Innominate - Phoenix Contact Cyber Security Bietet

Transcription

Innominate - Phoenix Contact Cyber Security Bietet
Innominate mGuard/mGuard PCI
Konfigurationsbeispiele
mGuard 2.x
Innominate Security Technologies AG
Rudower Chaussee 29
12489 Berlin
Tel.: +49 (0)30-6392 3300
Fax: +49 (0)30-6392 3307
[email protected]
www.innominate.de
mGuard – Konfigurationsbeispiele
© Innominate Security Technologies AG
Dezember 2004
„Innominate“ und „mGuard“ sind registrierte Handelsnamen der Innominate Security Technologies AG.
Die mGuard Technologie ist durch das Patent 10138865, erteilt durch das Deutsche Patentamt,
geschützt. Weitere Patente sind angemeldet.
Weder Gesamtdokument noch Teile davon dürfen ohne schriftliche Genehmigung übertragen oder
kopiert werden.
Die Innominate AG behält sich das Recht vor, jederzeit und ohne Benachrichtigung dieses Dokument
zu verändern. Innominate übernimmt keine Gewährleistung für diese Unterlagen. Dies gilt ohne
Einschränkung auch für die stillschweigende Zusicherung der Verkäuflichkeit und der Eignung für
einen bestimmten Zweck.
Innominate übernimmt ferner keine Haftung für Fehler im vorliegenden Handbuch sowie für zufällige
oder Folgeschäden im Zusammenhang mit der Lieferung, Leistung oder Verwendung dieser
Unterlagen. Ohne die vorherige schriftliche Zustimmung der Innominate Security Technologies AG darf
dieses Handbuch weder teilweise noch vollständig fotokopiert, vervielfältigt oder in eine andere
Sprache übersetzt werden.
Innominate Dokumentennummer: 5518-111
Version 2.00
-1-
mGuard – Konfigurationsbeispiele
Inhalt
1
Einleitung__________________________________________________________________________ 3
2
Betrieb des mGuard als DSL-Router (PPPoE-Modus) ________________________________ 3
3
2.1
Austausch eines DSL-Routers gegen den mGuard _____________________________________ 4
2.2
Menü: Firewall -> NAT ____________________________________________________________ 4
2.3
Menü: Netzwerk -> PPPoE _________________________________________________________ 5
2.4
Menü: Netzwerk -> Basis __________________________________________________________ 5
2.5
IP-Einstellungen auf den Client-Rechnern ____________________________________________ 5
Betrieb des mGuard als Router (Router-Modus)_____________________________________ 6
3.1
Konfiguration des Testrechners ____________________________________________________ 6
3.2
Konfiguration des mGuard _________________________________________________________ 7
3.2.1
3.2.2
3.2.3
3.2.4
4
7
7
8
9
Einschränkungen ________________________________________________________________ 10
4.1.1
4.1.2
4.1.3
4.1.4
4.1.5
Preshared Key (PSK) mit dynamischen IPs ______________________________________
Preshared Key (PSK) mit NAT/NAT-T___________________________________________
L2TP und NAT/NAT-T ________________________________________________________
VPN-Transportverbindung und NAT/IPsec Passthrough ___________________________
L2TP und mGuard im Stealth-Modus ___________________________________________
10
10
10
10
10
4.2
VPN-Transport-Verbindung (PSK) zwischen zwei mGuards im Stealth-Modus ____________ 11
4.3
VPN-Tunnel-Verbindung (PSK) zwischen zwei mGuards _______________________________ 13
4.2.1
4.2.2
4.3.1
4.3.2
4.3.3
4.3.4
Allgemeine Konfiguration der mGuards _________________________________________ 11
Menü: VPN -> Verbindungen _________________________________________________ 12
Allgemeine Konfiguration mGuard 1 (Router-Modus) _____________________________
Allgemeine Konfiguration mGuard 2 (Stealth-Modus) _____________________________
Menü: VPN -> Verbindungen _________________________________________________
Verwendung von X.509-Zertifikaten____________________________________________
13
13
14
15
L2TP/IPsec-Verbindung___________________________________________________________ 16
