentifizieren können? VPN-User?

Momentan nutzen wir beim 871 für ca. 10 User den Cisco VPN-Client.

Wenn ich das richtig sehe, wird der bei der ASA nicht mehr unterstützt, da diese dann SSL-VPN nutzt. Kann ich dann immer noch 10 und mehr User einrichten, und (notfalls) auch zeitgleiche SSL-VPNs haben? Angegeben werden ja nur 2 SSL-VPNs. Scheitert dann jeder weitere VPN-User ? :(

Moin und Frohes Neues,

könnt Ihr mir ein gutes Buch zum Thema ASA-Einrichtung (Schwerpunkte VPN und DMZ) empfehlen?

Netzwerkkenntnisse sind vorhanden, englischsprachig darf's auch sein, und sollte sowohl ein paar Howto's enthalten als auch zum Nachschlagen geeignet sein.

Was haltet Ihr von Richard Deal's "Cisco ASA Configuration" von Network Professionals Library?

Von Deal habe ich unter anderem "Complete Cisco VPN Configuration Guide", welcher mir sehr gute Dienste geleistet hat, das Thema ASA aber nicht zu tief behandelt (kam damals gerade als Nachfolger der PIX raus)...

Das Sicherheitsbedürfnis ist schon recht hoch für das zu sichernde System.

Der Zugriff authorisierter Personen ist sicherlich überschaubar, aber wer weiss bei einem Windowssystem von einer relativ kleinen Softwareschmiede schon, wie sicher das ganze aufgesetzt ist ..? :(

Daher muss der Weg auch unbedingt über Reverse-Proxy und IPS laufen.

Und da man ja auch nie ausschließen kann, dass durch irgendwelche Exploits unbefugte Zugriff erhalten, hilft es natürlich wenig, wenn das ganze dann durchgängig über SSL geschieht...

Also Zugriff über SSL auf Reverse-Proxy in DMZ und von da ohne SSL über IPS zum IIS in der DMZ. Zusätzlich soll jeglicher Traffic vom IIS über die Firewall zum Server im internen Netz ebenfalls über ein IPS-Segment laufen.

Hm, der Server läuft aber leider auf IIS ... Lässt sich da trotzdem was richten?

Hab da grad dies hier gefunden:

http://www.gotroot.com/tiki-view_forum_thread.php?topics_offset=0&topics_sort_mode=lastPost_desc&forumId=35&comments_parentId=259

Hat schon jemand Erfahrungen mit IIS & ModSecurity?

Bei kleineren Firmen die finanziell nicht so grossen Spielraum haben zaehlt natuerlich auch der Knowhow-Factor. Wenn schon 2 Leute sich mit Cisco auskennen und alles andere Neuland ist, faellt die Wahl zwischen Cisco und X wohl eher auf Cisco :)

Das wär hier auch der Fall... Auch wenn ich vor Zeiten schon z.T. mit Watchguard und NetasQ gearbeitet habe, würde ich Cisco den Vorzug geben - auch wenn es eine gewisse Umstellung vom Router-IOS zur ASA bedeuten wird, ist mir das lieber als ein vollkommen neues Produkt.

Und nicht zuletzt spricht natürlich die große Cisco-Community hier :) dafür, dass man bei Problemen nicht ausschließlich auf den Hersteller angewiesen ist.

Es sollte also min. zwei vollständig getrennte DMZ Netze geben die internen und externen traffic teilen. Die Server in der DMZ müssen damit zwangsläufig Dual Homed sein. Es ist selbstverständlich, dass es in einer solchen Umgebung möglichst keine Firewall Regeln gibt die Traffic direkt vom internen Interface nach draußen und umgekehrt routen. Es sollte alles über die DMZ Netze gehen und dort terminiert / proxyfiziert werden.

Ließe sich das mit der ASA 5505 (ASA5505-SEC-BUN-K9) realisieren?

Habt Ihr da Erfahrungen mit bestimmten (freien) Reverse-Proxies? Varnish hört sich für mich bis jetzt ganz vielversprechend an.

Ne ASA5505 mit hoechster Lizenz schafft das. Kannst 2 im Active/Standby Failover betrieben, 25 IPSecs erlaubt, und ich glaub 10 VLANs. Die kann dann auch Dual ISP Backup mit Static Object Tracking (z.B.)

Hm, bekomme auf Anfrage nur die Version für 10 IPSec/VPN User - gibt es da keine 25er Lizenz?

man kannnatürlich über 2 PA Adressbereiche quasi die beiden WAn links "loadbalancen"...aber wenn hier die Rede von einem 876er war ist das wohl ein wenig zu hoch gegriffen.

871/876 ist dafür auf jeden Fall aussen vor...

Es geht auch eher darum, zu einem anderen Standort ein VPN über einen zweiten Weg nutzen zu können - wie gesagt, es wäre ein Nice2Have, und sollte (sofern im Budget) später einmal mit der vorhandenen Hardware zu realisieren sein

Mit Dualhomed meine ich, dass jeder Server zwei NICs hat, eine zur internen und eine zur externen FW.

Vielleicht ist so ein Konzept ja auch bereits überholt...

Die TippingPoint kann natürlich niemals eine Firewall ersetzen, ist aber auch nicht als eine solche vorgesehen - durch die Filterung (bis Schicht 7) in Echtzeit entlastet sie aber spürbar die dahinter liegenden Komponenten. Da die einzelnen Segmente voneinander und vom Mgmt-Interface getrennt sind, sehe ich da auch keine Schwächung des Gesamtkonzeptes.

Das hört sich doch alles ganz gut an. :)

Macht es bei einer kleineren Umgebung eigentlich Sinn, schon ein zweistufiges Firewall-Konzept mit einer internen und einer externen Firewall zu planen, und Server in der DMZ dualhomed anzubinden?

Oder ist das DMZ-Konzept mit einer ASA nahezu genauso sicher?

Zusätzlich kommt bei uns sowieso eine TippingPoint IPS jeweils mit einem Segment in die DMZ und in das externe Segment.

Hi Wordo,

das hört sich doch gut an - Geräteredundanz ist aber gar nicht gefragt (oder hat jemand Erfahrungen, dass die Kisten öfter mal ausfallen? Bei Routern hatte ich bisher nie Hardware-Probleme).

Allerdings ist ein Standort über VPN angebunden, bei dem gerne mal der Provider ausfällt - in dem Fall muss das VPN dann über den anderen Provider gehen, sicherlich nicht ganz trivial zu lösen, vor allem nicht bei Teilausfällen (DNS gestört o.ä.) aber grundsätzlich sollte es zumindest mit manuellen Eingriff zu lösen sein.

Hast Du eine ungefähre Hausnummer, was eine kleine ASA mit entsprechender Lizenz kostet? Ist da auch der VPN-Client enthalten?