Wechseln zu:Navigation, Suche
Wiki

UTM/NET/Zoneneinstellungen: Unterschied zwischen den Versionen

Aus Securepoint Wiki
(Die Seite wurde neu angelegt: „{{DISPLAYTITLE:Zoneneinstellungen}} == Informationen == Letze Anpassung zur Version: '''11.7''' <br> Bemerkung: Artikelanpassung <br> Vorherige Versionen: - <…“)
 
K (Textersetzung - „#WEITERLEITUNG(.*)Preview1260\n“ durch „“)
Markierung: Weiterleitung entfernt
 
(3 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{DISPLAYTITLE:Zoneneinstellungen}}
{{Set_lang}}
== Informationen ==
Letze Anpassung zur Version: '''11.7'''
<br>
Bemerkung: Artikelanpassung
<br>
Vorherige Versionen: -
<br>


== Einleitung ==
{{#vardefine:headerIcon|spicon-utm}}
Über das Zonenkonzept definiert, über welche Schnittstelle ein Objekt (Host oder Netz) die NextGen UTM erreicht. Hierzu wird sie in der Netzwerkkonfiguration auf ein Interface, sowie im Regelwerk an ein Netzwerkobjekt gebunden.
{{:UTM/NET/Zoneneinstellungen.lang}}


==Das Zonenkonzept==
</div><div class="new_design"></div>{{TOC2}}{{Select_lang}}
=== Eine neue Zone anlegen===
{{Header|12.6.0|
[[Datei:Utm_zone01.png |250px|thumb|right| Erstellen einer neuen Zone]]
* {{#var:neu--rwi}}
Eine neue Zone wird unter '''Netzwerk''' -> '''Zoneneinstellung''' angelgegt, indem auf
|[[UTM/NET/Zoneneinstellungen_v12.4 | 12.4]]
<br>die Schaltfläche ''+ Zone hinzufügen'' geklickt wird.
[[UTM/NET/Zoneneinstellungen_11.7 | 11.7]]
<br>Eine Zone kann nur '''ohne''' oder mit einer '''bereits erstellten''' Schnittstelle erstellt werden.
|{{Menu-UTM|{{#var:Netzwerk}}|{{#var:Zoneneinstellungen}} }}
<br><br><br><br>
}}
<br><br><br><br>
----
<br><br><br><br>
<br><br>


===Die Zonen===
<br clear=all>
Wir unterscheiden zwischen Netzwerk-, Schnittstellen- und VPN-Zonen:


• Netzwerkzonen unterscheiden die Netzwerksegmente, die sich jeweils hinter einer Schnittstelle der Firewall befinden.<br>
=== {{#var:Einleitung}} ===
• Schnittstellenzonen unterscheiden die Schnittstellen, über die die unterschiedlichen Netzwerkzonen angebunden sind.<br>
<div class="Einrücken">{{#var:Einleitung--desc}}</div>
• VPN-Zonen unterscheiden verschiedene Netze, die über VPN-Verbindungen angebunden sind.<br>
----


Die Art einer Zone wird durch Flags gesteuert, die beim Anlegen der Zone definiert werden. Die Unterscheidung für den Anwender wird durch Namenskonventionen vereinfacht (Schnittstellen: Präfix „firewall-“, VPN: Präfix „vpn-“).
=== {{#var:Das Zonenkonzept}} ===
==== {{#var:Eine neue Zone anlegen}} ====
{{Bild| {{#var:Eine neue Zone anlegen--Bild}}|{{#var:Zone hinzufügen}}||{{#var:Zone hinzufügen}}|{{#var:Netzwerk}}|{{#var:Zoneneinstellungen}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close|class=Bild-t}}
<div class="Einrücken">{{#var:Eine neue Zone anlegen--desc}}</div>
<br clear=all>


Durch die Verknüpfung eines Objekts im Regelwerk mit dem Interface über die Zone wird erreicht, dass eine Portfilter-Regel nur dann greift, wenn nicht nur Quelle, Ziel und Dienst auf die Regel passen, sondern die Verbindung auch über die richtigen Interfaces erfolgt. Hiermit wird allen Angriffen vorgebeugt, die ein IP-Spoofing beinhalten. Die Zuordnung eines Objekts zu einem Interface erfolgt durch die Bindung der Zone auf das Interface einerseits und die Zuordnung des Netzwerkobjekts zu einer Zone andererseits.


