Firewall Ruleset best practice (Ubiquiti EdgeRouter)

Mitglied: 8Layer

8Layer (Level 1) - Jetzt verbinden

02.08.2020, aktualisiert 20:28 Uhr, 375 Aufrufe, 1 Kommentar

Hallo zusammen,

bei EdgeMax (OS des Edge Router & Fork von Vyatta) kann man für die Firewall Regelsätze (Rulesets) mit entsprechender Richtung (IN, OUT, LOCAL) der Kommunikation definieren. Ich nehme an bei anderen Systemen ist es ähnlich/gleich, jedoch habe ich bisher keine Erfahrung in die Richtung.

Nunmehr ist es soweit, dass ich meine Firewall konfigurieren muss/will. Hier stellt sich mir aber schon seit langen, auch allgemein gesehen, was „best practice“ in Bezug auf Firewall Konfiguration ist. Bisher habe ich für mich folgendes mitgenommen:
• Aliase verwenden, und nie (sofern möglich) direkt IP‘s verwenden
• Möglichst wenig Regeln definieren (additiv oder subtraktiv)

Wenn man nun von folgendem Beispiel ausgehen würde:
  • Netz A, B & C darf Internet
  • Netz A darf Netz B
  • Netz B darf Netz A
  • Netz C darf nicht Netz A, B
  • Netz A, B darf nicht Netz C

Dann würde ich die Regeln (Abstrakt gesehen) folgendermaßen konfigurieren:

Ruleset Netz A IN: Default Action Accept
Rule 10 - drop Netz C all new & established & related & invalid
Rule 20 - allow all new & established & related
Rule 30 - drop all invalid

Ruleset Netz B IN: Default Action Accept
Rule 10 - drop Netz C all new & established & related & invalid
Rule 20 - allow all new & established & related
Rule 30 - drop all invalid

Ruleset Netz C IN: Default Action Accept
Rule 10 - drop all invalid

Nun ergeben sich mir die Fragen
  • Wäre die Konfiguration / Ansichten „best practices“?
  • Für was würde man Outgoing Rulesets verwenden? Nur wenn die Konfiguration „weniger“ wäre oder wenn man Ausgehende Verbindungen limitieren will?

Ich freue mich auf eure Antworten!

PS: Local bedeutet bei Ubiquiti das Gerät selber, also Traffic der zu dem Gerät geht
Mitglied: lcer00
03.08.2020 um 10:05 Uhr
Hallo,

also wenn ich das richtig sehe ist Dein Konzept folgendes:
- Verbieten was Du nicht willst
- sonst alles erlauben

Best-Practice aus Sicherheitserwägungen wäre andersherum:
- nur erlauben, was gestattet werden soll
- sonst alles verbieten

Diese Variante erfordert aber mehr Planung, sonst meckert jemand, der plötzlich sein Lieblingsspiel nicht mehr Updaten kann - oder so...

Grüße

lcer
Bitte warten ..
Heiß diskutierte Inhalte
Switche und Hubs
Kaufberatung (10G) Switche für Unternehmensnetzwerk
ipzipzapFrageSwitche und Hubs27 Kommentare

Moin, unsere Firma zieht um und am neu renovierten Standort muss/soll alles neu. Auf drei Etagen stehen Racks, in ...

Drucker und Scanner
Vorlage Endlospapier Nadeldrucker
Hanspeter82FrageDrucker und Scanner17 Kommentare

Hallo, hab die Aufagbe bekommen, eine Vorlage zuerstellen bzgl. Druck auf Endlos Papier über einen Nadeldrucker. Habe allerdings kein ...

Exchange Server
Primäre Mailadresse auf Kleinbuchstaben anpassen
JoergDdorfFrageExchange Server16 Kommentare

Hallo Alle, wir betreiben ein Exchange Hybrid (2016/365). Ich stehe vor dem Problem, dass ich die bestehenden primären Mailadresse ...

LAN, WAN, Wireless
2 Lan Dosen (Unterputz) miteinander Verbinden
gelöst RickHHFrageLAN, WAN, Wireless12 Kommentare

Moin zusammen, ich würde mir gerne auf dem Dachboden 2 Landosen in einen Raum Bauen. Ein Netzwerkkabel geht hoch, ...

Windows Userverwaltung
Active Directory Gruppen auslesen
gelöst MMaiwaldFrageWindows Userverwaltung12 Kommentare

Guten Abend, ich habe mir das Codeschnipsel geschnappt und möchte dieses noch erweitern. Dazu möchte ich noch die Beschreibung ...

Windows Netzwerk
Tool zum prüfen ob Gerät noch online ist
Ringi1970FrageWindows Netzwerk10 Kommentare

Hallo zusammen, ich suche nach einer Freeware, die mir bestimmte Geräte / Workstations (Windows Geräte, feste IP Adressen) prüft ...

Ähnliche Inhalte
Java
Java Deployment Ruleset
gelöst adminstFrageJava1 Kommentar

Hallo zusammen Ich habe einige URLs in der ruleset.xml hinzugefügt und anschliessend hinzugefügt. anschliessend habe ich das File signiert: ...

Firewall

Firewall "konfiguration" - best practice (Public Cloud)

KlinguFrageFirewall9 Kommentare

Grüezi, ich hätte eine "kleine" Frage und würde gerne mal eure Meinung dazu hören. Wir sind ein junges, kleines ...

LAN, WAN, Wireless

Ubiquiti Mesh

Stefan3110FrageLAN, WAN, Wireless3 Kommentare

Hallo, ich betreibe mein Wireless mit einem Ubiquiti AC-AP-LR und 2 Ubiquiti AP-Mesh. Die beiden AP-Mesh sind per Wireless ...

Firewall

Best Practice für Adobe CC hinter Proxy und Firewall

JohnDorianFrageFirewall10 Kommentare

Hallo zusammen, nach der Grundregel "nicht mehr und nicht weniger als nötig öffnen" möchte ich einen gangbaren Weg finden, ...

LAN, WAN, Wireless

Ubiquiti neues Netzwerk

Der.ITlerFrageLAN, WAN, Wireless7 Kommentare

Hallo ihr, nächstes JAhr habe ich mir vorgenommen mein Netzwerk komplett auf Ubiquiti Unifi umzustellen. Weg von D-Link und ...

Netzwerke

Werksreset von Ubiquiti

gelöst Finchen961988FrageNetzwerke2 Kommentare

Hallo Gemeinde, ich möchte eine Unifi AP LR, ein SWITCH 8 Port von ubiqutit und die kleine USG komplett ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT