Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Router & Routing

GELÖST

Cisco SG300: ACLs einrichten

Mitglied: caspi-pirna

caspi-pirna (Level 1) - Jetzt verbinden

10.02.2015, aktualisiert 11.02.2015, 918 Aufrufe, 3 Kommentare

Hallo,

ich habe einen Cisco SG300-10- Switch, welchen ich im L3-Routing-Modus betreibe und div. VLANs angelegt. Aktuell plane ich die Beschränkung d. Routings zwischen den VLANs mittels ACLs. Folgender Ausschnitt beschreibt meine Frage.

Die Switches befinden sich im VLAN_1 (192.168.100.0:24), genau wie mein Router zum Netz (IP: 192.168.100.100). Nun habe ich u.a. ein Gäste-WLAN als VLAN_220 im Adressbereich 192.168.32.0:24 eingerichtet. Soweit, so gut.
Mein Domain-Controller steht im VLAN_10 (IP: 192.168.1.0:24 und ist für die Verteilung d. IP-Adressen im Netzwerk zuständig.
Nun möchte ich den Gästen im WLAN nur den Zugriff auf das Internet (IP: 192.168.100.100) gestatten und notgedrungen auch noch den DC freigeben (zum Bezug einer IP-Adresse). Sonst soll das Gäste-WLAN keinen Zugriff auf Netzwerk-Ressourcen haben.

Jetzt meine eigentlich Frage. Als erste Regel würde ich den kompletten Verkehr zw. den VLANs verbieten (deny all) und nur den Verkehr vom VLAN_220 (Gäste-VLAN) zur IP 192.168.100.100 zulassen.
Zusätzlich muss ich doch aber auch den "Rückkanal" von der IP 192.168.100.100 ins VLAN_220 freigeben, oder nicht? Ansonsten würde eine Antwort, welche aus dem Internet kommt, nicht zum entsprechenden Clienten durchdringen. Oder sehe ich diesen Grundsatz falsch?

Danke für eure Hinweise.

Caspi
Mitglied: aqui
10.02.2015 um 21:01 Uhr
Du hast schon einen generellen Fehler im Design gemacht, denn ein Gast VLAN sollte niemals ein L3 Interface auf dem Switch bekommen, denn damit besteht potentiell die Gefahr das Gast User über eine Backdoor Route in andere lokale VLANs kommen.
Zudem musst du erhöhten Aufwand treiben was die Sicherheit mit ACLs anbetrifft.
Ein sehr unglückliches Design aus Netzwerksicht und nicht wirklich gut aus Sicherheitssicht.
Gast WLAN trennt man sinnigerweise immer mit einer Firewall und / oder einem isolierten Captive Portal wie hier beschrieben:
http://www.administrator.de/wissen/wlan-lan-gastnetz-einrichten-captive ...
bzw. hier in der VLAN Variante im Kapitel Praxisbeispiel
http://www.administrator.de/wissen/vlan-installation-routing-m0n0wall-p ...
Du solltest also dringenst dein Design nochmal überdenken.

Wenn du dennoch es mit ACLs machen willst findest du hier Beispiele:
http://www.administrator.de/frage/cisco-sg300-acls-einrichten-207807.ht ...
https://supportforums.cisco.com/discussion/11084051/sg-300-series-acl
http://sbkb.cisco.com/CiscoSB/GetArticle.aspx?docid=865924b7d74b4a178d6 ...
Bitte warten ..
Mitglied: caspi-pirna
11.02.2015 um 06:01 Uhr
Vielleicht hab ich mich ein wenig falsch ausgedrückt.
Bei mir läuft das ganze unter der Bezeichnung "Gäste-WLAN", jedoch ist auch dieses per Passwort zugangsgeschützt und nur für einen bestimmten (befreundeten) Personenkreis offen.Weiterhin ist mir bewusst, dass diese / meine Lösung für ein öffentliches WLAN nicht sinnvoll bzw. sicher ist, für meine o. beschriebenen Umfang jedoch in Ordnung.

Ich habe mir die angehängten Anleitungen bzw. Beschreibungen durchgelesen - leider ohne eine Antwort auf meine anfangs gestellte Frage zu bekommen.
Mir ging es nur darum, ob ich auch den "Rückkanal" per ACL freigeben muss (wovon ich aktuell ausgehe).
Bitte warten ..
Mitglied: aqui
LÖSUNG 11.02.2015, aktualisiert um 10:16 Uhr
jedoch ist auch dieses per Passwort zugangsgeschützt und nur für einen bestimmten (befreundeten) Personenkreis offen
Na ja mit einem Gast WLAN oder Zugang in dem Sinne hat das dann rein gar nichts zu tun.
Du solltest dir aber sehr gut überlegen sowas zu machen. Auf die Weitergabe dieses Passworts an Dritte hast du keinerlei Einfluss und Kontrolle. Generell mit in D geltender Störerhaftung ist das Russisches Roulette, aber du weisst vermutlich was du tust und bist dir über mögliche rechtliche Konsequenzen im Klaren !

Was deine Frage zum "Rückkanal" angeht lautet die natürlich JA. ACLs auf Switches sind statisch und gelten nicht bidirektional wie z.B. bei Firewalls.
Es reicht ja aber immer nur eine Seite zu sperren, denn das unterbindet ja dann jegliche Kommunikation.
Wenn du z.B. inbound am Gast VLAN einfach ein deny privates VLAN konfigurierst reicht das ja vollends.
Damit kommt keinerlei Pakete ins Private Segment aus dem Gast Segment.
VOM Privaten Segment ins Gast Segment dann schon aber Antwortpakete dann vom Gast bleiben wieder an dieser Inbound Regel hängen und damit stirbt diese Kommunikation ebenso.
Es reicht also eine einzige ACL.
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
ACL auf Cisco SG300 L3 Switch einrichten
gelöst Frage von JejeSwissNetzwerkgrundlagen10 Kommentare

Hallo Zusammen Ich habe das mit den ACL noch nicht ganz drauf. Die Konfiguration funktioniert noch nicht wie ich ...

Router & Routing
Cisco SG300-10: ACE einrichten
Frage von caspi-pirnaRouter & Routing23 Kommentare

Hallo, ich habe beim o.g. Switch ein Problem mit den einrerichteten ACEs für meine VLANs.In der angehängten Grafik sind ...

Switche und Hubs
VLAN einrichten auf Cisco Small Business SG300 Serie
gelöst Frage von Amboss77Switche und Hubs4 Kommentare

Moin Leute, Ich habe die ehrenvolle Aufgabe in unserm Betrieb ein VLAN einzurichten. Hört sich erst mal einfach an ...

Router & Routing
Cisco SG300 - Kein Routing ins VLAN
gelöst Frage von Fluxx1337Router & Routing4 Kommentare

Hallo zusammen, Was ich möchte sieht man gut auf der Skizze. PC1 soll sich im dhcp Netz der Fritzbox ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...