Permalänk
Medlem

segmentering av företagsnät

Hej,

Vi ska ta hem vissa webtjänster från molnet (bla webhotell för testning av utvecklingsprojekt till kunder). Idag har vi ett helt platt nätverk utan segmentering. Dessa webbtjänster är tanken att vi nu ställer i DMZ. Vidare så har vi ett customer network som vi tänker ställa våra databaser i, som kunder får ansluta till endast genom VPN. Samt ett internt-nätverk där vi har i princip ställer backup och AD. (se jpg).

Är detta best-practices för ett bolag på ca 100 anställda? Några tips? vi har inga "special-krav" så tror man kan resonera enligt skolboken
(Vi väljer framförallt Cisco-utrustning då det är den kunskap som finns i huset.)

http://forumbilder.se/show.aspx?iid=c77201245632A92a8

Zone rules

Internet TO DMZ : Allowed
Internet TO Customer Network: Allowed only for Customer with VPN
Internet TO Internal Network: Allowed only for for Co-workersto to a particualar VLAN project group

DMZ TO Internet: Allowed
DMZ TO Customer Network: Not Allowed
DMZ TO Internal Network: Not Allowed

Customer Network TO Internet: Allowed
Customer Network TO DMZ: Allowed
Customer Network TO Intermal Network: Not allowed

Internal network TO VLAN project groups: Not Allowed
Internal Network TO Customer Network: Allowed
Internal Network TO DMZ: Allowed
Internal Network TO Internet: Allowed

Stort tack

Permalänk
Medlem

inga förslag på ideer? Hur brukar ni segmentera mindre företag, mellan webbservrar, kundnät och de anställdas nät?

Permalänk
Medlem

Ser vettigt ut. Största risken jag ser är att sql-zonen också blir nåbar från internet via attack mot dmz-tjänster som nyttjar dom.

Permalänk
Medlem

aaa, smart. Frågan är om det kanske är bäst att replikera databaserna från customer zone till DMZ? På det sättet behövs ingen öppning mellan DMZ -> Customer zone.

Permalänk
Medlem

Nu vet jag inte hur miljön ser ut i stort. Men att dela upp kunderna i egna VLAN kan ju vara nått att fundera på också. Om de inte delar på samma järn dvs.

Visa signatur

AMD Ryzen 7950x3D | Asus ROG Strix B650E-E | 32GB G.Skill DDR5 6000Hz CL30 | ASUS TUF RX 7900 XTX OC | Cooler Master Tempest GP27U, Dell U2515H

Permalänk
Medlem
Skrivet av Kran:

aaa, smart. Frågan är om det kanske är bäst att replikera databaserna från customer zone till DMZ? På det sättet behövs ingen öppning mellan DMZ -> Customer zone.

DMZ skall inte ha öppningar mot andra nät, data skall initieras från andra zoner till DMZ, t.ex genom att hantera en databas på en zon och sedan ha en read only på dmz från webservern.

Permalänk
Medlem
Skrivet av suck:

DMZ skall inte ha öppningar mot andra nät, data skall initieras från andra zoner till DMZ, t.ex genom att hantera en databas på en zon och sedan ha en read only på dmz från webservern.

Jo precis. Men webbservrarna (innehållande utvecklingsprojekt) i DMZ behöver kommunicera med databaserna på något sätt. Ställer jag ut databaserna i DMZ så försvinner halva saken med segmenteringen?

Kanske är lättast att tvinga kunderna använda point-to-point VPN till ett kundnät, innehållande webbserver och databas?

Permalänk
Medlem
Skrivet av Calle:

Nu vet jag inte hur miljön ser ut i stort. Men att dela upp kunderna i egna VLAN kan ju vara nått att fundera på också. Om de inte delar på samma järn dvs.

jo bra idee, några VLAN kan man ha, beroende på vilken databas de behöver accessa. Typ ett för MYsql 2008, ett för 2005, ett för IIS

Permalänk
Medlem
Skrivet av Kran:

Jo precis. Men webbservrarna (innehållande utvecklingsprojekt) i DMZ behöver kommunicera med databaserna på något sätt. Ställer jag ut databaserna i DMZ så försvinner halva saken med segmenteringen?

Kanske är lättast att tvinga kunderna använda point-to-point VPN till ett kundnät, innehållande webbserver och databas?

Dmz webservere ska inte ha kontakt med interna databaser. Ställ kund webservers i kund segmentet med vpn uppkoppling. Enklast.

Externa webservere kan du lägga ut på ett dmz.

Rekommenderar ej SB300 switchar. Om du har tänkt köra dom som access, styr bort, 2960 är tingen, dyrare, men då vet du at det fungerar.

Visa signatur

Bosna u <3

I7-6700K :-: 16gb DDR4 :-: ASUS 1080TI :-: MSI Gaming Carbon :-: NH-U14S :-: FD R5 :-: Seasonic X 760W

Permalänk
Medlem

Hur har du tänkt brandväggslösningen? Ska en brandvägg hantera all trafik fast med olika regler. Det kan finnas en vinst att ha separata brandväggar för varje nät.

