Beschreibung: Das folgende Dokument beschreibt, wie Sie mit Hilfe von breitgestellten Skripten die Firewall Ihres Routers einrichten können. Voraussetzungen: Strategien für die Einstellung der Firewall:Firewalls bilden die Schnittstelle zwischen Netzwerken und schränken dort den ungehinderten Datenaustausch mehr oder weniger deutlich ein. Damit stehen die Firewalls den Zielsetzungen der Netzwerke, zu denen sie selbst gehören, entschieden entgegen: Netzwerke sollen Rechner verbinden, Firewalls sollen die Verbindung verhindern. Aus diesem Widerspruch lässt sich das Dilemma der verantwortlichen Administratoren erkennen, die in der Folge verschiedene Strategien zur Lösung entwickelt haben.
Allow-All
Die Allow-All-Strategie stellt die ungehinderte Kommunikation der Mitarbeiter in den Netzwerken über die Sicherheit. Dabei wird zunächst jede Kommunikation erlaubt, das LAN steht für Angreifer weiter offen. Erst durch die Konfiguration des Admins wird das LAN sukzessive sicherer, in dem nach und nach neue Regeln aufgebaut werden, die Teile der Kommunikation einschränken oder verhindern.
Deny-All
Bei der Deny-All-Strategie wird zunächst nach der Methode “Alles sperren!” verfahren, die Firewall blockt die Kommunikation zwischen dem zu schützenden Netzwerk und dem Rest der Welt vollständig ab. Im zweiten Schritt öffnet der Administrator dann die Adressbereiche oder Ports, die für die tägliche Kommunikation mit dem Internet etc. erforderlich sind. Dieser Ansatz ist für die Sicherheit des LANs besser als die Allow-All-Strategie, führt aber in der Anfangsphase oft zu Schwierigkeiten mit den Benutzern. Einige Dinge laufen eben nach Einschalten der Deny-All-Firewall vielleicht nicht mehr so wie vorher, bestimmte Rechner können ggf. nicht mehr erreicht werden etc.
Aufbau einer expliziten ”Deny-All”-Strategie Für einen maximalen Schutz und bestmögliche Kontrolle über den Datenverkehr wird empfohlen, zunächst einmal jeglichen Datentransfer durch die Firewall zu unterbinden. Danach werden dann selektiv nur genau die benötigten Funktionen und Kommunikationspfade freigeschaltet. Dies bietet z.B. Schutz vor sog. ’Trojanern’ bzw. E-Mail-Viren, die aktiv eine abgehende Verbindung auf bestimmten Ports aufbauen. Einige typische Anwendungsfälle sind im Folgenden als Firewall-Regeln aufgezeigt und können einfach und komfortabel mittels Skripten über Gerätetypen und Softwareversionen hinweg
übertragen werden.
Deny-All: Die wichtigste Regel der Firewall! Die Deny-All-Regel ist mit Abstand die wichtigste Regel zum Schutz des lokalen Netzwerks. Mit dieser Regel verfährt die Firewall nach dem Prinzip: “Alles, was nicht ausdrücklich erlaubt ist, bleibt verboten!” Nur mit dieser Strategie kann der Administrator sicher sein, dass er nicht irgendwo eine Zugangsmöglichkeit “vergessen” hat, denn es gibt nur die Zugänge, die er selbst geöffnet hat. | Name | Beschreibung | Skript-Datei |
Deny-ALL | Diese Regel unterbindet jegliche Kommunikation über den IP-Router bzw. Firewall. | |
Allow-HTTP/S | Diese Regel erlaubt vom lokalen Netz die Protokoll HTTP und HTTPS (Hypertext Transfer Protocol). Diese Protokolle werden für den Web-Seiten-Aufruf verwendet. (Wichtiger Hinweis: Zu dieser Regel wird zusätzlich die Regel "Allow-DNS" benötigt.) | |
Allow-FTP | Diese Regel erlaubt vom lokalen Netz das Protokoll FTP (File Transfer Protocol). Dieses Protokoll wird für Datei-Downloads verwendet. (Wichtiger Hinweis: Zu dieser Regel wird zusätzlich die Regel "Allow-DNS" benötigt.) | |
Allow-DNS | Diese Regel erlaubt vom lokalen Netz das Protokoll DNS (Domain Name System). Dieses Protokoll wird für die Namensauflösung verwendet. Seine Hauptaufgabe ist die Umsetzung von "Internetadressen" in die zugehörige IP-Adresse. | |
