New Zone Based Firwall - Unterstützungsfragen

Es gibt 57 Antworten in diesem Thema, welches 3.311 mal aufgerufen wurde. Der letzte Beitrag () ist von Blebbens.

    Hallo zusammen,


    lange Jahre nutzte ich eine schlichte FritzBox für mein Heimnetz. Bei der kompletten Umstellung auf Ubiquiti Unifi hatte ich die Firewall-Regeln von Defcon aus dem Forum-Wiki für meine Bedürfnisse nachgebaut. Mein kleiner Aufbau sieht aus wie folgt:



    Nun möchte ich meinen UDR auf die neue zone-based-firewall umstellen, um diese als Laie besser verstehen und anpassen zu können.


    Manches ist mir aber noch nicht klar, wobei ich Ratschläge bräuchte. Der VLAN-Aufbau ist wie folgt:

    1-LAN-Mgt -> meine trusted (Eltern-)Geräte, iOS, iPadOS und macOS sowie ein unRAID-Server

    2-LAN-IoT -> Smarthome-Geräte und Drucker

    3-LAN-Guest -> noch ungenutzt

    4-LAN-Kids -> Kindernetzwerk mit iOS, iPadOS und Windows


    Das Gästenetzwerk würde bei Umstellung der Firewall unter „hotspot“ landen. Alle anderen Netzwerke werden sicherlich erstmal „internal“ zugeordnet werden.

    Verstehe es so, dass Zonen zu Zonen automatisch abgeschirmt sind, die Geräte sich innerhalb einer Zone aber erreichen können nach der Umstellung.

    Würde auch alle bisherigen Regeln und Gruppen vor Umstellung löschen wollen.


    Dann würde ich neue Zonen erschaffen:

    „Trusted“ für alle vertrauten Geräte (also nur 1-LAN-Mgt).

    „Semi-trusted“ für 2-LAN-IoT und 4-LAN-Kids

    „Server“ als neues VLAN 5-LAN-Server


    Wie genau kann ich nun Folgendes einirchten ?


    1) Abschottung der VLANs 2-LAN-IoT und 3-LAN-Kids ?

    2) die VLANs 1-LAN-Mgt und 3-LAN-Kids sollen Zugriff auf die Geräte in 3-LAN-IoT erhalten (Drucker, Smarthome etc), nicht aber umgekehrt. Wie ?

    3) Der Server soll in 5-LAN-Server in der Server-Zone für das VLAN 1-LAN-Mgt und für ausgewählte Geräte aus dem 2-LAN-IoT erreichbar sein. Dabei bietet der Server auch Mediendienste wie Plex an.Wie?


    Wäre richtig klasse, wenn Ihr mir einen Screenshot einer Policy oder Ähnliches für Fragen 1-3 senden könntet.

    Vielleicht habt Ihr auch eine bessere oder einfachere Idee zur Aufteilung.

    1) Abschottung der VLANs 2-LAN-IoT und 3-LAN-Kids ?

    Ich habe hierfür eine Regel erstellt, die VLAN übergreifende Kommunikation in einer Zone unterbindet.




    2) die VLANs 1-LAN-Mgt und 3-LAN-Kids sollen Zugriff auf die Geräte in 3-LAN-IoT erhalten (Drucker, Smarthome etc), nicht aber umgekehrt. Wie ?

    Etwas ähnliches habe ich auch. Mein IoT-VLAN liegt in der DMZ Zone. Von LAN gibt es eine Allow All Regel in die DMZ. Die gab es sogar schon in den DefaultEinstellungen.



    3) Der Server soll in 5-LAN-Server in der Server-Zone für das VLAN 1-LAN-Mgt und für ausgewählte Geräte aus dem 2-LAN-IoT erreichbar sein. Dabei bietet der Server auch Mediendienste wie Plex an.Wie?

    Du kannst dafür eine IP Adressen basierte Regel erstellen und die "Rückrichtung" erlauben. Beispiel bei mir DMZ darf auf die DNS Server im LAN zugreifen.

