Referenzhandbuch
8 Firewall
5
Das Abschirmen der DMZ gegenüber dem Internet auf der einen und dem LAN auf der anderen Seite wird in
vielen Netzstrukturen mit zwei separaten Firewalls gelöst. Beim Einsatz eines Geräts mit DMZ-Port benötigt man
für diesen Aufbau nur ein Gerät, was u.a. den Vorteil einer deutlich vereinfachten Konfiguration mit sich bringt.
8.3.7 Tipps zur Einstellung der Firewall
Mit der Geräte-Firewall steht ein extrem flexibles und leistungsfähiges Werkzeug zur Verfügung. Um Ihnen bei der
Erstellung individuell angepasster Firewall-Regeln behilflich zu sein, finden Sie im folgenden Hinweise zur optimalen
Einstellung für Ihre spezifische Anwendung.
4
Bei Geräten mit integrierter oder nachträglich über Software-Option freigeschalteter VoIP-Funktion werden die
für die Voice-Verbindungen benötigen Ports automatisch freigeschaltet!
Die Default-Einstellung der Firewall
Im Auslieferungszustand befindet sich mit der "WINS-Regel" genau ein Eintrag in der Firewall-Regeltabelle. Diese Regel
verhindert unerwünschte Verbindungsaufbauten auf der Default-Route (i.d.R. zum Internet) durch das NetBIOS-Protokoll.
Windows Netzwerke senden in regelmäßigen Intervallen Anfragen in das Netzwerk um herauszufinden, ob die bekannten
Stationen noch verfügbar sind. Dies führt bei zeitbasierter Abrechnung einer Netzwerkkopplung zu unerwünschten
Verbindungsaufbauten.
5
Das Gerät kann durch den integrierten NetBIOS-Proxy auch für Netzwerkkopplungen diese unerwünschten
Verbindungsaufbauten verhindern, indem es selbst solange eine Antwort für die betreffende Ressource vortäuscht,
bis ein tatsächlicher Zugriff erfolgt.
Sicherheit durch NAT und Stateful-Inspection
Sofern keine weitere Firewall-Regel eingetragen wird, wird das lokale Netz durch das Zusammenspiel von Network
Address Translation und Stateful-Inspection geschützt: Nur Verbindungen aus dem lokalen Netz heraus erzeugen einen
Eintrag in der NAT-Tabelle, woraufhin das Gerät einen Kommunikationsport öffnet. Die Kommunikation über diesen Port
wird durch die Stateful-Inspection überwacht: Nur Pakete, die genau zu dieser Verbindung gehören, dürfen über diesen
Port kommunizieren. Für Zugriff von außen auf das lokale Netzwerk ergibt sich somit eine implizite "Deny-All"-Strategie.
5
Sofern Sie in Ihrem LAN einen Server betreiben, der über Einträge in der Servicetabelle für Zugriffe aus dem
Internet freigegeben ist, können Stationen aus dem Internet von außen Verbindungen zu diesem Server aufbauen.
Das inverse Masquerading hat in diesem Fall Vorrang vor der Firewall, solange keine explizite "Deny-All"-Regel
eingerichtet wurde.
Firewall-Regeln mit Scripten übertragen
Firewall-Regeln können einfach und komfortabel mittels Scripten über Geräte- und Softwareversionen hinweg übertragen
werden. Explizite Beispielscripte finden sich in der LANCOM KnowledgeBase unter www.lancom.de/support.
Aufbau einer expliziten "Deny-All"-Strategie
Für einen maximalen Schutz und bestmögliche Kontrolle über den Datenverkehr wird empfohlen, zunächst einmal
jeglichen Datentransfer durch die Firewall zu unterbinden. Danach werden dann selektiv nur genau die benötigten
Funktionen und Kommunikationspfade freigeschaltet. Dies bietet z. B. Schutz vor sog. 'Trojanern' bzw. E-Mail-Viren, die
aktiv eine abgehende Verbindung auf bestimmten Ports aufbauen.
Die Deny-All-Regel ist mit Abstand die wichtigste Regel zum Schutz des lokalen Netzwerks. Mit dieser Regel verfährt
die Firewall nach dem Prinzip: "Alles, was nicht ausdrücklich erlaubt ist, bleibt verboten!" Nur mit dieser Strategie kann
der Administrator sicher sein, dass er nicht irgendwo eine Zugangsmöglichkeit "vergessen" hat, denn es gibt nur die
Zugänge, die er selbst geöffnet hat.
Wir empfehlen die Einrichtung der Deny-All-Regel, bevor das LAN über ein Gerät mit dem Internet verbunden wird.
Anschließend kann man in der Logging-Tabelle (z. B. über LANmonitor zu starten) sehr komfortabel nachvollziehen,
494