Wie bereits beschrieben, reicht die einfache Anlage von Firewall - Protokollen nicht aus, um eine Kommunikation mit dem Internet oder anderen Zonen zu ermöglichen. Es müssen erst Firewall - Policies definiert werden die dies ausdrücklich erlauben.
Nach der Grundinstallation gelten folgende Kommunikationsregeln:
Das interne LAN darf über die Schnittstelle Trusted / LAN --> eth0 uneingeschränkt mit der Firewall kommunizieren.
Je nachdem, ob während der Grundinstallation das "Standard - Firewall - Regelset" aktiviert wurde oder nicht, dürfen auch Daten mit dem Internet ausgetauscht werden.
Welche Firewall - Regeln das "Standard Regelset" umfasst, kann im IPEX - Installationshandbuch ab Seite 15 nachgelesen werden.
Wurde das "Standard - Firewall - Regelset" NICHT aktiviert hat auch die Firewall selbst zunächst keine Möglichkeit mit dem Internet zu kommunizieren. Es muss beispielsweise erst das DNS - Protokoll für die Firewall selbst aktiviert werden.
Über den Menüpunkt Firewall --> Policies kann man sich auf einen Blick Übersicht über die definierten Regeln verschaffen.
Abbildung 5.5. Ansicht der Firewall - Regeln
Gehen Sie auf: Firewall --> Policies
Folgende Funktionen stehen dann in dieser Tabelle zur Verfügung:
- Übersichtliche Ansicht aller Firewall - Regeln in einer Tabelle.
- Filtern
Sie haben die Möglichkeit über zwei Auswahlfelder zu Filtern, welche Policies angezeigt werden sollen. Es besteht die Möglichkeit die Quell,- und / oder Zielzone einzugrenzen.
- Aktivieren / Deaktivieren von Regeln
Über die Checkbox in der Spalte "Aktiv" lassen sich Firewall - Regeln aktivieren, oder auch vorrübergehend abschalten ohne sie zu löschen. Eine deaktivierte Regel wird durch hellgraue Schrift angedeutet.
- Bearbeiten bereits angelegter Regeln
Bereits bestehende Regeln lassen sich mittels des Edit Buttons einsehen oder bearbeiten.
- Verschieben von Regeln
Die Firewall prüft eingehende Pakete von "oben" nach "unten". Sobald die erste Regel auf ein Paket zutrifft, wird die Abarbeitung des Regelsets beendet. Falls ein Datenpaket also z.B. zugelassen wird, findet keine Prüfung der verbleibenden Regeln mehr statt. Sollten Regeln die bestimmte Zugriffe erlauben ausdrücklich mit Anderen, die Zugriffe verbieten kombiniert werden, so kann es sinnvoll sein die Reihenfolge der Regeln ändern zu könnne. Dies geschieht mittels des Move - Buttons. Es wird nach der ID einer anderen Regel gefragt, vor die die betreffende Policy verschoben werden soll. Bei der Angabe von "-1" wird die Regel ganz ans Ende des Regelsets verschoben. Im Beispiel würde die ausgewählte Regel vor diejenige mit der ID "4" verschoben werden.
Vor der Neuanlage einer Firewallpolicy sollten folgende Punkte festgelegt werden:
Von welcher Zone soll die Regel ausgehen?
In welche Zone soll der Zugriff über die Regel erlaubt werden?
Soll die Regel nur für bestimmte Quell - IP - Adressen gelten?
Soll die Regel nur für bestimmte Ziel - IP - Adressen gelten?
Welches Protokoll soll sie freigeschaltet werden?
Warnung:
Machen Sie sich über diese Punkte ausführlich Gedanken. Man kann sehr leicht zu große "Löcher" in der Firewall - Konfiguration öffnen wenn zu viele Dienste freigegeben werden oder Fehler passieren.
Abbildung 5.6. Anlegen einer neuen Firewall - Regel
Gehen Sie auf: Firewall --> Policies --> Neue Policy anlegen
Erläuterung des Dialoges:
- 1. Schritt: festlegen der Zonen
Von wo aus wird wohin zugegriffen?
- Von Zone:
Von wo aus erfolgt der Zugriff? Initiiert den Verbindungsaufbau!
- Nach Zone:
Wohin soll zugegriffen werden?
