LCOS 10.40RC1

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
DirkK
Beiträge: 555
Registriert: 13 Jun 2005, 15:49

LCOS 10.40RC1

Beitrag von DirkK »

Hallo,

habe heute mal das 10.40RC1 eingespielt, in den Release-Notes steht:
Die IPv4-Firewall unterstützt nunmehr keine MAC-Adressen als Ziel. Bestehende Konfigurationen funktionieren weiterhin.
  1. Wer ist denn auf diese Schnapsidee gekommen?!
  2. Stimmt das nicht! Alte Konfigurationen lassen sich per Lanconfig nicht zurückspielen, solange die Firewallregeln nicht entsprechend adaptiert sind.
Das ist totaler Krampf :twisted:

Grüße
Dirk
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LCOS 10.40RC1

Beitrag von backslash »

Hi DirkK
1. Wer ist denn auf diese Schnapsidee gekommen?!
ich

Anders herum gefragt: Wer kommt auf die Schnapsidee, MAC-Adressen in der Zielspalte einzutragen?

Die Begründung für MAC-Adressen in der Quellspalte ist, daß man Hosts per DHCP dynamisch Adressen zuweist und daß diese daher nicht stabil sind und man für diese Hosts keine Regeln für "abgehende" Sessions erstellen kann... MAC-Addressen in der Zielspalte werden aber nur für "eingehende" Sessions benötigt. Das heißt aber, daß der jenige, der die Session aufbauen will, die Ziel-IP-Adresse kennen muß. Somit ist diese stabil und die MAC-Adresse wird nicht benötigt.

Eine MAC-Adresse bringt i.Ü. weder in der Ziel- noch in der Quellspalte irgendwas an Sicherheit: Ein Angreifer, der eine IP-Adresse fälschen kann, kann auch die MAC-Adresse fälschen - zudem muß er sich schon im lokalen Netz befinden...
2. Stimmt das nicht! Alte Konfigurationen lassen sich per Lanconfig nicht zurückspielen, solange die Firewallregeln nicht entsprechend adaptiert sind.
Das stimmt sehr wohl! Wenn du mit LANconfig eine Konfig in das Gerät lädst, dann ist das keine Bestehende mehr, sondern eine Neue und die wird abgelehnt. Es geht nur darum, daß Firewallregeln nach einem Firmwareupdate erstmal weiter funktionieren - das ist das gleiche wie damals bei der Abschaffung der "Any-Bindung". Dennoch müssen alle Regeln mit MAC-Adresse in der Zielspalte abgeändert werden, da die ab der 10.50 definitiv nicht mehr funktionieren werden!

Gruß
Backslash
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: LCOS 10.40RC1

Beitrag von ittk »

Danke fuer die Infos. Wir sind gerade erst beim 10.40 RC1 und schon wird eine 10.50 erwaehnt, gefaellt mir ;)

Btw:
Weiss jemand, ob dieser Crash mit der 10.32 RU4 bereits behoben ist?
Oder wird es erst in eine LCOS 10.40 einfliessen? Den Release Notes kann ich nichts entnehmen...

viewtopic.php?f=42&t=17662&sid=56583b9b ... 15#p101177
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
DirkK
Beiträge: 555
Registriert: 13 Jun 2005, 15:49

Re: LCOS 10.40RC1

Beitrag von DirkK »

backslash hat geschrieben: 10 Dez 2019, 19:28
1. Wer ist denn auf diese Schnapsidee gekommen?!
ich

Anders herum gefragt: Wer kommt auf die Schnapsidee, MAC-Adressen in der Zielspalte einzutragen?

Die Begründung für MAC-Adressen in der Quellspalte ist, daß man Hosts per DHCP dynamisch Adressen zuweist und daß diese daher nicht stabil sind und man für diese Hosts keine Regeln für "abgehende" Sessions erstellen kann... MAC-Addressen in der Zielspalte werden aber nur für "eingehende" Sessions benötigt. Das heißt aber, daß der jenige, der die Session aufbauen will, die Ziel-IP-Adresse kennen muß. Somit ist diese stabil und die MAC-Adresse wird nicht benötigt.

Eine MAC-Adresse bringt i.Ü. weder in der Ziel- noch in der Quellspalte irgendwas an Sicherheit: Ein Angreifer, der eine IP-Adresse fälschen kann, kann auch die MAC-Adresse fälschen - zudem muß er sich schon im lokalen Netz befinden...
Ahh gut, dass du das so beschreibst, du lieferst damit nämlich genau das Argument für eine MAC-basierte Zielzuweisung:
IP-Adressen werden dynamisch per DHCP zugewiesen, ich will aber nur für ganz bestimmte Endgeräte bzw. Endgeräteklassen z.B. ein QoS auf einen Service eingehend zulassen, dann trage ich dort die MAC-Adressen ein, da die IP, ja wie du selbst raus gefunden hast ja dynamisch sind. Dafür muss man nicht unbedingt die IP, wohl aber die MAC kennen.

