Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
K (Textersetzung - „sptable2 spezial“ durch „sptable2 Paketfilter“)
 
Zeile 134: Zeile 134:
{{#var:Portfilterregeln--desc}}
{{#var:Portfilterregeln--desc}}


{| class="sptable2 spezial pd5 tr--bc__white zh1"
{| class="sptable2 Paketfilter pd5 tr--bc__white zh1"
|-
|-
| class="Leerzeile bc__default" colspan="10" |
| class="Leerzeile bc__default" colspan="10" |

Aktuelle Version vom 29. Mai 2024, 10:49 Uhr





























De.png
En.png
Fr.png








Letzte Anpassung zur Version: 12.6.0
Neu:
  • Aktualisierung zum Redesign des Webinterfaces
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.2.2 12.2



Ausgangslage

Viele Anbieter von Serviceleistungen verlangen für die Anbindung an die eigene Serverlandschaft einen eigenen VPN-Router, der eine gesicherte Verbindung dorthin aufbaut und über den die Verbindungen geroutet werden.
Für die Implementierung im Kunden-Netzwerk gibt es verschiedene Ansätze. Dieser Artikel geht auf die Problematiken einer solcher Implementierung ein und gibt einen Vorschlag zur optimalen Integration in Kundennetzwerke.


Routing Probleme

Wird der Router einfach mit in das interne Netz aufgenommen, dann ergibt sich zunächst ein Routing- Problem:
Verbindungen in das Netzwerk des Drittanbieters müssen über diesen Router gehen. Ein lokales Routing auf den Geräten des Netzwerks kommt nicht in Frage. Ein Routing über die Firewall ist ebenfalls problematisch.

Beim Herstellen einer TCP-Verbindung ergibt sich hier ein asynchrones Routing:
Wird von einem Gerät eine solche Verbindung initiiert, wird das SYN-Paket des TCP-Dreiwege- Handshakes zunächst zur UTM und dann über den Router des Drittanbieters geroutet. Das SYN/ACK-Paket des Responders aus dem Netz des Drittanbieters wird hingegen vom Router direkt an den Initiator zugestellt und nicht über die UTM. Das dritte Paket des Dreiwege-Handshakes (ACK) geht wieder über die UTM und wird dort vom Paketfilter aufgrund eines unplausiblen Status verworfen (Stateful Inspection).


Zero-Trust Problem

Selbst wenn die zuvor beschriebenen Routingprobleme gelöst bzw. umgangen werden konnten, entziehen sich die Verbindungen in das Netz des Drittanbieters der Kontrolle der UTM (Virenscanner, Webfilter, Portfilter, …) was bei einem nicht vertrauenswürdigen Netz nicht akzeptabel ist. Eine Integration in bestehende Kundennetzwerke sollte daher nicht in Betracht gezogen werden.


Lösungen

Fremdrouter-09.png

Alle beschriebenen Probleme können gelöst werden, indem der Router in ein separates Subnetz an der UTM gestellt wird und ein Transfernetzwerk etabliert wird. Das ist prinzipiell mit jeder UTM-Appliance von Securepoint möglich. Es wird lediglich eine weitere freie Ethernet-Schnittstelle oder VLAN-Schnittstelle benötigt.


Vorgehensweise

  • Voraussetzungen:
    • Gegeben sei ein internes Netzwerk 10.0.0.0/24 an LAN2.
    • Es ist eine weitere Schnittstelle an der UTM verfügbar, die bisher noch nicht genutzt wurde (LAN3)
  • Ziel:
    • Über den Router eines Dienstanbieters soll die Verbindung in ein privates Subnetz 172.16.0.0/16 hergestellt werden.
  • Vorgehen:
    • Die ungenutzte Schnittstelle (LAN3) soll das Subnetz 10.0.1.0/24 mit der IP 10.0.1.1 bekommen.
    • Der Router des Dienstanbieters erhält die IP 10.0.1.100
    • Um die Einbindung des Routers zu vereinfachen soll die UTM in diesem Subnetz als DHCP-Server dienen.
      Hierzu soll ein fester Lease für das Router-Interface mit der IP 10.0.1.100 konfiguriert werden.



Netzwerkkonfiguration

Beschriftung Wert Beschreibung Ethernet-Schnittstelle bearbeiten UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration UTM v12.6 Szenario Drittanbieter-Router Schnittstelle LAN3 bearbeiten.pngKonfiguration der DMZ-Schnittstelle
IP-Adressen: »10.0.1.1/24 Zur Konfiguration von LAN3 wird unter Netzwerk Netzwerkkonfiguration die Netzwerkkonfiguration und dann das Interface LAN3 zur Bearbeitung geöffnet. Unter „IP- Adressen“ wird nun die IP 10.0.1.1/24 eingetragen und gespeichert.
DHCP-Pool anlegen

