Was ist der Unterschied zwischen einer Firewall-Regel und einer NAT-Regel?

[owl2010]

Hallo,
worin liegt genau der Unterschied, ob ich nun eine Firewall-Regel in meiner Firewall (Sophos SG135) oder eine NAT-Regel anlege?

Angenommen ich möchte einem PC (hier PV-Anlage) den Verkehr von innen nach außen über einen Port zu einem externen Host im Internet erlauben, löse ich dass dann mit einer Firewall-Regel oder einer NAT-Regel?
Ich habe es jetzt mit einer Firewall-Regel gelöst (siehe Bild). Die Richtung wäre hier doch von innen nach außen oder?

 

[corvus]

NAT setzt nur eine öffentlichen auf einem bestimmten Port in eine private IP um oder in die andere Richtung.

In deinem Fall daher per Firewallregel. Die Regel passt so von innen nach außen, Rückweg musst nicht konfiguriert werden, da es sich um eine SPI-Firewall handelt. Port 25 musst nich als neue Definition anlegen, der ist an der UTm bereits als Dienst SMTP angelegt.

NAT-Regeln solltest Du überhaupt keine brauchen, dafür nutzt man an der UTM die Web Application Firewall.
Mit NAT wird eben ermöglicht, per öffentlicher IP mit Port x auf eine interne Ressource zuzugreifen. Ist daher auch entsprechend potentiell unsicher, vor allem wenn ein Webserver selten gepatcht wird.

NAT + WAF ist auch keine gute Idee, da NAT immer den Vorrang an einer UTM bekommt man so die WAF umgehen würde.

 

[Teiby]

Firewall lässt raus oder rein.
NAT lässt immer raus, aber Port X wird auf interne IP Y rein gelassen.

 

[owl2010]

Danke für die schnellen Antworten.
Also könnte ich auch jede NAT-Regel durch eine Firewall-Regel ersetzen?
Ich habe bei mir eine Telefonanlage, die über einen gewissen Port mit dem Internet bzw. Zugriff von außen kommuniziert. Umgesetzt habe ich das mit der folgenden NAT-Regel:

Ist das so richtig gelöst? Oder würde man das auch besser mit einer Firewall-Regel lösen?

 

[corvus]

Naja das kommt drauf an. NAT leitet den Traffic halt in eine bestimmte Richtung. Wenn die TK-Anlage nur raus ins Netz muss, dann die Firewallregel. Zugriff von außen solltest Du nur über VPN realisieren.

NAT bräuchtest Du zB, wenn jeder Traffic, der über Port 8802 (an einem bestimmten WAN-Interface / öffenlicher IP) ankommt an die TK-Anlage geleitet werden soll.

Hier sehe ich keinen Grund für NAT.

 

[xxxx]

Sicher das du eine Nat Regel brauchst für die Tk Anlage? Und nein du kannst nicht die Nat Regeln durch die Firewall ersetzen es muss beides da sein zumindest eine Maskierungs Regel von Intern nach extern (Wan). Wenn du einen offenen Port für die Tk Anlage brauchst ist deine Regel falsch da ich Annehme das deine TK Anlage am internen Netz hängt müsste das Datenverkehrsziel auf Internal (Network) geändert werden. Bei Datenverkehrsquelle kannst du any lassen oder Internet ipv4/6 nehmen oder wenn die öffentliche Ip direkt am Gateway anliegt sogar Wan (Network). Ich persönlich würde aber die Tkanlage auf eine eigene Schnittstelle legen ist sicherer und erspart die eventuell Probleme mit Proxy usw.

 

[owl2010]

Aber wenn die TK-Anlage doch nur raus ins Netz muss, warum dann noch extra die Angabe von der Anlage mit dem bestimmten Port?

Ergänzung (4. Juni 2018)

Ach ja, hier ist meine allgemeine Maskierungs-Regel:

Ist diese so korrekt?

 

[t-6]

Vorsicht: Die NAT-Regel + sukzessive Firewall die du da gerade einrichtest (Port 8802 (TCP?)) steht anscheinend für die HTTPS-Konfigurationsoberfläche von OpenScape-Telefonanlagen. Any bedeutet, dass ALLE IP-Adressen, also auch das gesamte Internet, also Zugriff auf die Weboberfläche von deiner Telefonanlage bekommen kann. Das willst du definitiv nicht.
Und nein, dass 8802 kein Standardport ist, hilft nicht viel.

