Umfrage zu Firewall Lancom

[Daniel Albert]

Hallo,

bei den Lancom Routers zumindest so wie ich heute erfahren habe beim 1781A-4G ist die Firewall ja offen ausser ich erstelle Regeln die Port etc. Sperren. Ich bin mir da jetzt sehr unsicher was sinnvoll ist. Früher hatte ich nur eine Fritzbox, glaube da war das anders, alles ist gesperrt ausser ich gebe es frei.

Was wäre denn die bessere Wahl ?? Wie macht ihr denn das als Profi's, alles sperren und nur bestimmte Port, Dienste etc freigeben oder so belassen und nur über Regeln bereiche sperren ?

Wie könnte ich denn Testen ob meine Firewall löcher hat ?? Gibt es einen Portscanner der von ausserhalb alle Ports scannen kann ?

Gruß

[stefanbunzel]

Hallo Daniel,

sobald du mit einem Lancom-Router eine WAN-Gegenstelle mit NAT einrichtest (Standard: maskierte Default-Route), und die Zugriffs-Rechte im Lancom "von entfernten Netzen" verbietest bzw. auf VPN beschränkst sowie den Web-Server-Dienst von HTTP "von entfernten Netzen" deaktivierst, ist dein Netz sowie der Router von außen geschützt - auch ohne bestimmte Firewall-Regeln!

Testen kannst du dies ganz einfach zum Beispiel hier: http://www.heise.de/security/dienste/po ... ?scanart=1

Firewall-Regeln benötigst du eigentlich nur bei DMZ bzw. transparenten Verbindungen / normales unmaskiertes Routing, VPN sowie allem Traffic, den du in das Internet / VPN unterbinden bzw. regulieren möchtest.

Viele Grüße, Stefan

[Bernie137]

Hi,

Die Firewall am Lancom ist nicht offen und bei der FritzBox ist auch nichts gesperrt. Du bringst hier etwas durcheinander.

In beiden Geräten ist die Firewall aktiv, so dass von der Internetseite her im Default keine Zugriffe aufs LAN möglich sind. Jedoch aus dem LAN ins Internet wird im Default nichts geblockt.

Am Lancom gibt es nun diverse Sicherheitseinstellungen, um einen Ping am WAN nicht zu beantworten, Portscans nicht zulassen. Weiterhin kannst Du mit einer Deny-All Strategie von und zu allen Netzen erst einmal alles sperren und dann explizit nur die Dienste freischalten, die benötigt werden, u.a. auch vom LAN ins Internet.

Vg Bernie

[MariusP]

Hi,
Interessant wäre gewesen zu wissen woher du erfahren hast das Lancoms offen seien.
Gruß

[backslash]

Hi MariusP

Interessant wäre gewesen zu wissen woher du erfahren hast das Lancoms offen seien.

ich denke mal, Daniel Albert bezieht sich darauf, da es in der IPv4-Firewall im Default keine expliziet Regel gibt und somit nur die implizite Regel "Accept-All (Default)" greift. Wie stefanbunzel schon schrieb, stellt das aufgerund des bei einem IPv4-Internetzugang quasi immer aktiven NAT erstmal keine sonderliche Gefahr dar. Anders sieht es hingegen bei IPv6 aus. Da es dort kein NAT gibt, hat die IPv6-Firewall auch im Default schon einen Satz Regeln aktiv, die einen IPv6-Internetzugang genau so absichern, wie es das NAT bei IPv4 macht: Alles von "innen" nach "aussen" ist erlaubt und alles von "aussen" ist verboten...

Gruß
Backslash

[Daniel Albert]

Hallo, genau so ist es. Ich hatte gestern einen Trace laufen um die Firewallregeln zu prüfen und ständig wurde die Default nur angezeigt. Im übrigen sollten da auch die anderen Regeln wenn bei Anfragen genutzt werden angezeigt werden, hat es aber nicht. Support Lancom ist sich jetzt nicht sicher ob das so richtig ist oder nicht. Ich weiß nur vor einiger Zeit vielleicht 2 Updates vorher ging dat noch.

[backslash]

Hi Daniel Albert,

Ich hatte gestern einen Trace laufen um die Firewallregeln zu prüfen und ständig wurde die Default nur angezeigt. Im übrigen sollten da auch die anderen Regeln wenn bei Anfragen genutzt werden angezeigt werden, hat es aber nicht.

Eigentlich solltest du solange alles normal läuft im Firewall-Trace gar nichts sehen, weil der Firewall-Trace nur dann etwas ausgibt, wenn

• die durch das Paket geöffnete Session verworfen oder zurückgewiesen wurde, oder
• eine Regel aufgrund einer Bedingung in einer Aktion dochht nicht matchte und eine weitere gesucht wird, oder
• das Häkchen "weitere Regeln beachten" in einer Regel gesetzt ist und eine weitere gesucht wird, oder
• eine Benachrichtigungs-Aktion (SNMP; Syslog, Mail) an der Regel hängt

Welche Regel gematcht hat, kannst du in der Verbindungsliste nachschauen, die für IPV4 unter /Status/IP-Router/Connection-List und für IPv6 unter /Status/IPv6/Firewall/Forwarding-Sessions zu finden ist

Gruß
Backslash

[Daniel Albert]

Ok, komisch das dies die Hotline Lancom nicht kennt. Der TRace ist gut, da sehe ich alles und habe gerade bemerkt, dass in einer Regel von mir bei der Ip-Adresse ich eine 0 vergessen habe.

[Daniel Albert]

So jetzt habe ich aber das Problem, die Regel trifft nicht immer zu. Folgendes soll passieren. Der komplette Datenverkehr für Port 6690 von der NAS weg und hin soll über Routing Tag 1 laufen. Im Trace sehe ich aber das einmal TAG 1 oder 2 genommen wird.

[Daniel Albert]

Nachtrag. Da die Regel nicht in dem Trace erscheint, habe ich mal alle Regeln deaktiviert. Trotzdem erscheinen diese noch in dem Trace

[backslash]

Hi Daniel Albert,

Der komplette Datenverkehr für Port 6690 von der NAS weg und hin soll über Routing Tag 1 laufen. Im Trace sehe ich aber das einmal TAG 1 oder 2 genommen wird.

Eine Regel gilt immer nur für die jeweilige Aufbaurichtung einer Session, d.h. du bräuchtest letztendlich zwei Regeln: eine für Sessions, die zum NAS hin aufgebaut werden und eine für Sessions, die vom NAS aus aufgebaut werden - wobei ich mich frage, welche Sessions ein NAS von sich aus aufbauen sollte.

Da du hier weder die Regel, noch deine Routing-Tabell, noch deine Netzwerkkonfiguration gepostet hast, ist es letztendlich unmöglich aus der Kristallkugel zu lesen, wo dein Problem liegt...

Da die Regel nicht in dem Trace erscheint, habe ich mal alle Regeln deaktiviert. Trotzdem erscheinen diese noch in dem Trace

was willst du uns damit sagen?

Gruß
Backslash

[Daniel Albert]

Stimmt von der NAS kann keine Anfrage kommen. Auch den entfernten Rechner läuft ein Synctool also greift dieser ab. Hast recht, danke

Ja Trace geht jetzt auch, dei Regel wurde immer nicht angezeigt weil sie falsch war. Jetzt funktioniert diese.

Danke