Keine Bearbeitungszusammenfassung |
Maltea (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
| Zeile 9: | Zeile 9: | ||
| Zoneneinstellungen auf der UTM | | Zoneneinstellungen auf der UTM | ||
| Zone settings on the UTM }} | | Zone settings on the UTM }} | ||
{{var | Netzwerk | {{var | Netzwerk | ||
| Netzwerk | | Netzwerk | ||
| | | Network }} | ||
{{var | Zoneneinstellungen | {{var | Zoneneinstellungen | ||
| Zoneneinstellungen | | Zoneneinstellungen | ||
| Zeile 24: | Zeile 23: | ||
| The zone concept defines through which interface an object (host or network) reaches the NextGen UTM.<br> | | The zone concept defines through which interface an object (host or network) reaches the NextGen UTM.<br> | ||
To achieve this, it is bound to an interface in the network configuration, and in the rule set to a network object. }} | To achieve this, it is bound to an interface in the network configuration, and in the rule set to a network object. }} | ||
{{var | Das Zonenkonzept | {{var | Das Zonenkonzept | ||
| Das Zonenkonzept | | Das Zonenkonzept | ||
| Zeile 32: | Zeile 30: | ||
| Create a new zone }} | | Create a new zone }} | ||
{{var | Eine neue Zone anlegen--desc | {{var | Eine neue Zone anlegen--desc | ||
| Eine neue Zone wird unter {{Menu-UTM|Netzwerk|Zoneneinstellungen}} angelegt, indem auf die Schaltfläche {{Button|Zone hinzufügen|+}} geklickt wird.<br> | | Eine neue Zone wird unter {{Menu-UTM|Netzwerk|Zoneneinstellungen}} angelegt, indem auf die Schaltfläche {{Button|Zone hinzufügen|+}} geklickt wird.<br> Eine Zone kann nur '''ohne''', oder mit einer '''bereits erstellten''' Schnittstelle erstellt werden. | ||
Eine Zone kann nur '''ohne''', oder mit einer '''bereits erstellten''' Schnittstelle erstellt werden. | | A new zone is created under {{Menu-UTM|Network|Zone Configuration}} by clicking the {{Button|Add zone|+}} button.<br> A zone can be created only '''without''', or with an '''already created''' interface. }} | ||
| A new zone is created under {{Menu-UTM|Network|Zone Configuration}} by clicking the {{Button|Add zone|+}} button. | |||
<br> | |||
A zone can be created only '''without''', or with an '''already created''' interface. }} | |||
{{var | Eine neue Zone anlegen--Bild | {{var | Eine neue Zone anlegen--Bild | ||
| UTM v12.6 Zoneneinstellungen Zone hinzufügen.png | | UTM v12.6 Zoneneinstellungen Zone hinzufügen.png | ||
| Zeile 42: | Zeile 37: | ||
{{var | Zone hinzufügen | {{var | Zone hinzufügen | ||
| Zone hinzufügen | | Zone hinzufügen | ||
| | | Add zone }} | ||
{{var | Die Zonen | {{var | Die Zonen | ||
| Die Zonen | | Die Zonen | ||
| Zeile 49: | Zeile 43: | ||
{{var | Die Zonen--desc | {{var | Die Zonen--desc | ||
| '''Wir unterscheiden zwischen Netzwerk-, Schnittstellen- und VPN-Zonen:''' | | '''Wir unterscheiden zwischen Netzwerk-, Schnittstellen- und VPN-Zonen:''' | ||
* Netzwerkzonen unterscheiden die Netzwerksegmente, die sich jeweils hinter einer Schnittstelle der Firewall befinden. | * Netzwerkzonen unterscheiden die Netzwerksegmente, die sich jeweils hinter einer Schnittstelle der Firewall befinden. | ||
* Schnittstellenzonen unterscheiden die Schnittstellen, über die die unterschiedlichen Netzwerkzonen angebunden sind. | * Schnittstellenzonen unterscheiden die Schnittstellen, über die die unterschiedlichen Netzwerkzonen angebunden sind. | ||
| Zeile 55: | Zeile 48: | ||
<br> | <br> | ||
Die Art einer Zone wird durch '''Flags''' gesteuert, welche beim Anlegen der Zone definiert werden. | Die Art einer Zone wird durch '''Flags''' gesteuert, welche beim Anlegen der Zone definiert werden. | ||
Die Unterscheidung für den Anwender wird durch Namenskonventionen vereinfacht (Schnittstellen: Präfix „firewall-“, VPN: Präfix „vpn-“). | Die Unterscheidung für den Anwender wird durch Namenskonventionen vereinfacht (Schnittstellen: Präfix „firewall-“, VPN: Präfix „vpn-“).<br> Durch die Verknüpfung eines Objekts im Regelwerk mit dem Interface über die Zone wird erreicht, dass eine Portfilter-Regel nur dann greift, wenn nicht nur Quelle, Ziel und Dienst auf die Regel passen, sondern die Verbindung auch über die richtigen Interfaces erfolgt. | ||
<br> | |||
