Best Practices Wirkungsvolle Verwendung von FQDNs in Firewall Policies

Ähnliche Dokumente
Best Practices Firebox - Host Header Redirection ermöglicht flexible Webserver-Veröffentlichung auch bei einzelner public IP

Best Practices - IMAPS mit TLS

Best Practices WatchGuard Accessportal - Grundlagen und Konfiguration

ESTOS XMPP Proxy

ESTOS XMPP Proxy

Best Practices WPA2 Enterprise und Radius-SSO

Best Practices - WatchGuard AuthPoint - Active Directory / LDAP Integration

When your browser turns against you Stealing local files

Kurzanleitung Domains Control Panel 2.1.6

Benutzerhandbuch. Workshops (Auszug) Sicherheits- und Administrations-Workshops. Benutzerhandbuch. bintec elmeg GmbH

Port-Weiterleitung einrichten

Protokolle & Dienste der Anwendungsschicht. DNS Domain Name System

Collax Windows-L2TP/IPsec VPN Howto

Benutzerhandbuch. bintec elmeg GmbH. DSL-Backup über LTE. Copyright Version 06/2018 bintec elmeg GmbH. DSL-Backup über LTE 1

Collax ios-vpn Howto. Inhalt

Übung - Beobachten der DNS-Namensauflösung

Filius Simulation von Netzwerken

NoSpamProxy Installationsanleitung für den Betrieb in Microsoft Azure. Protection Encryption Large Files

Grundlagen DNS 1/5. DNS (Domain Name System)

Benutzerhandbuch. bintec elmeg GmbH. Benutzerhandbuch. Workshops (Auszug) WLAN-Workshops. Copyright Version 6/2016 bintec elmeg GmbH

Konfiguration von Exchange 2000 zum versenden und empfangen von Mails & Lösung des SEND after POP Problems

Pega Cloud: Netzwerke

Firewall für LAN und DMZ einstellen

1.1 NAT - Anzahl der NAT Ports erhöht. 1.2 DNS - Neustart nach Erhalt von DNS- Abfragen. Read Me Systemsoftware PATCH 1

Administrator: -to-Fax

Best Practices - Mobile User VPN mit IKEv2

Bomgar B300v Erste Schritte

Informationen zur Ersteinrichtung der Firewall/Router

The safer, easier way to help you pass any IT exams. Exam : Administering Office 365. Title : 1 / 8

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

Quick Installation Guide

Erweiterte Konfiguration Agenda Anywhere

IRF2000 Application Note Port - Weiterleitung

DOMAIN - LEDGER SUB-DOMAINS CHAINGING WORLDS. FOUNDER: Martin Lutz. CO-FOUNDER: Alexander Parr EST. 2018

Anbindung einem ALL-VPN20

Administrator Praxis Microsoft Deployment Toolkit (MDT) 2013 Update 2. Windows 10 & Windows Server 2016 ready

Benutzerhandbuch Digitalisierungsbox. Digitalisierungsbox LTE Backup (LTE 3302) Copyright Version 5.1, 2018 bintec elmeg GmbH

Bentley Anwender Registrierung

Quick Installation Guide

konfiguration IMAP - Mozilla Thunderbird 45.0

Einwahl eines iphone über einen IPSec-VPN Tunnel. auf eine Digitalisierungsbox Standard / Premium

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Installation KVV Webservices

Best Practices - FireboxCloud / FireboxV WatchGuard Training

Benutzeranleitung ISPConfig 3 für Kunden

Netzwerk Linux-Kurs der Unix-AG

Starten Sie die heruntergeladene Installation aus dem Internet oder die Setup.exe von der CD.

Technische Grundlagen von Internetzugängen

STRATO ProNet VLAN Produktbeschreibung Stand: Mai 2015

Site-To-Site VPN Anleitung IAAS Smart <-> IAAS Premium. Version: 1.0

Einführung in das neue DNSVS - integriert im NETVS

Collax Web Application

Webmail piaristengymnasium.at

Endpoint Web Control Übersichtsanleitung

my.green.ch... 2 Domänenübersicht... 4

Version Deutsch In diesem HOWTO wird die grundlegende Netzwerk-Infrastruktur der IACBOX beschrieben.

