Lancom Firewall - empfohlene Standard-Settings?

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von C/5 »

Hallo tom,

hm, wenn @backslash das wiederholt so beschreibt, muss es wohl so sein. Vielleicht äußert er sich noch mal dediziert dazu, wie die implizite Allow-All-Regel im Zusammenspiel mit dem Portmapping durch NAT dabei die Statefull-Paket-Inspection aushebeln soll, wenn keine Deny-All-Stragie eingerichtet ist. Wenn man einen bösen Link erwischt, wie in dem Beispiel skizziert (anno 2008), ist das immer noch eine von innen gestartete Verbindung. Da erschließt sich mir erst mal nicht, wie Deny-All + eine Regel für FTP (so müsste es in dem Beispiel mind. angelegt sein) helfen könnte, den offensichtlich vorgesehenen Redirect auf den lokalen Port 137 zu verhindern. Anders gesagt, wenn man selbst unwillentlich eine Verbindung zu einem böswilligen Kommunikationsparter initiiert, ist das aus Sicht der SPI 'ok'. Da bin ich durchaus auch an einer ausführlicheren Darlegung interessiert.

Fakt ist, dass die Firewall im Lancom in Default-Einstellung bereits aktiviert ist.
Lancom Firewall default.PNG
(Anm.: Ist zwar nur mein alter klappriger 1821n, aber das gilt so auch für aktuelle Geräte.)

Ebenso ist NAT auf der Route ins Internet per Default aktiviert.
Lancom Router NAT default.png
Das ist doch sicher beides bei Dir auch aktiviert? Dann sollte auch für die implizite Allow-All-Regel die SPI funktionieren. Wie gesagt, bin auch ich interessiert an weitergehenden Erläuterungen, sollte das nicht so sein.

Nichtsdestotrotz laufen alle von mir eingerichteten LANCOMs schon immer mit Deny-All + dediziertem Regel-Set für ausgehende Kommunikation.

Gruß
C/5
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
tom63
Beiträge: 238
Registriert: 01 Dez 2007, 15:26

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von tom63 »

C/5 hat geschrieben: 07 Nov 2020, 08:43 Fakt ist, dass die Firewall im Lancom in Default-Einstellung bereits aktiviert ist.
Ebenso ist NAT auf der Route ins Internet per Default aktiviert.
Das ist doch sicher beides bei Dir auch aktiviert?
hallo c/5,

wieder ein dankeschoen fuer deine mithilfe!
ja - ist bei mir auch alles per default aktiviert gewesen

netter gruss
tom
tom63
Beiträge: 238
Registriert: 01 Dez 2007, 15:26

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von tom63 »

so und nachdem @backslash mich diesmal offenbar fuers firewall-bootcamp vorgesehen hatte hier meine ersten versuche.

-> in einer win7 vm die aktuelle lanconfig 10.40 ru4 runtergeladen
-> update 1781ef+ auf 10.40 ru3
-> aktuelle konfigurationsdatei gesichert
-> aktuelle konfigurationsdatei als erste alternative konfigurationsdatei wieder hochgeladen

jetzt muesste ich (hoffe ich) im worst case nur den reset knopf 5 sekunden druecken um auf den alten stand ohne 'deny all' zurueckzugehen wenn ich mich selber ausgeschlossen habe?

also und so sieht es momentan aus. anregungen verbesserungen ratschlaege etc immer gerne willkommen ...

netter gruss in die runde
tom

p.s. faende es aus gruenden der einheitlichkeit/uebersichtlichkeit besser wenn im lanconfig statt 'beliebig' wie im setting und der dokumentation/referencemanual auch 'alle stationen' angezeigt wuerde. oder spricht da etwas dagegen?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von backslash »

Hi tom63
jetzt muesste ich (hoffe ich) im worst case nur den reset knopf 5 sekunden druecken um auf den alten stand ohne 'deny all' zurueckzugehen wenn ich mich selber ausgeschlossen habe?
Da die IPv4-Firewall nur im Forwarding-Fall greift, kannst du dich mit Firweallregeln nicht aussperren.

Ansonsten sehe ich es hier nicht als meine Aufghabe an, eine für dich passende Firewallkonfiguration mit Hilfe meiner Kristallkugel zu erraten

Und zum Thema NAT und Allow-All-Regel: Es geht nicht darum, daß ich jetzt genau das Szenaio darlegen könnte, wie die Firewall übverwunden werden kann. Es geht letztendlich ums Prinzip - Das NAT ist unabhängig von der Firewall und sitzt auf dem WAN-Interface. Das NAT ist "stateless" und funktioniert somit nur aufgrund des Portmappings, d.h. wenn von aussen jemand ein Paket an den gemappten Port schickt, dann wird das Paket an den Rechen im LAN weitergeleitet. Und genau das könnte ein Angreifer ausnutzen. Es ist zwar sehr schwer, aber eben nicht unmöglich - und gerade in Zeiten von IoT-Gadgets mit extrem lückenhaften TCP/IP-Implementationen, die jetzt wieder die gleichenn Fehler machen, die alle anderen bereits von 20 Jahren ausgemerzt haben, sind Angriffe wieder wahrscheinlicher geworden

Und ja, es ist natürlich immer noch so, daß die Firewall im LANCOM eine implizite "Allow-All"-Regel besitzt - anders ist es gar nicht möglich, dem Anweder individuelle Strategien zu erlauben.

