Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 38 subscribers
  • Views 6820 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ kann auf interne Zone zugreifen - wie kann ich dies blockieren?

relume
Hallo

Ich bin neu mit UTM 9.3 "unterwegs", habe aber einige Erfahrungen mit anderen Firewalls/UTMs/Router. Bei der UTM 9.3 von Sophos habe ich aber bei dem korrekten Einrichten der DMZ trotzdem ein Problem - von der DMZ mit privaten IP-Netz an einem eigenen Interface kann auf die interne Zone (ebenfalls mit eigenem Interface) zugegriffen werden. Das möchte ich aber aus verständlichen Gründen blockieren. Meine bisherige Konfiguration ist eigentlich sehr einfach:

public-Zone mit öffentlichem 29-Netz : 212.X.X.240/29
interne-Zone mit privat 24-Netz : 192.168.1.0/24
dmz-Zone mit privat 24-Netz :  192.168.2.0/24

Für die interne-Zone habe ich ein NAT-Masquerading-Rule angelegt:
- interne-Zone > public-Zone

Für die dmz-Zone habe ich für die beiden in der dmz-Zone befindlichen Server je eine DNAT- und eine SNAT-Rule eingefügt:
- DNAT : Any > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10
- SNAT : 192.168.2.10 > Any > Any : Sourc-Tras 212.X.X.243
...
Für alle DNAT- und SNAT-Rules habe ich jeweils die Option "Autmatic Firewall rule" aktiviert.

Bei den Firewall-Rules habe ich nur eine Rule eingetragen, damit das Internet funktioniert:
- interne-Zone > Any > Any : allow

Dann habe ich eine zweite Firewall-Rule an oberster Stelle eingesetzt um den Zugriff von der dmz- zur internen-Zone zu unterbinden.

- dmz > Any > Any : drop

Obwohl ich diese Rule gesetzt habe, kann ich weiter hin von der DMZ- Zone auf die Interne-Zone zugreifen. Wie ich gesehen habe befinden sich alle Automatischen Firewall-Rules die von den DNAT- und SNAT-Rules erzeugt haben vor meinen eigenen manuell erfassten. Es gibt keine Möglichkeit die drop-Rule an die Spitze zusetzen. Gleichzeitig beziehen sich aber die DNAT- und SNAT-Rules auf die Verbindung in Richtung public-Zone. Vom der Internen-Zone sollte ich auf die Server in der DMZ über deren public IPs zugreifen, damit die DNS-Auflösung auch korrekt ist.

Was ist zu beachten, damit die Netzwerk-zonen von einander getrennt werden können?

Es sind keine weiteren Dienst wie z.B. WebServer-Protection, Proxies etc. aktiviert.

Vielen Dank im Voraus!


This thread was automatically locked due to age.
  • 0
    ANY heißt nun mal ANY. Wenn es also eine NAT mit automatischen PFL Regeln gibt und Systemsrules vor Autorules vor Userules gelten, klingt es plausible.

    Mit welchen Firewalls/UTM/Router hast Du denn vorher schon Erfahrungen?
  • 0
    Hallo

    Vielen Dank für Deine Antwort. Wenn ich Deine Antwort richtig verstehe, dann wäre wohl die Lösung, dass ich die Automatic Firewall Rules für SNAT/DNAT manuell einfüge und entsprechend dann in der Rules-Listeabfolge "korrekt" setzen kann?

    Etwas überrascht bin doch etwas ... denn ich war es bisher gewohnt, dass der Traffic zwischen Netzwerk-Zonen immer explizit manuell geöffnet/zugelassen werden musste.

    Zu Deiner Frage: Endian, Cisco, Ubnt EdgeRouter, Zyxel, Linux Eigenbau

    beste Grüsse
  • 0 in reply to relume
    Hallo relume

    K.N. hat das bereits richtig erwähnt - es gibt Firewalls mit Zonenkonzept (so wie Checkpoint, Fortinet etc.), und solche wie die Sophos UTM, eben ohne Zonenkonzept. Beide Systeme haben ihre Vor-, und Nachteile. Der UTM Ansatz ist eben ein bisschen wie ein Gokart ohne Überrollbügel - man kann coole Dinge damit machen wie einfache Rules erstellen um aus einem Netz in verschiedene andere Netze (Zonen)  zu kommen, andererseits ist die Nutzung vom "ANY" Objekt als Source, und insbesondere als Destination mit Vorsicht zu geniessen.

    deshalb gibts in der UTM das "ANY" Objekt (0.0.0.0/0.0.0.0), was jeder IP in JEDEM von der UTM erreichbaren Netz bedeutet, und ein "Internet" Objekt (0.0.0.0/0.0.0.0 and die Uplink Interface Gruppe gebunden), was jede IP Adresse die via Uplink Interfaces erreichbar sein sollten bedeutet.

    Mit Proxies, speziell dem Web Proxy, gibts dasselbe Thema. Grundsätzlich kann durch den Proxy jedes Netz - sowohl Internet wie auch interne Netze - erreicht werden. Hat den Vorteil, dass man auch zwischen Intranets den HTTP und HTTPS Verkehr scannen kann wenn man will. Nachteil: Ohne spezielle Regel ist das Intranet dann allerdings auch aus einem Gästenetz erreichbar, falls dort ebenfalls der Web Proxy genutzt wird.

    Um das zu umgehen wenn der Proxy im Gästenetz im Transparent Modus läuft, einfach in der "Transparent Destination Skiplist" die internen Netze (oder noch einfachern einfacher die 3 RFC1918 Private Network Ranges) eintragen, und das Häckchen "Allow traffic for skipped networks" rausnehmen, sonst setzt die UTM für den Proxy Skip stattdessen einfach eine Firewallregel dafür, womit wir wieder gleich weit wären ;o)

    /Sascha
  • 0
    Hallo Sascha

    Vielen Dank für Deine ausführliche Erläuterungen. Soweit glaube ich das "Konzept" der sophos UTM 9 verstanden zu haben.

