Wechseln zu:Navigation, Suche
Wiki




























De.png
En.png
Fr.png




Einrichtung Identity-Based Firewall (IBF) für SSL-VPN
Letzte Anpassung: 07.2022
Neu:

Vorherige Versionen: 11.8


Einführung

Firewallregeln wirken grundsätzlich auf Netzwerkobjekte.
Um Firewallregeln auf Mitglieder einer SSL-VPN-Gruppe anzuwenden, werden diese unter → Firewall →PortfilterReiter Netzwerkobjekte als einzelne Hosts oder Netzwerke mit IP-Adresse als  Netzwerkobjekte  angelegt und dann zu  Netzwerkgruppen  zusammengefügt.

Alternativ ist es möglich, Netzwerkobjekte auf Grundlage von Benutzergruppen automatisch zu erstellen und so identitätsbasierte Portfilter-Regeln einzusetzen.
Wenn die Benutzer durch ein AD oder LDAP authentifiziert werden, wird der Verwaltungsaufwand deutlich reduziert.

  • Portfilterregeln, die auf Benutzergruppen der Firewall (Identity-Based Firewall) basieren, funktionieren nicht auf internen Diensten der Firewall.
    Für die internen Dienste (wie z.B. DNS) muss das Transfernetzwerk angelegt werden und von diesem die Portfilterregeln geschrieben werden.
  • Konfiguration auf der UTM

    Gruppe konfigurieren

    Dies erfolgt unter → Authentifizierung →BenutzerReiter Gruppen.
    Entweder wird eine neue Gruppe erstellt Gruppe hinzufügen oder eine bestehende Gruppe wird bearbeitet.
    Berechtigungen
    Berechtigungen
    Beschriftung Wert Beschreibung UTM v12.3 Authentifizierung Benutzer Gruppe-hinzufügen Berechtigungen.png
    Gruppe hinzufügen - Berechtigungen bearbeiten
    Gruppenname: Road-Warrior Eingabe eines aussagekräftigen Namens
    Userinterface Ein Sollte aktiviert sein, sonst kann der Benutzer keinen SSL-VPN Client herunterladen oder seine Mails in der Quarantäne einsehen.
    SSL-VPN Ein Sollte aktiviert sein. Erfordert "Userinterface" Berechtigungen für den Client Download


    SSL-VPN
    SSL-VPN




























    De.png
    En.png
    Fr.png


    Hier können für die gesamte Gruppe Einstellungen für das SSL-VPN konfiguriert werden.
    Alle Benutzer verwenden das gleiche Zertifikat, wenn die Gruppeneinstellungen verwendet werden!
    SSL-VPN Einstellungen einzelner Benutzer überschreiben die Gruppeneinstellungen.


    Beschriftung: Wert Beschreibung: UTM v12.2.3 Authentifizierung Benutzer SSL-VPN.png
    SSL-VPN Einstellungen der Gruppe
    Client im Userinterface herunterladbar: Nein Wenn aktiviert, dann kann der VPN-Client im Userinterface heruntergeladen werden
    SSL-VPN Verbindung: RW-Securepoint Auswahl der gewünschten Verbindung (Angelegt unter → VPN →SSL-VPN)
    Client-Zertifikat:     Auswahl des Zertifikats für diese Gruppe (Angelegt unter → Authentifizierung →ZertifikateReiter Zertifikate)
    Remote Gateway: 203.0.113.0/24 IP-Adresse des Gateways, auf dem sich die SSL-VPN-Clients einwählen. Freie Eingabe oder Auswahl per Dropdown-Menü.
    Redirect Gateway: Aus Anfragen zu Zielen außerhalb des lokalen Netzwerks (und damit auch des VPNs) werden vom Gateway des VPN-Users in der Regel direkt ins Internet geleitet. Bei Aktivierung des Buttons Ein wird das lokale Gateway umgeleitet auf die UTM. Dadurch profitieren auch diese Pakete vom Schutz der UTM.
    Diese Einstellung verändert die Konfigurationsdatei für den VPN-Client.
    Im Portfilter verfügbar: Nein Durch Aktivierung Ja dieser Option können im Portfilter Regeln für diese Gruppe erstellt werden.
    Damit lässt sich der Zugriff für Benutzer, die Mitglied dieser über SSL-VPN verbundenen Gruppe sind, steuern.



