{"id":12631,"date":"2021-04-06T12:57:59","date_gmt":"2021-04-06T10:57:59","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=12631"},"modified":"2021-07-13T14:23:16","modified_gmt":"2021-07-13T12:23:16","slug":"funktionsweise-des-fqdn-features","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2021\/04\/funktionsweise-des-fqdn-features\/","title":{"rendered":"Funktionsweise des FQDN-Features"},"content":{"rendered":"<p>Das FQDN-Feature von WatchGuard kann u.a. in Regeln, Aliases und weiteren Konfigurationen verwendet werden:<\/p>\n<h4>FQDN Hostnames<\/h4>\n<p>Um das FQDN (full qualified domain name)-Feature zu verstehen, ist es wichtig zu wissen, dass die Firewall hierzu eine DNS-Anfrage ausf\u00fchrt. Um bspw. die folgende Regel anzuwenden,<\/p>\n<pre>From:\u00a0 192.168.10.1\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 To:\u00a0 www.example.com\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Port: http<\/pre>\n<p>f\u00fchrt die Firewall einen DNS-Lookup auf die Dom\u00e4ne www.example.com durch. Der Unterschied liegt darin, WANN eine Firewallregel auf Basis eines Dom\u00e4nennamens anf\u00e4ngt zu WIRKEN. Bei einem FQDN wie bspw. www.example.com startet die Firebox sofort nach dem Abspeichern der Konfiguration eine DNS-Abfrage und merkt sich die IP-Adresse(n).<\/p>\n<p><!--more--><br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-12632 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/04\/Firebox-FQDN-01.png\" alt=\"\" width=\"590\" height=\"75\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/04\/Firebox-FQDN-01.png 590w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/04\/Firebox-FQDN-01-300x38.png 300w\" sizes=\"(max-width: 590px) 100vw, 590px\" \/><\/p>\n<p>In diesem Fall wird auch die Firewallregel SOFORT greifen.<\/p>\n<pre>From:\u00a0 192.168.10.1\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 To:\u00a0 93.184.216.34\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Port: http<\/pre>\n<h4>1. DNS-Wildcards<\/h4>\n<p>Folgendes ist im <a href=\"https:\/\/www.watchguard.com\/help\/docs\/help-center\/en-US\/Content\/en-US\/Fireware\/policies\/fqdn_about_c.html?Highlight=dns%20cache%20#DNS\">&gt;&gt; WatchGuard HELP-Center Artikel<\/a> n\u00e4her beschrieben.<\/p>\n<p>So sind f\u00fcr Wildcard-FQDNs folgende Eintr\u00e4ge m\u00f6glich:<\/p>\n<ul>\n<li>*.b.example.com<\/li>\n<li>*.b.c.example.com<\/li>\n<li>*.b.c.d.example.com<\/li>\n<\/ul>\n<p>Wildcard Domains m\u00fcssen min. zwei Namensbestandteile beinhalten. Wildcard Domains mit nur einer Top Level Domain bspw.: *.com\u00a0 oder\u00a0 *.&lt;tld&gt;\u00a0 sind nicht erlaubt (die Anzahl der m\u00f6glichen Ergebnisse w\u00e4re zu hoch) . <strong>Nicht erlaubt<\/strong> sind ebenso:<\/p>\n<ul>\n<li>.net oder *.com<\/li>\n<li>*.*.example.com<\/li>\n<li>example*.com<\/li>\n<li>*.example.*.com<\/li>\n<li>*.com<\/li>\n<\/ul>\n<p>Wenn Sie in Ihrer Konfiguration einen Wildcard-Dom\u00e4ne wie *.example.com definieren, f\u00fchrt die Firebox eine Forward-DNS-Aufl\u00f6sung auf example.com und www.example.com durch.<\/p>\n<p>Um die von *.example.com implizierten Subdom\u00e4nen aufzul\u00f6sen, analysiert die Firebox die DNS-Antworten, die mit der Konfiguration des Dom\u00e4nennamens \u00fcbereinstimmen. W\u00e4hrend der DNS-Verkehr die Firebox durchl\u00e4uft, speichert die Firebox die IP-Adresszuordnungsantworten auf relevante Abfragen. Es werden nur <strong>A-<\/strong> und <strong>CNAME<\/strong>-Eintr\u00e4ge verwendet. Alle anderen Eintr\u00e4ge werden ignoriert.