Securepoint Support Forum

Hallo,

ich habe gestern etwas mit der Securepoint gespielt und dabei ist mir eine Änderung aufgefallen, die ich möglicherweise nicht mitbekommen habe. Es geht darum, wie man kritische Konfigurationsänderungen durchführt, so dass man auch bei Fehlschlag nicht die Zugreifbarkeit der UTM verliert.

Erwartetes bisheriges Verhalten:

• Ich speichere die Konfiguration
• Ich ändere kritische Einstellungen A,B,C
• Ich schalte die Firewall hart aus (z. B. weil ich einen Fehler gemacht habe und die Firewall nicht mehr zugreifbar ist)
• Nach dem Hochfahren sind die zuletzt gespeicherten Einstellungen wieder geladen. Die geänderten Einstellungen A,B,C sind gelöscht.

Neues Verhalten:

• Ich speichere die Konfiguration.
• Ich ändere kritische Einstellungen A,B,C.
• Ich schalte die Firewall hart aus.
• Nach dem Hochfahren sind die geänderten Einstellungen A,B,C immer noch gesetzt.

Ist das so gewünscht und bewusst so verändert worden?

Wenn ich also jetzt potentiell gefährliche Konfigurationsänderungen vornehme, die mir ggf. den Zugriff auf die Firewall blockieren, dann muss ich vermutlich so vorgehen:

Neuer Weg für kritische Konfigurationsänderungen:

• Ich speichere die aktuelle Konfiguration "A".
• Ich erzeuge eine neue Konfiguration "B".
• Ich speichere die Konfiguration als "B".
• Die Startkonfiguration lasse ich weiterhin auf "A".
• Ich führe die kritische Veränderung durch.
• Wenn die Firewall nicht mehr zugreifbar ist, schalte ich die Firewall hart aus und das Gerät ist wieder auf Konfiguration "A".
• Wenn alles in Ordnung ist, setze ich die Startkonfiguration auf "B" und reboote ggf.

Zusatzfrage

Kann ich jetzt davon ausgehen, dass jegliche Änderung a) durch GUI-Aktionen und b) durch spcli - Befehle automatisch in der aktuellen Konfiguration gespeichert werden?

Wertung

Wenn ich das alles so richtig sehe, dann bedeutet das, dass Ihr die Gefahr, nicht gespeicherte Einstellungen zu verlieren, verhindert habt (funktioniert ab jetzt per Vorgabe automatisch) und im Gegenzug die Gefahr reingeholt habt, dass eine Firewall nicht mehr zugreifbar ist, wenn man vergisst, das Konfigurationsmanagement richtig zu handhaben (funktioniert ab jetzt per Vorgabe nicht mehr automatisch).

Das Webinterface speichert automatisch. Bei einigen Fenstern beim Schließen, oder, je nach dem was konfiguriert wird, nach dem Drücken auf "Speichern" (Bei den Netzwerkinterfaces wird erst komplett gespeichert und umgesetzt, wenn man in der Netzwerkkonfiguration unten Speichern drückt, sodass man Interfaces frei bearbeiten kann ohne raus zu fliegen)

Es gibt drei Möglichkeiten, die mir gerade einfallen:

- Über die CLI konfigurieren. Es wird erst gespeichert, wenn man den Befehl dafür absetzt
- Eine neue Konfiguration erstellen, in diese hinein speichern und weiter konfigurieren. Da diese nicht die Startkonfiguration ist, ist nach einem Neustart alles fein/ beim Alten (Wie von Ihnen beschrieben)
- Per [STRG] + [LeftALT] + [A] die erweiterten Einstellungen unter "Extras" freischalten. Dort kann man das automatische Speichern deaktivieren. Davon rate ich jedoch ab.


Was ich Ihnen auf jeden Fall anrate ist: Machen Sie die Firewall auf keinen Fall "Hart aus". Dafür gibt es so gut wie nie einen Grund, außer die Firewall ist abgestürzt. Die Firewall lässt sich bequem per Power-Taster herunter fahren oder per Klammergriff direkt an der Tastatur neu starten. Es dauert nur einen Moment. "Hart aus" kann dann nämlich auch ein "Hart raus" bedeuten: Konfiguration kaputt > Neu installieren

Die Firewall ist bei Fehlkonfigurationen direkt per Tastatur/ Monitor wieder auf die Schiene zu bringen. Über die CLI...

Mir geht es grundsätzlich darum, für den Fall, dass man sich aus der UTM aussperrt (speziell durch Bedienerfehler beim Einrichten von Firewall-Regeln), sehr einfach und zu 100% sicher wieder zur zuletzt funktionierenden Konfiguration zurückkommt und dass per Default - idealerweise ohne weitere Vorkehrungen treffen zu müssen - funktioniert.

Mario hat geschrieben: Das Webinterface speichert automatisch. Bei einigen Fenstern beim Schließen, oder, je nach dem was konfiguriert wird, nach dem Drücken auf "Speichern" (Bei den Netzwerkinterfaces wird erst komplett gespeichert und umgesetzt, wenn man in der Netzwerkkonfiguration unten Speichern drückt, sodass man Interfaces frei bearbeiten kann ohne raus zu fliegen)

Wenn ich bei den Netzwerkinterfaces speichere, wird dann persistent gespeichert oder ist dann - bei ansonsten abgeschalteter automatischer Konfigurationsspeicherung (Mit Extras, wie von Ihnen nicht empfohlen) - die Netzwerkkonfig nach dem Reboot wieder weg?

