Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 4 subscribers
  • Views 319 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Zugriff auf bestimmte Zone (Kameras)

ResulÖzcelik

Hallo zusammen,

ich habe es jetzt hinbekommen über Hyper-V das Sophos XG so zu betreiben, dass ich in der Hardware die VLANs für die verschiedenen Netzwerksekmente erstellen konnte und diese dann über einen Layer 2 Switch bis zu den SSIDs über zwei APs auf die Endgeräte zu verteilen. Das sieht so aus:

Mobile Endgeräte

Kameras

Streaming-Geräte

Gaming-Geräte

Native-Netz

Amazon-Geräte

Lichtsteuerung

Für die Sophos XG sind es reine Netzwerk-Schnittstellen ohne VLAN, doch das VLAN fängt hinter der Sophos am Hyper-V an. Die VLAN-Struktur habe ich auf den Intel-Netzwerkadaptern erstellt.

Kommen wir zu meinem nächsten Problem:

Da jetzt die Sophos die Netze trennt, wollte ich eigentlich den internen Verkehr von den mobilen Endgeräten zu den Kameras und von der WAN-Schnittstelle, also extern auf die Kameras regeln. Auch habe ich eine interne Regel für den Drucker erstellt. Hierzu habe ich eine Gruppe von internen Firewall-Regeln:

1. Quellzone "Mobile" Quellnetzwerk / Geräte "iPhone" Zielzone "Kameras" Zielnetzwerk "Kamera2, Kamera2, Kamera3, Kamera4" Dienste UDP

2. Quellzone "Mobile" Quellnetzwerk / Geräte "iPhone" Zielzone "Streaming" (hier liegt der Drucker im Moment), Zielnetzwerk "Drucker" Dienste "https, IPP, TCP 9100"

Die 1. Regel zu den Kameras hatte ursprünglich mit der default-Regel geklappt. Der Zugriff auf den Drucker klappt nur, wenn ich im gleichen Netz bin. 

Auf den beiden Regeln, die ich erstellt habe, wird überhaupt kein traffic generiert. Die Regeln von den Netzwerken in Richtung WAN funktionieren. Also der Zugang ins Internet funktioniert. 

Die Protokollansicht habe ich mir auch angeschaut, mit der Filterung auf die betroffenen Geräte. Ich sah zwar blockierte Pakete, aber aus denen konnte ich nicht schlussfolgern, dass es die Pakete sind, die ich brauch für den Zugriff auf die Kameras und den Drucker. 

Ich hoffe hier auf Lösungsvorschläge, an denen ich ansetzen kann. 

Danke euch!

VG

Resul



This thread was automatically locked due to age.
Parents
  • 0

    Update:

    Da der Zugriff auf die Kameras mit der Default-Regel geklappt hatte, habe ich die Zonen gelöscht und nochmal angelegt. Ich habe diesmal zuerst die Zone für die Kameras angelegt und die Schnittstelle mit der Zone verknüpft. Die Verknüpfung bestand mit der ursprünglich angelegten Zone auch. Ich habe es einmal mit dem Typ LAN und zuletzt nochmal mit dem Typ DMZ probiert. Und schließlich habe ich die Regel erstellt und nur die Kameras in der Regel als Geräte für die Quelle in Richtung WAN konfiguriert. Siehe da es funktioniert auch mit dem Typ DMZ.

    Als zweites habe ich die Zone mit der Schnittstelle für die mobilen Endgeräte angelegt. Die Verknüpfung mit der Schnittstelle konfiguriert und die Regel mit den Endgeräten angelegt. Aus der Default-Regel habe ich die Kameras und die Mobilen Endgeräte rausgenommen. Es funktioniert. 

    Anschließend habe ich die übrigen Zonen wieder angelegt und die jeweiligen Verknüpfungen mit den Schnittstellen konfiguriert. Um das Problem mit dem Drucker erstmal zu umgehen, habe ich den Drucker in die Zone und Netzwerk der mobilen Endgeräte genommen, damit der Zugriff über Airprint usw. klappt. Dieser Punkt ist für mich nicht die ideale Lösung, da ich die Angriffsfläche ein wenig härten möchte. Drucker sehe ich daher in einer separaten Zone, um den Zugriff über Regeln herzustellen. 

    Als nächstes werde ich die Amazon-Geräte und die Lichtsteuerung ebenfalls in das Streaming-Netzwerk nehmen, um andere Fehlerquellen im Netzwerk zu vermeiden. Die Sicherheit ist auch hier nicht ideal, weil ich die Amazon-Geräte und die Lichtsteuerung in einem separaten Netzwerk sehe, ähnlich wie die Kameras. Und natürlich als Typ DMZ. 

    Habt ihr vielleicht ähnliche Erfahrung oder bessere Vorschläge?

Reply
  • 0

    Update:

    Da der Zugriff auf die Kameras mit der Default-Regel geklappt hatte, habe ich die Zonen gelöscht und nochmal angelegt. Ich habe diesmal zuerst die Zone für die Kameras angelegt und die Schnittstelle mit der Zone verknüpft. Die Verknüpfung bestand mit der ursprünglich angelegten Zone auch. Ich habe es einmal mit dem Typ LAN und zuletzt nochmal mit dem Typ DMZ probiert. Und schließlich habe ich die Regel erstellt und nur die Kameras in der Regel als Geräte für die Quelle in Richtung WAN konfiguriert. Siehe da es funktioniert auch mit dem Typ DMZ.

    Als zweites habe ich die Zone mit der Schnittstelle für die mobilen Endgeräte angelegt. Die Verknüpfung mit der Schnittstelle konfiguriert und die Regel mit den Endgeräten angelegt. Aus der Default-Regel habe ich die Kameras und die Mobilen Endgeräte rausgenommen. Es funktioniert. 

    Anschließend habe ich die übrigen Zonen wieder angelegt und die jeweiligen Verknüpfungen mit den Schnittstellen konfiguriert. Um das Problem mit dem Drucker erstmal zu umgehen, habe ich den Drucker in die Zone und Netzwerk der mobilen Endgeräte genommen, damit der Zugriff über Airprint usw. klappt. Dieser Punkt ist für mich nicht die ideale Lösung, da ich die Angriffsfläche ein wenig härten möchte. Drucker sehe ich daher in einer separaten Zone, um den Zugriff über Regeln herzustellen. 

    Als nächstes werde ich die Amazon-Geräte und die Lichtsteuerung ebenfalls in das Streaming-Netzwerk nehmen, um andere Fehlerquellen im Netzwerk zu vermeiden. Die Sicherheit ist auch hier nicht ideal, weil ich die Amazon-Geräte und die Lichtsteuerung in einem separaten Netzwerk sehe, ähnlich wie die Kameras. Und natürlich als Typ DMZ. 

    Habt ihr vielleicht ähnliche Erfahrung oder bessere Vorschläge?

Children
No Data