7
Firewall konfiguraiton
Hallo,
ich habe eine kleine Frage zur richtigen Konfiguration einer Firwall.
Ich stehe gerade ein wenig aufm Schlauch bzw. möchte meine vermutung bestätigt haben.
Sagen wir ich habe eine Firewall mit 2 Interfaces (LAN & WAN)
Die Firewallregeln lauten:
Nr Source Dest. S-Port D-Port Aktion
1: LAN Any <1024 80 Permit (HTTP darf von innen nach außen)
2: LAN Any <1024 53 Permit (DNS darf raus)
3: any any any any drop/deny (default-> alles was nicht passt hau weg)
Nur um sicher zu gehen, würde ich gerne wissen ob die Regel Nr.3 generell alles und jeden blockt (auch vom WAN zum LAN) das nicht auf Regel 1 & 2 passt. Sprich wenn ein PC aus dem WAN vom S-Port 55555 auf den D-Port 2222 ins LAN will wird er von der FW geblockt da Regel Nr.3 greift, richtig?
Im Umkehrschluss müsste es ja bedeuten, dass wenn ich Regel 3 bei Aktion auf "Permit" ändere alles von intern nach extern und von extern nach intern durchgelassen wird -> also quasi die Firewall nutzlos ist weil keine Filterung stattfindet.
P.S.:
Ich bitte um Entschuldigung wenn diese Frage eurer Meinung nach zu Trivial ist um einen eigenen Threat zu eröffnen, allerdings sollte das Thema "Sicherheit" groß geschrieben werden und jede all zu "doofe" Frage sollte aus der Welt geschafft werden -> zudem lerne ich noch
ich habe eine kleine Frage zur richtigen Konfiguration einer Firwall.
Ich stehe gerade ein wenig aufm Schlauch bzw. möchte meine vermutung bestätigt haben.
Sagen wir ich habe eine Firewall mit 2 Interfaces (LAN & WAN)
Die Firewallregeln lauten:
Nr Source Dest. S-Port D-Port Aktion
1: LAN Any <1024 80 Permit (HTTP darf von innen nach außen)
2: LAN Any <1024 53 Permit (DNS darf raus)
3: any any any any drop/deny (default-> alles was nicht passt hau weg)
Nur um sicher zu gehen, würde ich gerne wissen ob die Regel Nr.3 generell alles und jeden blockt (auch vom WAN zum LAN) das nicht auf Regel 1 & 2 passt. Sprich wenn ein PC aus dem WAN vom S-Port 55555 auf den D-Port 2222 ins LAN will wird er von der FW geblockt da Regel Nr.3 greift, richtig?
Im Umkehrschluss müsste es ja bedeuten, dass wenn ich Regel 3 bei Aktion auf "Permit" ändere alles von intern nach extern und von extern nach intern durchgelassen wird -> also quasi die Firewall nutzlos ist weil keine Filterung stattfindet.
P.S.:
Ich bitte um Entschuldigung wenn diese Frage eurer Meinung nach zu Trivial ist um einen eigenen Threat zu eröffnen, allerdings sollte das Thema "Sicherheit" groß geschrieben werden und jede all zu "doofe" Frage sollte aus der Welt geschafft werden -> zudem lerne ich noch
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 189548
Url: https://administrator.de/contentid/189548
Printed on: April 19, 2024 at 06:04 o'clock
7 Comments
Latest comment
Gibt ja nur doofe Antworten.... aber die erste Frage hättst du auch selber gewusst !
ob die Regel Nr.3 generell alles und jeden blockt (auch vom WAN zum LAN) ...
Das wäre ja Unsinn denn jede Firewall Regel ist immer Interface bezogen. Bei guten FW sogar noch getrennt nach inbound und outbound Traffic.
Also kann ja logischerweise niemals eine einzige Regel für alles gelten. Wäre auch gar nicht möglich wenn Source und Destination (in- outbound) mal vertauscht wäre...vergiss das also !
Die Threads hier behandeln zum Teil solche FW Regeln in der Diskussion:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
ob die Regel Nr.3 generell alles und jeden blockt (auch vom WAN zum LAN) ...
Das wäre ja Unsinn denn jede Firewall Regel ist immer Interface bezogen. Bei guten FW sogar noch getrennt nach inbound und outbound Traffic.
Also kann ja logischerweise niemals eine einzige Regel für alles gelten. Wäre auch gar nicht möglich wenn Source und Destination (in- outbound) mal vertauscht wäre...vergiss das also !
