Cisco ASA v.s. pfSense - Como a inspeção de pacotes funciona com VPNs

2

Temos um pequeno escritório, cerca de 75% de nossa infraestrutura é baseada em nuvem, incluindo uma implantação de pfSense que usamos para acesso remoto e conexões de site a site, que atualmente está voltada para o público. Decidimos implantar um Cisco ASA com suporte a Firepower como nosso firewall de perímetro no local.

Alguém tem experiência com o uso de recursos IPS incluídos no licenciamento de Firepower e / ou pfSense com o pacote Suricata instalado em execução no modo in-line e como o tráfego de VPN é tratado? Como estamos nos conectando a um servidor VPN gerenciado pelo pfSense, para atender às necessidades de conformidade, precisamos descobrir exatamente onde ocorre a inspeção de pacotes.

Com um cliente IPsec VPN conectando-se do ASA local ao pfSense, a ASA descriptografaria os pacotes e os encaminharia para o módulo da Firepower para inspeção antes de ser roteado, ou seria tratado na extremidade do pfSense / Suricata antes ou depois pacotes são enviados do servidor VPN para o ASA?

    
por dcd018 31.08.2017 / 02:19

1 resposta

1

Não estou 100% claro sobre quais são seus objetivos de design, mas acho que posso ajudá-lo a responder sua pergunta.

O tráfego da VPN será criptografado / decriptografado em qualquer ponto final do seu ponto. Se você tiver tráfego de VPN passando pelo ASA para o pfSense, o FirePower não poderá inspecionar esse tráfego.

Se você encerrar a VPN no ASA, então eu acho que este link irá ajudá-lo a ver onde o módulo da Firepower é usado pouco antes do ASA enviar o tráfego para fora da interface de saída.

Veja a figura 2-15 link

    
por 01.09.2017 / 03:42