5.1
Erforderliche X.509-Zertifikate ____________________________________________________ 17
5.2
mGuard-Konfiguration ___________________________________________________________ 17
5.3
Konfiguration des Windows-Rechners ______________________________________________ 19
5.2.1
5.2.2
5.2.3
5.3.1
5.3.2
5.3.3
6
Netzwerk -> Basis______________________________________________________
Netzwerk -> Router ____________________________________________________
Firewall -> NAT ________________________________________________________
Dienste -> DNS ________________________________________________________
VPN-Verbindungen________________________________________________________________ 10
4.1
5
Menü:
Menü:
Menü:
Menü:
Menü: VPN -> Verbindungen _________________________________________________ 18
Menü: VPN -> Maschinen Zertifikat ____________________________________________ 18
Menü: VPN -> L2TP _________________________________________________________ 19
Microsoft Management Console (MMC) konfigurieren _____________________________ 19
X.509-Zertifikate für IPsec installieren __________________________________________ 20
L2TP/IPsec Verbindung konfigurieren __________________________________________ 21
Firewall ___________________________________________________________________________ 22
6.1
Regeln _________________________________________________________________________ 22
6.2
Beispiel einer fehlerhaft aufgesetzten Firewall _______________________________________ 22
Version 2.00
-2-
mGuard – Konfigurationsbeispiele
1
Einleitung
Dieses Handbuch soll Ihnen helfen, sich mit der Konfiguration des mGuard vertraut zu machen.
Anhand von Beispielen wird beschrieben, wie Sie die unterschiedlichen Funktionen des mGuard testen
können, und wie der mGuard in den einzelnen Fällen zu konfigurieren ist.
2
Betrieb des mGuard als DSL-Router (PPPoE-Modus)
Der mGuard soll als DSL-Router (PPPoE-Modus) betrieben werden, um das Firmennetz über ein DSLModem mit dem Internet zu verbinden. Die folgende Darstellung beschreibt die in diesem Beispiel
verwendeten Komponenten und die benutzten IP Adressen:
Einsatz des mGuard als DSL-Router
Version 2.00
-3-
mGuard – Konfigurationsbeispiele
2.1
Austausch eines DSL-Routers gegen den mGuard
Gehen Sie wie folgt vor, um in einem bereits konfigurierten Netzwerk einen DSL-Router gegen den
mGuard auszutauschen:
Notieren Sie die IP-Adresse des DSL-Routers (diese ist die auf den Clients angegebene IP-Adresse
des Standardgateways). Im folgenden Beispiel ist dies die Adresse 192.168.1.254.
Tauschen Sie den DSL-Router gegen den mGuard aus.
Schalten Sie den Switch kurz aus und wieder an, damit eventuell zwischengespeicherte arpEinträge gelöscht werden.
Wenn Sie den mGuard noch nicht vorkonfiguriert haben sollten, so befindet er sich im StealthModus und ist vom Web-Browser aus über die URL https://1.1.1.1 zu erreichen. Da jedoch das
Standardgateway durch das Entfernen des DSL-Routers nicht mehr erreicht werden kann, sind
folgende Schritte auf dem Client erforderlich, von dem aus der mGuard konfiguriert werden soll:
o Öffnen Sie ein DOS-Fenster.
o Geben Sie folgenden Befehl ein: arp –a. Dieser Befehl listet die existierenden arpEinträge auf. Sollte bei der Auflistung die IP-Adresse des Routers erscheinen (in unserem
Beispiel 192.168.1.254), so löschen Sie diese durch den Befehl: arp –d <IP-Adresse>
(in unserem Beispiel: arp -d 192.168.1.254).
o Weisen Sie nun dem Standardgateway eine statische MAC-Adresse mit folgendem Befehl
zu: arp –s <IP-Adresse> aa-aa-aa-aa-aa-aa (in unserem Beispiel: arp -s
192.168.1.254 aa-aa-aa-aa-aa-aa). Nun ist der mGuard vom Web-Browser aus über die
URL https://1.1.1.1 zu erreichen.
2.2
Menü: Firewall -> NAT
NAT muss aktiv sein, damit IP-Adressen im externen Netzwerk (Internet) vom internen aus erreichbar
sind.
