Was wollen wir?
Wir wollen verstehen wie die neue Zonenbasierte Firewall im Unifisystem funktioniert.
Warum wollen wir das?
Hiermit soll ein kleiner Einblick gewonnen werden in die Funktionsweise und die Idee dahinter.
Ein Verständnis dafür bekommen und erlentes anwenden, bzw. umzusetzen.
Und wie geht das genau?
Schauen wir uns das ein wenig genauer an. Tauchen wir ein in das Unifi Firewall Universum.
1 Zonenbasierte Firewall (im Moment Early Access)
Das neue mächtige Werkzeug das uns Unifi mit der Netwörk Version 9.0 Zur Verfügung gestellt hatt, soll uns die Arbeit erleichtern und vereinachen.
Soll heissen das daß Arbeiten mit der Firewall vereinfacht werden soll, Regeln zu erstellen, zu formen und anzuwenden im täglichen Arbeitsalltag.
Damit sollen wir auch einen einfacheren Überblick im Dschungel behalten können, und das Verständnis soll damit besser zu Geltung kommen.
Wir brauchen dazu ein Unifi Gateway (Cloud, UDM u.s.w.) mit entsprechender OS Version von 4.1 oder höher.
Achtung: Auf das Diagramm oder Zonen-Matrix gehe ich hier nicht näher drauf ein und würde auch den Rahmen sprengen. Dieses dient auch zur Übersicht und Kontrolle und ist eigentlich selbsterklärend.
Vom Start her Weg sind schon ein paar Zonen mitgeliefert worden.
Ich zitiere, weil besser erklären könnte ich das auch nicht:
Extern:
Für eingehenden Datenverkehr, der nicht vertrauenswürdig ist oder eine strengere Kontrolle erfordert,
wie z. B. allgemeiner Internetverkehr über das WAN oder eine Verbindung mit einem VPN-Client-Dienst eines Drittanbieters.
Intern:
Für vertrauenswürdigen Datenverkehr, z. B. Computer von Mitarbeitern und interne Server im lokalen Netzwerk.
Gateway:
Verarbeitet den zum oder vom UniFi-Gateway gerichteten Datenverkehr (z. B. DHCP-, DNS- oder HTTPS/SSH-Verwaltungsanfragen).
VPN:
Für Datenverkehr von entfernten VPN-Benutzern (Identity One-Click VPN, WireGuard, L2TP und OpenVPN) oder Site-to-Site VPNs (Site Magic, IPsec und OpenVPN).
Hotspot:
Für Gast-WiFi-Hotspot-Netzwerke, auf die Geräte nur eingeschränkt zugreifen können.
DMZ:
Für Bereitstellungen, die einen externen Zugriff auf öffentliche Ressourcen wie Web- oder Mailserver erfordern.
2 Können wir weitere Zonen erstellen?
Ja as können wir ganz einfach unter "Einstellungen - Sicherheit - Firewall", dierekt hier erledigen:
Dieses befindet sich zwischen unseren Zonen und dem Diagramm auf der Firewallseite. Dort auf "Create Zone" gehen.
Dann dem ganzen einen Namen verpassen und die Netzwerke / VLAN´s auswählen die da rein sollen fertig, schon erledigt.
Zu beachten aber gilt. Verschiebt man Netzwerke in andere Zonen, kann es sehr wohl passieren das schon zuvor erstellte Firewallregeln nicht mehr funktionieren oder ihre Gültigkeit verlieren. Denn diese Firewallregeln greifen zukünftig hauptsächlich Zonenübergreifend ein und nicht mehr allein nur einzelne Gesichtspunkte die es abzuarbeiten gilt.
Das bedeutet aber nicht das wir nach wie vor keine eigene Regeln mehr erstellen oder nutzen können. Das geht auch weiterhin und ist auch ohne Probleme möglich.
Es wird nur drauf hingewiesen das wen man Netzwerk von einer Zone in eine andere verschiebt zu Problemen führen kann, die aber durch Überarbeiten seiner eigenen Firewallregeln wieder in Ordnung gebracht werden können.
Und zu erwähnen ist noch das ein Netzwerk / VLAN nur jeweils in einer Zone präsent sein kann und nicht in mehreren.
