Moduł SFR jako analizator ruchu SPAN

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4931
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

Moduł SFR jako analizator ruchu SPAN

#1

#1 Post autor: peper »

Hej,

Czy ktoś wdrażał już coś takiego albo widzi jakieś przeszkody by takie rozwiązanie nie zadziałało? Przyjmijmy taką topologię

Kod: Zaznacz cały

              Load balancers
                       |
                       |
 Outside-----FW1------SW1------FW2------Inside
                       |
                       |
                   Servers

Ruch z outside wpada na FW1 którym jest muticontext ASA z modułem SFR. Dalej jest kierowany do load balancera i wpada na serwery, które dalej wysyłają jakiś ruch do FW2, którym już nie jest ASA. SW1 to Juniper EX3300.

I teraz ponieważ chciałbym monitorować ruch który serwer wysyła, badz szerzej generalnie trafia do FW2 to na SW1 chce zrobić Port Mirroring by kopia ruchu kierowanego do FW2 była także wysyłana do nowego kontekstu na FW1 a poprzez niego do modułu SFR. Pomijam tu kwestie potencjalnego przeciążenia firewalla czy modułu SFR oczywiście, kwestie routingu załatwi się wpisem do Null0.

Ktoś coś takiego może próbował kombinować?

Pozdrawiam,
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

doxer
member
member
Posty: 31
Rejestracja: 25 lut 2009, 07:09

#2

#2 Post autor: doxer »

Spróbowałbym context w transparent oraz następnie na interfejsie w kierunku span „traffic-forward sfr monitor-only” – zobacz link

lukaszbw
CCIE
CCIE
Posty: 505
Rejestracja: 23 mar 2008, 11:41

#3

#3 Post autor: lukaszbw »

Traffic-forwarding interface configuration has these restrictions:

* You cannot configure both monitor-only mode and normal inline mode at the same time on the ASA. Only one type of security policy is allowed.
* The ASA must be in single context transparent mode.
* Traffic-forwarding interfaces must be physical interfaces, not VLANs or BVIs. The physical interface also cannot have any VLANs associated with it.
* Traffic-forwarding interfaces cannot be used for ASA traffic; you cannot name them or configure them for ASA features, including failover or management-only.
Są ograniczenia przy traffic-forwarding.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825

http://allegro.pl/sklep/180817_tandem-networks

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4931
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

#4

#4 Post autor: peper »

@doxer - opcja monitor-only nie ma większego znaczenia bo równie dobrze polityki wewnątrz SFR mogą być ustawione tak by nie blokować, tu mi bardziej o design chodziło

@lukaszbw - założenie mam raczej takie, że kontekst, który ma analizować ten ruch miałby politykę permit any any, route do Null0 i service-policy do SFR. Nie zakładałem użycia traffic-forwarding choćby dlatego że to multicontext. Tak na prawdę miałby to być inline realizowany na kopii ruchu otrzymanej ze switcha.
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

lukaszbw
CCIE
CCIE
Posty: 505
Rejestracja: 23 mar 2008, 11:41

#5

#5 Post autor: lukaszbw »

A jakby route do Null0 miał to rozwiązać? Interface musiałby być w trybie promiscuous żeby zaakceptować wszystkie pakiety.

Jest tryb transparent tylko jest ale - problem ze stateful inspection. Jak wyłączysz go to pewnie moduł przestanie działać w ASA, ja tak miałem z IPS. Z włączonym, firewall będzie dropował pakiety, permit any any nic nie da.

Ponieważ IPS nie wspiera traffic-forwarding (wtedy moduł firewall wogóle go nie analizuje) ja musiałem dać ASA w transparent i przerzucać przez nią ruch z redundancją w oparciu o STP.

Co więcej, aby przenieść wiele vlanów, musiałem zastosować translacje vlanów (ASA nie obsługuje tego samego numeru vlanu na 2 interface w trybie transparent). U mnie działa tak od 2 lat ale traffic-forwarding byłby bardzo pomocny chociaż wtedy to bym miał IDS a nie IPS.

W moim przypadku chodziło o oszczędność, wyszło sporo taniej jedna ASA z IPS niż wiele licencji na IPS na wewnętrznych firewallach - IPS tylko potrzebuje do ruchu na zewnątrz.


Pozdr.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825

http://allegro.pl/sklep/180817_tandem-networks

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4931
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

#6

#6 Post autor: peper »

Hej,

To kombinowanie jest tylko do małego PoC-a, którego chce zrobić a nie mam zewnętrznych sensorów. Więc pomysł by spróbować wykorzystać do tego działające sensory w ASA.

W chwili obecnej dla działających kontekstów jest class-map z match any i policy-map dla tej klasy wysyłający ruch jako sfr fail-open. Routing do Null0 ma zapewnić, że ruch nie zostanie ubity z powodu braku routingu a ACL-ka z permit any any ma załatwić by ruch nie został odrzucony na poziomie firewalla, gdyż routing i ACL-ka są sprawdzane wcześniej nim ruch zostanie wysłany do SFR.

Ponieważ tryb inline jest wdrożony na pozostałych kontekstach to i tutaj nie da rady trybu passive monitor-only. Użycia kontekstu w trybie transparent prawde powiedziawszy nie rozważałem, ale jak sam piszesz to dodatkowe trudności nastręcza.
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

lukaszbw
CCIE
CCIE
Posty: 505
Rejestracja: 23 mar 2008, 11:41

#7

#7 Post autor: lukaszbw »

No tak ale piszesz o port mirroring. Przy nim mac adres docelowy ruchu nie jest zmieniany. Firewall musiałby zaakceptować ruch idący do innego MACa i innej adresacji.

Poza tym masz stateful inspection, zachowany musi być pełen tcp handshake bo w innym wypadku firewall będzie dropował i tutaj permit any any nic nie daje.

Dedykowanym mechanizmem wysyłania ruchu SPAN do SFR jest traffic-forward, który wyłącza wogóle analizowanie ruchu przez moduł firewall na danym interface. Ma on swoje ograniczenia.

W moim przypadku wysyłałem do IPS i tryb inline tutaj był preferowanym więc traffic-forward nawet gdyby był to by nie rozwiązał problemu.

Pozdr.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825

http://allegro.pl/sklep/180817_tandem-networks

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4931
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

#8

#8 Post autor: peper »

Racja :/
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

hubertzw
wannabe
wannabe
Posty: 106
Rejestracja: 18 lis 2009, 07:37
Lokalizacja: Warsaw/Bratislava

#9

#9 Post autor: hubertzw »

moze cos przeoczylem ale dlaczego nie mozesz wyslac calego ruchu do FW1/nowy-context zamiast robic port mirroringu na SW1?

outside->FW1/context1->SW1->LB->Serwery->FW1/nowy-context->FW2->inside

nie wiem tez o jakim ruchu tutaj mowimy i jak z wydajnoscia

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4931
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

#10

#10 Post autor: peper »

Bo dla serwerów default gateway jest load balancer w moim przypadku
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

ODPOWIEDZ