Beschreibung:
Dieses Dokument beschreibt die Konfigurationsm=C3=B6glichkeiten der Filter-=
Regeln im LANCOM Router anhand eines Beispiels.
Vorausse=
tzung:
Es gibt zwei grunds=C3=A4tzliche Konzepte, eine Firewall zu konfigurieren, =
die 'ALLOW-ALL' und die 'DENY-ALL'-Strategie. Bei einer 'ALLOW-ALL'-Strateg=
ie wird jede Kommunikation =C3=BCber die Firewall prinzipiell erlaubt, es k=
=C3=B6nnen gezielt Dienste oder Stationen mit Einschr=C3=A4nkungen belegt w=
erden. Bei einer 'DENY-ALL'-Strategie wird prinzipiell jede Kommunikation g=
eblockt, einzelne Stationen k=C3=B6nnen von dieser Sperre ausgenommen werde=
n. LANCOM verfolgt von Hause aus in seiner Stateful-Inspection Firewall die=
'ALLOW-ALL'- Strategie, die Firewall l=C3=A4=C3=9Ft also ohne weitere Konf=
iguration von Firewallregeln jede korrekt ablaufende IP-Kommunikation zu.
Beide Strategien k=C3=B6nnen in realen Umgebungen einen sinnvollen Ansatz =
f=C3=BCr die Konzeption der Firewall liefern:
In Richtung einer Internetverbindung empfiehlt sich die Anwendung eines Den=
y-All-Konzepts, um die Zugriffe in Richtung des unsicheren Mediums Internet=
vollst=C3=A4ndig auf IP Ebene kontrollieren zu k=C3=B6nnen. Unter Einsatz =
dieses Konzepts k=C3=B6nnen nur Dienste genutzt werden, die explizit vom Ad=
ministrator der Firewall erlaubt werden. Die Konfiguration bietet somit die=
geringste Gefahr, ungewollte Kommunikation versehentlich zu erlauben.
Insbesondere auf Verbindungen, die ein geringeres Gef=C3=A4hrdungspotential=
bieten, zum Beispiel eine Kopplung zweier Firmenstandorte =C3=BCber eine W=
=C3=A4hlverbindung, ist in vielen F=C3=A4llen die umfassende Funktion der F=
irewall nicht notwendig und es sollen prinzipiell alle Dienste f=C3=BCr all=
e Stationen verf=C3=BCgbar sein (allow-all Konzept). Unter Umst=C3=A4nden i=
st es in solchen Szenarien aber sinnvoll, gezielt spezielle Stationen oder =
Dienste in der Nutzung einzuschr=C3=A4nken (z.B. Zugriff auf bestimmte Serv=
er einzuschr=C3=A4nken oder bestimmte Dienste zu blocken, um Verbindungsauf=
bauten zu verhindern).
In den meisten Anwendungsf=C3=A4llen ergibt sich eine Mischung dieser beide=
n Anforderungsprofile.
Vorgehensweise:
Die Konfiguration sollte per LANconfig durchgef=C3=BChrt werden.
Beispiel:
Ein LANCOM bindet =C3=BCber einen ADSL-Zugang das Firmennetzwerk des Haupts=
tandortes an das Internet an. Basierend auf diesem Internetzugang ist eine =
Kopplung zur Filiale =C3=BCber einen Dynamic-VPN-Tunnel realisiert. Die Fir=
ewall dieses Routers soll konfiguriert werden, um die folgenden Aufgabenste=
llungen zu erf=C3=BCllen.
1. Die Stationen im lokalen Intranet (192.168.100.0 / 255.255.255.0) sollen=
in Richtung Internet nur bestimmte Dienste (DNS Namensaufl=C3=B6sungen, Ma=
ildienste und WWW Zugriffe) nutzen k=C3=B6nnen. Eine Arbeitsstation (192.16=
8.100.115) soll vom Zugriff auf das Internet komplett ausgeschlossen werden=
.
