Firewall

Firewall (SIF): Hinweis zur Filterung lokal generierter IP-Sessions

79 views April 18, 2019 Juli 12, 2019 support 10

Firewall (SIF): Hinweis zur Filterung lokal generierter IP-Sessions

Vorbemerkungen

  • Im Standardfall wird von der Firewall (SIF) keine Filterung von vom Router selbst lokal erzeugten IP-Sessions vorgenommen (Beispiele Syslog, E-Mail Alert, Diagnose-Ping).
  • Bei besonders hohen Sicherheitsanforderungen ist es jedoch möglich, auch solche lokal generierten IP-Sessions von der Firewall selektiv filtern zu lassen.
  • Im Beispiel wird ein bintec Router RS353jw mit Software-Version 10.2.5 verwendet; die Konfiguration erfolgt mittels GUI bzw. Telnet-Konsole.
  • Andere Geräte der bintec Router-Serien und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
  • Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.

Im vorliegenden Beispiel soll die Filterung lokal generierter IP-Sessions in der Firewall eines bintec Routers RS353jw aktiviert werden.

Achtung Ausnahme:
Lokal generierte IPSec-Pakete bilden hier die Ausnahme und können auf diese Weise nicht gefiltert werden.

Maßnahme zur Aktivierung

Um mit der Firewall auch lokal generierte IP-Sessions zu filtern, ist die spezielle MIB-Variable „ipSifLocalFilter“ in der MIB-Tabelle „ipSif“ zu konfigurieren. Die Konfiguration erfolgt in der GUI-Ansicht „SNMP-Browser“ oder auf der „SNMP-Shell“ bzw. auf der Kommmandozeile von Telnet-, SSH- oder serieller Konsole.

Die grundsätzliche Funktion der MIB-Variablen „ipSifLocalFilter“ ist in der HTML MIB-Reference folgendermaßen beschrieben:
„Enable or disable filtering on local requests. Enumerations: enable (1) disable (2)“

Vorgehensweise auf der SNMP-Shell

Aktivierung von „ipSifLocalFilter“ auf der SNMP-Shell bzw. auf der Kommmandozeile der Konsole (Telnet-, SSH- oder seriell):

rs353jw_ks:> ipSifLocalFilter
ipSifLocalFilter( rw):        disable
rs353jw_ks:ipSif> ipSifLocalFilter=enable
ipSifLocalFilter( rw):        enable
rs353jw_ks:ipSif>

 

Alternative Vorgehensweise in der GUI-Ansicht „SNMP-Browser“

Alternativ zur SNMP-Shell ist die Anzeige in der SNMP-Browser-Ansicht der GUI zu sehen, im Hauptmenü unter „ip“ in der Tabelle „ipSif“.

Im SNMP-Browser-Hauptmenü unter „ip“, in der Tabelle „ipSif“, Edit mit Beispielwerten:

Bild 1: GUI-SNMP-Browser unter „ip“, Tabelle „ipSif“, Edit (hier den abschließenden Klick auf „OK“ nicht vergessen!)

Kontrolle der Firewall-Funktion bei aktivierter lokaler Filterung

  • Eine einfache Kontrolle konfigurierter Firewall-Filterregeln mit Quelle „LAN_LOCAL“ (für Zugriff, Verweigern bzw. Zurückweisen) ermöglichen die Syslog-Meldungen am Prompt der Router-Konsole (z.B. mit Telnet) mittels Kommando „debug all&“.

Beispiel mit via „Zugriff“ zugelassenem lokal generiertem Ping:

rs353jw_ks:> debug all&
rs353jw_ks:> ping -c3 192.168.0.20&
rs353jw_ks:> PING 192.168.0.20: 64 data bytes
64 bytes from 192.168.0.20: icmp_seq=0. time=0.713 ms
10:35:14 DEBUG/INET: new session, 192.168.0.115:8->192.168.0.20:0 prot: 1 parent: false
10:35:14 DEBUG/INET: SIF: 1 Accept LAN_LOCAL[1:192.168.0.115:8] -> ANY[1000000:192.168.0.20:0] echo-req:1
64 bytes from 192.168.0.20: icmp_seq=1. time=0.590 ms
64 bytes from 192.168.0.20: icmp_seq=2. time=0.530 ms
----192.168.0.20 PING Statistics----
3 packets transmitted, 3 packets received, 0% packet loss
round-trip (ms)  min/avg/max = 0.530/0.611/0.713
rs353jw_ks:>

Beispiel mit via „Verweigern“ untersagtem lokal generiertem Ping:

rs353jw_ks:> debug all&
rs353jw_ks:> ping -c3 192.168.0.20&
rs353jw_ks:> PING 192.168.0.20: 64 data bytes
10:42:42 DEBUG/INET: new session, 192.168.0.115:8->192.168.0.20:0 prot: 1 parent: false
10:42:42 DEBUG/INET: SIF: 1 Ignore LAN_LOCAL[1:192.168.0.115:8] -> ANY[1000000:192.168.0.20:0] echo-req:1
----192.168.0.20 PING Statistics----
3 packets transmitted, 0 packets received, 100% packet loss
rs353jw_ks:>

Beispiel mit via „Zurückweisen“ untersagtem lokal generiertem Ping:

rs353jw_ks:> debug all&
rs353jw_ks:> ping -c3 192.168.0.20&
rs353jw_ks:> PING 192.168.0.20: 64 data bytes
10:43:27 DEBUG/INET: new session, 192.168.0.115:8->192.168.0.20:0 prot: 1 parent: false
10:43:27 DEBUG/INET: SIF: 1 Reject LAN_LOCAL[1:192.168.0.115:8] -> ANY[1000000:192.168.0.20:0] echo-req:1
----192.168.0.20 PING Statistics----
3 packets transmitted, 0 packets received, 100% packet loss
rs353jw_ks:>

 

Abschlußbemerkung

Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßig in externe Dateien zu exportieren.

Basis

Erstellt: 16.4.2019
Stand: 18.3.2019
Produkt: bintec Router-Serien und be.IP-Serie
Release: 10.2.5
kst14/2019

War die Antwort hilfreich