Was ist der Unterschied zwischen einer Firewall-Regel und einer NAT-Regel?

[Raijin]

Ich habe dir nun ausgiebig erklärt warum man im Ideallfall ausschließlich ein VPN für den Fernzugriff nutzt. Es gibt Dienste, die durchaus auch alleine dem Internet ausgesetzt werden können, weil sie ihrerseits verschlüsselt und somit auch sicher sind, aber ich nutze aus Prinzip nur VPN. Schon allein deswegen, weil ich nicht ein Dutzend Portweiterleitungen brauche und mir auch keinen Kopf darum machen muss ob Dienst X oder Dienst Y nu sicher ist oder nicht.

Ein VPN erschlägt alle Fliegen mit einer Klappe. Ich drucke beispielsweise sporadisch etwas auf meinem heimischen Drucker aus, wenn ich in der Firma während der Mittagspause etwas interessantes finde. Via VPN gar kein Problem und sicher. Einen Drucker aber über Portweiterleitungen ins Netz zu stellen, ist dagegen Wahnsinn, weil es den Drucker nicht kratzt wer oder was ausgedruckt werden soll. Warum also über einzelne Dienste großartig nachdenken, wenn man mit dem VPN alles auf einen Schlag lösen kann?

 

[xxxx]

@Raijin verwirre ihn mal nicht den offenbar scheint er nicht das Grundwissen zu haben.

@owl2010 erstmal sollte dir klar sein das die Sophos eine ausgehende und eine eingehende Firewall hat die meisten Programme erfordern bloß ausgehende Ports, sprich sie können ins Internet connecten können aber selber nicht aus dem Internet connectet werden. Das erreichst du bei der Sophos in dem in der Firewall eine Regel erstellst zum Beispiel ein Programm will den Port Tcp 587 nutzen erstellst du eine Regel Internal (Network) -> Service Tcp 587 -> any das heißt alles aus deinem internen Netzwerk kann über diesen Tcp Port nach außen connecten aber darüber nicht von außen connectet werden. Das stellt in der Regel kein Sicherheitsrisiko dar und ist notwendig. Schwierig wird es wenn Programme aus dem Internet connectet werden sollen was aber heute zutage kaum mehr der Fall sein dürfte es sei den du betreibst einen eigenen Server da ist erstmal fest zu stellen ob das überhaupt nötig ist und wenn es nötig ist das Gerät erstmal vom Rest des Netzwerkes zu isolieren zum Beispiel durch Nutzung einer anderen Schnittstelle (echter Lan Port, Vlan) dann ist zu überlegen wie man den Zugriff von außen beschränken kann um so wenig Angriffsfläche wie möglich zu bieten das kann man durch Vpn, Adressbeschränkungen usw erreichen.
Zum Beispiel Filezilla wenn du das nur zum downloaden benutzt brauchst du gar nichts machen weil die Ports für FTP in der Regel schon mit den am Anfang erstellten Standard Regeln abgedeckt ist der Ftp Proxy ist nichts anderes als ein dazwischen geschalteter Client der die Datei downloadet auf Viren prüft und dann an deinen Pc weiter leitet.

 

[owl2010]

Guten Morgen,
ok...habe gestern noch einen VPN-Zugang eingerichtet und das klappt echt super! Werde das dann mit der TK-Anlage auch so machen. Selbst auf meinem Handy habe ich den VPN-Client schon installiert.
Noch eine Frage bzgl. FTP:
Beim Filezilla muss ich für eine Verbindung (FTPS) drei Ports freigeben von innen nach außen. Nehme ich dort auch das Protokoll TCP?
Generell hierzu einmal eine kurze Verständnisfrage:
Es hieß doch, dass die Firewall generell erst einmal jeden Verkehr von außen nach innen blockt aber den Verkehr von innen nach außen zulässt. Warum muss man dann z.B. noch extra Ports für den Verkehr von innen nach außen freigeben?

 

[t-6]

Weil das bei Sophos UTM & Artverwandten wg. dem Einsatzzweck eben so ist. Ist ja keine Fritzbox.

 

[Raijin]

Das ist gewissermaßen Einstellungs- oder Ansichtssache. In professionellen Umgebungen - und eine Sophos zählt eher zu den professionellen Lösungen - wird auch der ausgehende Verkehr standardmäßig reglementiert, also alles geblockt bis auf die Ausnahmen, die der IT Admin definiert (zB TCP 80/443 zum Surfen).