Für solche Geschichten solltest du die Web Application Firewall der UTM einrichten (komplizierter) um diese Webseite der TK-Anlage zu schützen. Eine stumpfe Portweiterleitung ist gefährlich.

Wer hat diese Regel überhaupt vorgeschlagen!?

edit: Muss mich korrigieren. TCP 8802 ist wohl für den VoIP-Client gedacht wenn man außerhalb unterwegs ist, welcher HTTPS benutzt. Mh. Würde ich trotzdem nicht auf "any" belassen, außer du willst wirklich nach Möglichkeit aus aller Welt deinen VoIP-Client vom Smartphone oder so aus benutzen.

 

[owl2010]

Hallo t-6,
ja genau, wir haben auf 4 Handys eine App um auf die Telefonanlage zuzugreifen bzw. den Status der Nebenstelle zu ändern. Wie könnte ich es denn ändern, dass nur diese Handys Zugriff haben?

 

[xxxx]

Na die allgemeine Maskierungsregel ist normal die brauchst du. Du hast doch aber bestimmt noch einen Lan Port an der Sophos frei oder? Stecke die TK Anlage an den Lan Port erstelle eine Schnittstelle auf dem Lan Port (andere Ip als das interne Netzwerk zum Beispiel wenn die Netzwerkkarte für das interne Netzwerk 192.168.1.1 hat nimmste 192.168.2.1), erstelle eine Maskierungsregel TK-Schnittstelle ->Wan, erstelle einen Dhcp Server wenn gebraucht, erstelle einen Firewall Eintrag Tk Anlage Network -> Dienste any -> Ziel any, Webproxy,Ips lässt du für die Schnittstelle auf aus, Sip Proxy schaltest du auf ein. Solltest du von außen Zugriff brauchen machst du es dann so wie ich oben beschrieben habe nur als Datenverkehrsziel die Schnittstelle der Tk Anlage. Greifen die Apps nicht über Wlan zu?

 

[owl2010]

Hallo xxxx,
danke für deinen Vorschlag...gibt es auch eine etwas "einfachere" Lösung, die für einen nicht Voll-Profi umsetzbar ist?

 

[xxxx]

Das ist eigentlich eine einfache Lösung weil so trennst du die TK Anlage vom internen Netzwerk und vermeidest Probleme durch Benutzung des Webfilters und der Ips. Die Sophos Utm ist nun mal eine umfangreiche Firewall und braucht ihre Einarbeitungszeit das kann ich dir nicht ab nehmen.

 

[Raijin]

Mal wieder etwas aus der Klugschei*er-Ecke, der Vollständigkeit halber:


NAT steht für Network Address Translation und ist explizit nicht nur in eine "Richtung". Eine Portweiterleitung wie man sie kennt ist durchaus NAT, aber genau genommen ein DNAT, Destination NAT. Dabei wird ein Paket schlicht und ergreifend umgeleitet, wie ein Adressaufkleber auf einem Brief, der über die evtl. falsche ursprüngliche Adresse auf dem Umschlag selbst geklebt wird. Quasi "Stefan Meier" wohnt nicht hier, sondern da". Eine Portweiterleitung ist ein Beispiel für DNAT, weil der Router an ihn gerichtete Pakete mit einem neuen Adressaufkleber versieht und zB an das NAS weiterleitet.

Neben DNAT gibt es jedoch auch noch SNAT, Source NAT. Dabei bleibt die (Ziel-)Adresse auf dem Umschlag unberührt. Stattdessen wird die Absendeadresse auf der Rückseite geändert. Die masquerade-Regel an einem Router ist ein Beispiel dafür. Ruft ein PC in einem Netzwerk zB computerbase.de auf, schickt er seine Pakete mit seiner eigenen IP als Absender weg. Der Router jedoch merkt das und überschreibt den Absender und setzt sich selbst bzw. seine öffentliche IP Adresse ein. Ungefähr so als wenn man im Büro einen Brief in den Postausgang legt und als Absender "Stefan Meier" draufschreibt - die Postabteilung, die den Brief einsammelt, ersetzt das dann mit "DingenskirchensFirma, Tolle Straße 12, 12345 Musterstadt".


