Firewall Einstellungen eines Ubiquiti EdgeRouter (Basic)
In diesem Beitrag gehen wir davon aus das Ihr den Router gerade frisch ausgepackt und die Zugänge manuell oder via Wizard eingerichtet habt.
Hinweis 1: Berücksichtigt wird die Einstellung der Firmware Version 2.08 sowie das aktuelle 2.09 Hotfix1
Hinweis 2: Der EdgeRouter X hat einen zusätzlichen (hardware) Switchpart integriert den man ebenfalls noch mit mehr Sicherheit einstellen kann [Wird in der Advanced Anleitung behandelt]
Hinweis 3: Es gibt einen Unterschied zwischen Port,- und Interfacebasierender Firewall (Einstellungen)
Wir haften nicht für für etwaige Ausfälle oder Schäden durch Falsch,- Miskonfiguration der Netzwerkumgebung. Die Angaben hier sind allgemein gehalten und dienen zum Verständnis und Aufbau einer eigenen Struktur. Ihr seit selbst für ein Backup der Config, sowie das wiederherstellen des Ursprungs verantwortlich. Alle Befehle sind im CLI wie auch via SSH mit einem Admin Konto durchgeführt worden.
Vorwort
Beim Ubiquiti EdgeRouter (x) bestehen z.b. 5 physikalische Ports die durchnummeriert eth0 bis eth4 heissen. Standard wäre beim EdgeRouter(x) eth0 der WAN Port, das heisst das alle anderen Ports (eth1-eth4) auf das interne LAN Interface "switch0" gelegt sind.
Im Standardsetup mit dem Wizard WAN + LAN ausgeführt, werden schon ein paar Einträge gesetzt die auf die Angabe der Interfaces aufgebaut sind. Hier also eth0 und switch0.
Innerhalb dieser Basis sind nun auch schon Rules angelegt die mit "Deny ALL" from WAN > LAN den Verkehr und Aufbau einer Verbindung regeln. Genauer: Erlaubt diese Rule das Clients eine Verbindung ins Internet (WAN) aufbauen dürfen. Eine Verbindung vom Internet nach LAN ist so nicht möglich. Was prinzipiell schon in Ordnung ist.
>> In dieser Anleitung werden wir dieses Regelwerk löschen und eine eigene Zonenbasierende Firewall aufbauen.
Mit einer Zonenbasierenden Firewall können wir Gerätegruppen und/oder auch eine sogenannte DMZ verwalten. Letzteres ermöglicht es einem oder mehreren Geräten, die sich darin befinden, sich frei ins Internet zu verbinden und auch Verbindungen aus dem Internet annehmen zu dürfen.
Noch besser: Wir können Subnetze & VLANs bauen und unser Netzwerk damit segmentieren.
Der Aufbau in diesem Beispiel ist simpel: WAN, LAN (vertrauensvolle Umgebung) und DMZ.
Bevor wir also anfangen müssen wir eine neues Regelwerk bauen. Eine 3-Zonen Firewall benötigt insgesamt 4 Zonen (der Router für sich selbst ist die Zone LOCAL und sollte immer kommunizieren können). Nun könnten wir für jede Richtung und Zone Regeln bauen. Das wären dann gut 12 an der Zahl. Wir machen uns das etwas einfacher und übersichtlicher.
Der Aufbau
Da die Zone LAN unsere vertrauensvolle Umgebung ist sollte der Verkehr von hier an alle anderen Zonen möglich sein. Momentan haben wir allerdings noch ein bestehendes Regelwerk dass die Kommunikation ins LAN verhindert.
Es folgt noch das DMZ mit dem es dann insgesamt 6 Firewallregeln wären:
Nun fangen wir an unser Gerät zu konfigurieren.
Konfiguration
Loggt euch auf der Weboberfläche ein und benutzt das CLI oder geht direkt via SSH/PuTTy auf den Router.
Bevor ihr nun hier loslegt, löscht in der GUI das WAN_IN Rules Set falls ihr beim Einrichten den Wizard verwendet habt.
