Beschreibung:
Ab der LCOS-Version 10.30 können Sie in der Firewall eines LANCOM Routers anwendungsbezogene Regeln erstellen, mit welchen Internet-Anwendungen (z.B. Facebook, Netflix, etc.)
  • erlaubt
  • gesperrt
  • limitiert oder
  • priorisiert
werden können. Mit der sog. Layer-7-Applikationskontrolle sind Sie somit in der Lage, die Kontrolle über die Nutzung von Anwendungen in Ihrem Netzwerk zu bewahren.
Dieses Dokument beschreibt die Vorgehensweise zur Konfiguration einer Layer-7-Applikationskontrolle in der Firewall eines LANCOM Routers.


Voraussetzungen:
  • LANtools ab Version 10.30 (download)
  • LCOS ab Version 10.30 (download)
  • Der LANCOM Router muss als DNS-Server bzw. DNS-Forwarder im Netz dienen. Clients im lokalen Netzwerk müssen den Router als DNS-Server verwenden. Zusätzlich muss die direkte Nutzung von DNS-over-TLS und DNS-over-HTTPS (ggf. browserintern) mit externen DNS-Servern durch Clients verhindert werden. 

    Dies kann mit den Folgenden Möglichkeiten erreicht werden:
    • Der DHCP-Server muss die IP-Adresse des Routers als DNS-Server verteilen. Dies wird standardmäßig vom Internet-Setup-Assistent eingerichtet.
    • Einrichtung von Firewall-Regeln, welche eine direkte Nutzung von externen DNS-Servern verhindern, z. B. durch Sperrung des ausgehenden Ports 53 für Clients aus dem entsprechenden Quellnetzwerk.
    • Einrichtung von Firewall-Regeln, welche eine direkte Nutzung von externen DNS-Servern mit Unterstützung von DNS-over-TLS verhindern, z. B. durch Sperrung des ausgehenden Ports 853 für Clients aus dem entsprechenden Quellnetzwerk.
    • DNS-over-HTTPS (DoH) im Browser deaktivieren.

Hinweise zur Synchronisierung der DNS-Datenbank der Firewall
  • Da die Firewall ihre Informationen aus den DNS-Anfragen der Clients lernt, kann es in bestimmten Situationen dazu kommen, dass die DNS-Datenbank noch nicht vollständig ist. Dies kann in folgenden Situationen passieren: 
    • Es wird eine neue Firewall-Regel hinzugefügt, der Client hat aber noch einen DNS-Eintrag zwischengespeichert.
    • Kurz nach einem Neustart des Routers, wenn der Client noch einen DNS-Eintrag zwischengespeichert hat.
  • In diesen Fällen hilft ein Leeren des DNS-Cache auf dem Client, ein Reboot des Clients oder ein Timeout des DNS-Eintrags auf dem Client.
  • Eigene Dienste wie z. B. ping vom Router selbst laufen nicht über die erstellten Firewall-Regeln. Mit Hilfe von ping auf einen vollständigen DNS-Namen (nicht Wildcard-Ausdruck) kann die Erzeugung von Regelauflösungen (DNS zu IP-Adressen) bei Bedarf entweder auf der Kommandozeile (einmalig) oder per Cron-Job durchgeführt werden. 

Wenn unterschiedliche DNS-Namen auf dieselbe IP-Adresse aufgelöst werden, dann können diese nicht unterschieden werden. In diesem Fall trifft immer die erste Regel zu, die einen dieser DNS-Namen referenziert. Das sollte bei großen Dienstanbietern kein Problem sein. Bei kleinen Websites, die vom selben Anbieter gehostet werden, könnte es jedoch auftreten.



Beispielszenario:
Wie Sie in der folgenden Darstellung sehen können, ist es mit der Layer-7-Applikationskontrolle möglich, die Nutzung der unterschiedlichsten Internet-Anwendungen zu steuern.


  • In dieser Beispielkonfiguration wird eine Deny-All Strategie in der Firewall des LANCOM Routers verwendet. Dabei werden zunächst alle Dienste von der Firewall geblockt, was erlaubt sein soll, wird mit expliziten Firewall-Regeln erlaubt.
  • Es stehen zwei Internetverbindungen zur Verfügung:
    • INTERNET1 mit Routing Tag 0 und
    • INTERNET2 mit Routing Tag 1
  • Die Nutzung des Internet ist grundsätzlich erlaubt, es soll den Benutzern jedoch nicht erlaubt sein, den Dienst "Facebook" zu nutzen.
  • Die Nutzung des Dienstes "Youtube" soll erlaubt sein, hierfür wird jedoch die zur Verfügung gestellte Bandbreite limitiert und "Youtube" darf nur über die Internetverbindung INTERNET2 genutzt werden.


