router firewall; detailvragen

[ASlot]

Dag lieve helpers, ik ben druk aan het leren met al deze nieuwigheden. En bij al dit leren komen vragen, dus hopelijk hebben jullie nog wat energie over om mij te kunnen helpen!

De firewall van een router heeft 2 filters, een IP filter en een MAC filter.
Bij beide kan je kiezen voor allow of deny bij
outgoing default action
incoming default action

Wat betekenen al deze dingen? Met zoeken kom ik niet ver, ik wil graag weten wat deze dingen samen betekenen.
Vraag 1:
IP Filter outgoing default action
IP Filter incoming default action
MAC filter outcoming default action
MAC filter incoming default action
Wat betekent per stuk (van die vier) als je kiest voor allow of juist deny?

Vraag 2: Wireless -> Acces control kan je kiezen voor Allow listed MAC address. Is dit voldoende om alleen deze apparaten toegang te geven, om moet je nog iets anders doen?

 

[RogerS]

Vraag 1:
IP Filter outgoing default action
IP Filter incoming default action
MAC filter outcoming default action
MAC filter incoming default action
Wat betekent per stuk (van die vier) als je kiest voor allow of juist deny?

-Je kunt hier een lijst regels maken die van boven naar onder gelezen door je firewall worden toegepast. Net zolang totdat er een match is. Dit kun je doen door allow (toestaan) en deny (weigeren) te combineren.
Even los van merk en type zal er ergens een bron (source), doel (destination) en eventueel type dienst (service) worden genoemd. Bijvoorbeeld.
1. Source Any, Destination 192.168.178.5, Service HTTP, Allow
2. Source Any, Destination Any, Service Any, Deny

In regel 1 laat ik HTTP (website) verkeer door naar een intern adres. In regel 2 wordt alle overige verkeer van buiten naar binnen tegen gehouden.

Zelfde geld voor MAC adressen.


Vraag 2: Wireless -> Acces control kan je kiezen voor Allow listed MAC address. Is dit voldoende om alleen deze apparaten toegang te geven, om moet je nog iets anders doen?

-Je kunt een lijst met MAC adressen samenstellen die enkel toegang tot je draadloos krijgen. Functie dien je feitelijk niet te gebruiken, want levert enkel schijnveiligheid. MAC adressen zijn namelijk op veel moderne netwerkkaarten met de hand aan te passen. Bijv. naar een adres wat wel toegang heeft tot je draadloos.

 

[Ellasar]

Vraag 1:
Een Default action is de standaard actie die de router doet bij een onbekend ip of mac adres zet je die op allow dan word het apparaat met het desbetreffende ip/Mac doorgelaten en zet je die op deny word het desbetreffende apparaat tegen gehouden.
Incoming is inkomend verkeer dus verkeer vanaf het internet
Outgoing is uitgaand verkeer dus vanaf je interne netwerk

Wat dus vaak een standaard (niet perse goed want dat is afhankelijk van jou wensen en netwerk is alle Incoming default op Deny te zetten en alle outgoing op Allow
Wil je meer controle op uitgaand verkeer dan zet je alles op Deny.

Daarna moet je natuurlijk wel voor de toegestane apparaten een rule aanmaken die dus een allow doet

Vraag 2:
Dit is een manier om alleen verbindingen toe te staan van de desbetreffende apparaten.
Let wel, dit is geen 100% oplossing en is erg makkelijk te omzeilen(sterker nog het is een 1% oplossing.
Minimaal een WPA (beter nog een WPA2) versleuteling met een goed wachtwoord zal 99% van de bescherming op zich nemen, de mac filtering hooguit die ene %

 

[ASlot]

Bedankt beiden, het antwoord van vraag 2 is in ieder geval binnen gekomen, die snap ik. Nu vraag 1 nog.
Wat zou het betekenen als je meer op deny zet? Bijv. wat houdt "uitgaand verkeer" in eigenlijk?

En waarom is er een verschil tussen de access van de MAC en IP filter? IP heeft meer deny's dan de MAC.

 

[contrazoom]

aanvullend op de andere posters. Bijna alle firewalls gaan uit van default deny op inkomend verkeer (dus vanaf Internet of van buiten het privé gedeelte van je firewall). Stel dat je een webserver achter je firewall zou draaien, zou je specifiek poort 80 (of 8080) en protocol HTTP moeten doorlaten op je FW. "Inkomend" wil zeggen dat de sessie aanvraag van buiten je firewall komt (of vanaf Internet dus). Bij de gewone thuisgebruiker die wat surft, spelletjes speelt of facebook worden alle sessies van binnen naar internet gestart. Dit is waar het bij client-server protocols allemaal om draait. Peer-2-peer en instant messaging toepassingen zijn bv. veel lastiger om van binnen naar buiten tegen te houden omdat die naar vrije TCP-poorten zoeken. Of vaak tunnelen die zich in het HTTP-protocol.

 

[ASlot]

Tnx. Weet iemand ook antwoord op En waarom is er een verschil tussen de access van de MAC en IP filter? IP heeft meer deny's dan de MAC.

 

[contrazoom]

omdat MAC-adres maar een "lokale" betekenis heeft. bv tussen de netwerk adapter van je pc en de netwerk poort van je router. Of tussen de router van de internet provider en jouw router. Heb je nog niks gezien over het OSI-Model?