edit firewall name WAN_IN
set default-action drop
set rule 1 action accept
set rule 1 description Akzeptiert und verbunden
set rule 1 log disable
set rule 1 protocol all
set rule 1 state established enable
set rule 1 state related enable
exit
- Erstellt ein Regelwerk mit den Namen WAN_IN
- Standard Action ist "drop"
- Die Beschreibung lautet "Akzeptieren und verbinden"
- Schaltet das Log aus
- Wird auf alle Protokolle angewendet
- Setzt die Regel auf "Akzeptieren und verbinden"
Wir starten das nächste Ruleset (Regelwerk) wie folgt:
edit firewall name LOCAL_TO_ALL
set default-action accept
edit firewall name LAN_TO_ALL
set default-action accept
exit
edit firewall name DMZ_TO_LAN
set default-action drop
edit firewall name DMZ_TO_LOCAL
set default-action drop
set rule 1 action accept
set rule 1 description dns
set rule 1 log disable
set rule 1 protocol udp
set rule 1 destination port 53
set rule 2 action accept
set rule 2 description dhcp
set rule 2 log disable
set rule 2 protocol udp
set rule 2 destination port 67-68
exit
commit
save
Alles anzeigen
Wenn ihr hier einen genauen Blick darauf werft, seht ihr das der Router DHCP und DNS für die DMZ Zone stellt.
(Falls ihr also einen eigenen DNS/DHCP Service/Server habt müsst ihr genau dieses Setting auslassen und es im "DMZ TO LAN" hinterlegen.)
Nach dem Neustart des Routers werdet ihr in der GUI das nun erstellte Regelwerk sehen - das sollte ohne Fehlerausgabe passiert sein. Ansonsten schaut nochmal genau nach.
Nun fehlen uns nur noch die Richtlinien zu den Zonen.
Richtlinien
Beachtet das hier das WAN Interface "eth0" verwendet wird, das kann bei euch natürlich ein anderes Interface sein. Also bitte entsprechend anpassen!
set zone-policy zone WAN interface eth0
set zone-policy zone WAN default-action drop
set zone-policy zone WAN from LAN firewall name LAN_TO_ALL
set zone-policy zone WAN from DMZ firewall name DMZ_TO_WAN
set zone-policy zone WAN from LOCAL firewall name LOCAL_TO_ALL
set zone-policy zone LAN interface switch0
set zone-policy zone LAN default-action drop
set zone-policy zone LAN from DMZ firewall name DMZ_TO_LAN
set zone-policy zone LAN from WAN firewall name WAN_IN
set zone-policy zone LAN from LOCAL firewall name LOCAL_TO_ALL
set zone-policy zone DMZ interface eth3
set zone-policy zone DMZ default-action drop
set zone-policy zone DMZ from WAN firewall name WAN_IN
set zone-policy zone DMZ from LAN firewall name LAN_TO_ALL
set zone-policy zone DMZ from LOCAL firewall name LOCAL_TO_ALL
set zone-policy zone LOCAL local-zone
set zone-policy zone LOCAL default-action drop
set zone-policy zone LOCAL from DMZ firewall name DMZ_TO_LOCAL
set zone-policy zone LOCAL from LAN firewall name LAN_TO_ALL
set zone-policy zone LOCAL from WAN firewall name WAN_IN
commit
save
Alles anzeigen
- Erstellt die Zone und die Zugehörigkeit des Interface (Bsp.: Zone WAN an eth0)
- Standard Action ist "drop"
- In den nächsten 3 Zeilen bestimmen wir das Firewall Regelwerk das für ankommenden Verkehr zur Zone angewendet werden soll. Basis hierfür ist von wo aus der Verkehr kommt. Beispiel: Verkehr der vom WAN ins LAN geht, hier greift das Regelwerk WAN_IN.
Wir haben nun also alle 3 Zonen und das Regelwerk sowie die Richtlinien erstellt. Zum kurzen Verständnis was in diesem Beispiel passiert:
Geräte oder Clients die am switch0 hängen (eth1,2,3 etc.) sind der LAN Zone zugeteilt und kommen ins Internet. Clients die am eth3 stecken sind in der DMZ Zone, ziehen die IP Adresse und DNS vom EdgeRouter. Sie können aber NICHT ins LAN kommunizieren.
One last thing
Wer aufgepasst hat, merkt das wir für das eth3 (DMZ) noch einen IP-Adressenbereich anlegen müssen. Die darf natürlich nicht in der Standardumgebung des LAN (192.168.1.1/24) sein. Hier könnt ihr selbst kreativ sein und z.b. etwas nehmen wie 192.168.212.1/24 oder 10.10.0.1/24. (Auf dem Interface auf "Actions > Config")
Damit dann auch Geräte die am eth3 angeschlossen werden entsprechende IP-Adressen bekommen, müsst ihr noch einen DHCP Server einrichten. Klickt dafür im Menüband auf "Services" und fügt einen DHCP Server mit der von euch gerade "erdachten" IP Range ein. Router und DNS bitte nicht vergessen zu hinterlegen!
Nun habt ihr euren EdgeRouter mit einer guten Basis Firewall ausgestattet.
Es wird noch einen Beitrag zum Thema EdgeRouter Sicherheit & Härtung [Advanced Anleitung] geben.
Quellen: