Jump to content
Sign in to follow this  
-= Brummbär =-

3750 ACL optimieren

Recommended Posts

Hallo,

 

Ich habe mit unserem 3750 verschiedene Subnetze für Clients und Server erstellt. Bislang gibt es eine ACL die von allen Client-Subnetzen den Traffic zu den Servern regelt. Da die mittlerweile doch schon etwas länger geworden ist, wollte ich fragen, ob etwas Optimierung sinnvoll ist.

 

Macht es Sinn die Regeln für VoIP und Citrix an den Anfang der Liste zu stellen, damit die Pakete schnell durch gelassen werden?

 

Bislang habe ich für alle Client-Subnetze die selbe ACL verwendet. Und dann imemr wie folgt die Regel definiert:

permit any host ProxyServer eq 8080 

 

Da nur das Subnetz der Buchhaltung ELSTER, HBCI etc. braucht, sind die Regeln so definiert:

permit Subnetz Buchhaltung host LStA-Server eq 8000

Macht es da vielleicht mehr Sinn eine zweite ACL zu definieren und diese ausschließlich dem VLAN der Buchhaltung zuzuweisen?

 

interface Vlan111
ip access-group zugriffe-von-clients in
ip access-group zugriffe-buchhaltung in

 

Bin natürlich auch für zusätzliche Tipps zu haben :-)

Share this post


Link to post
Share on other sites

Ich würde auf einem Switch überhaupt nur die notwendigsten ACLs definieren (Wartungszugriff und noch einige Kleinigkeiten), und alles andere auf ner Firewall machen, immerhin sicherst du hier nur aber wer wohin auf welchen Port darf, das ist schon lang nicht mehr state of the art.

 

Wenn du bei deiner Lösung bleiben willst, musst wahrscheinlich mehr Infos preisgeben, ich zumindest kenne mich 0 aus welche ACLs du denn jetzt wo verwendest

Share this post


Link to post
Share on other sites

Ich glaube diese Switchreihe macht ACL processing schon in Hardware, von daher isses egal an welcher Stelle die Regel steht solang du nicht mehr wie ca. 1000 Regeln hast.

 

Eine Firewall waere doch angebrachter und auf dem Switch nur den groben Dreck filtern damit die FW nich mehr so viel schwitzen muss :)

Share this post


Link to post
Share on other sites

Da es sich ums Hausnetz handelt fand ich ein Einschränken von Ports schon mal als nicht so schlechte Lösung. Wenn ich das alles über eine Firewall regeln würde, dann müsste die aber einigen Durchsatz ermöglichen.

 

Im Moment läuft es so, dass ich für die Clients die Ports auf den Servern frei gebe, deren Dienste sie auch nutzen dürfen.

 

Was wäre denn state of the art um im Hausnetz für mehr Sicherheit zu sorgen? Bzw. welche Firewalls nutzt man im Hausnetz. Zu den Außenstellen habe ich 876 Router für den VPN-Tunnel und dahinter eine Cisco PIX 506. Das läuft ganz ordentlich.

Share this post


Link to post
Share on other sites

Das kommt auf die Beduerfnisse an. Wenn du jetzt ne Rechtsanwaltskanzlei hat wo keiner auf die anderen Mandantendaten kommen darf, oder im Falle von Banken .. dann brauchst du minimalst ne ASA (und das Knowhow dazu!).

 

Wenn du nicht willst das Frau Fritsche aus der Buchhaltung auf den privaten Ordner von Herrn Schlagmichtot kommt reicht der Switch.

Share this post


Link to post
Share on other sites

Na so schlimm ist es hier zum Glück nicht. Das es immer noch eine Stufe besser geht, wenn man das Budget dafür bekommt, ist mir klar. Mein Gedanke war aber, dass unterschiedliche Subnetze mit einem Layer 3 Switch und ACLs schon mal eine Steigerung zum bisherigen Hausnetz mit Layer 2 Switchen darstellt.

 

Da du oben was von 1000 Regeln geschrieben hast, bin ich mit meinen knapp 80 Zeilen ohne Kommentare sicher ganz gut aufgestellt. Die ASA kommt dann in eins der nächsten Budgets ;-)

Share this post


Link to post
Share on other sites

Ich bin mir nicht sicher, den 3750 hab ich nirgends im Einsatz. Wenn allerdings ein 4948 der finanziell nicht viel groesser dasteht mit rund 8000 Regeln locker klarkommt sollte der 3750 das schon schaffen.

Share this post


Link to post
Share on other sites

achso, na wenns nur hausintern ist, dann ist manchen Fällewohl ne extra Securityappliance wohl übertrieben...kommt halt davon wenn man nciht genau weiß was die ACLs denn tun :D Aber mit Proxyserver hatte ich eigentlich einen Proxy weiter Richtung Internet gedacht.

 

Je nach Anforderung und vor Wissensstand müsst eman sich halt ne Firewall aussuchen, von kleinen Sonicwalls, Fortigates über PIX(jaja toooot)/ASA bis Checkpoint ist dann alles drin was das Budget hergibt. Je mehr eigene Leute davon ne Ahnung haben desto besser.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...