Was wollen wir?
Wir wollen die neue "ZBF" Zonebasierte Firewall einsetzen.
Im Moment "Early Access"
Warum wollen wir das?
Unifi hatt uns ein neues Werkzeug zur Verfügung gestellt, für unsere tägliche Arbeit mit unseren Systemen.
Sie soll uns die Arbeit erleichtern und Übersichtlicher werden oder sein, so das Versprechen.
Aber auch das Verständnis dafür sollte damit verbessert werden.
Und wie geht das genau?
Ich versuche hier ein wenig meine Lösung, ein Grundgedanke zu vermitteln.
Damit soll auch ein wenig die Funktion erklärbar sein.
Hi, ich versuche hier ein wenig Licht in die Materie "ZBF" (Zonenbasierte Firewll) von Unifi zu bringen und möchte hier aufzeigen wie ich das für mich gelöst habe und umgesetzt habe.
Es mag sein das nicht alles perfekt ist, sollte aber als Richtschnur reichen.
Vorher ein wenig Theorie:
Wie eine Zonenbasierte Firewall funktioniert habe ich hier : Firewall von Unifi (Zonenbasiert) - Die Funktionsweise , schon versucht zu erklären.
Aber so sehr groß sind die Unterschiede dann halt doch nicht zur bisher alten bekannten Firewall bei Unifi.
Unifi bringt von Haus aus schon ein paar Regeln, auch "Policy" genannt und ein paar vorinstallierte Zonen mit.
Diese sind dann Standard und sind vorkonfiguriert um einen Betrieb zu gewährleisten.
Eine Umstellung von der alten Firewall auf die neue ZBF sieht Unifi dann folgendermaßen vor:
Auf diesem Diagramm kann man schon ein wenig erahnen wohin die Reise geht.
In dieser Abbildung sieht man links wie vorher die alt bekannten Regeln aufgebaut waren, und wie sowie wohin die in der neuen ZBF transferiert wurden.
Da kann es vorkommen das eure vorhandenen alten Regeln jetzt mehrmals zu sehen sein könnten.
Darauf weist auch Unifi vorher drauf hin, und danach sollte separiert werden welche Regeln man davon braucht, und an welcher Stelle diese Regel überhaupt noch einen Sinn macht.
Das sollte bei der Durchsicht der Regeln auffallen, oder durch aus probieren und testen, welche Regeln man behalten oder löschen will.
Mit der neuen ZBF wird eine neue Matrix ausgeliefert die dann uns einen Überblick verschaffen soll, was und wie mit einander funktioniert und irgendwie mit einander kommuniziert oder auch nicht.
So sieht die dann aus.
Wenn wir diese Matrix uns genauer ansehen, und von links "Quelle" nach rechts "Ziel", insbesondere die obere Zeile lesen, merken wir das damit die Richtung gemeint ist.
Soweit sollte das dann auch klar sein. Gehen wir jetzt auf einen der Schnittpunkte von "Quelle" und "Ziel", dann werden nur diese Regeln die dort angewandt werden herraus geflitert, sowie alle anderen die damit nix zu tun haben ausgeblendet. Das soll helfen den Überblick zu behalten und sich nur auf diese Verbindung und genau diese Regeln zu konzentrieren.
Zu finden unter der Zonenmatrix.
Dann zur Info sei noch gesagt. Wir können selber neue Zonen hinzufügen, und dort unsere Netzwerke plazieren. Jedes Netzwerk kann nur in einer Zone sein, und sollten auch in der Zone bleiben, sobald Regeln erstellt wurden. Verschiebt Ihr Netzwerke nachträglich in eine andere Zone, können alte Regeln verfallen und gelöscht werden oder ungültig werden. Diese finden dann keine Anwendung mehr. Dann wäre das was man schon vorher erstellt hatt hinfällig und fangt damit wieder von vorne an.
Das beste ist, erst Zonen anlegen, eure Netzwerke zuordnen und dann erst die Regeln erstellen.
Jede "NEU" erstellte Zone darf oder kann weder mit der einen noch mit einer anderen Zone sprechen. Dort ist erstmal alles geblockt ausser der Zugriff übers "Gateway" und die "External" Schnittstelle, die schon Regeln seitens Unifi haben. Diese werden aber auch benötigt.
