Startseite Unternehmen UniFi Network 9.0.92 Early Access: Zonenbasierte Firewall in Aktion
UnternehmenNetworking mit anderen Teilnehmern

UniFi Network 9.0.92 Early Access: Zonenbasierte Firewall in Aktion

by Dylan Dougherty
geschrieben von Dylan Dougherty

Ubiquiti hat das Early Access-Update für UniFi Network 9.0.92 veröffentlicht, mit dem Zonenbasierte Firewall (ZBF), wodurch die Netzwerksicherheitsverwaltung für Administratoren vereinfacht wird.

Ubiquiti hat sein UniFi Network 9.0.92 Early Access Update veröffentlicht und führt das Zonenbasierte Firewall (ZBF). Dieses bedeutende Upgrade gibt Administratoren einen vereinfachten, aber leistungsstarken Toolset für die Verwaltung der Netzwerksicherheit an die Hand. Dieses Update betrifft Gateways und Cloud-Gateways, die wir auf dem Cloud Gateway Ultra über das Dream Machine Pro Max.

Bei dieser Innovation liegt der Schwerpunkt auf der Gruppierung von Schnittstellen wie VLANs, WANs und VPNs in logische Zonen. Dies ermöglicht eine intuitivere Richtlinienerstellung, eine bessere Segmentierung und erhöhte Sicherheit.

Key Features und Vorteile

Vereinfachte Richtlinienverwaltung

Vorbei sind die Zeiten von Konfigurationen pro Schnittstelle, die in komplexen Netzwerken unhandlich werden konnten. Die neue Zonenmatrix bietet eine klare visuelle Darstellung des Verkehrsflusses zwischen Zonen, sodass Administratoren Sicherheitsrichtlinien schnell bewerten und ändern können. Dieser intuitive Ansatz macht die Richtlinienverwaltung auch für weniger erfahrene Netzwerkadministratoren einfacher.

Verbesserte Netzwerksegmentierung

UniFis ZBF führt vordefinierte Zonen ein, darunter Intern, Extern, DMZ, VPN und Hotspot, die jeweils auf allgemeine Sicherheitsanforderungen zugeschnitten sind. Diese Zonen gewährleisten eine granulare Kontrolle der Verkehrsflüsse und ermöglichen es Administratoren, spezifische Regeln auf verschiedene Netzwerkelemente anzuwenden. Dieses Design hilft dabei, IoT-Geräte zu isolieren, sensible Datenserver zu sichern oder den Gastverkehr zu verwalten, ohne das interne Netzwerk zu gefährden.

Benutzerdefinierte Richtlinien für mehr Flexibilität

Während vordefinierte Regeln die Einrichtung vereinfachen, können Administratoren mit der Funktion für benutzerdefinierte Richtlinien die Sicherheitseinstellungen an die individuellen Anforderungen ihrer Organisation anpassen. Ob Blockieren eines bestimmten Protokolls, Erstellen von Ausnahmen für vertrauenswürdige Geräte oder Priorisieren von Datenverkehrstypen – die Flexibilität benutzerdefinierter Richtlinien stellt sicher, dass sich die ZBF selbst an die komplexesten Netzwerkumgebungen anpassen kann.

Sichtbarkeit und Kontrolle

ZBF enthält integrierte Regeln zum Schutz kritischer Datenströme, wie DHCP- und DNS-Verkehr zum Gateway, und stellt sicher, dass wichtige Dienste nicht versehentlich unterbrochen werden. Erweiterte Protokollierungsfunktionen durch Syslog bieten detaillierte Einblicke in Verkehrsmuster und potenzielle Bedrohungen. Darüber hinaus können Administratoren Regeln problemlos neu anordnen, um sich ändernden Prioritäten oder Anforderungen Rechnung zu tragen, was die Übersicht und Anpassungsfähigkeit verbessert.

Praktische Anwendungen von (ZBF)

Das ZBF-Framework ist darauf ausgelegt, die Komplexität zu reduzieren und gleichzeitig die Sicherheit zu stärken, und stellt somit eine wertvolle Ergänzung für Organisationen jeder Größe dar.

Sicherung von IoT-Netzwerken

IoT-Geräte verfügen häufig nur über eine eingeschränkte integrierte Sicherheit, was sie anfällig für Angriffe macht. Mit ZBF können Administratoren alle IoT-Geräte in einer dedizierten Zone platzieren und Richtlinien erstellen, die:

  • Blockieren Sie den Zugriff von IoT-Geräten auf vertrauliche interne Netzwerke.
  • Erlauben Sie IoT-Geräten nur die Kommunikation mit bestimmten externen Diensten oder Ressourcen.

