notempty
notempty
notempty Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!
notempty
Der Artikel für die neueste Version steht hier
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht
Einrichtung Identity-Based Firewall (IBF) für SSL-VPN
Letzte Anpassung: 10.2022
Neu:
- Hinweis zur Nutzung von ACME-Zertifikaten (ab v.12.2)
- Hinweis zu Portfilterregeln für interne Dienste
Dieser Artikel bezieht sich auf eine Resellerpreview
Einführung
Firewallregeln wirken grundsätzlich auf Netzwerkobjekte.
Um Firewallregeln auf Mitglieder einer SSL-VPN-Gruppe anzuwenden, werden diese unter Reiter Netzwerkobjekte als einzelne Hosts oder Netzwerke mit IP-Adresse als Netzwerkobjekte angelegt und dann zu Netzwerkgruppen zusammengefügt.
Alternativ ist es möglich, Netzwerkobjekte auf Grundlage von Benutzergruppen automatisch zu erstellen und so identitätsbasierte Portfilter-Regeln einzusetzen.
Wenn die Benutzer durch ein AD oder LDAP authentifiziert werden, wird der Verwaltungsaufwand deutlich reduziert.
Für die internen Dienste (wie z.B. DNS) muss das Transfernetzwerk angelegt werden und von diesem die Portfilterregeln geschrieben werden.
Konfiguration auf der UTM
Gruppe konfigurieren
Dies erfolgt unter Reiter Gruppen.
Entweder wird eine neue Gruppe erstellt oder eine bestehende Gruppe wird bearbeitet.
Entweder wird eine neue Gruppe erstellt oder eine bestehende Gruppe wird bearbeitet.
Berechtigungen Berechtigungen
| |||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Gruppenname: | Road-Warrior | Eingabe eines aussagekräftigen Namens | |
| Userinterface | Ein | Sollte aktiviert sein, sonst kann der Benutzer keinen SSL-VPN Client herunterladen oder seine Mails in der Quarantäne einsehen. | |
| SSL-VPN | Ein | Sollte aktiviert sein. Erfordert "Userinterface" Berechtigungen für den Client Download | |
SSL-VPN
SSL-VPN
notempty
notempty
notempty Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!
notempty
Der Artikel für die neueste Version steht hier
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht
Hier können für die gesamte Gruppe Einstellungen für das SSL-VPN konfiguriert werden.
Alle Benutzer verwenden das gleiche Zertifikat, wenn die Gruppeneinstellungen verwendet werden!
SSL-VPN Einstellungen einzelner Benutzer überschreiben die Gruppeneinstellungen.
| Beschriftung: | Wert | Beschreibung: |  |
|---|---|---|---|
| Client im Userinterface herunterladbar: | Nein | Wenn aktiviert, dann kann der VPN-Client im Userinterface heruntergeladen werden | |
| SSL-VPN Verbindung: | rw-sslvpn-e2s-01 | Auswahl der gewünschten Verbindung (Angelegt unter ) | |
| Client-Zertifikat: | cs-sslvpn-rw | Auswahl des Zertifikats für diese Gruppe (Angelegt unter Reiter Zertifikate) Es können auch ACME-Zertifikate genutzt werden. | |
| Remote Gateway: | 203.0.113.0/24 | IP-Adresse des Gateways, auf dem sich die SSL-VPN-Clients einwählen. Freie Eingabe oder Auswahl per Dropdown-Menü. | |
| Redirect Gateway: | Aus | Anfragen zu Zielen außerhalb des lokalen Netzwerks (und damit auch des VPNs) werden vom Gateway des VPN-Users in der Regel direkt ins Internet geleitet. Bei Aktivierung des Buttons Ein wird das lokale Gateway umgeleitet auf die UTM. Dadurch profitieren auch diese Pakete vom Schutz der UTM. Diese Einstellung verändert die Konfigurationsdatei für den VPN-Client. | |
| Im Portfilter verfügbar: | Nein | Durch Aktivierung Ja dieser Option können im Portfilter Regeln für diese Gruppe erstellt werden. Damit lässt sich der Zugriff für Benutzer, die Mitglied dieser über SSL-VPN verbundenen Gruppe sind, steuern. | |
Portfilterregel anlegen
Eine Regel im Portfilter wird angelegt unter Reiter Portfilter mit der Schaltfläche
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Aktiv: | Ein | Aktiviert/Deaktiviert die Regel | |
| Quelle: |  Road-Warrior |
Hier kann jetzt die zuvor angelegte SSL-VPN-Gruppe als Netzwerkobjekt direkt ausgewählt werden | |
| Ziel: |  internal-networks |
Hier kann das Zielnetzwerkobjekt ausgewählt werden | |
| Dienst: |  ssl-vpn |
Auswahl des benötigten Dienstes oder einer Dienstgruppe | |
| Aktion: | Der Zugriff soll gestattet werden | ||
| Logging: | Gewünschte Loggingstufe | ||
| Gruppe:: | Das Netzwerkobjekt kann direkt einer Gruppe zugeordnet werden | ||
Regel anlegen und Dialog schließen
Damit die Regel auch angewendet wird, muss noch die Schaltfläche betätigt werden.