Google Maps API Keys für den Filialfinder erstellen und einfügen - v0.4

Docusnap X Docusnap Web Version 2.0. Docusnap Web installieren und anpassen

Kerio Control Workshop

Sophos Enterprise Console

Einrichtung eines Gäste wlans auf einer digitalisierungsbox. Basierend auf der Grundeinrichtung durch den Schnellstartassistenten

Windows 2008 Server R2. Peter Unger

Übung 4 DNS & E- Mail 21. November Laborübungen NWTK. Informationstechnologie für Berufstätige

Web-basierte Anwendungssysteme XHTML-Hyperlinks

Installieren und Verwenden des Document Distributor 1

NoSpamProxy 12.0 Anbindung an digiseal server 2.0. Encryption Large Files

Swiss Map online Zusatzanleitung

Einrichten Ihres IMAP -Kontos

Nexinto Business Cloud - HAProxy Anleitung zum Aufsetzen eines HAProxy Images. Version: 1.0

OSITRON Kommunikationstechnik GmbH 2010 OSITRON GmbH Frechen. OSITRON UMS als Weiterleitungsserver Anbindung an Microsoft Exchange

Wie man das Internet abschaltet

datenfabrik. Validieren von -Adressen 1

pinremotex Handbuch Version 1.0

ISA Server Exchange RPC over HTTPS mit NTLM-Authentifizierung

OpenScape Business V2. How to: Konfiguration Vodafone IP Anlagenanschluß R3

Inhalt. Konfigurationsanleitung AVM FRITZ!Box für htp Net Business Direct. Sehr geehrte Kundin, sehr geehrter Kunde,

terra CLOUD Hosting Handbuch Stand: 02/2015

Sender ID Framework (SDIF)

Migrationsanleitung FDS BCM File Delivery Services Umstellung auf die Standort-redundante FDS-Plattform

Network-Attached Storage mit FreeNAS

Benutzerhandbuch be.ip. Workshops. Copyright Version 01/2017 bintec elmeg GmbH

Was ist neu in ConSol CM?

Konfiguration des ADL-MX Kurzanleitung

Informationen zur Ersteinrichtung des Realsoft EEE Tower Inet

DynDNS für Strato Domains im Eigenbau

Anleitung Hik-Connect. Ver. 1.0 ( )

Anlagenkopplung ohne VPN-Tunnel mit Dynamic DNS

DeskOperate Benutzerhandbuch

ZPN Zentrale Projektgruppe Netze am Ministerium für Kultus, Jugend und Sport Baden-Württemberg

Port-Weiterleitung einrichten

1 Umstellung auf die autoritativen Name Server und DNS Resolver

Mailserver Teil 1 Linux-Kurs der Unix-AG

Schritt 1 Einrichten Ihrer Domäne mit Exchange Online, Lync Online oder beiden Diensten

pd-admin v4.x Erste Schritte für Reseller

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Site-to-Site VPN über IPsec

DoorBird Connect Snom

Windows Server 2003 im Datennetz der Leibniz Universität Hannover

Transkript:

1 Best Practices Wirkungsvolle Verwendung von FQDNs in Firewall Policies Thomas Fleischmann Senior Sales Engineer, Central Europe Thomas.Fleischmann@watchguard.com

2 Agenda Welche Vorteile hat die Verwendung von FQDN innerhalb einer Richtlinie Wie werden FQDN innerhalb der Firebox verwendet Neuerungen in der Version 12.2 Beispiele aus der Praxis Live Demo

3 Vorteile Mit jedem voll qualifizierten Domain-Namen (FQDN = Fully Qualified Domain Name) kann ein beliebiges physisches oder virtuelles Objekt weltweit eindeutig adressiert werden. Der FQDN www.watchguard.com. ergibt sich durch: 3rd-level-label. 2nd-level-label. Top-Level-Domain. rootlabel und lautet damit www. watchguard. com. Der root-label ist immer leer und wird somit nicht angegeben.

4 Vorteile Als Subdomain bezeichnet man eine Domain, welche in der Hierarchie unterhalb einer anderen liegt. Im allgemeinen Sprachgebrauch sind damit meist Domains in der dritten oder einer weiteren Ebene gemeint. Zur logischen und physischen Trennung von Diensten innerhalb der Domain einer Organisation werden traditionell Sub-Domains, z. B. www.watchguard.com für den Webserver oder mail.watchguard.com für den Mailserver verwendet. Dies ist aber nur eine Konvention!

5 Vorteile Die Nutzung eines FQDN ermöglicht es der Firebox, dynamisch Änderungen bei IP Adressen lokale Auflösungen von Diensten Eindeutige Bestimmung von Dienstanbieter durchzuführen, ohne das der Administrator aktiv sich um die Zuordnung von IP Adresse zu einer DNS Name kümmern muss.