Die Threads hier behandeln zum Teil solche FW Regeln in der Diskussion:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
zu Regel 1 und 2)
Zunächst ist festzuhalten, dass hier die Angabe des Transportprotokolls fehlt. Vermutlich meinst Du TCP/80 und UDP/53. Gleichwohl wäre damit noch längst nicht sichergestellt, dass es sich dabei ausschließlich um die HTTP-Traffic und um DNS-Namensauflösungen handelt. Dafür müsste die Box auf Anwendungsprotokollebene arbeiten.
Darüber hinaus fällt die Angabe Source-Port <1024 ins Auge. Der Source-Port liegt aber normalerweise über den sog. well known Ports. In Deinem Beispiel würde der Browser also keine Webseiten abrufen können.
zu Regel 3)
Ob diese Regel nun sowohl für Traffic greift, der von LAN zu WAN als auch von WAN zu LAN initiiert wird (dass wir über eine stateful Firewall sprechen, setze ich voraus), hängt von der konkreten Implementierung ab. Ohne Kenntnis des konkreten Firewallmodells kann man die Frage nicht beantworten.
Außerdem sollte nicht unerwähnt bleiben, dass in der noch vorherrschenden IPv4-Welt das LAN i.d.R. privat adressiert ist. Ohne dementsprechende Adressübersetzung scheitert ohnehin jede Verbindungsaufnahme.
Es gibt durchaus auch Firewalls, bei denen eine Regel auf mehrere oder alle Interfaces wirken kann.
Gruß
Steffen
Zunächst ist festzuhalten, dass hier die Angabe des Transportprotokolls fehlt. Vermutlich meinst Du TCP/80 und UDP/53. Gleichwohl wäre damit noch längst nicht sichergestellt, dass es sich dabei ausschließlich um die HTTP-Traffic und um DNS-Namensauflösungen handelt. Dafür müsste die Box auf Anwendungsprotokollebene arbeiten.
Darüber hinaus fällt die Angabe Source-Port <1024 ins Auge. Der Source-Port liegt aber normalerweise über den sog. well known Ports. In Deinem Beispiel würde der Browser also keine Webseiten abrufen können.
zu Regel 3)
Ob diese Regel nun sowohl für Traffic greift, der von LAN zu WAN als auch von WAN zu LAN initiiert wird (dass wir über eine stateful Firewall sprechen, setze ich voraus), hängt von der konkreten Implementierung ab. Ohne Kenntnis des konkreten Firewallmodells kann man die Frage nicht beantworten.
Außerdem sollte nicht unerwähnt bleiben, dass in der noch vorherrschenden IPv4-Welt das LAN i.d.R. privat adressiert ist. Ohne dementsprechende Adressübersetzung scheitert ohnehin jede Verbindungsaufnahme.
Es gibt durchaus auch Firewalls, bei denen eine Regel auf mehrere oder alle Interfaces wirken kann.
Gruß
Steffen
N'Abend,
Redest Du von eienr hypothetischen Firewall oder einer echten?
Rein aus deinen Infos heraus ürde ich tippen:
da allerdigns nciht ganz klar ist, auf welchem Modell Deine regeln basieren, können die Auswirkengen auf einer konkreten Firewall-implementierung sich schon wieder ganz anders auswirken.
lks
Redest Du von eienr hypothetischen Firewall oder einer echten?
Rein aus deinen Infos heraus ürde ich tippen:
- Bei deinen Unix-kisten dürfen die Dämonen mit root-Rechten (nur die dürfen Ports <1024 belegen) den Port 80 udn Port 53 von allen System kontaktieren (ob die HTTP/DNS machen oder nicht, wird in der Regel nicht definiert).
- Alles andere wird vermutlich geblockt.
da allerdigns nciht ganz klar ist, auf welchem Modell Deine regeln basieren, können die Auswirkengen auf einer konkreten Firewall-implementierung sich schon wieder ganz anders auswirken.
lks
Guten Morgen
Eigentlich handelt es sich um eine echte, allerdings sind meine Angaben oben eher auf eine "hypothetische" Firewall zugeschnitten!
Habe hier einfach zum test eine Astaro V8 in eine VM installiert und wollte damit einwenig rumspielen...
@aqui:
also in den Firewall-Einstellungen kann ich kein Inbound bzw. Outbound als "Richtung" angeben.
@..sk..:
Wie gesagt ich nutze eine Astaro Firwall (eigentlich ja) anscheinend ist es bei dieser so, dass die regeln auf allen Interfaces ohne In- oder Outbound laufen.
Mal 2 Screenshots:
Firewall-Regeln:
Erläuterung:
Regel-Nr.1
DNS-Server dürfen über Port53 überall hin
Regel-Nr.2
Internal (LAN -> 192.168.1.0/24) darf NICHT über 80 Raus
Grund dafür: ich habe die Web-Security angeschaltet. Sprich: Es soll über den Astaro Proxy gesurft werden.