Isolieren des Gastverkehrs

Gastbenutzer können auf eine dedizierte Zone beschränkt werden, in der nur der Internetzugang gestattet ist. So können sie nicht mit internen Geräten oder vertraulichen Daten interagieren.

Ausgleich des internen und externen Datenverkehrs

Vordefinierte „Intern-zu-Extern“-Richtlinien bieten einen ausgewogenen Ansatz, der internen Benutzern einen sicheren Internetzugriff gewährt und gleichzeitig einen robusten Schutz gegen potenzielle Bedrohungen aufrechterhält.

Erweiterte Anpassungen

Organisationen können zusätzliche Zonen für spezielle Anforderungen erstellen, beispielsweise zur Trennung von Entwicklerumgebungen, Testlaboren oder Remote-VPN-Benutzern, und so eine detaillierte Kontrolle über die Kommunikation zwischen den Zonen gewährleisten.

Überlegungen zur Bereitstellung

Obwohl ZBF die Firewall-Verwaltung vereinfacht, ist eine sorgfältige Planung unerlässlich, um unbeabsichtigte Folgen zu vermeiden. Administratoren sollten:

  • Zonenverhalten verstehen: Das Verschieben von Netzwerken zwischen Zonen oder das Blockieren des Datenverkehrs zum Gateway (kritisch für Dienste wie DHCP und DNS) kann den Betrieb stören, wenn es nicht sorgfältig verwaltet wird.
  • Verkehrsflüsse prüfen: Überprüfen Sie vor der Implementierung von ZBF die aktuellen Verkehrsmuster, um sicherzustellen, dass wichtige Kommunikationspfade erhalten bleiben.
  • Testregeln: Durch schrittweises Testen neuer Regeln können großflächige Störungen vermieden werden, insbesondere in größeren Umgebungen mit gemischten Vertrauensstufen.
  • Protokollierung nutzen: Verwenden Sie Protokollierungsfunktionen, um die Auswirkungen von Änderungen zu überwachen und Bereiche zu identifizieren, die verbessert werden müssen.

ZBF Konfiguration Beispiel

Die zonenbasierte Firewall (ZBF) von UniFi ist ein wichtiger Schritt zur Vereinfachung und Verbesserung der Netzwerksicherheit. Durch die Umstellung von herkömmlichen Konfigurationen pro Schnittstelle auf einen zonenbasierten Ansatz können sich Administratoren auf gezielte Sicherheitsergebnisse konzentrieren, anstatt sich mit komplexen Setups herumzuschlagen. Das intuitive Design und die robusten Anpassungsoptionen machen die Firewall ideal für kleine und große Implementierungen.

Um die praktische Umsetzung zu veranschaulichen, folgt ein Beispiel für die Einrichtung eines neuen Gast-/IoT-Zone Verwendung von UniFis ZBF im neuesten Update. Ziel war es, Gast- und IoT-Geräte zu isolieren und sicherzustellen, dass sie kontrollierten Zugriff auf externe Ressourcen haben, ohne die interne Sicherheit zu gefährden.

Update zum EA Release

Befolgen Sie die folgenden Schritte, um auf das EA Release Network 9.0.92 zu aktualisieren.

    1. Gehen Sie zu Einstellungen > Kontrollebene > Updates im UniFi-Controller.
    2. Klicken Sie Nach Updates suchen oder aktualisieren und installieren Sie die neueste EA-Version.
    3. Ermöglichen Frühzeitiger Zugang im selben Menü, sofern nicht bereits aktiviert.


Aktivieren Sie als Nächstes die zonenbasierte Firewall (ZBF), indem Sie die folgenden Schritte ausführen.

  1. Gehen Sie zu Einstellungen > Firewall und Sicherheit.
  2. Ermöglichen Zonenbasierte Firewall.
  3. Konfigurieren Sie Zonen und legen Sie Verkehrsrichtlinien fest mit dem Zonenmatrix.

Beispiel für eine Zonenkonfiguration

Beginnen Sie mit dem Erstellen einer neuen Zone. Sehen Sie sich zunächst die Standardzonen an und klicken Sie dann auf Zone erstellen .

Wenn Sie auf Zone erstellen klicken, gelangen Sie zum Konfigurationsbildschirm, um die neue Zone einzurichten. Für dieses Beispiel haben wir sie benannt Gast-/IoT-Zone. Es ist wichtig, sicherzustellen, dass ein VLAN erstellt wird oder bereits vorhanden ist, bevor es dieser neuen Zone zugeordnet wird. In unserem Beispiel haben wir VLAN 30. Alle bereits vorhandenen Regeln, die an dieses VLAN oder Netzwerk gebunden sind, werden beim Erstellen der neuen Zone möglicherweise angehalten oder entfernt.

