Ahoj,
hledam reseni, ktere by vyresilo nasledujici problem. Pouzivame ASA (verze 9.x) jako edge firewall a mimojine jsou tam nastaveny restrikce pomoci FQDN ACL. Dokud jsme nezacali propojovat serverove projekty s externimi sluzbami, ktere pro load-balancing pouzivaji velmi rychlou rotaci v DNS (<60s ttl), fungovalo to dobre. Nanestesti ASA pri prekladani FQDN na IP adresu pouziva metodu, ze k TTL pripocitava defaultne +1min, ktera se vice snizit neda. To zpusobuje problem s navazovanim spojeni smerem k tem externim sluzbam - casto se stava, ze si projekt vyzada pres DNS IP adresu, aby mohl navazat spojeni, ale toto spojeni je obcas navazano az pote, co dojde k rotaci dane IP u externi sluzby. Nasledkem toho ASA pri tom navazovani spojeni zjisti, ze pozadovane spojeni na IP != aktualni FQDN IP a spojeni tedy zamitne.
Jake jsou realne moznosti tohoto reseni? Zatim jsem se dobral k temto moznostem:
1] povoleni http(s) spojeni do internetu bez omezeni - to neni moc dobre z hlediska zabezpeceni serverovych sluzeb, zvlaste kdyz se pres to da tunelovat ledacos - takze to je spis nerealna moznost
2] nasmerovat provoz na externi sluzby na proxy/WAF - zatim to vypada na tuto moznost, tak zda je tu nejaka dalsi rozumna moznost krome squid? Nejsem si jist, zda treba takove pfsense jiz neni kanon na vrabce
3] bod 2] jako HW reseni - neorientuji se v tom, tak nevim ktera reseni jsou vhodna + jejich cenova politika
Prozatimni pozadavky jsou jasne - filtrace na zaklade url. Ale hodne by se mi hodilo neco, co by dokazalo fungovat s vice uzivateli (nejlepe podpora AD/LDAP), aby mohli treba vyvojari upravovat pravidla podle potreby a zaroven nemeli plny pristup ke vsem pravidlum, takze i webgui by bylo hodne vhodne.
Diky, MP
4 Odpovědí
1984 Zhlédnutí