Normalerweise lässt sich diese Standardaktion in der Firewall aber ändern (Standard blocken / zulassen). Wie genau das bei der Sophos geht, kann ich mangels Erfahrung mit der Sophos im Speziellen nicht sagen. Bei ausgehend Standard blocken muss man eben schauen welche Dienste man im www nutzen will und genau diese freigeben. TCP 80/443 (http/https) hatte ich ja schon genannt.

Das Protokoll TCP bzw UDP kann man sich im übrigen nicht aussuchen, das ist eindeutig definiert. Wenn du zB statt TCP 80 aus Versehen UDP 80 freigibst, kann man nicht mehr im Internet surfen, weil das eben TCP 80 ist und nicht UDP.

 

[owl2010]

Ah ok....aber beim FTP ist es das TCP-Protokoll richtig?

 

[Raijin]

FTP nutzt TCP, FTPS und SFTP nutzen TCP und UDP.

In deinem anderen Thread habe ich gelesen, dass es sich bei dir um ein Netzwerk mit 40 Rechnern handelt. Ich kann nur eindringlich davor warnen, so ein Netzwerk ohne jedwede Fachkenntnisse zu verwalten. Ohne dir nahe treten zu wollen, du hast wirklich 0 Plan, kein Vorwurf sondern eine Feststellung . Dass du den technischen Unterschied zwischen UDP und TCP nicht kennst, ist ja fast noch zu verschmerzen, aber dass du nicht mal weißt, dass es überhaupt einen Unterschied gibt, spricht Bände!

Das was ihr da macht ist grob fahrlässig! Ein IT-Admin hat nicht ohne Grund 3 Jahre Ausbildung oder gar ein Studium hinter sich. Sowas kann man nicht durch Youtube, Forum und ein bischen googlen ersetzen.. Ich gehe stark davon aus, dass du im Umkreis von 50 Metern einfach der einzige warst, der wusste wie man einen Drucker einrichtet und dann wurdest du vom Chef zum IT-Admin auserkoren, weil er sich für das gesparte Geld lieber doch den dickeren BMW leistet. Ich warne dich vor dieser Verantwortung. Wenn du auf gut Deutsch Scheiße baust und jemand ins Netzwerk eindringt oder sich ein Mitarbeiter ein paar schöne Viren zieht und plötzlich alle Daten auf dem Server weg sind, kommt der Chef zu dir, weil du ja den IT-Hut aufhast.

Auch wenn das Budget knapp sein mag, darf man IT nicht so einfach dem nächstbesten Laien in die Hand drücken. Das geht nicht gegen dich persönlich, sondern ist eine Tatsache. Sucht euch ein Systemhaus in der Nähe oder einen Freelancer, der zB einmal die Woche bei euch vorbeikommt und Backups, etc macht und vor allem die Firewall fachkundig einrichtet. Ein Systemhaus stellt nicht zwangsläufig gleich eine Rechnung über 10Tausende Euros aus. Wenn die Anforderungen gering und das Unternehmen überschaubar ist, haben auch Systemhäuser passende Angebote.

 

[owl2010]

Hallo Raijin,
ich gebe dir ja Recht.
Kennst du aus deinem Umfeld einen guten Freelancer, den du empfehlen könntest?

 

[Raijin]

Idealerweise sucht man sich jemanden, der in der Nähe tätig ist. Ich sitze beispielsweise in Hamburg.

Meine Firma - ~50 Mitarbeiter - beschäftigt zwar einen Freelancer, der kümmert sich aber 2x pro Woche primär um unsere Windows-Server, etc. Die Netzwerktechnik wird von unserem Mutterkonzern aus verwaltet und ist daher nicht so sein .. .. bestes Gebiet. Stellenweise unterstütze ich ihn daher, wenn das HQ in Bayern per Remote nicht weiterkommt.