3 Kann ich auch meine Zonen bearbeiten?
Ja das geht auch und zwar hier:
Dort geht ihr dann einfach diesmal auf "Verwalten". Zonen mit Schlosssymbol davor können nicht geändert oder gelöscht werden.
Das betrifft auch die Zonen wie "Internal", "Hotspot" und "DMZ". Diese sind von Unifi vorgegben und bilden die Grundlage.
4 Hier gehen wir einmal auf die Konfiguration ein!
Dieses wird auch "Policies" genannt. (zumindest im Moment, bis Unifi wieder alles umschmeisst oder umbenennt aber das kennen wir ja)
Schauen wir mal unter "Einstellungen - Sicherheit - Firewall", ganz unten unter unseren ganzen Firewallregeln nach.
Dort gibt es diese Möglichkeit:
Auf "Create Policy" gehen und dann geht eine neue Eingabemaske auf.
Die sieht folgendermaßen aus:
So sah es vorher aus.....
und wer dann das neuste Update was seit der Erstellung dieses Beitrags gemacht hatt wird es dann jetzt so vorfinden:
Zu finden auf der rechten Seite des Bildschirms.
Name:
Hier geben wir der Firewallregel einen Namen
Beschreibung:
Endlich können wir hier auch eine kurze Beschreibung der Regel und ihrer Funktion hinterlegen.
Finde das sehr Praktisch. Einfach auch deswegen um nachzuvolleziehen zu können, was habee ich da mal angelgt und wofür.
Source Zone:
Damit ist die Quelle gemeint. Von hier kommt der Datenverkehr.
Als erstes die Zone auswählen, einfach den Button drücken um das Untermenue aufzurufen.
Es gibt dort weitere Unterpunkte die ich hier mal zitiere:
- Beliebig: Passt auf Verkehr, der von einer beliebigen Quelle kommt, egal ob es sich um ein Gerät oder ein Netzwerk handelt.
- Netzwerk: Gibt ein konfiguriertes Netzwerk an, das mit einem bestimmten IPv4- und/oder IPv6-Subnetz verbunden ist.
- IP: Passt auf Verkehr aus einem bestimmten Subnetz, Bereich oder einer einzelnen IP-Adresse oder einem Objekt, das mehrere enthält.
- Gerät: Passt den Datenverkehr von einem oder mehreren Geräten auf der Grundlage der MAC-Adresse ab.
- MAC: Passt den Datenverkehr von einer bestimmten MAC-Adresse ab.
- VPN-Benutzer: Passt den Datenverkehr von einem oder mehreren WireGuard VPN-Benutzern ab. Dies gilt für die VPN-Zone.
- Anschluss: Passt auf den Datenverkehr von einem bestimmten TCP- oder UDP-Port, einem Bereich oder einem Objekt, das mehrere enthält.
Aktion:
Dort legen wir fest ob wir "Blockieren" oder erlauben / Zulassen" oder "Zurückweisen / verwerfen" wollen.
Destination Zone:
Damit ist das Ziel gemeint. Hier soll der Datenverkehr hingehen.
Als erstes die Zone auswählen, einfach den Button drücken um das Untermenue aufzurufen.
Es gibt dort weitere Unterpunkte die ich hier mal zitiere:
- Beliebig: Passt den Verkehr an ein beliebiges Ziel an.
- Netzwerk: Gibt ein Zielnetzwerk an, das mit einem bestimmten IPv4- und/oder IPv6-Subnetz verbunden ist.
- IP: Passt den Datenverkehr an ein bestimmtes Subnetz, einen Bereich oder eine einzelne IP-Adresse oder ein Objekt mit mehreren Adressen an.
- Anwendung: Passt den Datenverkehr an eine Anwendung an. Dies gilt für die Zone Extern.
- Web: Passt den Datenverkehr auf einen Domänennamen ab. Dies gilt für die Zone Extern.
- VPN-Benutzer: Passt den Datenverkehr an einen oder mehrere WireGuard VPN-Benutzer an. Dies gilt für die VPN-Zone.
- Region: Passt den Datenverkehr an eine geografische Region an. Dies gilt für die Zone Extern.
