1. Allgemeine Erklärungen¶

1.1. Einführung¶

VT AIR Next Gen Firewall ist ein Linux-basiertes Firewall-System, das einen hohen Firewall-Durchsatz bietet und gleichzeitig eine große Anzahl von Funktionen zur Verwaltung Ihres Netzwerks enthält.

VT AIR ist mit einer modernen Verwaltungs-WebGUI, einer REST-API und einer Befehlszeile ausgestattet.

1.2. VT AIR Architektur¶

VT AIR läuft unter dem Linux-Betriebssystem Debian und nutzt einen angepassten Linux-Kernel für maximale Kompatibilität und Netzwerkgeschwindigkeit.

1.3. Technology-Stack¶

VT AIR wurde mit Hilfe von Open-Source-Softwareprojekten entwickelt und erstellt, wie unter anderem:

Debian als Basisbetriebssystem
SNMPD für SNMP
FRR für Routing-Protokolle
Kea für DHCP-Dienste
Unbound für DNS
ntp.org Daemon für NTP
keepalived für VRRP und HA-Failover
Docker für App Container
Suricata für Intrusion Detection und App-Kontrolle
Squid als Webfilter
Coraza als Web Application Firewall
HAProxy als Reverse Proxy und Load Balancer
Apache Guacamole als WebVPN
OpenVPN
strongSwan für die IPsec-Schlüsselverwaltung
WireGuard

1.4. Standard-Anmeldung¶

Die Standard-Anmeldedaten für die WebGUI müssen bei der ersten Anmeldung festgelegt werden. Die WebGUI zwingt Sie, ein Passwort für den Standardbenutzer admin festzulegen.

Bei SSH oder der Konsole ist der Benutzer root. Der root- und der admin-Benutzer teilen sich das gleiche Passwort.

Bemerkung

VT AIR Amazon AWS und VT AIR Azure haben einen unterschiedlichen Login-Mechanismus

1.5. Default Firewall User¶

Die folgenden Benutzer sind standardmäßig auf der Firewall aktiv:

Name	Funktion	Beschreibung
admin	Web GUI Administrator	Webinterface Admin
hasync	Web GUI High Availability Benutzer	HA Config Sync Benutzer mit Zufallspasswort
root	SSH-Only Benutzer	Passwort wird mit dem Benutzer admin synchronisiert

1.7. Suche¶

Das Suchfeld in der oberen Navigationsleiste kann das Menü durchsuchen und Seitenergebnisse wiedergeben. Es werden keine gespeicherten Daten durchsucht. Wenn Sie einen Menüeintrag schnell finden wollen, ist dies ein gutes Werkzeug.

1.8. Unterstützter Browser¶

VT AIR unterstützt Chrome, Edge, Firefox und Safari. Der Internet Explorer ist kein unterstützter Browser und kann Fehler bei der Anzeige von GUI-Funktionen aufweisen.

1.9. Aktuelle VT AIR-Geräte¶

Desktop

Rack

Industriell

1.10. Zeitplan für die Veröffentlichung¶

VT AIR wird vierteljährlich veröffentlicht, und die Versionsnummer gibt den Monat und das Jahr der Veröffentlichung an. Zum Beispiel wird die Version 2021.07.1 im Juli 2021 veröffentlicht.

Die Veröffentlichungen erfolgen im Januar, April, Juli und Oktober und sind wie folgt nummeriert, wobei JJJJ durch das Jahr der Veröffentlichung ersetzt wird:

JJJJ.01
JJJJ.04
JJJJ.07
JJJJ.10

Der Kernel wird mit der Version 04 (April) und 10 (Oktober) aktualisiert. Es gibt Ausnahmen wie kritische Sicherheitslücken oder andere wichtige Gründe, bei denen wir gezwungen sind, ein Kernel-Update außerhalb des Veröffentlichungsplans zu veröffentlichen.

1.11. Default Firewall Regeln¶

Nur für die LAN-Schnittstelle sind die Default Firewall Regeln aktiviert.