2. Der Zugriff auf das Filialnetzwerk (192.168.200.0) soll generell f=C3=BC=
r jede IP Kommunikation transparent m=C3=B6glich sein. Ein Server im Netzwe=
rk des Hauptstandortes (192.168.100.100) darf selbst Verbindungen zum Serve=
r im Netzwerk der Filiale (192.168.200.100) aufbauen. Verbindungen dieses S=
ervers an andere Stationen des Filialnetzes sollen unterbunden werden. <=
br> Konfiguration:
Schritt 1: DENY-ALL Richtun=
g Internet:
F=C3=BCgen Sie zuerst unter Firewall/QoS =E2=86=92 IPv4-Regeln=
=E2=86=92 Regeln eine neue Regel mit dem Namen 'DENY-ALL' hi=
nzu.
Um eine DENY-ALL-Strategie der Firewall in Richtung Internet ohne Auswirkun=
g auf andere Gegenstellen zu realisieren, k=C3=B6nnen Firewallregeln im LAN=
COM auf die Gegenstelle, die f=C3=BCr die Default Route (in der Regel: Inte=
rnetverbindung) zust=C3=A4ndig ist, eingeschr=C3=A4nkt werden. Dies ist ber=
eits im Standardobjekt NO-INTERNET enthalten.
=
F=C3=BCgen Sie einen Eintrag hinzu und vergeben Sie einen passenden Namen:
...dass die Option 'Aktion nur f=C3=BCr die Default Route' aktiviert ist. =
=C3=9Cber den 'Trigger' Wert k=C3=B6nnen Sie die folgende Aktion erst nach =
Erreichen eines bestimmten Schwellwertes aktivieren (z.B. f=C3=BCr IP Traff=
ic shaping). F=C3=BCr ein sofortiges Zur=C3=BCckweisen von Verbindungen ver=
wenden Sie den vorgegebenen Triggerwert '0'.
Die Einstellung Pro Session und Global ha=
t bei einem Trigger Wert von 0 keine Auswirkung. Bela=
ssen Sie die 'Paket-Aktion' auf dem Wert 'Zur=C3=BCckweisen' und deaktivier=
en Sie unter Sonstige Ma=C3=9Fnahmen die SNMP Option damit nicht bei jedem zur=C3=BCckgewiesenen Paket eine Nachrich=
t im Firewall Log aufgezeichnet wird:
=C3=9Cberspringen Sie nun das Feld QoS und geben Sie auf d=
er Registerkarte Stationen Quelle und Ziel f=C3=BCr die ge=
w=C3=BCnschten Verbindungen ein.
Da diese Regel f=C3=BCr alle Quellen und Ziele g=C3=BCltig sein soll, geben=
Sie als Quelle und Ziel jeweils die Auswahl Verbindungen von allen=
Stationen an Verbindungen an alle Stationen an.
Auf der Registerkarte Dienste geben Sie die IP Protokolle =
an, f=C3=BCr die die Regel G=C3=BCltigkeit besitzt. F=C3=BCr die DE=
NY-ALL Regel w=C3=A4hlen Sie den Punkt Diese Regel gilt f=
=C3=BCr alle Dienste/Protokolle aus:
Auswirkung:
Die somit definierte Firewall Regel bewirkt, dass keine IP Verbindung in d=
as Internet aufgebaut werden kann. Ebenso wird der umgekehrte Weg vom Inter=
net in Richtung des Firmennetzwerkes durch die Firewall geblockt.
Diese Funktion wirkt zus=C3=A4tzlich zur Abschottung des Netzes durch IP M=
asquerading (NAT/PAT) und sch=C3=BCtzt das Firmennetzwerk verst=C3=A4rkt ge=
gen einen Zugriff von aussen.
Schritt 2: Freischalten der=
Kommunikation aus dem Intranet in Richtung Internet:
Um den Stationen im lokalen Netzwerk die Kommunikation mit den vorgegebenen=
Diensten im Internet zu erlauben, f=C3=BCgen Sie bitte als n=C3=A4chstes e=
ine neue Filterregel...
...mit dem Namen ALLOW-DNS hinzu.
In dem Reiter Aktion w=C3=A4hlen Sie mit Hinzuf=C3=
=BCgen... das Objekt ACCEPT aus.
