Lancom Firewall - empfohlene Standard-Settings?

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

tom63
Beiträge: 238
Registriert: 01 Dez 2007, 15:26

Lancom Firewall - empfohlene Standard-Settings?

Beitrag von tom63 »

hallo zusammen,

ich habe hier mal eine ganz grundsaetzliche - und vermutlich dumme - frage zur firewall:

wir nutzen als geraete die 1781ef+ (10.12 ru 15) fuer folgende aufgaben:
- vpn fest-verbindungen zu aussenbueros mit lancom routern
- vpn-verbindungen fuer mobilen zugriff
- internetzugang ueber telekom vdsl-business mit zyxel vmg1312-b30a modem
wir betreiben weder http ftp oder mail-server etc im internen netz die von ausserhalb erreichbar sein muessen.
alles was von aussen erreichbar sein muss/soll/darf nur ueber die vpns laufen.

gibt es standard regeln oder ein standard setup fuer die firewall die man in so einem kleinen allerweltsszenario setzen sollte?
wenn ich bei heise (https://www.heise.de/security/dienste/p ... ?scanart=1 )einen portscan etc mache sieht alles wunderbar aus.
hat es dennoch vorteile in der firewall abschirmende regeln zu setzen und wenn welche und welche vorteile bringt das exakt?

nette gruesse
tom
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von 5624 »

Grundsätzlich macht der Router es eigenständig, aber zur Sicherheit kann man noch eine Deny-All-Firewall bauen. Ist in der LANCOM-KB ein ganzer Eintrag zu.

Du solltest aber mal darüber nachdenken, die Firmware zu aktualisieren, da die schon seit sehr langer Zeit passiv und damit so gut wie tot ist.
LCS NC/WLAN
tom63
Beiträge: 238
Registriert: 01 Dez 2007, 15:26

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von tom63 »

5624 hat geschrieben: 31 Okt 2020, 20:44 Grundsätzlich macht der Router es eigenständig, aber zur Sicherheit kann man noch eine Deny-All-Firewall bauen. Ist in der LANCOM-KB ein ganzer Eintrag zu.
ja. den kenne ich. aber mir erschliesst sich nicht was 'zur sicherheit' das dann wirklich zusaetzlich beitraegt?
5624 hat geschrieben: 31 Okt 2020, 20:44 Du solltest aber mal darüber nachdenken, die Firmware zu aktualisieren, da die schon seit sehr langer Zeit passiv und damit so gut wie tot ist.
wir hatten/haben immer noch diese drauf weil es mit den neueren versionen (zumindest vor zwei jahren) immer wieder das ein oder andere problem bei telefonie oder fax gab. ob das mittlerweile nachgebessert ist weiss ich nicht. hat denn die von uns genutzte 10.12 ru 15 sicherheitsmaengel?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von GrandDixence »

tom63 hat geschrieben: 02 Nov 2020, 17:00 ja. den kenne ich. aber mir erschliesst sich nicht was 'zur sicherheit' das dann wirklich zusaetzlich beitraegt?
Bitte die Grundlagen einer SPI-Firewall kennen lernen:

https://www.golem.de/news/it-sicherheit ... 43624.html

https://de.wikipedia.org/wiki/Stateful_ ... Inspection

fragen-zum-thema-firewall-f15/portscans ... 18403.html

Der Einsatz einer LCOS-Version aus dem Stable-Zweig ist zu empfehlen:
https://www.lancom-systems.de/produkte/ ... ebersicht/
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von 5624 »

wir hatten/haben immer noch diese drauf weil es mit den neueren versionen (zumindest vor zwei jahren) immer wieder das ein oder andere problem bei telefonie oder fax gab. ob das mittlerweile nachgebessert ist weiss ich nicht. hat denn die von uns genutzte 10.12 ru 15 sicherheitsmaengel?
An den Problemen muss man arbeiten und diese nicht aussitzen. In der Regel schaukelt sich sowas über längere Zeit so auf, dass man bereits nach wenigen Versionen schon keine Chance mehr hat, was aufzuholen. Also wenn Probleme bestehen, analysieren und wenn das Problem LANCOM zugeschrieben werden kann, ein Ticket öffnen.

