Firewall Einstellungen eines Ubiquiti EdgeRouter (Basic)

  • Firewall Einstellungen eines Ubiquiti EdgeRouter (Basic)

    In diesem Beitrag gehen wir davon aus das Ihr den Router gerade frisch ausgepackt und die Zugänge manuell oder via Wizard eingerichtet habt.


    Hinweis 1: Berücksichtigt wird die Einstellung der Firmware Version 2.08 sowie das aktuelle 2.09 Hotfix1
    Hinweis 2: Der EdgeRouter X hat einen zusätzlichen (hardware) Switchpart integriert den man ebenfalls noch mit mehr Sicherheit einstellen kann [Wird in der Advanced Anleitung behandelt]

    Hinweis 3: Es gibt einen Unterschied zwischen Port,- und Interfacebasierender Firewall (Einstellungen)


    :!: Wir haften nicht für für etwaige Ausfälle oder Schäden durch Falsch,- Miskonfiguration der Netzwerkumgebung. Die Angaben hier sind allgemein gehalten und dienen zum Verständnis und Aufbau einer eigenen Struktur. Ihr seit selbst für ein Backup der Config, sowie das wiederherstellen des Ursprungs verantwortlich. Alle Befehle sind im CLI wie auch via SSH mit einem Admin Konto durchgeführt worden. :!:

    Vorwort

    Beim Ubiquiti EdgeRouter (x) bestehen z.b. 5 physikalische Ports die durchnummeriert eth0 bis eth4 heissen. Standard wäre beim EdgeRouter(x) eth0 der WAN Port, das heisst das alle anderen Ports (eth1-eth4) auf das interne LAN Interface "switch0" gelegt sind.


    Im Standardsetup mit dem Wizard WAN + LAN ausgeführt, werden schon ein paar Einträge gesetzt die auf die Angabe der Interfaces aufgebaut sind. Hier also eth0 und switch0.

    Innerhalb dieser Basis sind nun auch schon Rules angelegt die mit "Deny ALL" from WAN > LAN den Verkehr und Aufbau einer Verbindung regeln. Genauer: Erlaubt diese Rule das Clients eine Verbindung ins Internet (WAN) aufbauen dürfen. Eine Verbindung vom Internet nach LAN ist so nicht möglich. Was prinzipiell schon in Ordnung ist.


    >> In dieser Anleitung werden wir dieses Regelwerk löschen und eine eigene Zonenbasierende Firewall aufbauen.


    Mit einer Zonenbasierenden Firewall können wir Gerätegruppen und/oder auch eine sogenannte DMZ verwalten. Letzteres ermöglicht es einem oder mehreren Geräten, die sich darin befinden, sich frei ins Internet zu verbinden und auch Verbindungen aus dem Internet annehmen zu dürfen.

    Noch besser: Wir können Subnetze & VLANs bauen und unser Netzwerk damit segmentieren. :thumbup:


    Der Aufbau in diesem Beispiel ist simpel: WAN, LAN (vertrauensvolle Umgebung) und DMZ.


    Bevor wir also anfangen müssen wir eine neues Regelwerk bauen. Eine 3-Zonen Firewall benötigt insgesamt 4 Zonen (der Router für sich selbst ist die Zone LOCAL und sollte immer kommunizieren können). Nun könnten wir für jede Richtung und Zone Regeln bauen. Das wären dann gut 12 an der Zahl. Wir machen uns das etwas einfacher und übersichtlicher.

    Der Aufbau

    Code: Zone LOCAL
    LOCAL TO WAN
    LOCAL TO DMZ
    LOCAL TO LAN
    
    Wird zu:
    LOCAL TO ALL

    Da die Zone LAN unsere vertrauensvolle Umgebung ist sollte der Verkehr von hier an alle anderen Zonen möglich sein. Momentan haben wir allerdings noch ein bestehendes Regelwerk dass die Kommunikation ins LAN verhindert.


    Code: Zone LAN
    LAN TO WAN
    LAN TO DMZ
    LAN TO LOCAL
    
    Wird zu:
    LAN TO ALL
    Code: Zone WAN
    WAN TO LAN
    WAN TO DMZ
    WAN TO LOCAL
    
    Wird zu:
    WAN IN

    Es folgt noch das DMZ mit dem es dann insgesamt 6 Firewallregeln wären:

    Code
    DMZ TO WAN
    DMZ TO LAN
    DMZ TO LOCAL
    
    LAN TO ALL
    LOCAL TO ALL
    WAN IN

    Nun fangen wir an unser Gerät zu konfigurieren.