<\/p>\n<p><strong>Szenario 1<\/strong><\/p>\n<p>Bsp.:\u00a0 *.hellofresh.de (hier wurde eine Regel definiert, die ausgehenden https-Traffic zu *.hellofresh erlaubt)<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-12633 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/04\/Firebox-FQDN-02.png\" alt=\"\" width=\"832\" height=\"104\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/04\/Firebox-FQDN-02.png 832w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/04\/Firebox-FQDN-02-300x38.png 300w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/04\/Firebox-FQDN-02-768x96.png 768w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/04\/Firebox-FQDN-02-800x100.png 800w\" sizes=\"(max-width: 832px) 100vw, 832px\" \/><br \/>\nNach abspeichern der Konfiguration, sieht man im Log wie die Firewall die IP-Adressen f\u00fcr den A-Records und CNAME-Eintr\u00e4ge per DNS-sniffing f\u00fcr www.hellofresh.de und hellofresh.de ermittelt.<\/p>\n<p><em><u>Ergebnis<\/u><\/em> -&gt; Die Regel funktioniert, die https-Seite von Hellofresh \u00f6ffnet sich!<\/p>\n<p><strong>Szenario 2<\/strong><\/p>\n<p>Bsp.: *.mailbox.org (hier wurde eine Regel definiert, die ausgehenden SMTP-Traffic auf Port 25 zu\u00a0 *.mailbox.org erlaubt)<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-12634 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/04\/Firebox-FQDN-03.png\" alt=\"\" width=\"715\" height=\"65\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/04\/Firebox-FQDN-03.png 715w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/04\/Firebox-FQDN-03-300x27.png 300w\" sizes=\"(max-width: 715px) 100vw, 715px\" \/><\/p>\n<p>Die Firebox lernt nach Abspeichern der Konfiguration wieder die IP-Adressen. Nun wird versucht eine Verbindung zum E-Mail Server mx1.mailbox.org aufzubauen (mittels Telnet auf Port 25 ).<\/p>\n<p><em><u>Ergebnis<\/u><\/em> -&gt; Die Regel funktioniert nicht, da die Firewall kein DNS-Sniffing f\u00fcr den MX-Eintrag \u00a0\u201emx1\u201c machen konnte!<\/p>\n<p>Wird nun in den Diagnostic Tasks des System Managers eine DNS Lookup auf mx1.mailbox.org durchgef\u00fchrt, sieht man im LOG folgendes:<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-12635 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/04\/Firebox-FQDN-04.png\" alt=\"\" width=\"758\" height=\"98\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/04\/Firebox-FQDN-04.png 758w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/04\/Firebox-FQDN-04-300x39.png 300w\" sizes=\"(max-width: 758px) 100vw, 758px\" \/><\/p>\n<p><em><u>Ergebnis<\/u><\/em> -&gt; Die Regel funktioniert, der Verbindungsaufbau zu mx1.mailbox.org gelingt.<\/p>\n<p>&nbsp;<\/p>\n<h4>2. Beispiele f\u00fcr die Verwendung von (IP-)Adressen im Firewall Regelwerk<\/h4>\n<p>&nbsp;<\/p>\n<table>\n<tbody>\n<tr>\n<td width=\"132\"><strong>Typ:<\/strong><\/td>\n<td width=\"151\"><strong>Eintrag:<\/strong><\/td>\n<td width=\"321\"><strong>Auswirkung:<\/strong><\/td>\n<\/tr>\n<tr>\n<td width=\"132\"><strong>Host Name (DNS Lookup)<\/strong><\/td>\n<td width=\"151\">www.example.com<\/td>\n<td width=\"321\">Beim Erstellen des Eintrags wird <strong>einmalig<\/strong> eine DNS-Aufl\u00f6sung durchgef\u00fchrt. Sie erhalten sofort eine IP-Adresse. Dabei handelt es sich um eine Momentaufnahme.<\/p>\n<ul>\n<li>Dies ist keine gute Idee f\u00fcr Ziele im Internet, da IP-Adressen \/ Hosts aus Redundanzgr\u00fcnden mehrfach definiert sein k\u00f6nnen und sich daher \u00e4ndern.<\/li>\n<li>F\u00fcr interne Host geeignet, da sich diese Adressen seltener \u00e4ndern<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"132\"><strong>Host IPv4<\/strong><\/td>\n<td width=\"151\">193.109.238.26<\/td>\n<td width=\"321\">Wenn es sich nicht um interne Ziele handelt, ist eine direkt hinterlegte IP m\u00f6glicherweise keine gute Idee. Dieser Eintrag geh\u00f6rt z.B.: zu den Elster- Servern des Finanzamtes.<\/p>\n<p>-&gt; \u00a0Diese haben sich aber 2015 ge\u00e4ndert.<\/td>\n<\/tr>\n<tr>\n<td width=\"132\"><strong>FQDN<\/strong><\/td>\n<td width=\"151\">datenannahme1.elster.de<\/td>\n<td width=\"321\">Dieser Eintrag funktioniert in der Praxis sehr gut.<\/p>\n<ul>\n<li>Ideal f\u00fcr Content-\/Service-Anbieter die aus Redundanzgr\u00fcnden mehrere Server\/IP-Adressen verwenden.