Wechseln zu:Navigation, Suche
Wiki





























De.png
En.png
Fr.png









Einrichtung Identity-Based Firewall (IBF) für SSL-VPN

Letzte Anpassung zur Version: 12.6.0

Neu:
  • Aktualisierung zum Redesign des Webinterfaces
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
Firewall

Einführung

Firewallregeln wirken grundsätzlich auf Netzwerkobjekte.
Um Firewallregeln auf Mitglieder einer SSL-VPN-Gruppe anzuwenden, werden diese unter Firewall Netzwerkobjekte als einzelne Hosts oder Netzwerke mit IP-Adresse als  Netzwerkobjekte  angelegt und dann zu  Netzwerkgruppen  zusammengefügt.

Alternativ ist es möglich, Netzwerkobjekte auf Grundlage von Benutzergruppen automatisch zu erstellen und so identitätsbasierte Paketfilter-Regeln einzusetzen.
Wenn die Benutzer durch ein AD oder LDAP authentifiziert werden, wird der Verwaltungsaufwand deutlich reduziert.

  • Paketfilterregeln, die auf Benutzergruppen der Firewall (Identity-Based Firewall) basieren, funktionieren nicht auf internen Diensten der Firewall.
    Für die internen Dienste (wie z.B. DNS) muss das Transfernetzwerk angelegt werden und von diesem die Paketfilterregeln geschrieben werden.
  • Konfiguration auf der UTM

    Gruppe konfigurieren

    Dies erfolgt unter Authentifizierung Benutzer  Bereich Gruppen.
    Entweder wird eine neue Gruppe erstellt Gruppe hinzufügen oder eine bestehende Gruppe wird bearbeitet.
    Berechtigungen
    Berechtigungen
    Beschriftung Wert Beschreibung Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer UTM v12.6 ibf Gruppe hinzufuegen Road-Warrior.png Gruppe hinzufügen - Berechtigungen bearbeiten
    Gruppenname: Road-Warrior Eingabe eines aussagekräftigen Namens
    Userinterface Ein Sollte aktiviert sein, sonst kann der Benutzer keinen SSL-VPN Client herunterladen oder seine Mails in der Quarantäne einsehen.
    SSL-VPN Ein Sollte aktiviert sein. Erfordert "Userinterface" Berechtigungen für den Client Download


    SSL-VPN
    SSL-VPN






























    De.png
    En.png
    Fr.png



    Hier können für die gesamte Gruppe Einstellungen für das SSL-VPN konfiguriert werden.
    Alle Benutzer verwenden das gleiche Zertifikat, wenn die Gruppeneinstellungen verwendet werden!
    SSL-VPN Einstellungen einzelner Benutzer überschreiben die Gruppeneinstellungen.

    Beschriftung: Wert Beschreibung: Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer UTM v12.6 Authentifizierung Gruppe SSL-VPN.png SSL-VPN Einstellungen der Gruppe
    Client im Userinterface herunterladbar: Nein Wenn aktiviert, dann kann der VPN-Client im Userinterface heruntergeladen werden
    SSL-VPN Verbindung: RW-Securepoint Auswahl der gewünschten Verbindung (Angelegt unter VPN SSL-VPN )
    Client-Zertifikat: cs-sslvpn-rw(1) Auswahl des Zertifikats für diese Gruppe (Angelegt unter Authentifizierung Zertifikate  Bereich Zertifikate)
    Es können auch ACME-Zertifikate genutzt werden.
    Remote Gateway: 192.168.175.1 IP-Adresse des Gateways, auf dem sich die SSL-VPN-Clients einwählen. Freie Eingabe oder Auswahl per Dropdown-Menü.
    Redirect Gateway: Aus Anfragen zu Zielen außerhalb des lokalen Netzwerks (und damit auch des VPNs) werden vom Gateway des VPN-Users in der Regel direkt ins Internet geleitet. Bei Aktivierung des Buttons Ein wird das lokale Gateway umgeleitet auf die UTM. Dadurch profitieren auch diese Pakete vom Schutz der UTM.
    Diese Einstellung verändert die Konfigurationsdatei für den VPN-Client.
    Im Paketfilter verfügbar: Nein Durch Aktivierung Ja dieser Option können im Paketfilter Regeln für diese Gruppe erstellt werden.
    Damit lässt sich der Zugriff für Benutzer, die Mitglied dieser über SSL-VPN verbundenen Gruppe sind, steuern.



