LCOS DNS Destination in Firewall Regeln greifen willkürlich

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

LCOS DNS Destination in Firewall Regeln greifen willkürlich

Beitrag von tstimper »

Hi,

gerade sehe ich hier an einem LC7100+ mit LCOS 10.42.0612-RU5 folgenden Effekt.

- DNS Destination für einen FTP Server angelegt
- Firewall Regel für Allow FTP von einem bestimmten internen Netz zu dieser DNS Destination angelegt

- Test Download > Firewall blockt
- Test DNS Auflösung auf der CLI des Lancom -> ok, Lancom löst die IP richtig auf, dieselbe die im Lanmonitor als geblockt gemeldet wird.
- Firewall Regel geändert auf Erlauben zu allen Stationen -> FTP verbindung funktioniert, 17 GB Download startet
- Firewall Regel wieder zurück auf DNS Destination nur zu diesem FTP Server geändert, Download läuft weiter
- einen weiteren Download von diesem Server über FTP gestartet -> läuft
- Firewall Regel ausgeschaltet -> Download läuft weiter, wieso denn das ????? Wegen der noch aktiven Session? Werden aktive Sessions nicht geprüft, ob sie noch den Firewall Regeln entsprechen???
- Einen neuen Download gestartet - > Firewall blockt
- Firewall Regel mit DNS Destination zum FTP Server wieder angeschaltet -> FTP Dowload geht, Firewall Rule greift.

Kann das jemand erklären?
Wieso greift die Firewall Regel erst nicht und dann irgendwie doch?
Betrachtet die Firewall aktive Sessions nicht mehr? Auch nicht nach einer Weile?
Und das Verhalten bzgl der DNS Destination sieht sehr nach DNS Auflösungsproblem oder DNS Cache Problem auf dem Lancom aus.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: LCOS DNS Destination in Firewall Regeln greifen willkürlich

Beitrag von Dr.Einstein »

tstimper hat geschrieben: 18 Sep 2021, 12:42 Betrachtet die Firewall aktive Sessions nicht mehr? Auch nicht nach einer Weile?
Genau das, gruß Dr.Einstein
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: LCOS DNS Destination in Firewall Regeln greifen willkürlich

Beitrag von tstimper »

Genau das,
Ja ich weis, das ist die allgemein anerkannte Erklärung des Verhaltens der Firewall im LCOS.

Normalerweise prüft eine Firewall, bei der man die Regeln ändert, regelmäßig, ob es Änderungen am Regelwerk gibt und wenn ja ob denn die vorhandenen Sessions noch dem neuen Regelwerk entsprechen.

Die zweite übliche Variante ist, der Firewall neue Regeln zu geben und ihr dann geeignet mitzuteilen das das neue Regelwerk angewendet werden soll.
Die Lancom UF Firewalls haben dafür z.B. einen Apply Button für das Regelwerk. Vorher sind die Änderungen nicht gültig.
Bestehende Sessions werden nach meiner Beobachtung geprüft und ggf terminiert, wenn sie nicht mehr erlaubt sind.

Die LCOS Geräte bekommen üblicherweise die Änderungen per Lanconfig mitgeteilt.
Das Schreiben der Konfig erzwingt die neuen Regeln nur für Sessions, die nach dem Schreiben der Konfig aufgebaut werden sollen.
Eine Session, die schon vorher bestand, wird nie wieder geprüft, als je nach Einsatzfall jahrelang nicht.
Das passiert natürlich nicht bei einem Router an einem DSL Anschluss. Aber ein Router im Rechenzentrum kann schon mal monatelang online sein.

Ich kenne nur eine Möglichkeit, einen LCOS Router zu zwingen, die neuen Firewalregeln für eine bestehende Session anzuwenden, nämlich indem man diese Session trennt.

Dazu git es bei LCOS aus meiner SIcht nur zwei Möglichkeiten:
1. Trennen der entsprechenden WAN Verbindung
2. Reboot des Routers

Beides ein No Go für Central Site Gateways.

Ist das mit LCOS 10.50.xx anders?

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: LCOS DNS Destination in Firewall Regeln greifen willkürlich

Beitrag von Dr.Einstein »

tstimper hat geschrieben: 18 Sep 2021, 14:34 Ist das mit LCOS 10.50.xx anders?
Soweit mir bekannt ist nicht. Nein. Bedenke immer dabei, dass Lancom keine richtige Firewall ist sondern ein simpler Router. Außerdem wird Lancom dir die Sache als tolles Feature verkaufen: Update des Regelwerks trennt keine Sessions =) Nimms einfach so hin. Ist seit über 15 Jahren so.

Gruß Dr.Einstein
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LCOS DNS Destination in Firewall Regeln greifen willkürlich

Beitrag von backslash »

Hi tstimper,
Dazu git es bei LCOS aus meiner SIcht nur zwei Möglichkeiten:
1. Trennen der entsprechenden WAN Verbindung
2. Reboot des Routers
du hast noch die dritte Mlöglichkleit: die betroffene Session im CLImanuell über das "del" Kommando unter /Status/IP-Router/Connections loschen - dabei mußt du solange Parameter angeben, bis es eindeutig ist (im Zweifel also Quell-Adresse, Ziel-Adresse, Ptotokoll, Quell-Port, Zielport). Oder du löschts die Tabelle komplett in dem du "del *" eingbist.

Da diese Tabelle doch dehr dynamisch ist, solltest du i.Ü. davon absehen, Einträge über die WEB-GUI löschen zu wollen - das geht garantiert schief...

Gruß
Backslash
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: LCOS DNS Destination in Firewall Regeln greifen willkürlich

Beitrag von tstimper »

Hi Backslash,
du hast noch die dritte Mlöglichkleit: die betroffene Session im CLImanuell über das "del" Kommando unter /Status/IP-Router/Connections loschen
ok, damit haben wir drei Möglichkeiten, die sichere Anwendung von Firewallregeln zu erzwingen:

1. Trennen der entsprechenden WAN Verbindung
2. Reboot des Routers
3. Löschen der Tabelle /Status/IP-Router/Connection-List

Ok, Die am wenigsten invasive Möglichkeit ist 3.

Was hätten wir noch?

Gibt es einen CLI Befehl zum Reload der Firewall Regeln? (Aus und Einschalten der Firewall schließe ich als Möglichkeit aus.)
Oder ggf einen Compare Befehl zwischen aktuellen Firewall Regeln und bestehenden Sessions?

Man könnte also jedesmal, wenn eine Firewall Regel entsteht, die etwas künftig sperrt ( nur darum geht es ja),
die /Status/IP-Router/Connection-List Tabelle löschen.
Noch besser wäre, man würde vergleichen und nur diese spezifischen Session löschen.

Beim Scripting könnte man das ja beachten, man weis ja was man grad ändern will und dann gleich eventuell vorhandene Session löschen.
Lanconfig sollte das automatisch machen.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: LCOS DNS Destination in Firewall Regeln greifen willkürlich

Beitrag von tstimper »

3. Löschen der Tabelle /Status/IP-Router/Connection-List
Das funktioniert zumindestens.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Antworten