[[Datei:zonenkonzept.png|350px|thumb|right]]
==== {{#var:Die Zonen}} ====
<div class="Einrücken">
{{Bild| {{#var:Die Zonen-Beispiel--Bild}} |{{#var:Die Zonen-Beispiel--cap}}|class=Bild-t}}
{{#var:Die Zonen--desc}}
<br>
{{#var:Die Zonen-Beispiel}}


Beispiele:


Internal Network: internal<br>
Internal Interface: firewall-internal<br>
External Interface: firewall-external<br>
Internet: external<br>
Mailserver: internal<br>
Webserver in der 1. DMZ: DMZ1<br>
Entferntes IPSec-Subnetz: vpn-ipsec<br>


Warum muss zwischen diesen unterschiedlichen Zonen unterschieden werden? Hier ein Beispiel für eine Portfilterregel:
{{#var:Warum muss zwischen diesen unterschiedlichen}}
<br>


Internal_Network -> Internet -> HTTP -> ACCEPT
{| class="sptable2 spezial pd5 tr--bc__white zh1"
|- class="bold small no1cell"
| rowspan="3" class="Leerzeile pd0 bc__default fs-initial normal" |  {{#var:Portfilterregel--desc}} 
| || <nowiki>#</nowiki> || class=mw12 | {{#var:Quelle}} || class=mw12 | {{#var:Ziel}} || class=mw12 | {{#var:Dienst}} || class=mw6 | NAT || {{#var:Aktion}} || {{#var:Aktiv}} || class=mw5 |
|-
| {{spc|drag|o|-}} || 4 || {{spc|vpn-network|o|-}} internal-network || {{spc|world|o|-}} internet || {{spc|tcp|o|-}}  HTTP ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
|- class="Leerzeile"
| colspan="9" class=bc__default|
|}


Dadurch werden Verbindungen mit dem Protokoll HTTP aus dem internen Netzwerk ins Internet freigegeben. Die Quelle liegt dabei in der Netzwerkzone "Internal", das Ziel in der Netzwerkzone "External". Quelle und Ziel befinden sich also in unterschiedlichen Zonen, weil sie über unterschiedliche Schnittstellen der Firewall erreicht werden.
{{#var:Portfilterregel DNS}}


Wird nun z.B. "www.google.de" in den Browser eingegeben, erfolgt vor dem Aufbau dieser Verbindung eine Namensauflösung. Ist die Firewall DNS-Server im Netzwerk, schickt die Workstation die DNS-Anfrage an das interne Interface der Firewall. Diese Anfrage muss mit einer Portfilterregel erlaubt werden:
{| class="sptable2 spezial pd5 tr--bc__white zh1"
|- class="bold small no1cell"
| rowspan="3" class="Leerzeile pd0 pdr05 bc__default fs-initial normal" | {{#var:Portfilterregel DNS--desc}}
| || <nowiki>#</nowiki> || class=mw12 | {{#var:Quelle}} || class=mw12 | {{#var:Ziel}} || class=mw12 | {{#var:Dienst}} || class=mw6 | NAT || {{#var:Aktion}} || {{#var:Aktiv}} || class=mw5 |
|-
| {{spc|drag|o|-}} || 4 || {{spc|vpn-network|o|-}} internal-network || {{spc|interface|o|-}} internal-interface || {{spc|dienste|o|-}}  DNS ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
|- class="Leerzeile"
| colspan="9" class="bc__default" |
|}
<br>


Internal Network -> Internal Interface -> DNS -> ACCEPT
</div>


Diese Regel unterscheidet sich von der vorherigen in einem Detail: Quelle und Ziel der freigegebenen Verbindung befinden sich nicht hinter unterschiedlichen Schnittstellen. Vielmehr ist die Schnittstelle als Ziel im gleichen Netzwerksegment wie die Quelle und damit eigentlich in der gleichen Zone! Intern werden Regeln für Verbindungen über die Firewall in einer anderen Tabelle des Portfilters abgearbeitet als solche, die die Firewall selbst zum Ziel haben. Deshalb befinden sich Schnittstellen in ihrer eigenen Interface-Zone, so dass hier die Quelle in der Netzwerk-Zone "Internal" und das Ziel, das Interface der Firewall, in der Zone "firewall-internal" liegt. Daraus lässt sich a bleiten, dass Quelle und Ziel einer Verbindung, die im Portfilter-Regelwerk freigegeben wird, sich immer das Ziel in einer anderen Zone als die Quelle befindet- entweder in einer anderen Netzwerkzone und damit hinter einem anderen Interface, oder in der Interface-Zone der Schnittstelle, hinter der sich das Netzwerksegment der Quelle befindet.


===Flags===
==== Flags ====
[[Datei:zoneneinstellungen.png |300px|thumb|right| Zoneneinstellungen]]
{| class="sptable2 pd5 zh1"
{| class="wikitable"
|-
! style="width:10%"| Flag !! style="width:50%"| Bedeutung
!  Flag !! colspan="2" | {{#var:Bedeutung}}
| class="Bild" rowspan="6" | {{Bild| {{#var:Flags--Bild}} |{{#var:Flags--cap}}||{{#var:Zoneneinstellungen}}|{{#var:Netzwerk}}}}
|-
|-
|Kein Flag
| {{#var:Kein Flag}} || colspan="2" | {{#var:Kein Flag--desc}}
| Es handelt sich um die Zone eines Netzwerks.
|-
|-
|Interface
| {{Kasten|Interface|blau}} || colspan="2" | {{#var:Interface--desc}}
| Es handelt sich um die Zone zu einer UTM-Schnittstelle. Diese wird in der Regel genutzt, um die Dienste, die die UTM anbietet (Nameserver, Proxy), erreichbar zu machen.
|-
|-
|Policy_IPSec
| {{Kasten|Policy_IPSec|blau}} || colspan="2" | {{#var:Policy_IPSec--desc}}
| Es handelt sich um die Zone eines IPSec-VPN Netzwerkes.
|-
|-
|PPP_VPN
| {{Kasten|PPP_VPN|blau}} || colspan="2" | {{#var:PPP_VPN--desc}}
| Es handelt sich um die Zone in der sich PPTP- oder L2TP-VPN Clients befinden.
|- class="Leerzeile"
|
|}
|}
==== IPv6 ====
<li class="list--element__alert list--element__hint">{{#var:Hinweis-IPv6}}</li>

Aktuelle Version vom 16. Januar 2024, 16:16 Uhr
























































De.png
En.png
Fr.png






Zoneneinstellungen auf der UTM
Letzte Anpassung zur Version: 12.6.0
Neu:
  • Aktualisierung zum Redesign des Webinterfaces
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.4 11.7

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 Netzwerk Zoneneinstellungen


Einleitung

Das Zonenkonzept definiert, über welche Schnittstelle ein Objekt (Host oder Netz) die NextGen UTM erreicht.
Hierzu wird es in der Netzwerkkonfiguration auf ein Interface, sowie im Regelwerk an ein Netzwerkobjekt gebunden.

Das Zonenkonzept

Eine neue Zone anlegen

Zone hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkZoneneinstellungen UTM v12.6 Zoneneinstellungen Zone hinzufügen.pngZone hinzufügen

Eine neue Zone wird unter Netzwerk Zoneneinstellungen angelegt, indem auf die Schaltfläche Zone hinzufügen geklickt wird.
Eine Zone kann nur ohne, oder mit einer bereits erstellten Schnittstelle erstellt werden.



Die Zonen

Zonenkonzept.png
Das Zonenkonzept

Wir unterscheiden zwischen Netzwerk-, Schnittstellen- und VPN-Zonen:

  • Netzwerkzonen unterscheiden die Netzwerksegmente, die sich jeweils hinter einer Schnittstelle der Firewall befinden.
  • Schnittstellenzonen unterscheiden die Schnittstellen, über die die unterschiedlichen Netzwerkzonen angebunden sind.
  • VPN-Zonen unterscheiden verschiedene Netze, die über VPN-Verbindungen angebunden sind.


