8layer
Goto Top

Firewall Ruleset best practice (Ubiquiti EdgeRouter)

Hallo zusammen,

bei EdgeMax (OS des Edge Router & Fork von Vyatta) kann man für die Firewall Regelsätze (Rulesets) mit entsprechender Richtung (IN, OUT, LOCAL) der Kommunikation definieren. Ich nehme an bei anderen Systemen ist es ähnlich/gleich, jedoch habe ich bisher keine Erfahrung in die Richtung.

Nunmehr ist es soweit, dass ich meine Firewall konfigurieren muss/will. Hier stellt sich mir aber schon seit langen, auch allgemein gesehen, was „best practice“ in Bezug auf Firewall Konfiguration ist. Bisher habe ich für mich folgendes mitgenommen:
• Aliase verwenden, und nie (sofern möglich) direkt IP‘s verwenden
• Möglichst wenig Regeln definieren (additiv oder subtraktiv)

Wenn man nun von folgendem Beispiel ausgehen würde:
  • Netz A, B & C darf Internet
  • Netz A darf Netz B
  • Netz B darf Netz A
  • Netz C darf nicht Netz A, B
  • Netz A, B darf nicht Netz C

Dann würde ich die Regeln (Abstrakt gesehen) folgendermaßen konfigurieren:

Ruleset Netz A IN: Default Action Accept
Rule 10 - drop Netz C all new & established & related & invalid
Rule 20 - allow all new & established & related
Rule 30 - drop all invalid

Ruleset Netz B IN: Default Action Accept
Rule 10 - drop Netz C all new & established & related & invalid
Rule 20 - allow all new & established & related
Rule 30 - drop all invalid

Ruleset Netz C IN: Default Action Accept
Rule 10 - drop all invalid

Nun ergeben sich mir die Fragen
  • Wäre die Konfiguration / Ansichten „best practices“?
  • Für was würde man Outgoing Rulesets verwenden? Nur wenn die Konfiguration „weniger“ wäre oder wenn man Ausgehende Verbindungen limitieren will?

Ich freue mich auf eure Antworten!

PS: Local bedeutet bei Ubiquiti das Gerät selber, also Traffic der zu dem Gerät geht

Content-ID: 593159

Url: https://administrator.de/forum/firewall-ruleset-best-practice-ubiquiti-edgerouter-593159.html

Ausgedruckt am: 26.12.2024 um 01:12 Uhr

lcer00
lcer00 03.08.2020 um 10:05:26 Uhr
Goto Top
Hallo,

also wenn ich das richtig sehe ist Dein Konzept folgendes:
- Verbieten was Du nicht willst
- sonst alles erlauben

Best-Practice aus Sicherheitserwägungen wäre andersherum:
- nur erlauben, was gestattet werden soll
- sonst alles verbieten

Diese Variante erfordert aber mehr Planung, sonst meckert jemand, der plötzlich sein Lieblingsspiel nicht mehr Updaten kann - oder so...

Grüße

lcer