UDM SE Firewall Setup – Empfehlungen / Best Practices gesucht

Quote from fred05

Macht es eurer Meinung nach Sinn, den Honeypot zu aktivieren?

Wirkt nur Intern, du bekommst ne Meldung wenn jemand INTERN Versucht auf die IP zuzugreifen.
Das kann helfen die Frau / Kinder / Opa dabei zu erwischen wenn sie Lokal versuchen Unsinn / Scans
in "deinem" Netzwerk zu veranstalten.Oder halt nur die IP Azrfufen mit einem der "Fake" Dienste dahinter.

Sorgt durchaus auch mal für false Positive wenn du "legal" kram betreibst der dein Netzwerk Scannt, oder
Webserver sucht.

Well I Trust my Family... so keine Option / Nutzen für mich.

Quote from fred05

Meine Firewall hat seit etwa drei Jahren keinen einzigen Hinweis darauf gegeben, dass jemand versucht hat, von außen zuzugreifen. Das kommt mir ehrlich gesagt etwas seltsam vor.

Sofern du nicht nach außen aufhast (außer dein VPN) kann auch nicht von außen Neu reinkommen. Bleiben nur noch
dinge die von INNEN nach draußen wollen, oder Antworten die rein wollen (und dürfen weil von innen initiiert)
die "böses" mit sich tragen.

Für mein Teil meldet mir das IDS mir regelmäßig "SSH Abuse" weil ich auf mein Arbeitsrechner wieder ohne VPN
Versuche mich mit ssh auf IP zu verbinden die nicht reagieren (analog dazu auch RDP Verbindungen.'
Und Ja das IDS lausch auch nur auf Traffic der Intern schon ist.

Und nein, wenn solche Systeme immer auch das WAN Beobachten würde, dann würdest du mehr Meldungen bekommen als die Lieb ist
dafür sogt schon das Grundrauchen das jederzeit versucht deine IP zu scannen, offne Ports zu finden oder auf gut gluck Verbindungen
zu "interessanten" Ports aufzunehmen mit der Hoffnung zufällig was zu finden...

Ich filtere Internetverbindung über Staaten-Listen, eingehende über die Einstellungen, ausgehende über die Firewall. Damit bekommst Du auf jeden Fall etwas Lektüre ins Log geschrieben.

Quote from fred05

Hast du einen guten Portscanner Online?

Habe ein VPS auf dem ich bei bedarf NMAP nutze. Also Ja habe ich und nein das ist privat. Das Öffentliche auf irgendwelchen "Security Webseiten" sind ganz nett aber für mich zu unflexibel..

Quote from fred05

Von innen nach außen, ja das ist schon etwas doof

Alle paar min kommt einer vorbei und klopft bei dir auf z.b Port 80.
Aktuell hast du da nicht laufen, Port zu, keine Chance, keine Verbindung alles ist gut. Warum um <hier die oberste Entität deiner Wahl einfügen>
willen willst du nun absichtlich da "irgendwas" laufen lassen dann dich dann alle 5 Sekunden nervt weil irgendwer da drauf zugreift ?

Quote from fred05

Magst mir sagen wo du das genau einstellst, also Länder habe ich auch schon gemacht. Zumindest gefunden. Dann hatte ich die Dienste wie RDP auch aktiv gesetzt.

Settings --> CyberSecure --> Protection --> Region Blocking nutze ich für eingehenden Verkehr.

Für ausgehenden Verkehr wie gesagt die Firewall, also Regeln in den Zonen Internal --> External und Hotspot --> External. DMZ nutze ich nicht.

Quote from fred05

Vieeln Dank für Deine Antwort. Wo sehe ich in der Weboberfläche welche Ports auf wären?

Von außen nach innen sind überhaupt keine Ports geöffnet, wenn Du nicht irgendeine Portweiterleitung oder explizite Firewallregel dafür erstellt hast.
Und von innen nach außen sind alle Ports geöffnet, solange Du keine explizite Firewallregel dafür erstellt hast.

Wo siehst Du das in der Weboberfläche: In deiner Zone Based Firewall.

Quote from fred05

Warum wird nichts gemeldet das jemand sich den Port ansieht?

Wenn sich jemand den Port "ansieht", dann darf er das offensichtlich gemäß Deiner Firewall. Hier gibt es dann keinen Grund für eine Meldung. Was immer im Log erscheint, sind abgeblockte Zugriffsversuche. Dafür muss aber natürlich erstmal irgendetwas geblockt werden ("Block All"-Regeln" führen glaube ich zu keinen Log-Einträgen).
Stelle unter Settings --> CyberSecure --> Traffic Logging das "Flow Logging" auf "All Traffic", dann kannst Du in den Flows sehen, welche Deiner Geräte wann und wie Verbindungen nach außen aufbauen.

Aber auch wichtig, und darauf wollte gierig sicherlich hinaus: Es bringt gar nichts, irgendetwas zu machen, nur um etwas zu machen. In diesem Bereich sollte man schon relativ genau wissen, was man tut und vor allem, was man erreichen möchte. Sehr konkret, nicht das abstrakte Streben nach mehr Sicherheit.

Quote from fred05

Sollte man diesen Honeypot aktiv setzen,

Wenn du befürchtest das du von Intern gescannt und erforscht werden kannst.. JA. Warte bei mir drauf da das ding anspringt und beweisen kann das meine Frau versucht mich zu hacken...:) Scherz beiseite: Wenn du was böses auf deinem Rechner hast, das wirklich beginnt
dein Netzwerk zu scannen um sich ggf zu verbreiten wie ein Wurm. Dann kann es helfen zu erkennen das da was faul ist.