Durch die Verknüpfung eines Objekts im Regelwerk mit dem Interface über die Zone wird erreicht, dass eine Portfilter-Regel nur dann greift, wenn nicht nur Quelle, Ziel und Dienst auf die Regel passen, sondern die Verbindung auch über die richtigen Interfaces erfolgt. | |||
Hiermit wird allen Angriffen vorgebeugt, die ein ''IP-Spoofing'' beinhalten. Die Zuordnung eines Objekts zu einem Interface erfolgt durch die Bindung der Zone auf das Interface einerseits und die Zuordnung des Netzwerkobjekts zu einer Zone andererseits. | Hiermit wird allen Angriffen vorgebeugt, die ein ''IP-Spoofing'' beinhalten. Die Zuordnung eines Objekts zu einem Interface erfolgt durch die Bindung der Zone auf das Interface einerseits und die Zuordnung des Netzwerkobjekts zu einer Zone andererseits. | ||
| '''We distinguish between network, interface and VPN zones:''' | | '''We distinguish between network, interface and VPN zones:''' | ||
* Network zones distinguish the network segments, each of which is located behind an interface of the firewall. | * Network zones distinguish the network segments, each of which is located behind an interface of the firewall. | ||
* Interface zones distinguish the interfaces via which the different network zones are connected. | * Interface zones distinguish the interfaces via which the different network zones are connected. | ||
| Zeile 66: | Zeile 56: | ||
<br> | <br> | ||
The type of a zone is controlled by '''flags''', which are defined when the zone is created. | The type of a zone is controlled by '''flags''', which are defined when the zone is created. | ||
The distinction for the user is simplified by naming conventions (interfaces: prefix "firewall-", VPN: prefix "vpn-"). | The distinction for the user is simplified by naming conventions (interfaces: prefix "firewall-", VPN: prefix "vpn-").<br> By linking an object in the rule set to the interface via the zone, it is possible to ensure that a port filter rule only takes effect if not only the source, destination and service match the rule, but the connection is also made via the correct interfaces. | ||
<br> | |||
By linking an object in the rule set to the interface via the zone, it is possible to ensure that a port filter rule only takes effect if not only the source, destination and service match the rule, but the connection is also made via the correct interfaces. | |||
This prevents all attacks that involve ''IP spoofing''. The assignment of an object to an interface is done by binding the zone to the interface on the one hand and the assignment of the network object to a zone on the other hand. }} | This prevents all attacks that involve ''IP spoofing''. The assignment of an object to an interface is done by binding the zone to the interface on the one hand and the assignment of the network object to a zone on the other hand. }} | ||
{{var | Die Zonen-Beispiel | {{var | Die Zonen-Beispiel | ||
| Beispiele: <br> | | Beispiele:<br> | ||
Internal Network: internal<br> | Internal Network: internal<br> | ||
Internal Interface: firewall-internal<br> | Internal Interface: firewall-internal<br> | ||
| Zeile 95: | Zeile 82: | ||
| The zone concept }} | | The zone concept }} | ||
{{var | 1=Warum muss zwischen diesen unterschiedlichen | {{var | 1=Warum muss zwischen diesen unterschiedlichen | ||
| 2='''Warum muss zwischen diesen unterschiedlichen Zonen unterschieden werden?'''<br> | | 2='''Warum muss zwischen diesen unterschiedlichen Zonen unterschieden werden?'''<br> Hier ein Beispiel für eine Portfilterregel: | ||
Hier ein Beispiel für eine Portfilterregel: | | 3='''Why is it necessary to distinguish between these different zones?"''<br> Here is an example of a port filter rule: }} | ||
| 3='''Why is it necessary to distinguish between these different zones?"''<br> | |||
Here is an example of a port filter rule: }} | |||
{{var | Portfilterregel--desc | {{var | Portfilterregel--desc | ||
| Dadurch werden Verbindungen mit dem Protokoll HTTP aus dem internen Netzwerk ins Internet freigegeben. Die Quelle liegt dabei in der Netzwerkzone "Internal", das Ziel in der Netzwerkzone "External". | | Dadurch werden Verbindungen mit dem Protokoll HTTP aus dem internen Netzwerk ins Internet freigegeben. Die Quelle liegt dabei in der Netzwerkzone "Internal", das Ziel in der Netzwerkzone "External". <br>Quelle und Ziel befinden sich also in unterschiedlichen Zonen, weil sie über unterschiedliche Schnittstellen der Firewall erreicht werden. | ||
