Hallo zusammen,
wir bekommen in einigen Wochen einen neuen Router 1781VA im Rahmen der Umstellung auf VDSL50 mit einer neuen TK-Anlage. Ich habe mich schon etwas in das Thema eingearbeitet, möchte aber natürlich mehr erfahren, um schon von Anfang an eine möglichst passende Firewall-Konfig. zu haben.
Empfohlen wird ja eine "Deny All"-Strategie, bei der alles verboten ist, was nicht explizit erlaubt wird.
Im Netzwerk befindet sich ein SBS 2008, der DC, DNS und DHCP ist und auf dem Exchange 2007 sowie Sharepoint läuft. Die Clients sind alle Win7-Maschinen mit dem üblichen Office-Zeug (2010), IE9 und diversen Anwendungsprogrammen.
Eingehend brauchen wir POP3 über SSL (995), HTTP (80), HTTPS (443), Remoteweb-Arbeitsplatz (987), SMTP (25).
Bei den diversen Objekten hab ich ja schon etwas rein geschnuppert. Funktioniert ja im übertragenen Sinne wie das AD.
Fragen:
1. Gibt es da eine Basis-Konig-Datei, auf der man aufbauen kann oder nehme ich die Default-Datei aus Lanconfig als Basis?
2. Sollte ich bei den Stationsobjekten Server und Clients als getrennte Objekte anlegen?
3. Wäre der richtige Weg, erstmal nur die bisher auf dem "alten" Router angelegten eingehenden Port-Regeln anzulegen und dann über Lanmonitor zu schauen, welche Maschine/Programm/Dienst etc. wie und wohin kommunizieren will?
Ich möchte eben gleich von Anfang an schauen, das ich die Absicherung von außen und von innen heraus so sicher wie möglich gestalte.
Vielen Dank erstmal.
Gruß Knuddel256
Neuer 1781VA - Basis Konfiguration Firewall
Moderator: Lancom-Systems Moderatoren
-
knuddel256
- Beiträge: 3
- Registriert: 14 Nov 2012, 08:00
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Hallo,
Du solltest Dir erst einmal prinzipiell überlegen, welcher Datenverkehr zu erwarten ist und das unterschieden nach ausgehenden Datenverkehr und eingehenden Datenverkehr. Ausgehend ist wohl mehr Datenverkehr sprich Firewall Policys zu erwarten als eingehend, z.B.
- Ausgehend von IP SBS Server an Gegenstelle Internet Port 53 (DNS)
- Ausgehend von alle Computer Port 80, 443, 21 für Surfen und Downloads
- dann zum Schluss die Deny all Rule
zu 1. Ich glaube nicht.
zu 2. Das kommt ganz darauf an, wie und was bezweckt werden soll. Manches kann man zusammen fassen, muss man aber nicht.
zu 3. eher nicht. Du müsstest dann zumindest die Rule Deny all anlegen und die Protokollierung per Snmp für Lanmonitor einschalten und dass macht echt Prozessorlast auf dem Lancom.
Deine WAN IP mit Port 995 weiterleiten an <interne IP>, damit der Datenverkehr auch übertragen wird.
Anbei mal 2 Bildchen, wie so etwas aussehen kann.
Gruß Heiko
Du solltest Dir erst einmal prinzipiell überlegen, welcher Datenverkehr zu erwarten ist und das unterschieden nach ausgehenden Datenverkehr und eingehenden Datenverkehr. Ausgehend ist wohl mehr Datenverkehr sprich Firewall Policys zu erwarten als eingehend, z.B.
- Ausgehend von IP SBS Server an Gegenstelle Internet Port 53 (DNS)
- Ausgehend von alle Computer Port 80, 443, 21 für Surfen und Downloads
- dann zum Schluss die Deny all Rule
Ja in der Tat.Empfohlen wird ja eine "Deny All"-Strategie, bei der alles verboten ist, was nicht explizit erlaubt wird.
zu 1. Ich glaube nicht.
zu 2. Das kommt ganz darauf an, wie und was bezweckt werden soll. Manches kann man zusammen fassen, muss man aber nicht.
zu 3. eher nicht. Du müsstest dann zumindest die Rule Deny all anlegen und die Protokollierung per Snmp für Lanmonitor einschalten und dass macht echt Prozessorlast auf dem Lancom.
