Generator für Internet IPv4 group Ausnahmen

Die Internet IPv4 Gruppe in der Sophos Firewall beinhaltet alle möglichen öffentlichen IP-Adressen. Aber auch die eigenen, oder andere, die manchmal nicht inkludiert sein sollen. Dieser Generator für Internet IPv4 group Ausnahmen unterstützt bei der schnellen Anpassung der vordefinierten Gruppe und entfernt die gewünschten IP-Adressen und Netze.

getestet mit SFOS 19.5.x bis 21.0.x

Einleitung

In meinen letzten Projekten mit Sophos Firewall hatte ich immer wieder ein Problem bei der Nutzung der "Internet IPv4 group". Wenn man das Objekt in SD-WAN Regeln nutzt, werden die Pakete auf der Firewall knallhart in Richtung WAN, oder auf ein anderes definiertes Gateway über die entsprechende SD-WAN Regel geroutet. Soweit ist das auch in Ordnung. Das ist aber bei der Nutzung der WAF von intern oder DNAT Loopback anders. Hier sollen die Pakete nicht Richtung Internet gehen, sondern von der Firewall verarbeitet werden. Das ist sehr ärgerlich und nur bei sehr genauer Analyse der Routinginformationen herauszufinden in den Logs oder dem conntrack.
Genauso kann das Problem in anderen Konstellationen auftreten, wo man zum Beispiel nicht alle öffentlichen IP-Adressen in der SD-WAN Regel routen möchte. Natürlich kann man immer eine übergeordnete SD-WAN Regel machen, welche in Einzelfällen woanders hin, oder auf die Firewall selbst routet - aber schön ist das nicht immer.

Die Anpassung der Objekte fand ich irgendwann nicht mehr spaßig und habe mich an die Erstellung dieses Generators begeben. Und hier ist der Generator für Internet IPv4 group Ausnahmen!

Wann tritt das Problem genau auf?

Die Routing Priorität muss besagen, dass "SD-WAN" vor "statischen Routen" geht. Erst dann kann man in dieses Problem laufen. Ist die Priorität andersherum, habe ich das Problem noch nicht beobachten können. Wo hier "VPN" in der Reihenfolge steht ist egal - es sei denn im VPN-Tunnel wird mit öffentlichen IPs gearbeitet, dann kann das Thema auch auftreten, wenn "SD-WAN" vor "VPN" steht.

Wie kann man die Priorität ändern? Hier ist eine Anleitung von Sophos.

Prüfen kann man sie in der WebUI wie folgt:

Generator für Internet IPv4 group Ausnahmen - statisch vor SD-WAN
statisch vor SD-WAN (kein Problem)
Generator für Internet IPv4 group Ausnahmen - SDWAN vor statisch
SD-WAN vor statisch (Problem möglich)

Was macht der Generator?

  • Lest euch vor der Nutzung den kleinen FAQ zu dem Generator am Ende des Beitrags durch!
  • Beachtet bitte auch, dass die von Euch erstellten Ausnahmen für 30 Minuten auf unserem Server verweilen und erst danach gelöscht werden. Wenn Ihr damit nicht einverstanden seid, dann solltet Ihr den Generator nicht verwendet, oder nicht auf "Generiere neue Objekte" klicken. Solange werden die Daten nur in der Session angezeigt und nicht gespeichert. Ihr bekommt dann nur die neuen zu erstellenden Ausnahmen angezeigt. Die Objekte auf der Firewall müsste Ihr dann selber anlegen!

Über den Generator könnt Ihr einzelne IP-Adressen oder Netze von der von Sophos definierten Gruppe "Internet IPv4 group" ausschließen. Mehrere IPs oder Netze können nacheinander einzeln eingegeben werden. Der Generator zeigt die neu anzulegenden IP Bereiche an und welche Objekte in der neuen "Internet IPv4 group" Gruppe nicht mehr benötigt werden.

Über den Button "Generiere neue Objekte" kann abschließend ein Konfigurationsfile erstellt werden, welches Ihr im Nachgang auf eurer Firewall importieren könnt. Die erstellte Konfigurationsdatei enthält nur die neu anzulegenden IP Bereiche und legt eine neue Gruppe mit alten und neuen Objekten als Mitglied an. Die originalen Bereiche und die Gruppe bleiben unberührt!

In SFOS 20.0.1 wurden kleine Anpassungen an den Bereichen vorgenommen. Die Anpassungen werden bei älteren Firmwares durch den Import der XML übernommen. Ihr habt also kein ToDo 😉

Als Basis dient immer die vordefinierte Liste von Sophos. Diese kann nicht angepasst werden:

Objekte in der Liste von Sophos

"1.0.0.0-9.255.255.255"
"11.0.0.0-126.255.255.255"
"128.0.0.0-169.253.255.255"
"169.255.0.0-172.15.255.255"
"172.32.0.0-191.0.1.255"
"191.1.0.0-191.255.255.255"
"192.0.1.1-192.0.1.255" (NEU in v20.0.1: "192.0.1.0-192.0.1.255")
"192.0.3.0-192.88.98.255"
"192.88.100.0-192.167.255.255"
"192.169.0.0-198.17.255.255"
"198.20.0.0-198.51.99.255"
"198.51.101.0-203.0.112.255"
"203.0.114.0-223.255.255.255" (NEU in v20.0.1: "203.0.114.1-223.255.255.255")