    Ich habe noch eine Frage, wie würdet Ihr am Besten vorgehen, wenn man mit den neuen ZBF komplett neu Anfangen möchten und auch die VLANs neu strukturieren will, soll ich einfach "nur" alle selbst erstellen FW-Regeln löschen, auf ZVF umstellen und dann die neuen Zonen, VLANs etc. erstellen. Oder lieber Unifi Network komplett auf Werkseinstellungen und einmal neu anfangen? Geht das überhaupt, oder muss man die Ganze Konsole auf Werkseinstellungen setzen und muss dann auch Protect neu aufsetzen?


    Viele Grüße

    Ich glaube das hängt davon ab, wie komplex deine FW Regeln sind und ob du das Netzwerk für die Zeit der Umstellung ohne einen fertigen Regelsatz laufen lassen willst.


    Ich habe erstmal umgestellt und unifi die Migration machen lassen. Dann habe ich die Regeln geprüft und alle unsinnigen (ja die Migration erzeugt ggf. viele unsinnige Regeln) gelöscht. Im nächsten Schritt habe ich die VLAN in die passenden Zonen gezogen und die Regeln erneut angepasst. Dabei war mir dann aber auch immer klar, wo ggf. gerade welche Einschränkungen im BNetz bezüglich der Firewallregeln herrschen.

    Im Moment habe ich ja nichts kompliziertes, Ein paar Regeln, dass die Handys überall dran kommen, wo sie sollen und das Home Assistant seine Zugriffe hat.


    Die Meisten regeln sind aus dem Wiki bezüglich der Grundabsicherung. Davon fallen ja dann die meisten weg, wenn man auf ZBF umstellt.


    Ich glaube ich versuche es dann erstmal so, dass ich die neuen VLANs erstelle, die Geräte und Anschlüsse zuordne, alle Regeln lösche und dann auf ZBF umstelle. Es landet ja dann eh erstmal alles in der Internal Zone und müsste grundsätzlich gehen. Dann schiebe ich die Geräte nach Dringlichkeit (erst DMZ, Hotspot, REst) in die Zonen und mache dir Regeln.


    Wir schon schiefgehen, beim Supergau kann ich ja immer noch ein Backup zurückspielen... :smiling_face_with_sunglasses:

    foxcris

    Du nutzt „objects“. Das sind wohl die Gruppen? Kannst Du deren Settings posten und beschreiben, wo die zu finden sind ?

    Dann schreibst Du von der DMZ. Dachte, dort stehen eher „Server“ quasi vor der Firewall?


    Hatte auch im Wiki die How-To von@naichbindas gelesen. Er/sie lässt hier zwischendurch zu vieles weg und geht auch nicht drauf ein, wo man was anpassen müsste. Für mich ist diese Anleitung nur in Teilen nachvollziehbar. Das hatte defcon damals in seiner Firewall-How-To ganz gut erläutert, was zone-based aber nicht mehr anwendbar ist.

    Ja die Objects sind die Gruppen. Die sind unter Einstellungen -> Profile -> Netzwerk Gruppen (oder so ähnlich, habe das bei mir auf Englisch).

    Die Objects definieren bei mir die lokalen IPV4 Adressen und meine IPV6 Netzbereiche (ich habe statische ips).


    Dein Verständnis von DMZ ist nicht ganz verkehrt. Aber die DMZ steht im Kontext der UDM nicht direkt "vor" der Firewall. Hier ist es auch nur eine Zone und wenn man Server im Internet betreiben würde, dann würde man sie dort hinstellen. Diese Zone ist bei der UDM inital (default regeln) recht gut von den anderen Zonen getrennt. Man kann z.B. von intern dorthin zugreifen aber nicht von der DMZ in die interne Zone. Ich habe in der DMZ alle VLANs die ich hart von meiner internen Zone abtrennen möchte.

    Hallo zusammen,


    ich habe mich jetzt Mal an das Thema ran getraut und umgestellt, hat mich 5 Stunden meines Lebens gekostet, da auch mein Proxmox Server mit den ganzen LXC-Containern und VMs umgestellt werden mussten und dann NAS freigaben etc. neu vergeben werden mussten.


