Was ist der Umfang von „ufw“ und seiner impliziten Ablehnungsregel in Bezug auf mein Netzwerk?

Question

Ihren Kommentaren zufolge haben Sie meiner Ansicht nach nicht verstanden ufw, was Software-Firewalls auf einzelnen Systemen sind und welchen Schutzumfang sie bieten.

Dies ist eine Aufschlüsselung der Situation und gibt Einblick in die Besonderheiten ufwund Regeln eines Netzwerks:

ufwwirkt sich nur auf ein System aus – das System, auf dem es aktiviert ist. Das heißt, Ubuntu-System Nr. 1 (um den Überblick zu behalten) hat ufweine implizite Ablehnungsregel aktiviert. Dies betrifft nur Ubuntu-System Nr. 1 und ersetzt die standardmäßige „ACCEPT“-Regel, die auf dem zugrunde liegenden iptables/ netfilter-System vorhanden ist (für das es ufwsich lediglich um ein „einfach zu verwaltendes“ Frontend handelt).
Da Ubuntu System #2 nicht ufwaktiviert ist, gibt es keine „Verweigern“-Regel darauf. Da ufwdies nicht der Fall ist, erhält das zugrunde liegende iptables/ netfilter-System die Standardregel „ACCEPT“, die bei der Installation festgelegt wird ( ufwändert diese Regeln und ist nur ein „einfach zu verwaltendes“ Frontend für diese).
Die Windows-Firewall unter Windows XP (sofern aktiviert) kann Verbindungen zum Windows-Rechner verweigern. Sie kann keine Auswirkungen auf andere Systeme im Netzwerk haben.

Wenn Sie möchten, dass die Verweigerungsregel auf dem Ubuntu-System Nr. 2 angewendet wird, installieren Sie sie ufwauf diesem System und aktivieren Sie sie. Anschließend gilt die implizite Verweigerungsregel.

Was Sie jedoch wollen, ist eine netzwerkweite Zugriffskontrollregel, die kontrolliert, welcher Datenverkehr erlaubt istzwischenSysteme. Dies lässt sich nur erreichen, indem Sie die Firewall und die Netzwerksteuerung auf ein eigenes Gerät verschieben, eine separate Ubuntu-Box, die das Routing des Datenverkehrs zwischen allen Systemen in Ihrem Netzwerk übernimmt, oder eine Hardware-Firewall (z. B. eine Cisco ASA oder ein pfSense-Gerät).

Betrachten Sie das folgende Netzwerk:

Ich habe ein LAN-Netzwerk und einen Router, der die Verbindungen vom LAN zum Internet (oder anderen Netzwerken) handhabt. Jeder Computer hat die Adresse 192.168.252.XXX mit statischer Adressierung. Fünf Computer befinden sich in diesem Netzwerksegment. Ich möchte die Kommunikation zwischen den Computern auf ICMP PINGPakete beschränken und diese Beschränkung auf alle Computer anwenden.

Meine Möglichkeiten zur Umsetzung sind folgende:

Installieren Sie Software-Firewalls auf jedem Computer und konfigurieren Sie die Software-Firewalls so, dass nur bestimmte Arten von Datenverkehr von den anderen Computern im Netzwerk zu jedem Computer zugelassen werden. Lassen Sie jedoch den gesamten Datenverkehr zwischen jedem System und dem Gateway/Router zu.
Installieren Sie als Ersatz für den Router eine Hardware-Firewall, die zu Ihrem Netzwerk-Setup passt, und legen Sie explizite Regeln für den zulässigen Intra-Network-Verkehr (intern zum jeweiligen LAN) und Inter-Network-Verkehr (Kommunikation zwischen Netzwerken, also außerhalb Ihres LAN) fest. Konfigurieren Sie wie folgt
- Konfigurieren Sie die Hardware-Firewall so, dass ausgehender Datenverkehr ins Internet zugelassen wird (eine Regel, die im Wesentlichen besagt, dass alles Interne -> alles Nicht-Interne (NICHT 192.168.252.0/24) ZULÄSSIG ist).
- Konfigurieren Sie die Hardware-Firewall für das LAN selbst für ZULÄSSIGEN Datenverkehr zwischen Systemen, in diesem Fall nur ICMP (eine Regel, die grundsätzlich alles zwischen 192.168.252.0/24 und 192.168.252.0/24 besagt, wo das Protokoll ICMP ist).
- Alle Verkehrsmuster, die den oben genannten Regeln nicht entsprechen, werden automatisch abgelehnt.
Ersetzen Sie den Router durch eine Ubuntu-Box mit genügend Ethernet-Ports, um genügend Verbindungen für Ihr Netzwerk und bei Bedarf auch WLAN bereitzustellen, konfigurieren Sie ihn für DHCP, NAT usw. und konfigurieren Sie die Firewall-Regeln auf der Ubuntu-Box so, dass der Datenverkehr sowohl innerhalb als auch außerhalb des Netzwerks abgewickelt wird (ähnlich wie zuvor).

