Firewall Konfigurationsoptimierung für RRAS VPN

Mitglied: SABL98

SABL98 (Level 1) - Jetzt verbinden

03.03.2021 um 11:44 Uhr, 492 Aufrufe, 5 Kommentare, 3 Danke

Guten Tag zusammen

Nur kurz vorab: Mir geht es hier nicht darum, eine vorgeschriebene Lösung zu bekommen, sondern um Tipps, Anregungen, wie ich alles besser machen kann. Momentan bin ich mitten in meiner Ausbildung und habe folgendes Projekt am laufen:

Ich werde eine VPN Lösung mittels Microsoft RRAS realisieren, wobei ich RADIUS Netzwerkrichtlinien erstellt habe, zudem eine 2-Fach-Authentifizierung über DUO Mobile geschehen wird.(Authentifizierung über Handynummer mittels Push-Bestätigung).

Die Architektur sieht folgendermassen aus:

Ich habe eine DMZ in der der RRAS-VPN-Server steht. Darauf läuft logischerweise der RRAS-Service selber, wie auch der DUO Mobile Authentifizierungsproxy Service (Dieser baut dann die Verbindung zur DUO Cloud auf, welcher die Push Benachrichtigung rausschickt).

Im LAN ist die Produktive Umgebung. Hier bekommt der VPN-Client eine IP-Addresse zugeteilt. Hier stehen auch alle Server wie DC, Fileserver, Terminalserver und ein weiterer Radius Server, welcher die Netzwerkrichtlinien überprüft.

Nun zur aktuellen Firewallkonfiguration:

Von WAN zur DMZ bestehen aktuell folgende Access Rules:

- L2TP
- IPSEC(ESP) (Wird von L2TP benötigt)
- IKE (Für Schlüsselübertragung bei IPSEC)
- HTTP/S (Für SSTP VPN Verbindung)

Von DMZ zu LAN bestehen aktuell folgende Access Rules:

-Eigentlich gar keine, da ich vom VPN Server aus ins LAN Subnetz alles offen habe, also any any (ich weiss, deshalb bin ich hier...)

Nach draussen, also von LAN oder DMZ ins WAN, habe ich alles offen gelassen.


- Alles funktioniert so, der VPN Client kann sich ins LAN einwählen nachdem der DUO Mobile Push bestätigt wurde. Der VPN Client kann auch ins Internet. Das Ziel wäre nun natürlich die Ports einzuschränken. Und was wäre dann schöner für den "raus-weg"? Sollten die Ports dort auch eingeschränkt werden, oder wendet man das Default-Deny Konzept vor allem für den "rein-weg" an, wenn man in ein Netzwerk kommt?


Nun habe ich mir folgende Überlegungen gemacht, die Firewall "korrekter" zu konfigurieren und zwar folgendermassen:

Von WAN zur DMZ und Rückweg mit folgenden Access Rules:
- L2TP
- IPSEC(ESP) (Wird von L2TP benötigt)
- IKE (Für Schlüsselübertragung bei IPSEC)
- HTTP/S (Für SSTP VPN Verbindung)
- NTP (Für saubere Zeitsynchronisation)
- DNS (Für VPN Clients, Zugriff Internet)

Frage: Wieso kann ich trotzdem RDP machen auf den Terminalserver im LAN machen, ohne dass ich diesen Port freischalten muss?

Von DMZ ins LAN und Rückweg mit folgenden Access Rules:
- LDAP (NPS Authentifizierung und DUO Authentifizierung)
- Kerberos (Bin mir nicht sicher, aber wenn schon LDAP läuft)
- Radius (zwei Radius Server, somit logischerweise wird der Authentifizierungsport benötigt)
- UDP High Ports (Destination Ports bei Radius Source Port, wenn zwischen den Zonen die Authentifizierung übertargen wird)
- DNS (Namensauflösung; Internetzugriff)
- NTP (Saubere Zeitsynch.)
- HTTP/S (Internetzugriff)



So das wäre so meine Idee, wie ich das Umsetzen würde. Ich würde mich über Verbesserungsvorschläge, Tipps, Anregung/Bemerkungen freuen und natürlich dürft Ihr mich auch besser belehren, freue mich nur über ein Feedback!!

Ganz liebe Grüsse und viel Kraft während dieser Corona Zeit
Sara
Mitglied: aqui
03.03.2021, aktualisiert um 12:45 Uhr
- IPSEC(ESP) (Wird von L2TP benötigt)
Nicht nur das sondern bei L2TP auch noch
  • UDP 500 (IKE)
  • UDP 4500 (NAT Traversal)
  • UDP 1701 L2TP Handshaking
Siehe dazu auch HIER.
Ansonsten soweit alles ok. Grobe Schnitzer gibts nicht.
Bitte warten ..
Mitglied: Dani
03.03.2021 um 12:39 Uhr
Moin Sara,
Ich werde eine VPN Lösung mittels Microsoft RRAS realisieren,
welche Lösung genau (IPSEC bzw. L2TP, Direct Access oder Always Vpn On? Alle drei parallel auf einem Server zu realisieren ist technisch nämlich nicht machbar. Das liegt an den Technologien bzw. den Voraussetzungen der jeweiligen Methoden. Ich würde mich ausschließlich auf Always Vpn On konztieren. Damit ist nahe zu sichergestellt, dass die VPN Verbindung an jedem WLAN Hotspot funktionieren wird. Denn der Port 443/tcp ist selten blockiert.

