Versionen im Vergleich

Alte Version 7

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 8

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.
Seiteneigenschaften



Beschreibung:
Ab der LCOS-Version 10.30 können Sie in der Firewall eines LANCOM Routers anwendungsbezogene Regeln erstellen, mit welchen Internet-Anwendungen (z.B. Facebook, Netflix, etc.)
  • erlaubt
  • gesperrt
  • limitiert oder
  • priorisiert
werden können. Mit der sog. Layer-7-Applikationskontrolle sind Sie somit in der Lage, die Kontrolle über die Nutzung von Anwendungen in Ihrem Netzwerk zu bewahren.
Dieses Dokument beschreibt die Vorgehensweise zur Konfiguration einer Layer-7-Applikationskontrolle in der Firewall eines LANCOM Routers.


Voraussetzungen:
  • LANtools ab Version 10.30 (download)
  • LCOS ab Version 10.30 (download)
  • Der LANCOM Router muss als DNS-Server bzw. DNS-Forwarder im Netz dienen.
  • Clients im lokalen Netzwerk müssen

  • den Router als DNS-Server verwenden. Zusätzlich muss
die
  • die direkte Nutzung von DNS-over-TLS und DNS-over-HTTPS (ggf.

  •  browserintern) mit externen DNS-Servern durch Clients verhindert werden. 

    Dies kann mit den Folgenden Möglichkeiten erreicht werden:
    • Der DHCP-Server muss die IP-Adresse des Routers als DNS-Server verteilen. Dies wird standardmäßig vom Internet-Setup-Assistent eingerichtet.
    • Einrichtung von Firewall-Regeln, welche eine direkte Nutzung von externen DNS-Servern verhindern, z. B. durch Sperrung des ausgehenden Ports 53 für Clients aus dem entsprechenden Quellnetzwerk.
    • Einrichtung von Firewall-Regeln, welche eine direkte Nutzung von externen DNS-Servern mit Unterstützung von DNS-over-TLS verhindern, z. B. durch Sperrung des ausgehenden Ports 853 für Clients aus dem entsprechenden Quellnetzwerk.
    • DNS-over-HTTPS (DoH) im Browser deaktivieren.

Hinweise zur Synchronisierung der DNS-Datenbank der Firewall
:

  • Da die Firewall ihre Informationen aus den DNS-Anfragen der Clients lernt, kann es in bestimmten Situationen dazu kommen, dass die DNS-Datenbank noch nicht vollständig ist. Dies kann in folgenden Situationen passieren: 
    • Es wird eine neue Firewall-Regel hinzugefügt, der Client hat aber noch einen DNS-Eintrag zwischengespeichert.
    • Kurz nach einem Neustart des Routers, wenn der Client noch einen DNS-Eintrag zwischengespeichert hat.
  • In diesen Fällen hilft ein Leeren des DNS-Cache auf dem Client, ein Reboot des Clients oder ein Timeout des

  • DNS-Eintrags auf dem Client.
  • Eigene Dienste wie z. B. ping vom Router selbst laufen nicht über die erstellten Firewall-Regeln. Mit Hilfe von ping auf einen vollständigen DNS-Namen (nicht Wildcard-Ausdruck) kann die Erzeugung von Regelauflösungen (DNS zu IP-Adressen) bei Bedarf entweder auf der Kommandozeile (einmalig) oder per Cron-Job durchgeführt werden. 
Info:
Info

Wenn unterschiedliche DNS-Namen auf dieselbe IP-Adresse aufgelöst werden, dann können diese nicht unterschieden werden. In diesem Fall trifft immer die erste Regel zu, die einen dieser DNS-Namen referenziert. Das sollte bei großen Dienstanbietern kein Problem sein. Bei kleinen Websites, die vom selben Anbieter gehostet werden, könnte es jedoch auftreten.



Beispielszenario:
Wie Sie in der folgenden Darstellung sehen können, ist es mit der Layer-7-Applikationskontrolle möglich, die Nutzung der unterschiedlichsten Internet-Anwendungen zu steuern.
Image Removed

Image Added
  • In dieser Beispielkonfiguration wird eine Deny-All Strategie in der Firewall des LANCOM Routers verwendet. Dabei werden zunächst alle Dienste von der Firewall geblockt, was erlaubt sein soll, wird mit expliziten Firewall-Regeln erlaubt.
  • Es stehen zwei Internetverbindungen zur Verfügung:
    • INTERNET1 mit Routing Tag 0 und
    • INTERNET2 mit Routing Tag 1
  • Die Nutzung des Internet ist grundsätzlich erlaubt, es soll den Benutzern jedoch nicht erlaubt sein, den Dienst "Facebook" zu nutzen.
  • Die Nutzung
des
  • des Dienstes "Youtube" soll erlaubt sein, hierfür wird jedoch die zur Verfügung gestellte Bandbreite limitiert und "Youtube" darf nur über die Internetverbindung INTERNET2 genutzt werden.


