Hallo zusammen,
ich beschäftige mich aktuell mit den Firewall-Regeln meiner UDM-SE und habe deswegen (ganz vorbildlich) auch den Wiki-Eintrag bzgl. Firewall studiert und für mich adaptiert. Dabei ist mir speziell bei den LAN local Regeln aufgefallen, dass entweder die Regeln unsinnig sind oder ich noch ein grundsätzliches Verständnisproblem habe. Ich habe den Wiki-Eintrag auch direkt kommentiert, aber da der Autor nicht mehr aktiv im Forum zu sein scheint, wird da keine Reaktion mehr kommen.
Zum Thema:
Die im Wiki-Eintrag formulierten LAN-Local Regeln sollen unterbinden, dass von einem Subnet aus die Gateways der anderen Subnets erreichbar sind.
Wir haben mit Regel 3 die Kommunikation der Subnetze untereinander eingeschränkt. Geräte können sich über die Subnetz-Grenzen nicht sehen und auch nicht erreichen.
Die Gateways der Subnetze sind jedoch noch aus den anderen Subnetze erreichbar.
Beispiel: Von einem Gerät im LAN IoT (10.10.2.x) ist das Gateway des LAN 1 -Admin-LAN- (10.10.1.1) erreichbar. Somit auch USG oder UDM.
Das wollen wir im nächsten Schritt unterbinden.
Die angebotene Lösung funktioniert zusammengefasst so:
- in jedem VLAN wird der Zugriff auf die anderen Subnetze gedropt.
- Da es sich um LAN local Regeln handelt, betrifft es die Gatways in den jeweiligen Subnetzen.
- Das Haupt-LAN wird nicht eingeschränkt.
Im Endeffekt verhindern die Regeln, dass ich beispielsweise aus dem VLAN 10.10.2.0/24 das Gateway 10.10.1.1 erreiche. Also im Prinzip machen sie das, was die formulierte Anforderung war.
Soweit so gut. Aber warum wollen wir das überhaupt?
Wenn es darum geht, dass aus einem beliebigen Hinz und Kunz Subnet heraus die UDM/USG nicht konfigurierbar sein soll (was ich für sinnvoll hielte), dann bringen die Regeln nichts! Denn ich kann aus jedem Subnet logischerweise das jeweilge Standard-Gateway erreichen - und zwar auf allen Ports, also sowohl per http(s) als auch per ssh. Somit habe ich immer noch die Möglichkeit, aus jedem Subnet heraus, die Web-GUI der UDM/USG aufzurufen oder eine ssh-Verbindung herzustellen.
Um das zu unterbinden, reichen 2 simple Regeln in LAN LOCAL:
- erlaube aus dem Management/Default-LAN alles (wie bisher)
- verbiete aus allen LANs den Zugriff auf die Ports 80, 443, 23 in allen Privaten Netzen nach RFC1918
Das funktioniert gut.
Aber was sollen die LAN local Regeln aus dem Wiki-Beitrag bewirken. Haben die einen tieferen Sinn, der sich mir nicht erschließt?