    Paketfilterregel anlegen

    Eine Regel im Paketfilter wird angelegt unter → Firewall →Paketfilter mit der Schaltfläche Regel hinzufügen
    Beschriftung Wert Beschreibung Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter UTM v12.6 ibf Paketfilterregel Quelle Road-Warrior.png Paketfilterregel
    Aktiv: Ein Aktiviert/Deaktiviert die Regel
    Quelle: Ipsetgroup.svg Road-Warrior Hier kann jetzt die zuvor angelegte SSL-VPN-Gruppe als Netzwerkobjekt direkt ausgewählt werden
    Ziel: Network.svg internal-networks Hier kann das Zielnetzwerkobjekt ausgewählt werden
    Dienst: Service-group.svg ssl-vpn Auswahl des benötigten Dienstes oder einer Dienstgruppe
    Aktion: ACCEPT Der Zugriff soll gestattet werden
    Speichern und schließen
    Regel anlegen und Dialog schließen
  • Damit die Regel auch angewendet wird, muss noch die Schaltfläche
    Regeln aktualisieren
    betätigt werden.

  • Ergebnis

    Der angelegte Paketfilter ist nun für alle Benutzer gültig, die sich in der Gruppe Roadwarrior befinden.

    Paketfilterregel für interne Dienste der Firewall

    notempty
    Paketfilterregeln, die auf Benutzergruppen der Firewall basieren (Identity-Based Firewall), wirken nicht auf interne Dienste der Firewall!

    Wird ein Dienst benötigt, der von einem Interface.svg Interface-Netzwerkobjekt zur Verfügung gestellt wird (z.B. DNS oder, wie im folgenden Beispiel der Proxy) ist eine weitere Filterregel mit dem Netzwerkobjekt des Transfernetzes erforderlich.
    Eine weitere Regel wird im Paketfilter angelegt unter Firewall Paketfilter  Schaltfläche Regel hinzufügen

    Netzwerkobjekt anlegen

    Netzwerkobjekt für das Transfernetz anlegen unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen

    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirwallNetzwerkobjekte UTM v12.6 ibf Netzwerkobjekt erstellen SSL-VPN Transfernetz.pngNetzwerkobjekt für das Transfernetz
    Name: SSL-VPN Transfernetz Aussagekräftiger Name für das Netzwerkobjekt
    Typ: VPN-Netzwerk Typ des Netzwerkobjektes
    Adresse: 10.0.1.0/24 Die Netz-IP, die bei Einrichtung der SSL-VPN-Verbindung festgelegt wurde
    (Schritt 4 im Assistenten, dort wurde die IP für das lokale Ende des Transfernetzes festgelegt) bzw. wie in der Übersicht der SSL-VPN-Verbindungen in der Spalte Transfer Network/Pool (auch hier wird die IP für das lokale Ende des Transfernetzes angezeigt)
    Zone: vpn-ssl-Roadwarrior Bei korrekt bekannter Transfernetz-IP wird die Zone wird automatisch korrekt zugeordnet
    Gruppe:     Das Netzwerkobjekt kann direkt einer Gruppe zugeordnet werden


    Paketfilterregel anlegen

    Wird ein Dienst benötigt, der von einem Interface.svg Interface-Netzwerkobjekt zur Verfügung gestellt wird (z.B. DNS oder, wie im folgenden Beispiel der Proxy) ist eine weitere Filterregel mit dem Netzwerkobjekt des Transfernetzes erforderlich.
    Eine weitere Regel wird im Paketfilter angelegt unter Firewall Paketfilter  Schaltfläche Regel hinzufügen
    Allgemein
    Quelle Vpn-network.svg SSL-VPN Transfernetz Das soeben angelegte Netzwerkobjekt
    Ziel Interface.svg internal-interface Schnittstelle, die den internen Dienst zur Verfügung stellen soll
    Dienst Service-group.svg proxy Benötigter Dienst der Schnittstelle

    Ergebnis

    Mit dieser weiteren Regel können auch interne Dienste der Firewall benutzt werden.