Description: The following document describes how to set up your router's firewall using pre-defined scripts.
Requirements: |
|
Beschreibung:Das folgende Dokument beschreibt, wie Sie mit Hilfe von breitgestellten Skripten die Firewall Ihres Routers einrichten können.Voraussetzungen:LCOS ab Version aktuelle Version ab Version aktuelle Version)Strategien für die Einstellung der Firewall:Firewalls bilden die Schnittstelle zwischen Netzwerken und schränken dort den ungehinderten Datenaustausch mehr oder weniger deutlich ein. Damit stehen die Firewalls den Zielsetzungen der Netzwerke, zu denen sie selbst gehören, entschieden entgegen: Netzwerke sollen Rechner verbinden, Firewalls sollen die Verbindung verhindern. Aus diesem Widerspruch lässt sich das Dilemma der verantwortlichen Administratoren erkennen, die in der Folge verschiedene Strategien zur Lösung entwickelt haben
Strategies for configuring the firewall Firewalls are interfaces between networks and restrict the exchange of data, to a greater or lesser extent. The purpose of a firewall is thus diametrically opposed to that of the network to which it belongs: Networks are supposed to connect computers, firewalls aim to prevent connections.
This contradiction indicates the dilemma of the responsible administrators who, as a result, have developed various strategies as a solution. Allow-All
|
|
Die Allow-All-Strategie stellt die ungehinderte Kommunikation der Mitarbeiter in den Netzwerken über die Sicherheit. Dabei wird zunächst jede Kommunikation erlaubt, das LAN steht für Angreifer weiter offen. Erst durch die Konfiguration des Admins wird das LAN sukzessive sicherer, in dem nach und nach neue Regeln aufgebaut werden, die Teile der Kommunikation einschränken oder verhindern.Deny-AllBei der Deny-All-Strategie wird zunächst nach der Methode “Alles sperren!” verfahren, die Firewall blockt die Kommunikation zwischen dem zu schützenden Netzwerk und dem Rest der Welt vollständig ab. Im zweiten Schritt öffnet der Administrator dann die Adressbereiche oder Ports, die für die tägliche Kommunikation mit dem Internet etc. erforderlich sind.Dieser Ansatz ist für die Sicherheit des LANs besser als die Allow-All-Strategie, führt aber in der Anfangsphase oft zu Schwierigkeiten mit den Benutzern. Einige Dinge laufen eben nach Einschalten der Deny-All-Firewall vielleicht nicht mehr so wie vorher, bestimmte Rechner können ggf. nicht mehr erreicht werden etc.Aufbau einer expliziten ”Deny-All”-StrategieFür einen maximalen Schutz und bestmögliche Kontrolle über den Datenverkehr wird empfohlen, zunächst einmal jeglichen Datentransfer durch die Firewall zu unterbinden. Danach werden dann selektiv nur genau die benötigten Funktionen und Kommunikationspfade freigeschaltet. Dies bietet z.B. Schutz vor sog. ’Trojanern’ bzw. E-Mail-Viren, die aktiv eine abgehende Verbindung auf bestimmten Ports aufbauen.Einige typische Anwendungsfälle sind im Folgenden als Firewall-Regeln aufgezeigt und können einfach und komfortabel mittels Skripten über Gerätetypen und Softwareversionen hinwegübertragen werden.Deny-All: Die wichtigste Regel der Firewall!Die Deny-All-Regel ist mit Abstand die wichtigste Regel zum Schutz des lokalen Netzwerks. Mit dieser Regel verfährt die Firewall nach dem Prinzip: “Alles, was nicht ausdrücklich erlaubt ist, bleibt verboten!” Nur mit dieser Strategie kann der Administrator sicher sein, dass er nicht irgendwo eine Zugangsmöglichkeit “vergessen” hat, denn es gibt nur die Zugänge, die er selbst geöffnet hatThe allow-all strategy prioritizes the unobstructed communication between network users before security. It basically allows any communication and the LAN is open to intruders. The LAN only becomes more secure when the administrator successively configures new rules that restrict or prevent elements of the communication. Deny-All
The deny-all strategy starts with a "block everything" approach with the firewall blocking all communication between the network and the rest of the world. As a second step the administrator then opens up address ranges or ports that are required for day-to-day communication with the Internet, etc.
