Wechseln zu:Navigation, Suche
Wiki





























De.png
En.png
Fr.png








Einrichtung Identity-Based Firewall (IBF) für SSL-VPN
Letzte Anpassung: 07.2022
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

11.8


Einführung

Firewallregeln wirken grundsätzlich auf Netzwerkobjekte.
Um Firewallregeln auf Mitglieder einer SSL-VPN-Gruppe anzuwenden, werden diese unter Firewall Netzwerkobjekte als einzelne Hosts oder Netzwerke mit IP-Adresse als  Netzwerkobjekte  angelegt und dann zu  Netzwerkgruppen  zusammengefügt.

Alternativ ist es möglich, Netzwerkobjekte auf Grundlage von Benutzergruppen automatisch zu erstellen und so identitätsbasierte Paketfilter-Regeln einzusetzen.
Wenn die Benutzer durch ein AD oder LDAP authentifiziert werden, wird der Verwaltungsaufwand deutlich reduziert.

  • Paketfilterregeln, die auf Benutzergruppen der Firewall (Identity-Based Firewall) basieren, funktionieren nicht auf internen Diensten der Firewall.
    Für die internen Dienste (wie z.B. DNS) muss das Transfernetzwerk angelegt werden und von diesem die Paketfilterregeln geschrieben werden.
  • Konfiguration auf der UTM

    Gruppe konfigurieren

    Dies erfolgt unter Authentifizierung Benutzer  Bereich Gruppen.
    Entweder wird eine neue Gruppe erstellt Gruppe hinzufügen oder eine bestehende Gruppe wird bearbeitet.
    Berechtigungen
    Berechtigungen
    Beschriftung Wert Beschreibung UTM v12.6 ibf Gruppe hinzufuegen Road-Warrior.png
    Gruppe hinzufügen - Berechtigungen bearbeiten
    Gruppenname: Road-Warrior Eingabe eines aussagekräftigen Namens
    Userinterface Sollte aktiviert sein, sonst kann der Benutzer keinen SSL-VPN Client herunterladen oder seine Mails in der Quarantäne einsehen.
    SSL-VPN Sollte aktiviert sein. Erfordert "Userinterface" Berechtigungen für den Client Download


    SSL-VPN
    SSL-VPN






























    De.png
    En.png
    Fr.png



    Hier können für die gesamte Gruppe Einstellungen für das SSL-VPN konfiguriert werden.
    Alle Benutzer verwenden das gleiche Zertifikat, wenn die Gruppeneinstellungen verwendet werden!
    SSL-VPN Einstellungen einzelner Benutzer überschreiben die Gruppeneinstellungen.

    Beschriftung: Wert Beschreibung: Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer UTM v12.6 Authentifizierung Gruppe SSL-VPN.png SSL-VPN Einstellungen der Gruppe
    Client im Userinterface herunterladbar: Nein Wenn aktiviert, dann kann der VPN-Client im Userinterface heruntergeladen werden
    SSL-VPN Verbindung: RW-Securepoint Auswahl der gewünschten Verbindung (Angelegt unter VPN SSL-VPN )
    Client-Zertifikat: cs-sslvpn-rw(1) Auswahl des Zertifikats für diese Gruppe (Angelegt unter Authentifizierung Zertifikate  Bereich Zertifikate)
    Es können auch ACME-Zertifikate genutzt werden.
    Remote Gateway: 192.168.175.1 IP-Adresse des Gateways, auf dem sich die SSL-VPN-Clients einwählen. Freie Eingabe oder Auswahl per Dropdown-Menü.
    Redirect Gateway: Aus Anfragen zu Zielen außerhalb des lokalen Netzwerks (und damit auch des VPNs) werden vom Gateway des VPN-Users in der Regel direkt ins Internet geleitet. Bei Aktivierung des Buttons Ein wird das lokale Gateway umgeleitet auf die UTM. Dadurch profitieren auch diese Pakete vom Schutz der UTM.
    Diese Einstellung verändert die Konfigurationsdatei für den VPN-Client.
    Im Paketfilter verfügbar: Nein Durch Aktivierung Ja dieser Option können im Paketfilter Regeln für diese Gruppe erstellt werden.
    Damit lässt sich der Zugriff für Benutzer, die Mitglied dieser über SSL-VPN verbundenen Gruppe sind, steuern.



    Beschriftung Wert Beschreibung [[Datei: ]]
    Aktiv: Aktiviert/Deaktiviert die Regel
    Quelle: Ipsetgroup.svg Road-Warrior Hier kann jetzt die zuvor angelegte SSL-VPN-Gruppe als Netzwerkobjekt direkt ausgewählt werden
    Ziel: Network.svg internal-networks Hier kann das Zielnetzwerkobjekt ausgewählt werden
    Dienst: Service-group.svg ssl-vpn Auswahl des benötigten Dienstes oder einer Dienstgruppe
    Aktion: Accept Der Zugriff soll gestattet werden
    Logging: SHORT - Drei Einträge die Minute protokollieren Gewünschte Loggingstufe
    Gruppe:: default Das Netzwerkobjekt kann direkt einer Gruppe zugeordnet werden
    Hinzufügen und schließen

    Regel anlegen und Dialog schließen

    Damit die Regel auch angewendet wird, muss noch die Schaltfläche
    Regeln aktualisieren
    betätigt werden.


    Ergebnis

    Der angelegte Paketfilter ist nun für alle Benutzer gültig, die sich in der Gruppe Roadwarrior befinden.

    Netzwerkobjekt anlegen

    Netzwerkobjekt für das Transfernetz anlegen unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen

    Beschriftung Wert Beschreibung UTM v12.6 ibf Netzwerkobjekt erstellen SSL-VPN Transfernetz.png
    Netzwerkobjekt für das Transfernetz
    Name: SSL-VPN Transfernetz Aussagekräftiger Name für das Netzwerkobjekt
    Typ: VPN-Netzwerk Typ des Netzwerkobjektes
    Adresse: 10.0.1.0/24   Die Netz-IP, die bei Einrichtung der SSL-VPN-Verbindung festgelegt wurde
    (Schritt 4 im Assistenten, dort wurde die IP für das lokale Ende des Transfernetzes festgelegt) bzw. wie in der Übersicht der SSL-VPN-Verbindungen in der Spalte Transfer Network/Pool (auch hier wird die IP für das lokale Ende des Transfernetzes angezeigt)
    Zone: vpn-ssl-Roadwarrior Bei korrekt bekannter Transfernetz-IP wird die Zone wird automatisch korrekt zugeordnet
    Gruppe:     Das Netzwerkobjekt kann direkt einer Gruppe zugeordnet werden


    Allgemein
    Quelle Vpn-network.svg SSL-VPN Transfernetz Das soeben angelegte Netzwerkobjekt
    Ziel Interface.svg internal-interface Schnittstelle, die den internen Dienst zur Verfügung stellen soll
    Dienst Service-group.svg proxy Benötigter Dienst der Schnittstelle

    Ergebnis

    Mit dieser weiteren Regel können auch interne Dienste der Firewall benutzt werden.