Cisco ASA v.s. pfSense - Como a inspeção de pacotes funciona com VPNs

Question

Cisco ASA v.s. pfSense - Como a inspeção de pacotes funciona com VPNs

#1 resposta do (1 votos)

2

Temos um pequeno escritório, cerca de 75% de nossa infraestrutura é baseada em nuvem, incluindo uma implantação de pfSense que usamos para acesso remoto e conexões de site a site, que atualmente está voltada para o público. Decidimos implantar um Cisco ASA com suporte a Firepower como nosso firewall de perímetro no local.

Alguém tem experiência com o uso de recursos IPS incluídos no licenciamento de Firepower e / ou pfSense com o pacote Suricata instalado em execução no modo in-line e como o tráfego de VPN é tratado? Como estamos nos conectando a um servidor VPN gerenciado pelo pfSense, para atender às necessidades de conformidade, precisamos descobrir exatamente onde ocorre a inspeção de pacotes.

Com um cliente IPsec VPN conectando-se do ASA local ao pfSense, a ASA descriptografaria os pacotes e os encaminharia para o módulo da Firepower para inspeção antes de ser roteado, ou seria tratado na extremidade do pfSense / Suricata antes ou depois pacotes são enviados do servidor VPN para o ASA?

vpn cisco pfsense cisco-asa ips

por dcd018 31.08.2017 / 02:19

1 resposta

Tags vpn cisco pfsense cisco-asa ips

Jsch Exceção: Auth Fail com chave privada Reutilizar o volume do EBS com o escalonamento automático da AWS

score 1 · Accepted Answer

Não estou 100% claro sobre quais são seus objetivos de design, mas acho que posso ajudá-lo a responder sua pergunta.

O tráfego da VPN será criptografado / decriptografado em qualquer ponto final do seu ponto. Se você tiver tráfego de VPN passando pelo ASA para o pfSense, o FirePower não poderá inspecionar esse tráfego.

Se você encerrar a VPN no ASA, então eu acho que este link irá ajudá-lo a ver onde o módulo da Firepower é usado pouco antes do ASA enviar o tráfego para fora da interface de saída.

Veja a figura 2-15 link