This approach is better for the security of the LAN than the allow-all strategy but often leads to difficulties for users in the initial phase. Some things may simply not work in the same way after the deny-all firewall is activated and some computers may not be reachable, etc. Developing an explicit "deny-all" strategy In order to achieve the maximum degree of security and control over data traffic, we recommend that you initially block all data transfers through the firewall. Subsequently, only those functions and communication paths that are really required are selectively activated. This provides protection for example from so-called 'trojan horses' or e-mail viruses that actively establish an outgoing connection via certain ports. Some typical applications are described below as firewall rules and can be transferred simply and easily using scripts, irrespective of device type and
software version. Deny-All: The most important rule in a firewall
The deny-all rule is by far the most important rule for the protection of your LAN. With this rule the firewall acts in accordance with the following principle: "Anything not explicitly allowed is forbidden". This is the only strategy with which the administrator can be really sure that no possibility of access has been "forgotten" – only those points of access that have been explicitly allowed are available. | Name | Beschreibung | Skript-Datei |
Deny-ALL |
|
|
Diese Regel unterbindet jegliche Kommunikation über den IP-Router bzw. Firewall. | | | This rule blocks any communication via the IP router or firewall. | |
Allow-HTTP/S |
|
|
Diese Regel erlaubt vom lokalen Netz die Protokoll HTTP und HTTPS (Hypertext Transfer Protocol). Diese Protokolle werden für den Web-Seiten-Aufruf verwendet. (Wichtiger Hinweis: Zu dieser Regel wird zusätzlich die Regel | This rule allows HTTP and HTTPS (hypertext transfer protocol) from the LAN. These protocols are used to call Web pages. (Important notice: The "Allow-DNS" |
|
|
benötigt| rule is required in combination with this rule.) |
|
|
Image RemovedDiese Regel erlaubt vom lokalen Netz das Protokoll FTP (File Transfer Protocol). Dieses Protokoll wird für Datei-Downloads verwendet. (Wichtiger Hinweis: Zu dieser Regel wird zusätzlich die Regel | This rule allows FTP (file transfer protocol) from the LAN. This protocol is used for downloading files. (Important notice: the "Allow-DNS" |
|
|
benötigt| rule is required in combination with this rule.) |
|
|
Image RemovedDiese Regel erlaubt vom lokalen Netz das Protokoll DNS (Domain Name System). Dieses Protokoll wird für die Namensauflösung verwendet. Seine Hauptaufgabe ist die Umsetzung von "Internetadressen" in die zugehörige IP-Adresse. | | Allow-SMTPDiese Regel erlaubt vom lokalen Netz das Protokoll SMTP (Simple Mail Transfer Protocol). Über dieses Protokoll werden Mails versendet. (Wichtiger Hinweis: Zu dieser Regel wird zusätzlich die Regel "Allow-DNS" benötigt.) | | This rule allows the DNS (domain name system) protocol from the LAN. This protocol is used for resolving names. Its main job is to transform "Internet addresses" into the relevant IP addresses. | |
Allow-SMTP | This rule allows SMTP (simple mail transfer protocol) from the LAN. This protocol is used to send e-mails. (Important notice: the "Allow-DNS" rule is required in combination with this rule.) | |
|
|
Image RemovedDiese Regel erlaubt vom lokalen Netz das Protokoll SMTP (Simple Mail Transfer Protocol). Über dieses Protokoll werden Mails versendet. (Wichtiger Hinweis: Zu dieser Regel wird zusätzlich die Regel | This rule allows SMTP (simple mail transfer protocol) from the LAN. This protocol is used to send e-mails. (Important notice: the "Allow-DNS" |
|
|
benötigt| rule is required in combination with this rule.) |
|
|
Image RemovedDiese Regel erlaubt vom lokalen Netz die Protokolle POP3 (Post Office Protocol Version 3) und IMAP (Internet Message Access Protocol). Über dieses Protokoll holen Mail-Clients Mails vom Server ab. (Wichtiger Hinweis: Zu dieser Regel wird zusätzlich die Regel "Allow-DNS" benötigt.) | | Allow-RDPDiese Regel erlaubt vom lokalen Netz das Protokolle RDP (Remote Desktop Protocol). Das Remote Desktop Protocol (RDP) ist ein Protokoll von Microsoft. Es stellt die technische Basis für die Implementation von Terminaldiensten zwischen zwei Computersystemen bereit. | | Allow-IPSECDiese Regel erlaubt vom lokalen Netz die für IPSec-Verbindungen (Internet Protocol Security) benötigte IP-Protokolle | This rule allows POP3 (post office protocol version 3) and IMAP (Internet message access protocol) from the LAN. E-mail clients use these protocols to collect e-mail from a server. (Important notice: the "Allow-DNS" rule is required in combination with this rule.) | |
