Vereinfachung und Optimierung der Firewall-Regeln

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Hagen2000
Beiträge: 231
Registriert: 25 Jul 2008, 10:46

Vereinfachung und Optimierung der Firewall-Regeln

Beitrag von Hagen2000 »

Unsere Firewall-Einstellungen führten bislang zu 360 Filtern. Grund, die Regeln zu sichten, unbenötigte zu löschen und überlappende Regeln zu vereinheitlichen. So wurden beispielsweise nicht mehr benötigte Gegenstellen, nicht mehr existierende Infrastruktur und die jeweilgen Regeln gelöscht. Jetzt sind es nur noch 188 Filter. Um diese weiter zu reduzieren, stellen sich folgende Fragen:
  • Gibt es ein - ggf. externes - Tool dass die Regeln "verschneiden" kann und Überlappungen oder gar Doubletten erkennt?
  • Viele Firewall-Regeln tragen die Bedingung "nur wenn VPN-Route", obwohl aufgrund der Netzwerkadressen eigentlich klar ist, welche Verbindungen über VPN-Tunnel laufen und welche nicht. Ist das nicht überspezifiziert bzw. die Angabe in diesem Fall unnötig?
  • Wann sollte man die Bedingung "nur für VPN-Route" verwenden?
  • Gibt es ein Beispiel, wann man die Bedingung "nur für VPN-Route" unbedingt setzen muss?
Leider ist die Doku zu diesem Thema sehr knapp gehalten.
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA

Hagen
Nach oben
backslash
Moderator
Moderator
Beiträge: 7016
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Vereinfachung und Optimierung der Firewall-Regeln

Beitrag von backslash »

Hi Hagen2000,
  • Viele Firewall-Regeln tragen die Bedingung "nur wenn VPN-Route", obwohl aufgrund der Netzwerkadressen eigentlich klar ist, welche Verbindungen über VPN-Tunnel laufen und welche nicht. Ist das nicht überspezifiziert bzw. die Angabe in diesem Fall unnötig?
wenn das über die Netzbeziehungen (quellnetz/zielnetz) eindeutig ist, dann ist die Bedingung tatsächlich unnötig
  • Wann sollte man die Bedingung "nur für VPN-Route" verwenden?
  • Gibt es ein Beispiel, wann man die Bedingung "nur für VPN-Route" unbedingt setzen muss?
es ist dann sinnvoll, wenn die Netzbeziehungen nicht eindeutig sind, bzw. man sie aufgrund vieler Verbinungen nicht einzeln aufzählen will - die Anzahl wächt halt quadratisch mit der Anzahl der VPN-Gegenstellen... Wenn alle VPN-Gegenstellen mit allen VPN-Gegenstellen reden können sollen, dann kann man eine Regel mit Quelle UND Ziel "alle Stationen" erstellen und die Bedingung "nur wenn VPN-Route" setzen...

Gruß
Backslash
Nach oben
Hagen2000
Beiträge: 231
Registriert: 25 Jul 2008, 10:46

Re: Vereinfachung und Optimierung der Firewall-Regeln

Beitrag von Hagen2000 »

Danke, das ermöglicht weitere Vereinfachungen der Regeln, in der Vergangenheit wurde die Bedingung "nur für VPN-Route" einfach jeder Regel hinzugefügt, die etwas mit VPN zu tun hatte.
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA

Hagen
Nach oben
tstimper
Beiträge: 973
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:
Kontaktdaten von tstimper

Re: Vereinfachung und Optimierung der Firewall-Regeln

Beitrag von tstimper »

Hallo Hagen2000,
Hagen2000 hat geschrieben: 09 Feb 2024, 12:05
  • Gibt es ein - ggf. externes - Tool dass die Regeln "verschneiden" kann und Überlappungen oder gar Doubletten erkennt?
Es gibt externe Tools, die die Datenbasis dafür schaffen und um die Funktion erweitert werden könnten.
Hab Dir meine Idee als PN geschickt.


Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Nach oben
Antworten

Zurück zu „Fragen zum Thema Firewall“