Menü: Firewall -> NAT
Klicken Sie auf Neu.
Tragen Sie ggf. in das Feld Von IP die entsprechende Netzwerk IP und die dazugehörige
Netzmaske in CIDR-Notation (z.B. 255.255.0.0 = 16, 255.255.255.0 = 24, 255.255.255.255 = 32)
ein. Die Einstellung 0.0.0.0/0 erlaubt allen Rechnern des internen Netzes den Zugriff auf IPAdressen des externen Netzes (Internet). Möchten Sie nur einem bestimmten Subnetz den
Zugang ins Internet erlauben, so müssen Sie das entsprechende Subnetz mit der dazugehörigen
Netzmaske eintragen (z.B. 192.168.1.0/24). Soll nur ein bestimmter Rechner Zugang ins Internet
erhalten, so muss die entsprechende IP mit der Netzmaske 32 eingetragen werden (z.B.
192.168.1.100/32).
Klicken Sie auf OK.
Version 2.00
-4-
mGuard – Konfigurationsbeispiele
2.3
Menü: Netzwerk -> PPPoE
In dieser Eingabemaske müssen die Zugangs-Parameter (Benutzername und Passwort) eingegeben
werden, die Sie von Ihrem Internet Service Provider (ISP) erhalten haben:
Menü: Netzwerk -> PPPoE
Geben Sie in das Feld PPPoE Login den Benutzernamen ein, den Sie vom ISP erhalten haben.
Geben Sie in die Felder PPPoE Passwort zweimal das entsprechende Passwort ein.
Klicken Sie auf OK.
2.4
Menü: Netzwerk -> Basis
Menü: Netzwerk -> Basis
Geben Sie in das Feld Interne IPs/IP die lokale IP des mGuard ein. Diese IP muss sich
innerhalb des IP-Bereichs des internen Netzes befinden. Haben Sie einen DSL-Router durch den
mGuard ersetzt, so tragen Sie hier die ursprüngliche IP des DSL-Routers ein (in unserem Beispiel
192.168.1.254).
Geben Sie in das Feld Interne IPs/Netzmaske die dazugehörige Netzmaske ein.
Setzen Sie Netzwerk Modus auf PPPoE.
Klicken Sie nun auf OK.
Befand sich der mGuard im Stealth-Modus, so wird er nun neu gestartet. Nach dem Neustart ist er
dann vom Web-Browser aus unter der URL https://<interne IP des mGuard> zu erreichen (in
unserem Beispiel: https://192.168.1.254).
2.5
IP-Einstellungen auf den Client-Rechnern
Die interne IP des mGuard (in unserem Beispiel 192.168.1.254) muss auf den Client-Rechnern als
Standardgateway und als DNS eingetragen werden.
Version 2.00
-5-
mGuard – Konfigurationsbeispiele
3
Betrieb des mGuard als Router (Router-Modus)
Der mGuard soll als Router zwischen zwei Netzwerken betrieben werden. Die folgende Darstellung
beschreibt die in diesem Beispiel verwendeten Komponenten und die benutzten IP Adressen:
mGuard als Router zwischen zwei Netzwerken
3.1
Konfiguration des Testrechners
Der Testrechner (Rechner 1) wurde mit folgenden Netzwerkeinstellungen konfiguriert:
IP-Adresse =
192.168.1.100
Subnetzmaske =
255.255.255.0
Standardgateway =
192.168.1.1
Anmerkung: Die als Standardgateway angegeben IP-Adresse ist die IP, die wir später bei der
Konfiguration des mGuard als interne IP des Routers angeben werden. Sollten Sie anstelle des
Testrechners ein zweites Netzwerk haben, so müssten Sie bei jedem Rechner das Standardgateway
auf diesen Wert setzen.
Version 2.00
-6-
mGuard – Konfigurationsbeispiele
3.2
Konfiguration des mGuard
3.2.1
Menü: Netzwerk -> Basis
Mit dieser Eingabemaske werden die Parameter für das interne Netz festgelegt.
Menü: Netzwerk -> Basis
Der Netzwerk Modus ist auf Router zu setzen.
