configuração de Cisco ASA para o escritório complacente PCI

Navegue suas respostas
6

Temos um escritório para pequenas empresas, mas devido à conformidade com PCI, precisamos segmentá-lo em duas redes de internet (uma 'compatível' e outra para qualquer outro dispositivo a ser usado).

Atualmente, temos um balanceador de carga / modem Wraytek da Draytek que também tem firewall, mas isso é muito básico e não suporta políticas de segurança separadas em cada vlan.

Como tal, acabei de comprar um ASA 5505 e gostaria de alguns apontamentos para configurar:

VLANS:

  1. Fora (draytek)
  2. InsidePci (nossa zona segura, contém um controlador de domínio do Windows / dhcp / etc)
  3. Inside (apenas uma rede normal que apenas tem acesso à Internet e sem conexão com vlan

Minhas perguntas:

  1. No momento, tudo está em uma sub-rede 192.168.2.x. O draytek tem um IP estático e todo o resto é alocado de um IP do nosso servidor DHCP do Windows. Como este servidor Windows estará dentro da rede 'insidepci' eu estava planejando ter este vlan continuar a usar isso, ea rede 'interna' regular usando DHCP do ASA. Isso é possível?

  2. Eu preciso colocar o draytek em sua própria sub-rede (então, basta dizer que o draytek está em 192.168.3.x), parece que eu não posso alocar um IP no mesmo intervalo para duas VLANs diferentes.

  3. Olhando para um dos guias on-line, parece que eu precisaria de um roteador interno? Eu não estava ciente disso, eu estava esperando que eu pudesse apenas atribuir um switch para a VLAN 'interna' e uma opção separada para a vlan 'insidepci'? Não há necessidade de se comunicar entre essas VLANs, mas ambas precisam poder acessar 'outside' (gateway draytek)

por Ben 29.02.2012 / 22:36

1 resposta

2

Quando se trata de conformidade com o PCI, a primeira coisa que você quer fazer é encontrar todas as maneiras possíveis para limitar seu escopo. Você já está fazendo um bom progresso com sua segmentação de rede pensando de fato em quais sistemas não estão envolvidos e movendo-os para outro lugar. Em um mundo perfeito, seu ambiente PCI seria hospedado em uma rede fisicamente separada, mas isso não é um requisito. A melhor maneira de conceituar sua segmentação é em torno da ideia de um domínio de broadcast. Na verdade, existem várias maneiras diferentes de obter o nível necessário de segmentação,

  • Colocando seu equipamento dentro do escopo em uma sub-rede separada
  • Colocando seu equipamento em escopo em uma VLAN privada no mesmo espaço de endereço que está fora do escopo
  • Instalando um firewall transparente entre os escopos e fora do escopo
  • etc
Tudo o que foi dito, você deve ser capaz de usar o 5505 como seu dispositivo de isolamento primário, e desligar outros switches se precisar de portas adicionais. Você só quer ter certeza de que qualquer tráfego da inside VLAN passe pelo módulo de firewall antes de inserir a insidepci VLAN.

O PCI Security Standards Council possui um documento chamado Navegando no PCI DSS v2.0 . Eu recomendo a leitura através dele para que você possa entender melhor a intenção dos requisitos. Isso deve ajudá-lo a enquadrar os requisitos adequadamente para conformidade.

Isenção de responsabilidade: não sou um QSA, ASV ou ISA. Qualquer conselho que eu dê é amigável e segui-lo de forma alguma implica em conformidade.

    
por 26.04.2012 / 20:59

Tags

GPO para desativar o protetor de tela somente quando conectado via RDP Como definir o endereço IP da origem padrão (src) quando você tiver múltiplos IP's em uma interface virtual