Dazu brauchst Du nicht nur die Firewall Rules, die den Verkehr eingehend erlauben, sondern auch über IP-Router -> Maskierung - Port-Forwarding-Tabelle Einträge in der FormEingehend brauchen wir POP3 über SSL (995), HTTP (80), HTTPS (443), Remoteweb-Arbeitsplatz (987), SMTP (25)
Deine WAN IP mit Port 995 weiterleiten an <interne IP>, damit der Datenverkehr auch übertragen wird.
Anbei mal 2 Bildchen, wie so etwas aussehen kann.
Gruß Heiko
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
knuddel256
- Beiträge: 3
- Registriert: 14 Nov 2012, 08:00
Hallo Heiko,
vielen Dank für die Hilfestellung. Ich habe mich mal daran versucht und wenn man sich mal ein wenig damit befasst hat, ist es eigentlich gar nicht so schwer.
(siehe Bilder)
Allerdings glaube ich, das ich da eine oder mehrere Überschneidungen drin habe.
1. Wenn ich in der Regel "INTERNET_ACCESS" dem LOCALNET unter anderem den Zieldienst MAIL erlaube, dann bräuchte ich doch nicht in der Regel "OUTGOING_MAIL" dem Mailserver den Quell- und Zieldienst erlauben?
Da ich für die Sation LOCALNET nichts geändert habe, schließt diese Station ja alle Maschinen im lokalen Netz ein, oder?
Das meine ich z.B. mit meiner Frage, ob ich Clients und Server als separate Stationen definieren soll, z.B. CLIENTS, SERVER und LOCALNET als Summe von von beidem.
Aber ansonsten müsste es glaube ich passen.
Gibts sonst noch Einstellungen, auf die ich mal einen Blick werfen sollte? Der Router hat ja wirklich für fast alles eine Stellschraube.
Gruß Arno
vielen Dank für die Hilfestellung. Ich habe mich mal daran versucht und wenn man sich mal ein wenig damit befasst hat, ist es eigentlich gar nicht so schwer.
(siehe Bilder)
Allerdings glaube ich, das ich da eine oder mehrere Überschneidungen drin habe.
1. Wenn ich in der Regel "INTERNET_ACCESS" dem LOCALNET unter anderem den Zieldienst MAIL erlaube, dann bräuchte ich doch nicht in der Regel "OUTGOING_MAIL" dem Mailserver den Quell- und Zieldienst erlauben?
Da ich für die Sation LOCALNET nichts geändert habe, schließt diese Station ja alle Maschinen im lokalen Netz ein, oder?
Das meine ich z.B. mit meiner Frage, ob ich Clients und Server als separate Stationen definieren soll, z.B. CLIENTS, SERVER und LOCALNET als Summe von von beidem.
Aber ansonsten müsste es glaube ich passen.
Gibts sonst noch Einstellungen, auf die ich mal einen Blick werfen sollte? Der Router hat ja wirklich für fast alles eine Stellschraube.
Gruß Arno
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Hallo Arno,
das freut mich zu hören, ja so schwer ist es auch wieder nicht. Man braucht nur etwas Vorstellungsvermögen.
Also Server und Clients trennen, kann durchaus sinnvoll sein. In meinem Bildchen steht statt Localnet "IP-Adressen", weil es für einzelne Server nur gilt. Diese sind dort explizit aufgeführt.
In kleineren Netzwerken - und dazu zähle ich eines mit SBS Server - würde ich den Lancom für DHCP im Netzwerk hernehmen. Um den SBS einerseits zu entlasten, aber vielmehr um einen Dienst von dieser "eierlegenden Wollmilchsau" zu entfernen. Geht der SBS nicht, geht verdammt vieles im Netz nicht. Aber so ist zumindest die grundlegende IP Infrastruktur noch da. Clients können mal noch Surfen/Bankprogramm usw. bzw. Drucken.