Eine Firewall wiederum hat nichts mit Adressaufklebern zu tun, sondern guckt sich nur die Adressen als solche an und arbeitet wie ein Türsteher - zB "Stefan Meier darf keine Post bekommen" oder auch "Stefan Meier darf keine Post verschicken". Wenn die Kriterien der Regel erfüllt werden, schnappt die Aktion zu, blocken oder erlauben. Wird keine der Regeln getriggert, wird die Standardaktion ausgeführt, die ebenfalls blocken oder erlauben kann - je nachdem wie die Firewall konfiguriert wird. Die Firewall, die den Datenverkehr von außen nach innen regelt, wird in der Regel mit Standard=Blocken konfiguriert, während die Firewall, die von innen nach außen regelt, normalerweise Standard=Erlauben eingestellt ist. Frei nach dem Motto: Aus dem Gebäude raus darf jeder, aber rein darf man nur mit Ausweis.


So, viel Geschwafel, nun zum eigentlichen Problem:

Fernzugriff auf ein Netzwerk kann ohne adäquate Kenntnisse des Einrichters fatale Folgen haben. Wenn es sich um eine Firma handelt, kann ich nur dringendst dazu raten, sich einen Profi ins Haus zu holen! Ein bischen Youtube, ein bischen Forum und dann wird man IT-Admin? Wohl kaum. Das soll kein Vorwurf sein, sondern eine ernst gemeinte Warnung. Heute ist es die Telefonanlage, morgen ist es der Fileserver, übermorgen sind alle Daten weg und die Firma pleite. Worst case Szenario, ja, aber die Gefahr ist real.

Das heißt, ich rate dazu, einen fachkundigen ITler damit zu betrauen oder zumindest mit dem Hersteller der Telefonanlage Kontakt aufzunehmen. Für solche Zwecke gibt es definierte Vorgehensweisen, sichere Lösungen statt Bastelei.

Wie dem auch sei, den Zugriff auf eine Portweiterleitung (zu einer Telefonanlage, Server oder was auch immer) kann man maximal durch die Quell-IP einschränken. Das heißt, dass die Absende-IP immer dieselbe sein muss. Bei Mobilfunk oder auch heimischen Internet-Anschlüssen ist das nicht der Fall. Der Router kann also gar nicht erkennen ob es sich um Mobiltelefon #3 handelt oder zB mein Mobiltelefon. Hätte ich also deine WAN-IP und den Port, könnte ich ebenfalls auf die Telefonanlage, sofern diese nicht ihrerseits über Sicherheitsmechanismen verfügt (zB ein Login). Wie erwähnt steigen aber früher oder später die Anforderungen und dann ist es eben auch noch der Fileserver, der erreichbar sein soll. Spätestens dann sollte man sich mit VPNs beschäftigen. Ein VPN ist eine verschlüsselte Verbindung, die man beispielsweise zum Einwählen in ein privates Netzwerk nutzt. Am Handy kurz VPN starten, mit dem VPN-Server im Zielnetzwerk verbinden und dann über diese Verbindung die Telefonanlage, den Fileserver oder auch den Drucker nutzen als säße man direkt daneben.

Eine Sophos bietet zu 100% auch VPN an und deswegen würde ich das immer darüber lösen statt mit nackten Portweiterleitungen zu arbeiten.

 

[owl2010]

Hallo Raijin,
ich gebe dir völlig Recht, nur würde ich mich einfach in das Thema vertiefen und reinarbeiten..lese mir auch nebenbei das pdf-Handbuch der Firewall durch...
Aber wenn wir von Sicherheit generell sprechen:
Es ist ja häufig so, dass man für ein Programm gewisse Ports in der Firewall freischalten muss - sind das nicht auch gefährliche Lücken, die sich dann auftun?
Angenommen ein Programm benötigt die Ports 90 und 6000 bis 6050.
Wir würde man das denn am besten und sichersten realisieren?

 

[Raijin]

Im Prinzip hat man nur die Wahl, die Ports tatsächlich einfach so weiterzuleiten oder sie nur über ein VPN verfügbar zu machen.

Ohne VPN kann man höchstens den Zugriff auf die Ports durch Filterung anhand der Quell-IP oder zB durch Portkombinationen, sogenanntes Port-Knocking, einschränken.

