Jul 11, 2018
Kevin Rohn schrieb
Ein erweitertes Firewall-Regelwerk, basierend auf unterschiedlichen Objekten wäre Wünschenswert.
Momentan sind Firewall-Regeln nur Anhand von IP-Adressen/IP-Ranges/IP-Netzwerken und Port basierend möglich.
Die Definition von Netzwerkteilnehmern, sollte jedoch nicht nur Anhand von "IP-Informationen" möglich sein, sondern auch zum Beispiel über eine "MAC-Adresse". Wenn man es dann wieder Objekt basierend auslegt, kann es natürlich auch eine "MAC-Adressen-Liste" sein, welche einzelne "MAC-Adressen" beinhalten. So muss beim hinzufügen einer "MAC-Adresse" nicht die Firewall Regel angepasst werden, sondern nur das Objekt "MAC-Adressen-Liste".
Außerdem kann man in der Praxis kaum mehr nur mit "IP-Informationen" arbeiten, da die meisten Web-Dienste "FQDN" Angaben machen.
Somit ist es leider nicht einfach möglich einfache Regelwerke umzusetzen wie folgende:
Beispiel Anforderung:
Akzeptiere bestimmte ausgehenden Verbindungen zu Microsoft Update Server Adressen.
Problem:
Microsoft gibt alle Update-Server Adressen als FQDN-Adressen an, welche dynamisch aufgelöst werden müssen.
Mögliche Firewall Rule:
Allow from "LAN Zone" to WAN Zone Destination networks Services
Objekte:
= 00:00:11:11 ... 00:00:22:22
= windowsupdate.microsoft.com, download.microsoft.com ...
= 80 (TCP), 443 (TCP)
Momentan sind Firewall-Regeln nur Anhand von IP-Adressen/IP-Ranges/IP-Netzwerken und Port basierend möglich.
Die Definition von Netzwerkteilnehmern, sollte jedoch nicht nur Anhand von "IP-Informationen" möglich sein, sondern auch zum Beispiel über eine "MAC-Adresse". Wenn man es dann wieder Objekt basierend auslegt, kann es natürlich auch eine "MAC-Adressen-Liste" sein, welche einzelne "MAC-Adressen" beinhalten. So muss beim hinzufügen einer "MAC-Adresse" nicht die Firewall Regel angepasst werden, sondern nur das Objekt "MAC-Adressen-Liste".
Außerdem kann man in der Praxis kaum mehr nur mit "IP-Informationen" arbeiten, da die meisten Web-Dienste "FQDN" Angaben machen.
Somit ist es leider nicht einfach möglich einfache Regelwerke umzusetzen wie folgende:
Beispiel Anforderung:
Akzeptiere bestimmte ausgehenden Verbindungen zu Microsoft Update Server Adressen.
Problem:
Microsoft gibt alle Update-Server Adressen als FQDN-Adressen an, welche dynamisch aufgelöst werden müssen.
Mögliche Firewall Rule:
Allow from "LAN Zone" to WAN Zone Destination networks Services
Objekte:
= 00:00:11:11 ... 00:00:22:22
= windowsupdate.microsoft.com, download.microsoft.com ...
= 80 (TCP), 443 (TCP)
In Abstimmung
14 Stimmen
Abstimmung
Antwort
5 Antworten
Apr 02, 2019
Christian Walterspacher
schrieb
...kann mich nur anschließen. Absolut wünschenswert.
Mai 07, 2020
Andreas Keglr
schrieb
Ich fände es auch gut, wenn man FQDN angeben könnte. Auch wenn ich weiß, dass das nicht so einfach ist. Die Firewall müsste den FQDN auflösen und regelmäßig überprüfen.
Jul 06, 2020
Kevin Rohn
schrieb
Gibt es hier bereits interne Überlegungen?
Das Thema wird leider immer mehr zum Problem, und kaum noch Dienste geben fixe IP-Adressen an, sondern es werden oft nur noch FQDNs angegeben.
Besten Dank
Das Thema wird leider immer mehr zum Problem, und kaum noch Dienste geben fixe IP-Adressen an, sondern es werden oft nur noch FQDNs angegeben.
Besten Dank
Jul 14, 2020
Stefan
Agent
schrieb
Es gibt interne Überlegungen und auch technische Prüfungen. Dieses Thema ist allerdings wie hier schon beschrieben nicht leicht umsetzbar und würde eine Umstrukturierung Teile unserer Firewall bedeuten, zumal dies eher ein Thema wäre für unsere Hadware Firewall mbNETFIX.
Es ist momentan keine kurz- oder mittelfristige Umsetzung für unser mbNET geplant, das Thema wird aber intern nicht abgelehnt und bleibt noch weiter in unseren Erweiterungsideen bestehen.
Es ist momentan keine kurz- oder mittelfristige Umsetzung für unser mbNET geplant, das Thema wird aber intern nicht abgelehnt und bleibt noch weiter in unseren Erweiterungsideen bestehen.
Apr 07, 2021
Flick
schrieb
unbedingt erforderlich!!