- Anschluss: Passt den Datenverkehr auf einen bestimmten TCP- oder UDP-Port, einen Bereich oder ein Objekt mit mehreren Ports ab.
IP Version:
Hier können wir erstmals festlegen ob wir unsere Firewallregeln nur mit "IPv4" oder nur "IPv6" oder sogar beides "IPv4 und IPv6" nutzen wollen.
Das ist schon eine Erleichterung zu früher, wo wir extra eine Regel für IPv4 und eine für IPv6 anlegen mussten.
Protokoll:
Hier legen wir das Netzwerkprotokoll fest.
- Alle: Entspricht allen Protokollen.
- TCP/UDP: Entspricht sowohl dem Transmission Control Protocol (TCP) als auch dem User Datagram Protocol (UDP).
- TCP: Trifft nur auf TCP-Verkehr zu, der üblicherweise für zuverlässige Kommunikation, wie z. B. Webverkehr, verwendet wird.
- UDP: Passt nur auf UDP-Verkehr, der üblicherweise für DNS- oder Streaming-Dienste verwendet wird.
- Benutzerdefiniert: Passt zu anderen Protokollen wie ICMP oder IGMP.
Connection State:
Hier wird der Verbindungsstatus festgelegt.
- Alle: Smtliche Verbindungen
- Respond Only: Gleicht etablierten und zugehörigen Datenverkehr ab und wird zum Reagieren auf Datenverkehr aus anderen Zonen verwendet.
- Benutzerdefiniert: wie mann es schon kennt:
- 1. Neu: Passt auf das erste Paket einer neuen Verbindung.
- 2. Ungültig: Passt zu Datenverkehr, der Teil einer ungültigen Verbindung ist.
- 3. Erstellt / Entsprechend: Passt zum Verkehr, der Teil einer bereits bestehenden oder verwandten Verbindung ist.
Zum Beispiel eine Antwort von einem Server im Internet auf eine Anfrage, die von einem Gerät innerhalb des Netzes gesendet wurde.
Wieder zurück hier:
Unter Reorder verbirgt sich nix anderes als die Verschiebefunktion unserer selbsterstellten Firewallregeln.
Edit:
Für alle die schon Erfahrungen in Sachen Unifi haben, - Ihr wisst ja von früher, - Erlauben geht vor Blockieren.
Für alle anderen, die neuen in der Unifimaterie. Ihr müsst dann noch eure Regeln / Policy verschieben und zwar in der Reihenfolge.
Das heist die erlauben Regeln müssen vor den blockieren Regeln gereiht werden.
Da die Firewall von oben nach unten abgearbeitet wird. Das trifft solange zu bis eine entsprechende Regel angewandt wird.
Also trift Regel eins nicht zu, dann vlt aber Regel zwei oder drei, und so weiter. Diese wird dann angewandt und das war es.
Wenn also schon zu Anfang an, eine blckieren Regel sein sollte wäre das dann schon das "Aus".
Alles danach würde dann nicht mehr berücksichtigt werden.
(siehe Kommentar von Networker , Danke
Einfach auf "Recorder" und dann die Regeln verschieben und auf "Fertig" gehen.
Damit wird dann das ganze auch gespeichert.
Zum Schluss "Verwalten" dort könnt ihr dann wie gewohnt Zonen und eure selbst erstellten Regeln Pausieren, fortsetzen oder löschen.
Vorkonfigurierte Regeln seitens Unifi sind nachwievor nicht änderbar oder zum löschen geeignet.
Ich hoffe das damit ein wenig Licht ins Dunkel kommt und die Arbeit erleichtert wird.
Viel Erfolg.
Disclaimer: Alle Anleitungen/Tutorials sind nach bestem Wissen und Gewissen verfasst, gehen immer von den definierten Software/Firmware-Versionen aus und sind auf das englische GUI ausgelegt.
Es gibt keine Garantien auf Erfolg. Im Falle eines Misserfolges hilft aber sicherlich die Community hier immer weiter.
Keiner der Autoren oder der Betreiber des Forums ist für die aus der Nutzung resultierenden Probleme/Herausforderungen verantwortlich.
Jegliche hier beschriebenen Schritte erfolgen ausnahmslos in eigener Verantwortung des Durchführenden. Eltern haften für ihre Kinder.
Comments 6