Um Ihnen jedoch einen anderen Standpunkt zu bieten, der diese Antwort vorantreibt: Mein Netzwerk zu Hause hat viele LAN-Segmente (als VLANs oder virtuelle LANs). Ich verwende eine Hardware-Firewall (ein pfSense-Gerät, ca. 500 $), um die VLANs in meinem Netzwerk zu verwalten (DHCP, NAT zum Internet usw.) sowie Kommunikationsregeln zwischen den Segmenten, die den Zugriff einschränken. Maschinen, die ich aktiv verwende, befinden sich in einem VLAN, während Maschinen mit eingeschränktem Zugriff in einem separaten VLAN und Netzwerkbereich vorhanden sind. Die Kommunikation mit diesen wird auf beiden Seiten durch eine Regel eingeschränkt, die vorgibt, welcher Datenverkehr zwischen den Segmenten passieren darf. Im Wesentlichen ist dies die zweite Option von oben, die auf eine viel fortgeschrittenere Weise implementiert wurde.

Answer 1

Ihren Kommentaren zufolge haben Sie meiner Ansicht nach nicht verstanden ufw, was Software-Firewalls auf einzelnen Systemen sind und welchen Schutzumfang sie bieten.

Dies ist eine Aufschlüsselung der Situation und gibt Einblick in die Besonderheiten ufwund Regeln eines Netzwerks:

ufwwirkt sich nur auf ein System aus – das System, auf dem es aktiviert ist. Das heißt, Ubuntu-System Nr. 1 (um den Überblick zu behalten) hat ufweine implizite Ablehnungsregel aktiviert. Dies betrifft nur Ubuntu-System Nr. 1 und ersetzt die standardmäßige „ACCEPT“-Regel, die auf dem zugrunde liegenden iptables/ netfilter-System vorhanden ist (für das es ufwsich lediglich um ein „einfach zu verwaltendes“ Frontend handelt).
Da Ubuntu System #2 nicht ufwaktiviert ist, gibt es keine „Verweigern“-Regel darauf. Da ufwdies nicht der Fall ist, erhält das zugrunde liegende iptables/ netfilter-System die Standardregel „ACCEPT“, die bei der Installation festgelegt wird ( ufwändert diese Regeln und ist nur ein „einfach zu verwaltendes“ Frontend für diese).
Die Windows-Firewall unter Windows XP (sofern aktiviert) kann Verbindungen zum Windows-Rechner verweigern. Sie kann keine Auswirkungen auf andere Systeme im Netzwerk haben.

Wenn Sie möchten, dass die Verweigerungsregel auf dem Ubuntu-System Nr. 2 angewendet wird, installieren Sie sie ufwauf diesem System und aktivieren Sie sie. Anschließend gilt die implizite Verweigerungsregel.

