Firewallregeln differenziert für Computergruppen erstellen - Möglich? Sinnvoll?



  • Hallo zusammen,

    wir möchten eine neue Firewall einsetzen. Zur Diskusssion steht pfsense.
    Portfreigabe soll in beide Richtungen per Whitelist erfolgen.

    Bislang haben wir für einzelne Computer / Server differenzierte Firewallregeln verwendet.

    Beispiel SMTP:
    SMTP braucht man ausgehend nur für den Mailserver.
    SMTP macht bei normalen PC's keinen Sinn, also soll für diese Maschinen der Port geschlossen bleiben.

    Wie handhabt ihr das?
    Generelle Regeln für alle Computer/Server, oder unterscheidet Ihr zwischen den Funktionen der einzelnen Maschinen?

    Bietet pfsense die Möglichkeit dazu? Ich finde leider nichts in Tutorials dazu.
    Mir liegt auch noch keine Installation vor, an der ich es testen könnte.

    Viele Grüße



  • Hallo,

    also, selbstverstänflich macht es Sinn, verschiedenen Hosts verschiedene Zugriffsrechte zu geben. Du kannst das natürlich machen, wie du sagst, dass du einzelnen IPs andere Firewall-Regeln gibst. Du weist dazu allen PCs in deinem Netzwerk über den DHCP eine IP fest zu - also mit Reservierungen und erstellst dann für die entsprechenden IPs Firewall-Regeln. In den Firewall Regeln gibst du die "Source-IP" an, also zum Beispiel die von den Servern und gibst an, welche Ports diese als "Ziel-Port" nutzen dürfen. Gleiches gilt für deine normalen Clients.

    Damit du nicht für jede IP eine eigene Regel erstellen musst, bietet pfsense sogenannte "Aliase" an. Das heisst, du erstellst einen Alias mit Name "AlleMeineServer" und fügst in diesem Alias alle IPs ein, die deine Server haben. Gleiches für die anderen Hosts. Anschließend kannst du in den Firewall-Regeln als "Source-IP" den jeweiligen Alias angeben.

    Aliase kannst du auch mit Ports erstellen und somit deine Firewall-Regeln übersichtlich eintragen.

    Ich würde mir aber grundsätzlich über das Netzwerkdesign Gedanken machen - ich finde es nicht sinnvoll alle PCs und Server im gleichen Subnetz zu betreiben. Ist ein Rechner zum Beispiel sehr stark für den Internetzugriff gesperrt (wegen Virengefahr etc.) ein anderer Rechner hat aber vollen Zugriff, dann ist das im ersten Moment zwar ein Schutz zwischen beiden Rechnern von den Firewall-Regeln gesehen, da sich aber alle beide Rechner img leichen Subnetz befinden, können diese sich quasi auch gegenseitig infizieren bzw. man karpert PC-A um dann auf PC-B zuzugreifen.

    Ich würde dir hierfür empfehlen, 2 VLANs zu erstellen - eins für deine Server und ein anderes für deine PCs. So kannst du zum einen den Verkehr zwischen PCs und Internet über Firewall steuern als auch den Verkehr zwischen VLAN1 und VLAN2. Du könntest also sagen, PCs sollen zwar ins Internet dürfen mit Port 80 und 443, aber die Verbindung in das andere VLAN darf lediglich für SMTP genutzt werden, der Rest ist gesperrt.

    bei der Reglung ohne VLANs - was passiert, wenn ein User seine IP Adresse manuell ändert und dann quasi in deinen "Server-bereich" rein kommt und damit für den PC andere Firewall-Regeln gelten.

    Weiterhin sagst du, du möchtest Port-Weiterleitung nutzen, das heisst, das man aus dem Internet auf einen Server zugreifen kann. Du musst also an der WAN Schnittstelle einen Port öffnen für deinen Webserver zum Beispiel. Hier würde es doch ebenfalls aus Sicherheitsgründer äußerst empfehlenswert sein, wenn du den Webserver abschotten kannst, den Webserver sind gute Angriffsziele und wenn jemand den Server übernommen hat, die Firewall regel aus dem Server-VLAN aber keinen Verkehr zum Host-VLAN zulässt, hast du einen Schutz.

    Alle Geräte im gleichen Netz haben diesen Schutz nicht.



  • Hallo Nachtfalke,

    vielen Dank für Deine sehr ausführliche Antwort.

    Viele Grüße
    Force01


Log in to reply