Migration zu Zone Based Firewall - Backup?

Ich kann es nicht aus eigener Erfahrung sagen, würde aber stark vermuten, dass ein Snapshot keine gute Idee ist. Hierbei hätte ich Sorge, dass die Unifi-Geräte nichts vom Rollback ihres Controllers mitbekommen.

Ziehe Dir ein Backup aus "Network" und wenn Du willst noch ein Backup des UnifiOS aus dem UXG (kann nie schaden, auch so eines mal zu haben). Damit solltest Du bei Problemen immer wieder sauber zurück kommen.

Nimm Dir auf jeden Fall Zeit für die Migration. Du musst denke ich keine große Sorge vor Problemen haben, aber erfahrungsgemäß gibt es eine ganze Menge aufzuräumen und wenn Du eine saubere, nachvollziehbare Konfiguration anstrebst, willst Du vermutlich vieles überarbeiten. Alleine schon, um die Regeln alle auch auf IPv6 zu beziehen.

In kleineren bis mittleren Umgebungen habe ich grundsätzlich alle Regeln gelöscht und bin neu gestartet. Kann allerdings verstehen, dass dies nicht immer eine Option ist.

Moin was noch zu erwähnen ist, das wenn die Migration zur Zonen Besed Firewall vollzogen ist, dein Netzwerk danach wie gewohnt weiter geht. Klar sind dann noch mehr Regeln da als vorher, aber damit wollte Unifi sicherstellen das nach der Umstellung weiterhin alles geht. Danach würde ich mich dann an deiner Stelle mit der ZBF vertraut machen und wenn du soweit bist dann Stück für Stück die alten Regeln überarbeiten und vlt neue Regeln in der ZBF erstellen die dann wiederum mehrere alte Regeln auf einmal gleich ersetzen können. Weil es soll durch die ZBF ja leichter werden. Dann überflüssige Regeln löschen zum Schluss und dann sollte das gehen. Behalte im Hinterkopf das du kein Zeitdruck hast auch nicht nach der Umstellung. Auch wenn es dann also längere Zeit dauert, deine vorhandenen Regeln zu überprüfen und um zu bauen und so, was hindert dich dann daran. Aber auch wie Networker schon richtig geschrieben hatte. Mach ein Backup zur Sicherheit und dann leg los.

Quote from Naichbindas

das wenn die Migration zur Zonen Besed Firewall vollzogen ist, dein Netzwerk danach wie gewohnt weiter geht.

Das würde ich so pauschal nicht sagen - oder womit kannst Du ihm garantieren, dass es nach der Umstellung nicht zu unerwünschtem Verhalten kommt?

Dieser Migrationsassistent (Klassisch --> ZBF) wird nicht jegliche "Vorlage" perfekt übersetzen können und gerade bei einem umfangreichen Regelset kommt es ja auch gerne mal zu Dubletten, Rekursionen, Inkonsistenzen etc. . Man kann in diesem Bereich durchaus Dinge falsch, umständlich oder unnötig komplex machen, ohne dass sie unmittelbar auffallen. Von daher ist die Sorge von Callahan nicht ganz unberechtigt, auch wenn wir hier im Board meine ich noch von keinem Fall gehört haben, wo etwas total schief gelaufen wäre.

Quote from Callahan

Wäre es sinnvoll, evtl. vorher schonmal durchzugehen und Dinge gerade zu ziehen oder ist das nachher einfacher/sinnvoller?

Wenn Du jetzt beispielsweise ein VLAN hast, welches eigentlich nicht mehr benötigt wird, kannst Du es auch jetzt schon löschen. Bei den Regeln bringt es m.M.n. nichts, da sich die Konzeption bei der ZBF ändert und Du ja Regeln nicht mehr pauschal für alle Subnetze schreibst. Unter dem Strich sollte Dein Regelset für Dich deutlich übersichtlicher werden, auch wenn man Dinge wie die Isolation von VLANs gegeneinander jetzt mehrfach anlegen muss, an dieser Stelle also mehr Regeln als vorher hat.

Quote from Callahan

Ich denke besonders an das "InterVLAN-Blocking", das man ja "damals" mit einigen Regeln zuerst einrichten musste, damit die VLANs/Netze voneinander getrennt sind. Das geht ja mittlerweile auch eleganter, soweit ich das verstanden habe.