Regel-Nr.3
ein 172er Netz darf einfach alles, das ist ein Testnetz wo die Astaro hin routet <- ist zu vernachlässigen
Regel-Nr.4
Die Regel setzte ich dann auf "aktiv" wenn gar nichts mehr geht bzw. nur zum Test. Sollte irgendetwas nicht funtkionieren kann man damit gut testen ob die FW es blockt
Regel-Nr.5
Default "block alles andere"
So siehts aus wenn ich eine neue Regel erstellen will:
Eine richtung (In- oder Outbound) kann ich da nicht wirklich mit angeben
Eigentlich handelt es sich um eine echte, allerdings sind meine Angaben oben eher auf eine "hypothetische" Firewall zugeschnitten!
Habe hier einfach zum test eine Astaro V8 in eine VM installiert und wollte damit einwenig rumspielen...
@aqui:
also in den Firewall-Einstellungen kann ich kein Inbound bzw. Outbound als "Richtung" angeben.
@..sk..:
Wie gesagt ich nutze eine Astaro Firwall (eigentlich ja) anscheinend ist es bei dieser so, dass die regeln auf allen Interfaces ohne In- oder Outbound laufen.
Mal 2 Screenshots:
Firewall-Regeln:
Erläuterung:
Regel-Nr.1
DNS-Server dürfen über Port53 überall hin
Regel-Nr.2
Internal (LAN -> 192.168.1.0/24) darf NICHT über 80 Raus
Grund dafür: ich habe die Web-Security angeschaltet. Sprich: Es soll über den Astaro Proxy gesurft werden.
Regel-Nr.3
ein 172er Netz darf einfach alles, das ist ein Testnetz wo die Astaro hin routet <- ist zu vernachlässigen
Regel-Nr.4
Die Regel setzte ich dann auf "aktiv" wenn gar nichts mehr geht bzw. nur zum Test. Sollte irgendetwas nicht funtkionieren kann man damit gut testen ob die FW es blockt
Regel-Nr.5
Default "block alles andere"
So siehts aus wenn ich eine neue Regel erstellen will:
Eine richtung (In- oder Outbound) kann ich da nicht wirklich mit angeben
Wie Kollege sk schon richtig bemerkt bist du für eine Firewall Konfig herrlich oberflächlich, denn es fehlen weiterhin sämtliche Angaben der Transport- oder Diensteprotokolle wie TCP, UDP, ICMP usw. in deine Regeldefinitionen. So lax zu sein kann an einer FW schlimme Folgen haben...!
Aber vielleicht ist das ja bei Astaro so üblich, was allerdings dann fatal wäre...
Wenn du inbound oder outbound nicht definieren kannst, dann kann deine Firewall vermutlich nur rein inbound was nicht unüblich wäre. Die Reglen gelten also dann immer für alle Pakete die ins Interface "reinfliessen".
Aber vielleicht ist das ja bei Astaro so üblich, was allerdings dann fatal wäre...
Wenn du inbound oder outbound nicht definieren kannst, dann kann deine Firewall vermutlich nur rein inbound was nicht unüblich wäre. Die Reglen gelten also dann immer für alle Pakete die ins Interface "reinfliessen".
Nicht falsch verstehen, die Firewall ist nur zum "spielen" da. Ich möchte einfach nur ein wenig experimetieren um dann später vielleicht mal eine produktive Firewall zu konfigurieren!
Beziehst du dich mit deiner Aussage "So lax zu sein etc. ..." auf meine vorher geposteten Screenshots?
Sollte das der Fall sein: Die Regeln sind erst einmal dazu gedacht alles zum laufen zu bringen, später will ich nur noch das druchlassen was muss
Beziehst du dich mit deiner Aussage "So lax zu sein etc. ..." auf meine vorher geposteten Screenshots?
Sollte das der Fall sein: Die Regeln sind erst einmal dazu gedacht alles zum laufen zu bringen, später will ich nur noch das druchlassen was muss
Zitat von @dmin87:
Die Regeln sind erst einmal dazu gedacht alles zum laufen zu bringen, später will ich nur noch das
druchlassen was muss
Die Regeln sind erst einmal dazu gedacht alles zum laufen zu bringen, später will ich nur noch das
druchlassen was muss
typischer fehler bei Firewall-konfigurationen:
Hauptsache es läuft erstmal.
Natürlich hängen einem die ganzen User im Nacken, wenn "nichts" läuft. Aber deswegen erstmal alles zuzulassen ist ein Riesenfehler.
Keiner würden den Wekschutz beauftragen, mal einfach alle ohne Kontrolle rein und rauszulassen, damit der Massenandrang vor den Toren sich auflöst. Aber bei Firewalls macht man das.
lks
