Firewall Ruleset best practice (Ubiquiti EdgeRouter)
Hallo zusammen,
bei EdgeMax (OS des Edge Router & Fork von Vyatta) kann man für die Firewall Regelsätze (Rulesets) mit entsprechender Richtung (IN, OUT, LOCAL) der Kommunikation definieren. Ich nehme an bei anderen Systemen ist es ähnlich/gleich, jedoch habe ich bisher keine Erfahrung in die Richtung.
Nunmehr ist es soweit, dass ich meine Firewall konfigurieren muss/will. Hier stellt sich mir aber schon seit langen, auch allgemein gesehen, was „best practice“ in Bezug auf Firewall Konfiguration ist. Bisher habe ich für mich folgendes mitgenommen:
• Aliase verwenden, und nie (sofern möglich) direkt IP‘s verwenden
• Möglichst wenig Regeln definieren (additiv oder subtraktiv)
Wenn man nun von folgendem Beispiel ausgehen würde:
Dann würde ich die Regeln (Abstrakt gesehen) folgendermaßen konfigurieren:
Ruleset Netz A IN: Default Action Accept
Rule 10 - drop Netz C all new & established & related & invalid
Rule 20 - allow all new & established & related
Rule 30 - drop all invalid
Ruleset Netz B IN: Default Action Accept
Rule 10 - drop Netz C all new & established & related & invalid
Rule 20 - allow all new & established & related
Rule 30 - drop all invalid
Ruleset Netz C IN: Default Action Accept
Rule 10 - drop all invalid
Nun ergeben sich mir die Fragen
Ich freue mich auf eure Antworten!
PS: Local bedeutet bei Ubiquiti das Gerät selber, also Traffic der zu dem Gerät geht
bei EdgeMax (OS des Edge Router & Fork von Vyatta) kann man für die Firewall Regelsätze (Rulesets) mit entsprechender Richtung (IN, OUT, LOCAL) der Kommunikation definieren. Ich nehme an bei anderen Systemen ist es ähnlich/gleich, jedoch habe ich bisher keine Erfahrung in die Richtung.
Nunmehr ist es soweit, dass ich meine Firewall konfigurieren muss/will. Hier stellt sich mir aber schon seit langen, auch allgemein gesehen, was „best practice“ in Bezug auf Firewall Konfiguration ist. Bisher habe ich für mich folgendes mitgenommen:
• Aliase verwenden, und nie (sofern möglich) direkt IP‘s verwenden
• Möglichst wenig Regeln definieren (additiv oder subtraktiv)
Wenn man nun von folgendem Beispiel ausgehen würde:
- Netz A, B & C darf Internet
- Netz A darf Netz B
- Netz B darf Netz A
- Netz C darf nicht Netz A, B
- Netz A, B darf nicht Netz C
Dann würde ich die Regeln (Abstrakt gesehen) folgendermaßen konfigurieren:
Ruleset Netz A IN: Default Action Accept
Rule 10 - drop Netz C all new & established & related & invalid
Rule 20 - allow all new & established & related
Rule 30 - drop all invalid
Ruleset Netz B IN: Default Action Accept
Rule 10 - drop Netz C all new & established & related & invalid
Rule 20 - allow all new & established & related
Rule 30 - drop all invalid
Ruleset Netz C IN: Default Action Accept
Rule 10 - drop all invalid
Nun ergeben sich mir die Fragen
- Wäre die Konfiguration / Ansichten „best practices“?
- Für was würde man Outgoing Rulesets verwenden? Nur wenn die Konfiguration „weniger“ wäre oder wenn man Ausgehende Verbindungen limitieren will?
Ich freue mich auf eure Antworten!
PS: Local bedeutet bei Ubiquiti das Gerät selber, also Traffic der zu dem Gerät geht
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 593159
Url: https://administrator.de/contentid/593159
Ausgedruckt am: 14.11.2024 um 01:11 Uhr
1 Kommentar
Hallo,
also wenn ich das richtig sehe ist Dein Konzept folgendes:
- Verbieten was Du nicht willst
- sonst alles erlauben
Best-Practice aus Sicherheitserwägungen wäre andersherum:
- nur erlauben, was gestattet werden soll
- sonst alles verbieten
Diese Variante erfordert aber mehr Planung, sonst meckert jemand, der plötzlich sein Lieblingsspiel nicht mehr Updaten kann - oder so...
Grüße
lcer
also wenn ich das richtig sehe ist Dein Konzept folgendes:
- Verbieten was Du nicht willst
- sonst alles erlauben
Best-Practice aus Sicherheitserwägungen wäre andersherum:
- nur erlauben, was gestattet werden soll
- sonst alles verbieten
Diese Variante erfordert aber mehr Planung, sonst meckert jemand, der plötzlich sein Lieblingsspiel nicht mehr Updaten kann - oder so...
Grüße
lcer