Frage: Wieso kann ich trotzdem RDP machen auf den Terminalserver im LAN machen, ohne dass ich diesen Port freischalten muss?
Kann es sein, dass für den Zugriff auf de RDS Hosts ein RD Gateway zum EInsatz kommt? Somit wird der Datenverkehr nicht über 3389 tcp/udp sodnern über 443/tcp abgewickelt. Das widerrum erlaubt dein Regelwerk.

- Kerberos (Bin mir nicht sicher, aber wenn schon LDAP läuft)
Aus welchem Grund? Kerberkos nutzt erstmal Port 88/udp. LDAP läuft über Port 389/tcp bzw. hoffentlich bald über 636/tcp.

- UDP High Ports (Destination Ports bei Radius Source Port, wenn zwischen den Zonen die Authentifizierung übertargen wird)
Macht aus meiner Sicht ebenfalls keinen Sinn. Radius läuft standardmäßig über Port 1812/tcp und 1813/tcp - je nach Konfiguration. Ich habe auch nochmals bei uns in der Doku nachgeschaut und wir haben keinen anderen Port für RADIUS von DMZx ins LANx offen.

- LDAP (NPS Authentifizierung und DUO Authentifizierung)
Hmm, NPS läuft eigentlich wie oben geschrieben über Port 1812/tcp und 1813/tcp.

- NTP (Saubere Zeitsynch.)
Mach für mich ebenfalls keinen Sinn. Fallsd du eine Zeitquelle vom Typ Stratum 1 im LAN hast, so gehört diese aus meiner Sicht in die DMZ. Wenn du NTP Server aus dem Internet nutzt, würde ich dazu tendieren, dass das LAN die Uhrzeit direkt von der Quelle im Internet abholt.

- DNS (Namensauflösung; Internetzugriff)
Grundsätzlich gilt das Gleiche wie ich bei NTP ausgeführt habe. Warum muss der DNS Zugriff aus der DMZ ins LAN möglich sein?
Eigentlich ist der Weg für DNS Forwarding genau anders herum, sprich LAN -> DMZ -> Internet. Meist stehen Filtersysteme Pi-Hole oder AdGuard in der DMZ.


Gruß,
Dani
Bitte warten ..
Mitglied: SABL98
03.03.2021 um 12:44 Uhr
Salut Dani

Danke dir für deinen Beitrag. werde mir das alles noch einmal anschauen!

Gruss
Sara
Bitte warten ..
Mitglied: SABL98
03.03.2021 um 12:45 Uhr
Danke dir für deine Erklärung!

Gruss
Sara
Bitte warten ..
Mitglied: aqui
03.03.2021, aktualisiert um 12:59 Uhr
Grundsätzlich gilt das Gleiche wie ich bei NTP ausgeführt habe.
NTP und DNS müssen (und sollten) auch nicht vom WAN in die DMZ geöffnet sein. Für die VPN Clients so oder so schon gar nicht. Deren DNS oder NTP Requests kommen, wenn überhaupt, ja immer verschlüsselt im IPsec Tunnel so das die Firewall diese gar nicht "sieht" und folglich diese Ports auch nicht offen haben muss. Von den Clients sieht sie ja nur IPsec ESP Traffic sonst nix. Von außen muss keiner auf DMZ oder LAN irgendwelche DNS oder NTP Requests machen, folglich haben diese Ports da auch nichts zu suchen.
Von intern gehen NTP oder DNS Requests immer weil die FW ja stateful arbeitet. Wenn, dann sollte man nur die DNS Requests von intern auf den lokalen DNS bzw. dessen Host IP im Regelwerk setzen so das nur der lokale DNS Server nach draussen DNS Requests macht und keiner der Clients um z.B. mit externen DNS den lokalen zu umgehen. Sinnvoll wenn auf dem lokalen DNS Server ein Malware Filtering läuft wie z.B. beim PiHole Konzept.
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 19 StundenTippErkennung und -Abwehr4 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
anteNopeVor 15 StundenFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...

Drucker und Scanner
Epson WF-6590 druckt nur cyan und gelb
gelöst ITCrowdSupporterVor 1 TagFrageDrucker und Scanner15 Kommentare

Guten Tag :-) Es geht um einen Epson Workforce Pro WF-6590. Er druckt nur cyan und gelb obwohl neue Originalpatronen für schwarz und magenta ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...