Ich hab z.B. jetzt ein Kompatiblitätsproblem, was ich ausgesessen habe und jetzt dafür sorgt, dass ich drei Jahre alte Telefonanlagen "entsorgen" muss, weil mir die Zeit fehlt, das Problem zu beheben und es kurz vor der Eskalation ist.

Zu den Sicherheitsproblemen: Es sind immer irgendwelche Probleme drin, denn jeder Fehler, auch wenn dieser scheinbar nur einen Absturz oder eine Fehlfunktion erzeugt in gewissen Konfigurationen oder Szenarien ein Sicherheitsproblem sein kann. Dass kann aber am Ende niemand bestätigen oder ausschließen. Und da von 10.12RU15 bis alleine zur 10.34 genug Fehler behoben wurden, könnten auch unentdeckte Sicherheitsprobleme behoben (oder geschaffen) worden sein.
LCS NC/WLAN
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von backslash »

Hi tom63
ja. den kenne ich. aber mir erschliesst sich nicht was 'zur sicherheit' das dann wirklich zusaetzlich beitraegt?
kurz und knapp: NAT ersetzt keine Firewall... NAT öffnet zwar nur Ports für Traffic von "innen nach aussen", da aber während dieser Zeit ein Port-Mapping existriert, kann auch ein Angreifer von aussen versuchen auf dem Umweg über dieses Mapping ins Netzt zu gelangen. Aus Sicht der Firewall hingegen wäre das eine neue "eingehende" Session (also vom WAN ins LAN), die von einer Deny-All-Regel gefangen würde (zumindest solange es keine Alllow-Regel gibt, die vorher matcht)

Gruß
Backslash
tom63
Beiträge: 238
Registriert: 01 Dez 2007, 15:26

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von tom63 »

hallo granddixence,

vielen dank fuer die vielen links - werde mir das alles die naechsten tage noch einmal ansehen (und hoffentlich auch verstehen)!
tom63
Beiträge: 238
Registriert: 01 Dez 2007, 15:26

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von tom63 »

5624 hat geschrieben: 02 Nov 2020, 21:05 Und da von 10.12RU15 bis alleine zur 10.34 genug Fehler behoben wurden, könnten auch unentdeckte Sicherheitsprobleme behoben (oder geschaffen) worden sein.
hallo 5624,

also dann werde ich das ganze mal wagen und eine neue firmware ausprobieren. welche wuerdest du mir denn empfehlen - die 11.34 oder besser gleich die 11.40 mit dem neuen webinterface?
tom63
Beiträge: 238
Registriert: 01 Dez 2007, 15:26

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von tom63 »

backslash hat geschrieben: 03 Nov 2020, 10:31 Hi tom63
ja. den kenne ich. aber mir erschliesst sich nicht was 'zur sicherheit' das dann wirklich zusaetzlich beitraegt?
kurz und knapp: NAT ersetzt keine Firewall... NAT öffnet zwar nur Ports für Traffic von "innen nach aussen", da aber während dieser Zeit ein Port-Mapping existriert, kann auch ein Angreifer von aussen versuchen auf dem Umweg über dieses Mapping ins Netzt zu gelangen. Aus Sicht der Firewall hingegen wäre das eine neue "eingehende" Session (also vom WAN ins LAN), die von einer Deny-All-Regel gefangen würde (zumindest solange es keine Alllow-Regel gibt, die vorher matcht)

Gruß
Backslash
ok - ueberzeugt. also dann mach ich mich jetzt einmal an ein firmware update von 11.12 auf (11.34 vs 11.40?) und lese mir die ganzen links von @granddixence durch.

waere aber trotzdem nett wenn ihr mir danach noch ein bisserl auf die spruenge helft ob bei unserer verwendung (ohne irgendwelche von aussen zu erreichenden http/ftp/mail oder was auch immer servern) der denial all oder allow all ansatz der gescheitere ist und wie mans dann im echten leben umsetzt :)

netter gruss
tom
tom63
Beiträge: 238
Registriert: 01 Dez 2007, 15:26

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von tom63 »

muahahaha - stellenweise ist dieses ganze firewall dingsdabumsda wirklich amuesant - selbst wenn man selber nicht wirklich plan von der sache hat wie ich ...

