web-dev-qa-db-ja.com

PCI準拠オフィス向けのCiscoASA Config

中小企業のオフィスがありますが、PCI準拠のため、これを2つのインターネットネットワークに分割する必要があります(1つは「準拠」、もう1つは他のデバイスが使用するため)。

現在、ファイアウォールも備えたDraytekモデム/ WANロードバランサーがありますが、これは非常に基本的であり、各VLANで個別のセキュリティポリシーをサポートしていません。

そのため、ASA 5505を購入したばかりで、設定のヒントが必要です。

VLAN:

  1. 外(draytek)
  2. InsidePci(私たちのセキュアゾーン、Windowsドメインコントローラー/ DHCPなどが含まれています)
  3. 内部(インターネットにアクセスでき、VLANに接続されていない通常のネットワークのみ)

私の質問:

  1. 現時点では、すべてが1つのサブネット192.168.2.x上にあります。 draytekには静的IPがあり、他のすべてにはWindowsDHCPサーバーからIPが割り当てられます。このWindowsサーバーは「insidepci」ネットワーク内にあるため、このVLANで引き続きそれを使用し、通常の「inside」ネットワークでASAからのDHCPを使用することを計画していました。それは可能ですか?

  2. 同じ範囲のIPを2つの異なるVLANに割り当てることができないように見えるので、draytekを独自のサブネットに配置する必要がありますか(したがって、draytekだけが192.168.3.xにあります)。

  3. オンラインガイドの1つを見ると、内部ルーターが必要なようです。私はこれに気づいていませんでした。1つのスイッチを「inside」VLAN」に割り当て、別のスイッチを「insidepci」VLANに割り当てることができると期待していました。必要はありません。これらのVLAN間で通信しますが、両方が「外部」にアクセスできる必要があります(draytekゲートウェイ)

networkingsecurityfirewallciscocisco-asa
6
Ben

PCIコンプライアンスに関して、あなたがしたい一番のことは、範囲を制限するためにできるあらゆる方法を見つけることです。どのシステムが関与していないかを実際に考え、それらを別の場所に移動することで、ネットワークセグメンテーションをすでに順調に進めています。完璧な世界では、PCI環境は物理的に分離されたネットワークに収容されますが、それは必須ではありません。セグメンテーションを概念化する最良の方法は、ブロードキャストドメインのアイデアに関するものです。実際には、必要なレベルのセグメンテーションを適切に取得するためのさまざまな方法があります。

  • スコープ内の機器を別のサブネットに配置する
  • スコープ内の機器をスコープ外と同じアドレス空間のプライベートVLANに配置する
  • スコープ内とスコープ外の間に透過ファイアウォールをインストールする

そうは言っても、5505をプライマリ分離デバイ​​スとして使用し、追加のポートが必要な場合は他のスイッチをオフにすることで、問題を回避できるはずです。 inside VLAN)からのトラフィックが、insidepci VLANに入る前に、ファイアウォールモジュールを通過することを確認するだけです。

PCIセキュリティ基準評議会には PCIのナビゲートDSS v2. )というドキュメントがあります。要件の意図。これは、コンプライアンスのために要件を適切に組み立てるのに役立ちます。

免責事項:私はQSA、ASV、またはISAではありません。私が提供するアドバイスは友好的であり、それに従うことは決してコンプライアンスを意味するものではありません。

2
Scott Pack