Quelle und Ziel befinden sich also in unterschiedlichen Zonen, weil sie über unterschiedliche Schnittstellen der Firewall erreicht werden. | |||
| This enables connections with the HTTP protocol from the internal network to the Internet. The source is located in the "Internal" network zone, the destination in the "External" network zone. | | This enables connections with the HTTP protocol from the internal network to the Internet. The source is located in the "Internal" network zone, the destination in the "External" network zone. | ||
The source and destination are therefore in different zones because they are reached via different interfaces of the firewall. }} | The source and destination are therefore in different zones because they are reached via different interfaces of the firewall. }} | ||
{{var | Portfilterregel DNS | {{var | Portfilterregel DNS | ||
| Wird nun z.B. "www.ttt-point.de" in den Browser eingegeben, erfolgt vor dem Aufbau dieser Verbindung eine Namensauflösung. <br>Die Dienste der Firewall sind über die jeweiligen Schnittstellen erreichbar.<br>Ist also die Firewall der DNS-Server im Netzwerk, schickt die Workstation die DNS-Anfrage an das interne Interface der Firewall. | | Wird nun z.B. "www.ttt-point.de" in den Browser eingegeben, erfolgt vor dem Aufbau dieser Verbindung eine Namensauflösung. <br> Die Dienste der Firewall sind über die jeweiligen Schnittstellen erreichbar.<br>Ist also die Firewall der DNS-Server im Netzwerk, schickt die Workstation die DNS-Anfrage an das interne Interface der Firewall. <br>Diese Anfrage muss mit einer Portfilterregel erlaubt werden: | ||
< | | If, for example, "www.ttt-point.de" is now entered into the browser, name resolution takes place before this connection is established.<br> Is the firewall DNS server is on the network, the workstation sends the DNS request to the firewall's internal interface.<br> This request must be allowed with a port filter rule: }} | ||
| If, for example, "www.ttt-point.de" is now entered into the browser, name resolution takes place before this connection is established.<br>Is the firewall DNS server is on the network, the workstation sends the DNS request to the firewall's internal interface. < | |||
{{var | Portfilterregel DNS--desc | {{var | Portfilterregel DNS--desc | ||
| Diese Regel unterscheidet sich von der vorherigen in einem Detail: Quelle und Ziel der freigegebenen Verbindung befinden sich '''nicht''' hinter unterschiedlichen Schnittstellen. <br>Vielmehr befindet sich das Ziel (die Schnittstelle) im gleichen Netzwerksegment wie die Quelle und damit eigentlich in der gleichen Zone! Intern werden jedoch Regeln für Verbindungen zu Netzwerken oder Hosts in einer anderen Tabelle des Portfilters erstellt als solche, die die Firewall selbst zum Ziel haben.<br>Schnittstellen befinden sich also in ihren eigenen Interface-Zonen, so dass hier z.B. die Quelle in der Netzwerk-Zone "Internal" und das Ziel, das Interface der Firewall, in der Zone "firewall-internal" liegt. | | Diese Regel unterscheidet sich von der vorherigen in einem Detail: Quelle und Ziel der freigegebenen Verbindung befinden sich '''nicht''' hinter unterschiedlichen Schnittstellen. <br>Vielmehr befindet sich das Ziel (die Schnittstelle) im gleichen Netzwerksegment wie die Quelle und damit eigentlich in der gleichen Zone! Intern werden jedoch Regeln für Verbindungen zu Netzwerken oder Hosts in einer anderen Tabelle des Portfilters erstellt als solche, die die Firewall selbst zum Ziel haben.<br>Schnittstellen befinden sich also in ihren eigenen Interface-Zonen, so dass hier z.B. die Quelle in der Netzwerk-Zone "Internal" und das Ziel, das Interface der Firewall, in der Zone "firewall-internal" liegt. | ||
| Zeile 116: | Zeile 99: | ||