F=C3=BCgen Sie auf der Registerkarte Stationen als Quelle =
die Auswahl Alle Stationen im lokalen Netz hinzu und belas=
sen Sie das Ziel auf Verbindungen an alle Stationen.
W=C3=A4hlen Sie in der Registerkarte Dienste den spezielle=
n Dienst DNS aus:
Hinweis:
Der DNS Dienst ist UDP basiert und l=C3=A4=C3=9Ft sich aus diesem Grund ni=
cht mit den anderen vorgegebenen TCP basierten Diensten in einer Regel zusa=
mmenfassen.
Schritt 3:
F=C3=BCgen Sie als n=C3=A4chstes eine neue Filterregel...
...mit dem Namen ALLOW-INET hinzu:
In dem Reiter Aktion w=C3=A4hlen Sie mit Hinzuf=C3=
=BCgen... das Objekt ACCEPT aus.
F=C3=BCgen Sie auf der Registerkarte Stationen als Quelle =
die Auswahl Alle Stationen im lokalen Netz hinzu und belas=
sen Sie das Ziel auf Verbindungen an alle Stationen.
W=C3=A4hlen Sie auf der Registerkarte Dienste die speziell=
en Dienste HTTP, HTTPS und MAIL=
strong>.
Auswirkung:
Hiermit sind die konfigurierten Dienste f=C3=BCr die Stationen verf=C3=BCg=
bar, die sich in dem Netz befinden, das im LANCOM unter Konfigurier=
e =E2=86=92 TCP/IP =E2=86=92 Allgemein =E2=86=92 IP-Netzwerk=
e als Intranet definiert ist.
Schritt 4: Sperren einer be=
stimmten Station f=C3=BCr den Zugriff auf das Internet:
F=C3=BCgen Sie eine neue Filterregel...
...mit dem Namen DENY-115-INET hinzu.
Vergeben Sie im Reiter Allgemein einen Namen und tragen Si=
e im Feld Priorit=C3=A4t eine 1 ein.
In dem Reiter Aktion w=C3=A4hlen Sie mit Hinzuf=C3=
=BCgen... das Objekt REJECT aus.
F=C3=BCgen Sie auf der Registerkarte Stationen als Quelle die Auswahl Eine IP-Adresse oder ein Bereich von I=
P-Adressen mit der Angabe von '192.168.100.115' bis '192.168.100.1=
15' hinzu und belassen Sie das Ziel auf Verbindungen an alle Statio=
nen.
W=C3=A4hlen Sie auf der Registerkarte Dienste den Punkt Diese Regel gilt f=C3=BCr alle Dienste/Protokolle aus:
Auswirkung:
Die Station mit der IP Adresse '192.168.100.115' ist hiermit f=C3=BCr den =
Zugriff auf die Internet Gegenstelle vollst=C3=A4ndig gesperrt. Andere Gege=
nstellen, wie z.B. die in der Vorgabe erw=C3=A4hnte VPN Gegenstelle sind vo=
n der Regel nicht betroffen.
Da die oben erzeugten Firewall Regeln nur Verbindungen auf der Default Rout=
e einschr=C3=A4nken, muss die Netzwerkkopplung nicht gesondert freigeschalt=
et werden. Das LANCOM verfolgt wie bereits erw=C3=A4hnt eine Allow-All Stra=
tegie und l=C3=A4sst jede Kommunikation zu, die nicht durch eine explizite =
Regel verboten wurde.
Schritt 5: F=C3=BCgen Sie z=
ur Einschr=C3=A4nkung der Serverkommunikation eine neue Filterregel...
...mit dem Namen DENY-SERVER hinzu.
In dem Reiter Aktion w=C3=A4hlen Sie mit Hinzuf=C3=
=BCgen... das Objekt REJECT aus.
F=C3=BCgen Sie auf der Registerkarte Stationen als Quelle die Auswahl Eine IP-Adresse oder ein Bereich von I=
P-Adressen mit der Angabe von '192.168.100.100' bis '192.168.100.1=
00' hinzu und w=C3=A4hlen Sie als Ziel Ein ganzes Netzwerk=
mit
der Angabe 192.168.200.0 / 255.255.255.0 aus.