fragen-zum-thema-firewall-f15/countrybl ... tml#p99259
backslash hat geschrieben: 10 Mai 2019, 16:53 Hi Boy2006,

ja, sowas gibt es auch im LANCOM... Das ist aber nur drin, weil selbsternannte Experten diverser Homeuser-Computer-Zeitschriften der Meinung sind, sowas würde die Sicherheit erhöhen. Das Gegenteil ist der Fall! Durch solche Sperren werden DoS-Angriffe im schlimmsten Fall erst erfolgreich (stell dir dazu einfach mal vor, ein Angreifer fälscht die IP-Adresse des DNS-Servers deines Providers und der Router sperrt sie darauf hin)...

Also: Finger weg von (dynamischen) Adreßsperren jedweder Art... Abgesehehen davon sind Portscans als solche noch lange kein Angriff und hinter einem Router der nur Traffic von innen nach aussen zuläßt auch kein Problem. Wenn man Portforwardings einrichtet, dann muß man den Server an den weitergeleitet wird, mit einem guten Paßwort absichern und nicht vermeindlich "böse" Chinesen oder Russen im Router vorher ausfiltern - denn das hilft nichts, wenn der Angriff von der "guten" NSA kommt...

Desweiteren ist sind auch Ping-Blocking und Stealth-Mode keine Sicherheitsfeatures, denn anders als die oben erwähnten selbsternannten Experten immer wieder ertzählen, deutet keine Antwort nicht darauf hin, daß dort niemend ist, sondern sowas ist vielmehr ein roter blinkender Pfeil auf ein möglicherweise interressantes Ziel... Denn wäre da wirklich niemand, dann würde der Router einen Hop vorher schon sagen "destination unreachable"... da er das aber nicht macht, weiß jeder Angreifer sofort, daß sicht hinter der nicht antwortenden Adresse doch jemand ist...

Gruß
Backslash
tom63
Beiträge: 238
Registriert: 01 Dez 2007, 15:26

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von tom63 »

backslash hat geschrieben: 03 Nov 2020, 10:31 kurz und knapp: NAT ersetzt keine Firewall... NAT öffnet zwar nur Ports für Traffic von "innen nach aussen", da aber während dieser Zeit ein Port-Mapping existriert, kann auch ein Angreifer von aussen versuchen auf dem Umweg über dieses Mapping ins Netzt zu gelangen. Aus Sicht der Firewall hingegen wäre das eine neue "eingehende" Session (also vom WAN ins LAN), die von einer Deny-All-Regel gefangen würde (zumindest solange es keine Alllow-Regel gibt, die vorher matcht)
so. habe jetzt einige stunden die ganzen links von graddixence durchgesehen und auch hier ueber die suche im forum und ueber google.

offengestanden bin ich dabei aber nicht sehr viel weiter gekommen:
- von lancom-systems findet sich fast nur noch info und anleitungen zu diesen unified firewalls
- und die frueher nuetzliche lancom knwledgebase bringt leider in der heutigen version gar nichts sinnvolles mehr
- alles was man findet ist 10-15 jahre alt und bezieht sich auf lcos mit der hausnummer 7.0

ich finde einfach nirgends ein vernuenftiges howto zu unserem 0815 einsatz der sicher bei den meisten kleinen betrieben nicht viel anders ist:
- keine server die von aussen erreicht werden muessen
- diverse geraete (pc mac iphone ipad etc) die ins internet wollen (http ftp mail etc)
- vpn zugang zu dateiserver und softwarelizenzserver fuer aussenbuero und mobilen mitarbeiter
- thats it