Bedienung des Generators

  1. Unter "Auszuschließendes Netz" einen von der Liste auszuschließenden Bereich eingeben. Die Eingabe muss immer in CIDR Notation erfolgen. Auch dann, wenn es sich nur um eine einzelne Adresse (z.B. 1.1.1.1/32) handelt
  2. Aufgrund der Subnetz Maske werden Netzadressen automatisch berechnet und in der Berechnung das gesamte Netz berücksichtigt.
  3. Weitere Bereiche können nacheinander abgeschickt werden.
  4. "Reset" setzt alle Informationen zurück
  5. "Generiere neue Objekte" erstellt die Konfigurationsdatei, die Ihr in die Firewall importieren könnt. Ab hier werden die Daten (die erstellten Ausschlüsse) für 30 Minuten auf unserem Server gespeichert!
    Der Link zum Download wird nur einmal angezeigt. Kopiert euch also gegebenenfalls den Link, bevor Ihr die Seite schließt.

Es können nur Bereiche ausgeschlossen werden die nicht bereits ausgeschlossen sind. Gebt Ihr einen Bereich (oder einen Teil-Bereich) ein der bereits von vorneherein, oder durch Euch schon ausgeschlossen ist, wird eine Fehlermeldung ausgegeben und Ihr könnt es weiter versuchen.

Wie immer gilt: Wir übernehmen keine Garantie für Schäden oder Probleme die durch die hier erstellten Informationen entstehen könnten. Um sicher zu gehen, empfehlen wir immer einen Test in einer Testumgebung durchzuführen. Die Anwendung in einer Liveumgebung erfolgt auf eigenes Risiko.

Generator



Versionen

15.05.2024 - SFOS 20.0.1 Bereichsanpassungen übernommen in Blogeintrag und Generator

FAQ

Werden die erstellten Ausnahmen auf dem Server gespeichert?

Ja, aber nur wenn die TAR Datei für den Import erstellt wird (Button "Generiere neue Objekte"). Solange nur die Tabelle erzeugt wird, sind keine Daten auf dem Server gespeichert. Diese Datei liegt nur für 30 Minuten auf unserem Server. Danach wird sie gelöscht. Über den Content Blocker gebt Ihr Euer Einverständnis dazu.

Wo kann man die erstellten Ausnahmen importieren?

Der Import erfolgt ganz klassisch über "Sicherung & Firmware -> Import/Export -> Importieren". Nach erfolgreichem Import steht eine neue Host-Gruppe bereit. Ladet immer die TAR Datei hoch, nicht den Inhalt. Ansonsten funktioniert das nicht.

Wie heißen die neuen Objekte?

Einzelne neue Host Objekte heißen: "Internet IPv4 (x.x.x.x-y.y.y.y)".
Die originalen Objekte enthalten im Namen keine vollständig ausgeschriebenen Bereiche!
Die neue Host-Gruppe heißt: "Internet IPv4 custom group (yyyymmtt)"
In den Klammern steht das Datum, an dem der Import erstellt wurde. Die Gruppe kann natürlich umbenannt werden.

Kann man die zu importierende Datei und den Inhalt vor dem Import prüfen?

Ja, man kann die TAR Datei entpacken. Darin befindet sich eine "Entities.xml" Datei. Diese Datei kann in einem beliebigen Editor geöffnet und gelesen werden.

Kann man eine bereits angepasste Gruppe um noch weitere IP-Adressen oder Netze erweitern?

Eine Aktualisierung der bereits importierten neuen Host Objekte ist nicht automatisiert möglich. Erstellt einfach eine neue Datei über den Generator und importiert diese. Vorhandene Objekte mit gleichem Namen werden überschrieben, fehlende zugefügt. Wurde eine neue Host-Gruppe erzeugt (üblicherweise sind die Namen mit einem Datum versehen), kann die alte Gruppe gelöscht werden. Verwaiste Host Objekte müssen auch einzeln und manuell gelöscht werden - was aber mit dem Referenz Lookup (ab SFOS v20.x.x) sehr einfach und schnell geht.

Was passiert mit der alten "Internet IPv4 group" Gruppe beim Import?

Die originale Gruppe und die originalen Host-Objekte bleiben zu jeder Zeit von dem Import unberührt.

Wie kann man die Änderungen durch den Import rückgängig machen?

Die neue Host-Gruppe löschen und anschließen die neu angelegten Host Objekte (Internet IPv4 (....-....)) löschen. Mit dem Referenz Lookup (ab SFOS v20.x.x) ist das sehr einfach und schnell machbar.

Du hast weitere Fragen? Nimm mit uns Kontakt auf, oder schreibe einen Kommentar! Wir bemühen uns um eine zeitnahe Beantwortung.

2 Kommentare

Schreibe einen Kommentar

Kommentare werden nicht direkt angezeigt, da sie moderiert freigegeben werden.


WordPress Cookie Plugin von Real Cookie Banner