1. Allgemeine Erklärungen¶
1.1. Einführung¶
VT AIR Next Gen Firewall ist ein Linux-basiertes Firewall-System, das einen hohen Firewall-Durchsatz bietet und gleichzeitig eine große Anzahl von Funktionen zur Verwaltung Ihres Netzwerks enthält.
VT AIR ist mit einer modernen Verwaltungs-WebGUI, einer REST-API und einer Befehlszeile ausgestattet.
1.2. VT AIR Architektur¶
VT AIR läuft unter dem Linux-Betriebssystem Debian und nutzt einen angepassten Linux-Kernel für maximale Kompatibilität und Netzwerkgeschwindigkeit.
1.3. Technology-Stack¶
VT AIR wurde mit Hilfe von Open-Source-Softwareprojekten entwickelt und erstellt, wie unter anderem:
Debian als Basisbetriebssystem
SNMPD für SNMP
FRR für Routing-Protokolle
Kea für DHCP-Dienste
Unbound für DNS
ntp.org Daemon für NTP
keepalived für VRRP und HA-Failover
Docker für App Container
Suricata für Intrusion Detection und App-Kontrolle
Squid als Webfilter
Coraza als Web Application Firewall
HAProxy als Reverse Proxy und Load Balancer
Apache Guacamole als WebVPN
strongSwan für die IPsec-Schlüsselverwaltung
1.4. Standard-Anmeldung¶
Die Standard-Anmeldedaten für die WebGUI müssen bei der ersten Anmeldung festgelegt werden. Die WebGUI zwingt Sie, ein Passwort für den Standardbenutzer admin festzulegen.
Bei SSH oder der Konsole ist der Benutzer root. Der root- und der admin-Benutzer teilen sich das gleiche Passwort.
Bemerkung
VT AIR Amazon AWS und VT AIR Azure haben einen unterschiedlichen Login-Mechanismus
1.5. Default Firewall User¶
Die folgenden Benutzer sind standardmäßig auf der Firewall aktiv:
Name |
Funktion |
Beschreibung |
---|---|---|
admin |
Web GUI Administrator |
Webinterface Admin |
hasync |
Web GUI High Availability Benutzer |
HA Config Sync Benutzer mit Zufallspasswort |
root |
SSH-Only Benutzer |
Passwort wird mit dem Benutzer admin synchronisiert |
1.6. Breadcrumb¶
Jede Seite hat einen Navigations-Breadcrumb mit der aktuellen Seite. Je nach Seite gibt es in der rechten oberen Ecke zusätzliche Shortcuts.
- Abkürzungen beinhalten:
Link zur Service-Übersichtsseite
Link zur dienstspezifischen Diagnose
Link zur Logdatei
1.7. Suche¶
Das Suchfeld in der oberen Navigationsleiste kann das Menü durchsuchen und Seitenergebnisse wiedergeben. Es werden keine gespeicherten Daten durchsucht. Wenn Sie einen Menüeintrag schnell finden wollen, ist dies ein gutes Werkzeug.
1.8. Unterstützter Browser¶
VT AIR unterstützt Chrome, Edge, Firefox und Safari. Der Internet Explorer ist kein unterstützter Browser und kann Fehler bei der Anzeige von GUI-Funktionen aufweisen.
1.9. Aktuelle VT AIR-Geräte¶
- Desktop
- Rack
- Industriell
1.10. Zeitplan für die Veröffentlichung¶
VT AIR wird vierteljährlich veröffentlicht, und die Versionsnummer gibt den Monat und das Jahr der Veröffentlichung an. Zum Beispiel wird die Version 2021.07.1 im Juli 2021 veröffentlicht.
- Die Veröffentlichungen erfolgen im Januar, April, Juli und Oktober und sind wie folgt nummeriert, wobei JJJJ durch das Jahr der Veröffentlichung ersetzt wird:
JJJJ.01
JJJJ.04
JJJJ.07
JJJJ.10
Der Kernel wird mit der Version 04 (April) und 10 (Oktober) aktualisiert. Es gibt Ausnahmen wie kritische Sicherheitslücken oder andere wichtige Gründe, bei denen wir gezwungen sind, ein Kernel-Update außerhalb des Veröffentlichungsplans zu veröffentlichen.
1.11. Default Firewall Regeln¶
Nur für die LAN-Schnittstelle sind die Default Firewall Regeln aktiviert.