Mach an, schaden tut es nicht. Aber Obacht.. auch legale dinge wie ein Gerät das Aktive andere Geräte im dem Netz sucht könnte das
auslösen. Und Ja ja Die Meldungen musst du selber einordnen das IP X auf Port y zugegriffen versucht hat. Mehr gibt da nicht.

Quote from fred05

Region Blocking habe ich an mit 150 Ländern.

Hier sind es 0, Zero, nichts. Böse Achsen wie USA / Russland oder die Schweiz dürfen hier genauso rein und auch raus wie
alle anderen auch..Warum ? Ist das eine oder andere besser ? Ein 100% das immer passt gibt es nicht. Das ist immer Individuell auf die eignen Bedürfnisse abzustecken.

BTW.. "böse" Leute machen das nicht mehr von zu Hause aus... die mieten sich seit Jahren Server bei Google/Microsoft/Amazon
und das sehr gerne in USA / Europa. Mein SSH Server im Internet verzeichnet so 80% alle Login Versuche aus der USA/Europa

Quote from fred05

Dazu noch einmal die Frage: Wo finde ich die Zone Based Firewall. Die UDM-SE ist auf dem neusten Stand Software/Firmware.

...

Sollte man diesen Honeypot aktiv setzen,

....Die Zonenbasierte Firewall ist an exakt der Stelle, an der sonst die alte Firewall auftaucht ... Settings und dann das mittlere kleine Symbol. Heißt dann "Zones" statt "Traffic & Firewall Rules".

Der Honigtopf meldet sich halt bei verdächtigen Aktivitäten. Das Ding faked einen Netzwerkteilnehmer und wenn auf diesen bestimmte Dinge passieren wie z.B. Portscans, dann meldet sich das Ding. Ob das was taugt ist eine gute Frage. Vermutlich hat man schon ein größeres Problem wenn der sich meldet und der kann natürlich auch ordentlich false positives bringen.

Quote from gierig

BTW.. "böse" Leute machen das nicht mehr von zu Hause aus... die mieten sich seit Jahren Server bei Google/Microsoft/Amazon
und das sehr gerne in USA / Europa. Mein SSH Server im Internet verzeichnet so 80% alle Login Versuche aus der USA/Europa

Offenbar in NL verortete IPs sind immer gerne auf den Spitzenplätzen So richtig sinnvoll finde ich den Länderfilter auch nicht ... und ist daher bei mir aus.

Quote from DoPe

Offenbar in NL verortete IPs sind immer gerne auf den Spitzenplätzen So richtig sinnvoll finde ich den Länderfilter auch nicht ... und ist daher bei mir aus.

Die einfachste Lösung ist doch, die Firewall von aussen komplett dicht zu machen, dann kannst dir die ganzen Geofilter sparen.

NL = große Locations von MS and Google. Auch andere großen reine Datencenter wie Equinix haben da Multiple Locations wo gerne die
"kleinen" Cloud Firmen ihre Server Hosten um dann ihren 1 Euro VPN auch mit "wir haben Anbindung x" vermarkten zu können.

Quote from Tomcat

Die einfachste Lösung ist doch, die Firewall von aussen komplett dicht zu machen, dann kannst dir die ganzen Geofilter sparen.

Die Firewall ist im Auslieferungszustand komplett dicht, aber das haben wir hier ja eigentlich auch schon oft diskutiert.
Beim Region Blocking geht es darum, dass Pakete aus unerwünschten Ländern die Firewall gar nicht erst erreichen.
In sofern führt deine Aussage ins Leere.

Ich hab noch nie einen Ausfall gehabt. Bei der Migration werden die alten Regeln mehr oder weniger einfach in die Zonenmatrix kopiert. In der Regel ist dann eher Aufräumen angesagt weil es Regeln mit Duplikaten gibt, die an der Stelle überhaupt nicht zum tragen kommen werden, da z.B. Quell- oder Source-Subnet gar nicht in der Zone liegen.

Und man kann sich dann auch Gedanken machen ob manche Regeln nicht einfach durch eine einzige Regel ersetzbar sind.

Ein Video ... hmm, ist wohl nicht sehr hilfreich. Die Migration ist quasi nur mit Klick auszulösen und das war es schon,. Aufräumen musste dann alleine. Google einfach mal nach "wie funktionier die Unifi zonenbasierte Firewall" da kommen einige Treffer für Youtube, da ist sicher was zur Funktionsweise dabei.

Quote from Networker

Beim Region Blocking geht es darum, dass Pakete aus unerwünschten Ländern die Firewall gar nicht erst erreichen.

Das ist ja die Frage:

Wo sitzt die GeoIP-Blockliste softwaretechnisch - vor der Firewall ( was wenig Sinn macht ) oder hinter der Firewall, da kann dort bei geschlossender Firewall gar nichts ankommen, ergo wäre die sinnlos.

Hatte ich ja implizit geschrieben: Vor der Firewall. Und natürlich ergibt das Sinn, denn jedes Paket, welches das Gateway sich nicht genauer über die Firewall anschauen muss, entlastet schließlich das Gesamtsystem.
Dass dies bei einem Privatzugang mit dynamischen IP-Adressen vermutlich keinen riesigen Impact hat, steht auf einem anderen Blatt.

Quote from fred05

Aber ihr sagt es macht Sinn auf die neue Firewall umzustellen?

Es hat bei Dir keinen Effekt, aber wenn Du mal mit eigenen Firewallregeln anfängst, solltest Du dies in der ZBF tun-. Alleine schon deshalb, weil Dir dann besser von denen geholfen werden kann, die ebenfalls die ZBF nutzen - und das sind vom Gefühl her fast alle.
Irgendwann wird Ubiquiti vermutlich auch zwangsweise umstellen, wie es mit der alten Benutzeroberfläche ja auch nach Jahren passiert ist.