Warum werden die Unhandled Packets angezeigt?<\/strong><\/p>\n Weil im Policy Manager bei Setup > Default Threat Protection > Deafult Packet Handling > Logging<\/em> das H\u00e4kchen “Send Log message” bei den Kategorien “Unhandled Internal Packet” und “Unhandled External Packet” gesetzt ist. Das Logging k\u00f6nnte zwar durch Entfernen des H\u00e4kchens ausgeschaltet werden – das ist aber keine gute Idee (bessere Idee weiter unten :-). Der Traffic Monitor und die Unhandled Packets sind ein extrem wichtiges und hochinteressantes Tool, um Fehlverhalten von Maschinen bzw. Fehlkonfigurationen im lokalen Netzwerk aufzudecken und abzustellen! Die Anzeige der Denied Packets kann der Administrator auch sehr gut nutzen, um den Bedarf f\u00fcr neue Regeln zu erkennen und wie diese auszusehen haben.<\/p>\n Das Default Regelwerk und die globale Outgoing-Regel<\/strong><\/p>\n Der Quick Setup Wizard<\/strong> erzeugt bei der Ersteinrichtung der WatchGuard Firebox ein kleines Default Regelwerk, das im Prinzip s\u00e4mtlichen TCP- und UDP-Verkehr sowie Ping in ausgehende Richtung (outgoing) zul\u00e4sst – und s\u00e4mtlichen eingehenden Verkehr (incoming) verbietet. Anzeige von bestimmten Unhandled Packets unterdr\u00fccken<\/strong><\/p>\n Bisweilen \u00e4rgert man sich doch \u00fcber die Anzeige von Unhandled Packets. Eventuell kann man die Ursache daf\u00fcr einfach nicht abstellen usw. Bei der L\u00f6sung hilft nun das bisher Gesagte: das unzul\u00e4ssige Paket erzeugt eben ein Unhandled Packet, weil es eben keine explizite Regel f\u00fcr diesen Verkehr gibt. Das Paket bleibt an der unsichtbaren Deny Regel ganz am Ende des Regelwerks h\u00e4ngen. Konfigurationsbeispiel: HostWatch Namensaufl\u00f6sung (Port 137\/udp) unterdr\u00fccken<\/strong><\/p>\n Properties > Logging<\/p>\n Eine Denied-Regel verankert sich im Regelwerk automatisch OBERHALB einer Allow-Regel f\u00fcr den gleichen Port bzw. das gleiche Protokoll, wird also zeitlich gesehen fr\u00fcher gepr\u00fcft. Das kennen wir: ein explizites Verbot ist m\u00e4chtiger als eine nicht erfolgte Erlaubnis. Ich nutze die Kombinationsm\u00f6glichkeit aus Denied- und Allow-Regeln auch ganz gerne so: Ping.Allow von Any nach Any -und- Ping.Denied von Any-External nach Firebox. Damit kann innerhalb des lokalen Netzwerks\/VPN fr\u00f6hlich hin- und hergepingt werden – auf Pings aus dem Internet reagiert unsere Firebox jedoch nicht. Wenn’s st\u00f6rt, kann f\u00fcr die Denied-Regel nat\u00fcrlich auch das Logging ausgeschaltet werden…<\/p>\n","protected":false},"excerpt":{"rendered":" Die WatchGuard Firewall pr\u00fcft jede neu anstehende Verbindung von einem Host auf der einen Seite der Firewall zu einem Host auf der anderen Seite der Firewall. Dabei werden zun\u00e4chst die Header der IP-Pakete untersucht: Quell-IP-Adresse, Ziel-IP-Adresse, Quell-Port, Ziel-Port, verwendetes Protokoll (TCP, UDP, ICMP etc.). Die Firewall durchforstet nun das Regelwerk sequentiell “von oben nach unten” (wenn man sich in der Standard-Listenansicht des Policy Managers befindet). … Weiterlesen Funktionsweise des WatchGuard Firebox Regelwerks<\/span>
\nGewissenhafte Administratoren wollen jedoch genau definieren, welcher ausgehende Datenverkehr zul\u00e4ssig ist und diesen auf Maschinen- und\/oder User-Ebene auf das absolute Minimum beschr\u00e4nken. Neue Firewall-Regeln werden ins Regelwerk aufgenommen und so weit wie m\u00f6glich einschr\u00e4nkt. Ein gutes Firewall-Regelwerk w\u00e4chst dadurch auf 20-30 Regeln, teilweise aber auch auf 80-100 Regeln an. Das sch\u00f6ne feingliedrige Regelwerk wird aber nur dann wie beabsichtigt funktionieren, wenn die defaultm\u00e4\u00dfig vorhandeneOutgoing-Regel auf disabled gesetzt oder ganz gel\u00f6scht wird<\/strong>. Denn: das Regelwerk wird “von oben nach unten” abgearbeitet, der erste Treffer z\u00e4hlt. Solange “unten” die globale Outgoing-Regel steht, n\u00fctzen die Einschr\u00e4nkungen weiter “oben” nichts. Der Verkehr w\u00fcrde trotzdem \u00fcber die Outgoing-Regel rausgehen, also weg damit!<\/p>\n
\nDer Trick besteht nun einfach darin, eine explizite Firewall-Regel zu bauen, die den Verkehr genau beschreibt (siehe oben: Quell-IP, Ziel-IP, Quell-Port, Ziel-Port, Protokoll), aber verbietet (“Denied”) – und das Logging ausschaltet. Der l\u00e4stige Verkehr taucht k\u00fcnftig nicht mehr im Traffic Monitor und im Logfile auf. Im Regelwerk werden Deny-Regeln mit einem roten X angezeigt:<\/p>\n![\"\"](\"http:\/\/4.bp.blogspot.com\/_haYpXd-8uFA\/SYSHFDHRHuI\/AAAAAAAAAEs\/PeGgL03_WpM\/s1600-h\/denied-no-logging-3.JPG\")
<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n