Betrieb einer LANCOM R&S®Unified Firewall im transparenten Bridge Mode

Beschreibung:

In einigen Szenarien ist es erforderlich den Datenverkehr vor dem Einsatz der Unified Firewall in einem Netzwerk zu beobachten. Dies kann durch die Verwendung einer transparenten Bridge realisiert werden.

In diesem Artikel wird beschrieben, wie eine LANCOM R&S®Unified Firewall im Bridge Mode betrieben werden kann.

Voraussetzungen:

• LANCOM R&S®Unified Firewall mit LCOS FX ab Version 10.3
  
• Basic oder Full License (Full License erforderlich für UTM-Funktionen)
• Eingerichtetes und funktionsfähiges Netzwerk samt Internetzugang auf dem (LANCOM) Router
• Web-Browser zur Konfiguration der Unified Firewall.
  
  Es werden folgende Browser unterstützt:
  • Google Chrome
  • Chromium
  • Mozilla Firefox

Szenario:

• Auf dem Router ist das IP-Netzwerk 192.168.1.0/24 mit der IP-Adresse 192.168.1.254 eingerichtet. 
• Die Unified Firewall wird mit der Schnittstelle eth1 an den Router angeschlossen. An dieser Schnittstelle wird die IP-Adresse 192.168.1.1 zugewiesen.
• Die Unified Firewall wird mit der Schnittstelle eth2 an das lokale Netzwerk angeschlossen. An dieser Schnittstelle wird das Netzwerk 192.168.1.0/24 zugewiesen.

Diagramm einer Netzwerkarchitektur mit Bezeichnungen wie 'UnifiedFirewall', 'ANEENRauter', 'INTERNET', 'Peer', 'eth' und 'LAN', die verschiedene Komponenten einer Netzwerkinfrastruktur darstellen.

Vorgehensweise:

1. Einrichtung des Bridge-Modus auf der Unified Firewall:

1.1 Öffnen Sie die Konfiguration der Unified Firewall im Browser, wechseln in das Menü Netzwerk → Verbindungen → DNS-Einstellungen.

Screenshot einer technischen Benutzeroberfläche mit Optionen für Filter, Firewall, Netzwerküberwachung, DHCP-Einstellungen, DNS-Einstellungen und DynDNS-Konten.

1.2 Passen Sie folgende Parameter an und klicken auf Speichern.

• DNS-Server beziehen: Entfernen Sie den Haken, damit ein DNS-Server angegeben werden kann.
• 1. Nameserver: Geben Sie die IP-Adresse eines DNS-Servers an, über den die Unified Firewall die Namens-Auflösung durchführen kann (in diesem Beispiel der DNS-Server 8.8.8.8).

Screenshot einer technischen Benutzerschnittstelle mit DNS-Einstellungsoptionen, einschließlich bearbeiteter Versionen und Nameserver-Informationen.

1.3 Wechseln Sie in das Menü Netzwerk → Verbindungen → Netzwerk-Verbindungen und löschen mit einem Klick auf das "Mülltonnen-Symbol" zwei nicht verwendete Verbindungen, damit zwei Ethernet-Ports für eine Bridge zur Verfügung stehen (in diesem Beispiel eth1 und eth2).

Screenshot einer technischen Benutzeroberfläche mit verschiedenen Netzwerkverbindungseinstellungen, einschließlich DNS-Einstellungen, DynDNS-Konten, DHCP-Status und statischen IPs.

1.4 Wechseln Sie in das Menü Netzwerk → Interfaces → Bridge Interfaces und klicken auf das "Plus-Zeichen", um ein Bridge Interface zu erstellen.

Screenshot einer technischen Benutzeroberfläche mit Menüoptionen für Firewall, Bridge Interfaces, DNS-Einstellungen und Netzwerk-Monitoring.

1.5 Fügen Sie bei Ports die in Schritt 1.3 frei gewordenen Ethernet-Ports hinzu und klicken auf Erstellen (in diesem Beispiel eth1 und eth2).

Screenshot einer technischen Konfigurationsoberfläche mit Optionen zur Verwaltung von Netzwerkbrücken, einschließlich Einstellungen für Hardwareadressen, verwendete Ports und Spanning Tree Protocol.

