bella21
Goto Top

Firewall regeln

Hallo Zusammen,

ich bin auf der Suche nach einer Firewall-Regel, die man unbedingt einstellen sollte, damit das Netzwerk einigermaßen sicher ist. Ich weiß, dass das für jedes Unternehmen individuell ist, aber es gibt immer bestimmte Regeln, die überall gleich angewendet werden, wie z.B. eine verbotene Webseite, so ne Art vom Leitfaden. Ich verwende eine Opensense auf einem Mini-PC.


Vielen Dank.

LG
Bella

Content-ID: 6729289654

Url: https://administrator.de/forum/firewall-regeln-6729289654.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

michi1983
michi1983 11.04.2023 um 14:55:01 Uhr
Goto Top
Hallo,

nein, gibt es nicht.
Jedes Unternehmen hat andere Anforderungen und somit sehen die Regeln auch alle anders aus.

Definiere was du unbedingt brauchst und blocke alles andere.

Gruß
Kristian-86Bit
Kristian-86Bit 11.04.2023 um 15:01:36 Uhr
Goto Top
Wenn ich fragen darf sprechen wir / du von einer Software o. Hardware Firewall?

Man möchte ja den Security-Menschen auch vor der Disco haben. Und nicht auf der Tanzfläche ;)
Was genau möchtest du den genau blocken? Oder einfach nur die Sicherheit in deinem Netzwerk erhöhen?

Gruß
2423392070
2423392070 11.04.2023 um 15:04:06 Uhr
Goto Top
Kommunikation zu 443 blocken;)
Kraemer
Kraemer 11.04.2023 um 15:06:10 Uhr
Goto Top
Moin,

naja eigentlich ist das Ganze recht simpel:

Du fängst mit einer "deny all"-Regel an und dann machst du die Dinge wieder auf, die du brauchst.

Gruß
orcape
orcape 11.04.2023 um 15:07:22 Uhr
Goto Top
Hi,
bei der pfSense und wohl auch bei der OPNSense ist das recht einfach zu machen, da das alles über einen GUI läuft und Du die IPtables-Rules nicht alle selbst definieren musst, wie das auf einem Linux-PC beispielsweise der Fall ist.
Grundsätzlich ist erst einmal alles geblockt.
Du definierst die wichtigsten LAN-Regeln die Du brauchst, also erst einmal alle Ports für dns, http, https, pop3, smtp, etc..
WAN-Regeln erstellst Du nur, wenn das für irgendwelche Dienste erforderlich ist, z.B. einen OpenVPN-Port oder IPSec-Ports freigeben.
Letzlich zeigen Dir die Logs, wo es klemmt.
Gruß orcape
preysa
preysa 11.04.2023 um 15:12:33 Uhr
Goto Top
Firewall Regel Nummer 1:

Firewall Regeln sollten nach dem Whitelist Prinzip erfolgen, nicht als Blacklist.

Alles weitere ist an spezifische Anwendungen oder sonstige Voraussetzungen gebunden.

Gruß
DerNussi
DerNussi 11.04.2023 um 15:22:21 Uhr
Goto Top
Kann mich da den Kollegen nur anschließen.
Lieber explizit freischalten und alles andere blocken. Ist im Nachhinein auch schwerer den Mitarbeitern zu erklären, dass sie etwas jetzt nicht mehr dürfen, als Zugriffe zu gewähren.
Bella21
Bella21 11.04.2023 um 15:41:12 Uhr
Goto Top
Ja genau, mein Ziel ist es, die Sicherheit zu erhöhen, aber leider weiß ich nicht, wofür jeder Port zuständig ist und wenn ich alles sperre, kann es passieren, dass bestimmte Anwendungen nicht funktionieren, weil ich nicht weiß, welche Anwendung auf welchen Port angewiesen ist. Außer jetzt Website und Mailserver.

vielen Dank nochmal.
Kraemer
Kraemer 11.04.2023 um 15:44:50 Uhr
Goto Top
Zitat von @Bella21:

Ja genau, mein Ziel ist es, die Sicherheit zu erhöhen, aber leider weiß ich nicht, wofür jeder Port zuständig ist und wenn ich alles sperre, kann es passieren, dass bestimmte Anwendungen nicht funktionieren, weil ich nicht weiß, welche Anwendung auf welchen Port angewiesen ist.

Tja, dann ist dein Thread hier zu Ende. Du weißt nichts und hier raten alle schlecht.
michi1983
Lösung michi1983 11.04.2023 um 15:46:00 Uhr
Goto Top
Zitat von @Bella21:

Ja genau, mein Ziel ist es, die Sicherheit zu erhöhen, aber leider weiß ich nicht, wofür jeder Port zuständig ist und wenn ich alles sperre, kann es passieren, dass bestimmte Anwendungen nicht funktionieren, weil ich nicht weiß, welche Anwendung auf welchen Port angewiesen ist. Außer jetzt Website und Mailserver.

vielen Dank nochmal.