Allow-RDP | This rule allows RDP (remote desktop protocol) from the LAN. The remote desktop protocol (RDP) is a Microsoft protocol. It provides the technical basis for implementing terminal services between two computer systems. | |
Allow-IPSEC | This rule allows the IP protocols 50 (ESP), 51 (AH) |
|
|
und , sowie das Protokoll 
Image Removed Key Exchange). Damit ist es möglich von einem lokalen Client eine IPSec-Verbindung zu einem im Internet verfügbaren VPN-Gateway aufzubauen. (Hinweis: Diese Regel wird nicht benötigt, wenn der LANCOM Router die IPSec-Verbindungen terminiert.)| key exchange) that are required for IPSec (Internet Protocol security) connections. This enables an IPSec connection to be established from a local client to a VPN gateway in the Internet. (Note: This rule is not required when the LANCOM router is the terminating point for IPSec connections.). |
|
|
Diese Regel erlaubt jegliche Kommunikation zu Ziel-Netzen, die in der IP-Routing-Tabelle des LANCOM Routers auf eine VPN-Gegenstelle verweisen. | | Allow-ELSTERDiese Regel erlaubt vom lokalen Netz das Nutzen der Applikation ELSTER (elektronische Steuererklärung). (Wichtiger Hinweis: Zu dieser Regel wird zusätzlich die Regel "Allow-DNS" benötigt.) | | Allow-NTPDiese Regel erlaubt vom lokalen Netz das Protokoll NTP (Netwok Time Protocol). Über dieses Protokoll können Anwendungen von einem Zeitserver die aktuelle Echzeit abholen. (Wichtiger Hinweis: Zu dieser Regel wird zusätzlich die Regel "Allow-DNS" benötigt.) (Hinweis: Ist der LANCOM Router als Zeitserver konfiguriert, wird diese Regel nicht benötigt) | | Allow-SNMPDiese Regel erlaubt vom lokalen Netz das Protokoll SNMP (Simple Network Management Protocol). Das Protokoll wird verwednet, um Netzwerkelemente (z. B. Router, Server, Switches, Drucker, Computer usw.) von einer zentralen Station aus zu überwachen und zu steuern. | | Allow-TELNET/SSHDiese Regel erlaubt vom lokalen Netz die Protokolle TELNET (Telecommunication Network) und SSH (Secure Shell). TELNET wird dazu verwendet, Benutzern den Zugang zu Internetrechnern über die Kommandozeile (CLI) zu bieten. SSH ist sowohl ein Programm als auch ein Netzwerkprotokoll, mit dessen Hilfe man sich über eine verschlüsselte Netzwerkverbindung auf einem entfernten Computer einloggen und dort Programme ausführen kann. | | | This rule allows any communication to target networks that are in the LANCOM router's IP routing table and point to a VPN remote device. | |
Allow-ELSTER | This rule allows the ELSTER application (German electronic tax declaration) to be used from the LAN. (Important notice: the "Allow-DNS" rule is required in combination with this rule.) | |
Allow-NTP | This rule allows NTP (network time protocol) from the LAN. Applications can use this protocol to obtain the current online time from a time server. (Important notice: the "Allow-DNS" rule is required in combination with this rule.) (Note: This rule is not required if the LANCOM router is configured as a time server). | |
Allow-SNMP | This rule allows SNMP (simple network management protocol) from the LAN. The protocol is used to monitor and manage network components (such as routers, servers switches, printers, computer) from a central device. | |
Allow-TELNET/SSH | This rule allows the telnet (telecommunication network) and SSH (secure shell) protocols from the LAN. Telnet is used to provide users with access to Internet computers from the command line (CLI). SSH is both an application as well as a network protocol and is used to log on to a remote computer and execute programs over an encrypted network connection. | |
Allow-TFTP | This rule allows TFTP (trivial file transfer protocol) from the LAN. The protocol is a very simple file transfer protocol and is used to load operating systems or for configuration purposes over the network. | |
Allow-ICMP | This rule allows the IP protocol ICMP (Internet control message protocol) from the LAN. It is used in networks to exchange error and information messages. | | | Deny-ALL (Package) | This rule combines all rules together into on script file. This rule blocks any communication via the IP router or firewall. + This rule allows the following protocols |