6 Firebox Mit der Version 12.2 wurde die Anwendung von FQDNs in der Firebox grundlegend überarbeitet. ü Sie können jetzt einen Wildcard-FQDN mit mehrstufigen Subdomänen verwenden ü Mehr als ein FQDN kann nun zu derselben IP-Adresse aufgelöst werden ü Sie können denselben FQDN in mehr als einer Richtlinie verwenden ü FQDN-Unterstützung für SNAT

7 FQDN-Subdomänen Wildcard Unterstützung Multi-Level Wildcard-Subdomänenunterstützung für FQDNs in Richtlinien, Aliasnamen und allen Funktionen, die FQDN-Eingaben unterstützen Bisher nur 2 Ebenen unterstützt (*.example.com) Jetzt mehrstufige Unterstützung bis zu einem theoretischen Maximalwert von 126 für Wildcard-FQDN und 127 Stufen für FQDN mit vollem Namen Beispielsweise können Sie jetzt einen Platzhalter-FQDN wie folgt angeben: *.beispiel.com *.a.beispiel.com *.a.b.beispiel.com Unterstützt maximal 255 IPs für jeden FQDN

8 FQDN Wildcard Unterstützung Überlappende Adressen in FQDN-Platzhaltern werden nach Richtlinienrangfolge aufgelöst Zum Beispiel gilt a.b.example.com für alle drei dieser FQDN-Einträge: *.beispiel.com *.b.beispiel.com a.b.beispiel.com Die angewendete Richtlinie basiert auf der Prioritätsreihenfolge der Richtlinie Wenn eine Richtlinie mit dem FQDN *.beispiel.com zuerst in der Richtlinienreihenfolge angezeigt wird, gilt "a.b.beispiel.com" für diese Richtlinie

9 Mehrfache FQDN-Auflösung zu einer IP-Adresse Mehrere FQDNs können zu derselben IP-Adresse aufgelöst werden Beispielsweise: *.blog.beispiel.com *.beispiel.com Zuvor hat Fireware die IP-Adresse nur dem ersten FQDN zugeordnet, der zu ihr aufgelöst wurde Dies führte zu Einschränkungen, da FQDNs an vielen Stellen in der Konfiguration verwendet werden können Jetzt kann eine IP-Adresse mehr als einem FQDN zugeordnet werden Der FQDN, der in traffic log messages angezeigt wird, hängt von der Richtlinienpriorität ab

10 FQDN in mehreren Richtlinien Derselbe FQDN kann in mehr als einer Richtlinie verwendet werden Dies verhindert Probleme mit mehreren FQDN- Übereinstimmungen in verschiedenen Funktionen auf Paketebene, z. B. Paketfilterrichtlinien, blockierte Websites und Ausnahmen für blockierte Websites Priorität der Richtlinienreihenfolge entscheidet über die FQDN-Auflösung

11 FQDN Support für SNAT Sie können nun einen FQDN in einer statischen NAT-Aktion (SNAT) angeben, um die Richtlinienverwaltung zu vereinfachen und Ausfallzeiten aufgrund von IP- Adressänderungen zu vermeiden Wenn Ihre Firebox beispielsweise für die Verarbeitung von SMTP-Datenverkehr von einem Office 365-Mail-Server konfiguriert ist, können Sie anstelle von IP-Adressen für Office 365 einen FQDN angeben Wenn sich die Office 365-IP-Adressen ändern, müssen Sie den SNAT-Eintrag nicht mehr aktualisieren

12 FQDN Support für SNAT Wenn Sie ein SNAT-Mitglied hinzufügen oder bearbeiten, wird eine neue Dropdown-Liste mit einer FQDN-Option angezeigt:

13 FQDN Support für SNAT Beispiel - Hybrid-Mail-Umgebung mit einem lokalen Mail- Server und Office 365 in der Cloud Konfigurieren Sie auf der Firebox eine SMTP-Proxy-Richtlinie für Port 25-Datenverkehr von der externen Schnittstelle Fügen Sie einen SNAT-Eintrag hinzu, der einen FQDN für den Office 365-Mail-Server angibt

14 Voraussetzung / Einschränkung Wenn Sie in der Konfiguration FQDNs verwenden, müssen Sie DNS auch auf der Firebox konfigurieren, damit die Firebox die Domänennamen auflösen kann. Domain Name Auflösung Wenn Sie in Ihrer Konfiguration einen Domänennamen definieren, führt Ihre Firebox die DNS-Vorwärtsauflösung für die angegebene Domäne aus und speichert die IP- Adresszuordnungen. Bei Wildcard-Domains wie *.watchguard.com führt das Gerät die DNS-Auflösung auf watchguard.com und www.watchguard.com aus.

15 Voraussetzung / Einschränkung Um die durch *.watchguard.com implizierten Subdomains aufzulösen, analysiert die Firebox DNS- Antworten, die Ihrer Domain-Name-Konfiguration entsprechen. Wenn der DNS-Verkehr die Firebox durchläuft, speichert er die IP-Adresszuordnungsantworten auf relevante Abfragen. Es werden nur A- und CNAME-Datensätze verwendet. Alle anderen Datensätze werden ignoriert.