Vorgehensweise:
Die beiden Internetverbindungen sind in diesem Beispiel bereits funktionsfähig eingerichtet.
  • In der IP-Routing Tabelle ist für die Verbindung INTERNET1 eine Default-Route mit dem Routing-Tag 0 hinterlegt.
  • Für die Verbindung INTERNET2 eine Default-Route mit dem Routing-Tag 1 hinterlegt.
Image Removed
Image Added

1. Konfiguration einer Firewall-Regel zum Sperren des Dienstes "Facebook":
1.1
Zur
Zur Referenzierung von DNS-Zielen in Firewall-Regeln, müssen die jeweiligen Ziele zunächst im Menü Firewall/QoS
->
Allgemein
->
Anwendungsbasiertes Routing konfiguriert werden.
Standardmäßig sind in der Liste DNS-Ziele bereits Einträge für die Dienste Facebook, Youtube, Netflix und Salesforce enthalten. Weitere Informationen zu den DNS-Ziel-Listen erhalten Sie im LCOS-Refernzhandbuch.
Image Removed
Image Added
1.2 Wechseln Sie in das
Menü
Menü Firewall/QoS
->
IPv4-Regeln
-> Regeln
→ Regeln und fügen Sie eine neue Firewall-Regel hinzu.
Image Removed
Image Added
1.3 Vergeben Sie einen aussagekräftigen Namen für die neue Regel.
Image Removed
Image Added
1.4 Da der Dienst Facebook nicht verwendet werden darf, muss als Aktion das Objekt REJECT ausgewählt werden.
Image Removed
Image Added
1.5 Die Regel soll für alle Stationen aus dem lokalen Netzwerk (LOCALNET) gelten und für Verbindungen an das DNS-Ziel FACEBOOK.
Image Removed
Image Added
1.6 Speichern Sie die Firewall-Regel mit der Schaltfläche OK.


2. Konfiguration einer Firewall-Regel zur Nutzung und Limitierung des Dienstes "Youtube":
2.1 Zur Limitierung einer Bandbreite sollte zunächst im Menü Firewall/QoS
->
IPv4-Regeln
->
Firewall-Objekte
->
Aktion-
Objekte
Objekte ein separates Objekt hinzugefügt werden.
2.2 Vergeben Sie einen aussagekräftigen Namen für das neue Aktions-Objekt.
Image Removed
Image Added
2.3 Konfigurieren Sie die folgenden Bedingungen:
  • Die Aktion soll ausgeführt werden, wenn Daten über eine Default-Route übertragen werden.
  • Es soll global max. 1 MBit/s der gesamt verfügbaren Bandbreite für Youtube verwendet werden.
  • Wird das Limit überschritten, sollen die IP-Pakete verworfen werden.
Image Removed
Image Added
2.4 Speichern Sie das Aktions-Objekt mit der Schaltfläche OK.
2.5 Wechseln Sie in das Menü Firewall/QoS
->
IPv4-Regeln
-> Regeln
→ Regeln und fügen Sie eine neue Firewall-Regel hinzu.
  • Vergeben Sie einen aussagekräftigen Namen für die neue Regel.
  • Da der Dienst "Youtube" ausschließlich über die Internetverbindung INTERNET2 genutzt werden soll, müssen Sie im Feld Routing-Tag den Wert 1 angeben.
Image Removed
Image Added
2.6 Verwenden Sie das in den Schritten 2.2 und 2.3 erstellte Aktions-Objekt zur Limitierung der Bandbreite.
Image Removed
Image Added
2.7 Die Regel soll für alle Stationen aus dem lokalen Netzwerk (LOCALNET) gelten und für Verbindungen an das DNS-Ziel YOUTUBE.
Image Removed
Image Added
2.8 Speichern Sie die Firewall-Regel mit der Schaltfläche OK.
Image Removed
Image Added
2.9 Schreiben Sie die Konfiguration in den LANCOM Router zurück.
Info:
Info

Für das anwendungsbasierte Routing gibt es den neuen Parameter FW-DNS für das trace-Kommando. Mit diesem können

die

die Änderungen an der Firewall-Datenbank der DNS-Ziele überwacht werden: 

    • Wenn ein DNS-Paket eintrifft, werden das Paket und die betroffenen Wildcardausdrücke und Ziele ausgegeben.
    • Wenn die TTL (Time-to-Live – Lebensdauer) eines Eintrags abläuft, dann werden dieser Datensatz und die betroffenen Wildcardausdrücke und Ziele ausgegeben.
    • Wenn eine der beiden Firewalls ein DNS-Ziel registriert oder deregistriert, weil sich ihre Konfiguration geändert hat.
    • Wenn sich die Tabellen Setup
->
    • Firewall
->
    • DNS-Ziele oder Setup
->
    • Firewall
->
    • DNS-Ziel-Liste ändern.