Hallo allerseits,
gibt es eine Beschreibung, oder Abschaltmöglichkeit von Diensten um die sich die Firewall besonders kümmert ?
Ich frage deshalb, weil ich immer mal wieder Ärger mit der "Intelligenz" diverser FW-Features habe, z.B. haben wir jetzt einen alten Cisco gegen einen Lancom 7111 ausgetauscht und nach einem Tag festgestellt, das es massive Probleme im Mailempfang gibt. Was war passiert ? Das LANCOM hat nach dem Aufbau der SMTP-Verbindung auf Port 25 automatisch Port 113 (Auth) freigegeben, obwohl dafür keine Regel definiert war. Der Mailserver, der nicht für Auth ausgelegt ist, bzw. sein IDS, wertete das als Angriff und murkste die Verbindung ab. Ich hab mir den Wolf gesucht, weil ich definitiv nirgendwo 113 freigegeben hatte......
Ein anderer Fall ist ein Lizenzserver einer Firma, die ich hier nicht nennen werde, die es spassig findet auf Port 21 eine Mischung aus HTTP- und FTP-Server zu betreiben. Das LANCOM erkennt, was ja erstmal nicht schlecht, nur in dem Fall halt fatal, ist, eine Protokoll-Abnormität (Eben HTTP im FTP) und löst sein IDS aus, womit die Verbindung weg, die Lizenz nicht ok, der User angeknautscht und ich ziemlich ratlos dastehe, da ich das Feature anscheinend nicht beeinflussen kann.
Gibt es irgendwo eine Aufstellung über diese Extras, bzw. einen Befehl um die Abzuschalten ? FW abschalten ist übrigens keine Option, da unsere DMZ einerseits mit öffentlichen Adressen arbeitet und über drei externe Leitungen geloadbalanced wird.
Grüße, Dirk
Spezielle Firewall Features
Moderator: Lancom-Systems Moderatoren
Hi reuter
Gruß
Backslash
Die Firewall gibt den Port 113 frei bei SMTP, POP3, IMAP, und NNTP, weil i.A. der jeweilige Server die Ident-Anfrage stellt und auch möglichst bedient werden soll.Das LANCOM hat nach dem Aufbau der SMTP-Verbindung auf Port 25 automatisch Port 113 (Auth) freigegeben, obwohl dafür keine Regel definiert war.
nein, das einzige, was du machen kannst, ist beim IDS die Aktion von verwerfen/zurückweisen auf übertragen zu stellen. Dann wirst du nur noch über Unregelmäßigkeiten informiert, die Pakete gehen aber durch.Ein anderer Fall ist ein Lizenzserver einer Firma, die ich hier nicht nennen werde, die es spassig findet auf Port 21 eine Mischung aus HTTP- und FTP-Server zu betreiben. Das LANCOM erkennt, was ja erstmal nicht schlecht, nur in dem Fall halt fatal, ist, eine Protokoll-Abnormität (Eben HTTP im FTP) und löst sein IDS aus, womit die Verbindung weg, die Lizenz nicht ok, der User angeknautscht und ich ziemlich ratlos dastehe, da ich das Feature anscheinend nicht beeinflussen kann.
Gibt es irgendwo eine Aufstellung über diese Extras, bzw. einen Befehl um die Abzuschalten ?
Was hat die Firewall mit dem Loadbalancing zu tun? (Außer du hast spezielle Reglen, die abgehenden Traffic auf eine der Leitungen festnageln soll)FW abschalten ist übrigens keine Option, da unsere DMZ einerseits mit öffentlichen Adressen arbeitet und über drei externe Leitungen geloadbalanced wird.
Gruß
Backslash
Hallo backslash,
Gibt es sowas für andere Dienste auch, wenn ja gibt es da eine Aufstellung ?
Grüße
Dirk
Die Möglichkeit hab ich nicht, weil unser Server das nicht unterstützt und wohl auch nie wird. Im Handbuch steht nur was ala "Wird nicht unterstützt, weil mögliches Sicherheitsrisiko und keine Gewährleistung der Authentizität der übertragenen Infos". Egal. Ich habe den Port aus dem IDS des Mailers geworfen und nun wird zumindest nicht mehr geblockt.Die Firewall gibt den Port 113 frei bei SMTP, POP3, IMAP, und NNTP, weil i.A. der jeweilige Server die Ident-Anfrage stellt und auch möglichst bedient werden soll.
Gibt es sowas für andere Dienste auch, wenn ja gibt es da eine Aufstellung ?
Ich hab den Hersteller inzwischen kontaktiert und warte auf Vorschläge. Nur weil die so einen Blödsinn treiben verzichte ich nicht auf gute Sicherheitsfeatures.nein, das einzige, was du machen kannst, ist beim IDS die Aktion von verwerfen/zurückweisen auf übertragen zu stellen. Dann wirst du nur noch über Unregelmäßigkeiten informiert, die Pakete gehen aber durch.
