FW Check Point NG AI
auf meine FW sind
1 interface fürs Internet
1 interface fürs interne Netzwerk
1 Interface für die DMZ
1 Interface für ein 192.x.x.x Netz
1 Interface für ein 10.x.x.x Netz
Nur das fürs Internet ist als external configuriert.
Laut Dokumentation reicht es wenn ich auf dieses Interface "Perform Anti-Spoofing based on interface topology" aktiviere.
Wenn ich das mache. Hat das erstmal Auswirkungen auf mein internes Netzwerk? Muss ich gleichzeitig auch die "intern" Interfaces für Anti-Spoofing konfigurieren oder kann ich das später tun?
Muss man zusätzlich irgendwelche Rules mit berücksichtigen oder ist die Anti-Spoofing konfiguration unabhängig von Rules?
was antispoofing grundsätzlich tut, weisst du, oder?
du kannst antispoofing für jedes interface extra einrichten, du musst nicht alles komplett einrichten. wichtig ist, dass du bei den internen interfaces wirklich alle netze, die du hast bzw. die aufscheinen können, angibts. fehlt da ein netzt, wird der traffic blockiert und im log siehst du das dann eben als anti-spoofing alarm.
ACHTUNG: Du kannst dich so wunderbar aus der firewall aussperren.
ACHTUNG2: Bei bestimmten NAT-Konfigurationen erscheinen am internen interface ebenfalls die externen, genatteten ip-adressen. diese müssen dann in die antispoofing konfig miteingebaut werden, sonst passt das nat nicht.
von den rules her musst du nix beachten. wichtig ist eben nur, dass nicht falsche ip-netze/adressen auf den falschen interfaces "aufscheinen"....
externes Interface:
da ist schon eingestellt "External (leads out to the internet)
Was noch dazu kommen würde ist "Perform Anti-Spoofing based on interface topology". Hier kann man sowieso nichts weiter einstellen. Dann wäre ja für das externe Interface die Sache damit erledigt. Oder?
Bei den internen Interfaces:
Da müsste ich bei "IP Addresses behind this interface die Option "Specific" auswählen und dort unser interes Net angeben.
Wir haben intern einen Netzbereich a.b.c.d
Wo ich noch nicht so richtig durchblicke ist die Geschichte mit dem NATing.
Tatsächlich habe ich Konfiguriert für bestimmte Verbindungen beim Address Translating, dass die Original Source, zum externen Interface der FW translated wird. Könntest du mir hier ein bisschen helfen zu verstehen was du meinst mit "in die antispoofing konfig miteinbauen" meinst?
fürs interne im prinzip auch, so lange da nicht andere netze drübergehen.
based on topology heisst ja nur, dass eben das netzt an dem die fw angeschlossen ist, erlaubt wird. hast du ein grösseres netz, wo eben andere netzte drüber geroutet werden, kann es ein problem geben. wenn dem so ist, mach besser eine gruppe. in diese gruppe gibst du alle möglichen netzte rein. dann sagst du bei anti-spoofing eben, dass diese gruppe verwendet werden soll (statt der topology).
beim nat musst auch aufpassen. aber das merkst du e gleich. im schlimmsten fall, musst du alle nat-ips (die pub-ips) auch in diese gruppe geben (das kommt darauf an, wie du das nat auf der fw konfiguriert hast. es geht ja folgendes: zu erst nat, dann routing, oder zu erst routing und dann natting)....probiere es einfach aus....
lg
martin
ps: ach ja, das betrifft nur die static-inbound nats (static-destination nat heisst das bei checkpoint, wenn ich mich nicht irre).
da hat mein browser nicht den gesamten text geladen.
sorry,
beim nat ist es so: unter bestimmten umständen kann es vorkommen, dass am internen interface die genattet-pup-ips aufscheinen. wenn das dann im antispoofing nicht berücksichtigt wird, funktioniert dies nicht. bei der checkpoint ist es ja möglich, dass die genattet pup-ip zu erst geroutet und erst dann genatten wird. wie gesagt, dabei kann eben die pub-ip am internen interface aufscheinen. aus diesem grund, muss man die pup-ip, die fürs natten gebraucht wird, auch in die antispoofing gruppe geben.
das betrifft aber nur solche nats, wo eben user auf einen webserver (beispiel) von euch zugreifen. nats ins internet (fürs surfen, zb.) ist das egal.
Ich habe zu dem Thema in der Dokumentation folgendes gefunden:
NAT and Anti-Spoofing
NAT is always performed after the anti-spoofing checks, and anti-spoofing checks are
performed only on the source IP address of the packet. This means that irrespective of
NAT, spoofing protection is configured on the interfaces of the FireWall-1 Gateway in
the same way. Unlike in previous versions of FireWall-1, there no special issues
regarding anti-spoofing configuration and NAT.
Das würde nach meinem Verständnis bedeuten dass Anti-Spoofing hier keine Auswirkungen auf meine NAT Konfigurationen haben würde. Oder bin ich hier total daneben??
Anti-spoofing
)