    Portfilterregel anlegen

    Eine Regel im Portfilter wird angelegt unter → Firewall →PortfilterReiter Portfilter mit der Schaltfläche Regel hinzufügen
    Beschriftung Wert Beschreibung UTM v12.2.3 Portfilter konfigurieren road warrior.png
    Portfilterregel
    Aktiv: Ein Aktiviert/Deaktiviert die Regel
    Quelle: Ipsetgroup.svg Road-Warrior Hier kann jetzt die zuvor angelegte SSL-VPN-Gruppe als Netzwerkobjekt direkt ausgewählt werden
    Ziel: Network.svg internal-networks Hier kann das Zielnetzwerkobjekt ausgewählt werden
    Dienst: Service-group.svg ssl-vpn Auswahl des benötigten Dienstes oder einer Dienstgruppe
    Aktion: Accept Der Zugriff soll gestattet werden
    Logging: SHORT - Drei Einträge die Minute protokollieren Gewünschte Loggingstufe
    Gruppe:: default Das Netzwerkobjekt kann direkt einer Gruppe zugeordnet werden
    Hinzufügen und schließen

    Regel anlegen und Dialog schließen

    Damit die Regel auch angewendet wird, muss noch die Schaltfläche Regeln aktualisieren betätigt werden.


    Ergebnis

    Der angelegte Portfilter ist nun für alle Benutzer gültig, die sich in der Gruppe Roadwarrior befinden.

    Portfilterregel für interne Dienste der Firewall

    Portfilterregeln, die auf Benutzergruppen der Firewall basieren (Identity-Based Firewall), wirken nicht auf interne Dienste der Firewall!

    Wird ein Dienst benötigt, der von einem Interface.svg Interface-Netzwerkobjekt zur Verfügung gestellt wird (z.B. DNS oder, wie im folgenden Beispiel der Proxy) ist eine weitere Filterregel mit dem Netzwerkobjekt des Transfernetzes erforderlich.
    Eine weitere Regel wird im Portfilter angelegt unter → Firewall →PortfilterReiter Portfilter mit der Schaltfläche Regel hinzufügen

    Netzwerkobjekt anlegen

    Netzwerkobjekt für das Transfernetz anlegen unter → Firewall →PortfilterReiter Netzwerkobjekte mit der Schaltfläche Objekt hinzufügen

    Beschriftung Wert Beschreibung UTM v12.2.3 IBF Netzwerkobjekt Transfernetz.png
    Netzwerkobjekt für das Transfernetz
    Name: SSL-VPN Transfernetz Aussagekräftiger Name für das Netzwerkobjekt
    Typ: VPN-Netzwerk Typ des Netzwerkobjektes
    Adresse: 10.0.1.0/24   Die Netz-IP, die bei Einrichtung der SSL-VPN-Verbindung festgelegt wurde (Schritt 4 im Assistenten, dort wurde die IP für das lokale Ende des Transfernetzes festgelegt) bzw. wie in der Übersicht der SSL-VPN-Verbindungen in der Spalte Transfer Network/Pool (auch hier wird die IP für das lokale Ende des Transfernetzes angezeigt)
    Zone: vpn-ssl-Roadwarrior Bei korrekt bekannter Transfernetz-IP wird die Zone wird automatisch korrekt zugeordnet
    Gruppe:     Das Netzwerkobjekt kann direkt einer Gruppe zugeordnet werden


    Portfilterregel anlegen

    Wird ein Dienst benötigt, der von einem Interface.svg Interface-Netzwerkobjekt zur Verfügung gestellt wird (z.B. DNS oder, wie im folgenden Beispiel der Proxy) ist eine weitere Filterregel mit dem Netzwerkobjekt des Transfernetzes erforderlich.
    Eine weitere Regel wird im Portfilter angelegt unter → Firewall →PortfilterReiter Portfilter mit der Schaltfläche Regel hinzufügen
    ╭╴Allgemein ╶╮
    Quelle Vpn-network.svg SSL-VPN Transfernetz Das soeben angelegte Netzwerkobjekt
    Ziel Interface.svg internal-interface Schnittstelle, die den internen Dienst zur Verfügung stellen soll
    Dienst Service-group.svg proxy Benötigter Dienst der Schnittstelle

    Ergebnis

    Mit dieser weiteren Regel können auch interne Dienste der Firewall benutzt werden.