Ungewollter Zugriff von DMZ (orange) zu lokalem Netz (grün)

1. offizieller Beitrag

    Hallo Leute,

    ich habe seit kurzem ein Problem und zwar habe ich in unserem Unternehmen ein vom Internet getrenntes lokales Netzwerk (grün) und verschiedene Rechner, die als Internetrechner seperat in der DMZ (orange) benutzt.

    Seit neustem ist mir aufgefallen, dass Rechner von der DMZ Zugriff auf das lokale Netz haben, obwohl dies von den Firewallregeln nicht freigeschaltet ist. Von grün nach orange geht es hingegen nicht.

    Mir ist zusätzlich aufgefallen, dass z.b Ping-Abfragen von der DMZ zur grünen Zone nicht in der Firewall protokolliert werden, sondern nur Anfragen in die rote Zone. Mir ist zwar der Gedanken gekommen, dass ein Switch hier Schuld sein könnte, jedoch ergibt tracert das die Abfrage ganz sicher über die orangene Schnittstelle der Firewall geht.

    Ich habe die Firewall nicht selber eingerichtet, sondern nur von einem ehemaligen Admin übernommen.

    Was könnte das Problem sein? Es handelt sich bei uns um die Endian Community 2.5.2

    Gruß

    g0drealm

    • Offizieller Beitrag

    Moin,

    Zitat

    Seit neustem ist mir aufgefallen, dass Rechner von der DMZ Zugriff auf das lokale Netz haben,

    Was meinst du mit Zugriff ?
    Welche Ports außer ein Ping gehen da durch ?

    Ein Tracert sollte nicht in das Grüne Netz gehen können weil ja auf den Rechnern in Orange als Gateway die IP der Orangen Netzwerkkarte eingetragen sein sollte, sonst könnten die ja nicht ins Internet gehen . .

    Grüße Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

    • Offizieller Beitrag

    Wenn du eine Regel unter "Inter-Zone Datenverkehr " machst wo du von Orange nach Grün alles verbietest ,
    dann siehst du auch eine Ping von Orange nach Grün in den Firewallprotokollanzeige. ( obwohl der nicht geblockt wird )

    Grüße Sabine

    Danke für die Rückmeldung.

    Unter anderem funktionieren HTTP / Samba / DNS etc ins lokale Netz. DIe Orangene Schnittstelle ist sicher als Gateway bei den Clients eingetragen.
    Die Inter-Zone Regel, um von Orange nach grüne alles zu verbieten, ist zwar angelegt, funktioniert aber nicht.
    Tracert geht aber leider ins grüne Netz und zwar sicher über die orangene Schnittstelle.

    Kann es mir leider nicht erklären.

    • Offizieller Beitrag

    Die Inter-Zone Regel, um von Orange nach grüne alles zu verbieten, ist zwar angelegt, funktioniert aber nicht.

    Sind da noch Regeln in der Firewall unter " Ausgehender Datenverkehr " von Orange nach Grün ?

    Ich würde die Inter-Zone Regel mal löschen und dann neustarten und die Regel noch mal neu anlegen.

    Grüße Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final