Allow-SMTP | Diese Regel erlaubt vom lokalen Netz das Protokoll SMTP (Simple Mail Transfer Protocol). Über dieses Protokoll werden Mails versendet. (Wichtiger Hinweis: Zu dieser Regel wird zusätzlich die Regel "Allow-DNS" benötigt.) | |
Allow-Secure-Mail | Diese Regel erlaubt vom lokalen Netz das Protokoll SMTP (Simple Mail Transfer Protocol). Über dieses Protokoll werden Mails versendet. (Wichtiger Hinweis: Zu dieser Regel wird zusätzlich die Regel "Allow-DNS" benötigt.) | |
Allow-MAILING | Diese Regel erlaubt vom lokalen Netz die Protokolle POP3 (Post Office Protocol Version 3) und IMAP (Internet Message Access Protocol). Über dieses Protokoll holen Mail-Clients Mails vom Server ab. (Wichtiger Hinweis: Zu dieser Regel wird zusätzlich die Regel "Allow-DNS" benötigt.) | |
Allow-RDP | Diese Regel erlaubt vom lokalen Netz das Protokolle RDP (Remote Desktop Protocol). Das Remote Desktop Protocol (RDP) ist ein Protokoll von Microsoft. Es stellt die technische Basis für die Implementation von Terminaldiensten zwischen zwei Computersystemen bereit. | |
Allow-IPSEC | Diese Regel erlaubt vom lokalen Netz die für IPSec-Verbindungen (Internet Protocol Security) benötigte IP-Protokolle 50 (ESP), 51 (AH) und 108 (IPCOMP), sowie das Protokoll IKE (Internet Key Exchange). Damit ist es möglich von einem lokalen Client eine IPSec-Verbindung zu einem im Internet verfügbaren VPN-Gateway aufzubauen. (Hinweis: Diese Regel wird nicht benötigt, wenn der LANCOM Router die IPSec-Verbindungen terminiert.) | |
Allow-VPN-ROUTING | Diese Regel erlaubt jegliche Kommunikation zu Ziel-Netzen, die in der IP-Routing-Tabelle des LANCOM Routers auf eine VPN-Gegenstelle verweisen. | |
Allow-ELSTER | Diese Regel erlaubt vom lokalen Netz das Nutzen der Applikation ELSTER (elektronische Steuererklärung). (Wichtiger Hinweis: Zu dieser Regel wird zusätzlich die Regel "Allow-DNS" benötigt.) | |
Allow-NTP | Diese Regel erlaubt vom lokalen Netz das Protokoll NTP (Netwok Time Protocol). Über dieses Protokoll können Anwendungen von einem Zeitserver die aktuelle Echtzeit abholen. (Wichtiger Hinweis: Zu dieser Regel wird zusätzlich die Regel "Allow-DNS" benötigt.) (Hinweis: Ist der LANCOM Router als Zeitserver konfiguriert, wird diese Regel nicht benötigt) | |
Allow-SNMP | Diese Regel erlaubt vom lokalen Netz das Protokoll SNMP (Simple Network Management Protocol). Das Protokoll wird verwednet, um Netzwerkelemente (z. B. Router, Server, Switches, Drucker, Computer usw.) von einer zentralen Station aus zu überwachen und zu steuern. | |
Allow-TELNET/SSH | Diese Regel erlaubt vom lokalen Netz die Protokolle TELNET (Telecommunication Network) und SSH (Secure Shell). TELNET wird dazu verwendet, Benutzern den Zugang zu Internetrechnern über die Kommandozeile (CLI) zu bieten. SSH ist sowohl ein Programm als auch ein Netzwerkprotokoll, mit dessen Hilfe man sich über eine verschlüsselte Netzwerkverbindung auf einem entfernten Computer einloggen und dort Programme ausführen kann. | |
Allow-TFTP | Diese Regel erlaubt vom lokalen Netz das Protokoll TFTP (Trivial File Transfer Protocol). Das Protokoll ist ein sehr einfaches Dateiübertragungsprotokoll und wird z.B. für das Laden von Betriebssystemen oder Konfigurationen über das Netzwerk genutzt. | |
Allow-ICMP | Diese Regel erlaubt vom lokalen Netz das IP-Protokoll ICMP (Internet Control Message Protocol). Es dient in Netzwerken zum Austausch von Fehler- und Informationsmeldungen. | | | Deny-ALL (Package) | Diese Regel fasst alle in dieser Tabelle aufgeführten Regeln in ein Gesamt-Script zusammen.
Diese Regel unterbindet jegliche Kommunikation über den IP-Router bzw. Firewall.
