Erweitert

Auf der Registerkarte Network Protection > Firewall > Erweitert können Sie erweiterte Einstellungen für die Firewall und die NATNetwork Address Translation-Regeln vornehmen.

Helfer für Verbindungsverfolgung

Sogenannte „Helfer für die Verbindungsverfolgung“ aktivieren Protokolle, die mehrere Netzwerkverbindungen nutzen, um auf Firewall- oder NAT-Regeln zugreifen zu können. Alle Verbindungen, die per Firewall abgewickelt werden, werden durch das Kernelmodul conntrack mitverfolgt: ein Prozess, der besser als connection tracking (Verbindungsverfolgung) bekannt ist. Einige Protokolle, wie FTPFile Transfer Protocol und IRCInternet Relay Chat, benötigen mehrere offene Ports und erfordern deshalb spezielle Helfer für die Verbindungsverfolgung, damit sie korrekt funktionieren. Diese Helfer sind spezielle Kernelmodule, die dabei helfen, zusätzliche Verbindungen zu identifizieren, indem sie diese als zur Eingangsverbindung zugehörig markieren. Das tun sie, indem sie die zugehörigen Adressen aus dem Datenstrom auslesen.

Damit z.B. eine FTP-Verbindung korrekt funktioniert, muss ein FTP-Conntrack-Helfer ausgewählt werden. Der Grund hierfür liegt in den Eigenheiten des FTP-Protokolls, welches zunächst eine einzelne Verbindung, die FTP-Kontrollverbindung, aufbaut. Sobald Befehle über diese Verbindung laufen, werden andere Ports geöffnet, um den Rest der Daten zu transportieren, die zu dem jeweiligen Befehl gehören (z.B. Downloads oder Uploads). Das Problem hierbei ist, dass das Gateway nichts von den Extraports weiß, weil sie dynamisch ausgehandelt wurden. Aus diesem Grund kann das Gateway auch nicht wissen, dass es dem Server erlauben soll, sich mit dem Client über diese spezifischen Ports (aktive FTP-Verbindungen) zu verbinden, oder dass es Clients aus dem Internet erlauben soll, sich mit dem FTP-Server zu verbinden (passive FTP-Verbindungen).

Hier wird der FTP-Conntrack-Helfer aktiv. Dieser spezielle Helfer wird zur Verbindungsverfolgung hinzugefügt und durchsucht dann die Kontrollverbindung (normalerweise auf Port 21) nach spezifischen Informationen. Wenn er auf korrekte Informationen stößt, fügt er diese spezifischen Informationen zu einer Liste erwarteter Verbindungen hinzu, sodass sie als zugehörig zur Kontrollverbindung gelten. Das wiederum ermöglicht es dem Gateway, sowohl die FTP-Eingangsverbindung als auch die zugehörigen Verbindungen richtig zu verfolgen.

Verbindungsverfolgungshelfer stehen für die folgenden Protokolle zur Verfügung:

• FTP
• IRC (für DCCDirect Client Connection)
• PPTPPoint to Point Tunneling Protocol
• TFTPTrivial File Transfer Protocol

Hinweis – Das Helfer-Modul PPTP wird benötigt, wenn Sie PPTP-VPN-Dienste auf dem Gateway anbieten wollen. PPTP-Verbindungen können sonst nicht aufgebaut werden. Der Grund hierfür ist, dass das Protokoll PPTP zuerst eine Verbindung auf TCP-Port 1723 aufbaut, bevor es zur Verbindung mit dem Protokoll Generic Routing Encapsulation (GRE) wechselt, das ein eigenständiges IP-Protokoll ist. Wenn das Helfer-Modul PPTP nicht geladen ist, werden alle GRE-Pakete vom Gateway blockiert. Falls Sie aber das Helfer-Modul PPTP nicht laden möchten, können Sie Firewallregeln manuell hinzufügen, sodass GRE-Pakete für ein- und ausgehenden Datenverkehr zulässig sind.

Protokollhandhabung

TCP-Fensterskalierung ermöglichen: Das TCPTransmission Control Protocol Receive Window (RWin) gibt vor (in Byte), welche Datenmenge ein System während einer Verbindung puffern kann. Der Absender kann nur diese Datenmenge versenden, danach muss er auf eine Bestätigung und eine Fensteraktualisierung des Empfängers warten. Für eine effizientere Nutzung von Netzwerken mit hoher Bandbreite kann eine größere Fenstergröße verwendet werden. Allerdings kontrolliert das TCP-Fenstergrößenfeld den Datenfluss und ist auf zwei Byte bzw. eine Fenstergröße von 65.535 Byte beschränkt. Da das Größenfeld nicht erweitert werden kann, wird ein Skalierungsfaktor verwendet. TCP-Fensterskalierung ist eine Kerneloption des TCP/IP-Stacks und kann dazu verwendet werden, die maximale Fenstergröße von 65.535 Byte auf 1 Gigabyte zu erweitern. Die Fensterskalierung ist standardmäßig aktiviert. Da einige Netzwerkgeräte wie Router, Lastverteiler, Gateways usw. die Fensterskalierung immer noch nicht durchgehend unterstützen, kann es notwendig sein, sie auszuschalten.