Es wird ein DHCP-Pool für dynamische Adressen vergeben.
Dies ist unter Netzwerk Netzwerkkonfiguration  Bereich DHCP- Pools Schaltfläche Pool hinzufügen möglich. Die Konfigurationen sollten wie folgt getroffen werden:
Schritt 1

Name: dmz-pool Pool Name Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6 Szenario Drittanbieter-Router DHCP-Pool.pngKonfigurierter DHCP-Pool
Pool Startadresse: 10.0.1.10/--- Erste IP-Adresse, die per DHCP vergeben werden kann
Pool Endadresse: 10.0.1.200/--- Letzte IP-Adresse, die per DHCP vergeben werden kann
Schritt 2
Nameserver: 10.0.1.1/--- Als Nameserver dient die UTM selbst, also die IP der zugehörigen Schnittstelle
Schritt 3
Router 10.0.1.1/--- Als Router dient die UTM selbst, also die IP der zugehörigen Schnittstelle

Lease hinzufügen

Im Reiter Statisches DHCP wird mit der Schaltfläche Lease hinzufügen ein fester Lease für den Router hinzugefügt.

Host: Router Name für den Host (zur eindeutigen Zuordnung) Lease hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration UTM v12.6 Szenario Drittanbieter-Router Lease hinzufuegen.pngStatische IP-Adresse für den Router des Diensteanbieters
Ethernet __:__:__:__:__:__ MAC-Adresse des Routers des Diensteanbieters
IP: 10.0.1.100/--- Statische IP-Adresse für den Router des Diensteanbieters, die per DHCP zugewiesen werden soll
Route hinzufügen

Die UTM muss eine Route in das Netzwerk des Diensteanbieters über diesen Router haben.
Unter dem Reiter Routing und nach Betätigen der Schaltfläche Route hinzufügen wird folgendes konfiguriert:

Quellnetzwerk:    /24 Die Angabe eines Quellnetzwerks ist nicht erforderlich. Route hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration UTM v12.6 Szenario Drittanbieter-Router Route hinzufuegen.png
Gateway Typ: IPSchnittstelle Der Typ des Gateways
Gateway: 10.0.1.100/--- IP des Routers des Diensteanbieters
Zielnetzwerk 172.16.0.0/16 Netz-IP des Dienstanbieters mit Subnetzmaske
Gewichtung 0Link=

Regelwerk

Zur Gestaltung des Regelwerks werden zwei Netzwerkobjekte gebraucht. Diese können unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen hinzugefügt werden.
Für den Router:

Name: Diensteanbieter Router Frei wählbarer Name Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewall UTM v12.6 Szenario Drittanbieter-Router Netzwerkobjekt Dienstanbierter-Router hinzufuegen.pngNetzwerkobjekt für den Router
Typ: Host
Adresse 10.0.1.100/--- IP-Adresse, die als Static Lease per DHCP an den Router des Diensteanbieters vergeben wurde
Zone: dmz1
Gruppen:     Optional. Ggf. kann das Netzwerkobjekt Gruppen hinzugefügt werden
Für das Netzwerk des Diensteanbieters:
Name: Diensteanbieter Netzwerk Frei wählbarer Name Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewall UTM v12.6 Szenario Drittanbieter-Router Netzwerkobjekt Dienstanbierter-Netzwerk hinzufuegen.pngNetzwerkobjekt für das Netzwerk
Typ: Netzwerk (Adresse)
Adresse 172.16.0.0/16 Netz-IP des privaten Netzwerkes, zu dem der VPN-Tunnel geht, der durch den Router des Diensteanbieters aufgebaut wird
Zone: dmz1
Gruppen:     Optional. Ggf. kann das Netzwerkobjekt Gruppen hinzugefügt werden


Portfilterregeln

Die benötigten Portfilterregeln hängen davon ab, welches VPN-Verfahren der Router nutzt und welche Dienste innerhalb der gesicherten Verbindung benötigt werden.
Annahmen für dieses Beispiel:

  • Die Verbindung erfolgt über IPSec
  • Im Netzwerk des Diensteanbieters sollen verschiedene Terminalserver über das RDP-Protokoll erreicht werden
# Quelle Ziel Dienst NAT Aktion Aktiv
Freigabe der IPSec-Verbindung Dragndrop.png 4 Host.svg Diensteanbieter Router World.svg internet Service-group.svg ipsec HN Accept Ein
DNS-Freigabe, damit der Router seinen VPN-Server über einen Hostnamen ansprechen kann Dragndrop.png 5 Host.svg Diensteanbieter Router Interface.svg dmz1-interface Service-group.svg dns Accept Ein
Zugriff auf Netzwerk des Diensteanbieters Dragndrop.png 6 Network.svg internal-network Network.svg Diensteanbieter Netzwerk Tcp.svg ms-rdp Accept Ein

Zusammenfassung

Durch die Integration des Diensteanbieter-Routers in die DMZ wurden sämtliche beschriebenen Routing-Probleme beseitigt und gleichzeitig die Kontrolle über sämtliche Verbindungen in und aus dem eigenen Netzwerk beibehalten.