Die als Interne Ips/IP angegebene IP-Adresse muss bei allen Rechnern des internen Netzes als
Standardgateway angegeben werden.
Besteht das interne Netz aus mehreren Subnetzen, so werden diese unter Zusätzliche interne
Routen eingetragen.
3.2.2
Menü: Netzwerk -> Router
Mit dieser Eingabemaske werden die Parameter für das externe Netz festgelegt.
Menü: Netzwerk -> Router
In unserem Beispiel wird die externe Konfiguration nicht per DHCP bezogen.
Die Externe IP gibt an, unter welcher IP-Adresse das interne Netz vom externen Netz aus
erreicht werden kann.
Besteht das externe Netz aus mehreren Subnetzen, so werden diese unter Zusätzliche externe
Routen eingetragen.
Befindet sich der Internetzugang im externen Netz und sollen die Benutzer vom internen Netze
aus ebenfalls Zugang zum Internet haben, so muss als Default Route über IP die IP-Adresse
des Standardgateways des externen Netzes angegeben werden.
Version 2.00
-7-
mGuard – Konfigurationsbeispiele
3.2.3
Menü: Firewall -> NAT
Menü: Firewall -> NAT
Soll die Verbindung zum externen Netz ausschließlich über einen VPN-Tunnel erfolgen, so darf
kein NAT-Eintrag vorhanden sein.
Sollen die Rechner des externen Netzwerks vom internen aus erreichbar sein, so muss NAT
aktiviert werden. Klicken Sie auf Neu.
Tragen Sie ggf. in das Feld Von IP die entsprechende Netzwerk IP und die dazugehörige
Netzmaske in CIDR-Notation (z.B. 255.255.0.0 = 16, 255.255.255.0 = 24, 255.255.255.255 = 32)
ein. Die Einstellung 0.0.0.0/0 erlaubt allen Rechnern des internen Netzes den Zugriff auf IPAdressen des externen Netzes (Internet). Möchten Sie nur einem bestimmten Subnetz den
Zugang ins Internet erlauben, so müssen Sie das entsprechende Subnetz mit der dazugehörigen
Netzmaske eintragen (z.B. 192.168.1.0/24). Soll nur ein bestimmter Rechner Zugang ins Internet
erhalten, so muss die entsprechende IP mit der Netzmaske 32 eingetragen werden (z.B.
192.168.1.100/32).
Klicken Sie auf OK.
Nach der bisherigen Konfiguration ist folgendes möglich:
Ping auf die Rechner des externen Netzes unter Angabe der IP-Adresse.
Zugriff auf die Rechner des externen Netzes unter Angabe der IP-Adresse.
Zugriff auf Internetseiten unter Angabe der IP-Adresse.
Es ist jedoch noch nicht möglich, auf die Rechner des externen Netzes über den Rechnernamen
zuzugreifen oder auf eine Internetseite durch Angabe der URL. Hierfür muss noch der DNS auf dem
mGuard und auf dem Testrechner konfiguriert werden.
Version 2.00
-8-
mGuard – Konfigurationsbeispiele
3.2.4
Menü: Dienste -> DNS
Menü: Dienste -> DNS
Ist Hostnamen Modus auf Nutzer definiert gesetzt, so muss der Domain Suchpfad
angegeben werden.
Ist Benutzte Nameserver auf Nutzer definiert gesetzt, so muss die IP des Nameservers unter
Nutzer definierte Nameserver angegeben werden.
Auf dem Testrechner müssen jetzt noch folgende DNS-Netzwerkeinstellungen vorgenommen werden,
damit auf die Rechner des externen Netzes über den Rechnernamen zugegriffen werden kann, bzw.
auf Internetseiten unter Angabe der URL:
Bevorzugter DNS-Server: Hier muss die interne IP des mGuard eingetragen werden, in
unserem Beispiel 192.168.1.1.
DNS-Suffixe: Hier muss der Domänen Suchpfad eingetragen werden, in unserem Beispiel
bln.innominate.local (Inhouse-Test).
Nun ist der Zugriff auf die Rechner des externen Netzes unter Angabe des Rechnernamens möglich
und der Zugang zu Internetseiten unter Angabe der URL.
