Inter-Zone Datenverkehr ORANGE-GRÜN Ports ungwollt offen

PhobosX · August 12, 2014 at 8:39 AM

Hallo Community,
ich habe eine Verständnisfrage zur Endian UTM Mini, speziell dem Inter-Zone Datenverkehr.

Wir haben einen Terminalserver, welcher in der DMZ (ORANGE) steht.

Das interne LAN (GRÜN) erreicht die DMZ. Von der DMZ soll das interne LAN (GRÜN) nicht erreichbar sein (nur ausgewählte Ports/Dienste).

Soweit so gut.

In der Endian ist beim "Inter-Zone Datenverkehr" von GREEN>ORANGE alles offen, von ORANGE>GREEN hingegen nur ein Port (5769)

Vom Terminalserver erreicht man nun auch keine Server/Clients/etc. im LAN. Das passt soweit.

Nun sind an der Endian unter Netzwerk-Schnittstellen an LAN3+LAN4 jeweils FritzBox-Router dran (Main-WAN & WAN-Backup).

Und BEIDE FritzBoxen sind aus der DMZ erreichbar. Das verstehe ich nicht und ich konnte in den Port-Regeln, etc. auch nichts finden, was Zugriff auf die Boxen erteilt.

Ich hoffe mir kann jemand helfen und einen Tipp geben, woran es liegt.

Danke und Grüße!

PhobosX · August 15, 2014 at 11:26 AM

Hat niemand einen Tipp?

VG

Sabine · August 18, 2014 at 8:10 PM Official Post

Hallo,

Mach mal eine Regel unter Firewall \ Ausgehender Datenverkehr \ von Orange nach Rot alles verbieten . . . . dann geht auch nichts mehr raus . . 8-)

Gruß Sabine

PhobosX · August 19, 2014 at 8:36 AM

Tatsache, das klappt.

Aber dann verstehe ich den Sinn nicht. Warum betrifft das den ausgehenden Datenverkehr und nicht den Interzonenverkehr?

Vielen Dank und liebe Grüße!

Sabine · August 19, 2014 at 9:03 AM Official Post

Moin,

unter Firewall \ Ausgehender Datenverkehr \ mache ich alle Regeln . . . unter Inter-Zone Datenverkehr habe ich alle regeln deaktiviert . . .

Was sich Endian mit den Inter-Zone Datenverkehr Regel gedacht hat erschließt sich mir auch nicht . . das kenne ich von keiner Firewall . . wenn man ZB. Alle von Grün nach Grün verbietet , können sich trotzdem die Rechner im grünen Netz unterhalten . . die hängen ja an einem Switch und darüber läuft der Datenverkehr dann munter weiter . .

Gruß Sabine

PhobosX · August 19, 2014 at 9:39 AM

Danke für deine Bestätigung!

Demnach funktioniert die Interzonen-Regelung schlicht nicht (was ich ja mit meinem Thread auch feststellen musste).

Das ist erstens recht ärgerlich und zweitens gefährlich für die IT Sicherheit :roll:

Aber danke dass du mir so gut weitergeholfen hast. Ich glaube ich wäre das fast zuletzt drauf gekommen, den ausgehenden Datenverkehr "zu regeln" um damit den internen Verkehr zwischen den Zones zu regeln

LG!

Sabine · August 19, 2014 at 12:26 PM Official Post

Quote

Das ist erstens recht ärgerlich und zweitens gefährlich für die IT Sicherheit

Naja . . . normalerweise macht man nur Regeln für die Weiterleitung und unter Firewall Regeln . . ist halt Endian . .

PhobosX · August 26, 2014 at 11:11 AM

Ich habe das nun ja so gemacht, dass ich von Orange -> Rot alles verboten habe.

Nun ist das ja gut so, aber der Server soll von der DMZ aus ins Internet über Port 80 mit dem WSUS kommunzieren.

Wie stelle ich das nun am besten an?

Danke und VG!

Sabine · August 26, 2014 at 2:12 PM Official Post

Du machst „ über „ der alles verboten Regel eine neue Regel das Orange nach Rot über Port 80 raus darf . . . fertig . . 8-)

Also so:

Regel 10 : Orange darf auf Port 80 raus . .

Regel 11 : Orange alles verbieten.

Gruß Sabine

PhobosX · August 26, 2014 at 2:18 PM

Hatte ich bereits versucht...oder habe ich explizit von Orange auf die IP Adresse der FB (als Beispielt) den Zugriff verboten...macht sie alles nicht.

Auch wenn ich eine Regel aktiviere bzw. deaktiviere dauert es lange bis die Änderung aktiv ist oder sogar gar nicht.

Ich denke es muss dringend eine neue FW her :roll:

Und kannst du bitte "Darf raus" in Endian-Sprache definieren!?