Protokoll	Quellen IP	Quellport	Ziel-IP	Ziel-Port	Beschreibung
TCP	Any	Any	LAN Addresse	22, 80, 443	Anti Lockout Rule
TCP/UDP	LAN Network	Any	LAN Addresse	53, 853	DNS-Server
ICMP	LAN Network	-	LAN Addresse	-	ICMP zu VT AIR
Any	Any	Any	Private Netzwerke	Any	Zugang zu privaten IPs v4 und v6
Any	Any	Any	NOT Private Netzwerke	Any	Zugang zu öffentlichen IPs v4 und v6

Die WAN-Schnittstelle blockiert den gesamten Datenverkehr und verfügt über eine explizite zusätzliche Firewall-Regel zum Blockieren von privaten IPs.

Bitte beachten Sie die unten aufgeführten offenen ICMP- und ICMPv6-Ports für alle Schnittstellen.

1.12. Standard-Dienste¶

Die folgenden Tabellen zeigen die Dienste und ihre offenen Ports, die in den Werkseinstellungen der VT AIR aktiviert sind:

Service	Port	Protokoll	Default Firewall Rule	Aktives Interface	Beschreibung
DNS	53	TCP and UDP	Ja auf LAN-Schnittstelle	LAN	DNS-Server
DNS	853	TCP and UDP	Ja auf LAN-Schnittstelle	LAN	DNS-Server TLS
HTTP	80	TCP	Ja auf LAN-Schnittstelle	Any	Webserver
HTTPS	443	TCP	Ja auf LAN-Schnittstelle	Any	Webserver
DHCP	67	UDP	Ja auf LAN-Schnittstelle	LAN	DHCP-Server
SSH	22	TCP	Ja auf LAN-Schnittstelle	Any	SSH-Server
NTP	123	UDP	Nein Blockiert	Any	NTP Server
ICMP		ICMP	Ja auf LAN-Schnittstelle + Siehe Tabelle unten	N/A	ICMP-Messages
ICMPv6		ICMPv6	Siehe Tabelle unten	N/A	ICMPv6-Messages

Offene ICMP-Typen zu der VT AIR Firewall:

ICMP-Typ	Input Interfaces	Beschreibung
Alle	LAN	LAN ICMP zu VT AIR
Destination unreachable (3)	ALLE	Destination Unreachable Message
Time exceeded (11)	ALLE	Time exceeded Message
Parameter problem (12)	ALLE	Parameter Problem

Offene ICMPv6-Typen zu der VT AIR Firewall:

ICMPv6-Typ	Input Interfaces	Beschreibung
Destination unreachable (1)	ALLE	Destination Unreachable Message
Packet Too Big (2)	ALLE	Packet Too Big
Time exceeded (3)	ALLE	Time exceeded Message
Parameter problem (4)	ALLE	Parameter Problem
Neighbor Solicitation (135)	ALLE	Neighbour Solicitation
Neighbor Advertisement (136)	ALLE	Neighbour Advertisement
Multicast Listener Query (130)	ALLE	Multicast Listener Query
Multicast Listener Report (131)	ALLE	Multicast Listener Report
Multicast Listener Done (132)	ALLE	Multicast Listener Done
Multicast Listener Report v2 (143)	ALLE	Multicast Listener Report
Multicast Router Advertisemet (151)	ALLE	Multicast Listener Report
Multicast Router Solicitation (152)	ALLE	Multicast Listener Report
Multicast Router Termination (153)	ALLE	Multicast Listener Report
Echo Reply (129)	ALL (fe80::/10, ff02::/16 <-> fe80::/10, ff02::/16)	Link Local Only
Router Solicitation (133)	ALL (fe80::/10, ff02::/16 <-> fe80::/10, ff02::/16)	Link Local Only
Router Advertisement (124)	ALL (fe80::/10, ff02::/16 <-> fe80::/10, ff02::/16)	Link Local Only