Version 2.00
-9-
mGuard – Konfigurationsbeispiele
4
VPN-Verbindungen
4.1
Einschränkungen
Die im Folgenden aufgeführten Betriebsarten sind nicht möglich.
4.1.1
Preshared Key (PSK) mit dynamischen IPs
PSK mit dynamischen IPs setzt voraus, dass das Authentifizierungverfahren Aggressive Mode
unterstützt wird. Der mGuard unterstützt dieses Verfahren nicht, da die Authentifizierung im
Aggressive Mode leicht zu knacken ist.
Im IPSec unterscheidet man zwischen Main Mode und Aggressive Mode. Der Main Mode benutzt die
IP-Adresse als einen Teil der Verschlüsselungsverfahren, der Aggressive Mode nicht. Dies ist die
Voraussetzung für einen erfolgreichen Hackerangriff auf ein VPN mit Preshared Keys.
Heutige VPN Gateways unterstützen beide Verfahren. Wählt sich nun ein Hacker mit einer
dynamischen IP-Adresse in ein anderes VPN Gateway ein, so wird das Aggressive Mode-Verfahren
vorgeschlagen, da die dynamische IP-Adresse dem Gateway nicht bekannt ist und somit auch nicht für
die Authentifizierung herangezogen werden kann. Im Aggressive Mode werden lediglich drei
Botschaften ausgetauscht. Die erste Botschaft enthält u.a. die Aufforderung, im Aggressive Mode zu
arbeiten. Das VPN Gateway schickt daraufhin eine ausführliche Antwort an den Absender. Dies ist die
einzige Meldung, die das zentrale VPN Gateway zum Aufbau der Verbindung sendet. Diese Meldung
wird unverschlüsselt übertragen und beinhaltet u.a. einen Hash-Wert, der aus dem Preshared Key
berechnet wurde. Wurden nun die Datenpakete mittels tcpdump oder Windump mitgeschnitten, so
kann mittels Hacker Tools (z.B. IKECrack) der Preshared Key offline ermittelt werden.
Wurde der Preshared Key ermittelt, gelangt ein Hacker gewissermaßen durch die Vordertür in das
Unternehmensnetzwerk und hat Zugriff auf die Daten des Unternehmens.
Mögliche Alternativen sind:
Verwendung einer festen IP-Adresse.
Verwendung von X.509-Zertifikaten anstelle von Preshared Keys.
Verwendung eines DynDNS-Services.
4.1.2
Preshared Key (PSK) mit NAT/NAT-T
Kann nicht angewendet werden, da der mGuard Aggressive Mode nicht unterstützt (Erläuterung siehe
oben).
4.1.3
L2TP und NAT/NAT-T
Aus technischen Gründen kann NAT/NAT-T nur bei Tunnelverbindungen angewendet werden. L2TP ist
eine Transportverbindung.
4.1.4
VPN-Transportverbindung und NAT/IPsec Passthrough
Aus technischen Gründen kann NAT/IPSec Passthrough nur bei Tunnelverbindungen angewendet
werden.
4.1.5
L2TP und mGuard im Stealth-Modus
Der mGuard im Stealth-Modus verfügt über keine L2TP-Dienste.
Version 2.00
- 10 -
mGuard – Konfigurationsbeispiele
4.2
VPN-Transport-Verbindung (PSK) zwischen zwei mGuards im Stealth-Modus
In diesem Beispiel soll eine VPN-Transport Verbindung zwischen zwei mGuards im Stealth-Modus
unter der Verwendung von Pre-Shared Keys (PSK) aufgebaut werden.
Die folgende Darstellung beschreibt die in diesem Beispiel verwendeten Komponenten und die
benutzten IP Adressen:
VPN Transport Verbindung zwischen zwei mGuards im Stealth-Modus
4.2.1
Allgemeine Konfiguration der mGuards
Die werkseitigen Grundeinstellungen wurden auf beiden mGuards beibehalten. Die ausgehenden
Firewall-Regeln (Menü: Firewall -> Ausgehend) wurden auf beiden mGuards entfernt.