    So sieht das ganze jetzt aus:



    Eiin paar fragen habe ich noch:


    1. Im Wiki steht ja, dass man, wenn man alles in Internal lässt, die Gateways und die Geschwätzigkeit unter den VLANs blockierten sollte. Da ich im Internal ja nur die Unifi Geräte und meine "vertrauenswürdigen Geräte (Handy, PC) habe und den Rest in eigenen Zonen, brauche ich das ja nicht, da bei eigenen Zonen sowieso von Haus aus alles geblockt ist?
    2. Ich verbinde mich über Teleport von unterwegs, um auf die Geräte zu kommen. Vorher hat er glaube ich das Netz 192.168.3.x genutzt (das ist auch noch eingestellt, wenn ich auf den VPN-Reiter für Wireguard gehe). Jetzt verbindet er sich aber über 192.168.2.x und ich habe noch nichts gefunden, wo ich das umstellen kann? Ich musste dann auch eine Regel erstellen, dass ich von der Zone VPN auf z.V. meine Zone NAS und HomeLAB komme, sonst war nur das Gateway uner 192.168.1.1 erreichbar.
    3. Ich habe jetzt komplett der Zone VPN zugriff auf die Zonen HomeLab und NAS gegeben. Ich denke das ist ja recht unsicher, da wenn sich mal jemand fremdes darüber reinhacken sollte, er ja in den Zonen Unfug machen kann. Wie sollte hier die Freigabe für Laptop und Handy am besten eigerichtet werden?


    Noch eine grundsätzliche Frage, macht es mehr sinn, für jedes Gerät in einem VLAN eine eigene Freigabe zu machen, bzw. die IPs/Geräte einzeln in einer Regel auszuwählen, als das ganze VLAN/Zone freizugeben?


    Danke vorab und Grüße

    Zitat von Blebbens

    Hm, ich weiß dann aber immernoch nicht, was genau man als Gruppen einrichten muss. Da wären Screenshots hilfreich

    Hier meine EInstellung für Local Networks RFC1918


    Die Einstellung für ipv6 ist identisch - nur eben mit meinem ipv6 Adressbereich denn ich von meinem Internetprovider zugewiesen bekommen habe.

    zu 1:

    Da du eigene Zonen angelegt hast und diese nutzt ist die Standardeinstellung, dass die Geräte in INTERNAL nicht mit den neuen Zonen sprechen dürfen. Da müsstest du also wirklich nicht alles per Hand einschränken.


    zu 2:

    Da kann ich leide rnicht viel zu sagen, ich nutze wireguard. Verstehe nicht, warum sich dein IP-Bereich geändert haben sollte. Da dein NAS in eine custom Zone liegt müsstest du den Zugriff aus dem VPN mit einer eigenen Regel erlauben. Denk dabei daran den haken bei "Return Route" zu aktivieren.


    zu 3:

    Generell hast du Recht. Wenn sich da jemand rein hackt dann kann er auf die Geräte in den anderen Zonen zugreifen. Sind diese denn ohne authentifizierung erreichbar? Wenn nicht stellt das ja auch noch eine hürde da. Bei Wireguard ist klar, welcher Client welche IP verwendet, da könnte man wirklich einzelne Regeln erstellen pro Gerät für den privaten Gebrauch ist das aus meiner Sicht aber overkill. Wichtiger ist die UDM aktuell zu halten und den Zugriff auf zentrale Dienste wie NAS nur per authentifizierung zuzulassen.


    zu deiner grundsätzlichen Frage:

    Zugriff aus meinen "trusted" Netzwerk sicher ich mit generellen Regeln ab. Da habe ich keine Lust jedes GErät einzeln zu behandeln. Einzelne andere Zugriffe aus "unsicheren" Zone binde ich immer die expliziten IPs.

  • Blebbens

    Hat den Titel des Themas von „New Zone Based Firwall - Unterstützungsfrageb“ zu „New Zone Based Firwall - Unterstützungsfragen“ geändert.

    Hier zwei wie ich finde gute Videos zu dem Thema ZBF.


    [Externes Medium: https://www.youtube.com/watch?v=Fsk0j6kamEQ]


    [Externes Medium: https://www.youtube.com/watch?v=c5dunIFga3U]

    Zitat von Rockhound53

    ich habe mich jetzt Mal an das Thema ran getraut und umgestellt, hat mich 5 Stunden meines Lebens gekostet, da auch mein Proxmox Server mit den ganzen LXC-Containern und VMs umgestellt werden mussten und dann NAS freigaben etc. neu vergeben werden mussten.

    hattest du im Proxmox voher keine VLAN konfiguriert ?