Sulinet végponti routereken előre beállított szűrési szabályok

2015 szeptemberétől a Sulinet végpontokon, ahol már Cisco 892FSP típusú eszközök vannak, a korábbi - Cisco által Context-based Access Control-nak nevezett - tűzfalrendszert egy újabb, zóna alapú tűzfalra cseréltük le (melynek neve: Zone-based Policy Firewall).
Ennek egyik oka az, hogy a CBAC tűzfal elavult, hivatalosan már nem támogatja a Cisco, a másik ok pedig az, hogy kevésbé rugalmas a ZBF-hez képest.

Az új tűzfalon a zónákat a következők szerint neveztük el (a Sulinet Dashboarddal megegyező módon):

  • Privát (ez a Sulinet Dashboard felületen Privát + Wifi néven szerepel)
  • Védett
  • Publikus
  • Internet

A zónák- és a VLAN-ok elnevezési sémája egybevág. Az új tűzfallal új konfiguráció került a routerekre, ez viszont a konfigurációnak csak a tűzfal részét érintette, minden más változatlan maradt. A korábbi, még a CBAC tűzfal idejében a felhasználók, illetve az ügyfélszolgálat által létrehozott szabályok nem vesztek el, hanem átalakultak az új tűzfal által elfogadható formában.
A zóna alapú tűzfalnál minden esetben meg kell határozni, hogy mely zóna a forgalom forrása illetve a célja, emiatt a Dashboard felületet is módosítani kellett.

A zóna alapú tűzfal állapot-követő, tehát a router belenéz a csomagokba és megjegyzi, hogy milyen forrás IP-ről, portról milyen cél IP-re, portra megy a forgalom és ha a küldő választ vár a céltól, akkor a tűzfal akkor is visszaengedi a válaszcsomagot, ha visszirányban minden tiltva lenne.
VPN-nél ez a fajta csomagvizsgálat nem működik, hiszen a forgalom titkosított, a router pedig nem tudja vizsgálni ezen csomagokat, ezért ezen szabályok konfigurációját külön kell kezelni. Az ESP, AH, GRE protokollokat a router mindenféle vizsgálat nélkül átengedi a cél felé, viszont csak az egyik irányba, ezért mindenképpen szükséges ezen protokollok használatánál mindkét irányba engedni a forgalmat!

Általános tűzfalszabályok és elvek

Igyekeztünk mindent megtartani abban a formában, ahogyan az a CBAC idejében is volt, így az általános szűrési séma lényegében nem módosult. Ezen szabályok természetesen felülírhatóak a Dashboard segítségével. Az általános szabályokat a lenti bekezdések ismertetik.

Privát + Wifi, Védett, Publikus zónákra vonatkozó szűrési szabályok

Ezen bekezdés címében meghatározott zónákból, mint a forrászónákból bármely más zónába indított forgalom (tehát kimenő irányba) esetén az alábbi forgalmak vannak tiltva IPv4-en:

PROTOKOLL FORRÁS IP CÉL IP
IP BÁRMI 0.0.0.0/8
IP BÁRMI 10.0.0.0/8
IP BÁRMI 127.0.0.0/8
IP BÁRMI 169.254.0.0/16
IP BÁRMI 172.16.0.0/12
IP BÁRMI 192.0.2.0/24
IP BÁRMI 192.168.0.0/16
IP BÁRMI 240.0.0.0/4

A következő lista IPv4 és IPv6 protokollokra egyaránt vonatkozik:

