Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall Rule für VPN

Frage Sicherheit Firewall

Mitglied: Dirmhirn

Dirmhirn (Level 2) - Jetzt verbinden

21.04.2009, aktualisiert 23:35 Uhr, 7485 Aufrufe, 4 Kommentare

Wir haben eine Check Point VPN UTM-1 Edge X Firewall. VPN funktioniert nur wenn wir für den Client IP-Bereich eine Firewall ausnahme einrichten.

Hallo

wir haben seit kurzem eine Check Point VPN UTM-1 Edge X Firewall. Der Zugriff per Checkpoint SecuRemote Client über VPN funktioniert, allerdings nur wenn wir die Interne IP des Remote Clients in der Firewall expliziet zulassen (zB 192.168.1.23).

gibt es eine andere Möglichkeit? zb über einen Port. Wir können nicht alle IPs eintragen - bzw bei mobilem Internt gibts immer eine neue.
an erster Stelle lassen wir den gesamten Verkehr aus dem LAN ins WAN - dann die VPN-IP-Rules und als letztze Regel blocken wir den gesamten Traffic aus dem WAN ins LAN.

Der SecuRemote Client startet eine Verbindung über port 246 - wäre das eine Lücke wenn wir den einfach freigeben?
Muss man noch weitere Ports freigeben?

lg Dirm
Mitglied: aqui
22.04.2009 um 15:30 Uhr
Du hast dir deine Frage doch schon selber beantwortet !!!
Wenn die remote SW TCP 246 benutzt musst du diesen Port logischerweise freigeben.
Alles was du freigeben musst ist erstmal einen Lücke...damit musst du leben !

Sicherer wäre es ggf. einen VPN Verbindung auf die FW zu eröffnen und das Remote Tool darüber laufen zu lassen....
Bitte warten ..
Mitglied: Dirmhirn
22.04.2009 um 20:22 Uhr
hmmm na das SecuRemote ist für die VPN Verbindung selbst. Das brauche ich um die Verbindung zu öffnen.

Das Thema hat sich vorerst erledigt - der Techniker hat uns das ganze als Feature erklärt. Man braucht - freigeschaltene interneIP + Benutzer + Passwort.

Aber zB mit mobilem Internet ist es ja meist nicht möglich die IP zu wählen.
Die Verwendung ist dafür zwar noch nicht geplant, aber das könnte bald kommen und wenn ich dann jeden 2. Tag 10 IP adressen eintragen muss wird das auch fad...

Falls wer das gleiche Gerät hat, würde es mich interessieren wie ihr das macht.

lg Dirm
Bitte warten ..
Mitglied: 51705
22.04.2009 um 21:23 Uhr
Hallo Dirm,

ich kenne die Check Point nicht im Detail, vielleicht verstehe ich deshalb die Frage nicht.

Grundsätzlich müssen doch für mobile Clients eingehende VPN-Verbindungen für alle möglichen IPs auf dem VPN-Gateway zugelassen werden. Das ist soweit in Ordnung, da der Authentifizierungsmechanismus zwischen authorisiert oder eben nicht unterscheiden können sollte (die Komplexität der Authentifizierung kann man ja beliebig hoch ansetzen).

Erst nach erfolgter Authorisierung wird ein VPN-Tunnel etabliert, welcher dann beliebige (vorher definierte) IPs nutzt. Diese sind in keiner Weise von der aktuellen öffentlichen IP des mobilen Clients abhängig, und können somit beliebigen statischen Filterregeln unterworfen werden.

Etwa so:

mobiler Client -> Internet -> Perimeter1 -> VPN-Gateway -> Perimeter2 -> internes Netz

Am Perimeter1 sind ausschliesslich VPN-Verbindungen von der eben verwendeten öffentlichen (beliebigen) IP zugelassen. Wird die Verbindung authorisiert, erfolgt an Perimeter2 die Filterung bzgl. der duch den VPN-Client zugelassenen Dienste anhand der vorher festgelegten VPN-IP. Die VPN-IP ist somit statisch und muß nicht 'eingetragen' werden.

Die gesamte Funktionalität von Perimeter1/VPN-Gateway/Perimeter2 ist mit einem Router mit entsprechender Firewall-Funktion recht einfach realisierbar, d.h. deine Check Point VPN UTM-1 sollte das bewerkstelligen können.

Grüße, Steffen
Bitte warten ..
Mitglied: Dirmhirn
30.05.2009 um 10:30 Uhr
Die Lösung für das ganze Problem:
- SecureClient statt SecuRemote verwenden
- OfficeMode in der FW aktivieren
- OfficeMode im SecureClient Profil aktivieren
- verbinden

Der Client bekommt anschließend eine interne IP (std 192.168.254.0/24) und kann ganz ins LAN. Hier kann man auch DNS-Einträge verteilen und DHCP aktivieren.

Die Firewallregeln werden auf die VPN-Clients angewendet, als wären sie im LAN. Man kann aber Regeln erstellen, die Traffic - der über eine OfficeMode Verbindung kommt - überprüfen.

sg Dirm
Bitte warten ..
Ähnliche Inhalte
Firewall
PfSense Monitoring Firewall Rules
Frage von JudgeDreddFirewall3 Kommentare

Hallo Zusammen, im Einsatz ist eine pfSense (Version 2.4.0), auf der diverse FW-Regeln angelegt sind. Es kommt ja immer ...

Router & Routing
Firewall Rules Outbound Cisco RV130W
Frage von SergeantRaufboldRouter & Routing3 Kommentare

Hallo Zusammen, ich habe hier ein Problem mit den Firewall Regeln eines Cisco RV130 RV. Ich möchte jeden ausgehenden ...

Netzwerkgrundlagen
DMZ vs normale Firewall Rules
Frage von stephan902Netzwerkgrundlagen5 Kommentare

Hallo, nachdem ich es auch nach einiger Zeit googeln nicht verstehe, muss ich jetzt doch noch mal fragen. Was ...

Firewall
Ipfire 2.15 auf Konsole Firewall Rules komplett deaktivieren
gelöst Frage von dustendFirewall7 Kommentare

Huhu, vor lauter Tests mit Statischen Routen/Rules warum auch immer die Website nicht aufgerufen werden kann. (andere Anfrage von ...

Neue Wissensbeiträge
Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 26 MinutenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 14 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 18 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 18 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...