generelle Frage zu Firewall-Regeln

Hallo Frederik,

als Antwort kann man ein klares JEIN geben. Die SG UTM ist eine "stateful" Firewall, dass heisst, wenn eine Regel wir oben definiert ist, dann "merkt" sich die Firewall verschiedene DInge:

Quell-IP - stammt diese aus der Zone, die "Interrnal" zugeordnet ist? JA - ok weiter in dieser Regelauswertung

Trifft der (Ziel-)Port zu? - Ja - OK weiter wie oben

Trifft die Ziel-Zone zu? - Ja - OK weiter wie oben

Wenn diese Entscheidungen alle positiv waren, dann wird das Paket durchgelassen UND die Firewall führt eine Tabelle, wer diese Kommunikation initiert hat, damit die Antwort-Pakete für diesen Partner wiederum rückwärts durch die Firewall passieren dürfen.

Es ist also gerade nicht so, dass dann ALLE von aussen diesen Kanal mitbenutzen dürften, das wäre ja sicherheitstechnisch ganz furchtbar!

Wenn du von aussen nach innen zugreifen willst, dann musst eine DNAT-Regel bauen, die dann im Prinzip ähnlich funktioniert. Aber NAT ist generell nochmal ein anderes Thema.

Ich plädiere dafür, "ANY" Regeln sehr sparsam einzusetzen. Besser ist es, einen Dienst explizit zuzulassen, wenn man die benötigten Ports kennt und/oder die Zielserver-IPs.

Hallo Philipp,

danke für deine Antwort.

Jetzt habe ich die Logik dahinter verstanden!

Ich habe eigentlich nur zwei Regeln bei mir, wo das Ziel "any" ist.

Einmal für WhatsApp und einmal für den TeamViewer.

Weißt du zufällig, ob ich diese beiden Ziele auch konkreter fassen kann, sodass ich auch hier das any wegbekomme?

Vielen Dank schonmal im Voraus

Ok, das schaue ich mir mal an!

Ist es eigentlich möglich, die interne Quelle nur auf bestimmte Handys/Tablets/Pc`s einzuschränken?

Hi Frederik,

ja klar, definiere dir einfach entsprechende Objekte, vorzugsweise DHCP Reservierungen mit sprechenden Hostnamen.

Die kannst du dann in Firewall-Regeln als Quelle oder Ziel verwenden.

Wie mache ich das denn z.B. bei einem Handy oder Tablet?

Das ist kein Unterschied, das Gerät fragt den DHCP-Server des WLAN-Accesspoints ab. Dort kann man "Reservierungen" vornehmen, also dem DHCP-Server sagen "wenn diese MAC-Adresse erneut anfragt, gib ihr bitte wieder dieselbe IP-Adresse". Wenn das kein durch eine Sophos verwalteter Accesspoint ist, dann muss man mit der Hand ein "Host" Objekt anlegen, ich würde dann den Gerätenamen des Tablets oder Smartphones nehmen und diesem die reservierte IP zuweisen, fertig! Wenn es der Sophos eigene AP ist, dann wird der DHCP Server sowieso auf der Sophos geführt, dort eine "static IP" festlegen und den Namen des Objekts vergeben (=Hostname), fertig ist die DHCP-Reservierung.

Ich verwende zum Sperren/Freigeben von Applikationen wie Skype, Teamviewer, Whatsapp, Youtube, iTunes (und den ganzen Apple-Mist) nur noch die Application Control

Wie genau funktioniert dieser denn?

D.h. dann müsste ich keine Firewall-Regeln anlegen?

ne, hier mal meine Einstellungen für Office365 und Bittorrent/eDonkey:

Also wenn ich dort die Einstellungen für TeamViewer und WhatsApp setze und die Firewall-Regel deaktiviere, laufen weder WhatsApp noch TeamViewer.

Anscheinend geht es dann wohl doch nicht?!

Guten Morgen,

könnte ich die Eingrenzung auch nur anhand des Gerätenamens vornehmen? Ohne IP bzw. DHCP-Bereich?

ja, du kannst Regeln auch objekt-basiert bauen, mache ich fast ausschliesslich hier, zumindest dann, wenn es granularer wird / sein soll.

Erst mal Regeln, die für alle / komplette Subnetze gelten sollen und danach auf Objektebene; z.B. die Webfilter auf einzelne Geräte / User.

Aber denke daran, er arbeitet sich von oben nach unten durch. Sobald was blockiert wird, bringt ein "allow" danach nichts mehr.

Bin mir mit der Reihenfolge / Priorisierung nicht mehr ganz sicher, aber glaube es war von der Reihenfolge so:

Application Control -> Webfilter -> Firewall

Und genau das macht es dann manchmal etwas schwierig in der Konfiguration, wenn man z.B. auf Firewall-Ebene dann was blockieren möchte, es aber durch den Webfilter bereits erlaubt wird. ;)

ja, du kannst Regeln auch objekt-basiert bauen, mache ich fast ausschliesslich hier, zumindest dann, wenn es granularer wird / sein soll.

Erst mal Regeln, die für alle / komplette Subnetze gelten sollen und danach auf Objektebene; z.B. die Webfilter auf einzelne Geräte / User.

Aber denke daran, er arbeitet sich von oben nach unten durch. Sobald was blockiert wird, bringt ein "allow" danach nichts mehr.

Bin mir mit der Reihenfolge / Priorisierung nicht mehr ganz sicher, aber glaube es war von der Reihenfolge so:

Application Control -> Webfilter -> Firewall

Und genau das macht es dann manchmal etwas schwierig in der Konfiguration, wenn man z.B. auf Firewall-Ebene dann was blockieren möchte, es aber durch den Webfilter bereits erlaubt wird. ;)

Hm...also von der Reihenfolge muss das anders sein, weil wenn ich in der Application Control z.B. WhatsApp oder Teamviewer freigebe wird es trotzdem blockiert bzw. funktioniert nicht. Erst wenn ich die Firewall Regeln hinzufüge läuft es.

Kann das sein?

Eventuell wirkt das ergänzend, wenn z.B. Ports verwendet werden, welche in den Signaturen für Application Control, Webfilter nicht enthalten sind. Habe ich auch schon gesehen.

Ich hatte es hier jedoch so, als ich einem Client testweise den kompletten Weg / Internet nach aussen sperren und hierzu nicht über den Webfilter gehen wollte, dass eine Deny-ANY Firewall-Regel auf das einzelne Objekt (statische IP Adresse) nicht gewirkt hat. Erst nachdem der Webfilter deaktiviert war, bzw eine Skip-Ausnahmeregel innerhalb des Webfilters gesetzt wurde.

Also, der OP hatte nach Firewallregeln gefragt, daher finde ich die Diskussion über Application Control und Webfilter für jemanden, der sich in das Thema einarbeiten möchte, eher verwirrend.

Wenn man die Funktionsweise des Paketfilters und der Wirkungsweise der Sophos GUI zur Ansteuerung erstmal verstanden hat, dann kann man sich den anderen Themen zuwenden.