Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Firewall konfiguraiton

Frage Sicherheit Firewall

Mitglied: dmin87

dmin87 (Level 1) - Jetzt verbinden

13.08.2012, aktualisiert 14.08.2012, 3089 Aufrufe, 7 Kommentare

Hallo,

ich habe eine kleine Frage zur richtigen Konfiguration einer Firwall.

Ich stehe gerade ein wenig aufm Schlauch bzw. möchte meine vermutung bestätigt haben.

Sagen wir ich habe eine Firewall mit 2 Interfaces (LAN & WAN)

Die Firewallregeln lauten:

Nr Source Dest. S-Port D-Port Aktion
1: LAN Any <1024 80 Permit (HTTP darf von innen nach außen)
2: LAN Any <1024 53 Permit (DNS darf raus)
3: any any any any drop/deny (default-> alles was nicht passt hau weg)


Nur um sicher zu gehen, würde ich gerne wissen ob die Regel Nr.3 generell alles und jeden blockt (auch vom WAN zum LAN) das nicht auf Regel 1 & 2 passt. Sprich wenn ein PC aus dem WAN vom S-Port 55555 auf den D-Port 2222 ins LAN will wird er von der FW geblockt da Regel Nr.3 greift, richtig?

Im Umkehrschluss müsste es ja bedeuten, dass wenn ich Regel 3 bei Aktion auf "Permit" ändere alles von intern nach extern und von extern nach intern durchgelassen wird -> also quasi die Firewall nutzlos ist weil keine Filterung stattfindet.

P.S.:
Ich bitte um Entschuldigung wenn diese Frage eurer Meinung nach zu Trivial ist um einen eigenen Threat zu eröffnen, allerdings sollte das Thema "Sicherheit" groß geschrieben werden und jede all zu "doofe" Frage sollte aus der Welt geschafft werden -> zudem lerne ich noch

Mitglied: aqui
13.08.2012, aktualisiert um 21:35 Uhr
Gibt ja nur doofe Antworten.... aber die erste Frage hättst du auch selber gewusst !
ob die Regel Nr.3 generell alles und jeden blockt (auch vom WAN zum LAN) ...
Das wäre ja Unsinn denn jede Firewall Regel ist immer Interface bezogen. Bei guten FW sogar noch getrennt nach inbound und outbound Traffic.
Also kann ja logischerweise niemals eine einzige Regel für alles gelten. Wäre auch gar nicht möglich wenn Source und Destination (in- outbound) mal vertauscht wäre...vergiss das also !
Die Threads hier behandeln zum Teil solche FW Regeln in der Diskussion:
http://www.administrator.de/contentid/149915
http://www.administrator.de/contentid/91413
Bitte warten ..
Mitglied: sk
13.08.2012, aktualisiert um 23:44 Uhr
zu Regel 1 und 2)
Zunächst ist festzuhalten, dass hier die Angabe des Transportprotokolls fehlt. Vermutlich meinst Du TCP/80 und UDP/53. Gleichwohl wäre damit noch längst nicht sichergestellt, dass es sich dabei ausschließlich um die HTTP-Traffic und um DNS-Namensauflösungen handelt. Dafür müsste die Box auf Anwendungsprotokollebene arbeiten.
Darüber hinaus fällt die Angabe Source-Port <1024 ins Auge. Der Source-Port liegt aber normalerweise über den sog. well known Ports. In Deinem Beispiel würde der Browser also keine Webseiten abrufen können.


zu Regel 3)
Ob diese Regel nun sowohl für Traffic greift, der von LAN zu WAN als auch von WAN zu LAN initiiert wird (dass wir über eine stateful Firewall sprechen, setze ich voraus), hängt von der konkreten Implementierung ab. Ohne Kenntnis des konkreten Firewallmodells kann man die Frage nicht beantworten.
Außerdem sollte nicht unerwähnt bleiben, dass in der noch vorherrschenden IPv4-Welt das LAN i.d.R. privat adressiert ist. Ohne dementsprechende Adressübersetzung scheitert ohnehin jede Verbindungsaufnahme.


Zitat von aqui:
Das wäre ja Unsinn denn jede Firewall Regel ist immer Interface bezogen.

Es gibt durchaus auch Firewalls, bei denen eine Regel auf mehrere oder alle Interfaces wirken kann.


Gruß
Steffen
Bitte warten ..
Mitglied: Lochkartenstanzer
14.08.2012 um 00:18 Uhr
N'Abend,

Redest Du von eienr hypothetischen Firewall oder einer echten?

Rein aus deinen Infos heraus ürde ich tippen:

  • Bei deinen Unix-kisten dürfen die Dämonen mit root-Rechten (nur die dürfen Ports <1024 belegen) den Port 80 udn Port 53 von allen System kontaktieren (ob die HTTP/DNS machen oder nicht, wird in der Regel nicht definiert).

