RRAS-VPN Firewall Optimierung

[SABL98 0]

Guten Tag zusammen

Nur kurz vorab: Mir geht es hier nicht darum, eine vorgeschriebene Lösung zu bekommen, sondern um Tipps, Anregungen, wie ich alles besser machen kann. Momentan bin ich mitten in meiner Ausbildung und habe folgendes Projekt am laufen:

Ich werde eine VPN Lösung mittels Microsoft RRAS realisieren, wobei ich RADIUS Netzwerkrichtlinien erstellt habe, zudem eine 2-Fach-Authentifizierung über DUO Mobile geschehen wird.(Authentifizierung über Handynummer mittels Push-Bestätigung).

Die Architektur sieht folgendermassen aus:

Ich  habe eine **DMZ **in der der **RRAS-VPN-Server** steht. Darauf läuft logischerweise der RRAS-Service selber, wie auch der DUO Mobile Authentifizierungsproxy Service (Dieser baut dann die Verbindung zur DUO Cloud auf, welcher die Push Benachrichtigung rausschickt).

Im **LAN ** ist die Produktive Umgebung. Hier bekommt der VPN-Client eine IP-Addresse zugeteilt. Hier stehen auch alle Server wie DC, Fileserver, Terminalserver und ein weiterer **Radius Server**, welcher die Netzwerkrichtlinien überprüft.

Nun zur aktuellen @@+++Firewallkonfiguration@@:

//Von WAN zur DMZ// bestehen aktuell folgende Access Rules:

- L2TP
- IPSEC(ESP) (Wird von L2TP benötigt)
- IKE (Für Schlüsselübertragung bei IPSEC)
- HTTP/S (Für SSTP VPN Verbindung) 

//Von DMZ zu LAN// bestehen aktuell folgende Access Rules:

-Eigentlich gar keine, da ich vom VPN Server aus ins LAN Subnetz alles offen habe, also any any (ich weiss, deshalb bin ich hier...)

Nach draussen, also von LAN oder DMZ ins WAN, habe ich alles offen gelassen.

- Alles funktioniert so, der VPN Client kann sich ins LAN einwählen nachdem der DUO Mobile Push bestätigt wurde. Der VPN Client kann auch ins Internet. Das Ziel wäre nun natürlich die Ports einzuschränken. Und was wäre dann schöner für den "raus-weg"? Sollten die Ports dort auch eingeschränkt werden, oder wendet man das Default-Deny Konzept vor allem für den "rein-weg" an, wenn man in ein Netzwerk kommt?

--------------------------------------------------------------------------------------------------------------------------------------

Nun habe ich mir folgende Überlegungen gemacht, die Firewall "korrekter" zu konfigurieren und zwar folgendermassen:

//Von WAN zur DMZ und Rückweg// mit folgenden Access Rules:
- L2TP
- IPSEC(ESP) (Wird von L2TP benötigt)
- IKE (Für Schlüsselübertragung bei IPSEC)
- HTTP/S (Für SSTP VPN Verbindung) 
- NTP (Für saubere Zeitsynchronisation)
- DNS (Für VPN Clients, Zugriff Internet)

//Frage//: Wieso kann ich trotzdem RDP machen auf den Terminalserver im LAN machen, ohne dass ich diesen Port freischalten muss?

//Von DMZ ins LAN und Rückweg// mit folgenden Access Rules:
- LDAP (NPS Authentifizierung und DUO Authentifizierung)
- Kerberos (Bin mir nicht sicher, aber wenn schon LDAP läuft)
- Radius (zwei Radius Server, somit logischerweise wird der Authentifizierungsport benötigt)
- UDP High Ports (Destination Ports bei Radius Source Port, wenn zwischen den Zonen die Authentifizierung übertargen wird)
- DNS (Namensauflösung; Internetzugriff)
- NTP (Saubere Zeitsynch.)
- HTTP/S (Internetzugriff)

--------------------------------------------------------------------------------------------------------------------------------------

So das wäre so meine Idee, wie ich das Umsetzen würde. Ich würde mich über Verbesserungsvorschläge, Tipps, Anregung/Bemerkungen freuen und natürlich dürft Ihr mich auch besser belehren, freue mich nur über ein Feedback!!

Ganz liebe Grüsse und viel Kraft während dieser Corona Zeit
Sara