W=C3=A4hlen Sie auf der Registerkarte Dienste die Punkte <=
strong>Diese Regel gilt f=C3=BCr alle Protokolle/Dienste aus.
Bei Ger=C3=A4ten mit VPN Option haben Sie die M=C3=B6glichkeit, die Auswirk=
ung jeder Regel auf die IPSec Richtlinien zu definieren.
Schritt 6: F=C3=BCgen Sie e=
ine neue Filterregel...
...mit dem Namen 'ALLOW-SERVER' hinzu, um die Kommunikation zum Server in d=
er Filiale (192.168.200.100) zu erlauben.
In dem Reiter Aktion w=C3=A4hlen Sie mit Hinzuf=C3=
=BCgen... das Objekt ACCEPT aus.
F=C3=BCgen Sie auf der Registerkarte Stationen als Quelle =
die Auswahl Eine IP-Adresse oder ein Bereich von IP-Adressen mit der Angabe von '192.168.100.100' bis '192.168.100.100' hinzu und w=
=C3=A4hlen Sie als Ziel Eine IP-Adresse oder ein Bereich von IP-Adressen mit der Angabe von '192.168.200.100' =
bis '192.168.200.100'.
W=C3=A4hlen Sie auf der Registerkarte Dienste den Punkt Diese Regel gilt f=C3=BCr alle Dienste/Protokolle aus.
Nach erfolgreichem Einrichten sind folgende Eintr=C3=A4ge in der Regeltabel=
le vorhanden:
=
Hinweis:
Bitte beachten Sie, dass eine Stateful Inspection Firewall die Richtung von=
IP Verbindungen auswertet. Die weiter oben erzeugte Firewall Regel 'DENY-S=
ERVER' verhindert somit die Kommunikation, die vom Server im Netzwerk des H=
auptstandortes an das Filialnetz initiiert wird, eine einkommende Kommunika=
tion auf den Server ist durch diese Regel nicht eingeschr=C3=A4nkt!
Die Stateful Inspection Firewall =C3=BCberwacht den Status von IP Verbindun=
gen und l=C3=A4=C3=9Ft nur Kommunikation auf Verbindungen zu, die zuvor in =
korrekter Form aufgebaut wurden. Die Firewall Regeln werden aus diesem Grun=
d nur in der Richtung definiert, in der die IP Verbindungen aufgebaut werde=
n. Jede Kommunikation (bidirektional), die zur aufgebauten IP Verbindung ge=
h=C3=B6rt, wird automatisch von der Firewall ber=C3=BCcksichtigt. Dies gilt=
insbesondere f=C3=BCr Protokolle, die einer speziellen Behandlung wie z.B.=
FTP (Kontroll- und Datenverbindung) bed=C3=BCrfen. F=C3=BCr diese Protokol=
le muss ausschlie=C3=9Flich der Hauptport angegeben werden.
M=C3=B6glichkeiten zur Kontrolle:
Der LANCOM Router erzeugt aus den von Ihnen angegebenen Firewall Regeln aut=
omatisch eine effektive Filterliste, die Sie sich im Webconfig unter <=
strong>LCOS-Men=C3=BCbaum =E2=86=92 Setup =E2=86=92 IP Routermodu=
l =E2=86=92 Firewall =E2=86=92 Filterliste anschauen k=
=C3=B6nnen. Die Regeln werden in der Form ausgewertet, dass die genauest sp=
ezifizierten Regeln in der Liste am h=C3=B6chsten priorisiert werden und be=
im Durchlaufen der Filterliste (von oben nach unten) zuerst ausgewertet wer=
den. Filterregeln, die sich auf einzelne Dienste, MAC-Adressen oder Dienste=
beziehen, werden somit in Ihrer Priorit=C3=A4t grunds=C3=A4tzlich oben in =
der effektiven Filterliste eingeordnet.
Die Reihenfolge der Eingabe von Filterregeln hat keinen Einfluss auf die ef=
fektive Filterliste.
In einer Telnet- oder SSH-Sitzung auf dem LANCOM k=C3=B6nnen Sie sich die a=
ngelegten Filter mit dem Befehl show filter strukturiert a=
nzeigen lassen.
|