meine aktuellen fragen waeren:
1) gibt es irgendwo ein howto mit einer ausgangsgrundkonfiguration mit der man starten kann?
2) sind diese uralten infos auch 1:1 bei 10.34 und 10.40 anwendbar? https://support.lancom-systems.com/know ... n+Skripten
3) ist das von dir beschriebene nachhalten der spi-firewall auch ohne deny-all regel schon aktiv sobald unter firewall/qos: allgemein ip4 und ip6 firewall aktiviert sind? zumindest bei diesen fritzboxen scheint das so der fall zu sein: https://avm.de/service/fritzbox/fritzbo ... FRITZ-Box/
4) was bringt es alle ports zu schliessen und dann wieder einzelne aufzumachen - sucht sich dann nicht angreifer/schadsoftware genau dieses eine loch aus?
5) wie macht man es zu verhindern dass man sich beim aufsetzen solcher firewall regeln nicht im lancom selber aussperrt und dann die arschkarte gezogen hat ins aussenbuero fahren zu muessen oder auch den router im eigenen netz komplett zuruecksetzen muss?
6) im webconfig finde ich 6 assistenten und im lanconfig 10 assistenten. wo aber verbirgt sich der auch nach stundenlanger suche von mir nicht gefundene mysterioese 'firewall-assistent' der im 10.40 handbuch auf seite 629/789 angeteasert wird?

sorry fuer den vielen text + gruss
tom

p.s. das ist der status quo - hoffe das ist jetzt nicht ungeschickt das hier offenzulegen?!
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von C/5 »

Hallo tom,

es dauert eine Weile, um mit dem Konzept der Lancoms warm zu werden. Vieles ist kein Selbstgänger und die Dokumentation in mancherlei Hinsicht leider auch nicht hilfreich. So jedenfalls meine Erfahrungen damit.

Hinsichtlich "Standard-Setting" teile ich die Meinung der bisherigen Poster - das kann man so pauschal nicht sagen.
- von lancom-systems findet sich fast nur noch info und anleitungen zu diesen unified firewalls
- und die frueher nuetzliche lancom knwledgebase bringt leider in der heutigen version gar nichts sinnvolles mehr
- alles was man findet ist 10-15 jahre alt und bezieht sich auf lcos mit der hausnummer 7.0
Kann ich nicht bestätigen. Die Suchfunktion auf Lancoms Seite ist zwar nicht berauschend und die 'neue' Knowledgebase ist aus meiner Sicht auch nicht gelungen, aber finden lässt sich doch jede Menge - mit Umweg über Google, wo dann auch die Knowledgebase-Artikel von Lancom wieder auftauchen. Bisher jedenfalls.
2) sind diese uralten infos auch 1:1 bei 10.34 und 10.40 anwendbar?
Grundsätzlich schon. Es versteht sich, dass in alten KBs keine Infos über neuere Features stehen, aber die beschriebenen Konzepte gelten weiter. Was schon sein kann ist, dass eine Funktion in den Konfigurationsdialogen mal an eine andere Stelle rutscht. Dann passt natürlich der Screenshot aus der KB nicht mehr. Dennoch sollte die Funktion an anderer Stelle wiederzufinden sein und auch noch den gleichen Job machen.

Vom Einsatz dieser Scripte aus dem Link solltest Du absehen - zumindest solange Du nicht verstehst, was diese Scripte konkret bewirken.
4) was bringt es alle ports zu schliessen und dann wieder einzelne aufzumachen - sucht sich dann nicht angreifer/schadsoftware genau dieses eine loch aus?
Da kann ich nicht folgen. Grundsätzlich ist ein Lancom für von außen initiierte Verbindungen "zu" und für von innen initiierte Verbindungen "offen" (kleine Ausnahme: WINS wird per Default gefiltert). Insofern weiß ich nicht, was Du mit '... alle ports zu schliessen und dann wieder einzelne aufzumachen' meinen könntest.

Anders sieht es erst aus, wenn eine Deny-All-Strategie eingerichtet werden soll. Dann wird der Lancom auch für von innen initiierte Verbindungen "zu", es sei denn, man erstellt eine Regel, die die gewünschte Verbindung von innen nach außen wieder zulässt. Sinn von Deny-All ist u.a., nur die erwünschte Kommunikation nach draußen zu gewähren (DNS, ICMP, HTTP/S, FTP, MAIL, NTP, ..., was auch immer bei euch erforderlich ist, von welcher Quelle und zu welchen Zielnetzen es benötigt wird). Vielleicht liegt hier aber auch noch ein Missverständnis Deinerseits. Wenn es Dir darum geht, dass, sagen wir mal ein PC mit Schadsoftware, aus Deinem Netz heraus nicht kommunizieren darf, kann ich das Anliegen zwar verstehen, aber so etwas leistet eine SPI-Firewall in der Form nicht. Dafür braucht es eine Appliance, wie die von Dir zitierten Unified Firewalls, die sich auch die Inhalte von Paketen vornehmen können und nicht nur Verbindungsstatus- und -richtung.
Du musst Dir klar machen, was SPI bedeutet. Es kommt darauf an, von wo eine Verbindung initiiert wird. Dazu noch mal der Hinweis auf den Hinweis :) von Backslash. Spätestens mit Deny-All + Regelwerk für ausgewählte ausgehende Verbindungen kann der Lancom den Verbindungsstatus auch dieser Kommunikation nachhalten (wo vorher nur NAT war ?). Die Firewall wird dann auf solchen Verbindungen huckepack von draußen kommende Versuche erkennen und blocken, weil dazu vorher kein initiierendes Paket von innen existiert. So jedenfalls habe ich den Hinweis aufgefasst. Wobei ... dass ein Lancom von innen nach außen ohne spezifische Regel nur NATet, kann ich mir gerade nicht wirklich vorstellen :G)

Laut Deiner Beschreibung gibt es keine Notwendigkeit für eine Regel, die Verbindungen von außen in Dein Netz hinein zulässt. VPN ist in dem Zusammenhang eine andere Geschichte, aber darum musst Du Dich ansich nicht kümmern, wenn die VPN-Verbindungen mit dem Assistenten eingerichtet werden.
p.s. das ist der status quo - hoffe das ist jetzt nicht ungeschickt das hier offenzulegen?!
Da steht nichts geheimes oder kompromittierendes drin, aber es hilft, auf Deine Fragen einzugehen.
Ich möchte jetzt nicht alles nachlesen, aber bisher war meine ich nicht von einem Gastnetz die Rede.
Eine Art von Quality of Service scheint auch eingerichtet zu sein. Davon steht auch nichts in Deiner bisherigen Beschreibung.
Und ansonsten ist quasi nichts spezifisch konfiguriert.
Trotzdem hättest Du Dich wohl bei unreflektierter Übernahme eines wie auch immer gestalteten Standard-Settings dann aus dem Rennen geworfen, da es schon diese beiden Abweichungen (Gastnetz, QoS) wohl kaum berücksichtigt hätte.
Die Andeutungen von Problemen mit Telefonie und Fax bei Aktualisierung der Firmware lassen eigentlich auch vermuten, dass noch mehr berücksichtigt werden muss.
5) wie macht man es zu verhindern dass man sich beim aufsetzen solcher firewall regeln nicht im lancom selber aussperrt ...
Naja, solche Arbeiten am lebenden Objekt bergen halt ein paar Risiken. Entweder Du weißt, was Du tust oder Du brauchst sinnvollerweise eine Testumgebung. Für den Fall der Fälle vielleicht einen zweiten Remote-Weg in die Filiale haben, schadet nicht. Und natürlich Sicherungen von der Konfiguration, die nach einem Reset wieder geladen werden können.

Sorry, auch ein bisschen länglich ...

Gruß
C/5
Zuletzt geändert von C/5 am 05 Nov 2020, 17:10, insgesamt 1-mal geändert.
tom63
Beiträge: 238
Registriert: 01 Dez 2007, 15:26

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von tom63 »