Du musst jetzt nicht mehr die privaten Netze nach RFC1918 als Objekt anlegen, ansonsten ist das von der Logik her noch ziemlich gleich (kann ja auch nicht wirklich anders dargestellt werden).

Was ich immer noch wie früher mache: Eine "Allow: Established/Related"-Regel pro Zone. Man kann zwar bei jeder Regel auch "die Antworten" gleich miterlauben, aber dadurch bekommt man für jede Regel direkt zwei Regeln in der Übersicht angezeigt. Da finde ich es dann mit meiner Methode einfach übersichtlicher.

Quote from Networker

Das würde ich so pauschal nicht sagen - oder womit kannst Du ihm garantieren, dass es nach der Umstellung nicht zu unerwünschtem Verhalten kommt?

Hi das entnehme ich vvoh hier: Migration auf Zone-basierte Firewalls in UniFi

Dort steht ja auch das drinn:

Wird es Ausfallzeiten während der Migration geben?

Nein. Der Migrationsprozess dauert nur wenige Sekunden, und der Verkehr wird während des Übergangs weitergehen.

Was passiert während der Migration?

Ihre bestehenden Regeln werden auf der Grundlage der folgenden Tabelle auf das neue zonenbasierte Rahmen abgebildet. Während dies dazu führen könnte, dass mehrere Regeln generiert werden, sind Ihre Firewall-Richtlinien funktionell identisch.

Warum habe ich so viele Regeln nach der Migration?

Wir haben einen konservativen Ansatz gewählt, um eine identische Funktionalität vor und nach der Migration zu gewährleisten. Infolgedessen kann die Migration eine Vielzahl von Regeln hervorbringen, die überflüssig sind oder anderweitig keine Auswirkungen haben. Nach dem Testen, um zu sehen, welche Regeln funktionieren oder nicht, können Sie überflüssige Regeln entfernen.

Und die Info die du und wir alles anderen immer wieder sagen, VOHER DAS BACKUP MACHEN!

Quote from Networker

Von daher ist die Sorge von Callahan nicht ganz unberechtigt, auch wenn wir hier im Board meine ich noch von keinem Fall gehört haben, wo etwas total schief gelaufen wäre.

Genau so ist es, mir ist auch noch kein Fall bekannt, aber eine hundert Prozentige Sichehrheit gibt es nie. Darum Backup zuim wieder einspielen.

Quote from Callahan

Das ist schonmal eine sehr beruhigende Aussage, die mich dazu verleitet, es später einfach mal zu versuchen

Ich kann mir nicht vorstellen das sich Unifi das leisten kann die ZBF raus zu bringen und nach der Migration das es dann Problemen führen wird.

Aber klar nix ist unmöglich aber wenn du Vorsichtsmaßnahmen triffst und dann dich Stück für Stück damit aus einander setzt was in deinem Fall bestimmt etwas umfangreicher wird, dann wird auch der Lernefekt sehr groß werden und dich zum Erfolg bringen. Mein Tipp dazu wäre, kleine Schritte machen.

Quote from Naichbindas

Hi das entnehme ich vvoh hier: Migration auf Zone-basierte Firewalls in UniFi

Dort steht ja auch das drinn:Wird es Ausfallzeiten während der Migration geben?

Nein. Der Migrationsprozess dauert nur wenige Sekunden, und der Verkehr wird während des Übergangs weitergehen.

Da muss ich ehrlich gesagt etwas schmunzeln. Ich arbeite viel mit IT im Gesundheitswesen und wenn da auch nur die Hälfte der blumigen Werbeversprechen der Hersteller stimmen würde, wären wir hier im Gesundheits-Schlaraffenland.

Dazu kommt noch: Ubiquiti kann doch gar nicht wissen, was der einzelne User möglicherweise für Unsinn konfiguriert hat. Wenn Du die grundlegende Logik eines Systems änderst, ist es durchaus wahrscheinlich, dass vormals unbedeutende Fehler nun viel härter durchschlagen. Das erlebe ich seit 20 Jahren in nahezu allen Bereichen der IT - nicht nur bei Firewallregeln.

Quote from Naichbindas

Ich kann mir nicht vorstellen das sich Unifi das leisten kann die ZBF raus zu bringen und nach der Migration das es dann Problemen führen wird.

