Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kommunikation auf gleicher Netzebene in der Cisco ASA 5510

Frage Sicherheit Firewall

Mitglied: Andre-W-1984

Andre-W-1984 (Level 1) - Jetzt verbinden

13.01.2011 um 17:44 Uhr, 4424 Aufrufe, 3 Kommentare

Hallo zusammen,

ich habe momentan hier einen externen Rechner stehen, der nur über RDP, sprich Port 3389 von außen zu erreichen sein soll. Soweit so gut.
Der Rechner bekommt von unserem DHCP eine IP und hängt damit im gleichen Segment wie unsere anderen Clients und Drucker.

Wir haben eine Cisco ASA 5510 Firewall und bisher habe ich folgende Einstellungen getätigt:

  • NAT Rule für IP des Rechners nach außen (nur RDP)
  • RDP Freigabe für ein bestimmtes Gateway nach außen

Das klappt auch alles.

Jetzt soll der Rechner aber auch ins Internet können. Auch das klappt, allerdings nur, wenn ich dem Rechner erlaube, den DNS und DHCP Server der Firma zu finden bzw. mit diesem zu kommuniziere.
Klar, die Namensauflösung muss ja geschehen.

Nun ist es aber so, dass durch diese Umstände der Rechner auch mit anderen Clients und Drucker aus dem Segment kommunizieren kann. Das möchten wir natürlich verhindern.
Schalte ich die AccessRule ab, die besagt, dass Port 53, 67 und 68 frei für den Rechner sind, kommt er auch nicht mehr ins Internet.

Wie kann ich nun am besten den Rechner ins Netz lassen, dabei aber die Kommunikation auf gleicher Netzebene untersagen?

Danke schon mal!
Mitglied: aqui
13.01.2011 um 17:53 Uhr
Warum versuchst du es nicht mit einer Host ACL (32 Bit Maske) und Port 53 auf den DNS wie es in solchen Fällen üblich ist ?? Damit kann dieser Client dann nur und ausschliesslich intern mit dem DNS kommunizieren und dein Problem ist gelöst ??
Bitte warten ..
Mitglied: Andre-W-1984
14.01.2011 um 08:19 Uhr
In der Firewall ist ja eine Regel hinterlegt, die dem Client Zugriff auf Port 53, 67 und 68 erlaubt.
Auf der anderen Seite habe ich ebenfalls eine Regel hinterlegt, die dem Client den Zugriff auf das gesamte Servernetz (DMZ) verweigert. Also z.B. kein Zugriff mit \\IP etc.

Funktioniert auch soweit.

Das Problem was ich momentan allerdings habe ist:

Der PC soll zwar ins Internet können aber NICHT mit anderen Clients kommunzieren dürfen. Dadurch, das er vom DHCP eine IP bekommen hat, befindet er sich im gleichen Netzsegment wie die anderen Clients. Soweit ja auch ok, nur soll er z.B. nicht einen anderen Client anpingen können oder evtl. auf eine Freigabe gelangen. Natürlich erscheint im Vorfeld die übliche Windows Loginmaske, allerdings möchte ich es möglichst restriktiv halten.

Nehme ich nun die Regel heraus, die besagt, dass der Clinet Zugriff auf Port 53 und co hat, kommt er auch nicht mehr ins Internet.

Ist es denn überhaupt möcglich, einen Client ins Internet zulassen, allerdings auf gleicher Netzebene keine Verbindung zu anderen Clients aufbauen zu können?
Bitte warten ..
Mitglied: aqui
14.01.2011 um 20:40 Uhr
Wenn dieser Client in exakt demselben IP Segment ist wie der Rest der Clients ist das so nicht möglich bzw. mit der ASA nicht lösbar, denn du hast ja eine komplett transparente Layer 2 Kopplung dieser Clients. Eine L3 ACL greift da nicht mehr.
Denkbar wäre alle Clients in einem sog. Private VLAN zu konfigurieren aber m.E. supportet das die ASA nicht. Ggf. solltest du mal das Handbuch checken.
Ansonsten wäre noch eine Mac basierte ACL denkbar. Dazu müsstest du aber diesen Client portspezifisch konfigureiren und alle Macs der Rest Clients in eine ACL setzen. Das ist dann ziemlich statisch und sowie einer den Port dieses Clients wechselt oder andere Rectclients dazukommen musst du die ACL wieder anpassen...ist nicht besonders Adminfreundlich und wackelig...aber machbar so.
Besser ist du isolierst diesen Client in ein separates VLAN und gut ist...das ist wenigstens wasserdicht !
Bitte warten ..
Ähnliche Inhalte
Firewall
Zugriff auf CISCO ASA 5510 herstellen und Werkseinstellungen herstellen
Frage von Stefan007Firewall5 Kommentare

Hi Leute, ich bin langsam echt ratlos. Ich habe eine Firewall aus einer Hardwareauflösung bekommen und will das Teil ...

LAN, WAN, Wireless
Cisco ASA hinter Router mit NAT
gelöst Frage von maxmaxLAN, WAN, Wireless2 Kommentare

Hallo, ich habe eine Cisco ASA welche hinter einem privaten ADSL-Anschluss steht, der Anschluss terminiert auf einem Cisco 867-K9, ...

Router & Routing
Cisco Asa VPN Fragen
Frage von brooksRouter & Routing3 Kommentare

Hallo, ich habe hier mal eine Frage , vielleicht kann mir ja der ein oder andere helfen. Es geht ...

LAN, WAN, Wireless
Cisco ASA Passwort Reset
Anleitung von YannoschLAN, WAN, Wireless4 Kommentare

Hallo zusammen, aus gegebenen Anlass hier eine Anleitung zum Reset des Passworts bei einer Cisco ASA5505. WICHTIG: Ich gebe ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 4 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 9 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 10 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 22 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Windows Server
Remotesteuerung der Sitzung (Kennung XX) fehlgeschlagen
gelöst Frage von Stefan91Windows Server14 Kommentare

Hallo Zusammen, seit kurzem bekomme ich oben genannte Fehlermeldung, wenn ich versuche eine Remotesitzung über den Taskmanager fernzusteuern (Rechtsklick ...