    Konfiguration

    Loggt euch auf der Weboberfläche ein und benutzt das CLI oder geht direkt via SSH/PuTTy auf den Router.


    :!: Bevor ihr nun hier loslegt, löscht in der GUI das WAN_IN Rules Set falls ihr beim Einrichten den Wizard verwendet habt. :!:

    Code
    edit firewall name WAN_IN
    set default-action drop
    set rule 1 action accept
    set rule 1 description Akzeptiert und verbunden
    set rule 1 log disable
    set rule 1 protocol all
    set rule 1 state established enable
    set rule 1 state related enable
    
    exit
    • Erstellt ein Regelwerk mit den Namen WAN_IN
    • Standard Action ist "drop"
    • Die Beschreibung lautet "Akzeptieren und verbinden"
    • Schaltet das Log aus
    • Wird auf alle Protokolle angewendet
    • Setzt die Regel auf "Akzeptieren und verbinden"


    Wir starten das nächste Ruleset (Regelwerk) wie folgt:

    Code
    edit firewall name LOCAL_TO_ALL
    set default-action accept
    
    edit firewall name LAN_TO_ALL
    set default-action accept
    
    exit
    Code
    edit firewall name DMZ_TO_WAN
    set default-action accept
    
    exit

    Wenn ihr hier einen genauen Blick darauf werft, seht ihr das der Router DHCP und DNS für die DMZ Zone stellt.

    (Falls ihr also einen eigenen DNS/DHCP Service/Server habt müsst ihr genau dieses Setting auslassen und es im "DMZ TO LAN" hinterlegen.)


    Nach dem Neustart des Routers werdet ihr in der GUI das nun erstellte Regelwerk sehen - das sollte ohne Fehlerausgabe passiert sein. Ansonsten schaut nochmal genau nach. ;)

    Nun fehlen uns nur noch die Richtlinien zu den Zonen.

    Richtlinien

    Beachtet das hier das WAN Interface "eth0" verwendet wird, das kann bei euch natürlich ein anderes Interface sein. Also bitte entsprechend anpassen!

    • Erstellt die Zone und die Zugehörigkeit des Interface (Bsp.: Zone WAN an eth0)
    • Standard Action ist "drop"
    • In den nächsten 3 Zeilen bestimmen wir das Firewall Regelwerk das für ankommenden Verkehr zur Zone angewendet werden soll. Basis hierfür ist von wo aus der Verkehr kommt. Beispiel: Verkehr der vom WAN ins LAN geht, hier greift das Regelwerk WAN_IN.

    Wir haben nun also alle 3 Zonen und das Regelwerk sowie die Richtlinien erstellt. Zum kurzen Verständnis was in diesem Beispiel passiert:


    Geräte oder Clients die am switch0 hängen (eth1,2,3 etc.) sind der LAN Zone zugeteilt und kommen ins Internet. Clients die am eth3 stecken sind in der DMZ Zone, ziehen die IP Adresse und DNS vom EdgeRouter. Sie können aber NICHT ins LAN kommunizieren.

    One last thing

    Wer aufgepasst hat, merkt das wir für das eth3 (DMZ) noch einen IP-Adressenbereich anlegen müssen. Die darf natürlich nicht in der Standardumgebung des LAN (192.168.1.1/24) sein. Hier könnt ihr selbst kreativ sein und z.b. etwas nehmen wie 192.168.212.1/24 oder 10.10.0.1/24. (Auf dem Interface auf "Actions > Config")


    Damit dann auch Geräte die am eth3 angeschlossen werden entsprechende IP-Adressen bekommen, müsst ihr noch einen DHCP Server einrichten. Klickt dafür im Menüband auf "Services" und fügt einen DHCP Server mit der von euch gerade "erdachten" IP Range ein. Router und DNS bitte nicht vergessen zu hinterlegen!


    Nun habt ihr euren EdgeRouter mit einer guten Basis Firewall ausgestattet. 8)


    Es wird noch einen Beitrag zum Thema EdgeRouter Sicherheit & Härtung [Advanced Anleitung] geben.




    Quellen:

    Ubiquiti Ubiquiti Zone Ubiquiti NAT and Portforwarding