This rule differs from the previous one in one detail: the source and destination of the shared connection are not behind different interfaces. Rather, the interface as destination is in the same network segment as the source and thus actually in the same zone! Internally, rules for connections via the firewall are processed in a different table of the port filter than those that have the firewall itself as their destination. Therefore, interfaces are located in their own interface zone, so that here the source is in the network zone "Internal" and the destination, the interface of the firewall, is in the zone "firewall-internal". | This rule differs from the previous one in one detail: the source and destination of the shared connection are not behind different interfaces. Rather, the interface as destination is in the same network segment as the source and thus actually in the same zone! Internally, rules for connections via the firewall are processed in a different table of the port filter than those that have the firewall itself as their destination. Therefore, interfaces are located in their own interface zone, so that here the source is in the network zone "Internal" and the destination, the interface of the firewall, is in the zone "firewall-internal". | ||
From this it can be concluded that the source and destination of a connection that is released in the port filter ruleset, the destination is always located in a different zone than the source- either in a different network zone and thus behind a different interface, or in the interface zone of the interface behind which the network segment of the source is located. }} | From this it can be concluded that the source and destination of a connection that is released in the port filter ruleset, the destination is always located in a different zone than the source- either in a different network zone and thus behind a different interface, or in the interface zone of the interface behind which the network segment of the source is located. }} | ||
{{var | Bedeutung | {{var | Bedeutung | ||
| Bedeutung | | Bedeutung | ||
| Zeile 145: | Zeile 124: | ||
| This is the zone where PPTP or L2TP VPN clients are located. }} | | This is the zone where PPTP or L2TP VPN clients are located. }} | ||
{{var | Hinweis-IPv6 | {{var | Hinweis-IPv6 | ||
| Ab Version 12.4 werden keine extra Zonen mehr für IPv6 benötigt. <br>Es wird bereits anhand der Art der IP festgelegt, ob die Regel nach iptables oder ip6tables geschrieben werden muss. <p>Bei Neuinstallationen werden keine IPv6 Zonen mehr angelegt.<br>Existierende Zonen bleiben beim Firmware-Upgrade oder Import einer Konfiguration bestehen.</p> | | Ab Version 12.4 werden keine extra Zonen mehr für IPv6 benötigt. <br>Es wird bereits anhand der Art der IP festgelegt, ob die Regel nach iptables oder ip6tables geschrieben werden muss. <p>Bei Neuinstallationen werden keine IPv6 Zonen mehr angelegt.<br> Existierende Zonen bleiben beim Firmware-Upgrade oder Import einer Konfiguration bestehen.</p> | ||
| As of version 12.4, extra zones are no longer needed for IPv6. These are obsolete, since the type of IP determines whether the rule must be written following iptables or ip6tables. <p>For new installations, IPv6 zones are no longer added. Existing zones also remain when upgrading firmware or importing a configuration. </p>}} | | As of version 12.4, extra zones are no longer needed for IPv6. These are obsolete, since the type of IP determines whether the rule must be written following iptables or ip6tables. <p>For new installations, IPv6 zones are no longer added. Existing zones also remain when upgrading firmware or importing a configuration. </p>}} | ||
{{var | Quelle | |||
{{var | Quelle | Quelle | | Quelle | ||
{{var | Ziel | | Source }} | ||
{{var | Dienst | Dienst | Service }} | {{var | Ziel | ||
{{var | Aktion | Aktion | Action }} | | Ziel | ||
{{var | Aktiv | | Destination }} | ||
{{var | Typ | {{var | Dienst | ||
{{var | Netzwerkobjekt | Netzwerkobjekt | Networkobject }} | | Dienst | ||
{{var | Allgemein | | Service }} | ||
{{var | Aktion | |||
| Aktion | |||
| Action }} | |||
{{var | Aktiv | |||
| Aktiv | |||
| Active }} | |||
{{var | Typ | |||
| Typ | |||
| Type }} | |||
{{var | Netzwerkobjekt | |||
| Netzwerkobjekt | |||
| Networkobject }} | |||
{{var | Allgemein | |||
| Allgemein | |||
| General }} | |||
{{var | | {{var | | ||
| | | | ||
UTM/NET/Zoneneinstellungen.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki