Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall Rule für VPN

Frage Sicherheit Firewall

Mitglied: Dirmhirn

Dirmhirn (Level 2) - Jetzt verbinden

21.04.2009, aktualisiert 23:35 Uhr, 7359 Aufrufe, 4 Kommentare

Wir haben eine Check Point VPN UTM-1 Edge X Firewall. VPN funktioniert nur wenn wir für den Client IP-Bereich eine Firewall ausnahme einrichten.

Hallo

wir haben seit kurzem eine Check Point VPN UTM-1 Edge X Firewall. Der Zugriff per Checkpoint SecuRemote Client über VPN funktioniert, allerdings nur wenn wir die Interne IP des Remote Clients in der Firewall expliziet zulassen (zB 192.168.1.23).

gibt es eine andere Möglichkeit? zb über einen Port. Wir können nicht alle IPs eintragen - bzw bei mobilem Internt gibts immer eine neue.
an erster Stelle lassen wir den gesamten Verkehr aus dem LAN ins WAN - dann die VPN-IP-Rules und als letztze Regel blocken wir den gesamten Traffic aus dem WAN ins LAN.

Der SecuRemote Client startet eine Verbindung über port 246 - wäre das eine Lücke wenn wir den einfach freigeben?
Muss man noch weitere Ports freigeben?

lg Dirm
Mitglied: aqui
22.04.2009 um 15:30 Uhr
Du hast dir deine Frage doch schon selber beantwortet !!!
Wenn die remote SW TCP 246 benutzt musst du diesen Port logischerweise freigeben.
Alles was du freigeben musst ist erstmal einen Lücke...damit musst du leben !

Sicherer wäre es ggf. einen VPN Verbindung auf die FW zu eröffnen und das Remote Tool darüber laufen zu lassen....
Bitte warten ..
Mitglied: Dirmhirn
22.04.2009 um 20:22 Uhr
hmmm na das SecuRemote ist für die VPN Verbindung selbst. Das brauche ich um die Verbindung zu öffnen.

Das Thema hat sich vorerst erledigt - der Techniker hat uns das ganze als Feature erklärt. Man braucht - freigeschaltene interneIP + Benutzer + Passwort.

Aber zB mit mobilem Internet ist es ja meist nicht möglich die IP zu wählen.
Die Verwendung ist dafür zwar noch nicht geplant, aber das könnte bald kommen und wenn ich dann jeden 2. Tag 10 IP adressen eintragen muss wird das auch fad...

Falls wer das gleiche Gerät hat, würde es mich interessieren wie ihr das macht.

lg Dirm
Bitte warten ..
Mitglied: 51705
22.04.2009 um 21:23 Uhr
Hallo Dirm,

ich kenne die Check Point nicht im Detail, vielleicht verstehe ich deshalb die Frage nicht.

Grundsätzlich müssen doch für mobile Clients eingehende VPN-Verbindungen für alle möglichen IPs auf dem VPN-Gateway zugelassen werden. Das ist soweit in Ordnung, da der Authentifizierungsmechanismus zwischen authorisiert oder eben nicht unterscheiden können sollte (die Komplexität der Authentifizierung kann man ja beliebig hoch ansetzen).

Erst nach erfolgter Authorisierung wird ein VPN-Tunnel etabliert, welcher dann beliebige (vorher definierte) IPs nutzt. Diese sind in keiner Weise von der aktuellen öffentlichen IP des mobilen Clients abhängig, und können somit beliebigen statischen Filterregeln unterworfen werden.

Etwa so:

mobiler Client -> Internet -> Perimeter1 -> VPN-Gateway -> Perimeter2 -> internes Netz

Am Perimeter1 sind ausschliesslich VPN-Verbindungen von der eben verwendeten öffentlichen (beliebigen) IP zugelassen. Wird die Verbindung authorisiert, erfolgt an Perimeter2 die Filterung bzgl. der duch den VPN-Client zugelassenen Dienste anhand der vorher festgelegten VPN-IP. Die VPN-IP ist somit statisch und muß nicht 'eingetragen' werden.

Die gesamte Funktionalität von Perimeter1/VPN-Gateway/Perimeter2 ist mit einem Router mit entsprechender Firewall-Funktion recht einfach realisierbar, d.h. deine Check Point VPN UTM-1 sollte das bewerkstelligen können.

Grüße, Steffen
Bitte warten ..
Mitglied: Dirmhirn
30.05.2009 um 10:30 Uhr
Die Lösung für das ganze Problem:
- SecureClient statt SecuRemote verwenden
- OfficeMode in der FW aktivieren
- OfficeMode im SecureClient Profil aktivieren
- verbinden

Der Client bekommt anschließend eine interne IP (std 192.168.254.0/24) und kann ganz ins LAN. Hier kann man auch DNS-Einträge verteilen und DHCP aktivieren.

Die Firewallregeln werden auf die VPN-Clients angewendet, als wären sie im LAN. Man kann aber Regeln erstellen, die Traffic - der über eine OfficeMode Verbindung kommt - überprüfen.

sg Dirm
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Firewall
Mobile VPN Geräte ohne Windows Firewall (7)

Frage von Milchmann89 zum Thema Firewall ...

Firewall
gelöst Checkpoint Firewall - VPN CLient (5)

Frage von Leo-le zum Thema Firewall ...

Windows Netzwerk
Direct Access mit VPN aufbau (6)

Frage von geocast zum Thema Windows Netzwerk ...

Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (7)

Frage von Venator zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...