KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 4: | Zeile 4: | ||
{{:UTM/RULE/ibf.lang}} | {{:UTM/RULE/ibf.lang}} | ||
</div>{{TOC2}}{{Select_lang}} | </div><div class="new_design"></div>{{TOC2}}{{Select_lang}} | ||
{{Header| | {{Header|12.6.0| | ||
* {{#var:neu-- | * {{#var:neu--rwi}} | ||
|[[UTM/RULE/ibf_10.2022 | 10.2022]] | |||
[[UTM/RULE/ibf_v11.8 | 11.8]] | |||
|{{Menu|{{#var:Firewall | |{{Menu-UTM|{{#var:Firewall}} }} | ||
}} | }} | ||
---- | ---- | ||
| Zeile 28: | Zeile 28: | ||
|- | |- | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class="Bild" rowspan="5" | {{Bild| {{#var:Gruppen konfigurieren--Bild}} | {{#var:Gruppen konfigurieren--cap}} }} | | class="Bild" rowspan="5" | {{Bild| {{#var:Gruppen konfigurieren--Bild}} | {{#var:Gruppen konfigurieren--cap}}||{{#var:Gruppe hinzufügen}}|{{#var:Authentifizierung}}|{{#var:Benutzer}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | ||
|- | |- | ||
| {{b|{{#var:Gruppenname}}:}} || {{ic|Road-Warrior|class=mw10}} || {{#var:Gruppenname--desc}} | | {{b|{{#var:Gruppenname}}:}} || {{ic|Road-Warrior|class=mw10}} || {{#var:Gruppenname--desc}} | ||
| Zeile 48: | Zeile 48: | ||
===={{#var: | ===={{#var:Paketfilterregel anlegen}}==== | ||
<div class="Einrücken">{{#var: | <div class="Einrücken">{{#var:Paketfilterregel anlegen--desc}}</div> | ||
{| class="sptable2 pd5 zh1 Einrücken" | {| class="sptable2 pd5 zh1 Einrücken" | ||
|- | |- | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class="Bild" rowspan=" | | class="Bild" rowspan="8" | {{Bild| {{#var:Paketfilterregel anlegen--Bild}} | {{#var:Paketfilterregel anlegen--cap}}||{{#var:Regel hinzufügen}}|Firewall|{{#var:Paketfilter}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}} | ||
|- | |- | ||
| {{b|{{#var:Aktiv}}:}} || {{ButtonAn|{{#var:ein}}}} || {{#var:Aktiv--desc}} | | {{b|{{#var:Aktiv}}:}} || {{ButtonAn|{{#var:ein}}}} || {{#var:Aktiv--desc}} | ||
| Zeile 64: | Zeile 64: | ||
| {{b|{{#var:Dienst}}:}} || {{ic|ssl-vpn|dr|icon =dienste|class=available|iconborder=none}} || {{#var:Dienst--desc}} | | {{b|{{#var:Dienst}}:}} || {{ic|ssl-vpn|dr|icon =dienste|class=available|iconborder=none}} || {{#var:Dienst--desc}} | ||
|- | |- | ||
| {{b|{{#var:Aktion}}:}} || {{Button| | | {{b|{{#var:Aktion}}:}} || {{Button|ACCEPT|dr|class=available}} || {{#var:Aktion--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan="2" | {{Button|{{#var: | | colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}}}} || {{#var:Hinzufügen und schließen--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | colspan="3" | <li class="list--element__alert list--element__hint">{{#var:Hinzufügen und schließen--Hinweis}}</li> | ||
|} | |} | ||
| Zeile 81: | Zeile 78: | ||
---- | ---- | ||
=== {{#var: | === {{#var:Paketfilterregel interne Dienste}} === | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{Hinweis- | {{Hinweis-box|{{#var:Paketfilterregel interne Dienste--Hinweis}}|fs__icon=em2}} | ||
<p>{{#var: | <p>{{#var:Paketfilterregel interne Dienste--desc}}</p> | ||
==== {{#var:Netzwerkobjekt anlegen}} ==== | ==== {{#var:Netzwerkobjekt anlegen}} ==== | ||
| Zeile 92: | Zeile 89: | ||
