Beschreibung: Dieses Dokument beschreibt die Konfigurationsmöglichkeiten der Filter-Regeln im LANCOM Router anhand eines Beispiels.
Voraussetzung: Es gibt zwei grundsätzliche Konzepte, eine Firewall zu konfigurieren, die 'ALLOW-ALL' und die 'DENY-ALL'-Strategie. Bei einer 'ALLOW-ALL'-Strategie wird jede Kommunikation über die Firewall prinzipiell erlaubt, es können gezielt Dienste oder Stationen mit Einschränkungen belegt werden. Bei einer 'DENY-ALL'-Strategie wird prinzipiell jede Kommunikation geblockt, einzelne Stationen können von dieser Sperre ausgenommen werden. LANCOM verfolgt von Hause aus in seiner Stateful-Inspection Firewall die 'ALLOW-ALL'- Strategie, die Firewall läßt also ohne weitere Konfiguration von Firewallregeln jede korrekt ablaufende IP-Kommunikation zu.
Beide Strategien können in realen Umgebungen einen sinnvollen Ansatz für die Konzeption der Firewall liefern: In Richtung einer Internetverbindung empfiehlt sich die Anwendung eines Deny-All-Konzepts, um die Zugriffe in Richtung des unsicheren Mediums Internet vollständig auf IP Ebene kontrollieren zu können. Unter Einsatz dieses Konzepts können nur Dienste genutzt werden, die explizit vom Administrator der Firewall erlaubt werden. Die Konfiguration bietet somit die geringste Gefahr, ungewollte Kommunikation versehentlich zu erlauben. Insbesondere auf Verbindungen, die ein geringeres Gefährdungspotential bieten, zum Beispiel eine Kopplung zweier Firmenstandorte über eine Wählverbindung, ist in vielen Fällen die umfassende Funktion der Firewall nicht notwendig und es sollen prinzipiell alle Dienste für alle Stationen verfügbar sein (allow-all Konzept). Unter Umständen ist es in solchen Szenarien aber sinnvoll, gezielt spezielle Stationen oder Dienste in der Nutzung einzuschränken (z.B. Zugriff auf bestimmte Server einzuschränken oder bestimmte Dienste zu blocken, um Verbindungsaufbauten zu verhindern). In den meisten Anwendungsfällen ergibt sich eine Mischung dieser beiden Anforderungsprofile.
Vorgehensweise: Die Konfiguration sollte per LANconfig durchgeführt werden.
Beispiel: Ein LANCOM bindet über einen ADSL-Zugang das Firmennetzwerk des Hauptstandortes an das Internet an. Basierend auf |