 |
|
|
|
| Autor |
Nachricht |
m-jelinski
Anmeldungsdatum: 29.03.2005
Beiträge: 232
Wohnort: Kaufungen bei Kassel
|
 Verfasst am:
Mo 26 Dez, 2005 12:51 |
  |
|
Ich würde mir eine Firewall wünschen, die Pakete auf OSI 2 (also ohne Routing) filtern kann. Einige Hersteller haben schon vorgemacht, das dieses durch Analyse der Pakete durchaus möglich ist. Auch gibt es bereits mehrere Softwareprojekte, die dieses mit einem Linuxrechner zum einschleifen bereits geschaft haben. Gerade bei Access Points die nicht routen sollen (um die vorhandene Produktivumgebung nicht umstellen zu müssen - welches manchmal erhebliche Probleme bereitet), wäre es für mich sehr wünschenswert. |
|
|
     |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Di 27 Dez, 2005 17:58 |
|
|
Hi m-jelinski
| Zitat:
|
|
Einige Hersteller haben schon vorgemacht, das dieses durch Analyse der Pakete durchaus möglich ist.
|
In diesem Fall handelt es sich aber um eine sog. Deep-Packet-Inspection und die läuft nicht auf Layer 2 sondern auf den Layern 5...7.
| Zitat:
|
|
Gerade bei Access Points die nicht routen sollen (...), wäre es für mich sehr wünschenswert.
|
Gerade bei Accesspoints, die nur Bridgen ist soetwas eher nicht geünscht, da dies massiv auf die Performance geht. Accesspoints hängt man normalerweise in eine separaten Strang, der über eine leistungstarke Firewall vom Rest des Netzes abgetrennt ist. Desweiteren unterbindet man im AP, daß sich die WLAN-Clients gegenseitig sehen, womit die nötige Sicherheit gewährleistet ist.
| Zitat:
|
|
(um die vorhandene Produktivumgebung nicht umstellen zu müssen - welches manchmal erhebliche Probleme bereitet)
|
Da sich WLAN-Clients ihre Konfiguration normalerweise per DHCP holen, ist keine Umstellung der Produktivumgebung notwendig - außer den getrennten Strang an die Firewall zu hängen
Gruß
Backslash |
|
|
|
|
m-jelinski
Anmeldungsdatum: 29.03.2005
Beiträge: 232
Wohnort: Kaufungen bei Kassel
|
| Verfasst am:
Mi 28 Dez, 2005 07:52 |
|
|
Hallo backslash,
vielen Dank für Deine Antwort. Mir geht es im gegebenen Fall um folgendes:
Der WLAN Teil soll als Bridge dienen. Das Netzwerk steht und der Server braucht die MAC Adressen der einzelnen Clients um diese zu identifizieren (über IPs geht es leider nicht, da beim IPCop Server nur IP Adressen aus dem selben Netz ohne Probleme funktionieren - keine Rückroute möglich).
SERVER <--> WLAN Bridge <--> WLAN Bridge <--> Clients (selbes IP Netz wie Server unbedingt vorgeschrieben)
Da die Clients im selben Netz wie der IPCop sein müssen, darf auf der WLAN Bridge nicht geroutet werden. Trotzdem möchte ich das die WLAN Bridge nur bestimmte Ports durchlässt und andere durch eine Firewallfunktion sperrt . Auch eine Bandbreitenbegrenzungen für einzelne Verbindungen (nicht Clients) wäre damit einfach realisierbar (z.B. HTTP Durchlass 1 MBit/s und weniger wichtige Verbindungen nur mit 512 kBit/s)Für mich macht das durchaus Sinn (egal auf welchem Layer das jetzt passiert), so dass ich mir diese Funktion wünsche.
PS. Cisco bietet diese Funktion bereits. |
|
|
|
|
m-jelinski
Anmeldungsdatum: 29.03.2005
Beiträge: 232
Wohnort: Kaufungen bei Kassel
|
| Verfasst am:
Mi 28 Dez, 2005 08:03 |
|
|
Auch hatte ich mal den Fall:
Vorher:
SDSL Router <--> LAN
Nachher (um VPN Tunnel zu realisieren):
SDSL Router <--> Lancom 1711 VPN (nur für die VPN Verbindungen) <--> LAN
Dadurch musste an diversen Routern (u.a. einer für eine 2 MBit/s Standleitung) die Routingtabelle verändert werden. Alles in allem ein enormer Aufwand, den man sich mit einer Firewall die nicht routet sparen könnte. |
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Mi 28 Dez, 2005 11:21 |
|
|
Moin,
Sperren einzelner Ports geht durchaus, über die Protokollfilter. Die entsprechenden
Ports als 'verwerfen' eintragen und dann noch eine Default-Allow-Regel, die den
Rest durchläßt.
Gruß Alfred |
|
|
|
|
bj05
Anmeldungsdatum: 22.12.2005
Beiträge: 9
|
| Verfasst am:
Mi 28 Dez, 2005 13:44 |
|
|
Hi!
MAC-Filter im Bridge-Mode würden mir schon gut gefallen.
Ich hab die "andere" Seite meine WLAN-Bridges nicht immer in gesicherten Bereichen und muss ebenfalls im selben Subnetz fahren.
Ich such grade einen halbwegs günstigen Switch, der mehr als 8 MACs pro Port filtern kann - kennt jemand einen?
