Lancom R&S Unified Firewall konfigurieren


Hersteller: Gateprotect, Rohde & Schwarz Cybersecurity, Lancom Systems

Typen: UF-50 (1-10 User, keine UTM-Funktionen), UF-100 (5-30 User),
UF-200 (5-30 User) ... UF-900 (100-500 User)
auch als Virtual Appliances

Grundsätzliches:
* Alle (je nach Modell: 4...) Ports lassen sich beliebig als LANs oder WANs konfigurieren.
* Jede Aktion in der intuitiven Web-Oberfläche muß mit "Activate" aktiviert werden.
   - Button blau ist nicht aktiviert.
* Gerät läuft im 30 Tage Testmodus mit allen Funktionen. Ohne Lizenz kann keine Konfiguration gespeichert werden, aber importiert.
  Nach Werksreset beginnt der Testzeitraum neu.

Grundkonfiguration:
* Konfiguration per Default über ETH1, IP= 192.168.1.254
* Zugang: admin / admin, Passwort festlegen
* 1.LAN an ETH1 konfigurieren: Network / Connections / ETH1 benennen, IP festlegen (Mask im selben Feld!)
* Internetzugang einrichten. Network / Connections / ETH0 benennen, IP (+Mask) festlegen
  - WAN: Default Gateway aktivieren, IP eingeben
  - Network / DNS: ggf. DNS-Server hinterlegen
  - Firewall / Time Settings: NTP-Einstellungen vornehmen
* Test: unter Diagnostic / Traceroute sollte jetzt eine Internetverbindung funktionieren
* Firewall / Update: Updates installieren
* Firewall / License: Lizenz eintragen

Firewall-Konfiguration:
* Objekte im Schaubild rechts anlegen:
  - Create Internet Objekt erstellt WAN-Objekt. Activate.
  - Create Network, Host-Group und/oder Host erstellt die LAN-Objekte, Activate.
* 1. Verbindung konfigurieren:
  - gewünschtes LAN-Objekt (Bsp.: Network) anklicken, Connection-Tool anklicken, WAN-Objekt anklicken
  - es wird eine neue Verbindung (LAN-Objekt -> Internet-Objekt) konfiguriert
  - rechts erscheint die Liste der Regeln. Regel "Ping" mit "+" hinzu fügen.
    Nun kann man per PING aus dem LAN das Internet erreichen.
* 2. Verbindung konfigurieren:
  - gewünschtes LAN-Objekt (Bsp.: Host-Group) anklicken, Connection-Tool anklicken, WAN-Objekt anklicken
  - es wird eine neue Verbindung (LAN-Hostgroup-Objekt -> Internet-Objekt) konfiguriert
  - rechts erscheint die Liste der Regeln. Regel "HTTP" und "HTTPS" mit "+" hinzu fügen.
    Nun kann man per Browser aus der Hostgroup im LAN das Internet erreichen.

Proxy-Konfiguration:
* UTM / Proxy: HTTP Proxy: steht auf transparent.
* UTM / Proxy: HTTPS Proxy: ist inaktiv.
Die Firewall enthält ein eigenes SSL-Zertifikat, wird aber als "Man-in-the-Middle" von allen Browsern als "unsicher" eingestuft (Zertifikat stammt nicht von der Webseite).
Das eigene Zertifikat der Firewall muß also zuerst im Browser als vertrauenswürdig hinterlegt sein.
Meiner Meinung nach ist ein HTTPS-Proxy nicht sinnvoll nutzbar.
Besonders der moderne "HTTP Strict Transport Security (HSTS)" Modus von Google, Wikipedia u.a. erlaubt keine HTTPS-Proxys.
Leider greifen ohne Proxy keine UTM-Funktionen (URL- oder Applicationfilter, Antivirus) und keine Webstatistik.

* Desktop-Connection wählen (Bsp.: Hostgroup-Objekt -> Internet-Objekt), HTTP-Regel editieren.

Unter Advanced: Proxy aktivieren.

2019-05-05 16:05 Uwe Kernchen {writeRevision}
Durchschnittliche Bewertung: 0 (0 Abstimmungen)

Es ist möglich, diese FAQ zu kommentieren.

Chuck Norris has counted to infinity. Twice.