    Ich habe nun die SNAT-Rule für den einen Server im DMZ-Netz so geändert, dass "Going To" nun anstelle vom "Any" auf das "Internet IPv4"-Objekt lautet: 

    - DNAT : Any > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10
    - SNAT : 192.168.2.10 > Any > "Internet IPv4 : Sourc-Tras 212.X.X.243

    Der gewünschte Effekt, dass der Server sowohl mit seiner lokalen DMZ-IP (192.168.2.10) aber auch mit seiner publik IP (212.X.X.243) ansprechbar ist, gleichzeitig aber vom Server aus keine Verbindung in das interne Netz (192.168.1.0/24) aufgebaut werden können, ist so erfüllt. Als Einschränkung zu dieser Aussage ist dieser Server leider nun aber aus dem DMZ heraus - also vom zweiten Server 192.168.2.11 im DMZ-Netz - über seine public IP (212.X.X.243) nicht mehr ansprechbar. Es fehlt also nun so etwas wie eine korrekten Zurück-Umsetzung von der DMZ über die public IP in die DMZ.

    Das kann ich nur mit einer zusätzlichen SNAT-Rule erreichen:

    - SNAT : 192.168.2.10 > Any > "DMZ-Zone:net" : Sourc-Tras 212.X.X.243

    Insgesamt habe ich dann pro Server in der DMZ drei NAT-Rules:

    - DNAT : Any > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10
    - SNAT : 192.168.2.10 > Any > "DMZ-Zone:net" : Sourc-Tras 212.X.X.243
    - SNAT : 192.168.2.10 > Any > "Internet IPv4 : Sourc-Tras 212.X.X.243


    Mir scheint das etwas kompliziert - ist das aber tatsächlich korrekt?

    Vielen Dank und beste Grüsse
  • 0
    (Sorry, my German-speaking brain again won't create thoughts. [:(])

    First, since your DNAT cannot be used by any internal IP, it would be clearer to have traffic coming from "Internet IPv4" instead of using the "Any" object.

    Next, if you need an SNAT to communicate with an internal device, there might be a problem related to #3 in Rulz.

    I think you may be looking for a KnowledgeBase article: Accessing Internal or DMZ Webserver from Internal Network.

    MfG - Bob (Bitte auf Deutsch weiterhin.)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hallo Bob

    Vielen Dank für Deine Hinweise. 

    Wenn ich für die DNAT-Rule anstelle des "Any"-Objektes das "Internet IPv4"-Objekt wähle dann haben ich aus dem lokalen-Netzwerk keinen Zugriff mehr auf den Server in der DMZ, sondern es meldet sich die UTM selbst auf der öffentlich IP die eigentlich dem Server in der DMZ zu geordnet ist:

    - DNAT : Any > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10 | es meldet sich der Server mit internal IP 192.168.2.10

    hingegen 

    - DNAT : Internet IPv4 > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10 | es meldet sich die UTM 9 auf der Adresse 212.X.X.243

    Der erwähnte KnowledgeBase Artikel "Article ID: 115191 : Accessing Internal or DMZ Webserver ..." hatte ich so ziemlich als erstes ausprobiert (Konfigurationsbeispiel : "If the UTM is not used as a DNS forwarder" : auch in der richtigen Reihenfolge - also vor der entsprechenden DNAT-Rule, aber leider ohne Erfolg.

    Es ist etwas schade, dass es in den KnowledgeBase kein schlüssiger Artikel zu finden ist, in dem eine Beispiel Setup für eine DMZ mit dem Mapping von public IPs in die DMZ erläutert wird. Ich würde dies allenfalls gerne beitragen, allerdings macht das nur Sinn, wenn ich sicher sein kann, dass mein DMZ-Setup auch korrekt ist.
     
    Mit besten Grüssen und vielen Dank für die bisherigen Hinweise, relume
  • 0
    Warum nimmst du keine 2te Regel für das interne Netz?
  • 0
    Vereinfachung im Sinne von Zusammenfassung kann immer nur erfolgreich sein, wenn damit keine Negierung erforderlich wird. Hierbei gibt es keinen Unterschied zwischen Checkpoint, ZyXEL, Endian und Sophos. Daher sollte erstmal jeder Netzbereich über separate Regeln reglementiert werden, also auch beim NAT, wie hier im DNAT.

    Wenn Du aus dem internen Netz die DMZ über die Public-IP erreichen musst, obwohl die DMZ private IP Adressen verwendet, dann kommst Du im PFL nicht um SNAT rum, weil die antworten sonst immer an die privaten Adressen des LANs gesendet werden, die gem. routing und stateful über die UTM erreichbar sind.

    Öffentliche Adressen in der DMZ zu nutzen, macht das Ganze nur bedingt einfacher, hat aber seinen Charme ...
  • 0
    Hallo

    Vielen Dank für alle Eure Hinweise. Bin etwas verwirrt [8-)] ... und viellicht hatte ich mein intendiertes Setup auch nicht ganz verständlich kommunziert. Nachbei meine Skizze:
  • 0 in reply to relume
    Hi,

    wenn extern von außen
    DNAT : Internet IPv4 > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10

    es fehlt noch Zugriff von innen

    DNAT : InternesNetz > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10

    da die internen IP der UTM bekannt sind, wird nie das interne Netz als Internet ankommen
Unfiltered HTML