(5) Firewall – Die Tür geht zu

Information

Einerseits möchte man von ausserhalb Zugriff auf sein Netzwerk haben, andererseits möchte man die Geräte im Netzwerk sicher abgrenzen. Einpaar klassische Beispiele:

  • Zugriff auf die Webseite seines Servers von Ausserhalb
  • IoT Geräte möchte man von seinem Handy aus Steuern können, aber man möchte nicht das seine IoT Geräte das Netzwerk scannen oder als Einfallstor von Hackern, von aussen ferngesteuert, Angriffe aufs Netzwerk durchführen.
  • Gäste sollen einfachen Internet Zugang auf ein eigenes WLAN haben, aber bloß nicht anderen Geräte im Netzwerk sehen oder drauf zugreifen können

Dabei muss man zwischen zwei unterschiedlichen Vorgehensweisen unterscheiden

Port Forwarding IP4:

Generell sind alle IP4 Zugriffe von der WAN Seite her in das Netzwerk geblockt, es sei denn es werden Ports mit Port Forwarding gezielt zu einer Adresse weiter geleitet.

IPv6:

Generell sind bei Verwendung von IPv6 alle Geräten, denen man IPv6 Adressen zuweisen von ausserhalb zu erreichen, es sei denn man blockt diese über eine Firewall.

Firewall:

Dies zeigt bereits das eine Firewall sehr wichtig ist und auf jeden Fall eingerichtet werden muss. Innerhalb des Netzwerkes, auch zwischen VLAN sind alle Zugriffe erlaubt, es sei denn man sperrt diese aus.

Vorgehensweise Firewall:

Firewall Regeln werden in einer bestimmten Reihenfolge abgearbeitet. Dabei findet die Abarbeitung der Regeln von oben nach unten statt. Es gibt dabei:

  • vom System automatisch erstellte Regeln, bei Unifi beginnend mit 4000. Diese können nicht geändert werden z.b. Nach einem Port Forwarding wird automatisch die entsprechende Firewall Regeln erstellt um die Verbindung zuzulassen.
  • selbst erstellte Regeln, welche VOR den automatisch erstellten Regeln gesetzt werden
  • selbst erstellte Regeln, welche NACH den automatisch erstellten Regeln gesetzt werden
    • Die letzten beiden Regeln kann man einfach mit der Maus in der Reihenfolge verschieben. Wichtig hierbei ist:
      • Erst wird alles einzeln frei gegeben
      • Dann wird alles geblockt um nichts mehr, bis auf die Ausnahmen, durch zu lassen

Firewall Regeln können eingerichtet werden für (Quelle: Idomix):

WAN:

ist das Internet oder externe Netzwerk

LAN:

ist irgendein internes Netzwerk, ausser Gast

GUEST:

internes Netzwerk, welches als Gast definiert wurde

LOCAL:

Netzwerkverkehr auf die Firewall selbst

WAN IN (WAN eingehend)

Alles was vom Internet auf die WAN-Schnittstelle des Security Gateway kommt, ist WAN IN. Es kommt also Datenverkehr aus dem Internet zum Security Gateway. Ein Blick in die Regeln zeigt auch eventuelle Portweiterleitungen. Diese werden absichtlich und gewollt vom Internet in das private Netzwerk dahinter gelassen. Die Firewall prüft also, was kommt vom Internet auf das USG (die Firewall) und was soll damit passieren.

WAN OUT (WAN ausgehend)

Der Datenverkehr vom privaten Netzwerk ins Internet ist hier gemeint. Möchte ich zum Beispiel für alle Netzwerke dahinter den Port 22 für SSH blockieren, ist hier der richtige Ort. Allerdings heißt das auch, für wirklich alle Netzwerke dahinter.

WAN LOCAL (WAN lokal)

Hier sind keine Einstellungen nötig. Es betrifft die Services der Firewall selbst an der WAN Schnittstelle. Beispielsweise sind hier Regeln definiert, wenn ein VPN-Server auf dem USG eingerichtet wurde. Da kein weiteres Gerät im Netzwerk ein VPN-Server ist, wird es unter WAN LOCAL definiert.

LAN OUT (LAN ausgehend)

Einfach definiert, der Datenverkehr welcher aus den privaten Netzwerken geht. Ziel ist an der Stelle irrelevant, da es aus dem LAN gehend soll.

LAN IN (LAN eingehend)

Wenn Daten in die privaten Netzwerke gehen sollen, dann ist LAN IN der richtige Ort für Regeln. Übrigens ist es sinnvoll, hier die Regeln für die Netzwerke zu setzen, wenn etwas blockiert werden soll. Nutze ich nämlich LAN OUT, kann ich sehr wohl im gleichen Subnetz via SSH auf einen Rechner zugreifen, wenn ich das blockiert habe. Definiere ich die Regel hier, ist das nicht so.

LAN LOCAL (LAN lokal)

Der Datenverkehr der USG Firewall für die LAN-Schnittstelle, also alle lokalen privaten Netzwerke.

Analog dem LAN ist die Aussage für das Gastnetzwerk zu verstehen. Ich selber nutze bei der Einrichtung von einem Gastnetzwerk nicht das vordefinierte Gastnetzwerk. Warum nicht: Das ist zwar schnell eingerichtet und isoliert das Netzwerk gut ab, aber wenn man das Prinzip einmal verstanden hat, ist es genauso schnell selber aufgesetzt und man kann es individuell einrichten wie man es mag.

Einrichtung:

Jede Firewall muss individuell eingerichtet werden, es ist schwer hier mein Setup vorzuführen wenn jemand anders nicht die gleiche Struktur hat. Beispiel: Zwar ist das IoT Netzwerk komplett zum Rest vom Netzwerk abgeriegelt, aber trotzdem gibt es Geräte wie zb. Apple HomePod, welche zum streamen auch ins Netzwerk kommen müssen. Da muss man Geräte auch einfach mal vertrauen und sich überlegen, Kann ich einem Apple Gerät mehr Rechte geben als ein „billiges“ NoName Produkt aus China. Ein weiteres Beispiel: Mein VLAN für Kameras lässt keine Kommunikation zu, ausser die zwischen den Kameras und dem NVR (Recorder), der Zugriff auf die Videoaufzeichnungen erfolgt immer über das NVR. Wer hier Kameras hat, auf denen direkt zugegriffen werden muss, der darf diese Kommunikationswege natürlich nicht blockieren.

Ich empfehle aber folgende Videos, welche bei mir selber sehr viel zum Verständnis beigebracht haben (englisch):

 

 

Dieser Beitrag wurde unter HomeLab, Unifi abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.