- Von Zone:
- 2. Schritt: festlegen der IP - Adressen
Definiert einzelner Rechner, Gruppen oder ganze Netze, für die diese Regel gilt.
- Von IP - Adresse(n):
Von welchen IP - Adressen geht der Verbindungsaufbau aus?
- Nach IP - Adresse(n):
Auf welche IP - Adressen darf zugegriffen werden?
- Von IP - Adresse(n):
- 3. Schritt: festlegen des Protokolls und verschiedener Optionen
Hier werden das konkret freizuschaltende Protokoll, sowie weitere Optionen angegeben.
- Protokoll:
Siehe Seiten 38 - 46
- Regel:
Datenfluss für diese Definition erlauben oder verbieten.
- Pakete protokollieren:
Datenpakete, auf die diese Definition zutrifft, werden protokolliert.
- Pakete accounten:
Datenpakete, auf die diese Definition zutrifft, werden mitgezählt (Trafficüberwachung).
- Protokoll:
- Festlegen der Quellzone
Legt fest, von welcher Zone (physikalische oder logische Netzwerkkarte) aus der Zugriff über die Regel freigeschaltet werden soll. Eine genaue Erläuterung der Zonen sowie deren Bedeutungen, finden Sie ab Seite 25. Auf den Screenshot bezogen, haben die dort gezeigten Quell - Zonen die folgende Bedeutung:
- Trusted / LAN --> eth0
Wählen Sie diesen Eintrag aus, wenn Sie bestimmte von dem internen LAN ausgehende Datenpakete, freischalten möchten.
- VPN / IPSEC --> ipsec0
Hier könnten Datenströme freigeschaltet werden, die über ein IPSEC - VPN von einem anderen Standort aus durch den IPEX geroutet werden sollen. Z.B. Daten einer Filiale ins LAN der Zentrale.
- VPN / PPTP --> ppp-pptp: ppp+ Device
Analog zu IPSEC, jedoch auf eine PPTP - VPN - Verb. bezogen, die üblicherweise für die Einwahl einzelner Arbeitsplätze verwendet wird.
- VPN / SSL --> tun0
Analog zu IPSEC, jedoch auf eine SSL - VPN - Verb. bezogen.
- Untrusted / Internet --> ppp0
Diese spezielle Zone steht für den IPEX selbst. Wenn also Daten die von dem IPEX selbst ausgehen sollen freigeschaltet werden sollen, ist diese Quellzone auszuwählen. Dies wäre z.B. für DNS oder alle anderen Protokolle, für die auf dem IPEX Proxy - Dienste laufen notwendig.
- Untrusted / Internet --> Defaultroute
Dies ist als Quellzone für freizuschaltende Verbindungen anzugeben, die vom Internet aus einen Verbindungsaufbau initieren sollen.
Warnung:
Mit dieser Zone als Quelle sollte besonders vorsichtig und durchdacht umgegangen werde!
- Trusted / LAN --> eth0
- Festlegen der Zielzone
Analog zur Quellzone erfolgt hier die Definition des Zielbereichs, auf den zugegriffen werden soll.
- Definition der Quell - IP - Adressen
Abhängig von der Definition der Quellzone, erscheinen in der Auswahlliste der Quell - IP - Adressen automatisch nur diejenigen Netzobjekte, die in dieser Zone angelegt wurden. Folgende Objekttypen stehen in dieser Reihenfolge als Quelle zur Verfügung:
- Gruppen
Objekte (Rechner und Netze) die zu Gruppen zusammengefasst wurden, können als Quelle der Regel angegeben werden.
Hinweis:
Dies funktioniert nur dann, wenn alle Objekte der Gruppe der gleichen Zone entstammen.
- Netzwerke
Alle IP - Subnetze die in einer bestimmten Zone angelegt wurden, erscheinen in der Liste.
- Hosts / Rechner
Dieser Bereich enthält alle Rechner einer bestimmten Zone.
- Gruppen
- Definition der Ziel - IP - Adressen
Analog zur Angabe der Quell - IP - Adressen, werden hier die des Zieles auf welches zugegriffen werden soll angegeben. Die Liste enthält ebenfalls Einträge, aller drei oben genanten Arten. Es erscheinen auch wieder nur diejenigen Objekte, die auch in der gewählten Zielzone angelegt sind.
