Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ kann auf interne Zone zugreifen - wie kann ich dies blockieren?

Hallo

Ich bin neu mit UTM 9.3 "unterwegs", habe aber einige Erfahrungen mit anderen Firewalls/UTMs/Router. Bei der UTM 9.3 von Sophos habe ich aber bei dem korrekten Einrichten der DMZ trotzdem ein Problem - von der DMZ mit privaten IP-Netz an einem eigenen Interface kann auf die interne Zone (ebenfalls mit eigenem Interface) zugegriffen werden. Das möchte ich aber aus verständlichen Gründen blockieren. Meine bisherige Konfiguration ist eigentlich sehr einfach:

public-Zone mit öffentlichem 29-Netz : 212.X.X.240/29
interne-Zone mit privat 24-Netz : 192.168.1.0/24
dmz-Zone mit privat 24-Netz :  192.168.2.0/24

Für die interne-Zone habe ich ein NAT-Masquerading-Rule angelegt:
- interne-Zone > public-Zone

Für die dmz-Zone habe ich für die beiden in der dmz-Zone befindlichen Server je eine DNAT- und eine SNAT-Rule eingefügt:
- DNAT : Any > Any-Service > 212.X.X.243 : Dest-Tras 192.168.2.10
- SNAT : 192.168.2.10 > Any > Any : Sourc-Tras 212.X.X.243
...
Für alle DNAT- und SNAT-Rules habe ich jeweils die Option "Autmatic Firewall rule" aktiviert.

Bei den Firewall-Rules habe ich nur eine Rule eingetragen, damit das Internet funktioniert:
- interne-Zone > Any > Any : allow

Dann habe ich eine zweite Firewall-Rule an oberster Stelle eingesetzt um den Zugriff von der dmz- zur internen-Zone zu unterbinden.

- dmz > Any > Any : drop

Obwohl ich diese Rule gesetzt habe, kann ich weiter hin von der DMZ- Zone auf die Interne-Zone zugreifen. Wie ich gesehen habe befinden sich alle Automatischen Firewall-Rules die von den DNAT- und SNAT-Rules erzeugt haben vor meinen eigenen manuell erfassten. Es gibt keine Möglichkeit die drop-Rule an die Spitze zusetzen. Gleichzeitig beziehen sich aber die DNAT- und SNAT-Rules auf die Verbindung in Richtung public-Zone. Vom der Internen-Zone sollte ich auf die Server in der DMZ über deren public IPs zugreifen, damit die DNS-Auflösung auch korrekt ist.

Was ist zu beachten, damit die Netzwerk-zonen von einander getrennt werden können?

Es sind keine weiteren Dienst wie z.B. WebServer-Protection, Proxies etc. aktiviert.

Vielen Dank im Voraus!


This thread was automatically locked due to age.
Parents
  • Hallo

    Vielen Dank für Deine Antwort. Wenn ich Deine Antwort richtig verstehe, dann wäre wohl die Lösung, dass ich die Automatic Firewall Rules für SNAT/DNAT manuell einfüge und entsprechend dann in der Rules-Listeabfolge "korrekt" setzen kann?

    Etwas überrascht bin doch etwas ... denn ich war es bisher gewohnt, dass der Traffic zwischen Netzwerk-Zonen immer explizit manuell geöffnet/zugelassen werden musste.

    Zu Deiner Frage: Endian, Cisco, Ubnt EdgeRouter, Zyxel, Linux Eigenbau

    beste Grüsse
  • Hallo relume

    K.N. hat das bereits richtig erwähnt - es gibt Firewalls mit Zonenkonzept (so wie Checkpoint, Fortinet etc.), und solche wie die Sophos UTM, eben ohne Zonenkonzept. Beide Systeme haben ihre Vor-, und Nachteile. Der UTM Ansatz ist eben ein bisschen wie ein Gokart ohne Überrollbügel - man kann coole Dinge damit machen wie einfache Rules erstellen um aus einem Netz in verschiedene andere Netze (Zonen)  zu kommen, andererseits ist die Nutzung vom "ANY" Objekt als Source, und insbesondere als Destination mit Vorsicht zu geniessen.

    deshalb gibts in der UTM das "ANY" Objekt (0.0.0.0/0.0.0.0), was jeder IP in JEDEM von der UTM erreichbaren Netz bedeutet, und ein "Internet" Objekt (0.0.0.0/0.0.0.0 and die Uplink Interface Gruppe gebunden), was jede IP Adresse die via Uplink Interfaces erreichbar sein sollten bedeutet.

    Mit Proxies, speziell dem Web Proxy, gibts dasselbe Thema. Grundsätzlich kann durch den Proxy jedes Netz - sowohl Internet wie auch interne Netze - erreicht werden. Hat den Vorteil, dass man auch zwischen Intranets den HTTP und HTTPS Verkehr scannen kann wenn man will. Nachteil: Ohne spezielle Regel ist das Intranet dann allerdings auch aus einem Gästenetz erreichbar, falls dort ebenfalls der Web Proxy genutzt wird.

    Um das zu umgehen wenn der Proxy im Gästenetz im Transparent Modus läuft, einfach in der "Transparent Destination Skiplist" die internen Netze (oder noch einfachern einfacher die 3 RFC1918 Private Network Ranges) eintragen, und das Häckchen "Allow traffic for skipped networks" rausnehmen, sonst setzt die UTM für den Proxy Skip stattdessen einfach eine Firewallregel dafür, womit wir wieder gleich weit wären ;o)

    /Sascha
Reply
  • Hallo relume

    K.N. hat das bereits richtig erwähnt - es gibt Firewalls mit Zonenkonzept (so wie Checkpoint, Fortinet etc.), und solche wie die Sophos UTM, eben ohne Zonenkonzept. Beide Systeme haben ihre Vor-, und Nachteile. Der UTM Ansatz ist eben ein bisschen wie ein Gokart ohne Überrollbügel - man kann coole Dinge damit machen wie einfache Rules erstellen um aus einem Netz in verschiedene andere Netze (Zonen)  zu kommen, andererseits ist die Nutzung vom "ANY" Objekt als Source, und insbesondere als Destination mit Vorsicht zu geniessen.

    deshalb gibts in der UTM das "ANY" Objekt (0.0.0.0/0.0.0.0), was jeder IP in JEDEM von der UTM erreichbaren Netz bedeutet, und ein "Internet" Objekt (0.0.0.0/0.0.0.0 and die Uplink Interface Gruppe gebunden), was jede IP Adresse die via Uplink Interfaces erreichbar sein sollten bedeutet.

    Mit Proxies, speziell dem Web Proxy, gibts dasselbe Thema. Grundsätzlich kann durch den Proxy jedes Netz - sowohl Internet wie auch interne Netze - erreicht werden. Hat den Vorteil, dass man auch zwischen Intranets den HTTP und HTTPS Verkehr scannen kann wenn man will. Nachteil: Ohne spezielle Regel ist das Intranet dann allerdings auch aus einem Gästenetz erreichbar, falls dort ebenfalls der Web Proxy genutzt wird.

    Um das zu umgehen wenn der Proxy im Gästenetz im Transparent Modus läuft, einfach in der "Transparent Destination Skiplist" die internen Netze (oder noch einfachern einfacher die 3 RFC1918 Private Network Ranges) eintragen, und das Häckchen "Allow traffic for skipped networks" rausnehmen, sonst setzt die UTM für den Proxy Skip stattdessen einfach eine Firewallregel dafür, womit wir wieder gleich weit wären ;o)

    /Sascha
Children
No Data