Kehren Sie nach dem Einrichten der Zone zur Hauptseite zurück, indem Sie oben links auf die Zurück-Schaltfläche klicken. Sie benötigen drei Firewall-Regeln, um ein isoliertes Gast-/IoT-Netzwerk zu erstellen, das nur den Internetzugriff zulässt und gleichzeitig die Kommunikation lokaler Geräte blockiert.

Klicken Sie zunächst auf Verwalten. Alternativ können Sie nach der Zeile Gast-/IoT-Zone filtern und die erste Option in der Spalte Intern auswählen. Dadurch werden auch alle mit dieser Zone verknüpften Regeln auf der Benutzeroberfläche angezeigt.

Regel 1: Blockieren Sie IoT/Gäste am Zugriff auf die interne Zone.

Regel 2: Erlauben Sie IoT/Gästen den Internetzugriff über die externe Zone:

Regel3: Erlauben Sie IoT/Gast, über die Gateway-Zone mit dem Gateway für DHCP und DNS zu kommunizieren.

Testregeln

Sobald die Regeln erstellt wurden, können wir mit dem Testen fortfahren. Für diesen Test verwenden wir eine Ubuntu-Server-24.04.1-VM, die mit einem VNET-Netzwerk verbunden ist, das mit VLAN 30 markiert ist. Die VM ruft DHCP vom UDM-SE ab, um zu bestätigen, dass die Netzwerkkonfiguration und die Zonenregeln wie erwartet funktionieren.

Beginnen Sie mit dem Befehl, ip a zeigt, dass die Ubuntu-VM erfolgreich eine DHCP-Lease von (10.30.50.113) vom Netzwerk (10.30.0.0/18) auf VLAN 30 abgerufen hat. Der erste Test überprüft die Kommunikation mit dem Gateway und wir pingen das Haupt-UDM-Gateway (192.168.1.1) erfolgreich an.

Als Nächstes stellen wir sicher, dass wir keine Geräte im internen Netzwerk erreichen können. Der Versuch, einen Domänencontroller unter (192.168.1.32) anzupingen, schlägt fehl. Dasselbe gilt, wenn wir versuchen, einen verwalteten Switch unter (192.168.1.202) anzupingen. Als weiteren Test haben wir versucht, eine SSH-Verbindung zum verwalteten Switch herzustellen, was ebenfalls fehlschlug. Dies bestätigt, dass die Isolationsregel für die Gast-/IoT-Zone wie erwartet funktioniert.

Testen Sie abschließend, ob die VM extern erreichbar ist, indem Sie Google anpingen. So können Sie überprüfen, ob das Gast-/IoT-Netzwerk auf das Internet zugreifen kann und gleichzeitig vom internen Netzwerk isoliert bleibt.

Nmap-Test

Im nächsten Test haben wir Nmap installiert mit sudo apt installieren nmap gefolgt vom Befehl sudo nmap -sP 192.168.1.0/24 um den Standardnetzwerkbereich zu scannen. Nmap ist ein Netzwerkscan-Tool, mit dem Sie Geräte in einem Netzwerk erkennen und feststellen können, welche Ports auf ihnen geöffnet sind. Dieser Test überprüft, ob das Gast-/IoT-Netzwerk ordnungsgemäß vom internen Netzwerk isoliert ist, indem bestätigt wird, dass vom isolierten Netzwerk aus keine Geräte im Bereich 192.168.1.0/24 erreichbar sind.
Es sieht nur unser Gateway (192.168.1.1) und Honey Pot (192.168.1.2), hat aber keinen Einblick in die anderen 28 Geräte im Standardnetzwerk.

Schlussfolgerung

Die neue zonenbasierte Firewall von UniFi bietet einen intuitiven und effizienten Ansatz für Netzwerksicherheit und -segmentierung. Sie ist ein wertvolles Hilfsmittel für Netzwerke jeder Größe, einschließlich Labors wie StorageReview, wo Profis ihre Funktionen nutzen können. Indem es die Erstellung isolierter Zonen vereinfacht und eine robuste Verkehrskontrolle und sichere VPN-Richtlinien ohne die herkömmlichen Komplexitäten ermöglicht, ermöglicht dieses Tool Administratoren die Gestaltung skalierbarer, sicherer Umgebungen, die erweiterte Tests, Entwicklung und den täglichen Betrieb unterstützen.

Ubiquiti (Affiliate-Link)

Beteiligen Sie sich an StorageReview

Newsletter | YouTube | Podcast iTunes/Spotify | Instagram | Twitter | TikTok | RSS Feed

Tagsüber Netzwerkadministrator, nachts Netzwerkenthusiast.

Copyright © 1998-2024 Flying Pig Ventures, LLC Cincinnati, Ohio. Alle Rechte vorbehalten.