|
|
Allow-TFTPDiese Regel erlaubt vom lokalen Netz das Protokoll TFTP (Trivial File Transfer Protocol). Das Protokoll ist ein sehr einfaches Dateiübertragungsprotokoll und wird z.B. für das Laden von Betriebssystemen oder Konfigurationen über das Netzwerk genutzt. | | Allow-ICMPDiese Regel erlaubt vom lokalen Netz das IP-Protokoll ICMP (Internet Control Message Protocol). Es dient in Netzwerken zum Austausch von Fehler- und Informationsmeldungen. | | Deny-ALL (Package) | Diese Regel fasst alle in dieser Tabelle aufgeführten Regeln in ein Gesamt-Script zusammen.Diese Regel unterbindet jegliche Kommunikation über den IP-Router bzw. Firewall.+Diese Regel erlaubt die Protokolle : HTTP/S, FTP, DNS, SMTP, MAILING, RDP, IPSEC, VPN-Routing, ELSTER, NTP, SNMP, TELNET/SSH, TFTP |
|
|
und | Hinweis:Wir empfehlen die Einrichtung der Deny-All-Regel, bevor das LAN über ein LANCOM mit dem Internet verbunden wird. Anschließend kann man in der Logging-Tabelle (z.B. über LANmonitor zu starten) sehr komfortabel nachvollziehen, welche Verbindungsaufbauten von der Firewall verhindert werden. Mit diesen Informationen wird dann sukzessive die Firewall und “Allow-Regeln” erweitert.Aufbau einer expliziten ”Allow-All”-Strategie:In der Default-Einstellung verfährt die LANCOM Firewall nach einer ”Allow-All”-Strategie, jegliche Kommunikation ist freigeschaltet. Danach sollten selektiv unerwünschte Funktionen und Kommunikationspfade durch die Firewall unterbunden werden.Einige typische Anwendungsfälle sind im Folgenden als Firewall-Regeln aufgezeigt und können einfach und komfortabel mittels Skripten über Gerätetypen und Softwareversionen hinweg übertragen werden
Notice:
We recommend that you set the deny-all rule before attaching the LAN to the Internet via a LANCOM device. You can then use the logging table (that can be launched from LANmonitor) to easily see which connections have been blocked by the firewall. Using this information you can then successively add "allow-rules" to the firewall.
Developing an explicit "allow-all" strategy
The LANCOM firewall's default configuration is based on an "allow-all" strategy" and all communication is allowed. Undesired functions and communication paths over the firewall should then be selectively blocked. Some typical applications are described below as firewall rules and can be transferred simply and easily using scripts, irrespective of device type and
software version. | Name | Beschreibung | Skript-Datei |
Deny-SMTP |
|
|
Diese Regel unterbindet vom lokalen Netz das Protokoll SMTP (Simple Mail Transfer Protocol). Über dieses Protokoll werden Mails versendet. | | This rule blocks SMTP (simple mail transfer protocol) from the LAN. This protocol is used to send e-mails. | |
|
|
Image RemovedDiese Regel unterbindet vom lokalen Netz die Protokolle POP3 (Post Office Protocol Version 3) und IMAP (Internet Message Access Protocol). Über dieses Protokoll holen Mail-Clients Mails vom Server ab. | | This rule blocks POP3 (post office protocol version 3) and IMAP (Internet message access protocol) from the LAN. E-mail clients use these protocols to collect e-mail from a server. | |
|
|
Image RemovedDiese Regel unterbindet vom lokalen Netz die Protokoll HTTP und HTTPS (Hypertext Transfer Protocol). Diese Protokolle werden für den Web-Seiten-Aufruf verwendet. | | Deny-FTPDiese Regel unterbindet vom lokalen Netz das Protokoll FTP (File Transfer Protocol). Dieses Protokoll wird für Datei-Downloads verwendet. | | | This rule blocks HTTP and HTTPS (hypertext transfer protocol) from the LAN. These protocols are used to call Web pages. | |
Deny-FTP | This rule blocks FTP (file transfer protocol) from the LAN. This protocol is used for downloading files. | |
Deny-RDP | This rule blocks RDP (remote desktop protocol) from the LAN. The remote desktop protocol (RDP) is a Microsoft protocol. It provides the technical basis for implementing terminal services between two computer systems. | |
|
|
Deny-RDPDiese Regel unterbindet vom lokalen Netz das Protokolle RDP (Remote Desktop Protocol). Das Remote Desktop Protocol (RDP) ist ein Protokoll von Microsoft. Es stellt die technische Basis für die Implementation von Terminaldiensten zwischen zwei Computersystemen bereit. | 
Image Removed |
Deny-FILESHARING | Diese Regel unterbindet vom lokalen Netz die Kommunikation über die gebräuchlichsten File-Sharing Applikationen. (Wichtiger Hinweis: Für die Vollständigkeit der Portangabe in der Regel übernehmen wir keine Gewähr.). |