Jede Portweiterleitung stellt grundsätzlich ein gewisses Risiko, einen potentiellen Angriffsvektor dar. Nehmen wir als Beispiel mal eine Dateifreigabe, ein Netzlaufwerk. Das wird über das SMB/CIFS Protokoll realisiert, das aber ausschließlich für das lokale Netzwerk konzipiert wurde. Macht man diese Ports durch Portweiterleitungen aus dem Internet zugreifbar, geht man ein großes Risiko ein, weil es eben nicht für das Internet gewappnet ist und einem versierten Hacker viel Angriffsfläche bietet.

Ein weiteres Beispiel wäre die Konfigseite eines Receivers, die unter Umständen nur unzureichend verschlüsselt ist - wenn überhaupt - und natürlich mit admin/admin Login läuft..

VPNs sind explizit für den Fernzugriff über fremde Netzwerke wie das Internet entwickelt und wirken am Ende wie eine Art kilometerlanges Netzwerkkabel von zu Hause, das man überall mit hinnehmen kann. Sprich : Man kann das entfernte Netzwerk nutzen als wäre man in diesem Netzwerk, physisch.

Ob das in deinem Fall notwendig ist, kommt auf die Telefonanlage an, das kann ich mangels Kenntnissen von selbiger nicht beurteilen. VPN ist aber fast immer ratsam. VPN Server einrichten, am Handy den Client installieren und dann muss man nur das VPN starten und kann die Telefonanlage mit ihrer lokalen LAN IP ansteuern, ohne sie ins Internet zu stellen.

 

[owl2010]

Ah ok...
Also bei der Telefonanlage handelt es sich um eine Unify Octopus FX5.
Aber wie sieht denn z.B. die Sache bei einem FTP-Server aus? Angenommen dem Filezilla. Dort kann ich es doch auch erlauben, dass Daten von außerhalb in mein Netzwerk transferiert werden können.
Wie schütze ich sowas?

 

[Raijin]

FTP ist ein gutes Beispiel. Nacktes FTP ist komplett unverschlüsselt, inkl. Logins in Klartext. Es ist daher brandgefährlich, wichtige Daten via FTP ins Netz zu stellen.

Es ist daher dringendst anzuraten, statt FTP lieber SFTP oder FTPS zu verwenden. Beides sind verschlüsselte Varianten von FTP, die sich auch für Fernzugriff bzw. generell für das Internet eignen.

An diesem Beispiel sieht man aber sehr schön, dass die (Un)Sicherheit einer Portweiterleitung einzig und allein von dem darüber erreichbaren Programm bzw. Server abhängt.

Und wie gesagt, man schützt sich primär dadurch, nur sichere Dienste via Weiterleitung verfügbar zu machen, im Idealfall eben einzig und allein den VPN-Tunnel.

 

[owl2010]

Kann ich denn z.B. Filezilla sicher mithilfe der Sophos SG135 Firewall betreiben?

 

[Raijin]

Wie ich schon sagte, die Sicherheit definiert sich durch den Dienst, der erreichbar ist. Im Falle von nacktem FTP ist die Sicherheit katastrophal, bei SFTP bzw. FTPS ist das etwas anderes.

Ich hab Filezilla seit Ewigkeiten nicht mehr benutzt, aber schau mal in den Optionen ob du eines von beidem einschalten kannst. Wenn ich mich noch recht entsinne, kann Filezilla aber sowieso nur FTPS, auch FTP over SSL/TLS genannt.

Aber nochmal: Wenn du eine VPN-Verbindung von außen in das Netzwerk aufbaust, kannst du jeden beliebigen Dienst im dortigen Netzwerk nutzen als wenn du physisch anwesend wärst. Ich habe zB ein VPN nach Hause und kann von der Firma aus, vom Hotel, von meinen Eltern oder auch von einem Internetcafé am anderen Ende der Welt via VPN auf mein Heimnetzwerk zugreifen und mein NAS als Netzlaufwerk anbinden, meinen Receiver programmieren, auf meinem Drucker drucken und und und.. Ich habe genau einen einzigen Port weitergeleitet, den VPN-Port.

 

[owl2010]

Aber es gibt doch z.B. der Sophos die Möglichkeit, das FTP-Programm über einen FTP-Proxy laufen zu lassen - wie genau siehst du das denn?