Firewall (SIF): Hinweis zur Filterung lokal generierter IP-Sessions

Firewall (SIF): Hinweis zur Filterung lokal generierter IP-Sessions

Inhaltsverzeichnis

1. Vorbemerkungen
2. Maßnahme zur Aktivierung
3. Vorgehensweise auf der SNMP-Shell
4. Alternative Vorgehensweise in der GUI-Ansicht “SNMP-Browser”
5. Kontrolle der Firewall-Funktion bei aktivierter lokaler Filterung
6. Abschlußbemerkung
7. Basis

1. Vorbemerkungen

Im Standardfall wird von der Firewall (SIF) keine Filterung von vom Router selbst lokal erzeugten IP-Sessions vorgenommen (Beispiele Syslog, E-Mail Alert, Diagnose-Ping).
Bei besonders hohen Sicherheitsanforderungen ist es jedoch möglich, auch solche lokal generierten IP-Sessions von der Firewall selektiv filtern zu lassen.
Im Beispiel wird ein bintec Router RS353jw mit Software-Version 10.2.5 verwendet; die Konfiguration erfolgt mittels GUI bzw. Telnet-Konsole.
Andere Geräte der bintec Router-Serien und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.

Im vorliegenden Beispiel soll die Filterung lokal generierter IP-Sessions in der Firewall eines bintec Routers RS353jw aktiviert werden.

Achtung Ausnahme:
Lokal generierte IPSec-Pakete bilden hier die Ausnahme und können auf diese Weise nicht gefiltert werden.

2. Maßnahme zur Aktivierung

Um mit der Firewall auch lokal generierte IP-Sessions zu filtern, ist die spezielle MIB-Variable “ipSifLocalFilter” in der MIB-Tabelle “ipSif” zu konfigurieren. Die Konfiguration erfolgt in der GUI-Ansicht “SNMP-Browser” oder auf der “SNMP-Shell” bzw. auf der Kommmandozeile von Telnet-, SSH- oder serieller Konsole.

Die grundsätzliche Funktion der MIB-Variablen “ipSifLocalFilter” ist in der HTML MIB-Reference folgendermaßen beschrieben:
“Enable or disable filtering on local requests. Enumerations: enable (1) disable (2)”

3. Vorgehensweise auf der SNMP-Shell

Aktivierung von “ipSifLocalFilter” auf der SNMP-Shell bzw. auf der Kommmandozeile der Konsole (Telnet-, SSH- oder seriell):

rs353jw_ks:> ipSifLocalFilter
ipSifLocalFilter( rw):        disable
rs353jw_ks:ipSif> ipSifLocalFilter=enable
ipSifLocalFilter( rw):        enable
rs353jw_ks:ipSif>

4. Alternative Vorgehensweise in der GUI-Ansicht “SNMP-Browser”

Alternativ zur SNMP-Shell ist die Anzeige in der SNMP-Browser-Ansicht der GUI zu sehen, im Hauptmenü unter “ip” in der Tabelle “ipSif”.

Im SNMP-Browser-Hauptmenü unter “ip”, in der Tabelle “ipSif”, Edit mit Beispielwerten:

Bild 1: GUI-SNMP-Browser unter “ip”, Tabelle “ipSif”, Edit (hier den abschließenden Klick auf “OK” nicht vergessen!)

5. Kontrolle der Firewall-Funktion bei aktivierter lokaler Filterung

Eine einfache Kontrolle konfigurierter Firewall-Filterregeln mit Quelle “LAN_LOCAL” (für Zugriff, Verweigern bzw. Zurückweisen) ermöglichen die Syslog-Meldungen am Prompt der Router-Konsole (z.B. mit Telnet) mittels Kommando “debug all&”.

Beispiel mit via “Zugriff” zugelassenem lokal generiertem Ping:

rs353jw_ks:> debug all&
rs353jw_ks:> ping -c3 192.168.0.20&
rs353jw_ks:> PING 192.168.0.20: 64 data bytes
64 bytes from 192.168.0.20: icmp_seq=0. time=0.713 ms
10:35:14 DEBUG/INET: new session, 192.168.0.115:8->192.168.0.20:0 prot: 1 parent: false
10:35:14 DEBUG/INET: SIF: 1 Accept LAN_LOCAL[1:192.168.0.115:8] -> ANY[1000000:192.168.0.20:0] echo-req:1
64 bytes from 192.168.0.20: icmp_seq=1. time=0.590 ms
64 bytes from 192.168.0.20: icmp_seq=2. time=0.530 ms
----192.168.0.20 PING Statistics----
3 packets transmitted, 3 packets received, 0% packet loss
round-trip (ms)  min/avg/max = 0.530/0.611/0.713
rs353jw_ks:>

Beispiel mit via “Verweigern” untersagtem lokal generiertem Ping:

rs353jw_ks:> debug all&
rs353jw_ks:> ping -c3 192.168.0.20&
rs353jw_ks:> PING 192.168.0.20: 64 data bytes
10:42:42 DEBUG/INET: new session, 192.168.0.115:8->192.168.0.20:0 prot: 1 parent: false
10:42:42 DEBUG/INET: SIF: 1 Ignore LAN_LOCAL[1:192.168.0.115:8] -> ANY[1000000:192.168.0.20:0] echo-req:1
----192.168.0.20 PING Statistics----
3 packets transmitted, 0 packets received, 100% packet loss
rs353jw_ks:>

Beispiel mit via “Zurückweisen” untersagtem lokal generiertem Ping:

rs353jw_ks:> debug all&
rs353jw_ks:> ping -c3 192.168.0.20&
rs353jw_ks:> PING 192.168.0.20: 64 data bytes
10:43:27 DEBUG/INET: new session, 192.168.0.115:8->192.168.0.20:0 prot: 1 parent: false
10:43:27 DEBUG/INET: SIF: 1 Reject LAN_LOCAL[1:192.168.0.115:8] -> ANY[1000000:192.168.0.20:0] echo-req:1
----192.168.0.20 PING Statistics----
3 packets transmitted, 0 packets received, 100% packet loss
rs353jw_ks:>

6. Abschlußbemerkung

Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßig in externe Dateien zu exportieren.

7. Basis

Erstellt: 16.4.2019
Stand: 18.3.2019
Produkt: bintec Router-Serien und be.IP-Serie
Release: 10.2.5
kst14/2019

Firewall