Sabine · August 26, 2014 at 2:24 PM Official Post

Sollt so Funktionieren . . habe da auch so mehrfach laufen . . . allerdings haben die Server eine feste IP . . . und die Regel mache ich von der IP auf Rot . .

Gruß Sabine

Sabine · August 26, 2014 at 2:32 PM Official Post

Habe mal nachgeschaut . . . geht auch mit Orange nach Rot . .

PhobosX · August 28, 2014 at 9:11 AM

Das sollte ja dann so aussehen, richtig?! (siehe Bilder)

Das hat genau den gegenteiligen Effekt: Der DMZ Server (hat übrigens die feste IP 192.168.101.2) darf nun auf die FB aus den LAN GREEN zugreifen, aber nicht ins Internet.

Es soll aber genau anders herum sein :mrgreen:

Sabine · August 28, 2014 at 10:48 AM Official Post

Mit der Regel darf der Server aus der DMZ ins Internet . . . ich dachte das soll er ?

Oder willst du von Grün nach Orange ?

Dann Regel von Grün / Port 80 / auf IP in die DMZ

PhobosX · August 28, 2014 at 10:55 AM

Quote from "Sabine"

Mit der Regel darf der Server aus der DMZ ins Internet . . . ich dachte das soll er ?

Genau das soll er. Aber es funktioniert nicht. Es ist genau anders herum...der Server darf aus der DMZ ins LAN (GREEN) aber nicht ins Internet.

Die Regeln funktionieren einfach nicht wie sie sollen :roll:

Sabine · August 28, 2014 at 2:08 PM Official Post

Deaktiviere mal alle Regel unter „ Inter-Zone Datenverkehr „ . . . vielleicht beißt sich da was . :?

PhobosX · August 29, 2014 at 8:52 AM

Es ist zum Mäuse melken.

Ich habe alle Regeln "Inter-Zone Datenverkehr" deaktiviert. Nun sind nur noch die Regeln wie auf dem Screenshot zu sehen aktiv.

Nun funktioniert kein WSUS, dafür aber normales Browsen und der Zugriff aus der DMZ auf LAN (auf die beiden Fritzboxen) funktioniert nach wie vor.

Was läuft da bei der Endian schief?!?

Sabine · August 29, 2014 at 9:13 AM Official Post

Moin,
Regel NR. 12 mit DMZ auf DNS kann schon mal nicht Funktionieren ! ! !

Regel NR. 13 kann auch nicht gehen !

Da hast ja oben alles mit Regel NR. 2 verboten ! :?

Dadurch das DNS nicht geht ( weil ja oben alles schon verboten ist ) kann der WSUS auch keine Adressen im Internet auflösen ! ! ! :shock:

Orange würde ich alle nach unten schieben !

Regel NR. 2 kommt an die letzte Stelle !

Gruß Sabine

PhobosX · August 29, 2014 at 9:23 AM

Also bis auf Regel 1+2 sowie 16+17 sind das die Endian Standard-Regeln.

Ich habe nun bei Regel 1 noch Port 443 hinzugefügt und WSUS geht wieder.

Soweit so gut.

Regel 2 hast du mir ja so empfohlen.

Quote from "Sabine"

Du machst „ über „ der alles verboten Regel eine neue Regel das Orange nach Rot über Port 80 raus darf . . . fertig . . 8-)

Also so:

Regel 10 : Orange darf auf Port 80 raus . .

Regel 11 : Orange alles verbieten.

Gruß Sabine

Ich schiebe nun 1+2 auf die letzten beiden Plätze und teste es eben.

Im Grunde muss ich jetzt nur noch realisieren, dass man aus Orange nicht (per Port 80) auf Green zugreifen kann.

VG

PS: DNS aus Orange hat auch so funktioniert!

EDIT: Brachte keine Besserung. Aus der DMZ sind die beiden Fritzboxen nach wie vor erreichbar.

PhobosX · August 29, 2014 at 11:21 AM

Also ich komme der Sache langsam näher.

Kann es sein, dass man das was ich möchte (nämlich dass der Terminalserver in der DMZ über Port 80+443 nach draußen darf, nicht aber ins LAN) so gar nicht realisieren kann?

Denn: Die Pakete von Orange gehen alle an RED (egal ob ich die HTTP Anfrage ans LAN/GREEN oder WAN/RED) und nicht an GREEN.

Im Browser rufe ich http://www.heise.de auf. Also geht "ORANGE" an "Port 80 RED". Das gleich passiert aber auch wenn ich die Fritzbox im LAN/GREEN aufrufe. Dann geht "ORANGE" an "Port 80 RED".

Es müsste aber "ORANGE" an "Port 80 GREEN" gehen.

Da ist doch ein Fehler...

Was meinst du?

Wenn ich nämlich einen Telnet 1433 auf eine IP Adresse in LAN/GREEN aufbaue wird das auch korrekt als "ORANGE" an "Port 1433 GREEN" angezeigt.

VG