generelle Frage zu Firewall-Regeln

Hallo Frederik,

als Antwort kann man ein klares JEIN geben. Die SG UTM ist eine "stateful" Firewall, dass heisst, wenn eine Regel wir oben definiert ist, dann "merkt" sich die Firewall verschiedene DInge:

Quell-IP - stammt diese aus der Zone, die "Interrnal" zugeordnet ist? JA - ok weiter in dieser Regelauswertung

Trifft der (Ziel-)Port zu? - Ja - OK weiter wie oben

Trifft die Ziel-Zone zu? - Ja - OK weiter wie oben

Wenn diese Entscheidungen alle positiv waren, dann wird das Paket durchgelassen UND die Firewall führt eine Tabelle, wer diese Kommunikation initiert hat, damit die Antwort-Pakete für diesen Partner wiederum rückwärts durch die Firewall passieren dürfen.

Es ist also gerade nicht so, dass dann ALLE von aussen diesen Kanal mitbenutzen dürften, das wäre ja sicherheitstechnisch ganz furchtbar!

Wenn du von aussen nach innen zugreifen willst, dann musst eine DNAT-Regel bauen, die dann im Prinzip ähnlich funktioniert. Aber NAT ist generell nochmal ein anderes Thema.

Ich plädiere dafür, "ANY" Regeln sehr sparsam einzusetzen. Besser ist es, einen Dienst explizit zuzulassen, wenn man die benötigten Ports kennt und/oder die Zielserver-IPs.

Hallo Philipp,

danke für deine Antwort.

Jetzt habe ich die Logik dahinter verstanden!

Ich habe eigentlich nur zwei Regeln bei mir, wo das Ziel "any" ist.

Einmal für WhatsApp und einmal für den TeamViewer.

Weißt du zufällig, ob ich diese beiden Ziele auch konkreter fassen kann, sodass ich auch hier das any wegbekomme?

Vielen Dank schonmal im Voraus

Hallo Philipp,

danke für deine Antwort.

Jetzt habe ich die Logik dahinter verstanden!

Ich habe eigentlich nur zwei Regeln bei mir, wo das Ziel "any" ist.

Einmal für WhatsApp und einmal für den TeamViewer.

Weißt du zufällig, ob ich diese beiden Ziele auch konkreter fassen kann, sodass ich auch hier das any wegbekomme?

Vielen Dank schonmal im Voraus

Hallo Frederik,

WhatsApp ist so ein Thema... Ich habe das so gelöst (auf tcp und udp achten):

Ah ok,

und was hast du als Ziel genommen?

Jetzt hast du da ja nur die Dienste definiert oder?

Meine Regel sieht so aus und scheint zu funktionieren:

Wobei bei mir diese 4 Ports alles TCP-Ports sind.

Hi Frederik,

die benötigten Ports hängen von der Funktion ab, die du in WhatsApp nutzt. WhatsApp voice call oder Media Upload usw.

Zu den Server-IP Adressen lässt sich WhatsApp nicht aus, die FAQ von denen ist da sehr bescheiden mit Infos. Also ANY oder Internet IPv4

Ok, besten Dank!

Kannst du zufällig was zu Teamviewer sagen?

Aua!

Der Trick bei TV ist, die DNS-Namen *.teamviewer.com umzubiegen und auch die IPs der TV-Server zu blocken.

Siehe hier: https://mediarealm.com.au/articles/block-teamviewer-network/

Ok, das schaue ich mir mal an!

Ist es eigentlich möglich, die interne Quelle nur auf bestimmte Handys/Tablets/Pc`s einzuschränken?

Hi Frederik,

ja klar, definiere dir einfach entsprechende Objekte, vorzugsweise DHCP Reservierungen mit sprechenden Hostnamen.

Die kannst du dann in Firewall-Regeln als Quelle oder Ziel verwenden.

Wie mache ich das denn z.B. bei einem Handy oder Tablet?

Das ist kein Unterschied, das Gerät fragt den DHCP-Server des WLAN-Accesspoints ab. Dort kann man "Reservierungen" vornehmen, also dem DHCP-Server sagen "wenn diese MAC-Adresse erneut anfragt, gib ihr bitte wieder dieselbe IP-Adresse". Wenn das kein durch eine Sophos verwalteter Accesspoint ist, dann muss man mit der Hand ein "Host" Objekt anlegen, ich würde dann den Gerätenamen des Tablets oder Smartphones nehmen und diesem die reservierte IP zuweisen, fertig! Wenn es der Sophos eigene AP ist, dann wird der DHCP Server sowieso auf der Sophos geführt, dort eine "static IP" festlegen und den Namen des Objekts vergeben (=Hostname), fertig ist die DHCP-Reservierung.