Wie gesagt, sie können überhaupt nicht jegliche Eventualität mit abbilden. Natürlich wäre es ein PR-Desaster, wenn die Migration selbst in den kleinsten und simpelsten Umgebungen fehlschlägt, klar. Hat ein User seine "Ausgangsbasis" aber schon stark verbastelt, kann man wohl kaum dem Hersteller des Gerätes die Schuld geben, wenn es bei der Migration zu Schwierigkeiten kommt.

Wenn man mehr als eine Hand voll VLANs hat und dazu noch Zero-Trust-Ansätze o.ä. umsetzt, wird ein Regelset schnell sehr komplex. In sehr großen Unternehmen gibt es Admins, die mit einer vollen Stelle ausschließlich für Firewall-Regeln zuständig sind...

Networker schon wenn man es so nimmt dürftest du garnix. Aber wenn er zur Sicherheit die Backups macht, dann kann er doch den alten Zustand wieder herstellen. Und um ganz sicher zu sein dann müsste er von Anfang an alle alten Regeln löschen und alles von Grund auf neu aufbauen. Aber ich glaube das wäre dann eher in seinem Fall die schlechteste Lösung bei seinem geschilderten Umfang. Aber gut so sei es denn. Vlt ist sein System das erste was nach der Migration Probleme macht vlt auch nicht. Klar an ein paar kleinen Stellen wird es bestimmt etwas holprig weil unifi nicht alles voraus sehen kann, da gebe ich dir Recht und ist bekannt. Aber irgendwie und irgendwann wird er die Sache angehen müssen oder wollen, auf dem einem oder andere Weg.

Die teilen doch einfach nur die einzelnen Netze in die neuen Zonen auf und kopieren dann alles was an alten Regeln da ist in die entsprechende Zone ... prinzipiell geht sogar das aufräumen recht fix, wenn man seine eigenen Regeln versteht, denn da sind dann Regeln mit IP Bereichen in der Matrix auch an Stellen, wo dieser IP Bereich weder als Source noch Destination in einer der beteiligten Zonen vorkommt.

Bei der Migration wird übrigens im Controller eigentlich nur die Variante geswitcht, wie die Firewallregeln erzeugt werden. Man braucht also ein Controller Backup (am besten aus der Network APP und wenn vorhanden/existent das Cloudbackup runtergeladen) von vor der Migration ...

Wozu hier das OS eines UXG gebackupt werden soll... keine Ahnung, das ist bestimmt auch gar nicht vorgesehen. Es ändert sich durch die Migration an keinem OS oder irgendeiner Firmware etwas. Der Controller erzeugt lediglich eine andere Konfiguration für das Gateway, speziell für die iptables ...

Ich glaube, Du verstehst nicht ganz, was ich sagen wollte. Mir geht es nicht darum, den TE vor der Migration abzuhalten, ganz im Gegenteil.

Ich fand lediglich Deine Aussagen ("dein Netzwerk danach wie gewohnt weiter geht") etwas problematisch, denn das klingt so, als hättest Du mit Migrationen in dieser Größenordnung viel Erfahrung. Die Aussagen des Herstellers dazu kann sich ja jeder selbst durchlesen, diese bieten hier keinen wirklichen Mehrwert.

Quote from Callahan

Gibt es denn eine elegante Methode, wie ich mir den jetzigen Stand irgendwie dokumentieren kann?

Vor vielen Jahren ging das mal über CLI, da war allerdings noch das alte UnifiOS am Start. Aktuell ist mir leider nichts bekannt (was nicht heißt, dass es nicht möglich wäre, aber über die GUI definitiv nicht).

Was sonst etwas umständlich wäre geht aber auch, die alten Regeln alle deaktivieren und dann mit neuen Regeln erstellen beginnen, testen und dann bei Bedarf alte Regeln löschen. So kannst du dir wenigstens jederzeit die alten Regeln einmal drüber schaun für die Inspiration. Deaktiviert Regeln stören dann nicht im Betrieb und neu erstellten Regeln. Ist dann eine Art neu, kontrollieren, und altes platt machen. Ist dann nicht ganz so krass wie platt machen. Nur übersichtlich ist das ganze halt dann nicht gerade.

Quote from Naichbindas

Was sonst etwas umständlich wäre geht aber auch, die alten Regeln alle deaktivieren und dann mit neuen Regeln erstellen beginnen, testen und dann bei Bedarf alte Regeln löschen.

Wie soll das denn funktionieren? Wenn man den Schalter auf ZBF umlegt, werden alle Regeln unmittelbar und automatisch konvertiert. Und bevor man den Schalter umlegt, kann man keine zonenbasierten Regeln erstellen, weil es die Logik der Zonen ja noch gar nicht gibt.

Wieso konvertiert. Nach der Migration wird er feststellen das es von seinen Regeln teilweise mehrmals vorhanden sind. Um dem Betrieb sicher zu stellen.

Ein paar neue vordefinierte und nicht löschbare kommen dazu, seitens Unifi um die ZBF im Betrieb nehmen zu können.

Zonen werden vorbereitet und ein paar andere Kleinigkeiten.

Mir wäre aber nicht bewusst das bei der Umstellung auf ZBF meine Regeln verändert werden und anders aussehen und als wie ich sie erstellt habe.

Also ich rede von der Funktion was ich da eingestellt habe. Das Aussehen ist ja klar weil es an die ZBF angepasst wird, aber nicht deren grundlegen Funktion.

Selbst wenn eine von mir zuvvor erstellte Regel nicht zutrifft, dann wird die in der ZBF doch bestenfalls nur automatisch deaktiviert.

Das sieht man dan am gelben Ausrufezeichen.

Ich denke schon wenn er so ein umfangreiches Regelwerk schon hat und aufgebaut wurde, dann wird er auch diese nach der Umstellung auff ZBF wieder erkennen können.

Und die Aussage dir er schon getroffen hatt, Planieren statt sanieren ist eine Option, was ist schlimm daran nach der Migration, alles alte erstmal zu deaktivieren und neues aufbauen.

Und wenn er nicht von seinen vielen alten Regeln erst einen Screenshot machen will oder kann, was nachvollziehbar ist, dann nimmt er die halt mit rüber zur ZBF und kann sie dann sehen, wie diese alten Regeln in der ZBF aussehen und was dort mal eingestellt wurde.

Ich denke schon das er sich dann das beste raussuchen wird um sein System dann zu optiomieren.

Die Logik der Zonen gab es vorher teilweise. Die Zone external - alles mit WAN, die Zone internal - alles mit LAN naja und halt Hotspot oder Gast. Also deutlich weniger. Was halt noch fehlte war die Matrix zu anderen Zonen. Das wurde dann halt ziemlich detailiert und komplizierter mittels Source IPs, Netzen etc. konfiguriert. Hatte also den Namen nicht verdient.

Prinzipiell gibts nur 2 Ansätze. Migrieren und Aufräumen oder eben Migrieren und davor oder danach alles löschen und neu machen.

Ich würde mit Aufräumen beginnen. Wenn man die Regeln vorher gut benannt hat und sogar selbst erstellt hat, geht das gut. Denn die Regel hat den gleichen Namen in allen Zonenkombinationen. Somit ist schnell klar wo die schonmal raus kann. Und dann kann man schauen was man vereinfachen kann, z.B. Zugriff auf das Gateway geht jetzt deutlich einfacher.

Falls das nix wird, geht Variante 2 immer noch.

Mir ist sogar vor kurzem noch aufgefallen, das ich noch eine alte Regel hatte, die überflüssig war in einer Zone, da diese Regel nie zum Zug gekommen wäre, da falsche Source und Quell IPs die in den beteiligten Zonen nicht existieren. Die Migration ist bestimmt über ein halbes Jahr hergewesen.

Quote from Networker

Wenn man mehr als eine Hand voll VLANs hat und dazu noch Zero-Trust-Ansätze o.ä. umsetzt, wird ein Regelset schnell sehr komplex. In sehr großen Unternehmen gibt es Admins, die mit einer vollen Stelle ausschließlich für Firewall-Regeln zuständig sind...

Ich arbeite in der IT und auch sehr viel auf den FWs. Also ja ZeroTrust erfüllt einen 40h Job bereits in kleinen Unternehmen wenn man es ernst nimmt:)

Ein Umstieg von einem komplexen Regelset kann durchaus zu Problemen kommen, da Unifi das ganze nicht so einfach umgesetzt bekommt (aber keine Schuld vom Hersteller)

Definitiv vorher Backups machen und zusätzlich die VM vorher Snapshoten..lieber haben als brauchen:)

Würde das ganze aber an einem Tag machen wo du sicher 2-3 Stunden Zeit hättest das ganze zu Lösen falls es zu Problemen kommt.

Wie detailliert sind deine aktuellen Regeln?