Erweitertes Firewall-Regelwerk

Avatar image
Jul 11, 2018
Kevin Rohn wrote
Ein erweitertes Firewall-Regelwerk, basierend auf unterschiedlichen Objekten wäre Wünschenswert.

Momentan sind Firewall-Regeln nur Anhand von IP-Adressen/IP-Ranges/IP-Netzwerken und Port basierend möglich.

Die Definition von Netzwerkteilnehmern, sollte jedoch nicht nur Anhand von "IP-Informationen" möglich sein, sondern auch zum Beispiel über eine "MAC-Adresse". Wenn man es dann wieder Objekt basierend auslegt, kann es natürlich auch eine "MAC-Adressen-Liste" sein, welche einzelne "MAC-Adressen" beinhalten. So muss beim hinzufügen einer "MAC-Adresse" nicht die Firewall Regel angepasst werden, sondern nur das Objekt "MAC-Adressen-Liste".

Außerdem kann man in der Praxis kaum mehr nur mit "IP-Informationen" arbeiten, da die meisten Web-Dienste "FQDN" Angaben machen.


Somit ist es leider nicht einfach möglich einfache Regelwerke umzusetzen wie folgende:

Beispiel Anforderung:
Akzeptiere bestimmte ausgehenden Verbindungen zu Microsoft Update Server Adressen.

Problem:
Microsoft gibt alle Update-Server Adressen als FQDN-Adressen an, welche dynamisch aufgelöst werden müssen.

Mögliche Firewall Rule:
Allow <"MAC-List-Devices"> from "LAN Zone" to WAN Zone Destination networks <"FQDN-List-Update-Servers"> Services <"Service-Groups">
Objekte:
<"MAC-List-Devices"> = 00:00:11:11 ... 00:00:22:22
<"FQDN-List-Update-Servers"> = windowsupdate.microsoft.com, download.microsoft.com ...
<"Service-Groups"> = 80 (TCP), 443 (TCP)
To vote
12 votes
Vote
Reply
5 Answers
Apr 02, 2019
Christian Walterspacher wrote
...kann mich nur anschließen. Absolut wünschenswert.
May 07, 2020
Andreas Keglr wrote
Ich fände es auch gut, wenn man FQDN angeben könnte. Auch wenn ich weiß, dass das nicht so einfach ist. Die Firewall müsste den FQDN auflösen und regelmäßig überprüfen.
Jul 06 (10 months ago)
Kevin Rohn wrote
Gibt es hier bereits interne Überlegungen?
Das Thema wird leider immer mehr zum Problem, und kaum noch Dienste geben fixe IP-Adressen an, sondern es werden oft nur noch FQDNs angegeben.

Besten Dank
Jul 14 (9 months ago)
Stefan agent wrote
Es gibt interne Überlegungen und auch technische Prüfungen. Dieses Thema ist allerdings wie hier schon beschrieben nicht leicht umsetzbar und würde eine Umstrukturierung Teile unserer Firewall bedeuten, zumal dies eher ein Thema wäre für unsere Hadware Firewall mbNETFIX.
Es ist momentan keine kurz- oder mittelfristige Umsetzung für unser mbNET geplant, das Thema wird aber intern nicht abgelehnt und bleibt noch weiter in unseren Erweiterungsideen bestehen.
Apr 07 (36 days ago)
Flick wrote
unbedingt erforderlich!!