Firewall Richtlinie soll alles blocken bis auf Webseiten und Mail-Client

[Osiris]

Hallo liebe Community,

derzeit versuche ich eine Richtlinie für Netzwerkpakete einzurichten. Wir nutzen derzeit KSC13 und KES 11.6. Leider schaffe ich es nicht diese Richtlinie korrekt anzupassen. Kann mir eventuell jemand helfen oder einen Tipp geben?

Folgendes soll grundsätzlich verboten sein:

• Aus- und eingehend: Jeglicher Netzwerkverkehr

Folgendes soll dann erlaubt sein:

• Ausgehend: Webseiten anzeigen über Remote-Adresse 192.168.xxx.xxx
• Aus- und eingehend: Email Nachrichten über Remote-Adresse 192.168.xxx.xxx

Laut dem offiziellen KES Handbuch:

Die Firewall führt die Regeln in der Reihenfolge aus, in der sie auf der Liste der Regeln für Netzwerkpakete stehen (von oben nach unten). Entsprechend jeder Regel für Netzwerkpakete, die verarbeitet und auf eine bestimmte Netzwerkverbindung angewendet wurde, erlaubt oder verbietet die Firewall den Netzwerkzugriff auf die Adressen und Ports, die in den Einstellungen dieser Netzwerkverbindung angegeben sind.

 

Bei uns wird aber, egal an welcher Reihenfolge was steht, jeglicher Netzverkverkehr blockiert. Unsere Idee war die Hosts in dem Netzwerk über die Richtlinie komplett zu isolieren. Kein Kontakt untereinander und nur beschränkter Kontakt nach Außen.
Die Funktion im einzelnen über die Remote Adresse funktioniert auch einwandfrei. Auch die Regel für blockierten Netzwverkehr funtioniert, aber leider alles zusammen nicht.

 

Vielleicht hat jemand von euch eine Idee und kann man dabei helfen. Vielleicht bin ich auch einfach zu blind und sehe den Baum vor lauter Bäumen nicht. 😉 Vielen Dank auf jeden Fall für eure Hilfe!

[alexcad]

Hallo Osiris,

willkommen im Forum.

Vorweg: Ein Regelwerk dieser Art ist besser auf der Perimeter-Firewall platziert, nicht auf dem Host.

Wie du schon richtig herausgefunden hast: Die Kaspersky-FW arbeitet Regeln wie bei FWs üblich von oben nach unten ab - die erste Regel, die greift gewinnt.
Bedeutet: Erlauben-Regeln müssen vor Verbieten-Regeln stehen.

Bei der Schilderung deiner Anforderungen sehe ich aber zwei große Fragezeichen:

• Soll tatsächlicher jeglicher Netzwerkverkehr außer Web und Mail geblockt werden, auch intern? Wird schwierig, da wird dann vermutlich Einiges nicht mehr funktionieren: Kaspersky-Verwaltung, KSN, AD-Anbindung, etc.

• Ausgehender Web-Traffic geht ja nicht auf eine einzige externe Adresse. Sprich: Auf die Zieladresse lässt sich nicht sinnvoll filtern - zumindest nicht so, wie ich deine Vorstellung verstanden habe.

Ich würde dir tatsächlich vorschlagen, das primär auf einer Firewall/UTM abzubilden.

Grüße
​​​​​​​Alex

[Osiris]

Hi Alex,

danke für deine Antwort.

Wir haben zusätzlich zu dem KES eine dedizierte Hardware-Firewall mit der wir den Internetzugriff regulieren.

Uns ging es nur darum nochmal mit der Kaspersky-Firewall den Host im Netzwerk zu isolieren, da wir leider keine einzelne Ports (zur Firewall / Switch) pro Host haben. Wir konnten das bisher nur mit der fiolgenden Einstellung erreichen:

• Erlaubt: Ausgehend - Webseiten und Mail-Kommunikation über die Remote-Adresse 192.168.xxx.xxx
• Verboten: Eingehend - Jeglicher Netzwerkverkehr

Damit war es uns möglich den Host “weitgehend” zu isolieren, aber denoch konnte wie gewollt er ins Internet, den DNS erreichen und Updates vom KSC ziehen. Leider hat die Kaspersky Firewall mehr Ports zugelassen als die erlaubten ( Mail & Internet), weil ja nur eingehend verboten war und nicht ausgehend.

Dies möchte ich ändern, ich möchte wirklich nur ein paar ausgehende Ports lokal öffnen und nicht alle. Besteht dazu eine Möglichkeit? Sonst wäre die K-Firewall ja obsolet.

 

Beste Grüße

[alexcad]

Verstehe mich nicht falsch: Natürlich lässt sich mit der Kaspersky-Firewall ein entsprechendes Regelwerk aufsetzen. 
Aber es ist nicht sinnvoll !!!

Du müsstest ja einige Ports offen lassen, die für Windows-Netzwerk, AD-Anbindung, Remote-Desktop, Kaspersky, etc. benötigt werden. Die ausgehenden Ports für Internet und Mail hast du ja schon genannt. 
In einem Angriffsszenario, wie z. B. bei EMOTET werden üblicherweise genau die Ports eingesetzt, die sowieso offen sein müssen. Da gewinnst du nichts durch die Konfiguration von starren Regeln
 

Die Kaspersky-Firewall bietet mit den Standardeinstellungen dagegen einen Mehrwert, da hier auf Basis der Reputation einer Anwendung entschieden wird (dazu muss KSN natürlich konfiguriert sein).
‘

Dieses dynamische Regelwerk bietet einen weitaus besseren Schutz vor Angriffen, als das was du angefragt hast.

Hier nochmal der Hinweis: Eine Host-basierte Firewall sieht nur die Quell- und Zieladressen. Die Gateway-Adresse (das meinst du vermutlich mit Remote-Adresse 192.168.xxx.xxx) kann daher nicht für das Regelwerk herangezogen werden.
Bei einer Firewall auf dem Router ist das was anderes: Die Gateway-Adresse ist ja eine interne Schnittstelle des Routers und er sieht jeglichen Traffic auf dieser Schnittstelle.

Wenn du deine interne Umgebung härten möchtest gibt es andere, bessere Möglichkeiten:

• Schwachstellenanalyse und Patchmanagement: Das ist mit KES4Business Advanced sehr gut möglich. 
• Netzwerksegmentierung: Getrennte Netze für Clients, Server, DCs und Management-Systeme.
• Management-Systeme nicht im gleichen AD (oder komplett ohne Domäne).
• striktes Tiering.

Wenn diese Maßnahmen gut umgesetzt sind, machst du es einem Angreifer extrem schwer. Und die gehen erfahrungsgemäß auch den Weg des geringsten Wiederstandes bzw. wägen Aufwand und zu erwartenden “Gewinn” ab.

Grüße
Alex