Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: MP 01. 06. 2017, 16:30:57

Název: Restrikce přístupu přes FQDN ACL na ASA a rotace IP (FB, Payu atd.)
Přispěvatel: MP 01. 06. 2017, 16:30:57

Ahoj,

hledam reseni, ktere by vyresilo nasledujici problem. Pouzivame ASA (verze 9.x) jako edge firewall a mimojine jsou tam nastaveny restrikce pomoci FQDN ACL. Dokud jsme nezacali propojovat serverove projekty s externimi sluzbami, ktere pro load-balancing pouzivaji velmi rychlou rotaci v DNS (<60s ttl), fungovalo to dobre. Nanestesti ASA pri prekladani FQDN na IP adresu pouziva metodu, ze k TTL pripocitava defaultne +1min, ktera se vice snizit neda. To zpusobuje problem s navazovanim spojeni smerem k tem externim sluzbam - casto se stava, ze si projekt vyzada pres DNS IP adresu, aby mohl navazat spojeni, ale toto spojeni je obcas navazano az pote, co dojde k rotaci dane IP u externi sluzby. Nasledkem toho ASA pri tom navazovani spojeni zjisti, ze pozadovane spojeni na IP != aktualni FQDN IP a spojeni tedy zamitne.

Jake jsou realne moznosti tohoto reseni? Zatim jsem se dobral k temto moznostem:
1] povoleni http(s) spojeni do internetu bez omezeni - to neni moc dobre z hlediska zabezpeceni serverovych sluzeb, zvlaste kdyz se pres to da tunelovat ledacos - takze to je spis nerealna moznost
2] nasmerovat provoz na externi sluzby na proxy/WAF - zatim to vypada na tuto moznost, tak zda je tu nejaka dalsi rozumna moznost krome squid? Nejsem si jist, zda treba takove pfsense jiz neni kanon na vrabce
3] bod 2] jako HW reseni - neorientuji se v tom, tak nevim ktera reseni jsou vhodna + jejich cenova politika

Prozatimni pozadavky jsou jasne - filtrace na zaklade url. Ale hodne by se mi hodilo neco, co by dokazalo fungovat s vice uzivateli (nejlepe podpora AD/LDAP), aby mohli treba vyvojari upravovat pravidla podle potreby a zaroven nemeli plny pristup ke vsem pravidlum, takze i webgui by bylo hodne vhodne.

Diky, MP

Název: Re:Restrikce přístupu přes FQDN ACL na ASA a rotace IP (FB, Payu atd.)
Přispěvatel: Cek 02. 06. 2017, 10:43:25

Nepouzivat FQDN a povolit misto toho HTTPS pristup pro cely pouzivany blok adres u externi sluzby?

Název: Re:Restrikce přístupu přes FQDN ACL na ASA a rotace IP (FB, Payu atd.)
Přispěvatel: drunkez 02. 06. 2017, 11:03:23

mame to spravene tak, podla AD grupy su ludia v roznych sietach (developer nie je v tej istej DHCP enabled sieti ako sysadmin aj ked obaja su v office security grupe) tym je osetreny source a imo je tiez lepsie neriesit fqdn acl ale pekne na nizsej vrstve .
D>

Název: Re:Restrikce přístupu přes FQDN ACL na ASA a rotace IP (FB, Payu atd.)
Přispěvatel: MP 02. 06. 2017, 18:03:12

Problem nizsi vrstvy je ten, znate nekdo skutecne vsechny IP rozsahy CDN? Jen takovy FB ma cca 90 IPv4 subnetu. Kolik jich ma Akamai? Google ted kupoval 1M adres. Navic, na konkretnim rozsahu IP muze byt cokoli (u CDN).

Název: Re:Restrikce přístupu přes FQDN ACL na ASA a rotace IP (FB, Payu atd.)
Přispěvatel: Dzavy 03. 06. 2017, 00:53:48

squid je na tohle idealni, taky ho pouzivame a neni s tim zadnej problem.

Dalsi moznost je loadbalancer - napr. haproxy, v podstate pro kazdou cilovou adresu jeden frontend a za nim backend s FQDN - to Ti navic da i moznost delat checky a je to takovy hodne univerzalni reseni, akorat to muze byt trochu narocnejsi co se tyce HTTPS, cookies, redirectu, aj. Maj i nejaky placeny edice (Aloha) s GUI atd., pripadne pak F5 LTM, ale to uz je cenove uplne jinde.