- Über die CLI konfigurieren. Es wird erst gespeichert, wenn man den Befehl dafür absetzt

Ok. Ist eine Möglichkeit. Der Aufwand alles mit CLI-Befehlen zu konfigurieren ist allerdings sehr hoch.

- Per [STRG] + [LeftALT] + [A] die erweiterten Einstellungen unter "Extras" freischalten. Dort kann man das automatische Speichern deaktivieren. Davon rate ich jedoch ab.

Danke für den Tip. Das ist sehr hilfreich. Das werde ich evtl. verwenden. Für mich ist das - wie schon beschrieben - wichtiger, dass der Fallback funktioniert, auch wenn man die Vorbereitung vergessen hat. Ein Termin abstimmen und an den entfernten Standort (Für mich ggf. mehrere Hundert Kilomenter) fahren ist im Zweifelsfall wesentlich zeitaufwändiger und teurer. (Natürlich kann man da irgendwie Remotesteuerung hinbekommen. Ist auch wieder Zusatzaufwand und kostet auch wieder Geld.)

Was ich Ihnen auf jeden Fall anrate ist: Machen Sie die Firewall auf keinen Fall "Hart aus". Dafür gibt es so gut wie nie einen Grund, außer die Firewall ist abgestürzt. Die Firewall lässt sich bequem per Power-Taster herunter fahren oder per Klammergriff direkt an der Tastatur neu starten. Es dauert nur einen Moment. "Hart aus" kann dann nämlich auch ein "Hart raus" bedeuten: Konfiguration kaputt > Neu installieren

Danke auch für den Hinweis.

Leider stehen die UTMs an Standorten, an denen nicht unbedingt Personal vor Ort ist bzw. nur Personal, dass keinen Zutritt zu den Räumlichkeiten der UTMs hat.  Deswegen würde ich da lieber unabhängig von jeglichem Personal sein wollen.

Wahrscheinlich werde ich ein kleines Script schreiben: Ein UTM-Shutdown-Timer, der die UTM in X Minuten automatisch neustartet (spcli system reboot), sofern man den Timer nicht wieder per Script stoppt. Da könnte ich noch eine Warn-Mail miteinbauen, der minütlich vor dem reboot eine Info sendet, dass man einen laufenden shutdown-timer nicht vergisst.

Idee wäre vielleicht noch ein Watchdog-Script (das nach jedem Reboot von aussen initiiert wird), dass von aussen kommende Kontroll-SSH-Logins prüft und wenn der für X Minuten/Stunden ausbleibt -> Reboot. Ist aber aufwändiger und erzeugt Störungen im Betriebsablauf, wenn das Script nicht gut genug geschrieben ist.

---

Wünschenswert wäre da ein Feature "Safe Mode" mit einem einstellbaren Timer in der GUI, der das automatisch so behandelt, dass, wenn für X-Minuten keine GUI-Interaktion in der Admin-GUI stattfindet, den Konfigurationszustand bei Starten des Safe-Modes wiederherstellt. (Und nein, ich schreibe das nicht in die Wunschbox). 

Siehe auch:
https://wiki.mikrotik.com/wiki/Manual:Console#Safe_Mode

Ohne Speichern in der Netzwerkkonfiguration > Netzwerkkonfiguration wieder weg. (Zumindest meiner Erfahrung nach) Das kann man aber auch testen, wenn man sicher gehen will. Solche Details können sich nämlich mit der Zeit ändern.

Die Frage ist nun auch: "Was sind kritische Änderungen?"

Wenn man  sicher stellt, das man von Außen Zugriff hat (Was in den meisten Fällen einfach ist > Route für das angesprochene Interface ins Internet/ Zugriff erlauben über Netzwerk >> Servereinstellungen>> Administration) sollten die meisten Fallstricke ausgeschlossen sein. Zudem wäre ein vorher angelegter Supportaccount mit Root-Rechten eine gute Idee, falls das Backend nicht mehr reagiert.

Das die UTM mehrere 100 Kilometer weit weg steht ist natürlich schwierig. Wenn man aber mehr vor hat sollte man aus meiner Sicht vor Ort sein. oder jemanden vor Ort haben, der kurz ein Knöpfchen 2 x drücken kann.

Mario hat geschrieben:Die Frage ist nun auch: "Was sind kritische Änderungen?"

Das ist halt genau der Punkt: Der Teufel ist halt ein Eichhörnchen. Man weiss nicht, was im Zweifelsfall alles dummes passieren kann. Typische katastrophale Fehler, die ich mir vorstellen kann, wären:

a) Bedienerfehler bei der Paketfilterkonfiguration, so dass der Zugriff auf die UTM komplett blockiert ist.
b) Bedienerfehler bei der Netzwerkkonfiguration, so dass die UTM netzwerktechnisch komplett vom Netz getrennt ist.

Deswegen grundsätzlich die angedachte Vorgehensweise "Safe-Mode".

Dass die UTM mehrere 100 Kilometer weit weg steht, ist natürlich schwierig. Wenn man aber mehr vor hat sollte man aus meiner Sicht vor Ort sein. oder jemanden vor Ort haben, der kurz ein Knöpfchen 2 x drücken kann.

Ersteres ist wenig wünschenswert. Letzteres ist auf jeden Fall mit Ankündigung machbar.

Vielen Dank soweit für Ihre Antworten.

Wenn ueber die Aministration externe IP-Adressen zugreifen dürfen, spielt der Portfilter nur noch in Extremsituationen eine Rolle, wenn man nicht mehr drauf kommen sollte. (DESTNAT)