|
|
Image Removed |
Deny-INST-MESSAGING | Diese Regel unterbindet vom lokalen Netz die Kommunikation über die gebräuchlichsten Instant Messenger Applikationen. (Wichtiger Hinweis: Für die Vollständigkeit der Portangabe in der Regel übernehmen wir keine Gewähr.) |
|
|
Image RemovedDiese Regel unterbindet vom lokalen Netz das IP-Protokoll ICMP (Internet Control Message Protocol). Es dient in Netzwerken zum Austausch von Fehler- und Informationsmeldungen | | Deny-NTPDiese Regel unterbindet vom lokalen Netz das Protokoll NTP (Netwok Time Protocol). Über dieses Protokoll können Anwendungen von einem Zeitserver die aktuelle Echtzeit abholen. (Wichtiger Hinweis: Zu dieser Regel wird zusätzlich die Regel "Allow-DNS" benötigt.) (Hinweis: Ist der LANCOM Router als Zeitserver konfiguriert, wird diese Regel nicht benötigt) | | Deny-SNMPDiese Regel unterbindet vom lokalen Netz das Protokoll SNMP (Simple Network Management Protocol). Das Protokoll wird verwendet, um Netzwerkelemente (z. B. Router, Server, Switches, Drucker, Computer usw.) von einer zentralen Station aus zu überwachen und zu steuern. | | Deny-TELNET/SSHDiese Regel unterbindet vom lokalen Netz die Protokolle TELNET (Telecommunication Network) und SSH (Secure Shell). TELNET wird dazu verwendet, Benutzern den Zugang zu Internetrechnern über die Kommandozeile (CLI) zu bieten. SSH ist sowohl ein Programm als auch ein Netzwerkprotokoll, mit dessen Hilfe man sich über eine verschlüsselte Netzwerkverbindung auf einem entfernten Computer einloggen und dort Programme ausführen kann. | | | This rule blocks communication using the most common instant messaging applications from the LAN. (Important notice: We assume no liability for the completeness of the information in the rule regarding ports.). | |
Deny-NTP | This rule blocks NTP (network time protocol) from the LAN. Applications can use this protocol to obtain the current online time from a time server. (Important notice: the "Allow-DNS" rule is required in combination with this rule.) (Note: This rule is not required if the LANCOM router is configured as a time server). | |
Deny-SNMP | This rule blocks SNMP (simple network management protocol) from the LAN. The protocol is used to monitor and manage network components (such as routers, servers switches, printers, computer) from a central device. | |
Deny-TELNET/SSH | This rule blocks the telnet (telecommunication network) and SSH (secure shell) protocols from the LAN. Telnet is used to provide users with access to Internet computers from the command line (CLI). SSH is both an application as well as a network protocol and is used to log on to a remote computer and execute programs over an encrypted network connection. | |
Deny-ELSTER | This rule blocks the ELSTER application (German electronic tax declaration) from the LAN. | |
Deny-TFTP | This rule blocks TFTP (trivial file transfer protocol) from the LAN. The protocol is a very simple file transfer protocol and is used to load operating systems or for configuration purposes over the network. | |
Procedure: - The scripts can be imported using LANconfig.
- Highlight the device to be configured, from the context menu (right mouse button) select the menu item Configuration Management → Restore script from file.
- Select one script file and confirm the import with Open. After the script has been loaded you will find the newly created rule in LANconfig under Firewall/QoS → IPv4-Rules → Rules.
- Repeat the above steps to import additional rules
|
|
Deny-ELSTERDiese Regel unterbindet vom lokalen Netz das Nutzen der Applikation ELSTER (elektronische Steuererklärung). | | Deny-TFTPDiese Regel unterbindet vom lokalen Netz das Protokoll TFTP (Trivial File Transfer Protocol). Das Protokoll ist ein sehr einfaches Dateiübertragungsprotokoll und wird z.B. für das Laden von Betriebssystemen oder Konfigurationen über das Netzwerk genutzt. | | Vorgehensweise:Die Skripte können über LANconfig eingespielt werden.Markieren Sie das zu konfigurierende Gerät, wählen Sie über das Kontextmenü (rechte Maustaste) den Menüpunkt Konfigurations-Verwaltung -> Aus Skript-Datei wiederherstellen.
Image RemovedWählen Sie eine Skript-Datei aus und bestätigen Sie das Einspielen mit Öffnen. Nach Einspielen des Skripts finden Sie die erstellte Regel in der LANconfig-Konfiguration im Bereich Firewall/QoS -> IPv4-Regeln -> Regeln. Wiederholen Sie die Schritte für das Einspielen weiterer Regeln