hallo c/5,

vielen dank fuer die muehe die du dir hier machst und die superausfuehrliche antwort!
C/5 hat geschrieben: 05 Nov 2020, 14:14 Kann ich nicht bestätigen. Die Suchfunktion auf Lancoms Seite ist zwar nicht berauschend und die 'neue' Knowledgebase ist aus meiner Sicht auch nicht gelungen, aber finden lässt sich doch jede Menge - mit Umweg über Google, wo dann auch die Knowledgebase-Artikel von Lancom wieder auftauchen. Bisher jedenfalls.
naja. da kann man auch geteilter meinung sein. ich finde es schon sehr schwach eine alte aber halbwegs funktionierende knowledge-base im jahr 2020 durch eine zu ersetzen bei der nicht einmal die suchfunktion funktioniert und dann 10-15 jahre alte dinge nicht auf den aktuellen stand zu bringen.
C/5 hat geschrieben: 05 Nov 2020, 14:14 Grundsätzlich schon. Es versteht sich, dass in alten KBs keine Infos über neuere Features stehen, aber die beschriebenen Konzepte gelten weiter. Was schon sein kann ist, dass eine Funktion in den Konfigurationsdialogen mal an eine andere Stelle rutscht. Dann passt natürlich der Screenshot aus der KB nicht mehr. Dennoch sollte die Funktion an anderer Stelle wiederzufinden sein und auch noch den gleichen Job machen.
Vom Einsatz dieser Scripte aus dem Link solltest Du absehen - zumindest solange Du nicht verstehst, was diese Scripte konkret bewirken.
mir ist groessenordnungsmaessig schon klar was die scripte machen: zb alles von innen sperren (deny-all) und dann eben fuer einzelne dinge wieder loecher zu bohren (http ftp dns mail etc). frage mich nur ob die in der form noch ausgefuehrt werden sollten da doch jetzt manches in der firewall mehr objektorientiert geloest ist?
C/5 hat geschrieben: 05 Nov 2020, 14:14
4) was bringt es alle ports zu schliessen und dann wieder einzelne aufzumachen - sucht sich dann nicht angreifer/schadsoftware genau dieses eine loch aus?
Da kann ich nicht folgen. Grundsätzlich ist ein Lancom für von außen initiierte Verbindungen "zu" und für von innen initiierte Verbindungen "offen" (kleine Ausnahme: WINS wird per Default gefiltert). Insofern weiß ich nicht, was Du mit '... alle ports zu schliessen und dann wieder einzelne aufzumachen' meinen könntest.

Anders sieht es erst aus, wenn eine Deny-All-Strategie eingerichtet werden soll. Dann wird der Lancom auch für von innen initiierte Verbindungen "zu", es sei denn, man erstellt eine Regel, die die gewünschte Verbindung von innen nach außen wieder zulässt. Sinn von Deny-All ist u.a., nur die erwünschte Kommunikation nach draußen zu gewähren (DNS, ICMP, HTTP/S, FTP, MAIL, NTP, ..., was auch immer bei euch erforderlich ist, von welcher Quelle und zu welchen Zielnetzen es benötigt wird). Vielleicht liegt hier aber auch noch ein Missverständnis Deinerseits. Wenn es Dir darum geht, dass, sagen wir mal ein PC mit Schadsoftware, aus Deinem Netz heraus nicht kommunizieren darf, kann ich das Anliegen zwar verstehen, aber so etwas leistet eine SPI-Firewall in der Form nicht. Dafür braucht es eine Applience, wie die von Dir zitierten Unified Firewalls, die sich auch die Inhalte von Paketen vornehmen können und nicht nur Verbindungsstatus- und -richtung.
Du musst Dir klar machen, was SPI bedeutet. Es kommt darauf an, von wo eine Verbindung initiiert wird. Dazu noch mal der Hinweis auf den Hinweis :) von Backslash. Spätestens mit Deny-All + Regelwerk für ausgewählte ausgehende Verbindungen kann der Lancom den Verbindungsstatus auch dieser Kommunikation nachhalten (wo vorher nur NAT war ?). Die Firewall wird dann auf solchen Verbindungen huckepack von draußen kommende Versuche erkennen und blocken, weil dazu vorher kein initiierendes Paket von innen existiert. So jedenfalls habe ich den Hinweis aufgefasst. Wobei ... dass ein Lancom von innen nach außen ohne spezifische Regel nur NATet, kann ich mir gerade nicht wirklich vorstellen :G)
also wenn ich es richtig verstanden habe im handbuch der 10.40 firmware dann ist das spf der firewall (wie auch dos ids fragmente etc abwehr) ohnehin mit einschalten der firewall fuer ip4 und ip6 aktiv. auch ohne weitere regeln und zutun? das mit deny-all und dann wieder alle moeglichen ports zu oeffnen erscheint mir aus meiner laiensicht aber irgendwie mehr als getraeumte sicherheit mit grossem aufwand. oder aus welchem grund sollten angriffe oder schadsoftware dann nicht einfach die notwendigerweise geoeffneten ports verwenden?
C/5 hat geschrieben: 05 Nov 2020, 14:14 Da steht nichts geheimes oder kompromittierendes drin, aber es hilft, auf Deine Fragen einzugehen.
perfekt :)
C/5 hat geschrieben: 05 Nov 2020, 14:14 Ich möchte jetzt nicht alles nachlesen, aber bisher war meine ich nicht von einem Gastnetz die Rede.
Eine Art von Quality of Service scheint auch eingerichtet zu sein. Davon steht auch nichts in Deiner bisherigen Beschreibung.
Und ansonsten ist quasi nichts spezifisch konfiguriert.
die regeln fuer die bandbreite sind ohnehin deaktiviert. sonst isses nur die standard wins regel und eine die mir backslash gegeben hatte damit mein pihole dns in beiden netzen funktioniert. und dann halt die automatisch erzeugten fuer 4 mobile vpn zugaenge. und eine die bei der vpn verbindung zum aussenbuero ein paar ip-adressen verbietet
C/5 hat geschrieben: 05 Nov 2020, 14:14
5) wie macht man es zu verhindern dass man sich beim aufsetzen solcher firewall regeln nicht im lancom selber aussperrt ...
Naja, solche Arbeiten am lebenden Objekt bergen halt ein paar Risiken. Entweder Du weißt, was Du tust oder Du brauchst sinnvollerweise eine Testumgebung. Für den Fall der Fälle vielleicht einen zweiten Remote-Weg in die Filiale haben, schadet nicht. Und natürlich Sicherungen von der Konfiguration, die nach einem Reset wieder geladen werden können.
yep. aber ich faende es trotzdem extrem hilfreich wenn man der firewall auf knopfdruck sagen koennte 'setz dich nach x minuten wieder auf einen gespeicherten zustand zurueck' damit man sich nicht selber aussperrt. und das passiert vielleicht sogar den profis manchmal? laesst sich sicher auch zu fuss irgendwie ueber cron machen wenn man sich auskennt. aber anyways ich haetts halt fuer meine situation toll gefunden wenn da ein einfacher schalter waer der einen vor dem gau schuetzt.
6) im webconfig finde ich 6 assistenten und im lanconfig 10 assistenten. wo aber verbirgt sich der auch nach stundenlanger suche von mir nicht gefundene mysterioese 'firewall-assistent' der im 10.40 handbuch auf seite 629/789 angeteasert wird?
wo ich das hier finde kannst auch du mir nicht sagen?

