Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kommunikation auf gleicher Netzebene in der Cisco ASA 5510

Frage Sicherheit Firewall

Mitglied: Andre-W-1984

Andre-W-1984 (Level 1) - Jetzt verbinden

13.01.2011 um 17:44 Uhr, 4367 Aufrufe, 3 Kommentare

Hallo zusammen,

ich habe momentan hier einen externen Rechner stehen, der nur über RDP, sprich Port 3389 von außen zu erreichen sein soll. Soweit so gut.
Der Rechner bekommt von unserem DHCP eine IP und hängt damit im gleichen Segment wie unsere anderen Clients und Drucker.

Wir haben eine Cisco ASA 5510 Firewall und bisher habe ich folgende Einstellungen getätigt:

  • NAT Rule für IP des Rechners nach außen (nur RDP)
  • RDP Freigabe für ein bestimmtes Gateway nach außen

Das klappt auch alles.

Jetzt soll der Rechner aber auch ins Internet können. Auch das klappt, allerdings nur, wenn ich dem Rechner erlaube, den DNS und DHCP Server der Firma zu finden bzw. mit diesem zu kommuniziere.
Klar, die Namensauflösung muss ja geschehen.

Nun ist es aber so, dass durch diese Umstände der Rechner auch mit anderen Clients und Drucker aus dem Segment kommunizieren kann. Das möchten wir natürlich verhindern.
Schalte ich die AccessRule ab, die besagt, dass Port 53, 67 und 68 frei für den Rechner sind, kommt er auch nicht mehr ins Internet.

Wie kann ich nun am besten den Rechner ins Netz lassen, dabei aber die Kommunikation auf gleicher Netzebene untersagen?

Danke schon mal!
Mitglied: aqui
13.01.2011 um 17:53 Uhr
Warum versuchst du es nicht mit einer Host ACL (32 Bit Maske) und Port 53 auf den DNS wie es in solchen Fällen üblich ist ?? Damit kann dieser Client dann nur und ausschliesslich intern mit dem DNS kommunizieren und dein Problem ist gelöst ??
Bitte warten ..
Mitglied: Andre-W-1984
14.01.2011 um 08:19 Uhr
In der Firewall ist ja eine Regel hinterlegt, die dem Client Zugriff auf Port 53, 67 und 68 erlaubt.
Auf der anderen Seite habe ich ebenfalls eine Regel hinterlegt, die dem Client den Zugriff auf das gesamte Servernetz (DMZ) verweigert. Also z.B. kein Zugriff mit \\IP etc.

Funktioniert auch soweit.

Das Problem was ich momentan allerdings habe ist:

Der PC soll zwar ins Internet können aber NICHT mit anderen Clients kommunzieren dürfen. Dadurch, das er vom DHCP eine IP bekommen hat, befindet er sich im gleichen Netzsegment wie die anderen Clients. Soweit ja auch ok, nur soll er z.B. nicht einen anderen Client anpingen können oder evtl. auf eine Freigabe gelangen. Natürlich erscheint im Vorfeld die übliche Windows Loginmaske, allerdings möchte ich es möglichst restriktiv halten.

Nehme ich nun die Regel heraus, die besagt, dass der Clinet Zugriff auf Port 53 und co hat, kommt er auch nicht mehr ins Internet.

Ist es denn überhaupt möcglich, einen Client ins Internet zulassen, allerdings auf gleicher Netzebene keine Verbindung zu anderen Clients aufbauen zu können?
Bitte warten ..
Mitglied: aqui
14.01.2011 um 20:40 Uhr
Wenn dieser Client in exakt demselben IP Segment ist wie der Rest der Clients ist das so nicht möglich bzw. mit der ASA nicht lösbar, denn du hast ja eine komplett transparente Layer 2 Kopplung dieser Clients. Eine L3 ACL greift da nicht mehr.
Denkbar wäre alle Clients in einem sog. Private VLAN zu konfigurieren aber m.E. supportet das die ASA nicht. Ggf. solltest du mal das Handbuch checken.
Ansonsten wäre noch eine Mac basierte ACL denkbar. Dazu müsstest du aber diesen Client portspezifisch konfigureiren und alle Macs der Rest Clients in eine ACL setzen. Das ist dann ziemlich statisch und sowie einer den Port dieses Clients wechselt oder andere Rectclients dazukommen musst du die ACL wieder anpassen...ist nicht besonders Adminfreundlich und wackelig...aber machbar so.
Besser ist du isolierst diesen Client in ein separates VLAN und gut ist...das ist wenigstens wasserdicht !
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
LAN, WAN, Wireless
Cisco ASA Priority Queue via ACL (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst Cisco ASA hinter Router mit NAT (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

Firewall
gelöst Cisco ASA - Wechsel der Outside IP Adresse auf der Remote Site ASA (3)

Frage von tweishaar zum Thema Firewall ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...