Deny-all-Strategie - reicht Maskierung

[Aushilfsinformatiker]

Hallo, ich bin gerade beim Finetuning des neuen Netzwerkes in einem Internat. Da ich jetzt komplett bis auf einige Feinheiten durch bin, stellt sich mir die Frage, ob Maskierung als Block für alles von der Gegenstelle INTERNET ausreichend ist.

Momentan habe ich über DENY-ALL Regel allen Verkehr nach Außen auf notwendige Ports reguliert, die VLANS durch Schnittstellen-Tags getrennt. Alles wird über den DNS des Lancom gezwungen.

Macht folgende Regel Sinn oder reicht Maskierung ohne Einträge:

BLOCK_INET Quelle: Gegenstelle Internet Quell-Dienst: alle Ziel-Dienst alle Aktion: zurückweisen

Es soll alles von Außen komplett zu sein, es gibt auch keine Einträge unter Maskierung.

Viele Grüße

[backslash]

Hi Aushilfsinformatiker,

kurz und knapp: nein, die Maskierung reicht nicht aus... die Maskierung macht erstmal nur ein Port-Mapping, d.h. wenn jemand von aussen ein Paket an einen gemappten Port schickt, so wird dieses nach innen weitergeleitet (Full-Cone-NAT)...

Das ist im LANCOM zumindest für UDP so, weil sonst STUN nicht funktionieren würde...
Für TCP ist es im LANCOM ein Restricted-Cone-Nat (auch das läßt noch eingeschränkt Verbindungen von außen nach innen zu, prüft aber immerin die Adressen).

Höchste Sicherheit (Prüfung von Adressen, Ports, Zuständen) erhält man nur mit einer Deny-All-Stategie in der Firewall

Die Bgriffe Full-Cone-NAT und Restricted-Cone-Nat stammen aus dem RFC für STUN (RFC 3489)

Gruß
Backslash

[Aushilfsinformatiker]

Vielen Dank, dann mache ich das mit dieser Regel noch dicht.
Viele Grüße und einen schönen Feiertag

[Dr.Einstein]

Höchste Sicherheit (Prüfung von Adressen, Ports, Zuständen) erhält man nur mit einer Deny-All-Stategie in der Firewall

Wenn das alles so schlimm ist, wieso ist dann der Default im Lancom 'Allow All'? Nicht mal 'Allow All Outgoing'? Auch LanConfig und die LMC ignorieren diesen Punkt komplett und lassen alles IPv4 mäßige offen.

[Aushilfsinformatiker]

Hallo, ich muss das Internat schon richtig dicht machen. Jetzt habe ich noch ein SIP-Telefon von Yeahlink als zweite (Not)-Leitung installiert. Der SIP-Trunk ist über den Lancom eingerichtet. Das Telefon meldet sich dort beim hinterlegten Benutzer an.

Da sollte jetzt eigentlich alles mit der Regel blockiert sein. Eigenartigerweise geht der Ruf durch. Abnehmen tut jetzt keiner, da heute ein Ferientag ist. Kann es sein, dass die Firewall den SIP-Trunk ignoriert, obwohl sie geschlossen ist?

Nachtrag, gerade gefunden... unter Sonstige Dienste kann man mit einem Haken SIP-Pakete an der Firewall vorbeischleusen, dieses ist aktiviert.

Viele Grüße

[backslash]

Hi Dr.Einstein,

Wenn das alles so schlimm ist, wieso ist dann der Default im Lancom 'Allow All'? Nicht mal 'Allow All Outgoing'? Auch LanConfig und die LMC ignorieren diesen Punkt komplett und lassen alles IPv4 mäßige offen.

weil es nicht so schlimm ist... Ein Angriff ist ja nur dann möglich wenn der Angreifer zunächst den Port kennt der vom NAT gewählt wurde - und dann muß er noch wissen, welche Ziel-Adresse und welchen Ziel-Port der initiierende Rechner angesprochen hat, um einen wirksamen Angriff durchzuführen - spich: eine gefälchte Antwort zu schicken, die auch ausgewertet wird...

Daher ist das ein eher hyptothetisches Problem - aber da Aushilfsinformatiker eine Schule absichern will, sollte er mit maximaler Paranoia an das Problem herangehen - und da heißt die Lösung: Deny-All Strategie.

BTW: in der IPv6-Firewall sind die Regeln im Default auf "Allow-Outgoing" gesetzt, weil dort der "Mindestschutz" durch das NAT gänzlich fehlt

Gruß
Backslash

[Aushilfsinformatiker]

Hallo, Danke für das Feedback. Ich glaube diese Regel ist überflüssig, bin mir aber nicht ganz sicher. Wenn ich schon grundlegend folgendermaßen sperre mit:

DENY_ALL - REJECT - Quelle & Ziel: alle Stationen - Dienste: alle

ist doch eigentlich

BLOCK_INET - Quelle: Gegenstelle Internet Quell-Dienst: alle Ziel-Dienst alle Aktion: zurückweisen

mit inbegriffen? Also doppelt? Die Gegenstelle sollte doch bei "alle Stationen" mit enthalten sein? Somit sollte doch eigentlich die erste Regel für das bidirektionale Sperren aller ein- und ausgehenden Verbindungen reichen.

Danke und viele Grüße

[GrandDixence]

Nachtrag, gerade gefunden... unter Sonstige Dienste kann man mit einem Haken SIP-Pakete an der Firewall vorbeischleusen, dieses ist aktiviert.

(Firewall-)Konfiguration der Handhabung von fragmentierten IP-Paketen und dem TCP-Stealth-Modus sollte auch kontrolliert werden. Siehe dazu:
viewtopic.php?p=104492#p104492