Genau das, mit Aktionen die beim Auf- und Abbau FW-Regeln erzeugen. Ich habe zwei Leitungen ohne Masquerading und eine mit. Beim Loadbalancing kann ich, soweit mir bekannt, aber nur ein Verfahren angeben. Oder geht das auch anders ?Was hat die Firewall mit dem Loadbalancing zu tun? (Außer du hast spezielle Reglen, die abgehenden Traffic auf eine der Leitungen festnageln soll)
Grüße
Dirk
Hi reuter
SMTP, POP3, IMAP, und NNTP: hier wird der Port 113 mit freigegeben
FTP: Überwachung des Kommandoports und Freigabe des Datenports
IRC: Überwachung des Chats und Freigabe des Ports für DDC
H.323: Überwachung der Verhandlung und Freigabe der RTP-Ports
Für FTP und IRC kommt hinzu, daß diese auf beliebigen Ports erkannt werden. Ab der 7.x kann das Verhalten bei diesen Diensten feiner konfiguriert werden (FTP komplett verbieten, aktives FTP verbieten, minimal zulässiger Port, FXP verbieten, IRC komplett verbieten, DDC verbieten)
Du kannst diese Automatik aber umgehen, indem du für die einzelnen Bündelverbindungen zusätzliche Einträge in der Routing-Tabelle vornimmst und diese mit einem beliebigen Routing-Tag versiehst. In diesem Fall nimmt das LANCOM dann die Maskierungsoption des ersten Eintrags der jeweiligen Gegenstelle in der Routing-Tabelle...
Gruß
Backslash
Die Firewall im LANCOM führt für folgende Protokolle Sonderbahandlungen durch:Gibt es sowas für andere Dienste auch, wenn ja gibt es da eine Aufstellung ?
SMTP, POP3, IMAP, und NNTP: hier wird der Port 113 mit freigegeben
FTP: Überwachung des Kommandoports und Freigabe des Datenports
IRC: Überwachung des Chats und Freigabe des Ports für DDC
H.323: Überwachung der Verhandlung und Freigabe der RTP-Ports
Für FTP und IRC kommt hinzu, daß diese auf beliebigen Ports erkannt werden. Ab der 7.x kann das Verhalten bei diesen Diensten feiner konfiguriert werden (FTP komplett verbieten, aktives FTP verbieten, minimal zulässiger Port, FXP verbieten, IRC komplett verbieten, DDC verbieten)
Selbst wenn du bei der Loadbalancer-Verbidnung angibst, daß du nicht maskieren willst, dann gilt dies erstmal nur für die erste Verbindung - alle hinzugebündelten Verbindungen werden maskiert, denn unmaksierte Verbindungen sind beim Loadbalancing nur sinnvoll, wenn auf der anderen Seite auch ein Loadbalancer steht...Ich habe zwei Leitungen ohne Masquerading und eine mit. Beim Loadbalancing kann ich, soweit mir bekannt, aber nur ein Verfahren angeben. Oder geht das auch anders ?
Du kannst diese Automatik aber umgehen, indem du für die einzelnen Bündelverbindungen zusätzliche Einträge in der Routing-Tabelle vornimmst und diese mit einem beliebigen Routing-Tag versiehst. In diesem Fall nimmt das LANCOM dann die Maskierungsoption des ersten Eintrags der jeweiligen Gegenstelle in der Routing-Tabelle...
Gruß
Backslash
Hallo backslash
Netz A 8 Adressen / kein Masquerading - Endet in der DMZ vom 7111
Netz B 8 Adressen / Kein Masquerading - Wird über einen 1711 geroutet
B kommt über eine völlig andere Strecke als A rein, wird von einem 1711 in einen VPN-Tunnel gestopft und per VLAN über uneren Backbone zum 7111 "verlängert". Am Tunnelende wird per N:N Nat von B nach A umgesetzt. Die Server in der DMZ sind dann über beide öffentliche Adressen redundant erreichbar. Über den Loadbalancer möchte ich nun sicherstellen, das der rausgehende Mail-Verkehr ebenfalls redundant abgewickelt wird, und als Absender-IP entweder die Adresse aus Netz A oder B genutzt wird.
Grüße
Dirk
Das hilft mir doch weiter. SuperDie Firewall im LANCOM führt für folgende Protokolle Sonderbahandlungen durch:
Also ich hab eigentlich folgendes vor:Selbst wenn du bei der Loadbalancer-Verbidnung angibst, daß du nicht maskieren willst, dann gilt dies erstmal nur für die erste Verbindung - alle hinzugebündelten Verbindungen werden maskiert, denn unmaksierte Verbindungen sind beim Loadbalancing nur sinnvoll, wenn auf der anderen Seite auch ein Loadbalancer steht...
Netz A 8 Adressen / kein Masquerading - Endet in der DMZ vom 7111
Netz B 8 Adressen / Kein Masquerading - Wird über einen 1711 geroutet
B kommt über eine völlig andere Strecke als A rein, wird von einem 1711 in einen VPN-Tunnel gestopft und per VLAN über uneren Backbone zum 7111 "verlängert". Am Tunnelende wird per N:N Nat von B nach A umgesetzt. Die Server in der DMZ sind dann über beide öffentliche Adressen redundant erreichbar. Über den Loadbalancer möchte ich nun sicherstellen, das der rausgehende Mail-Verkehr ebenfalls redundant abgewickelt wird, und als Absender-IP entweder die Adresse aus Netz A oder B genutzt wird.
Da wäre ich wohl als nächstes drüber gestolpert. Danke.Du kannst diese Automatik aber umgehen
Grüße
Dirk