| |||
Ergebnis
Der angelegte Portfilter ist nun für alle Benutzer gültig, die sich in der Gruppe Roadwarrior befinden.
Portfilterregel für interne Dienste der Firewall
Portfilterregeln, die auf Benutzergruppen der Firewall basieren (Identity-Based Firewall), wirken nicht auf interne Dienste der Firewall!
Wird ein Dienst benötigt, der von einem 
Interface-Netzwerkobjekt zur Verfügung gestellt wird (z.B. DNS oder, wie im folgenden Beispiel der Proxy) ist eine weitere Filterregel mit dem Netzwerkobjekt des Transfernetzes erforderlich.
Eine weitere Regel wird im Portfilter angelegt unter Reiter Portfilter mit der Schaltfläche
Netzwerkobjekt anlegen
Netzwerkobjekt für das Transfernetz anlegen unter Reiter Netzwerkobjekte mit der Schaltfläche
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Name: | SSL-VPN Transfernetz | Aussagekräftiger Name für das Netzwerkobjekt | |
| Typ: | Typ des Netzwerkobjektes | ||
| Adresse: | 10.0.1.0/24 | Die Netz-IP, die bei Einrichtung der SSL-VPN-Verbindung festgelegt wurde (Schritt 4 im Assistenten, dort wurde die IP für das lokale Ende des Transfernetzes festgelegt) bzw. wie in der Übersicht der SSL-VPN-Verbindungen in der Spalte Transfer Network/Pool (auch hier wird die IP für das lokale Ende des Transfernetzes angezeigt) | |
| Zone: | Bei korrekt bekannter Transfernetz-IP wird die Zone wird automatisch korrekt zugeordnet | ||
| Gruppe: | Das Netzwerkobjekt kann direkt einer Gruppe zugeordnet werden | ||
Portfilterregel anlegen
Wird ein Dienst benötigt, der von einem 
Interface-Netzwerkobjekt zur Verfügung gestellt wird (z.B. DNS oder, wie im folgenden Beispiel der Proxy) ist eine weitere Filterregel mit dem Netzwerkobjekt des Transfernetzes erforderlich.
Eine weitere Regel wird im Portfilter angelegt unter Reiter Portfilter mit der Schaltfläche
Interface-Netzwerkobjekt zur Verfügung gestellt wird (z.B. DNS oder, wie im folgenden Beispiel der Proxy) ist eine weitere Filterregel mit dem Netzwerkobjekt des Transfernetzes erforderlich.Eine weitere Regel wird im Portfilter angelegt unter Reiter Portfilter mit der Schaltfläche
Allgemein
| ||
| Quelle |  SSL-VPN Transfernetz |
Das soeben angelegte Netzwerkobjekt |
| Ziel | internal-interface |
Schnittstelle, die den internen Dienst zur Verfügung stellen soll |
| Dienst | proxy |
Benötigter Dienst der Schnittstelle |
Ergebnis
Mit dieser weiteren Regel können auch interne Dienste der Firewall benutzt werden.