Mann kann auch Zonen mit einen Haus das viele Zimmer hatt vergleichen. Jedes Zimmer ist dann eine eigene Zone und dort gibt es eigene Regeln.
Diese wären dann zum Beispiel von "Internal" zu "Internal" zu verstehen.
Über die Zimmertür hinaus ist dann der Verkehr zur anderen Zone gemeint. Gemeint ist dann von "Internal" zu "DMZ" als Beispiel. Hier gelten dann wieder andere Regeln.
1 Vorwort:
Macht euch vorher einen Plan, wie ihr eure Netzwerke und Zonen struckturieren wollt, denn hinterher Netzwerke in andere Zonen verschieben macht eure Arbeit zunichte und riskiert das dann schon erstellte Regeln sinnlos werden oder ohne Funktion gestellt werden, vlt aber auch automatisch entfernt werden. Dann fängt man von vorne an, darum lieber gleich von Anfang an Ordnung rein bringen ins System.
Ich zeige hier auch nur wieder die Regeln die erstmal für den Betrieb geeignet sind. Auf Regeln wie DNS und Admin Geräte und so weiter verzichte ich hier ganz bewusst, weil das weiterführende Regeln sind, die dann aber auch vlt für einige die neu in der Materie sind und oder sich vlt. das erste mal in der "ZBF" vortasten wollen, zur Verwirrung führen könnten.
Nun aber ein wenig Praxis....
Die Regeln sind erstmal für diejenigen die ihre VLAN´s weiterhin in der "Internal Zone" betreiben wollen.
Dazu brauchen wir eine Gruppe, auch Netzwerkobjekte genannt:
Dieses brauchen wir um den Zugang zur Weboberfläche des Unifisystems zu verhindern.
Damit ist dann dieses hier gemeint. Für jedes Netzwerk gibt es immer so einen Zugang.
Der Anfang ist gemacht:
Information:
Diese Regeln brauchen wir nicht mehr.
- Die etablierte und verbundene - Regel, wird seitens Unifi ersetzt durch die "Auto Allow Return Traffic" Möglichkeit.
- Die ungültige Zustände - Regel wird durch Unifi ersetzt durch "Block Invalid Traffic"
Wir können in der Zonenmatrix auf den Schnittpunkt "Quelle Internal" und dem "Ziel Internal" klicken, um diese Schnittstelle raus zu filtern.
In dieser Schnittstelle ist nur eine Regel / Policy drinn, die "ALLOW ALL Traffic".
Die kann nicht gelöscht werden, und wurde von Unifi so vorgegeben, daher ein Schloßsymbol davor.
Diese besagt das in dieser Zone alles erlaubt ist, das "Default" Netzwerk und die Vlan´s können untereinander reden. Da gibt es keine Hemmnisse.
DIESES TRIFFT AUCH NUR AUF DIE "INTERNAL ZONE" ZU.
BEI NEU ERSTELLTEN ZONEN MIT MEHREREN VLAN´s DRINN, IST ERSTMAL ALLES GEBLOCKT AUSSER DER TRAFFIC INNERHALB EINES VLAN´s.
Gehen wir auf "Richtlinie erstellen" und kreirren dort dann unsere ersten Regeln.
Eine erste Regel die dem "Default"-LAN den Zugriff auf die VLAN´s ermöglicht:
Das ist notwendig, das dieses Unifi Hauptnetzwerk auf die VLAN´s zugriff behält, weil wir später die Netzwerk untereinander trennen wollen.
Das erreichen wir mit dieser einfachen Regel.
Dann bleibt ja noch die ebend genannte Geschwätzigkeit der Netzwerke untereinander.
Diesem wollen wir Einhalt gebieten wenn wir unsere Vlan´s in der Internal Zone behalten wollen.
Dazu brauchen wir zwei weitere, diesmal Sperrregeln:
Die Kommunikation zwischen den Netzwerken wird unterbunden, so das sie nur nach als sebständige Netze handeln und existieren können.
Hiermit untersagen wir allen Netzwerken die Kommunikation untereinander.
