generelle Frage zu Firewall-Regeln

Hallo Frederik,

als Antwort kann man ein klares JEIN geben. Die SG UTM ist eine "stateful" Firewall, dass heisst, wenn eine Regel wir oben definiert ist, dann "merkt" sich die Firewall verschiedene DInge:

Quell-IP - stammt diese aus der Zone, die "Interrnal" zugeordnet ist? JA - ok weiter in dieser Regelauswertung

Trifft der (Ziel-)Port zu? - Ja - OK weiter wie oben

Trifft die Ziel-Zone zu? - Ja - OK weiter wie oben

Wenn diese Entscheidungen alle positiv waren, dann wird das Paket durchgelassen UND die Firewall führt eine Tabelle, wer diese Kommunikation initiert hat, damit die Antwort-Pakete für diesen Partner wiederum rückwärts durch die Firewall passieren dürfen.

Es ist also gerade nicht so, dass dann ALLE von aussen diesen Kanal mitbenutzen dürften, das wäre ja sicherheitstechnisch ganz furchtbar!

Wenn du von aussen nach innen zugreifen willst, dann musst eine DNAT-Regel bauen, die dann im Prinzip ähnlich funktioniert. Aber NAT ist generell nochmal ein anderes Thema.

Ich plädiere dafür, "ANY" Regeln sehr sparsam einzusetzen. Besser ist es, einen Dienst explizit zuzulassen, wenn man die benötigten Ports kennt und/oder die Zielserver-IPs.

Hallo Philipp,

danke für deine Antwort.

Jetzt habe ich die Logik dahinter verstanden!

Ich habe eigentlich nur zwei Regeln bei mir, wo das Ziel "any" ist.

Einmal für WhatsApp und einmal für den TeamViewer.

Weißt du zufällig, ob ich diese beiden Ziele auch konkreter fassen kann, sodass ich auch hier das any wegbekomme?

Vielen Dank schonmal im Voraus

Hallo Frederik,

WhatsApp ist so ein Thema... Ich habe das so gelöst (auf tcp und udp achten):

Ah ok,

und was hast du als Ziel genommen?

Jetzt hast du da ja nur die Dienste definiert oder?

Meine Regel sieht so aus und scheint zu funktionieren:

Wobei bei mir diese 4 Ports alles TCP-Ports sind.

Hi Frederik,

die benötigten Ports hängen von der Funktion ab, die du in WhatsApp nutzt. WhatsApp voice call oder Media Upload usw.

Zu den Server-IP Adressen lässt sich WhatsApp nicht aus, die FAQ von denen ist da sehr bescheiden mit Infos. Also ANY oder Internet IPv4

Ok, besten Dank!

Kannst du zufällig was zu Teamviewer sagen?

Aua!

Der Trick bei TV ist, die DNS-Namen *.teamviewer.com umzubiegen und auch die IPs der TV-Server zu blocken.

Siehe hier: https://mediarealm.com.au/articles/block-teamviewer-network/

Ok, das schaue ich mir mal an!

Ist es eigentlich möglich, die interne Quelle nur auf bestimmte Handys/Tablets/Pc`s einzuschränken?

Hi Frederik,

ja klar, definiere dir einfach entsprechende Objekte, vorzugsweise DHCP Reservierungen mit sprechenden Hostnamen.

Die kannst du dann in Firewall-Regeln als Quelle oder Ziel verwenden.

Wie mache ich das denn z.B. bei einem Handy oder Tablet?

Wie mache ich das denn z.B. bei einem Handy oder Tablet?

Das ist kein Unterschied, das Gerät fragt den DHCP-Server des WLAN-Accesspoints ab. Dort kann man "Reservierungen" vornehmen, also dem DHCP-Server sagen "wenn diese MAC-Adresse erneut anfragt, gib ihr bitte wieder dieselbe IP-Adresse". Wenn das kein durch eine Sophos verwalteter Accesspoint ist, dann muss man mit der Hand ein "Host" Objekt anlegen, ich würde dann den Gerätenamen des Tablets oder Smartphones nehmen und diesem die reservierte IP zuweisen, fertig! Wenn es der Sophos eigene AP ist, dann wird der DHCP Server sowieso auf der Sophos geführt, dort eine "static IP" festlegen und den Namen des Objekts vergeben (=Hostname), fertig ist die DHCP-Reservierung.

Guten Morgen,

könnte ich die Eingrenzung auch nur anhand des Gerätenamens vornehmen? Ohne IP bzw. DHCP-Bereich?

ja, du kannst Regeln auch objekt-basiert bauen, mache ich fast ausschliesslich hier, zumindest dann, wenn es granularer wird / sein soll.

Erst mal Regeln, die für alle / komplette Subnetze gelten sollen und danach auf Objektebene; z.B. die Webfilter auf einzelne Geräte / User.

Aber denke daran, er arbeitet sich von oben nach unten durch. Sobald was blockiert wird, bringt ein "allow" danach nichts mehr.

Bin mir mit der Reihenfolge / Priorisierung nicht mehr ganz sicher, aber glaube es war von der Reihenfolge so:

Application Control -> Webfilter -> Firewall

Und genau das macht es dann manchmal etwas schwierig in der Konfiguration, wenn man z.B. auf Firewall-Ebene dann was blockieren möchte, es aber durch den Webfilter bereits erlaubt wird. ;)

Nein,

Wie soll das gehen?

Die UTM ist ein, wenn auch sehr komfortabler, Paketfilter. Die Filterregeln werden auf IP Pakete angewendet. Wenn du also eine Hostnamen als Objekt verwendest, wird der vorher nach der IP Adresse aufgelöst und diese in der Regel dann als Ziel oder Quelle benutzt. Die IP muss also von "irgendwo" herkommen. Du kannst auch manuelle IP-Adressen vergeben und dich dann in einem Host Objekt darauf beziehen, so macht man das mit Servern. Letztlich sorgt man ja mit einer DHCP Reservierung nur dafür, dass der Client anhand der weltweit eindeutigen Hardware-Mac wiedererkannt wird und dann die im bereits zugeordnete IP immer wieder erhält. Sonst könnte es sein, dass er eine andere IP aus dem DHCP Pool erhält. Das will man aber gerade im Zusammenhang mit Firewall Regeln vermeiden.

Hm...also von der Reihenfolge muss das anders sein, weil wenn ich in der Application Control z.B. WhatsApp oder Teamviewer freigebe wird es trotzdem blockiert bzw. funktioniert nicht. Erst wenn ich die Firewall Regeln hinzufüge läuft es.

Kann das sein?

Eventuell wirkt das ergänzend, wenn z.B. Ports verwendet werden, welche in den Signaturen für Application Control, Webfilter nicht enthalten sind. Habe ich auch schon gesehen.

Ich hatte es hier jedoch so, als ich einem Client testweise den kompletten Weg / Internet nach aussen sperren und hierzu nicht über den Webfilter gehen wollte, dass eine Deny-ANY Firewall-Regel auf das einzelne Objekt (statische IP Adresse) nicht gewirkt hat. Erst nachdem der Webfilter deaktiviert war, bzw eine Skip-Ausnahmeregel innerhalb des Webfilters gesetzt wurde.

Also, der OP hatte nach Firewallregeln gefragt, daher finde ich die Diskussion über Application Control und Webfilter für jemanden, der sich in das Thema einarbeiten möchte, eher verwirrend.

Wenn man die Funktionsweise des Paketfilters und der Wirkungsweise der Sophos GUI zur Ansteuerung erstmal verstanden hat, dann kann man sich den anderen Themen zuwenden.