- Angabe des Protokolls
Definieren Sie hier das Protokoll, für welches die Regel gelten soll. Weitere Informationen hierzu finden Sie auf den Seiten: 38 - 46.
- Festlegen der Regel (ACCEPT / DENY)
Es kann festgelegt werden, ob Datenpakete für die obigen Definitionen entweder durchgelassen (dies ist der Normalfall, da die Standard - Policy ja ausdrücklich "verbiete alles" ist), oder aber blockiert werden sollen. In letzterem Fall ist für eine ordentliche Funktionsweise, unter Umständen, die Reihenfolge der Regeln zu verändern.
- Optionen
Derzeit können noch zwei weitere Optionen zu einer Firewall - Regel angegeben werden:
- Pakete protokollieren:
Datenpakete, auf die diese Definition zutrifft, werden protokolliert.
- Pakete accounten:
Datenpakete, auf die diese Definition zutrifft, werden mitgezählt (Trafficüberwachung).
- Pakete protokollieren:
Im folgenden einige Beispiele, wie in der Praxis Regeln zu erstellen sind.
Hier soll der typische Fall beschrieben werden, was zu tun ist, um vom LAN aus den Zugriff die "Elster" - Server zur Übermittlung der Steuerdaten freizugeben. Zunächst müssen folgende Informationen ermittelt werden:
- Wer soll Zugriff bekommen?
In Frage kommen:
Ein einzelner Rechner
Ein Gruppe von Rechnern
Das ganze LAN
Zu empfehlen ist, falls möglich, den Zugriff auf einzelne Rechner zu beschränken. Wir wollen hierfür im Beispiel eine Gruppe anlegen.
- Wohin soll der Zugriff freigeschaltet werden?
Auch hier kommen wieder die oben genannten Möglichkeiten in Betracht. Im Beispiel wollen wir die in Frage kommenden Elster - Server, in einer Gruppe zusammenfassen und auf diese dann den Zugriff freigeben.
- Welches Protokoll soll freigeschaltet werden?
Das "ELSTER" - Protokoll
- Anlegen der internen Rechner
Wir legen im Beispiel der Reihe nach die folgenden beiden Buchhaltungs - Rechner an:
buchhaltung1 --> 192.168.2.100
buchhaltung2 --> 192.168.2.101
Abbildung 5.7. Beispiel Firewall - Regel Elster; Anlegen des Rechners buchhaltung1
Einstellungen --> Rechner --> Neuer Rechner. Die Daten sind analog zu den Beschreibungen im Kapitel "Rechnerverwaltung" einzutragen. Der Rechner "buchhaltung2" wird ebenso angelegt.
- Zusammenfassen der beiden Rechner in einer Gruppe "BUCHHALTUNG"
Nun sollen die beiden Rechner zur einfacheren Verwaltung in einer Gruppe zusammengefasst werden:
Abbildung 5.8. Beispiel Firewall - Regel Elster; Zusammenfassen der Rechner in einer Gruppe
Einstellungen --> Gruppen --> Neue Gruppe anlegen. Anlage der Gruppe "BUCHHALTUNG".
Einstellungen --> Gruppen --> BUCHHALTUNG. Fügen Sie nun der Gruppe die beiden Rechner hinzu.
- Anlegen der externen Rechner
Wir legen nun der Reihe nach die folgenden 6 derzeit aktuellen ELSTER - Server an:
62.157.211.58
62.157.211.59
62.157.211.60
193.109.238.26
193.109.238.27
213.182.157.55
Abbildung 5.9. Beispiel Firewall - Regel Elster; Anlegen des externen Rechners "ELSTER1"
Gehen Sie auf: Einstellungen --> Rechner --> Neuer Rechner. Die restlichen Felder sind analog zu dem Screenshot auszufüllen.
- Zusammenfassen der ELSTER - Rechner in der Gruppe "ELSTER-SERVER"
Analog zu den Rechnern im LAN, fassen wir die Elster - Server zur einfacheren Verwaltung in einer Gruppe zusammen. Ansonsten müsste für jeden Server eine eigene Regel definiert werden!
Abbildung 5.10. Beispiel Firewall - Regel Elster; Zusammenfassen der Elster - Server in einer Gruppe
Einstellungen --> Gruppen --> Neue Gruppe anlegen. Anlage der Gruppe "ELSTER-SERVER".
