(5) Firewall – Die Tür geht zu

Information

Einerseits möchte man von ausserhalb Zugriff auf sein Netzwerk haben, andererseits möchte man die Geräte im Netzwerk sicher abgrenzen. Einpaar klassische Beispiele:

  • Zugriff auf die Webseite seines Servers von Ausserhalb
  • IoT Geräte möchte man von seinem Handy aus Steuern können, aber man möchte nicht das seine IoT Geräte das Netzwerk scannen oder als Einfallstor von Hackern, von aussen ferngesteuert, Angriffe aufs Netzwerk durchführen.
  • Gäste sollen einfachen Internet Zugang auf ein eigenes WLAN haben, aber bloß nicht anderen Geräte im Netzwerk sehen oder drauf zugreifen können

Dabei muss man zwischen zwei unterschiedlichen Vorgehensweisen unterscheiden

Port Forwarding IP4:

Generell sind alle IP4 Zugriffe von der WAN Seite her in das Netzwerk geblockt, es sei denn es werden Ports mit Port Forwarding gezielt zu einer Adresse weiter geleitet.

IPv6:

Generell sind bei Verwendung von IPv6 alle Geräten, denen man IPv6 Adressen zuweisen von ausserhalb zu erreichen, es sei denn man blockt diese über eine Firewall.

Firewall:

Dies zeigt bereits das eine Firewall sehr wichtig ist und auf jeden Fall eingerichtet werden muss. Innerhalb des Netzwerkes, auch zwischen VLAN sind alle Zugriffe erlaubt, es sei denn man sperrt diese aus.

Vorgehensweise Firewall:

Firewall Regeln werden in einer bestimmten Reihenfolge abgearbeitet. Dabei findet die Abarbeitung der Regeln von oben nach unten statt. Es gibt dabei:

  • vom System automatisch erstellte Regeln, bei Unifi beginnend mit 4000. Diese können nicht geändert werden z.b. Nach einem Port Forwarding wird automatisch die entsprechende Firewall Regeln erstellt um die Verbindung zuzulassen.
  • selbst erstellte Regeln, welche VOR den automatisch erstellten Regeln gesetzt werden
  • selbst erstellte Regeln, welche NACH den automatisch erstellten Regeln gesetzt werden
    • Die letzten beiden Regeln kann man einfach mit der Maus in der Reihenfolge verschieben. Wichtig hierbei ist:
      • Erst wird alles einzeln frei gegeben
      • Dann wird alles geblockt um nichts mehr, bis auf die Ausnahmen, durch zu lassen

Firewall Regeln können eingerichtet werden für (Quelle: Idomix):

WAN:

ist das Internet oder externe Netzwerk

LAN:

ist irgendein internes Netzwerk, ausser Gast

GUEST:

internes Netzwerk, welches als Gast definiert wurde

LOCAL:

Netzwerkverkehr auf die Firewall selbst

WAN IN (WAN eingehend)

Alles was vom Internet auf die WAN-Schnittstelle des Security Gateway kommt, ist WAN IN. Es kommt also Datenverkehr aus dem Internet zum Security Gateway. Ein Blick in die Regeln zeigt auch eventuelle Portweiterleitungen. Diese werden absichtlich und gewollt vom Internet in das private Netzwerk dahinter gelassen. Die Firewall prüft also, was kommt vom Internet auf das USG (die Firewall) und was soll damit passieren.

WAN OUT (WAN ausgehend)

Der Datenverkehr vom privaten Netzwerk ins Internet ist hier gemeint. Möchte ich zum Beispiel für alle Netzwerke dahinter den Port 22 für SSH blockieren, ist hier der richtige Ort. Allerdings heißt das auch, für wirklich alle Netzwerke dahinter.

WAN LOCAL (WAN lokal)

Hier sind keine Einstellungen nötig. Es betrifft die Services der Firewall selbst an der WAN Schnittstelle. Beispielsweise sind hier Regeln definiert, wenn ein VPN-Server auf dem USG eingerichtet wurde. Da kein weiteres Gerät im Netzwerk ein VPN-Server ist, wird es unter WAN LOCAL definiert.

LAN OUT (LAN ausgehend)

Einfach definiert, der Datenverkehr welcher aus den privaten Netzwerken geht. Ziel ist an der Stelle irrelevant, da es aus dem LAN gehend soll.

LAN IN (LAN eingehend)

Wenn Daten in die privaten Netzwerke gehen sollen, dann ist LAN IN der richtige Ort für Regeln. Übrigens ist es sinnvoll, hier die Regeln für die Netzwerke zu setzen, wenn etwas blockiert werden soll. Nutze ich nämlich LAN OUT, kann ich sehr wohl im gleichen Subnetz via SSH auf einen Rechner zugreifen, wenn ich das blockiert habe. Definiere ich die Regel hier, ist das nicht so.

