Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 4 subscribers
  • Views 1231 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN - Lokale Netze vs. Firewall, wer hat wirklich die Hoheit?

fromthenorth

Hallo zusammen,

 

ich erstelle SSL VPN Profile für verschiedene User-Gruppen. Einer Gruppe habe ich unter "Lokale Netzwerke" eine kleine Anzahl von Workstation hinterlegt, so dass der Zugang nur dort erfolgen kann. Zudem gibt es eine Firewall-Regel die "rdp" erlaubt sowie "dns" zu den DCs.

 

Wenn allerdings eine Regel erstellt wird, wo als "lokales Netzwerk" das Netz angegeben wird, überschreibt diese Einstellung die Firewall und der Zugang ist zu Orten möglich, die durch die fehlende Firewall-Regel hätte nicht möglich sein können.

 

Daher sind meine Fragen:

1. Wenn der Zugang eingeschränkt werden soll, sind unter "Lokale Netzwerke" stets nur die Ziele einzutragen und in der Firewall wird der Dienst zusätzlich erlaubt

oder

2. Wie habe ich diese Regel zu verstehen bzw. wird eigentlich nur für transparente Netzwerke eingesetzt?

 

Viele Grüße

 



This thread was automatically locked due to age.
  • 0

    Nach meinem Verständnis hat, was du unter lokalen Netzwerken einträgst immer Vorrang, da die automatisch erstellten Firewall-Regeln des SSL-Profils immer über den manuell erstellten stehen in der Priorität. Da die automatisch erstellte Regel als Service 'Any' verwendet, stellt man wenn man es granularer haben möchte, die automatischen Firewall-Regeln im SSL-Profil aus und erstellt manuelle Regeln für das SSL VPN user network.

  • 0

    Nutze keine automatischen Firewallregeln im VPN Profil sondern lege manuelle Regeln an.

    Du kannst als lokales Netzwerk im SSL-Profil ruhig das komplette interne Netzwerk angeben - diese Einstellung ist nur für das Routing (wenn der Haken automatische Firewallregel deaktiviert ist).

     

    Der Zugriff wird dann über manuelle Firewallregeln gesteuert:

    In der Firewallregel kannst du als Quelle einzelne User:(User Network) Objekte, Gruppenobjekte: (User Group Network) Objekte oder mit dem VPN-SSL Pool Netzwerkobjekt arbeiten und granular den VPN-Zugang steuern. Als Ziel können dann statt dem gesamten internal Network auch nur einzelne/mehrere Host-Objekte stehen.

     

    Gruß Steve

  • 0 in reply to admin888

    Dann ist es mir jetzt klar. Vielen Dank für Eure Antworten!

  • 0 in reply to Steve Weißflog

    Vielen Dank für Eure Antworten.

     

    @Steve

    Wenn ich wie bisher das AD-Gruppenobjekt als Quelle nutze und z. B. rdp für bestimmte Systeme freigebe, ist es trotzdem noch möglich auf andere Server sich anzumelden. Es wird also nicht blockiert. Vom Verständnis her sollte alles geblockt sein und nur per Rule freigegeben werden.

  • 0 in reply to fromthenorth

    Dann muss es da ggf. noch irgendwo eine alte Firewallregel geben, die irgendeinen Zugriff erlaubt... Oder gibt es noch im Bereich NAT diesbezüglich irgendeine Regel ?

    -> müsste in der Firewall per Live-Log ersichtlich sein wenn du nach der Pool-IP des eingewählten Users filterst.

  • 0 in reply to Steve Weißflog

    So war es auch. Hier gab es noch eine Verknüpfung mit einer anderen Gruppe, die diese zusätzliche Berechtigung ermöglicht hat.

Unfiltered HTML