netter gruss
tom
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von C/5 »

Hallo tom,
wo ich das hier finde kannst auch du mir nicht sagen?
Nein. Eventuell ist es geräteabhängig und eben nur via Lanconfig nutzbar. Aus meiner Sicht wäre so ein Assistent aber auch nur für einen absoluten Newbie was, damit der bar jeder Sachkenntnis zu einem Basis-Setup kommt. Vielleicht überschätzt Du die Möglichkeiten dieses Assistenten auch.
frage mich nur ob die in der form noch ausgefuehrt werden sollten da doch jetzt manches in der firewall mehr objektorientiert geloest ist?
Berechtigter Einwand deinerseits. Außerdem, ob das so viel schneller geht, als eine wirklich passende Regel von Hand zu erstellen?
Ansonsten, das 'RDP-Script' z. B. - setzt es eine Regel ein, die RDP bei einer Deny-All-Strategie von innen zu einem entfernten RDP-Host 'wieder öffnet' oder macht es die Firewall von außen auf im Sinne eines Portforwardings? Letzteres sollte man ganz gewiss nicht mehr machen und ersteres ist etwas, dass kaum mehr als ein paar 10 Sekunden auf dem manuellen Weg erfordert (einschließlich zurückschreiben der Konfiguration).
das mit deny-all und dann wieder alle moeglichen ports zu oeffnen erscheint mir aus meiner laiensicht aber irgendwie mehr als getraeumte sicherheit mit grossem aufwand.
Erstens ist das nicht wirklich viel Aufwand. Zweitens kann man schon was daraus gewinnen. Ob es Dir den vermeintlich großen Aufwand wert ist, weiß ich natürlich nicht. Mal drei Beispiele, um es vielleicht nachvollziehbarer zu machen. In meinem Netzwerk steht ein QNAP-NAS. Das hat sozusagen Ausgangsverbot. Mit Deny-All + explizit einer Deny-Regel für die IP des NAS, ist es zum Internet hin geblockt. Das NAS kann also nicht über HTTP (und auch sonst nicht) nach draußen kommunizieren. Weiter, nach dem ein Set von Grundregeln fix erstellt ist, schalte ich das Logging der Firewall an und prüfen mit dem Lanmonitor, was an der Deny-All-Regel hängen bleibt. Dabei findet man dann auch schon mal Kommunikation, die nicht erwünscht ist oder andersrum Ursachen für nicht funktionierende erwünschte Kommunikation. In Deinem Szenario erfährst Du nie etwas davon. Oder DNS. Wenn Du nicht willst, dass alle Deine Clients irgendwelche DNS befragen, dann kannst Du mit einer Deny-All-Strategie Dein Netzwerk davon abhalten und alles über einen von Dir vorgegeben Forwarder senden (oder auch so etwas wie Pi-hole erzwingen). Wie gesagt, was es an Sicherheitsgewinn für Dein Netzwerk bringt, magst Du selbst bewerten.
oder aus welchem grund sollten angriffe oder schadsoftware dann nicht einfach die notwendigerweise geoeffneten ports verwenden?
Wie schon gesagt, dafür brauchst Du eine ATP-Appliance mit Deep-Packet-Inspection etc. und musst Dir dann aber auch Gedanken über allerhand andere Dinge machen. Mit dieser Fragestellung bist Du bei eurem 1781ef+ schlicht abseits von dessen Möglichkeiten.