1.6 Wechseln Sie in das Menü Netzwerk → Verbindungen → Netzwerk-Verbindungen und klicken auf das "Plus-Zeichen", um eine neue Verbindung anzulegen.

Screenshot einer technischen Benutzeroberfläche zur Anzeige von Netzwerkverbindungseinstellungen, einschließlich DNS-Einstellungen, DHCP, statischer Verbindungen und PPP-Verbindungen.

1.7 Passen Sie folgende Parameter an:

• Name: Vergeben Sie einen aussagekräftigen Namen.
• Interface: Wählen Sie im Dropdown-Menü das in Schritt 1.5 erstellte Bridge-Interface aus (in diesem Beispiel br0).
• IP-Adressen: Tragen Sie eine freie IP-Adresse aus dem Netzwerk des Routers im CIDR-Format ein und fügen diese über das "Plus-Zeichen" hinzu (in diesem Beispiel 192.168.1.1/24).

Bildschirmfoto einer technischen Konfigurations-Benutzeroberfläche mit Optionen zur Netzwerkverbindung, IP-Adressen und Netzwerk-Failover-Einstellungen, einschließlich Buttons zum Speichern oder Abbrechen von Änderungen.

1.8 Wechsel Sie in den Reiter WAN, passen die folgenden Parameter an und klicken auf Erstellen:

• Setzen Sie den Haken bei Standard-Gateway setzen.
• Tragen Sie bei Standard-Gateway die IP-Adresse des Routers ein (in diesem Beispiel 192.168.1.254).

Bildschirmfoto einer technischen Konfigurationsoberfläche mit verschiedenen Netzwerkeinstellungen, darunter Interface-Typen, Gateway-Konfigurationen und Statusanzeige.

1.9 Klicken Sie auf das Symbol zum Erstellen eines Internet-Objektes.

Screenshot einer technischen Benutzeroberfläche mit Optionen zur Erstellung eines Internetobjekts, Aktivierung der Firewall und Anzeige von Monitoring-Statistiken.

1.10 Passen Sie folgende Parameter an und klicken auf Erstellen:

• Objekt-Name: Vergeben Sie einen aussagekräftigen Namen.
• Verbindungen: Wählen Sie im Dropdown-Menü die in Schritt 1.7 und 1.8 erstellte Verbindung aus und fügen diese über das "Plus-Zeichen" hinzu.

Screenshot einer technischen Konfigurationsoberfläche mit Optionen zur Bearbeitung von Netzwerkeinstellungen, einschließlich Tags und Beschreibungen.

1.11 Klicken Sie auf das Symbol zum Erstellen eines Netzwerks.

Die Abbildung zeigt eine technische Benutzeroberfläche für Firewall-Monitoring und Statistiken.

1.12 Passen Sie folgende Parameter an und klicken auf Erstellen:

• Name: Vergeben Sie einen aussagekräftigen Namen.
• Interface: Wählen Sie das in Schritt 1.5 erstellte Bridge-Interface br0 aus.
• Netzwerk-IP: Tragen Sie die Netz-Adresse des Routers im CIDR-Format ein (in diesem Beispiel 192.168.1.0/24).

Screenshot eines Netzwerk-Konfigurationsmenüs mit Optionen zur Anmeldung, Farbauswahl und Netzwerk-IP-Konfiguration.

1.13 Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen von der Unified Firewall umgesetzt werden.

Bildschirmansicht einer Cybersicherheits-Benutzeroberfläche, die eine Firewall-Konfiguration zeigt.

2. Protokollierung und Auswertung des Datenverkehrs:

Es gibt verschiedene Möglichkeiten die Pakete mitzuprotokollieren und anschließend auszuwerten. Im Folgenden werden zwei unterschiedliche Ansätze beschrieben ("Deny All" und "Allow All"). 

Weiterhin können folgende UTM-Funktionen konfiguriert werden:

• Einrichtung des Application Management
• Einrichtung der Intruder Detection / Intruder Prevention (IDS/IPS) ab Schritt 2.

2.1 Jeglicher Datenverkehr wird geblockt (Deny All):

Da ab Werk alle Pakete verworfen werden (Deny All Strategie), muss keine separate Firewall-Regel erstellt werden.

Dieser Modus eignet sich nur, um den Datenverkehr für einen kurzen Zeitraum zu überprüfen, da keine Kommunikation möglich ist.