Einstellungen --> Gruppen --> ELSTER-SERVER. Fügen Sie nun der Gruppe die 6 angelegten Elster - Server hinzu.
- Anlegen der Firewall - Regel
Im letzten Schritt kann nun die Firewall - Regel definiert werden, die den beiden Buchhaltungsrechnern den Zugriff auf den Port 8000 der Elster - Server erlaubt.
Abbildung 5.11. Beispiel Firewall - Regel Elster; anlegen der Firewall - Regel.
Gehen Sie auf: Firewall --> Policies --> Neue Policy anlegen.
- Von Zone:
"Trusted / LAN --> eth0", da der Zugriff VOM Lan aus ins Internet freigeschaltet werden soll. Es muss immer überlegt werden, VON wo aus der Zugriff erfolgen soll; wer baut die Verbindung auf. Dies ist dann die Quell - Zone.
- Nach Zone:
"Untrusted / Internet --> Defaultroute" Der Zugriff soll ins Internet erfolgen. Diese Zone ist der stellvertretende Alias dafür.
- Von IP - Adresse(n):
Wählen Sie die Gruppe "ou=BUCHHALTUNG" aus.
- Nach IP - Adresse(n):
Wählen Sie die Gruppe "ou=ELSTER-SERVER" aus.
- Protokoll:
ELSTER
- Von Zone:
Nach Durchführung dieser Schritte, haben Sie erfolgreich und sicher den Zugriff dieser beiden Buchhaltungs - Rechner auf die Elster - Server freigegeben. Wenn möglich, sollte man bei solchen Regeln immer konkret Rechner im LAN und auch konkret Rechner im Internet angeben, die für das Protokoll freigeschaltet werden sollen. Es ist immer die schlechtere Lösung z.B. allen Rechnern im LAN, Zugriff auf alle Rechner im Internet zu geben!
Es soll nun eine Regel erstellt werden, die aus dem Internet Zugriff auf die Firewall per PPTP / VPN - Protokoll gibt. Dies ist dann notwendig, wenn sich z.B. Mitarbeiter von daheim aus auf das LAN über PPTP einwählen sollen.
Warnung!
Seien Sie mit allen Regeln die wie diese "Untrusted / Internet --> Defaultroute" als Quellzone (= von hier aus darf zugegriffen werden) extrem vorsichtig. Es besteht hierbei die größte Gefahr Fehler in der Firewall - Konfiguration zu begehen.
Auch hier wieder die Fragen aus dem letzten Beispiel:
- Wer soll Zugriff bekommen?
In Frage kommen:
Ein einzelner Rechner
Ein Gruppe von Rechnern
Das "ganze Internet"
In diesem konkreten Fall, ist in der Regel der Zugriff vom "ganzen Internet" aus freizuschalten da der Kommunikationspartner meist eine dynamische IP - Adresse haben dürfte.
- Wohin soll der Zugriff freigeschaltet werden?
Der Zugriff soll diesesmal direkt auf die Firewall freigeschaltet werden.
- Welches Protokoll soll freigeschaltet werden?
Das "PPTP" - Protokoll
Im Gegensatz zum letzten Beispiel, muss hier keine weitere Vorarbeit geleistet werden. Die Regel kann direkt angelegt werden.
Abbildung 5.12. Beispiel Firewall - Regel PPTP; Anlegen der Firewall - Regel.
Gehen Sie auf: Firewall --> Policies --> Neue Policy anlegen.
- Von Zone:
"Untrusted / Internet --> Defaultroute". Der Verbindungsaufbau soll aus dem Internet erfolgen.
- Nach Zone:
"Untrusted / Internet --> ppp0" Diese Zone steht stellvertretend für die externe Netzwerkkarte des IPEX selbst, auf die der Zugriff in diesem Fall freigeschaltet werden muss.
Hinweis:
Diese Zone hängt von der Art und Weise ab, wie der IPEX für den Internetzugriff konfiguriert ist. Sollte sich "vor" ihm anstelle wie hier eines DSL - Modems ein Router befinden, ist als Zone diejenige Netzwerkkarte auszuwählen, an der der Router angeschlossen ist. Z.B. "Untrusted / Internet --> eth1".