Version 2.00
- 11 -
mGuard – Konfigurationsbeispiele
4.2.2
Menü: VPN -> Verbindungen
Menü: VPN -> Verbindungen
Einstellungen, die mit einem Gleichheitszeichen markiert sind, müssen auf beiden mGuards
übereinstimmen. Der Verbindungstyp ist bei beiden mGuards als Transport (Host <-> Host)
anzugeben.
1. Adresse des VPN Gateways der Gegenstelle: Hier wird jeweils die IP-Adresse des Clients der
gegenüberliegenden Stelle eingetragen. Auf mGuard 1 die IP-Adresse vom Rechner 2 und auf
mGuard 2 die IP-Adresse des Rechners 1.
2. Verbindungsinitiierung: Hier wird festgelegt, von welcher Seite aus die Verbindung aufgebaut
werden kann. Ist der Wert auf beiden mGuards als Starte Verbindung zur Gegenstelle
angegeben, so kann die Verbindung von beiden Seiten aus aufgebaut werden.
3. Authentisierungsverfahren: Hier wird festgelegt, ob X.509-Zertifikate verwendet werden sollen
oder Pre-Shared-Keys. In unserem Beispiel verwenden wir Pre-Shared Keys. Der unter
Konfigurieren eingetragene Schlüssel muss auf beiden mGuards übereinstimmen.
Tunnel Einstellungen: Bei der VPN-Transport Verbindung werden diese Parameter nicht
ausgewertet.
Eingehende und ausgehende Firewall: hier werden die Grundeinstellungen belassen, so dass
alles erlaubt ist.
Falls noch nicht erfolgt, muss nun die VPN-Verbindung auf beiden mGuards auf Aktiv=Ja gesetzt
werden (Menü: VPN -> Verbindungen). Im Stealth-Modus wird der VPN-Tunnel erst bei dessen
Benutzung aufgebaut, z.B. durch einen Ping von Rechner 1 nach Rechner 2.
Nun ist es möglich, von Rechner 1 über den VPN-Tunnel auf den Rechner 2 zuzugreifen und
umgekehrt. Dazu muss jeweils die IP-Adresse des gegenüberliegenden Rechners angegeben werden.
Der Status der VPN-Verbindung (Menü: VPN -> IPsec Status) sollte für ISAKMP und IPsec established
sein.
Version 2.00
- 12 -
mGuard – Konfigurationsbeispiele
4.3
VPN-Tunnel-Verbindung (PSK) zwischen zwei mGuards
In diesem Beispiel soll eine VPN-Tunnelverbindung zwischen zwei mGuards unter der Verwendung von
Pre-Shared Keys (PSK) aufgebaut werden. Der Datenverkehr soll ausschließlich über diesen Tunnel
erfolgen. Da ein VPN-Tunnel nur zwischen zwei unterschiedlichen Netzwerken aufgebaut werden
kann, uns aber nur ein homogenes Netzwerk für den Test zur Verfügung steht, werden wir dieses
Szenario simulieren, indem wir einen Rechner einem anderen Netzwerk zuweisen und den
angeschlossenen mGuard (mGuard 1) als Router zwischen den beiden Netzwerken konfigurieren.
Die folgende Darstellung beschreibt die in diesem Beispiel verwendeten Komponenten und die
benutzten IP Adressen:
VPN-Verbindung zwischen zwei mGuards
4.3.1
Allgemeine Konfiguration mGuard 1 (Router-Modus)
mGuard 1 wird als Router konfiguriert, wie im Kapitel „Betrieb des mGuard als Router (RouterModus)“ beschrieben. Da der Datentransfer ausschließlich über den VPN-Tunnel erfolgen soll, dürfen
keine NAT-Einstellungen angegeben sein. Die ausgehenden Firewall-Regeln wurden ebenfalls entfernt.
4.3.2
Allgemeine Konfiguration mGuard 2 (Stealth-Modus)
Die werkseitigen Grundeinstellungen können beibehalten werden. Die ausgehenden Firewall-Regeln
wurden entfernt.