2.1.1 Wechseln Sie in das Menü Monitoring & Statistiken → Einstellungen. 

Screenshot einer technischen Benutzeroberfläche mit Optionen für Firewall, Monitoring-Statistiken, Einstellungen und Benachrichtigungseinstellungen.

2.1.2 Wählen Sie bei den folgenden Optionen jeweils Rohdaten lokal speichern aus, damit die blockierten Pakete im Detail protokolliert werden. Klicken Sie anschließend auf Speichern.

• Blockierter eingehender Verkehr
• Blockierter weiterzuleitender Verkehr
• IDPS-Treffer (nur bei Verwendung der Funktion IDS/IPS)

Die Abbildung zeigt eine technische Benutzeroberfläche mit Einstellungen und Monitoring-Optionen zum Speichern von Rohdaten und Erstellen von Statistiken, einschließlich verschiedener Sicherheitsereignisse wie blockierter Verkehr und Malware-Entdeckungen.

2.1.3 Wechseln Sie in das Menü Monitoring & Statistiken → Protokolle → Alarmprotokoll. 

Screenshot einer technischen Benutzeroberfläche mit Menüoptionen einschließlich Firewall, Monitoring-Statistiken, Einstellungen, Benachrichtigungseinstellungen, Connection Tracking, Protokolle, Alarmprotokoll und Auditprotokoll.

2.1.4 Wählen Sie im Feld Weitere Filter den Filter Category: Connection Blocked aus, damit die von der Unified Firewall blockierten Pakete angezeigt werden.

Bildschirmansicht eines technischen Systems mit einem Alarmprotokoll und einer Neuladeanweisung auf einem Konfigurationsmenü.

2.2 Jeglicher Datenverkehr wird zugelassen (Allow All):

Damit alle Pakete zugelassen werden, muss ein Objekt erstellt werden, welches für alle Ports und Protokolle gilt. Anschließend kann dieses in einer Firewall-Regel verwendet werden.

Dieser Modus kann längerfristig verwendet werden, da die Kommunikation vollständig erlaubt wird.

2.2.1 Wechseln Sie in das Menü Desktop → Dienste → Benutzerdef. Dienste und klicken auf das "Plus-Zeichen", um einen neuen benutzerdefinierten Dienst zu erstellen.

Bildschirmansicht einer technischen Benutzeroberfläche mit Menüoptionen für Firewall-Dienste, Netzwerkmonitoring, Benutzerdefinierte Dienste sowie Desktop-Konfigurationen und Regelverwaltung.

2.2.2 Vergeben Sie bei Name einen aussagekräftigen Namen und klicken auf das "Plus-Zeichen" bei Ports und Protokolle, um zur Port- und Protokoll-Auswahl zu gelangen.

Screenshot einer technischen Benutzeroberfläche mit Optionen für benutzerdefinierte Dienste, Änderungserhaltungsmöglichkeiten und Einstellungen für Ports und Protokolle.

2.2.3 Hinterlegen Sie die Ports von 1 - 65535 und setzen die Haken bei TCP und UDP. Klicken Sie anschließend auf OK.

Das Bild zeigt ein technisches Konfigurationsmenü für Netzwerkdienste mit Optionen zur Bearbeitung von Diensten, Ports und den Protokollen TCP (Transmission Control Protocol) und UDP (User Datagram Protocol).

2.2.4 Fügen Sie weiterhin die Protokolle ICMP,  AH und ESP sowie GRE hinzu. 

Screenshot einer technischen Benutzeroberfläche zur Bearbeitung von Diensten, einschließlich Benutzereinstellungen und Protokolleinstellungen mit Optionen für Portkonfiguration und Abbrechen-Button.  Technische Benutzeroberfläche mit Auswahlmöglichkeiten für verschiedene Netzwerkprotokolle, darunter TCP, UDP, ICMP, AH und ESP.  Screenshot einer technischen Konfigurations-Benutzeroberfläche mit Optionen zur Bearbeitung von Diensten, Protokollen und Port-Konfigurationen.

2.2.5 Klicken Sie auf Erstellen, um den benutzerdefinierten Dienst anzulegen.

Bildschirmansicht eines technischen Konfigurationsdialogs zur Benutzeranpassung, mit Optionen zur Auswahl von Netzwerkprotokollen wie TCP, UDP, ICMP, AH, ESP und GRE, sowie Steuerungsbuttons zum Erstellen oder Abbrechen von Vorgängen.