Zu guter letzt kann man noch eine Fernwartung (VPN) einrichten, weniger für den Lancom, sondern um auf den Server zu gelangen.
Gruß Heiko
das freut mich zu hören, ja so schwer ist es auch wieder nicht. Man braucht nur etwas Vorstellungsvermögen.
JaDa ich für die Sation LOCALNET nichts geändert habe, schließt diese Station ja alle Maschinen im lokalen Netz ein, oder?
Richtig. Aber dann können auch alle Stationen im Netz Pop3 und SMTP abrufen. Ist das erwünscht? Ihr habt eine Regel Incoming_Mail, vermutlich für den Exchange auf dem SBS. Ich würde für die Stationen im Netz kein Pop3 und Smtp zulassen. Da könnte ein findiger User selbst eine Pop3 Abruf konfigurieren und auch Virenmails am "Server vorbei" abrufen. Ich gehe jetzt davon aus, der SBS hat Virenschutz für Exchange.Wenn ich in der Regel "INTERNET_ACCESS" dem LOCALNET unter anderem den Zieldienst MAIL erlaube, dann bräuchte ich doch nicht in der Regel "OUTGOING_MAIL" dem Mailserver den Quell- und Zieldienst erlauben?
Also Server und Clients trennen, kann durchaus sinnvoll sein. In meinem Bildchen steht statt Localnet "IP-Adressen", weil es für einzelne Server nur gilt. Diese sind dort explizit aufgeführt.
Ja, machen kann man vieles. Bei fester IP-Adresse für den DSL-Anschluss bietet sich an, die Verbindung immer aufrecht zu halten und die Zwangstrennung in die Nacht zu legen. Geht über die Crontabelle.Gibts sonst noch Einstellungen, auf die ich mal einen Blick werfen sollte? Der Router hat ja wirklich für fast alles eine Stellschraube.
In kleineren Netzwerken - und dazu zähle ich eines mit SBS Server - würde ich den Lancom für DHCP im Netzwerk hernehmen. Um den SBS einerseits zu entlasten, aber vielmehr um einen Dienst von dieser "eierlegenden Wollmilchsau" zu entfernen. Geht der SBS nicht, geht verdammt vieles im Netz nicht. Aber so ist zumindest die grundlegende IP Infrastruktur noch da. Clients können mal noch Surfen/Bankprogramm usw. bzw. Drucken.
Zu guter letzt kann man noch eine Fernwartung (VPN) einrichten, weniger für den Lancom, sondern um auf den Server zu gelangen.
Gruß Heiko
-
knuddel256
- Beiträge: 3
- Registriert: 14 Nov 2012, 08:00
Hallo Heiko,
vielen Dank für deine Hilfe. Ich hab das Ganze mal etwas verfeinert. Die Clients und
Server hab ich nun als getrennte Objekte angelegt.
Pop3 und SMTP darf nur noch der Server. DHCP auf den Router zu übergeben muss ich mir noch überlegen. Bei 5 Clients ist der SBS eigentlich eher gelangweilt, so daß der das übernehmen kann. Fernzugriff auf den Server von extern geht ohnehin schon
Bei der Regel "INTERNET_ACCESS" brauche ich doch DNS und NTP nicht für die Clients? Wenn ich armer Hobby-Admin das
richtig verstanden habe, fragen die Clients ja den über DHCP bekanntgegebenen DNS-Server ab.
Das ist ja der lokale DNS-SERVER, also "SBSERVER". Wenn der nicht auflösen kann, dann
fragt er nach extern den DNS des Providers. Stimmt das so?
NTP braucht doch theoretisch auch nur der "SBSERVER" da nur der bei den Clients als Zeitserver
bekannt ist.