PROTOKOLL FORRÁS IP ÉS PORT CÉL IP CÉL PORT
UDP BÁRMI BÁRMI 0
UDP BÁRMI BÁRMI 7
UDP BÁRMI BÁRMI 9
UDP BÁRMI BÁRMI 12
UDP BÁRMI BÁRMI 19
UDP BÁRMI BÁRMI 69
UDP BÁRMI BÁRMI 111
UDP BÁRMI BÁRMI 137
UDP BÁRMI BÁRMI 138
UDP BÁRMI BÁRMI 161
UDP BÁRMI BÁRMI 369
UDP BÁRMI BÁRMI 515
UDP BÁRMI BÁRMI 631
TCP BÁRMI BÁRMI 0
TCP BÁRMI BÁRMI 7
TCP BÁRMI BÁRMI 9
TCP BÁRMI BÁRMI 12
TCP BÁRMI BÁRMI 19
TCP BÁRMI BÁRMI 111
TCP BÁRMI BÁRMI 135
TCP BÁRMI BÁRMI 138
TCP BÁRMI BÁRMI 139
TCP BÁRMI BÁRMI 369
TCP BÁRMI BÁRMI 445
TCP BÁRMI BÁRMI 512
TCP BÁRMI BÁRMI 513
TCP BÁRMI BÁRMI 515
TCP BÁRMI BÁRMI 593
TCP BÁRMI BÁRMI 631
TCP BÁRMI BÁRMI 901
TCP BÁRMI BÁRMI 1025
TCP BÁRMI BÁRMI 1080
TCP BÁRMI BÁRMI 1433
TCP BÁRMI BÁRMI 1434
TCP BÁRMI BÁRMI 2745
TCP BÁRMI BÁRMI 3127
TCP BÁRMI BÁRMI 3128
TCP BÁRMI BÁRMI 4444
TCP BÁRMI BÁRMI 4899
TCP BÁRMI BÁRMI 5000
TCP BÁRMI BÁRMI 6129
TCP BÁRMI BÁRMI 6588
TCP BÁRMI BÁRMI 6777
TCP BÁRMI BÁRMI 10080
TCP BÁRMI BÁRMI 12345
TCP BÁRMI BÁRMI 17300
TCP BÁRMI BÁRMI 20168
TCP BÁRMI BÁRMI 27374

A fentieken kívül az alábbi protokollokat vizsgálja a router által (ezáltal a válaszcsomagokat a router automatikusan visszaengedi) kimenő irányba:

  • ICMP
  • FTP
  • TCP
  • UDP

Látható, hogy a fenti 4 protokoll között nem szerepelnek a VPN-hez szükséges protokollok (ESP, AH, GRE), így ezen forgalmak külön engedélyezés nélkül automatikusan eldobódnak. Ismételten megjegyezzük, hogy a fenti 4 protokollt (ICMP, FTP, TCP, UDP) a router megvizsgálja és automatikusan visszaengedi a válaszcsomagokat, míg az ESP, AH, GRE esetén a router vizsgálat nélkül átengedi a csomagokat, így azokat mindkét irányba (oda-vissza) külön engedélyezni kell!

Privát + Wifi zónára vonatkozó szűrési szabályok

Ez a zóna a Privát és a Wifi szegmenst egy zóna alatt kezeli; ez azt jelenti, hogy a routeren a Privát és a Wifi szegmenshez tartozó intefészek azonos zónában vannak. Általánosságban elmondható, hogy a Cisco 892FSP típusú routerek GigabitEthernet 3, 4, 5-ös portja tartozik a Privát zónához, mely zónán belül a 192.168.64.0/24-es privát IP cím kerül kiosztásra DHCP-n keresztül (ez külön kikapcsolható a Dashboardon). A Wifi szegmens azon intézményeknél számít, ahol telepítésre kerültek Cisco márkájú Access Pointok. Ez a szegmens a 192.168.80.0/20-as privát IP címtartományt használja; itt szintén DHCP szerver osztja a címeket, viszont ez nem kapcsolható ki a Dashboardon. Mivel a Privát és Wifi szegmenst a router egy zóna alatt kezeli, ezért az ezen zónában esetlegesen létrehozott tiltó/engedélyező szabályoknál csak a forrás/cél (attól függ, melyik irányról van szó: kimenő vagy bejövő?) IP-vel lehet szabályozni, hogy a két szegmens közül melyikre vonatkozon a tiltás/engedélyezés.
Az egyes szegmensek IPv6 címe a Dashboardon olvasható a Hálózat menü, Általános adatok fül alatt. A router IPv6 címe minden esetben az adott prefix első IPv6 címe, tehát a ::1 (azaz ha valamelyik szegmensen a 2001:738:FFFF:FB01::/64 látható a Dashboardon, akkor abban a szegmensben a router IPv6 címe a 2001:738:FFFF:FB01::1/64 lesz)
FIGYELEM! Ebből a szegmensből 2016.03.18-tól a GRE alapú tunnelezés (PPTP VPN) a továbbiakban nem támogatottá válik. Ez a megkötés a publikus szegmenset nem érinti! A privát szegmensből más (pl. L2TP) tunnelezési technika továbbra is használható!

