0

Cisco ASA als transparente Firewall

Für den Einsatz einer Cisco ASA gibt es zwei verschiedene Modi. Die Firewall kann entweder geroutet eingesetzt werden oder transparent. Den weniger bekannten transparenten Modus erkläre ich heute.

Beispiel:

 

 

PC A und PC B befinden beide im Netz 192.168.0.0/24 und können sich gegenseitig uneingeschränkt erreichen. Sollen die beiden Rechner nun voneinander getrennt werden könnten diese in getrennte Netz umgezogen und eine geroutete Firewall eingesetzt werden.

 

 

In unserem Bespielszenario hat PC B nun eine Adresse aus dem Netz 172.16.0.0/16 erhalten. Die Firewall kontrolliert den Traffic zwischen den beiden Rechnern.

Aus Gründen des Routings oder der Netzstruktur kann es jedoch unter Umständen nicht möglich sein ein neues Netz zu erstellen. Hier könnte nun der Einsatz einer transparenten Firewall Abhilfe schaffen.

 

 

Die Firewall wird wie ein gewöhnlicher Switch zwischen den Rechnern installiert und die Adressierung kann beibehalten werden. Die Firewall kontrolliert und filtert den Traffic zwischen den beiden Rechnern. Deren Existenz wird von den Rechnern nicht wahrgenommen. Eine Anpassung des Adressschemas oder des Routings entfällt. Die Rechner befinden sich nach wie vor beide im Netz 192.168.0.0/24.

 

Eine einfache Konfiguration einer transparenten ASA könnte wie folgt aussehen:

 

ASA Version 8.4(2)

!

firewall transparent

!

interface Ethernet0/0

switchport access vlan 2

!

interface Vlan1

nameif inside

bridge-group 1

security-level 100

!

interface Vlan2

nameif outside

bridge-group 1

security-level 0

!

interface BVI1

ip address 192.168.0.254 255.255.255.0

!

http 0.0.0.0 0.0.0.0 inside

!

ssh 0.0.0.0 0.0.0.0 inside

 

(Ausgabe gekürzt)

 

Wie in der gerouteten Variante werden die Zonen „inside“ und „outside“ erstellt und den Switchports der ASA zugeordnet. Zwischen diesen Zonen können dann Paketfilter realisiert werden. Das Management erfolgt per SSH oder ASDM auf der Adresse 192.168.0.254 und kann nur von Stationen erreicht werden die sich an einem Switchport der Zone „inside“ befinden.

 

In der Realität könnte eine transparente ASA zum Beispiel beim Einsatz eines Microsoft Lync Servers mit direktem SIP Trunk verwendet werden.

In diesem Fall darf die Adresse des Mediation Servers in Richtung des Voice Carriers nicht genatted werden.

Erhält man von seinem ISP kein zweites Netz zur Selbstverwaltung hinter der eigenen Firewall ist man gezwungen den Mediation Server mit einer Netzwerkkarte direkt ins Internet zu stellen. Dieser könnte dann als Einfallstor für potenzielle Angreifer dienen, da die Edge Firewall umgangen wird.

 

 

Durch den Einsatz einer transparenten Firewall kann der Mediation Server eine „echte“ IP-Adresse erhalten, steht aber nicht ungeschützt im Internet.

 

 

Der Mediation Server kann in Richtung des Internets so abgeschottet werden, dass ausschließlich der Voice Carrier ausgewählte Ports erreicht.

Abgelegt unter: Netzwerk Tags: , , ,

Ähnliche Artikel

Bookmarke uns!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

© 1918 IT-Dienstleistungen. All rights reserved. XHTML / CSS Valid.