|- | |- | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class="Bild" rowspan="7" | {{Bild | {{#var:Netzwerkobjekt anlegen--Bild}}|{{#var:Netzwerkobjekt anlegen--cap}} }} | | class="Bild" rowspan="7" | {{Bild | {{#var:Netzwerkobjekt anlegen--Bild}}|{{#var:Netzwerkobjekt anlegen--cap}}||{{#var:Netzwerkobjekt hinzufügen}}|Firwall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}} | ||
|- | |- | ||
| {{b|{{#var:Name}} }} || {{ic| {{#var:Name--val}}|class=mw12 }} || {{#var:Name--desc}} | | {{b|{{#var:Name}} }} || {{ic| {{#var:Name--val}}|class=mw12 }} || {{#var:Name--desc}} | ||
| Zeile 98: | Zeile 95: | ||
| {{b|{{#var:Typ}} }} || {{Button| {{#var:Typ--val}}|dr|class=available }} || {{#var:Typ--desc}} | | {{b|{{#var:Typ}} }} || {{Button| {{#var:Typ--val}}|dr|class=available }} || {{#var:Typ--desc}} | ||
|- | |- | ||
| {{b|{{#var:Adresse}} }} || {{ic| 10.0.1.0/24 | | {{b|{{#var:Adresse}} }} || {{ic| 10.0.1.0|rechts|icon=/24 |iconw=x|class=available}} || {{#var:Adresse--desc}} {{info|{{#var:Adresse--info}} }} | ||
|- | |- | ||
| {{b|{{#var:Zone}} }} || {{Button| vpn-ssl-Roadwarrior|dr|class=available }} || {{#var:Zone--desc}} | | {{b|{{#var:Zone}} }} || {{Button| vpn-ssl-Roadwarrior|dr|class=available }} || {{#var:Zone--desc}} | ||
| Zeile 108: | Zeile 105: | ||
==== {{#var: | ==== {{#var:Paketfilterregel anlegen}} ==== | ||
<div class="Einrücken">{{#var: | <div class="Einrücken">{{#var:Paketfilterregel interne Dienste--desc}}</div> | ||
{| class="sptable2 spezial pd5 zh1 Einrücken" | {| class="sptable2 spezial pd5 zh1 Einrücken" | ||
Version vom 30. Januar 2024, 07:52 Uhr
Einrichtung Identity-Based Firewall (IBF) für SSL-VPN
Letzte Anpassung zur Version: 12.6.0
Neu:
- Aktualisierung zum Redesign des Webinterfaces
Einführung
Firewallregeln wirken grundsätzlich auf Netzwerkobjekte.
Um Firewallregeln auf Mitglieder einer SSL-VPN-Gruppe anzuwenden, werden diese unter als einzelne Hosts oder Netzwerke mit IP-Adresse als Netzwerkobjekte angelegt und dann zu Netzwerkgruppen zusammengefügt.
Alternativ ist es möglich, Netzwerkobjekte auf Grundlage von Benutzergruppen automatisch zu erstellen und so identitätsbasierte Paketfilter-Regeln einzusetzen.
Wenn die Benutzer durch ein AD oder LDAP authentifiziert werden, wird der Verwaltungsaufwand deutlich reduziert.
Für die internen Dienste (wie z.B. DNS) muss das Transfernetzwerk angelegt werden und von diesem die Paketfilterregeln geschrieben werden.
Konfiguration auf der UTM
Gruppe konfigurieren
Dies erfolgt unter Bereich Gruppen.
Entweder wird eine neue Gruppe erstellt oder eine bestehende Gruppe wird bearbeitet.
Entweder wird eine neue Gruppe erstellt oder eine bestehende Gruppe wird bearbeitet.
Berechtigungen Berechtigungen
| |||
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer  Gruppe hinzufügen - Berechtigungen bearbeiten
|
|---|---|---|---|
| Gruppenname: | Road-Warrior | Eingabe eines aussagekräftigen Namens | |
| Userinterface | Ein | Sollte aktiviert sein, sonst kann der Benutzer keinen SSL-VPN Client herunterladen oder seine Mails in der Quarantäne einsehen. | |
| SSL-VPN | Ein | Sollte aktiviert sein. Erfordert "Userinterface" Berechtigungen für den Client Download | |
SSL-VPN
SSL-VPN
Hier können für die gesamte Gruppe Einstellungen für das SSL-VPN konfiguriert werden.
Alle Benutzer verwenden das gleiche Zertifikat, wenn die Gruppeneinstellungen verwendet werden!
SSL-VPN Einstellungen einzelner Benutzer überschreiben die Gruppeneinstellungen.