<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<tr>\n<td width=\"132\"><strong>FQDN<\/strong><\/td>\n<td width=\"151\">*.hellofresh.de<\/td>\n<td width=\"321\">Die Firewall macht hier ein DNS-Sniffing:<\/p>\n<ul>\n<li>Dieser Eintrag funktioniert gut, wenn es sich um A oder CNAME-Eintr\u00e4ge handelt die man erreichen m\u00f6chte wie bspw. eine Webseite. Man sollte aber die DNS-Anfrage-Technik der Firewall beachten!<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>&nbsp;<\/p>\n<p>FQDN Beispiel:<\/p>\n<p>Hier werden die Elster-Server des Finanzamtes in einen Alias eingetragen. Der dann als Zielsatz in einer ausgehenden https-Regel verwendet wird.<br \/>\n<img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-12636 alignnone\" src=\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/04\/Firebox-FQDN-05.png\" alt=\"\" width=\"716\" height=\"427\" srcset=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/04\/Firebox-FQDN-05.png 716w, https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2021\/04\/Firebox-FQDN-05-300x179.png 300w\" sizes=\"(max-width: 716px) 100vw, 716px\" \/><\/p>\n<p>&nbsp;<\/p>\n<h4>3. Schlussfolgerungen und Empfehlungen<\/h4>\n<p>Das Verwenden von FQDN-Eintr\u00e4gen bietet eine flexible M\u00f6glichkeit bei der Konfiguration der Firewall Regeln. DIes hat sich in der Praxis bew\u00e4hrt. Gegen\u00fcber IP-\u00c4nderungen bei Anbietern sind Sie so auf der sicheren Seite. Wenn Sie jedoch eine Wildcard-Dom\u00e4ne verwenden, ist dies dann problematisch, wenn es sich bei den im \u201e*\u201c beinhalteten Subdom\u00e4nen nicht um DNS-CNAME oder DNS-A Eintr\u00e4ge handelt!<\/p>\n<p>Hier ist meine Empfehlung: Tragen sie als FQDN <u>keine<\/u> Wildcard-Dom\u00e4ne ein oder wenn notwendig zus\u00e4tzlich zum FQDN die IP-Adresse, damit die Regel sofort wirkt.<\/p>\n<h5><\/h5>\n<h5>Update:<\/h5>\n<p><strong>seit Version 12.7U1:<\/strong><\/p>\n<p>Es gibt keine Begrenzung mehr f\u00fcr die Anzahl der voll qualifizierten Dom\u00e4nennamen (FQDNs) in Ihrer Firebox-Konfiguration. Das bedeutet, dass Sie eine unbegrenzte Anzahl von FQDNs zur Verwendung in Firewall-Richtlinienregeln definieren k\u00f6nnen.<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das FQDN-Feature von WatchGuard kann u.a. in Regeln, Aliases und weiteren Konfigurationen verwendet werden: FQDN Hostnames Um das FQDN (full qualified domain name)-Feature zu verstehen, ist es wichtig zu wissen, dass die Firewall hierzu eine DNS-Anfrage ausf\u00fchrt. Um bspw. die folgende Regel anzuwenden, From:\u00a0 192.168.10.1\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 To:\u00a0 www.example.com\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Port: http f\u00fchrt die Firewall einen DNS-Lookup auf die Dom\u00e4ne www.example.com durch. Der Unterschied liegt darin, WANN eine &hellip; <a href=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2021\/04\/funktionsweise-des-fqdn-features\/\" class=\"more-link\">Weiterlesen <span class=\"screen-reader-text\">Funktionsweise des FQDN-Features<\/span> <span class=\"meta-nav\">&raquo;<\/span><\/a><\/p>\n","protected":false},"author":10,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,3],"tags":[488,442,751],"class_list":["post-12631","post","type-post","status-publish","format-standard","hentry","category-watchguard-allgemeine-informationen","category-watchguard-technischer-blog","tag-dns","tag-fqdn","tag-wildcard"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/12631"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=12631"}],"version-history":[{"count":14,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/12631\/revisions"}],"predecessor-version":[{"id":13131,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/12631\/revisions\/13131"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=12631"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=12631"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=12631"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}