Protokoll |
Quellen IP |
Quellport |
Ziel-IP |
Ziel-Port |
Beschreibung |
---|---|---|---|---|---|
TCP |
Any |
Any |
LAN Addresse |
22, 80, 443 |
Anti Lockout Rule |
TCP/UDP |
LAN Network |
Any |
LAN Addresse |
53, 853 |
DNS-Server |
ICMP |
LAN Network |
- |
LAN Addresse |
- |
ICMP zu VT AIR |
Any |
Any |
Any |
Private Netzwerke |
Any |
Zugang zu privaten IPs v4 und v6 |
Any |
Any |
Any |
NOT Private Netzwerke |
Any |
Zugang zu öffentlichen IPs v4 und v6 |
Die WAN-Schnittstelle blockiert den gesamten Datenverkehr und verfügt über eine explizite zusätzliche Firewall-Regel zum Blockieren von privaten IPs.
Bitte beachten Sie die unten aufgeführten offenen ICMP- und ICMPv6-Ports für alle Schnittstellen.
1.12. Standard-Dienste¶
Die folgenden Tabellen zeigen die Dienste und ihre offenen Ports, die in den Werkseinstellungen der VT AIR aktiviert sind:
Service |
Port |
Protokoll |
Default Firewall Rule |
Aktives Interface |
Beschreibung |
---|---|---|---|---|---|
DNS |
53 |
TCP and UDP |
Ja auf LAN-Schnittstelle |
LAN |
DNS-Server |
DNS |
853 |
TCP and UDP |
Ja auf LAN-Schnittstelle |
LAN |
DNS-Server TLS |
HTTP |
80 |
TCP |
Ja auf LAN-Schnittstelle |
Any |
Webserver |
HTTPS |
443 |
TCP |
Ja auf LAN-Schnittstelle |
Any |
Webserver |
DHCP |
67 |
UDP |
Ja auf LAN-Schnittstelle |
LAN |
DHCP-Server |
SSH |
22 |
TCP |
Ja auf LAN-Schnittstelle |
Any |
SSH-Server |
NTP |
123 |
UDP |
Nein Blockiert |
Any |
NTP Server |
ICMP |
ICMP |
Ja auf LAN-Schnittstelle + Siehe Tabelle unten |
N/A |
ICMP-Messages |
|
ICMPv6 |
ICMPv6 |
Siehe Tabelle unten |
N/A |
ICMPv6-Messages |
Offene ICMP-Typen zu der VT AIR Firewall:
ICMP-Typ |
Input Interfaces |
Beschreibung |
---|---|---|
Alle |
LAN |
LAN ICMP zu VT AIR |
Destination unreachable (3) |
ALLE |
Destination Unreachable Message |
Time exceeded (11) |
ALLE |
Time exceeded Message |
Parameter problem (12) |
ALLE |
Parameter Problem |
Offene ICMPv6-Typen zu der VT AIR Firewall:
ICMPv6-Typ |
Input Interfaces |
Beschreibung |
---|---|---|
Destination unreachable (1) |
ALLE |
Destination Unreachable Message |
Packet Too Big (2) |
ALLE |
Packet Too Big |
Time exceeded (3) |
ALLE |
Time exceeded Message |
Parameter problem (4) |
ALLE |
Parameter Problem |
Neighbor Solicitation (135) |
ALLE |
Neighbour Solicitation |
Neighbor Advertisement (136) |
ALLE |
Neighbour Advertisement |
Multicast Listener Query (130) |
ALLE |
Multicast Listener Query |
Multicast Listener Report (131) |
ALLE |
Multicast Listener Report |
Multicast Listener Done (132) |
ALLE |
Multicast Listener Done |
Multicast Listener Report v2 (143) |
ALLE |
Multicast Listener Report |
Multicast Router Advertisemet (151) |
ALLE |
Multicast Listener Report |
Multicast Router Solicitation (152) |
ALLE |
Multicast Listener Report |
Multicast Router Termination (153) |
ALLE |
Multicast Listener Report |
Echo Reply (129) |
ALL (fe80::/10, ff02::/16 <-> fe80::/10, ff02::/16) |
Link Local Only |
Router Solicitation (133) |
ALL (fe80::/10, ff02::/16 <-> fe80::/10, ff02::/16) |
Link Local Only |
Router Advertisement (124) |
ALL (fe80::/10, ff02::/16 <-> fe80::/10, ff02::/16) |
Link Local Only |