| Beschriftung: | Wert | Beschreibung: | UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer  SSL-VPN Einstellungen der Gruppe
|
|---|---|---|---|
| Client im Userinterface herunterladbar: | Nein | Wenn aktiviert, dann kann der VPN-Client im Userinterface heruntergeladen werden | |
| SSL-VPN Verbindung: | RW-Securepoint | Auswahl der gewünschten Verbindung (Angelegt unter ) | |
| Client-Zertifikat: | cs-sslvpn-rw(1) | Auswahl des Zertifikats für diese Gruppe (Angelegt unter Bereich Zertifikate) Es können auch ACME-Zertifikate genutzt werden. | |
| Remote Gateway: | 192.168.175.1 | IP-Adresse des Gateways, auf dem sich die SSL-VPN-Clients einwählen. Freie Eingabe oder Auswahl per Dropdown-Menü. | |
| Redirect Gateway: | Aus | Anfragen zu Zielen außerhalb des lokalen Netzwerks (und damit auch des VPNs) werden vom Gateway des VPN-Users in der Regel direkt ins Internet geleitet. Bei Aktivierung des Buttons Ein wird das lokale Gateway umgeleitet auf die UTM. Dadurch profitieren auch diese Pakete vom Schutz der UTM. Diese Einstellung verändert die Konfigurationsdatei für den VPN-Client. | |
| Im Paketfilter verfügbar: | Nein | Durch Aktivierung Ja dieser Option können im Paketfilter Regeln für diese Gruppe erstellt werden. Damit lässt sich der Zugriff für Benutzer, die Mitglied dieser über SSL-VPN verbundenen Gruppe sind, steuern. | |
Paketfilterregel anlegen
Eine Regel im Paketfilter wird angelegt unter mit der Schaltfläche
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnFirewallPaketfilter  Paketfilterregel
|
|---|---|---|---|
| Aktiv: | Ein | Aktiviert/Deaktiviert die Regel | |
| Quelle: |  Road-Warrior |
Hier kann jetzt die zuvor angelegte SSL-VPN-Gruppe als Netzwerkobjekt direkt ausgewählt werden | |
| Ziel: |  internal-networks |
Hier kann das Zielnetzwerkobjekt ausgewählt werden | |
| Dienst: |  ssl-vpn |
Auswahl des benötigten Dienstes oder einer Dienstgruppe | |
| Aktion: | Der Zugriff soll gestattet werden | ||
Speichern und schließen |
Regel anlegen und Dialog schließen | ||
betätigt werden. | |||
Ergebnis
Der angelegte Paketfilter ist nun für alle Benutzer gültig, die sich in der Gruppe Roadwarrior befinden.
Paketfilterregel für interne Dienste der Firewall
notempty
Paketfilterregeln, die auf Benutzergruppen der Firewall basieren (Identity-Based Firewall), wirken nicht auf interne Dienste der Firewall!
Wird ein Dienst benötigt, der von einem 
Interface-Netzwerkobjekt zur Verfügung gestellt wird (z.B. DNS oder, wie im folgenden Beispiel der Proxy) ist eine weitere Filterregel mit dem Netzwerkobjekt des Transfernetzes erforderlich.
Eine weitere Regel wird im Paketfilter angelegt unter Schaltfläche
Netzwerkobjekt anlegen
Netzwerkobjekt für das Transfernetz anlegen unter Schaltfläche
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnFirwallNetzwerkobjekte  Netzwerkobjekt für das Transfernetz
|
|---|---|---|---|
| Name: | SSL-VPN Transfernetz | Aussagekräftiger Name für das Netzwerkobjekt | |
| Typ: | Typ des Netzwerkobjektes | ||
| Adresse: | Die Netz-IP, die bei Einrichtung der SSL-VPN-Verbindung festgelegt wurde (Schritt 4 im Assistenten, dort wurde die IP für das lokale Ende des Transfernetzes festgelegt) bzw. wie in der Übersicht der SSL-VPN-Verbindungen in der Spalte Transfer Network/Pool (auch hier wird die IP für das lokale Ende des Transfernetzes angezeigt) | ||
| Zone: | Bei korrekt bekannter Transfernetz-IP wird die Zone wird automatisch korrekt zugeordnet | ||
| Gruppe: | Das Netzwerkobjekt kann direkt einer Gruppe zugeordnet werden | ||
Paketfilterregel anlegen
Wird ein Dienst benötigt, der von einem 
Interface-Netzwerkobjekt zur Verfügung gestellt wird (z.B. DNS oder, wie im folgenden Beispiel der Proxy) ist eine weitere Filterregel mit dem Netzwerkobjekt des Transfernetzes erforderlich.
Eine weitere Regel wird im Paketfilter angelegt unter Schaltfläche
Interface-Netzwerkobjekt zur Verfügung gestellt wird (z.B. DNS oder, wie im folgenden Beispiel der Proxy) ist eine weitere Filterregel mit dem Netzwerkobjekt des Transfernetzes erforderlich.Eine weitere Regel wird im Paketfilter angelegt unter Schaltfläche
Allgemein
| ||
| Quelle |  SSL-VPN Transfernetz |
Das soeben angelegte Netzwerkobjekt |
| Ziel | internal-interface |
Schnittstelle, die den internen Dienst zur Verfügung stellen soll |
| Dienst | proxy |
Benötigter Dienst der Schnittstelle |
Ergebnis
Mit dieser weiteren Regel können auch interne Dienste der Firewall benutzt werden.