Lg. Bj |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mi 28 Dez, 2005 16:21 |
|
|
Hi bj05
| Zitat:
|
|
MAC-Filter im Bridge-Mode würden mir schon gut gefallen.
|
wie Alfred schon schrieb: Einfache MAC- und Port-Filter sind durchaus vorhanden. Schau mal unter WLAN-Sicherheit -> Protokolle -> Protokolle... nach.
Gruß
Backslash |
|
|
|
|
bj05
Anmeldungsdatum: 22.12.2005
Beiträge: 9
|
| Verfasst am:
Mi 28 Dez, 2005 16:28 |
|
|
Hi \
Damit kann ich alle bis auf ein paar die ich kenne zwischen WLAN und LAN blokieren? Muss ich probieren ...
DANKE!
Lg. Bj |
|
|
|
|
m-jelinski
Anmeldungsdatum: 29.03.2005
Beiträge: 232
Wohnort: Kaufungen bei Kassel
|
| Verfasst am:
Mi 28 Dez, 2005 16:45 |
|
|
Das ist ja prima! Wie so oft hat mich mein Lancom mal wieder positiv überrascht. Hat da mal jemand nen Beispiel für eine Tabelle, die nur TCP Port 80, 443, 21 und 800 durchlässt und alle anderen sperrt? Den Rest würde ich mir dann daraus ableiten.
Vielen Dank an die Lancom Profis! |
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Mi 28 Dez, 2005 17:56 |
|
|
Moin,
erstmal einen Eintrag für ARP:
| Zitat:
|
Name: ARP
Protokoll: 0806
Unterprotokoll, Port &Port-Ende: 0
Ifc-List: je nach Bedarf (z.B. WLAN-1 für das erste logische Netz, P2P-1-1 für die erste
Point-2-Point-Strecke, auch kommaseparierte Listen möglich)
Aktion: Durchlassen
Umleite-IP: leerlassen (gilt nur bei Umleiten als Aktion)
|
Dann z.B. für Port 80:
| Zitat:
|
Name: HTTP
Protokoll: 0800
Unterprotokoll: 6
Port: 80
Port-Ende: 0 oder 80 (ist gleichwertig, wenn nur ein einzelner Port und kein Bereich gemeint
ist)
Ifc-List: je nach Bedarf, wie oben
Aktion: Durchlassen
Umleite-IP: wieder leerlassen
|
Sobald für ein Interface irgendeine Regel definiert ist, gilt ein implizites default-drop, d.h.
Pakete, auf die keine Regel zutrifft, werden verworfen. Will man umgekehrt einzelne
Ports sperren, dann nimmt man obige Regeln und stellt von Durchlassen auf Verwerfen um,
dazu definiert man eine default-allow-Regel:
| Zitat:
|
Name: DEFAULT
Protokoll: 0000
Unterprotokoll, Port & Port-Ende: 0
Ifc-List: je nach Bedarf, wie oben
Aktion: Durchlassen
Umleite-IP: wieder leerlassen
|
Es greift immer die 'spezifischste' Regel, die auf das jeweilge Paket paßt.
Und immer erst auf dem lokalen Gerät ausprobieren, damit man sich nicht
aussperrt - und solche Regeln lassen sich auch durchaus fürs LAN definieren...
Gruß Alfred |
|
|
|
|
m-jelinski
Anmeldungsdatum: 29.03.2005
Beiträge: 232
Wohnort: Kaufungen bei Kassel
|
| Verfasst am:
Mi 28 Dez, 2005 22:07 |
|
|
Hallo Alfred,
ích bin gerade dabei das zu probieren. Kannst Du mir noch die Einstellungen für UDP Ports sagen?
Und eventuell noch einen Ort wo ich eine Kurzreferenz oder Auflistung dazu finde?
Viele Grüße
Michael |
|
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
Mi 28 Dez, 2005 22:22 |
|
|
Hi,
UDP ist Unterprotokoll "17". Gehe einfach mal im LANconfig in die jeweiligen Zeilen und druecke "F1", dort wirst Du zu jedem Eintrag eine Hilfe mit Beispielen finden. Weitere Dokumentation findest Du im Ref. Manual Seite 360 ff.
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
 |
|
m-jelinski
Anmeldungsdatum: 29.03.2005
Beiträge: 232
Wohnort: Kaufungen bei Kassel
|
| Verfasst am:
Mi 28 Dez, 2005 23:05 |
|
|
Super, vielen Dank!
Das hat mir sehr geholfen um das Netz etwas sicherer zu machen.
Viele Grüße
Michael |
|
|
|
|
m-jelinski
Anmeldungsdatum: 29.03.2005
Beiträge: 232
Wohnort: Kaufungen bei Kassel
|
| Verfasst am:
Sa 31 Dez, 2005 19:49 |
|
|
Hallo,
eigentlich dachte ich, das ich mit der Lösung über die WLAN Sicherheit / Protokolle / Protokolle vorläufig zufrieden bin.
Nun habe ich eben die Regeln eingegeben und da war nach der 32ten Regel keine weitere Regel mehr möglich.
Von daher würde ich mir schon wünschen dieses über die Firewall machen zu können (zumal man bei den Protokollen nicht die Richtung bestimmen kann). |
|
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
Sa 31 Dez, 2005 21:48 |
|
|
| Zitat:
|
|
Von daher würde ich mir schon wünschen dieses über die Firewall machen zu können (zumal man bei den Protokollen nicht die Richtung bestimmen kann).
|
Tja, da wirst Du wohl etwas Geduld aufbringen muessen, wir schreiben es auf die (lange) Liste mit den Feature-Wuenschen.
Ciao
LouiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
|
|
|
|
|
|
| |
|
|
