generelle Frage zu Firewall-Regeln

Hallo Frederik,

als Antwort kann man ein klares JEIN geben. Die SG UTM ist eine "stateful" Firewall, dass heisst, wenn eine Regel wir oben definiert ist, dann "merkt" sich die Firewall verschiedene DInge:

Quell-IP - stammt diese aus der Zone, die "Interrnal" zugeordnet ist? JA - ok weiter in dieser Regelauswertung

Trifft der (Ziel-)Port zu? - Ja - OK weiter wie oben

Trifft die Ziel-Zone zu? - Ja - OK weiter wie oben

Wenn diese Entscheidungen alle positiv waren, dann wird das Paket durchgelassen UND die Firewall führt eine Tabelle, wer diese Kommunikation initiert hat, damit die Antwort-Pakete für diesen Partner wiederum rückwärts durch die Firewall passieren dürfen.

Es ist also gerade nicht so, dass dann ALLE von aussen diesen Kanal mitbenutzen dürften, das wäre ja sicherheitstechnisch ganz furchtbar!

Wenn du von aussen nach innen zugreifen willst, dann musst eine DNAT-Regel bauen, die dann im Prinzip ähnlich funktioniert. Aber NAT ist generell nochmal ein anderes Thema.

Ich plädiere dafür, "ANY" Regeln sehr sparsam einzusetzen. Besser ist es, einen Dienst explizit zuzulassen, wenn man die benötigten Ports kennt und/oder die Zielserver-IPs.

Hallo Philipp,

danke für deine Antwort.

Jetzt habe ich die Logik dahinter verstanden!

Ich habe eigentlich nur zwei Regeln bei mir, wo das Ziel "any" ist.

Einmal für WhatsApp und einmal für den TeamViewer.

Weißt du zufällig, ob ich diese beiden Ziele auch konkreter fassen kann, sodass ich auch hier das any wegbekomme?

Vielen Dank schonmal im Voraus

Aua!

Der Trick bei TV ist, die DNS-Namen *.teamviewer.com umzubiegen und auch die IPs der TV-Server zu blocken.

Siehe hier: https://mediarealm.com.au/articles/block-teamviewer-network/

Ok, das schaue ich mir mal an!

Ist es eigentlich möglich, die interne Quelle nur auf bestimmte Handys/Tablets/Pc`s einzuschränken?

Hi Frederik,

ja klar, definiere dir einfach entsprechende Objekte, vorzugsweise DHCP Reservierungen mit sprechenden Hostnamen.

Die kannst du dann in Firewall-Regeln als Quelle oder Ziel verwenden.

Wie mache ich das denn z.B. bei einem Handy oder Tablet?

Das ist kein Unterschied, das Gerät fragt den DHCP-Server des WLAN-Accesspoints ab. Dort kann man "Reservierungen" vornehmen, also dem DHCP-Server sagen "wenn diese MAC-Adresse erneut anfragt, gib ihr bitte wieder dieselbe IP-Adresse". Wenn das kein durch eine Sophos verwalteter Accesspoint ist, dann muss man mit der Hand ein "Host" Objekt anlegen, ich würde dann den Gerätenamen des Tablets oder Smartphones nehmen und diesem die reservierte IP zuweisen, fertig! Wenn es der Sophos eigene AP ist, dann wird der DHCP Server sowieso auf der Sophos geführt, dort eine "static IP" festlegen und den Namen des Objekts vergeben (=Hostname), fertig ist die DHCP-Reservierung.

Ich verwende zum Sperren/Freigeben von Applikationen wie Skype, Teamviewer, Whatsapp, Youtube, iTunes (und den ganzen Apple-Mist) nur noch die Application Control

Wie genau funktioniert dieser denn?

D.h. dann müsste ich keine Firewall-Regeln anlegen?

ne, hier mal meine Einstellungen für Office365 und Bittorrent/eDonkey:

Also wenn ich dort die Einstellungen für TeamViewer und WhatsApp setze und die Firewall-Regel deaktiviere, laufen weder WhatsApp noch TeamViewer.

Anscheinend geht es dann wohl doch nicht?!

Also wenn ich dort die Einstellungen für TeamViewer und WhatsApp setze und die Firewall-Regel deaktiviere, laufen weder WhatsApp noch TeamViewer.

Anscheinend geht es dann wohl doch nicht?!