Die Art einer Zone wird durch Flags gesteuert, welche beim Anlegen der Zone definiert werden. Die Unterscheidung für den Anwender wird durch Namenskonventionen vereinfacht (Schnittstellen: Präfix „firewall-“, VPN: Präfix „vpn-“).
Durch die Verknüpfung eines Objekts im Regelwerk mit dem Interface über die Zone wird erreicht, dass eine Portfilter-Regel nur dann greift, wenn nicht nur Quelle, Ziel und Dienst auf die Regel passen, sondern die Verbindung auch über die richtigen Interfaces erfolgt. Hiermit wird allen Angriffen vorgebeugt, die ein IP-Spoofing beinhalten. Die Zuordnung eines Objekts zu einem Interface erfolgt durch die Bindung der Zone auf das Interface einerseits und die Zuordnung des Netzwerkobjekts zu einer Zone andererseits.
Beispiele:
Internal Network: internal
Internal Interface: firewall-internal
External Interface: firewall-external
Internet: external
Mailserver: internal
Webserver in der 1. DMZ: DMZ1
Entferntes IPSec-Subnetz: vpn-ipsec


Warum muss zwischen diesen unterschiedlichen Zonen unterschieden werden?
Hier ein Beispiel für eine Portfilterregel:

Dadurch werden Verbindungen mit dem Protokoll HTTP aus dem internen Netzwerk ins Internet freigegeben. Die Quelle liegt dabei in der Netzwerkzone "Internal", das Ziel in der Netzwerkzone "External".

Quelle und Ziel befinden sich also in unterschiedlichen Zonen, weil sie über unterschiedliche Schnittstellen der Firewall erreicht werden.

# Quelle Ziel Dienst NAT Aktion Aktiv
Dragndrop.png 4 Vpn-network.svg internal-network World.svg internet Tcp.svg HTTP Accept Ein

Wird nun z.B. "www.ttt-point.de" in den Browser eingegeben, erfolgt vor dem Aufbau dieser Verbindung eine Namensauflösung.
Die Dienste der Firewall sind über die jeweiligen Schnittstellen erreichbar.
Ist also die Firewall der DNS-Server im Netzwerk, schickt die Workstation die DNS-Anfrage an das interne Interface der Firewall.

Diese Anfrage muss mit einer Portfilterregel erlaubt werden:

Diese Regel unterscheidet sich von der vorherigen in einem Detail: Quelle und Ziel der freigegebenen Verbindung befinden sich nicht hinter unterschiedlichen Schnittstellen.
Vielmehr befindet sich das Ziel (die Schnittstelle) im gleichen Netzwerksegment wie die Quelle und damit eigentlich in der gleichen Zone! Intern werden jedoch Regeln für Verbindungen zu Netzwerken oder Hosts in einer anderen Tabelle des Portfilters erstellt als solche, die die Firewall selbst zum Ziel haben.
Schnittstellen befinden sich also in ihren eigenen Interface-Zonen, so dass hier z.B. die Quelle in der Netzwerk-Zone "Internal" und das Ziel, das Interface der Firewall, in der Zone "firewall-internal" liegt.

Quelle und Ziel einer Verbindung, die im Portfilter-Regelwerk freigegeben wird, befinden sich also immer in unterschiedlichen Zonen:

  • Entweder in einer anderen Netzwerkzone und damit hinter einem anderen Interface, oder
  • in der Interface-Zone der Schnittstelle, hinter der sich das Netzwerksegment der Quelle befindet.

 # Quelle Ziel Dienst NAT Aktion Aktiv
Dragndrop.png 4 Vpn-network.svg internal-network Interface.svg internal-interface Service-group.svg DNS Accept Ein



Flags

Flag Bedeutung Zoneneinstellungen UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6 Zoneneinstellungen Zoneneinstellungen.pngZoneneinstellungen
Kein Flag Es handelt sich um die Zone eines Netzwerks.
Interface Es handelt sich um die Zone zu einer UTM-Schnittstelle. Diese wird in der Regel genutzt, um die Dienste, die die UTM anbietet (Nameserver, Proxy), erreichbar zu machen.
Policy_IPSec Es handelt sich um die Zone eines IPSec-VPN Netzwerkes.
PPP_VPN Es handelt sich um die Zone in der sich PPTP- oder L2TP-VPN Clients befinden.

IPv6

  • Ab Version 12.4 werden keine extra Zonen mehr für IPv6 benötigt.
    Es wird bereits anhand der Art der IP festgelegt, ob die Regel nach iptables oder ip6tables geschrieben werden muss.

    Bei Neuinstallationen werden keine IPv6 Zonen mehr angelegt.
    Existierende Zonen bleiben beim Firmware-Upgrade oder Import einer Konfiguration bestehen.

    • Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/NET/Zoneneinstellungen&oldid=88836