+
Diese Regel erlaubt die Protokolle : HTTP/S, FTP, DNS, SMTP, MAILING, RDP, IPSEC, VPN-Routing, ELSTER, NTP, SNMP, TELNET/SSH, TFTP und ICMP | |
Wir empfehlen die Einrichtung der Deny-All-Regel, bevor das LAN über einen LANCOM Router mit dem Internet verbunden wird. Anschließend kann man in der Logging-Tabelle (z.B. über LANmonitor zu starten) sehr komfortabel nachvollziehen, welche Verbindungsaufbauten von der Firewall verhindert werden. Mit diesen Informationen wird dann sukzessive die Firewall und “Allow-Regeln” erweitert. Aufbau einer expliziten ”Allow-All”-Strategie:In der Default-Einstellung verfährt die LANCOM Firewall nach einer ”Allow-All”-Strategie, jegliche Kommunikation ist freigeschaltet. Danach sollten selektiv unerwünschte Funktionen und Kommunikationspfade durch die Firewall unterbunden werden. Einige typische Anwendungsfälle sind im Folgenden als Firewall-Regeln aufgezeigt und können einfach und komfortabel mittels Skripten über Gerätetypen und Softwareversionen hinweg übertragen werden. | Name | Beschreibung | Skript-Datei |
Deny-SMTP | Diese Regel unterbindet vom lokalen Netz das Protokoll SMTP (Simple Mail Transfer Protocol). Über dieses Protokoll werden Mails versendet. | |
Deny-MAILING | Diese Regel unterbindet vom lokalen Netz die Protokolle POP3 (Post Office Protocol Version 3) und IMAP (Internet Message Access Protocol). Über dieses Protokoll holen Mail-Clients Mails vom Server ab. | |
Deny-HTTP/S | Diese Regel unterbindet vom lokalen Netz die Protokoll HTTP und HTTPS (Hypertext Transfer Protocol). Diese Protokolle werden für den Web-Seiten-Aufruf verwendet. | |
Deny-FTP | Diese Regel unterbindet vom lokalen Netz das Protokoll FTP (File Transfer Protocol). Dieses Protokoll wird für Datei-Downloads verwendet. | |
Deny-RDP | Diese Regel unterbindet vom lokalen Netz das Protokolle RDP (Remote Desktop Protocol). Das Remote Desktop Protocol (RDP) ist ein Protokoll von Microsoft. Es stellt die technische Basis für die Implementation von Terminaldiensten zwischen zwei Computersystemen bereit. | |
Deny-FILESHARING | Diese Regel unterbindet vom lokalen Netz die Kommunikation über die gebräuchlichsten File-Sharing Applikationen. (Wichtiger Hinweis: Für die Vollständigkeit der Portangabe in der Regel übernehmen wir keine Gewähr.) | |
Deny-INST-MESSAGING | Diese Regel unterbindet vom lokalen Netz die Kommunikation über die gebräuchlichsten Instant Messenger Applikationen. (Wichtiger Hinweis: Für die Vollständigkeit der Portangabe in der Regel übernehmen wir keine Gewähr.) | |
Deny-ICMP | Diese Regel u nterbindet vom lokalen Netz das IP-Protokoll ICMP (Internet Control Message Protocol). Es dient in Netzwerken zum Austausch von Fehler- und Informationsmeldungen | |
Deny-NTP | Diese Regel unterbindet vom lokalen Netz das Protokoll NTP (Netwok Time Protocol). Über dieses Protokoll können Anwendungen von einem Zeitserver die aktuelle Echtzeit abholen. (Wichtiger Hinweis: Zu dieser Regel wird zusätzlich die Regel "Allow-DNS" benötigt.) (Hinweis: Ist der LANCOM Router als Zeitserver konfiguriert, wird diese Regel nicht benötigt) | |
Deny-SNMP | Diese Regel unterbindet vom lokalen Netz das Protokoll SNMP (Simple Network Management Protocol). Das Protokoll wird verwendet, um Netzwerkelemente (z. B. Router, Server, Switches, Drucker, Computer usw.) von einer zentralen Station aus zu überwachen und zu steuern. | |
Deny-TELNET/SSH | Diese Regel unterbindet vom lokalen Netz die Protokolle TELNET (Telecommunication Network) und SSH (Secure Shell). TELNET wird dazu verwendet, Benutzern den Zugang zu Internetrechnern über die Kommandozeile (CLI) zu bieten. SSH ist sowohl ein Programm als auch ein Netzwerkprotokoll, mit dessen Hilfe man sich über eine verschlüsselte Netzwerkverbindung auf einem entfernten Computer einloggen und dort Programme ausführen kann. | |
Deny-ELSTER | Diese Regel unterbindet vom lokalen Netz das Nutzen der Applikation ELSTER (elektronische Steuererklärung). | |
Deny-TFTP | Diese Regel unterbindet vom lokalen Netz das Protokoll TFTP (Trivial File Transfer Protocol). Das Protokoll ist ein sehr einfaches Dateiübertragungsprotokoll und wird z.B. für das Laden von Betriebssystemen oder Konfigurationen über das Netzwerk genutzt. | |
Die Skripte können über LANconfig eingespielt werden. Markieren Sie das zu konfigurierende Gerät, wählen Sie über das Kontextmenü (rechte Maustaste) den Menüpunkt Konfigurations-Verwaltung → Aus Skript-Datei wiederherstellen. Wählen Sie eine Skript-Datei aus und bestätigen Sie das Einspielen mit Öffnen. Nach Einspielen des Skripts finden Sie die erstellte Regel in der LANconfig-Konfiguration im Bereich Firewall/QoS → IPv4-Regeln → Regeln. Wiederholen Sie die Schritte für das Einspielen weiterer Regeln. |