Visa signatur

Ne nos sequere nobis secede

Permalänk
Medlem
Skrivet av Wolfclaw:

Hur har du tänkt brandväggslösningen? Ska en brandvägg hantera all trafik fast med olika regler. Det kan finnas en vinst att ha separata brandväggar för varje nät.

I min värld, brandvägg är dyrt. Kommer ned på mängd trafik i grunden.

http://www.dustin.se/cisco-asa-5510-appliance-security-plus/p... är en bra början för en 100stk bolag.

300mbit t-put, plenty av ipsec licenser, 2 p2p vpn tunnlar.

Visa signatur

Bosna u <3

I7-6700K :-: 16gb DDR4 :-: ASUS 1080TI :-: MSI Gaming Carbon :-: NH-U14S :-: FD R5 :-: Seasonic X 760W

Permalänk
Medlem
Skrivet av zeleni:

I min värld, brandvägg är dyrt. Kommer ned på mängd trafik i grunden.

http://www.dustin.se/cisco-asa-5510-appliance-security-plus/p... är en bra början för en 100stk bolag.

300mbit t-put, plenty av ipsec licenser, 2 p2p vpn tunnlar.

Det jag mest tänkte på var övervakningen och att man tänker till på hur man vill ha det. Om jag tolkar TS rätt kommer brandväggen att hantera tre olika zoner med ganska varierande regler. Det kan bli svårt att hitta konstigheter som eventuella intrång om all trafik hanteras av en och samma enhet. Åtminstone borde man ha separata loggar för varje zon som ska skyddas. Det kanske ovan nämda brandvägg kan hantera och då finns det väl egentligen ingen anledning att ha flera.

Visa signatur

Ne nos sequere nobis secede

Permalänk
Medlem

aa, den brandväggen skulle jag mycket gärna vilja köpa in, men vet att min chef skulle få hjärtattack när jag visar prislappen. Har nog cirka 6k för en brandvägg att spendera Något förslag på någon annan cisco brandvägg i dom måtten? Räcker om den klarar av att hålla cirka 10 IPSEC tunnlar samt orka med filtrera internettrafiken för en 10mbit lina.

Skrivet av zeleni:

I min värld, brandvägg är dyrt. Kommer ned på mängd trafik i grunden.

http://www.dustin.se/cisco-asa-5510-appliance-security-plus/p... är en bra början för en 100stk bolag.

300mbit t-put, plenty av ipsec licenser, 2 p2p vpn tunnlar.

Permalänk
Medlem
Skrivet av Wolfclaw:

Hur har du tänkt brandväggslösningen? Ska en brandvägg hantera all trafik fast med olika regler. Det kan finnas en vinst att ha separata brandväggar för varje nät.

Skrivet av Wolfclaw:

Det jag mest tänkte på var övervakningen och att man tänker till på hur man vill ha det. Om jag tolkar TS rätt kommer brandväggen att hantera tre olika zoner med ganska varierande regler. Det kan bli svårt att hitta konstigheter som eventuella intrång om all trafik hanteras av en och samma enhet. Åtminstone borde man ha separata loggar för varje zon som ska skyddas. Det kanske ovan nämda brandvägg kan hantera och då finns det väl egentligen ingen anledning att ha flera.

Skrivet av Wolfclaw:

Hur har du tänkt brandväggslösningen? Ska en brandvägg hantera all trafik fast med olika regler. Det kan finnas en vinst att ha separata brandväggar för varje nät.

Aaa loggar är smart för varje zon. Finns inte ekonomiska möjligheter för att sätta flera applicance brandväggar, då blir det opensource-lösningar på en gammal PC isåfall.

Permalänk
Medlem

Vad har ni för budget när det gäller inköp av brandvägg?

Vilka krav har ni på tillgänglighet? Ex nätdelen dör, hur brådis är det att få fart på det hela igen?
Hur mycket kostar ett stillestånd i timmen?

EDIT: Nu såg jag budgeten Dvs 6k.

Då hade jag övervägt: http://www.dustin.se/juniper-srx-services-gateway-210-2xge-6x...

Visa signatur

AMD Ryzen 7950x3D | Asus ROG Strix B650E-E | 32GB G.Skill DDR5 6000Hz CL30 | ASUS TUF RX 7900 XTX OC | Cooler Master Tempest GP27U, Dell U2515H

Permalänk
Medlem
Skrivet av Kran:

aa, den brandväggen skulle jag mycket gärna vilja köpa in, men vet att min chef skulle få hjärtattack när jag visar prislappen. Har nog cirka 6k för en brandvägg att spendera Något förslag på någon annan cisco brandvägg i dom måtten? Räcker om den klarar av att hålla cirka 10 IPSEC tunnlar samt orka med filtrera internettrafiken för en 10mbit lina.

Du får jo loggar per interface.
http://www.dustin.se/cisco-asa-5505-ul-user-3des-aes-bundle/p... är också bra om ni inte kör mycket trafik.
Ingen gigabit portar, så försök att hålla trafiken inom samma segment så mycket som möjligt.