IMAP hab ich dazu genommen, da Chefe seine privaten Mails über IMAP abruft. Eingehend brauch ich da
doch nichts, da bei Senden u. Empfangen die Anforderung ja von intern kommt und den Port aufmacht, oder?
Der Rest dürfte vermutlich passen.
Leider konnte ich es noch nicht testen, da ich den Router noch nicht hab.
Was mit bei den Firewall-Regeln noch nicht so klar ist, das ist die Priorität. Heißt eine höhere Prio,
das die Regel mit hoher Prio gilt, wenn auch eine Regel mit niedriger zutreffen würde?
Gruss Arno
vielen Dank für deine Hilfe. Ich hab das Ganze mal etwas verfeinert. Die Clients und
Server hab ich nun als getrennte Objekte angelegt.
Pop3 und SMTP darf nur noch der Server. DHCP auf den Router zu übergeben muss ich mir noch überlegen. Bei 5 Clients ist der SBS eigentlich eher gelangweilt, so daß der das übernehmen kann. Fernzugriff auf den Server von extern geht ohnehin schon
Bei der Regel "INTERNET_ACCESS" brauche ich doch DNS und NTP nicht für die Clients? Wenn ich armer Hobby-Admin das
richtig verstanden habe, fragen die Clients ja den über DHCP bekanntgegebenen DNS-Server ab.
Das ist ja der lokale DNS-SERVER, also "SBSERVER". Wenn der nicht auflösen kann, dann
fragt er nach extern den DNS des Providers. Stimmt das so?
NTP braucht doch theoretisch auch nur der "SBSERVER" da nur der bei den Clients als Zeitserver
bekannt ist.
IMAP hab ich dazu genommen, da Chefe seine privaten Mails über IMAP abruft. Eingehend brauch ich da
doch nichts, da bei Senden u. Empfangen die Anforderung ja von intern kommt und den Port aufmacht, oder?
Der Rest dürfte vermutlich passen.
Leider konnte ich es noch nicht testen, da ich den Router noch nicht hab.
Was mit bei den Firewall-Regeln noch nicht so klar ist, das ist die Priorität. Heißt eine höhere Prio,
das die Regel mit hoher Prio gilt, wenn auch eine Regel mit niedriger zutreffen würde?
Gruss Arno
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Hallo Arno,
Gruß Heiko
PS: War ein paar Tage verhindert.
Ja, das hast Du so richtig verstanden.Bei der Regel "INTERNET_ACCESS" brauche ich doch DNS und NTP nicht für die Clients? Wenn ich armer Hobby-Admin das
richtig verstanden habe, fragen die Clients ja den über DHCP bekanntgegebenen DNS-Server ab.
Das ist ja der lokale DNS-SERVER, also "SBSERVER". Wenn der nicht auflösen kann, dann
fragt er nach extern den DNS des Providers. Stimmt das so?
Korrekt.NTP braucht doch theoretisch auch nur der "SBSERVER" da nur der bei den Clients als Zeitserver
bekannt ist.
Auch da liegst Du richtig.IMAP hab ich dazu genommen, da Chefe seine privaten Mails über IMAP abruft. Eingehend brauch ich da
doch nichts, da bei Senden u. Empfangen die Anforderung ja von intern kommt und den Port aufmacht, oder?
Die Firewall Regeln werden in der Liste Deines Bildes von oben nach unten abgearbeitet. Daher ist es richtig vorher bestimmte Dinge zu erlauben und zum Schluss dann Deny All. Mit einer höheren Prio kann man bestimmte Dienste weiter oben bzw. als erstes in die Liste stellen und z.B. Bandbreite reservieren oder Datenpakete priorisieren. Bei Aktion Trigger einstellen bzw. QoS in der Firewall Regel konfigurieren.Was mit bei den Firewall-Regeln noch nicht so klar ist, das ist die Priorität. Heißt eine höhere Prio,
das die Regel mit hoher Prio gilt, wenn auch eine Regel mit niedriger zutreffen würde?
Gruß Heiko
PS: War ein paar Tage verhindert.