- Von IP - Adresse(n):
Wählen Sie "Netzwerk 0.0.0.0/0.0.0.0 ALL" aus. Dies steht stellvertretend für alle IP - Adressen im Internet.
- Nach IP - Adresse(n):
In diesem Fall den IPEX selbst "Host: ppp0 Firewall Host".
Hinweis:
Analog zur Konfiguration der Ziel - Zone, hängt dieser Eintrag von der Art des Internet - Zugangs ab. Sollte sich vor dem IPEX ein Router befinden, müssen Sie hier aus der Liste die externe IP - Adresse des IPEX zum Router hin auswählen.
- Protokoll:
PPTP
Nun ist der IPEX aus dem Internet über das PPTP - Protokoll zu erreichen. Die Regel ist nach dem abspeichern sofort aktiv.
Dieser Abschnitt soll Sie mit ein paar grundsätzlichen Gedanken zur Konfiguration einer Firewall vertraut machen. Beachten Sie bitte, dass dies aber keinesfalls ein tiefergehende Beschäftigung mit der Materie überflüssig macht, es können hier an der Stelle nur ein paar grundsätzliche Überlegungen angestellt werden.
- So wenig wie möglich
Schalten Sie so wenig wie möglich an Diensten frei. Wenn etwas freigeschaltet werden muss, sollten Sie falls möglich versuchen, den Zugriff von oder auf bestimmte Rechner (Beispiel "ELSTER") einzuschränken.
- Vorsicht bei Zugriffen aus dem Internet
Versuchen Sie vor allem Regeln, die den Zugriff aus dem Internet auf die Firewall (Beispiel "PPTP") oder gar das LAN freischalten zu vermeiden. Schränken Sie hier wen möglich, immer den Zugriff von bestimmten Rechnern oder IP - Adressen ein.
- Das Protokoll "ANY" nicht verwenden
Das Protokoll "ANY" sollte tunlichst nie verwendet werden. Es ist nur als Notlösung oder Testmöglichkeit zu sehen.
- Verwendung von Proxy - Diensten
Sofern möglich, sollten freizuschaltende Dienste immer über einen sog. Proxy - Dienst anstelle eine direkte Regel verwendet werden. Dies ist naturgemäß der sicherere Weg.
Unter einem Proxy - Dienst versteht man allgemein einen "Vermittler". Manchmal ist einem der Begriff im Zusammenhang mit einem sog. "WWW - Cache - Proxy" geläufig. Dies ist ein Dienst, der Internetzugriffe über Browser "abfängt" und häufig benötigte Dateien auf der Festplatte des "Proxy - Servers" zwischenspeichert. Solche "Proxy - Dienste" gibt es jedoch nicht nur für das HTTP - Protokoll, sondern für viele weitere Anwendungsfälle ebenso.
Ein Proxy - Dienst ist ein "Vermittler" z.B. für die Daten, die zwischen dem Internet und dem LAN ausgetauscht werden sollen. Die Kommunikation läuft hier wie folgt ab:
Der Client im LAN sendet eine Anfrage (z.B. im Browser) an das Internet.
Der passende Proxy - Dienst der Firewall "nimmt" diese Anfrage an. Dieser Proxy - Dienst "spricht" die Sprache des Anwendungsprotokolls in dieser Anfrage und führt eine Analyse durch, ob diese Anfrage "passieren darf".
Falls die Datenpakete in Ordnung sind, leitet sie der Proxy - Dienst weiter.
Das Antwortpaket aus dem Internet kommt ebenfalls beim Proxy - Dienst an. Dieser prüft zunächst, ob es sich bei diesem Datenpaket um die Antwort einer Anfrage aus dem LAN handelt. Falls nicht wird es gleich verworfen. Falls ja, können je nachdem ob der Dienst dies unterstützt, weitere Prüfungen durchgeführt werden. Z.B:
Handelt es sich um eine Antwort passend zur Anwendungsschicht oder wird versucht Daten zu "tunneln" ?
Durchführen einer Contentanalyse, z.B. darf auf diese Webseite zugegriffen werden?
Virenscan der Inhalte.
Blockieren von Spam.
Weiterleiten der Daten an den Client, sofern alle Prüfungen positiv verlaufen sind.