LAN LOCAL (LAN lokal)

Der Datenverkehr der Firewall für die LAN-Schnittstelle, also alle lokalen privaten Netzwerke.

Analog dem LAN ist die Aussage für das Gastnetzwerk zu verstehen. Ich selber nutze bei der Einrichtung von einem Gastnetzwerk nicht das vordefinierte Gastnetzwerk. Warum nicht: Das ist zwar schnell eingerichtet und isoliert das Netzwerk gut ab, aber wenn man das Prinzip einmal verstanden hat, ist es genauso schnell selber aufgesetzt und man kann es individuell einrichten wie man es mag.

Einrichtung:

Jede Firewall muss individuell eingerichtet werden, es ist schwer hier mein Setup vorzuführen wenn jemand anders nicht die gleiche Struktur hat. Beispiel: Zwar ist das IoT Netzwerk komplett zum Rest vom Netzwerk abgeriegelt, aber trotzdem gibt es Geräte wie zb. Apple HomePod, welche zum streamen auch ins Netzwerk kommen müssen. Da muss man Geräte auch einfach mal vertrauen und sich überlegen, Kann ich einem Apple Gerät mehr Rechte geben als ein „billiges“ NoName Produkt aus China. Ein weiteres Beispiel: Mein VLAN für Kameras lässt keine Kommunikation zu, ausser die zwischen den Kameras und dem NVR (Recorder), der Zugriff auf die Videoaufzeichnungen erfolgt immer über das NVR. Wer hier Kameras hat, auf denen direkt zugegriffen werden muss, der darf diese Kommunikationswege natürlich nicht blockieren.

Ich empfehle aber folgende Videos, welche bei mir selber sehr viel zum Verständnis beigebracht haben (englisch):

 

Hinweis:

Ich werde nicht meine Firewall Regeln hier posten, das wäre nicht gut und gibt nur Auskunft darüber was ich wofür in welchem Netzwerk erlaube und wo Ausnahmen sind. Das nimmt dem potentiellen Hacker natürlich den ganzen Spaß 😉

Nomenklatur:

Unifi bietet die Möglichkeit Gruppen zu bilden mit

IP4 Adress Gruppe:  Liste verschiedener IP4 Adressen

IPv6 Adress Gruppe:  Liste verschiedener IPv6 Adressen

Port Gruppe: Hier kann man mehrere Ports zu einer Gruppe zusammen fügen.

Um diese später in den Regeln leichter zu finden benenne ich sie nach einem logischem Konzept

Protokoll_FirewallRegel_Quelle_Ziel_Typ

Beispiel Firewall zulassen

Hier ein Beispiel für den Zugang zu meinem Netzwerk aus dem Internet über den Tunnel zu meinem VPN Server:

Man erstellt drei Gruppen unter Firewall

Typ

IPv6 Address/Subnet

Name

IPv6_WANin_Tunnel_VPS_IP

-> Hier kommt die IPv6 des öffentlichen VPS Server rein

Typ

IPv6 Address/Subnet

Name

IPv6_WANin_Tunnel_VPNServer_IP

-> Hier kommt die IPv6 des VPN Server rein (zb Synology)

Typ

PortGroup

Name

IPv6_WANin_Tunnel_VPNServer_Port

-> Hier kommen alle Ports rein die vom 6tunnel an die IPv6 des Servers geleitet werden

Firewall Regel erstellen unter Internetv6 IN

Name: Allow_IPv6_WANIn_Tunnel_VPNServer

Rule Applied: Before Predefined Rules

Action: Accept

IPv6 Protokoll: TCP (es geht kein anderes Protokoll über 6Tunnel, TCP genügt hier)

Source IPv6 Adress Group: IPv6_WANin_Tunnel_VPNServer_IP

Port Group: Any

Destination IPv6 Adress Group: IPv6_WANin_Tunnel_VPNServer_IP

Port Group: IPv6_WANin_Tunnel_VPNServer_Port

Beispiel Firewall alles Blocken

Diese Regel muss hinter den Standard Regeln bei Internetv6 IN

Name: Block_IPv6_WANin_ALL_to_ALL

Rule Applied: After Predefined Rules

Action: Drop

IPv6 Protokoll: All

Source IPv6 Adress Group: Any

Port Group: Any

Destination IPv6 Adress Group: Any

Port Group: Any

 

 

 

Dieser Beitrag wurde unter HomeLab, Unifi abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.