2.2.6 Klicken Sie auf dem Desktop auf das in Schritt 1.12 erstellte Netzwerk-Objekt (in diesem Beispiel LAN), wählen das Verbindungswerkzeug aus und klicken auf das in Schritt 1.10 erstellte Internet-Objekt (in diesem Beispiel WAN-Bridge).  

Bildausschnitt eines technischen Interfaces mit den abgekürzten Buchstaben 'A Y LAN', möglicherweise Teil eines Diagramms oder Menüs.

2.2.7 Fügen Sie den in Schritt 2.2.2 - 2.2.5 erstellten benutzerdefinierten Dienst hinzu.

Bild eines technischen Konfigurationsmenüs mit verschiedenen Netzwerkeinstellungen wie LAN, SEWAN, Bridge, sowie Optionen für URL Content Filter, Application Filter und Application Based Routing, inklusive Buttons für Aktionen und Zeitsteuerung.

2.2.8 Klicken Sie unter Aktion dreimal auf den grünen Pfeil, damit dieser zu einem beidseitigen Pfeil wird und die Kommunikation in beide Richtungen erlaubt wird.

Screenshot eines Netzwerk-Konfigurationsmenüs mit Optionen wie LAN/WAN Bridge, URLContentFilter, ApplicationFilter und ApplicationBasedRouting, sowie Einstellungen für Regeln, Zeitsteuerung und Aktionsauswahl.

2.2.9 Klicken Sie unter Optionen auf NAT, um weitergehende Einstellungen anzupassen.

Screenshot eines technischen Konfigurationsmenüs mit verschiedenen Netzwerkeinstellungen, darunter LAN/WAN Bridge, Regeln für URL- und Anwendungsfilter sowie Optionen für zeitgesteuerte Aktionen und Änderungen.

2.2.10 Setzen Sie das NAT / Masquerading auf Aus, damit der Datenverkehr transparent übertragen wird. 

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von Netzwerkeinstellungen, einschließlich Optionen für Portweiterleitung, NAT-Masquerading, Proxy-Einstellungen und Zeitsteuerung.

2.2.11 Klicken Sie anschließend auf Erstellen.

Screenshot einer technischen Benutzeroberfläche mit Optionen für Netzwerkverbindungen, Regeln für URL- und Anwendungsfilters sowie die Möglichkeit, Änderungen beizubehalten bis zum Abbruch des Dialogs oder Abmelden.

2.2.12 Klicken Sie auf Aktivieren, um die vorgenommenen Änderungen umzusetzen.

Bildschirmansicht einer technischen Benutzeroberfläche für Cybersecurity, die eine Firewall und Monitoringstatistiken anzeigt.

2.2.13 Wechseln Sie in das Menü Monitoring & Statistiken.

Screenshot einer technischen Benutzeroberfläche von Rohde & Schwarz mit Optionen zur Aktivierung von Funktionen, Firewall-Einstellungen, Monitoring-Statistiken und Benachrichtigungskonfigurationen.

2.2.14 Wählen Sie bei Web-Zugriff zugelassen die Option Rohdaten lokal speichern aus, um den erlaubten Datenverkehr im Detail zu protokollieren.

Screenshot eines technischen Konfigurationsmenüs, das verschiedene Einstellungen für Monitoring und Statistiken zeigt, inklusive Optionen für das Speichern von Rohdaten, Weiterleitung an externe Syslog-Server und verschiedene Ereignistypen wie Malware-Entdeckungen und Spam-Feststellungen.

2.2.15 Wechseln Sie in das Menü  Monitoring & Statistiken → Protokolle → Alarmprotokoll . 

Grafische Benutzeroberfläche einer technischen Einstellung mit Funktionen wie Firewall, Monitoring Statistiken, Benachrichtigungseinstellungen, Connection Tracking und verschiedenen Protokoll-Optionen wie Alarm- und Auditprotokoll.

2.2.16 Wählen Sie im Feld Weitere Filter den Filter Category: Connection Finished aus, damit die von der Unified Firewall übertragenen Pakete angezeigt werden.

Screenshot einer technischen Benutzeroberfläche mit einem Alarmprotokoll und Optionen zum Neuladen und Ausschalten.