16 Voraussetzung / Einschränkung Einschränkungen! Beachten Sie diese Einschränkungen, wenn Sie Domänennamen verwenden: Der DNS-Server, der zum Auflösen von Domänennamen verwendet wird, ist der erste statische DNS-Server in Ihrer Konfiguration oder der erste DNS-Server, wenn Ihre Firebox DHCP oder PPPoE auf der externen Schnittstelle verwendet. Nur IPv4-Adressen werden unterstützt! Sie können insgesamt bis zu 1024 Domänennamen konfigurieren, einschließlich Richtlinien, Alias-Mitglieder, Blocked Sites, Ausnahmen für Blocked Sites und Quota-Ausnahmen. Jede Domäne kann bis zu 255 IP-Adressen zuordnen. Ältere IP- Adressen werden gelöscht, wenn das Maximum erreicht ist.

17 Voraussetzung / Einschränkung Konfigurationshinweise Berücksichtigen Sie bei der Konfiguration von Domänennamen folgende Punkte: Ein Domänenname kann mehreren IP-Adressen entsprechen. Es ist möglich, dass unterschiedliche DNS-Server je nach geographischem Standort, Zeitzone, Lastausgleichskonfigurationen und anderen Faktoren unterschiedliche IP-Adressantworten zurückgeben können. Eine bestimmte IP-Adresse kann mehreren Domänennamen zugeordnet werden. Wenn eine Domäne in eine IP-Adresse aufgelöst wird, entspricht dies einer Firewall-Richtlinie mit dieser bestimmten IP-Adresse in der Richtlinie.

18 Voraussetzung / Einschränkung Konfigurationshinweise Wenn eine andere Domäne oder Unterdomäne ebenfalls in dieselbe IP-Adresse aufgelöst wird, entspricht der Datenverkehr zu oder von dieser Domäne ebenfalls dieser Richtlinie. Dies kann zu Komplikationen führen, wenn Sie für jede Domäne oder Platzhalterdomäne unterschiedliche Zugriffsaktionen konfigurieren. Das verwendete FQDN-IP-Mapping wird durch die Verarbeitungspräzedenz bestimmt: Blockierte Site-Ausnahmen Blockierte Websites Richtlinien (basierend auf der Richtlinienreihenfolge)

19 Voraussetzung / Einschränkung Konfigurationshinweise Derselbe FQDN kann in mehreren Richtlinien verwendet werden Die Richtlinienkonfiguration verhindert Probleme mit mehreren FQDN-Übereinstimmungen, die in verschiedenen Funktionen auf Paketebene auftreten, z. B. Ausnahmebedingungen für blockierte Websites, blockierte Websites und Richtlinien. FQDNs werden durch die Richtlinienpriorität aufgelöst.

20 Voraussetzung / Einschränkung Konfigurationshinweise Mehrere Domain-Namen für die gleiche Website Viele Website-Hauptseiten ziehen Daten von anderen Websites und Second-Level-Domains für Bilder und andere Informationen. Wenn Sie den gesamten Datenverkehr blockieren und eine bestimmte Domäne zulassen, müssen Sie auch alle weiteren Domänen zulassen, die von der Seite aufgerufen werden. Die Firebox versucht, IP-Adressen aus Domänen der zweiten Ebene für eine Platzhalterdomäne zuzuordnen, um den vollständigen Inhalt für eine Site bereitzustellen.

21 No Go Was nicht geht Folgende Verwendungen von Wildcards werden nicht unterstützt: *.net or *.com (Die Liste der IP-Adresseinträge wäre zu groß für die Verarbeitung) *.*.example.com example*.com *. example.*.com example.*.com

22 Beispiele Ermöglichen Sie den Zugriff auf Softwareupdateseiten wie windowsupdate.microsoft.com oder Antivirus- Signaturaktualisierungswebsites, obwohl der gesamte andere Datenverkehr blockiert ist. Blockieren oder erlauben Sie den Zugriff auf bestimmte Domains. Blockieren Sie den Datenverkehr für eine bestimmte Domäne, erstellen Sie jedoch eine Ausnahme für eine Subdomäne.

23 Beispiele Verwenden Sie den HTTP-Proxy für den gesamten Web- Datenverkehr, umgehen Sie jedoch den Proxy für Content-Delivery-Netzwerke wie *.akamai.com. Verwenden Sie unterschiedliche Proxy-Richtlinien für verschiedene Domänen. Beispielsweise können Sie eine Proxy-Richtlinie für example.com verwenden und eine andere Proxy-Richtlinie für example2.com verwenden.

Live Demo

25 Danke!

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback