Lancom R&S Unified Firewall konfigurieren


Hersteller: Gateprotect, Rohde & Schwarz Cybersecurity, Lancom Systems

Typen: UF-50 (1-10 User, keine UTM-Funktionen), UF-100 (5-30 User),
UF-200 (5-30 User) ... UF-900 (100-500 User)
auch als Virtual Appliances

Grundsätzliches:
* Alle (je nach Modell: 4...) Ports lassen sich beliebig als LANs oder WANs konfigurieren.
* Jede Aktion in der intuitiven Web-Oberfläche muß mit "Activate" aktiviert werden.
   - Button blau ist nicht aktiviert.
* Gerät läuft im 30 Tage Testmodus mit allen Funktionen. Ohne Lizenz kann keine Konfiguration gespeichert werden, aber importiert. Nach Werksreset beginnt der Testzeitraum neu.
* Regeln des Netzwerks werden auf untergeordnete Hosts oder Bereiche vererbt, dort können aber abweichende Regeln festgelegt werden.

Grundkonfiguration:
* Konfiguration per Default über ETH1, IP= 192.168.1.254
* Zugang: admin / admin, Passwort festlegen
* 1.LAN an ETH1 konfigurieren: Network / Connections / ETH1 benennen, IP festlegen (Mask im selben Feld!)
* Internetzugang einrichten. Network / Connections / ETH0 benennen, IP (+Mask) festlegen
  - WAN: Default Gateway aktivieren, IP eingeben
  - Network / DNS: ggf. DNS-Server hinterlegen
  - Firewall / Time Settings: NTP-Einstellungen vornehmen
* Test: unter Diagnostic / Traceroute sollte jetzt eine Internetverbindung funktionieren
* Firewall / Update: Updates installieren
* Firewall / License: Lizenz eintragen
Tip:
* alle Einträge lassen sich bequem über die Suche finden
* fertige Konfig als PDF exportieren (Desktop/Export)

Firewall-Konfiguration:
* Objekte im Schaubild rechts anlegen:
  - Create Internet Objekt erstellt WAN-Objekt. Activate.
  - Create Network, Host-Group und/oder Host erstellt die LAN-Objekte, Activate.
* 1. Verbindung konfigurieren:
  - gewünschtes LAN-Objekt (Bsp.: Network) anklicken, Connection-Tool anklicken, WAN-Objekt anklicken
  - es wird eine neue Verbindung (LAN-Objekt -> Internet-Objekt) konfiguriert
  - rechts erscheint die Liste der Regeln. Regel "Ping" mit "+" hinzu fügen.
    Nun kann man per PING aus dem LAN das Internet erreichen.
* 2. Verbindung konfigurieren:
  - gewünschtes LAN-Objekt (Bsp.: Host-Group) anklicken, Connection-Tool anklicken, WAN-Objekt anklicken
  - es wird eine neue Verbindung (LAN-Hostgroup-Objekt -> Internet-Objekt) konfiguriert
  - rechts erscheint die Liste der Regeln. Regel "HTTP" und "HTTPS" mit "+" hinzu fügen.
    Nun kann man per Browser aus der Hostgroup im LAN das Internet erreichen.

Proxy-Konfiguration:
* UTM / Proxy: HTTP Proxy: steht auf transparent.
* UTM / Proxy: HTTPS Proxy: ist inaktiv.
Die Firewall enthält ein eigenes SSL-Zertifikat, wird aber als "Man-in-the-Middle" von allen Browsern als "unsicher" eingestuft (Zertifikat stammt nicht von der Webseite).
Das eigene Zertifikat der Firewall muß also auf alle Clients ausgerollt und im Browser als vertrauenswürdig hinterlegt werden.

Der moderne "HTTP Strict Transport Security (HSTS)" Modus von Google, Wikipedia u.a. erlaubt keine HTTPS-Proxys.
Ohne Proxy greifen systembedingt keine UTM-Funktionen (URL- oder Applicationfilter, Antivirus) und keine Webstatistik.

* Desktop-Connection wählen (Bsp.: Hostgroup-Objekt -> Internet-Objekt), HTTP-Regel editieren.

Unter Advanced: Proxy aktivieren.


* Import Zertifikate in Mobilgeräte ist problematisch.
  ggf. IP-Bereich als Objekt definieren, HTTPS ohne Proxy

UTM / Applikation Firewall:

Die R&S Application Firewall wird u.a. auch von Barracuda genutzt und ist sehr leistungsstark.
Sie kann auch verschlüsselten Traffic über Mustererkennung verarbeiten.
Tip:
* Intrusion Detection (IDS) aktivieren, Intrusion Prevention (IPS) aber erst nach Hinzufügen der Ausnahmen!
* Fehler, gesperrte Aufrufe usw. im Systemlog. Type=Error, Message=IP eingrenzen

VPN Verbindung:

Die R&S Firewall erlaubt beliebig viele (!) IPSec VPN-Verbindungen IKE v1 und IKE v2.
Die Einrichtung des Advanced VPN-Client von Lancom (NCP) wird in der Lancom KB beschrieben.

2019-09-25 08:45 Uwe Kernchen {writeRevision}
Durchschnittliche Bewertung: 0 (0 Abstimmungen)

Es ist möglich, diese FAQ zu kommentieren.

Chuck Norris has counted to infinity. Twice.