Gruß
C/5
tom63
Beiträge: 238
Registriert: 01 Dez 2007, 15:26

Re: Lancom Firewall - empfohlene Standard-Settings?

Beitrag von tom63 »

je mehr ich lese desto weniger verstehe ich. diesem post zufolge waere die spi/spf firewall ohne eine deny-all regel nahezu nutzlos? oder ist der post so alt und es verhaelt sich heute (seit welcher firmware?) anders???

fragen-zum-thema-firewall-f15/verstaend ... tml#p41725
backslash hat geschrieben: 25 Jun 2008, 18:29 Hi tzepf
Sorgt SPI nicht dafür, das von außen sogut wie kein Zugriff möglich ist?
nein! SPI sorgt "nur" dafür, daß die Regeln richtungsabhängig sind und daß jede Session einzeln nachgehalten wird. Wenn du keine Deny-All Regel hast, dann greift die implizite "Allow-All" Regel.

Natrürlich hilft dir aber schon die Maskierung auf der Defaultroute, daß nicht einfach alles durchkommt - dicht ist das aber nicht:

Wenn du von innen eine Session geöffnet hast, dann wird sie von der Maskierung auf einen Port gemappt. Auf diesen Port kann von aussen ain Angreifer Pakete senden, die von der Maskierung auch "brav" nach innen weitergeleitet werden.

Hier greift nun die Firewall - aber nur wenn du eine Deny-All-Regel hast

Gruß
Backslash
bei der fritzbox firewall beschreibung von spi steht praktisch das gegenteil:
https://avm.de/service/fritzbox/fritzbo ... FRITZ-Box/
Die FRITZ!Box kontrolliert sämtliche ein- und ausgehenden Datenpakete und weist nicht angeforderte Daten aus dem Internet automatisch ab (Stateful Packet Inspection). Somit gelangen nur Datenpakete ins Heimnetz, die direkte Antworten auf zuvor gestellte Anfragen darstellen.
ich verstehe das einfach nicht?
tom63 hat geschrieben: 04 Nov 2020, 14:15 3) ist das von dir beschriebene nachhalten der spi-firewall auch ohne deny-all regel schon aktiv sobald unter firewall/qos: allgemein ip4 und ip6 firewall aktiviert sind? zumindest bei diesen fritzboxen scheint das so der fall zu sein: https://avm.de/service/fritzbox/fritzbo ... FRITZ-Box/
4) was bringt es alle ports zu schliessen und dann wieder einzelne aufzumachen - sucht sich dann nicht angreifer/schadsoftware genau dieses eine loch aus?
Antworten