Aber nur für neue und ungültige Verbindungen, damit wir uns den Weg für spätere Freigaben und den Rückweg freihalten können.
Eine weitere Regel ist, das wir dem Zugriff auf die Gateway Interface´s verhindern:
Dafür hatten wir uns zum Anfang die Netzwerkobjekte angelegt.
Dieses ermöglicht es uns mit einfachen Mitteln seine Ziele zu erreichen.
Damit wollen wir erreichen das alle anderen Endgeräte aus den verschiedenen Netzwerken, NICHT das Interface,
besser gesagt die Unifi Oberfläche erreichen oder aufrufen können.
Wer noch ein Gäste-LAN hat brauch diese Regeln für dieses Gäste VLAN, nicht mehr anlegen, weil das steht schon unter den Restriktionen, der Zone "Hotspot".
Wenn man auf dieses Netzwerk geht, wird dann merken das andere Netzwerke und die Gateway´s von dort eh nicht erreichbar sind.
Falls ihr Regeln habt die auf "Blockieren" stehen und danach noch Regeln die auf "erlauben" eingstellt sind, geht einfach auf "Neu anordnen" und verschiebt dann eure Regeln in der Reihenfolge -
erlauben vor blockieren.
Auch hier drauf achten das selbst die "Rückkehrenden Verkehr zulassen" vor den "Blockieren Regeln" kommen.
Diese Regeln sollten erstmal den Grundbetrieb sicher stellen und ermöglichen.
Wer aber wie ich dann noch weitere Zonen eingerichtet hat, muss noch ein paar wenige weitere Maßnahmen ergreifen.
Aber auch das ist kein Hexenwerk mehr.
Hier einige Beispiele wie ich das gelöst habe.
Ich habe eine neue Zone nennen wir sie mal "Unsicher" erstellt und darin ein Netzwerk, das "IoT-LAN" reingelegt.
Jeglicher Verkehr ist aus dieser Zone und in diese Zone geblockt.
Soltet ihr mehrere VLAN´s im dieser neuen Zone drinn haben, ist auch der Verkehr untereinander verhindert.
Das kommt daher, weil das seitens Unifi erstmal durch diese Regel so vorgegeben wird:
Diese Zone kann nur mit dem Internet verhandeln und darf mit dem Gateway reden, damit DNS, DHCP und das alles funktioniert.
Als erstes über die Schnittstelle "Unsicher" zum "Gateway" folgende Regel erstellen:
"Blockiere IoT-VLAN für alle lokalen Gateway´s" wie zuvor bei Internal auch schon:
Und als letztes dann noch "erlaube den MGMT LAN den Zugriff auf alle VLAN´s"
Da in diesem Fall die Internal Zone ja keinen Zugriff auf diese neu erstellte Zone hatt, somit aber auch das MGMT LAN dann auch nicht.
Das machen wir über die Schnittstelle "Internal" zu "Unsicher".
Dieses ist deshalb Notwendig, da bei jeder "NEU" erstellten Zone erstmal "iN" und "AUS" dieser neuen Zone alles geblockt wird mit "Block All Traffic"
Somit kann auch das Default Netzwerk hier nix ausrichten oder erreichen, daher diese Regel in diesem Fall.
Damit ist dann das Grundgerüst erstmal fertig und reicht für den Betrieb. Alle weiteren Regeln bauen dann darauf auf und sind abhänging von der Strucktur die jeder erschaffen hatt und seine Netzwerke organsiert.
Ich hoffe ich konnte ein wenig helfen dabei und viel Erfolg beim Einrichten eures Konstruckt´s.
Disclaimer: Alle Anleitungen/Tutorials sind nach bestem Wissen und Gewissen verfasst, gehen immer von den definierten Software/Firmware-Versionen aus und sind auf das englische GUI ausgelegt.
Es gibt keine Garantien auf Erfolg. Im Falle eines Misserfolges hilft aber sicherlich die Community hier immer weiter.
Keiner der Autoren oder der Betreiber des Forums ist für die aus der Nutzung resultierenden Probleme/Herausforderungen verantwortlich.
Jegliche hier beschriebenen Schritte erfolgen ausnahmslos in eigener Verantwortung des Durchführenden. Eltern haften für ihre Kinder.
Comments 2