Was Sie jedoch wollen, ist eine netzwerkweite Zugriffskontrollregel, die kontrolliert, welcher Datenverkehr erlaubt istzwischenSysteme. Dies lässt sich nur erreichen, indem Sie die Firewall und die Netzwerksteuerung auf ein eigenes Gerät verschieben, eine separate Ubuntu-Box, die das Routing des Datenverkehrs zwischen allen Systemen in Ihrem Netzwerk übernimmt, oder eine Hardware-Firewall (z. B. eine Cisco ASA oder ein pfSense-Gerät).

Betrachten Sie das folgende Netzwerk:

Ich habe ein LAN-Netzwerk und einen Router, der die Verbindungen vom LAN zum Internet (oder anderen Netzwerken) handhabt. Jeder Computer hat die Adresse 192.168.252.XXX mit statischer Adressierung. Fünf Computer befinden sich in diesem Netzwerksegment. Ich möchte die Kommunikation zwischen den Computern auf ICMP PINGPakete beschränken und diese Beschränkung auf alle Computer anwenden.

Meine Möglichkeiten zur Umsetzung sind folgende:

Installieren Sie Software-Firewalls auf jedem Computer und konfigurieren Sie die Software-Firewalls so, dass nur bestimmte Arten von Datenverkehr von den anderen Computern im Netzwerk zu jedem Computer zugelassen werden. Lassen Sie jedoch den gesamten Datenverkehr zwischen jedem System und dem Gateway/Router zu.
Installieren Sie als Ersatz für den Router eine Hardware-Firewall, die zu Ihrem Netzwerk-Setup passt, und legen Sie explizite Regeln für den zulässigen Intra-Network-Verkehr (intern zum jeweiligen LAN) und Inter-Network-Verkehr (Kommunikation zwischen Netzwerken, also außerhalb Ihres LAN) fest. Konfigurieren Sie wie folgt
- Konfigurieren Sie die Hardware-Firewall so, dass ausgehender Datenverkehr ins Internet zugelassen wird (eine Regel, die im Wesentlichen besagt, dass alles Interne -> alles Nicht-Interne (NICHT 192.168.252.0/24) ZULÄSSIG ist).
- Konfigurieren Sie die Hardware-Firewall für das LAN selbst für ZULÄSSIGEN Datenverkehr zwischen Systemen, in diesem Fall nur ICMP (eine Regel, die grundsätzlich alles zwischen 192.168.252.0/24 und 192.168.252.0/24 besagt, wo das Protokoll ICMP ist).
- Alle Verkehrsmuster, die den oben genannten Regeln nicht entsprechen, werden automatisch abgelehnt.
Ersetzen Sie den Router durch eine Ubuntu-Box mit genügend Ethernet-Ports, um genügend Verbindungen für Ihr Netzwerk und bei Bedarf auch WLAN bereitzustellen, konfigurieren Sie ihn für DHCP, NAT usw. und konfigurieren Sie die Firewall-Regeln auf der Ubuntu-Box so, dass der Datenverkehr sowohl innerhalb als auch außerhalb des Netzwerks abgewickelt wird (ähnlich wie zuvor).

Um Ihnen jedoch einen anderen Standpunkt zu bieten, der diese Antwort vorantreibt: Mein Netzwerk zu Hause hat viele LAN-Segmente (als VLANs oder virtuelle LANs). Ich verwende eine Hardware-Firewall (ein pfSense-Gerät, ca. 500 $), um die VLANs in meinem Netzwerk zu verwalten (DHCP, NAT zum Internet usw.) sowie Kommunikationsregeln zwischen den Segmenten, die den Zugriff einschränken. Maschinen, die ich aktiv verwende, befinden sich in einem VLAN, während Maschinen mit eingeschränktem Zugriff in einem separaten VLAN und Netzwerkbereich vorhanden sind. Die Kommunikation mit diesen wird auf beiden Seiten durch eine Regel eingeschränkt, die vorgibt, welcher Datenverkehr zwischen den Segmenten passieren darf. Im Wesentlichen ist dies die zweite Option von oben, die auf eine viel fortgeschrittenere Weise implementiert wurde.

Was ist der Umfang von „ufw“ und seiner impliziten Ablehnungsregel in Bezug auf mein Netzwerk?

Antwort1

verwandte Informationen