Schau einfach mal in die Gelben Seiten oder google mal etwas nach "IT Dienstleister freelancer deineregion" oder so. Dabei habe ich zB diese Seite gefunden: Freelancer Suche

Ein zwei Systemhäuser kann man aber auch anrufen. Wie gesagt, die stellen nicht zwangsläufig gleich eine Rechnung über 10Tausende Euros mit riesigen Servern, etc.. Auch ein (seriöses) Systemhaus weiß, dass kleine oder mittelständische Unternehmen andere Lösungen benötigen als ein großer Konzern. Serviceverträge sind auf den ersten Blick vielleicht Geldverschwendung, wenn das System erstmal läuft. Der Vorteil eines solchen Vertrages ist aber, dass sich der Dienstleister dann je nach Tarif verpflichtet, zB innerhalb von 24h alles zu richten. Man muss das also eher wie eine Versicherung sehen, die auch Geld kostet und im best oder "worst" case nie genutzt werden muss - WENN man sie aber braucht, ist sie Gold wert.

 

[owl2010]

Ok, dann werde ich mich heute Abend mal auf die Suche begeben!
Darf ich euch noch mit einer Sache belästigen?
Bzgl. der Web-Protection der Sophos SG135 habe ich jetzt recherchiert, dass der Standardmodus bevorzugt werden sollte. Hierfür muss der Browser eines jeden Clients ja über einen Proxy an den Webfilter der Firewall geleitet werden.
Habe dies so auch einmal an einem Client eingestellt:

192.168.80.254 ist die interne IP der Firewall.
Jetzt werden aber viele Seiten gar nicht mehr geladen. Selbst wenn ich auf das Web-Menü der Firewall zugreifen möchte kommt nichts mehr und man sieht unten in der Statusleiste nur folgende Meldung:

Was mache ich falsch?

 

[xxxx]

Stelle den Webfilter auf Transparenzmodus so werden alle Anfragen automatisch auf den Proxy Port umgeleitet oder willst du das bei jeden Computer einzeln einstellen? Bei Https lasse erstmal nur Url Filterung weil das ist etwas komplizierter.

 

[owl2010]

Hallo,
ja aber laut Handbuch werden im Transparenzmodus nicht alle Seiten gescannt und damit wird dieser Modus eigentlich aus Sicherheitsgründen nicht empfohlen?!

 

[xxxx]

Das wäre mir neu. Vielleicht war es mal so aber das ist inzwischen nicht mehr so. Was nicht gescannt wird ist bei den von mir empfohlenen Einstellungen Https Seiten aber das ist generell ein Problem weil die Sophos dort die Verschlüsselung auf brechen und nach dem scannen neu verschlüsseln muss. Das ist dahingehend ein Problem das dazu erstmal von einem vertrauenswürdigen Ca passenden Zertifikate vorhanden sein müssen sonst kriegst du Fehlermeldungen den Moderne Browser akzeptieren selbst erstellt Zertifikate meist nicht mehr. Abgesehen davon ist das bei deinem mangelnden Wissensstand nicht zu empfehlen zumal es dadurch auch häufig zu unerwarteten Problemen kommt.

 

[owl2010]

Ok, dann stelle ich auf den Transparenz-Modus um. Danke!
Wenn ich einen Benutzer von der Web-Protection ausnehmen möchte, mache ich dies unter Ausnahmeregeln?

 

[xxxx]

Ja genau du kannst auch dem Computer eine statische Dhcp Zuordnung geben und unter Filteroptionen Sonstiges Transparenzmodus-Ausnahmen als Quellhost eintragen. Da muss dann wenn der Computer den Webfilter trotzdem nutzen will dann in den Proxyeinstellungen vom Browser der Proxy Server und der Port gesetzt werden ansonsten wird der Webfilter komplett umgangen.

 

[owl2010]

Das mit dem Benutzer habe ich gerade schon konfiguriert-passt.
Eine allerletzte Frage:
Beim Transparenzmodus den Haken setzen bei "HTTPS-Verkehr im Transparenzmodus nicht durch Proxy leiten"?

 

[xxxx]

Nein lass ihn mal draußen weil das die URL Filterung für Https lahm legt die ja auch einen gewissen Schutz bietet.

 

[owl2010]

Ok, danke!

 

[owl2010]

Gibt es eigentlich eine Einstellung, die statt der internen IP`s der einzelne Clienten z.B. in den Protokollen, die Computernamen anzeigt?

 

[xxxx]

Nein aber du kannst unter DHCP die Ipv4/6 Lease Tabellen ansehen und da steht der Hostname meistens dabei wenn er mit ausgelesen werden konnte.