Moin,
ich habe eine Frage zur Lancom Firwall und hoffe, dass ihr mir helfen könnt:
Ich habe 2 Lancom Router über einen VPN Tunnel verbunden. Daher habe ich in der Firewall dafür auch ein Stationsobjekt, ich nenne es mal VPNNetzStation. Zusätzlich habe ich ein Stationsobjekt, in dem die IP eines Servers im entfernten Netz steht. Ich nenne es mal VPNServerIP.
Nun möchte ich folgendes in der Firewall lösen. Zugriff auf unser Netz nur gestatten wenn Quelle VPNNetzStation UND VPNServerIP. Wenn ich in der Firewall regel unter "Stationen" einfach beides eintrage scheint er die Stationen mit einem ODER und nicht mit einem UND zu verbinden.
Hintergrund zu meine Problem: Ich möchte nur dem Server mit der IP in VPNServerIP Zugriff auf das Netz geben. Leider kann ich so aber nicht prüfen, ob die anfrage wirklich aus dem Netz VPNNetzStation stammt. Es könnte ja jemand in einem 3. (fiktiven) Netzwerk die IP gespooft haben und sich damit illegal Zutritt verschaffen, weil ja nur die IP und nicht die wirkliche quelle validiert wird.
Danke
Lancom Firewall Stationen UND verknüpfen
Moderator: Lancom-Systems Moderatoren
Re: Lancom Firewall Stationen UND verknüpfen
Hi Richard,
dafür gibt das das Häkchen bei "Aktion nun für [x] VPN-Route"... Dann wird die Aktion nur ausgeführt, wenn das Paket über eine VPN-Route gekommen ist oder auf eine gesendet wird. Damit kannst du sicher sein, daß dir niemand mit einer gefälschetn Adresse kommt - zumindest solange du der Integrität des IPSec traust...
Abgesehen davon prüft die Firewall einkommende Pakete sowieso gegen die Routing-Tabelle und verwirft sie, wenn die Route zur Quelladresse nicht auf das Interface zeigt, über das das Paket empfangen wurde - es sei denn du hättest bei den IDS-Aktionen "übertragen" eingestellt...
D.h. es reicht eigentlich aus nur das VPNServerIP-Objekt zu verwenden,,,
Gruß
Backsalsh
dafür gibt das das Häkchen bei "Aktion nun für [x] VPN-Route"... Dann wird die Aktion nur ausgeführt, wenn das Paket über eine VPN-Route gekommen ist oder auf eine gesendet wird. Damit kannst du sicher sein, daß dir niemand mit einer gefälschetn Adresse kommt - zumindest solange du der Integrität des IPSec traust...
Abgesehen davon prüft die Firewall einkommende Pakete sowieso gegen die Routing-Tabelle und verwirft sie, wenn die Route zur Quelladresse nicht auf das Interface zeigt, über das das Paket empfangen wurde - es sei denn du hättest bei den IDS-Aktionen "übertragen" eingestellt...
D.h. es reicht eigentlich aus nur das VPNServerIP-Objekt zu verwenden,,,
Gruß
Backsalsh
Re: Lancom Firewall Stationen UND verknüpfen
Mal angenommen ich hätte jetzt per VPN noch ein 3. Netzwerk eingebunden. Diese sollen aber nur auf Ressource xyz Zugriff haben, wie mache ich das dann? So könnte ja jemand in dem 3. VPN Netz die IP vom 2. Spoofen und sich damit in das Netz verbinden oder gibts da VPN-Seitig eine Sicherung, die man vornehmen kann?backslash hat geschrieben:
dafür gibt das das Häkchen bei "Aktion nun für [x] VPN-Route"... Dann wird die Aktion nur ausgeführt, wenn das Paket über eine VPN-Route gekommen
Danke
Re: Lancom Firewall Stationen UND verknüpfen
Hi Richard
Und wie schon gesagt prüft auch die Firewall Quelladresse und Quell-Interface des Pakets nochmal gegen die Routing-Tabelle... Probier es aus: Richte dir ein zweites ARF-Netz (auf einem getrennten LAN-Interface) ein und schicke von dem ein Paket mit einer gefälschten Absenderadresse aus deinem Intranet an das LANCOM... Es muß schon ein eigenes LAN-Interface sein, denn sonst kommt das Paket ja aus LAN-1 und ist erlaubt...
Gruß
Backslash
das IPSec prüft nach dem entschlüsseln die Pakete gegen die SAs, d.h. wenn die Quell- oder Zieladresse zur SA paßt, dann schmeißt das IPSec das Paket schon weg. Was in den SAs steht, gibt du letztendlich über die VPN-Netzbeziehungen vor - und das wird auch mit der Gegenstelle ausgehandelt. Eine SA wird nur etabliert, wenn die Netzbeziehungen auf beiden Seiten gleich sind (stimmt so nicht ganz genau, aber der Initiator kann nicht mehr fordern, als der Responder zuläßt, d.h. er kann zwar "kleinere" Netze fordern, aber keine größeren und schon gar keine, die komplett außerhalb liegen)So könnte ja jemand in dem 3. VPN Netz die IP vom 2. Spoofen und sich damit in das Netz verbinden oder gibts da VPN-Seitig eine Sicherung, die man vornehmen kann?
Und wie schon gesagt prüft auch die Firewall Quelladresse und Quell-Interface des Pakets nochmal gegen die Routing-Tabelle... Probier es aus: Richte dir ein zweites ARF-Netz (auf einem getrennten LAN-Interface) ein und schicke von dem ein Paket mit einer gefälschten Absenderadresse aus deinem Intranet an das LANCOM... Es muß schon ein eigenes LAN-Interface sein, denn sonst kommt das Paket ja aus LAN-1 und ist erlaubt...
Gruß
Backslash