Firewall Regeln ausreichend?

Es gibt 5 Antworten in diesem Thema, welches 1.916 mal aufgerufen wurde. Der letzte Beitrag () ist von defcon.

    Liebe Community

    Ich besitze eine UDM SE , ein AP LR und bin neu im Unifi-Universum.

    Nun konnte ich alles so einstellen wie ich möchte.

    Ich bin mir nicht sicher, ob ich mit den bestehenden, vordefinierten Firewallregeln unter WAN IN / WAN Out genug geschützt bin vor

    Angriffen aus dem Internet.

    Ich meine die Regeln mit den Indexen 3001 und 3002.

    Kurz gesagt, schützt mich die Firewall gut genug vor Zugriffen ausserhalb, wenn ich nichts daran einstelle/verändere?

    Kann mir da jemand erfahrenes die Angst nehmen, "ungeschützt" am Netz zu hängen.


    Vielen Dank

    Die Regel 3001 sorgt dafür, dass niemand von außerhalb eine Verbindung zu dir aufbauen kann. Es werden nur bereits bestehende Verbindungen akzeptiert, dass bedeutet der Verbindungsaufbau muss von innen passieren.

    Deutlich wird das bei VoIP, also bei einem Telefonanruf. Eigentlich kannst du nicht angerufen werden, weil von außen keine Verbindung hergestellt werden kann. Da aber eine Verbindung gewünscht ist, wählt sich deine FritzBox (o.ä.) bei deinem Provider ein, baut also eine Verbindung auf und hält diese aufrecht, selbst wenn nicht telefoniert wird. Über diese Verbindung kannst du dann doch angerufen werden.

    Schützt dich also diese Regel? Jein. Einerseits kann von außen erstmal nichts zu dir herein, das ist gut. Andererseits nehmen gerade viele billige IoT-Geräte von innen heraus Kontakt mit ihrem Hersteller auf (und viele nicht-billige nicht-IoT-Geräte auch: Android, Apple, Amazon, Windows ...). Darüber können diese also zumindest theoretisch in dein Netz.


    Du musst also drei Fragen beantworten:

    1. Welchen Geräten vertraust du?
    2. Wogegen möchtest du dich schützen?
    3. Wie genau definierst du "gut genug"?

    Ok, damit habe ich dir vermutlich nicht die Angst genommen, vielleicht sogar ehr das Gegenteil erreicht.


    Vielleicht also so herum: gab dir bisher eine FritzBox (o.ä.) ausreichend Schutz? Mehr als Regel 3001 und 3002 machen die auch nicht.

    Hallo,


    ich muss einmal kurz nachfragen. Kann man versehentlich die vorgegebenen/voreingestellten Regeln löschen? Damit meine ich die Regeln, welche das System „voreingestellt“ hat bzw. selber „definiert“ = Grundeinstellung.


    Danke für einen Tipp, ich bin mir nämlich nicht sicher ob ich nicht versehentlich einer dieser Regeln gelöscht habe.


    Danke für die Hilfe.

    Die voreingestellten Regeln reichen erst einmal aus, um dein Netz in Betrieb zu nehmen und es von der Außenwelt abzuschirmen. Löschen kann man die m.E. nicht, sondern nur durch hinzufügen von Regeln abschwächen (indem die neuen _vor_ einer andere positioniert werden.

    Da trägst Du dann auch die Verantwortung.

    Ein weiteres, oft betrachtetes Feld sind VLANs, also eine Segmentierung des LANs. Diese führt erst einmal zu keiner verbesserten Sicherheit - daher sollte man erst mal definieren warum man VLANs machen will. Beispiel: Gästenetz (dies ist wieder schön vorbereitet, d.h. Teil des Default-Setups oder IOT-Subnetz). Ein IOT-Subnetz ist für Geräte denen man nicht so vertraut. Ein IOT-Device benötigt primär Zugang zum Internet (z.B. Temperatursensor) - diese Geräte sperrt man in ein VLAN ein und... ja dann muß man in der FW die Regeln so aufsetzen, dass das IOT Subnetz nur ins Internet darf.

    Über diese Themen gibt es massenhaft Abhandlungen verschiedenster Qualität.

    Zitat von vju

    Die voreingestellten Regeln reichen erst einmal aus, um dein Netz in Betrieb zu nehmen und es von der Außenwelt abzuschirmen. Löschen kann man die m.E. nicht, sondern nur durch hinzufügen von Regeln abschwächen (indem die neuen _vor_ einer andere positioniert werden.

    Da trägst Du dann auch die Verantwortung.

    Ein weiteres, oft betrachtetes Feld sind VLANs, also eine Segmentierung des LANs. Diese führt erst einmal zu keiner verbesserten Sicherheit - daher sollte man erst mal definieren warum man VLANs machen will. Beispiel: Gästenetz (dies ist wieder schön vorbereitet, d.h. Teil des Default-Setups oder IOT-Subnetz). Ein IOT-Subnetz ist für Geräte denen man nicht so vertraut. Ein IOT-Device benötigt primär Zugang zum Internet (z.B. Temperatursensor) - diese Geräte sperrt man in ein VLAN ein und... ja dann muß man in der FW die Regeln so aufsetzen, dass das IOT Subnetz nur ins Internet darf.

    Über diese Themen gibt es massenhaft Abhandlungen verschiedenster Qualität.

    … danke, ja die „Trennung“ der VLANs… schiebe ich schon Monate vor mir her… Zeit fehlt an allen Ecken…


    Gute ist aber erst einmal das Du auch bestätigst, das man die Grundregeln nicht löschen kann.

    Zitat von vju

    Löschen kann man die m.E. nicht, sondern nur durch hinzufügen von Regeln abschwächen (indem die neuen _vor_ einer andere positioniert werden.

    Da trägst Du dann auch die Verantwortung.

    Löschen kann man sie nicht, das ist richtig!

    Aber erkläre mir doch mal bitte, wie ich mein Netz schwäche, wenn ich zusätzliche Block/Allow Regeln davor setze?! (Vorausgesetzt ich weiß, was ich da mache)


    Ich finde die Aussage absolut nicht richtig und ich denke es könnte hier User abschrecken.

    Gruß

    defcon