  • Alles andere wird vermutlich geblockt.

da allerdigns nciht ganz klar ist, auf welchem Modell Deine regeln basieren, können die Auswirkengen auf einer konkreten Firewall-implementierung sich schon wieder ganz anders auswirken.

lks
Bitte warten ..
Mitglied: dmin87
14.08.2012, aktualisiert um 08:00 Uhr
Guten Morgen

Eigentlich handelt es sich um eine echte, allerdings sind meine Angaben oben eher auf eine "hypothetische" Firewall zugeschnitten!

Habe hier einfach zum test eine Astaro V8 in eine VM installiert und wollte damit einwenig rumspielen...

@aqui:
also in den Firewall-Einstellungen kann ich kein Inbound bzw. Outbound als "Richtung" angeben.

@..sk..:
Wie gesagt ich nutze eine Astaro Firwall (eigentlich ja) anscheinend ist es bei dieser so, dass die regeln auf allen Interfaces ohne In- oder Outbound laufen.

Mal 2 Screenshots:

Firewall-Regeln:

91ed104fb736f083b90d287cd720b98a - Klicke auf das Bild, um es zu vergrößern

Erläuterung:

Regel-Nr.1

DNS-Server dürfen über Port53 überall hin

Regel-Nr.2

Internal (LAN -> 192.168.1.0/24) darf NICHT über 80 Raus

Grund dafür: ich habe die Web-Security angeschaltet. Sprich: Es soll über den Astaro Proxy gesurft werden.

Regel-Nr.3

ein 172er Netz darf einfach alles, das ist ein Testnetz wo die Astaro hin routet <- ist zu vernachlässigen

Regel-Nr.4

Die Regel setzte ich dann auf "aktiv" wenn gar nichts mehr geht bzw. nur zum Test. Sollte irgendetwas nicht funtkionieren kann man damit gut testen ob die FW es blockt

Regel-Nr.5

Default "block alles andere"

So siehts aus wenn ich eine neue Regel erstellen will: 015f484da90678de7f2c043bc13cbcb1 - Klicke auf das Bild, um es zu vergrößern


Eine richtung (In- oder Outbound) kann ich da nicht wirklich mit angeben
Bitte warten ..
Mitglied: aqui
14.08.2012, aktualisiert um 09:44 Uhr
Wie Kollege sk schon richtig bemerkt bist du für eine Firewall Konfig herrlich oberflächlich, denn es fehlen weiterhin sämtliche Angaben der Transport- oder Diensteprotokolle wie TCP, UDP, ICMP usw. in deine Regeldefinitionen. So lax zu sein kann an einer FW schlimme Folgen haben...!
Aber vielleicht ist das ja bei Astaro so üblich, was allerdings dann fatal wäre...
Wenn du inbound oder outbound nicht definieren kannst, dann kann deine Firewall vermutlich nur rein inbound was nicht unüblich wäre. Die Reglen gelten also dann immer für alle Pakete die ins Interface "reinfliessen".
Bitte warten ..
Mitglied: dmin87
14.08.2012, aktualisiert um 10:51 Uhr
Nicht falsch verstehen, die Firewall ist nur zum "spielen" da. Ich möchte einfach nur ein wenig experimetieren um dann später vielleicht mal eine produktive Firewall zu konfigurieren!

Beziehst du dich mit deiner Aussage "So lax zu sein etc. ..." auf meine vorher geposteten Screenshots?

Sollte das der Fall sein: Die Regeln sind erst einmal dazu gedacht alles zum laufen zu bringen, später will ich nur noch das druchlassen was muss
Bitte warten ..
Mitglied: Lochkartenstanzer
14.08.2012 um 11:52 Uhr
Zitat von dmin87:
Die Regeln sind erst einmal dazu gedacht alles zum laufen zu bringen, später will ich nur noch das
druchlassen was muss

typischer fehler bei Firewall-konfigurationen:

Hauptsache es läuft erstmal.

Natürlich hängen einem die ganzen User im Nacken, wenn "nichts" läuft. Aber deswegen erstmal alles zuzulassen ist ein Riesenfehler.

Keiner würden den Wekschutz beauftragen, mal einfach alle ohne Kontrolle rein und rauszulassen, damit der Massenandrang vor den Toren sich auflöst. Aber bei Firewalls macht man das.

lks
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
Vom LAN auf Router über Firewall zugreiffen (5)

Frage von miichiii9 zum Thema Firewall ...

Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (4)

Frage von Aubanan zum Thema Windows Server ...

Router & Routing
gelöst Fritzbox am FTTx-Anschluss ganz ohne Firewall ? (3)

Frage von Dilbert-MD zum Thema Router & Routing ...

Firewall
Firewall für DMZ und Intranet richtig konfigurieren (3)

Frage von vGaven zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...