Einsteiger Frage

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
marcoK
Beiträge: 4
Registriert: Do 05.12.2019, 20:39

Einsteiger Frage

Beitrag von marcoK »

Hallo in die Runde. Ich beschäftige mich gerade mit der Black Dwarf und ersten Gehversuchen damit. Ich hänge aktuell aber ein bisschen an der Umsetzung.

Folgendes Szenario möchte ich für den Anfang umsetzen:

- 3 Client Rechner die mit Netzwerkkabel angebunden sind sollen Zugriff auf das Internet erhalten.
- 1 WLAN Access Point für mobile Endgeräte wie Smartphone / Notebooks wobei hier interne aber auch Gäste bedient werden sollen

Den Zugriff auf das Internet habe ich aktuell so geregelt, dass ich 4 Regeln angelegt habe:
** DEFAULT**
1. internal network --> interntet --> http allow
2. internal network --> internet --> https allow
3. internal network --> internet --> domain tcp
4. internal network --> internet --> domain udp

Nun kann somit jedes Gerät auf das Internet für http und https Anfragen zugreifen.
Mehr ist folglich ja erst einmal nicht erlaubt.

Nun habe ich mir das so gedacht, dass ich die drei mit Lan verbundenen Kabel über eine Gruppe (Clients) mit eigenen Regeln ausstatte die vor der Default-Gruppe/Regeln angeordnet sind.
Auf diesen Clients richte ich den Proxy über die Systemsteuerung ein. Damit sind diese drei Geräte doch ideal geschützt?
** Clients **
1. clients(gruppe) --> internal interface --> proxy


Was wollte ich damit erreichen?

1. sollen auch Gäste mittels Handy auf das Internet per WLAN zugreifen können. Das ist ja dann der Fall, wenn die 1. Regel für die Clients nicht greift.
    Ist das so ein gängiges Verfahren? Wie würdet ihr das machen? Das Gäste somit Zugriff auf das lokale Netz erhalten ist völlig klar aber für diesen Test i.O. (Simulation!)

2. durch den Proxy bei den LAN verbundenen 3 PCs laufen diese nun vollwertig über die Filter etc. der Firewall richtig?


Weitere Fragen:

Könnte man den noch freien LAN3 für DMZ als Gast-LAN konfigurieren, so dass hier der AccessPoint hängt. Ich hatte das versucht bekomme aber keinen Zugriff mit einem Gerät auf das Internet. Regeln habe ich wie oben erzeugt:
** DEFAULT**
1. dmz network --> interntet --> http allow
2. dmz network --> internet --> https allow
3. dmz network --> internet --> domain tcp
4. dmz network --> internet --> domain udp

Warum geht das nicht?
Weiter komme ich, obwohl es keine Regel im dafür im interal network gibt ohne Probleme auf den Login mittels Browser vom AccessPoint der ja eigentlich am dmz Netzwerk hängt? Ist das so default oder gewollt?


Sorry für die vielen Fragen aber ich hänge hier wirklich etwas von der Umsetzung her fest.
Danke für eure Hilfe.

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

generell würde ich es nicht empfehlen ein Gastnetz mit dem lokalen Netz zu koppeln. Bei allen Regeln in das Internet muss ein HideNat auf das external-interface noch gesetzt werden. Ohne das HiedeNat werden die Pakete mit der Privaten IP versendet. Was ggf. auch die DMZ evtl. betrifft. 

Zu dem ersten. Wenn die Clients die Firewall als Proxy verwenden dann ja. Aber durch die Regeln kann man auch den Proxy entfernen und dann direkt kommunizieren.
Wenn zum Testen noch ein Gäste-WLAN über ein access point intern gesteuert wird muss drauf geachtet werden wie es genau läuft. Wenn die Clients aus dem WLAN eine IP aus dem gleichen Netz bekommt würden diese so raus kommen. Haben diese jedoch einen eigenen IP Bereich gibt es 2 Möglichkeiten.

1. Der Access Point nattet die Pakete und alles ist gut
2. Der Access Point leitet es 1:1 weiter. Dann braucht man eine Route für das Netz mit dem Gateway vom Access Point. Hinzu kommen dann noch extra Regeln mit Netzwerkobjekten. Das Netzwerkobjekt wäre ein Netzwerk mit der Zone internal und dem IP Bereich vom WLAN. Dann dazu die seperaten Regeln ins Internet mit HideNat auf das external-interface.

Zu der weiteren Frage wird es vermutlich mit HN gehen. Hier sollten Sie ggf. ins Livelog schauen ob Pakete gedroppt werden. Dann kann man genau das abschalten.


Gruß Björn
 

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo marcoK,

du kannst deine Gäste (so dein Access Point das unterstützt) natürlich auch über ein VLAN vom restlichen Netzwerk trennen (wenn du keinen weiteren physischen Anschluss verwenden möchtest).

Zu deinem Problem in der DMZ: Bekommen die Clients ihre IP über DHCP? Was wird dort als Default Gateway übergeben und was ist als DNS eingetragen?
So deine Regeln ein korrektes HideNAT beinhalten und die Zonen der Netzwerkobjekte auch korrekt sind, sollte es mit deinen Regeln funktionieren. Um das zu kontrollieren wäre es interessant zu wissen, ob und wenn ja welche Meldungen im Log zu sehen sind.

Grüße
Svenja

marcoK
Beiträge: 4
Registriert: Do 05.12.2019, 20:39

Beitrag von marcoK »

Hallo Svenja,

vielen Dank für Deine Antwort. Ich habe es jetzt so gelöst, dass ich für alle Nutzer den internen Dienst proxy angegeben habe. Bei den festen Geräten lasse ich auch alles über den proxy laufen somit sind diese gut geschützt durch die div. Filter der SecurePoint.

Alle anderen Geräte (WLAN Geräte, Smartphones) greift der transparente proxy und zumindest werden die Seitenaufrufe entsprechend der Filter geprüft und ggf. verweigert. Das reicht für diesen Anwendungsfall.

Das mit dem Aufrufen der Weboberfläche vom AccessPoint obwohl dieser in an der DMZ hängt und keinerlei Regel eingerichtet ist muss ich weiter untersuchen. Danke an dieser Stelle für den Tip vom DHCP (ja wird auch in der DMZ automatisch vergeben). Vielleicht lässt sich hier was finden. Ein anderer Test hat gezeigt, dass andere Dienste z.B. Ping von local network in die DMZ oder umgekehrt nicht ohne explizite Regel möglich sind. Daher wundert mich eben das Verhalten, dass ich aus dem local network den AccessPoint in der DMZ erreiche... Das wird sich aber sicher finden.

Gruß

Marco

marcoK
Beiträge: 4
Registriert: Do 05.12.2019, 20:39

Beitrag von marcoK »

Danke Björn für Deine Antwort.

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo marcoK,

Wenn du den transparenten Proxy verwendest, dann kannst du auch auf ein Webinterface eines Gerätes vom Netz, aus dem der Proxy verwendet wird, auf alle angeschlossenen Netze zugreifen. An dieser Stelle überspringt der Proxy quasi das Regelwerk.

Um das zu verhindern muss in den Regel vom Transparenten Proxy diese Verbindung explizit excludet werden.

Grüße
Svenja

marcoK
Beiträge: 4
Registriert: Do 05.12.2019, 20:39

Beitrag von marcoK »

Na dann wird das wohl das Problem sein, warum ich den AP im DMZ erreiche. Danke schööön ;-)

Antworten