Es geht hier auch nicht um Angreifer, wobei es schon ein erheblicher Unterschied ist, ob man einem Endgerät einfach nur eine fixe IP zuweist, oder deutlich aufwändiger die MAC fälscht.
backslash hat geschrieben: 10 Dez 2019, 19:28
2. Stimmt das nicht! Alte Konfigurationen lassen sich per Lanconfig nicht zurückspielen, solange die Firewallregeln nicht entsprechend adaptiert sind.
Das stimmt sehr wohl! Wenn du mit LANconfig eine Konfig in das Gerät lädst, dann ist das keine Bestehende mehr, sondern eine Neue und die wird abgelehnt. Es geht nur darum, daß Firewallregeln nach einem Firmwareupdate erstmal weiter funktionieren - das ist das gleiche wie damals bei der Abschaffung der "Any-Bindung". Dennoch müssen alle Regeln mit MAC-Adresse in der Zielspalte abgeändert werden, da die ab der 10.50 definitiv nicht mehr funktionieren werden!
Das ist Haarspalterei! Wenn z.B. ich in den Kommentaren etwas ändere, dann ist es ja nicht gleich eine neue Konfiguration, und über die Kommandozeile oder die WebGui lässt sich das vermutlich problemlos ändern.
Dann frage ich mich aber, warum überhaupt noch die Möglichkeit besteht im Lanconfig eine MAC-Adresse als Ziel einzutragen, wenn die Konfig dann nicht geschrieben werden kann.
Sorry, das ist alles nicht zu Ende gedacht!

Grüße
Dirk
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LCOS 10.40RC1

Beitrag von backslash »

Hi DirkK,
Ahh gut, dass du das so beschreibst, du lieferst damit nämlich genau das Argument für eine MAC-basierte Zielzuweisung:
IP-Adressen werden dynamisch per DHCP zugewiesen, ich will aber nur für ganz bestimmte Endgeräte bzw. Endgeräteklassen z.B. ein QoS auf einen Service eingehend zulassen, dann trage ich dort die MAC-Adressen ein, da die IP, ja wie du selbst raus gefunden hast ja dynamisch sind. Dafür muss man nicht unbedingt die IP, wohl aber die MAC kennen.
und genau damit beschreibst du auch gleich wieder, warum es eben *NICHT* nötig ist - bzw. daß du offenfar nicht richtig verstanden hast, wie die eine Stateful-Inspection-Firewall arbeitet...

Nochmal: Wenn jemand von "aussen" auf die Serssion zum Gerät initiieren will, denn muß er dessen IP-Adresse kennen und diese muß somit stabil sein. Auf ein Gerät dessen IP-Adresse dynamisch ist kann von außen nicht zugegriffen werden (zwar schon per DNS, aber wenn das LANCOM der DNS-Server ist, dann kannst du den Namen in der Regel verwenden und der ist ja auch wieder stabil)

Somit muß das Gerät schon selbst die Session initiieren und die Regel mit MAC-Adresse in Zielspalte würde gar nicht erst greifen. Daher brauchst du eine "abgehende" Regel mit MAC-Adresse in der Quellspalte, in der du dann für den eingehenden Traffic die QoS-Optionen setzt.
Das ist Haarspalterei! Wenn z.B. ich in den Kommentaren etwas ändere, dann ist es ja nicht gleich eine neue Konfiguration
Nein das ist *KEINE* Haarspalterei. Für das Gerät ist eine Konfiguration, die als .lcf-Datei in das Gerät geladen wird, *IMMER* eine komplett *NEUE* Konfiguration. Solange du auf dem CLI oder mit der WEBconfig arbeitest, kannst du problemlos die Konfiguration ändern - aber auch da wirst du keine Einträge erzeugen können, die MAC-Adressen in der Zielspalte haben

Gruß
Backslash
GeeEmm
Beiträge: 124
Registriert: 25 Jun 2005, 10:08
Wohnort: München

Re: LCOS 10.40RC1

Beitrag von GeeEmm »

Hallo zusammen,

das Thema sorgt bei mir nach Aufspielen der aktuellen 10.40.0210 Rel für Probleme, meine Konfiguration lässt sich nicht speichern. Nach meinem Verständnis lassen sich nun im Ziel folgende Werte nicht mehr eintragen:
- MAC Adressen
- Stationen, hinter denen MAC Adressen hinterlegt sind

Gibt es noch weitere Einschränkungen, z.B. Gegenstellen, Netze, etc?

Danke,
GeeEmm
GeeEmm
Beiträge: 124
Registriert: 25 Jun 2005, 10:08
Wohnort: München

Re: LCOS 10.40RC1

Beitrag von GeeEmm »

Hat sich geklärt, danke!
Antworten