Und es ist völlig egel, wie AVM die Firewall in der Fritzbox beschreibt - die ist etwas ganz Anderes als die Firewall im LANCOM

Gruß
Backlsash
tom63
Beiträge: 238
Registriert: 01 Dez 2007, 15:26

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von tom63 »

backslash hat geschrieben: 09 Nov 2020, 16:05 Da die IPv4-Firewall nur im Forwarding-Fall greift, kannst du dich mit Firweallregeln nicht aussperren.
super! das zu wissen erleichtert das ganze fuer mich deutlich.
backslash hat geschrieben: 09 Nov 2020, 16:05 Ansonsten sehe ich es hier nicht als meine Aufghabe an, eine für dich passende Firewallkonfiguration mit Hilfe meiner Kristallkugel zu erraten
eh klar! waere auch ausgeschaemt das von dir in deiner freizeit zu erwarten und ausserdem verstehe ich die sachen auch lieber ein bisserl.
backslash hat geschrieben: 09 Nov 2020, 16:05 Und zum Thema NAT und Allow-All-Regel: Es geht nicht darum, daß ich jetzt genau das Szenaio darlegen könnte, wie die Firewall übverwunden werden kann. Es geht letztendlich ums Prinzip - Das NAT ist unabhängig von der Firewall und sitzt auf dem WAN-Interface. Das NAT ist "stateless" und funktioniert somit nur aufgrund des Portmappings, d.h. wenn von aussen jemand ein Paket an den gemappten Port schickt, dann wird das Paket an den Rechen im LAN weitergeleitet. Und genau das könnte ein Angreifer ausnutzen. Es ist zwar sehr schwer, aber eben nicht unmöglich - und gerade in Zeiten von IoT-Gadgets mit extrem lückenhaften TCP/IP-Implementationen, die jetzt wieder die gleichenn Fehler machen, die alle anderen bereits von 20 Jahren ausgemerzt haben, sind Angriffe wieder wahrscheinlicher geworden

Und ja, es ist natürlich immer noch so, daß die Firewall im LANCOM eine implizite "Allow-All"-Regel besitzt - anders ist es gar nicht möglich, dem Anweder individuelle Strategien zu erlauben.
schau und genau das kapier ich immer noch nicht. was ich meine/hoffe ueber die lancoms gelernt zu haben ist:
1) das nat ist die vorderste front aber gar nicht zur sicherheit gedacht sondern schlicht um die kommunikation der einzelnen clients im lan den jeweiligen verbindungspartnern im wan zuzuordnen
2) die 'normale' paketfilter firwall kommt hinter dem nat. da kann man mit der 'deny all regel' alles in beiden richtungen dicht machen und dann bohrt man mit diversen 'allow regeln' wieder einzelne dauerhafte loecher fuer die protokolle und ports die man unbedingt braucht lan/lan und/oder lan/wan
3) dann es gibt es noch die 'stateful inspection firewall' die den gesamten datenverkehr zwischen lan und wan (oder auch lan/lan?) ueberwacht und nur pakete hereinlaesst die zu einer von innen angestossenen kommunikation gehoeren. andere pakete die nicht von innen angefordert wurden wuerden verworfen auch wenn der port offen ist. dafuer wird dynamisch staendig eine tabelle gefuehrt.

ist das so richtig?
ist die wirksamkeit der spi selbst auch ohne deny-all-regel (im paketfilter) zu 100% gegeben? was exakt ist dann noch der wirkliche vorteil eines zusaetzlichen deny-all fuer den paketfilter? wo sitzt die spi - zwischen nat und paketfilter oder ganz hinten nach dem paketfilter?

das sind die drei hauptfragen die ich mir stelle um das ganze wenigstens groessenordnungsmaessig zu ueberreissen..
backslash hat geschrieben: 09 Nov 2020, 16:05 Und es ist völlig egel, wie AVM die Firewall in der Fritzbox beschreibt - die ist etwas ganz Anderes als die Firewall im LANCOM
das hatte ich nur angefuert weil es eines meiner fundstuecke zur google suche 'stateful inspection firewall' war. dass und wie die ganz anders ist obwohl sie unter der gleichen bezeichnung laeuft mag ja fuer alle hier die sich auskennen klar sein. mir ist und war es halt nicht klar.

nette gruesse
tom
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von backslash »

