Jump to content

3750 ACL optimieren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

Ich habe mit unserem 3750 verschiedene Subnetze für Clients und Server erstellt. Bislang gibt es eine ACL die von allen Client-Subnetzen den Traffic zu den Servern regelt. Da die mittlerweile doch schon etwas länger geworden ist, wollte ich fragen, ob etwas Optimierung sinnvoll ist.

 

Macht es Sinn die Regeln für VoIP und Citrix an den Anfang der Liste zu stellen, damit die Pakete schnell durch gelassen werden?

 

Bislang habe ich für alle Client-Subnetze die selbe ACL verwendet. Und dann imemr wie folgt die Regel definiert:

permit any host ProxyServer eq 8080 

 

Da nur das Subnetz der Buchhaltung ELSTER, HBCI etc. braucht, sind die Regeln so definiert:

permit Subnetz Buchhaltung host LStA-Server eq 8000

Macht es da vielleicht mehr Sinn eine zweite ACL zu definieren und diese ausschließlich dem VLAN der Buchhaltung zuzuweisen?

 

interface Vlan111
ip access-group zugriffe-von-clients in
ip access-group zugriffe-buchhaltung in

 

Bin natürlich auch für zusätzliche Tipps zu haben :-)

Link zu diesem Kommentar

Ich würde auf einem Switch überhaupt nur die notwendigsten ACLs definieren (Wartungszugriff und noch einige Kleinigkeiten), und alles andere auf ner Firewall machen, immerhin sicherst du hier nur aber wer wohin auf welchen Port darf, das ist schon lang nicht mehr state of the art.

 

Wenn du bei deiner Lösung bleiben willst, musst wahrscheinlich mehr Infos preisgeben, ich zumindest kenne mich 0 aus welche ACLs du denn jetzt wo verwendest

Link zu diesem Kommentar

Da es sich ums Hausnetz handelt fand ich ein Einschränken von Ports schon mal als nicht so schlechte Lösung. Wenn ich das alles über eine Firewall regeln würde, dann müsste die aber einigen Durchsatz ermöglichen.

 

Im Moment läuft es so, dass ich für die Clients die Ports auf den Servern frei gebe, deren Dienste sie auch nutzen dürfen.

 

Was wäre denn state of the art um im Hausnetz für mehr Sicherheit zu sorgen? Bzw. welche Firewalls nutzt man im Hausnetz. Zu den Außenstellen habe ich 876 Router für den VPN-Tunnel und dahinter eine Cisco PIX 506. Das läuft ganz ordentlich.

Link zu diesem Kommentar

Das kommt auf die Beduerfnisse an. Wenn du jetzt ne Rechtsanwaltskanzlei hat wo keiner auf die anderen Mandantendaten kommen darf, oder im Falle von Banken .. dann brauchst du minimalst ne ASA (und das Knowhow dazu!).

 

Wenn du nicht willst das Frau Fritsche aus der Buchhaltung auf den privaten Ordner von Herrn Schlagmichtot kommt reicht der Switch.

Link zu diesem Kommentar

Na so schlimm ist es hier zum Glück nicht. Das es immer noch eine Stufe besser geht, wenn man das Budget dafür bekommt, ist mir klar. Mein Gedanke war aber, dass unterschiedliche Subnetze mit einem Layer 3 Switch und ACLs schon mal eine Steigerung zum bisherigen Hausnetz mit Layer 2 Switchen darstellt.

 

Da du oben was von 1000 Regeln geschrieben hast, bin ich mit meinen knapp 80 Zeilen ohne Kommentare sicher ganz gut aufgestellt. Die ASA kommt dann in eins der nächsten Budgets ;-)

Link zu diesem Kommentar

achso, na wenns nur hausintern ist, dann ist manchen Fällewohl ne extra Securityappliance wohl übertrieben...kommt halt davon wenn man nciht genau weiß was die ACLs denn tun :D Aber mit Proxyserver hatte ich eigentlich einen Proxy weiter Richtung Internet gedacht.

 

Je nach Anforderung und vor Wissensstand müsst eman sich halt ne Firewall aussuchen, von kleinen Sonicwalls, Fortigates über PIX(jaja toooot)/ASA bis Checkpoint ist dann alles drin was das Budget hergibt. Je mehr eigene Leute davon ne Ahnung haben desto besser.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...