Védett zónára vonatkozó szűrési szabályok

A védett zónára igazak azok, amik a Privát + Wifi zónára is igazak voltak azzal a kivétellel, hogy a Védett zónában lévő eszközök elérhetik a Privát szegmens eszközeit IPv4-en és IPv6-on egyaránt. A Védett zónában általában a 172.16.0.0/12-es hálózat valamelyik kisebb tartománya használatos. Az ide csatlakoztatott eszközök DHCP-n keresztül kapnak IP címet, mely a Dashbarod felületen kikapcsolható.
FIGYELEM! Ebből a szegmensből 2016.03.18-tól a GRE alapú tunnelezés (PPTP VPN) a továbbiakban nem támogatottá válik. Ez a megkötés a publikus szegmenset nem érinti! A védett szegmensből más (pl. L2TP) tunnelezési technika továbbra is használható!

Publikus zónára vonatkozó szűrési szabályok

A Publikus zónában használt eszközökre ugyanaz a szabály vonatkozik kimenő irányba, mint a Privát + Wifi, Védett, Publikus zónákra vonatkozó szűrési szabályok bekezdésben foglaltak azzal a különbséggel, hogy az internet felől bejövő irányba csak a 25-ös, 80-as, 443-as portok, illetve az ICMP protokoll van engedélyezve IPv4-en és IPv6-on is.
A Publikus zónában általában a 195.199.0.0/16-os tarományból használható egy ennél jóval kisebb tartomány (/29-es általában). Ezen szegmensben az IPv4 címeket minden esetben manuálisan kell konfigurálni!

Megújult Dashboardon történő portok nyitása

A Dashboardon a Hálózat menüben a Privát + Wifi, Publikus, Védett, Internet fülek reprezentálják a forrás zónát. Valamely ilyen forrás zónára kattintva, lejjebb megjelenik újabb három fül, ezek a cél zónák.
Mint korábban említettük, kimenő irányba a Privát + Wifi, Védett és Publikus szegmensből a Privát + Wifi, Védett, Publikus zónákra vonatkozó szűrési szabályok bekezdésben foglaltak vannak tiltva, minden más engedélyezve van (kivétel a VPN-hez szükséges portok), így ha a forrás zónaként a Privát + Wifi, Védett, vagy Publikus szegmenst jelöljük ki, akkor itt bizonyos dolgok tiltásának van értelme.

Ha az Internet fület választjuk ki, mint forrás zónát, akkor tudunk portokat nyitni, hogy az internet felől elérjünk bizonyos szolgáltatásokat. Ha pl. az internet felől a publikus szegmensben lévő, 195.199.1.1 címen elérhető szerverünket szeretnénk elérni SSH-n, akkor az alábbiak szerint kell elvégezni a beállítást a Dashboardon:

Ha nem töltjük ki a forrás IP és port mezőket, akkor bármely IP bármely portjáról érkezhet a csomag.

IPSEC VPN esetében, amennyiben az internet felől kezdeméyneződik a VPN kapcsolat, akkor az ISAKMP-t és az ESP-t kell engedélyezni befelé (tehát először az Internet fülre, majd a Publikus fülre kell kattintani - ha fordítva szeretnénk VPN kapcsolatot kiépíteni, tehát a Publikus szegmens mögülről, akkor a Publikus -> Internet irányba csak az ESP protokollt kell engedélyezni, mert az UDP 500-as ISAKMP automatikusan engedélyeződik):

Majd kifelé is engedélyezzük az ESP-t a feljebb leírtak miatt:

A PPTP VPN-t hasonló módon kell beállítani, mint az IPSEC VPN-t, csak ESP helyett a GRE protokollt kell oda-vissza engedélyezni, illetve az internet felől kezdeményezett kapcsolat esetén a TCP 1723-at kell pluszban kinyitni (bentről kezdeményezett VPN kapcsolat esetén nem szükséges a TCP 1723-as portot külön engedélyezni). FIGYELEM! A PPTP VPN 2016.03.18-tól csak a publikus szegmensből támogatott!