Hi tom63,
1) das nat ist die vorderste front aber gar nicht zur sicherheit gedacht sondern schlicht um die kommunikation der einzelnen clients im lan den jeweiligen verbindungspartnern im wan zuzuordnen
korrekt, das NAT macht nur die Addreß- und Portumsetzung.
2) die 'normale' paketfilter firwall kommt hinter dem nat. da kann man mit der 'deny all regel' alles in beiden richtungen dicht machen und dann bohrt man mit diversen 'allow regeln' wieder einzelne dauerhafte loecher fuer die protokolle und ports die man unbedingt braucht lan/lan und/oder lan/wan
3) dann es gibt es noch die 'stateful inspection firewall' die den gesamten datenverkehr zwischen lan und wan (oder auch lan/lan?) ueberwacht und nur pakete hereinlaesst die zu einer von innen angestossenen kommunikation gehoeren. andere pakete die nicht von innen angefordert wurden wuerden verworfen auch wenn der port offen ist. dafuer wird dynamisch staendig eine tabelle gefuehrt.
nein! Es gibt nur die Stateful-Inspection-Firewall. Deren Regeln sich richtungsabhängig, d.h. die lassen nur das Anlegen einer Session von der Quelle zum Ziel zu - und wenn die Quelle im LAN und das Ziel im WAN liegt, dann ist das Traffic "von innen nach aussen". Was mit den Paketen passiert, die zu der Session gehören, legt die Aktion fest. Wenn sie "Accept" ist, werden alle Pakete, die zu dieser Session gehören, durchgelassen (von der Quelle zum Ziel und umgekehrt). Ist die Aktion drop oder reject, so werden alle zur Session gehörenden Pakete verworfen (drop) bzw. mit einer Fehlermeldung (TCP-RST, ICMP unreachable) beantwortet (reject)

Zusätzlich überwacht die Firewall für jede Session z.B. die Zutände von TCP-Verbindungen (so kann nur ein TCP-SYN überhaupt eine Session anlegen) und erkennt betimmte Protokolle (wie z.B. FTP) und kann für diese weitere Sessions anlegen, falls nötig. So muß für ein FTP nur eine Allow-Regel für den Port 21 exitieren. Die Aushandlung des Datenkanals wird von der Firewall erkannt und sie legt eine Session dafür an.

Das steht aber auch alles im Referenzhandbunh...

Gruß
Backslash
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von ua »

Hi,

für das Verständnis des FW, des NAT und den Zugriff empfehle ich immer folgendes Bild aus dem Handbuch:
https://www.lancom-systems.de/docs/LCOS ... 66885.html

VG
... das Netz ist der Computer ...
n* LC und vieles mehr...
tom63
Beiträge: 238
Registriert: 01 Dez 2007, 15:26

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von tom63 »

ua hat geschrieben: 10 Nov 2020, 17:03 für das Verständnis des FW, des NAT und den Zugriff empfehle ich immer folgendes Bild aus dem Handbuch:
https://www.lancom-systems.de/docs/LCOS ... 66885.html
dankeschoen! werde versuchen es zu verstehen.

netter gruss
tom
overcast37
Beiträge: 73
Registriert: 30 Okt 2021, 09:26

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von overcast37 »

tom63 hat geschrieben: 07 Nov 2020, 23:24 so und nachdem @backslash mich diesmal offenbar fuers firewall-bootcamp vorgesehen hatte hier meine ersten versuche.
Moin @tom63, kannst du mir sagen, wie du Ziel-Dienst "WHATSAPP" angelegt hast?
Hast du dafür ein Objekt erstellt, und falls ja, welche Parameter hast du dafür benutzt?

Da du dafür eine ALLOW Regel erstellt hast gehe ich davon aus, dass die Deny-All Strategie dir hier Probleme bereitet hat?

Ich möchte gerade meine Firewallregeln erstellen, da ich derzeit noch keine Einträge hier habe. Da ich faul bin würde ich einfach das von Lancom bereitgestellte Script verwenden, hast du das auch benutzt?
matze17
Beiträge: 5
Registriert: 08 Mär 2021, 12:37

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von matze17 »

:roll: vielleicht etwas blöde hier nur Amateur .. nur Memo

FW mit "all deny" Struktur war mein Ziel ......meine Problem war,
dass mit "all deny" die FW dann alles dicht gemacht hat "nichts" mehr funktionierte nach draußen,
obwohl ich zuvor für das lokale Netz die speziellen Erlaubnisse definiert/spezifiziert.. hatte.

ich habe etwas länger gebraucht um zu erkennen zu verstehen, :roll: :oops:
dass für das lokale Netz vorher dazu auch eine explizite accept Regel in der FW notwendig ist (!) für die DNS Abfragen ins Netz...
habe ich in den Anleitungen nirgends explizit diesen Hinweis/ Zusammenhang gesehen glaube ich
im Lanmonitor habe ich dazu auch nichts gesehen/erkannt (keine Meldung)

daher vielleicht auch für andere etwas hilfreich,
zumindest habe ich mit der Fehlersuche weit mehr über die FW verstanden als zuvor hoffe/glaube ich
Antworten