Strikte TCP-Sitzungsverwaltung verwenden: Standardmäßig erkennt das System vorhandene TCP-Verbindungen, die aufgrund eines Neustarts in der Verbindungsverfolgungstabelle nicht verwaltet werden. Interaktive Sitzungen, wie z.B. SSHSecure Shell und Telnet, werden daher nicht unterbrochen, wenn eine Schnittstelle vorübergehend nicht erreichbar ist. Sobald diese Option aktiviert ist, wird immer ein neuer 3-Wege-Handshake notwendig sein, um solche Sitzungen zu reaktivieren. Darüber hinaus erlaubt diese Option nicht, dass die TCP-Verbindungsmethoden gleichzeitig offen sind, oder dass TCP Handshakes unterbricht. Es wird empfohlen, diese Option ausgeschaltet zu lassen.

Paketlänge validieren: Wenn diese Option aktiviert ist, prüft die Firewall die Datenpakete auf die minimale Länge, wenn das Protokoll ICMPInternet Control Message Protocol, TCP oder UDPUser Datagram Protocol verwendet wird. Wenn die Datenpakete kürzer als die Minimalwerte sind, werden sie blockiert und es wird ein Eintrag im Firewallprotokoll angelegt.

Ungültige Pakete blockieren: Wenn diese Option aktiviert ist, prüft die Firewall die Datenpakete auf Conntrack-Einträge. Conntrack-Einträge werden erstellt, indem verbindungseinleitende Pakete gesendet werden, zum Beispiel TCP-SYN- oder ICMP-Echo-Anfragen. Versucht jemand ein Paket zu senden, das zu keiner vorhandenen Verbindung passt, beispielsweise TCP-ACK- oder ICMP-Echo-Antworten und die UTM kann keine passenden TCP-SYN- oder ICMP-Echo-Anfragen über den Conntrack-Eintrag finden, ist das Datenpaket ungültig und wird verworfen. Es wird ein Bericht in das Firewall-Protokoll geschrieben.

Täuschungsschutz: Die Option „Täuschungsschutz“ ist standardmäßig deaktiviert. Sie können zwischen den folgenden Einstellungen wählen:

• Normal: Das Gateway verwirft und protokolliert alle Datenpakete, die als Absenderadresse entweder die gleiche Quell-IP-Adresse enthalten wie die Schnittstelle oder die auf einer Schnittstelle ankommen, die eine Quell-IP-Adresse eines Netzwerks besitzt, die einer anderen Schnittstelle im Netzwerk zugeordnet ist.
• Strikt: Mit dieser Einstellung werden darüber hinaus alle Datenpakete verworfen und protokolliert, die zwar die richtige Ziel-IP-Adresse für eine bestimmte Schnittstelle im Netzwerk enthalten, allerdings über eine Schnittstelle, der sie nicht zugeordnet sind, im Netzwerk eintreffen, also an einer Schnittstelle, für die sie nicht bestimmt sind. Beispielsweise werden Pakete verworfen, die von einem externen Netzwerk an eine IP-Adresse der internen Schnittstelle geschickt wurden, die aber nur dafür vorgesehen ist, Pakete aus dem internen Netzwerk entgegenzunehmen.

Protokollierungsoptionen

FTP-Datenverbindungen protokollieren: UTM protokolliert alle Datenverbindungen (FTP-Datei- und Verzeichnisauflistungen). Die Protokolleinträge werden mit dem Ausdruck „FTP data“ versehen.

Eindeutige DNS-Anfragen protokollieren: UTM protokolliert alle ausgehenden Anfragen an DNS-Server sowie deren Ergebnis. Die Protokolleinträge werden mit dem Ausdruck „DNS request“ versehen.

Verworfene Broadcasts protokollieren: Standardmäßig verwirft die Firewall alle Broadcasts, die darüber hinaus auch nicht protokolliert werden. Wenn Sie die Broadcasts jedoch im Firewall-Protokoll benötigen, z.B. für Prüfungszwecke, wählen Sie die Option aus

Ungültige Pakete protokollieren: Die UTM protokolliert alle ungültigen Pakete. Wenn Ungültige Pakete blockieren aktiviert ist, werden die Protokollaufzeichnungen mit „INVALID_PKT“ markiert.