Vorgehensweise:
Die beiden Internetverbindungen sind in diesem Beispiel bereits funktionsfähig eingerichtet.
  • In der IP-Routing Tabelle ist für die Verbindung INTERNET1 eine Default-Route mit dem Routing-Tag 0 hinterlegt.
  • Für die Verbindung INTERNET2 eine Default-Route mit dem Routing-Tag 1 hinterlegt.

1. Konfiguration einer Firewall-Regel zum Sperren des Dienstes "Facebook":
1.1 Zur Referenzierung von DNS-Zielen in Firewall-Regeln, müssen die jeweiligen Ziele zunächst im Menü Firewall/QoS → Allgemein → Anwendungsbasiertes Routing konfiguriert werden.
Standardmäßig sind in der Liste DNS-Ziele bereits Einträge für die Dienste Facebook, Youtube, Netflix und Salesforce enthalten. Weitere Informationen zu den DNS-Ziel-Listen erhalten Sie im LCOS-Referenzhandbuch.

1.2 Wechseln Sie in das Menü Firewall/QoS → IPv4-Regeln → Regeln und fügen Sie eine neue Firewall-Regel hinzu.

1.3 Vergeben Sie einen aussagekräftigen Namen für die neue Regel.
1.4 Da der Dienst Facebook nicht verwendet werden darf, muss als Aktion das Objekt REJECT ausgewählt werden.
1.5 Die Regel soll für alle Stationen aus dem lokalen Netzwerk (LOCALNET) gelten und für Verbindungen an das DNS-Ziel FACEBOOK.
1.6 Speichern Sie die Firewall-Regel mit der Schaltfläche OK.


2. Konfiguration einer Firewall-Regel zur Nutzung und Limitierung des Dienstes "Youtube":
2.1 Zur Limitierung einer Bandbreite sollte zunächst im Menü Firewall/QoS → IPv4-Regeln → Firewall-Objekte → Aktion-Objekte ein separates Objekt hinzugefügt werden.
2.2 Vergeben Sie einen aussagekräftigen Namen für das neue Aktions-Objekt.
2.3 Konfigurieren Sie die folgenden Bedingungen:
  • Die Aktion soll ausgeführt werden, wenn Daten über eine Default-Route übertragen werden.
  • Es soll global max. 1 MBit/s der gesamt verfügbaren Bandbreite für Youtube verwendet werden.
  • Wird das Limit überschritten, sollen die IP-Pakete verworfen werden.
2.4 Speichern Sie das Aktions-Objekt mit der Schaltfläche OK.
2.5 Wechseln Sie in das Menü Firewall/QoS → IPv4-Regeln → Regeln und fügen Sie eine neue Firewall-Regel hinzu.
  • Vergeben Sie einen aussagekräftigen Namen für die neue Regel.
  • Da der Dienst "Youtube" ausschließlich über die Internetverbindung INTERNET2 genutzt werden soll, müssen Sie im Feld Routing-Tag den Wert 1 angeben.
2.6 Verwenden Sie das in den Schritten 2.2 und 2.3 erstellte Aktions-Objekt zur Limitierung der Bandbreite.
2.7 Die Regel soll für alle Stationen aus dem lokalen Netzwerk (LOCALNET) gelten und für Verbindungen an das DNS-Ziel YOUTUBE.
2.8 Speichern Sie die Firewall-Regel mit der Schaltfläche OK.
2.9 Schreiben Sie die Konfiguration in den LANCOM Router zurück.

Für das anwendungsbasierte Routing gibt es den neuen Parameter FW-DNS für das trace-Kommando. Mit diesem können die Änderungen an der Firewall-Datenbank der DNS-Ziele überwacht werden: 

    • Wenn ein DNS-Paket eintrifft, werden das Paket und die betroffenen Wildcardausdrücke und Ziele ausgegeben.
    • Wenn die TTL (Time-to-Live – Lebensdauer) eines Eintrags abläuft, dann werden dieser Datensatz und die betroffenen Wildcardausdrücke und Ziele ausgegeben.
    • Wenn eine der beiden Firewalls ein DNS-Ziel registriert oder deregistriert, weil sich ihre Konfiguration geändert hat.
    • Wenn sich die Tabellen Setup → Firewall → DNS-Ziele oder Setup → Firewall → DNS-Ziel-Liste ändern.