Det är ganska suboptimalt att bygga nätverk med budget på 15000kr

Visa signatur

Bosna u <3

I7-6700K :-: 16gb DDR4 :-: ASUS 1080TI :-: MSI Gaming Carbon :-: NH-U14S :-: FD R5 :-: Seasonic X 760W

Permalänk
Medlem

Ett tips är att inte köpa från dustin. Kika på beggat/refurbished med garanti, som exempel är en ASA 5520 för 13k är rätt prisvärt.

Visa signatur

CCNP

Permalänk
Medlem
Skrivet av maniak:

Ett tips är att inte köpa från dustin. Kika på beggat/refurbished med garanti, som exempel är en ASA 5520 för 13k är rätt prisvärt.

Det är en bra ide. Cisco burkar är evighetsmaskiner, så länge dom har ström.
Rekommenderar at du kollar med azalea global http://www.azaleaglobal.se/ eller http://www.stril.com/
Jag har handlat ganska mycket refurbished hos dom, bra priser, bra support.

Visa signatur

Bosna u <3

I7-6700K :-: 16gb DDR4 :-: ASUS 1080TI :-: MSI Gaming Carbon :-: NH-U14S :-: FD R5 :-: Seasonic X 760W

Permalänk
Medlem

väldigt irriterande, verkar som man behöver köpa ett servicekontrakt från Cisco om man vill kunna använda de senaste programuppdateringarna? (det är självklart att man måste ha senaste uppdateringarn, absurt att man måste betla extra för det) Någon som har ett riktpris för vad det kostar?

Permalänk
Medlem

eller så frågar du någon som har cisco account

Visa signatur

Bosna u <3

I7-6700K :-: 16gb DDR4 :-: ASUS 1080TI :-: MSI Gaming Carbon :-: NH-U14S :-: FD R5 :-: Seasonic X 760W

Permalänk
Medlem

En routing fråga på brandväggen.
Jag har idag 5 ip nr. Tanken är att DMZ ligger på ett separat interface med en koppling till en switch, så att 3 webbserver ska kunna ha ett eget publikt ip nummer.
Ett av dessa IP nummer ska interfacet til kundnätet ha, och det sista ska interfacet till mitt interna nät ha.

Kommer det verkligen gå att konfigurera så att jag kan ha tre interface med olika IP nummer men alla inom samma nät som jag får av ISPen? Antar att det inte går, hur brukar ni göra?

Permalänk
Medlem
Skrivet av Kran:

En routing fråga på brandväggen.
Jag har idag 5 ip nr. Tanken är att DMZ ligger på ett separat interface med en koppling till en switch, så att 3 webbserver ska kunna ha ett eget publikt ip nummer.
Ett av dessa IP nummer ska interfacet til kundnätet ha, och det sista ska interfacet till mitt interna nät ha.

Kommer det verkligen gå att konfigurera så att jag kan ha tre interface med olika IP nummer men alla inom samma nät som jag får av ISPen? Antar att det inte går, hur brukar ni göra?

Först o främst - det är 5 FASTA IP-addresser du har? Om inte kommer det snabbt att bli tvärstopp.

Om vi antar att det är det är det så är det vanligaste med så få addresser att alla ligger i ett subnät på brandväggens WAN-interface o att man sedan bygger NAT/PAT-regler för hur trafiken skall översättas. Har man fler addr kan man lägga dem "äkta" på DMZ's etc.

Permalänk
Medlem

Jag tror du tänker lite snurrigt. Om du vill publicera DMZ servrar med "externa" adresser så sätter du interna adresser på dessa och skapar statiska 1:1 NAT entrys för det tänkta externa IP:t mot det interna IP:t. Då kommer din fw även svara på denna externa adress.

Gällande designen i övrigt så beror det lite på budget. Jag skulle övervägt att köpa in 2 ISR routrar av mindre modell och nyttja dessa både som brandväggar och L3 punkter i nätet. Med din design har du alldeles för många single point of failures.

Skrivet av Kran:

En routing fråga på brandväggen.
Jag har idag 5 ip nr. Tanken är att DMZ ligger på ett separat interface med en koppling till en switch, så att 3 webbserver ska kunna ha ett eget publikt ip nummer.
Ett av dessa IP nummer ska interfacet til kundnätet ha, och det sista ska interfacet till mitt interna nät ha.

Kommer det verkligen gå att konfigurera så att jag kan ha tre interface med olika IP nummer men alla inom samma nät som jag får av ISPen? Antar att det inte går, hur brukar ni göra?

Visa signatur

Networking geek, #28735

Permalänk
Medlem
Skrivet av Kran:

En routing fråga på brandväggen.
Jag har idag 5 ip nr. Tanken är att DMZ ligger på ett separat interface med en koppling till en switch, så att 3 webbserver ska kunna ha ett eget publikt ip nummer.
Ett av dessa IP nummer ska interfacet til kundnätet ha, och det sista ska interfacet till mitt interna nät ha.

Kommer det verkligen gå att konfigurera så att jag kan ha tre interface med olika IP nummer men alla inom samma nät som jag får av ISPen? Antar att det inte går, hur brukar ni göra?

Du får sätta interna adresser på burkarna i dmz och 1:1 nata de externa till dem.

Visa signatur

CCNP