Dann mach erst mal alles dicht außer 80 und 443 und ev. die Mailports (ev. hier auch nur SSL) und dann werden die Beschwerden schon hoch kommen wenn etwas nicht klappt. Danach heißt es die Logs analysieren und die geblockten Zugriffe den unterschiedlichen Applikationen zuzuweisen. Gleich mit in die Doku aufnehmen.
SlainteMhath
SlainteMhath 11.04.2023 um 15:46:12 Uhr
Goto Top
Moin,

... leider weiß ich nicht, wofür jeder Port zuständig ist ...
Merkst selber wo das Problem liegt, oder? face-smile

Mach einrfach den Schreitest: deny all, und dann sehen wer schreit - dann prüfen ob man evtl. den/die Port(s) aufmacht.

lg,
Slainte
Kraemer
Kraemer 11.04.2023 um 15:48:27 Uhr
Goto Top
Zitat von @michi1983:

Dann mach erst mal alles dicht außer 80 und 443 und ev. die Mailports (ev. hier auch nur SSL) ...
eine mehrdeutige Beschreibung - bei Firewalls nicht lustig...
Port 80? Was machst du da noch mit?
Doskias
Doskias 11.04.2023 um 15:50:53 Uhr
Goto Top
Moin,


Zitat von @Bella21:
Ja genau, mein Ziel ist es, die Sicherheit zu erhöhen, aber leider weiß ich nicht, wofür jeder Port zuständig ist und wenn ich alles sperre, kann es passieren, dass bestimmte Anwendungen nicht funktionieren, weil ich nicht weiß, welche Anwendung auf welchen Port angewiesen ist. Außer jetzt Website und Mailserver.
vielen Dank nochmal.

Wofür jeder Port zuständig ist kann dir keiner Sagen, da es eine ganze Reihe an nicht definierten Ports gibt. Aber das musst du im Prinzip ja auch nicht wissen. Du musst dir "nur" die Standard-Ports beibringen. Dann erstellst du die Deny-Any-Regel und die Anrufe deiner Anwender werden dir schon sagen was nicht mehr geht. Dann schaust du in die Protokolle und überlegst ob du es freigeben willst. Die Firewall sagt dir schon welchen Port sie blockiert hat.

Bevor du die Deny-Any-Regel aktivierst, kannst du natürlich auch mit einer Allow-Any-Regel im Vorfeld protokollieren wo eure Rechner so drauf zugreifen und dann im Vorfeld Regeln dazu erstellen, bevor du dich komplett mit der Deny-All-Regel isolierst.

Gruß
Doskias
orcape
orcape 11.04.2023 um 15:53:36 Uhr
Goto Top
Ja genau, mein Ziel ist es, die Sicherheit zu erhöhen, aber leider weiß ich nicht, wofür jeder Port zuständig ist
Google hilft....
wenn ich alles sperre, kann es passieren, dass bestimmte Anwendungen nicht funktionieren,
Richtig, aber eigentlich ist es genau umgekehrt bei pfSense und Co.. Wenn Du nicht explizit freigibst, geht gar nichts.
welche Anwendung auf welchen Port angewiesen ist.
Zum einen gibt es da das Internet, zum anderen sagen Dir die Log-Einträge, welche Ports geblockt werden.
Einfach eine Anwendung versuchen und wenn die nicht geht, in den Logs nachschauen und freigeben.
Bei der pfSense reicht da ein Klick in den Logs, um das zu tun.
Wenn die Anwendung dann daraufhin funktioniert, einfach die entsprechende Rule beschriften und gut is.
Dir wird hier keiner eine spezielle Firewall-Config auf dem Silbertablett servieren, Ausnahmen, wenn man in bestimmte Tutorials schaut, um z.B. einen VPN-Server zu konfigurieren. Dann gibt es nette Menschen, die einen auf die Probleme hinweisen.
Alles andere musst Du schon selbst erlernen.
Gruß orcape
aqui
aqui 11.04.2023 um 17:09:50 Uhr
Goto Top
Ich verwende eine Opensense auf einem Mini-PC.
Die OPNsense hat in ihrer Default Konfig out of the Box schon wasserdichte und sichere FW Regeln auf dem WAN Port. Da musst du dir also keine Sorgen machen.
Sieh' dir diese doch einfach an, dann weisst du wie ein wasserdichtes Regelwerk auszusehen hat. face-wink
Morpheus60
Morpheus60 11.04.2023 um 22:48:39 Uhr
Goto Top
Hallo Aqui,

bei deinem Vorwissen schlage ich dir das Buch „Der Opnsens-Praktiker“ von Markus Stubbig vor. Damit kannst du dir gute Grundlagen aufbauen.
Serie: Firewall Regeln
Firewall regeln16