Version 2.00
- 13 -
mGuard – Konfigurationsbeispiele
4.3.3
Menü: VPN -> Verbindungen
Menü: VPN -> Verbindungen
Einstellungen, die mit dem Gleichheitszeichen markiert sind, müssen auf beiden mGuards
übereinstimmen. Der Verbindungstyp ist bei beiden mGuards auf Tunnel (Netz <-> Netz) gesetzt.
1. Adresse des VPN Gateways der Gegenstelle:
mGuard 1 (Router): Hier wird die IP-Adresse des Clients eingetragen, der sich hinter dem
mGuard 2 befindet, in unserem Beispiel 10.0.0.216.
mGuard 2 (Stealth): Hier wird die externe IP des mGuard 1 eingetragen, in unserem Beispiel
10.0.0.98.
2. Verbindungsinitiierung: Hier wird festgelegt, von welcher Seite aus die Verbindung aufgebaut
werden kann. Ist der Wert auf beiden mGuards als Starte Verbindung zur Gegenstelle
angegeben, so kann die Verbindung von beiden Seiten aus aufgebaut werden.
3. Authentisierungsverfahren: Hier wird festgelegt, ob X.509-Zertifikate verwendet werden sollen
oder Pre-Shared-Keys. In unserem Beispiel verwenden wir Pre-Shared Keys. Der unter
Konfigurieren eingetragene Schlüssel muss auf beiden mGuards übereinstimmen.
4. Tunnel Einstellungen (Lokales Netz und dazugehörige Netzmaske):
Router-Modus (mGuard 1): Befindet sich der mGuard im Router-Modus, so muss das hier
angegebene lokale Netz mit dem des internen Netzes übereinstimmen, in unserem Beispiel ist
dies das Netz 192.168.1.0/255.255.255.0. Wurden mehrere interne Routen angegeben
(Menü: Netzwerk -> Basis, Zusätzliche interne Routen), so kann für jede interne Route ein
VPN-Tunnel unter Angabe der entsprechenden Subnetzmaske konfiguriert werden.
Stealth-Modus (mGuard 2): Befindet sich der mGuard im Stealth-Modus, so wird hier ein
rein virtuelles Netz definiert, dessen Parameter frei wählbar sind. Das angegebene virtuelle
Netz darf jedoch nicht Bestandteil eines bereits existierenden Netzes sein.
Version 2.00
- 14 -
mGuard – Konfigurationsbeispiele
5. Die virtuelle IP für den Client im Stealth Modus: Dieser Parameter wird nur im Stealth-
Modus ausgewertet, in unserem Beispiel mGuard 2. Unter der hier angegebene IP-Adresse kann
der Client hinter mGuard 2 vom internen Netz aus erreicht werden. Die IP-Adresse muss dem
unter Tunnel Einstellungen, Die Adresse des lokalen Netzes angegebenen Netz angehören.
In unserem Beispiel wählen wir die IP 10.0.1.1.
6. Tunnel Einstellungen (gegenüberliegendes Netz und dazugehörige Netzmaske): Hier
sind die entsprechenden Netzwerke der Gegenstellen einzutragen.
Eingehende und ausgehende Firewall: hier wird die Grundeinstellung belassen, so dass alles
erlaubt ist.
Falls noch nicht erfolgt, muss nun die VPN-Verbindung auf beiden mGuards auf Aktiv=Ja gesetzt
werden (Menü: VPN -> Verbindungen).
Befindet sich der mGuard im Router-Modus, so wird der VPN-Tunnel nach Beendigung der
Konfiguration initialisiert. Im Stealth-Modus wird der VPN-Tunnel erst bei dessen Benutzung aufgebaut
(z.B. durch einen Ping von Rechner 2 nach Rechner 1).
Nun ist es möglich, von Rechner 1 über den VPN-Tunnel auf den Rechner 2 zuzugreifen. Als IPAdresse muss dafür die Virtuelle IP für den Client im Stealth Modus (mGuard 2) angegeben
werden, in unserem Beispiel 10.0.1.1. Der Status der VPN-Verbindung (Menü: VPN -> IPsec Status)
sollte für ISAKMP und IPsec established sein.
Der Zugriff von Rechner 2 auf Rechner 1 erfolgt durch die Angabe der IP-Adresse von Rechner 1, in
unserem Beispiel 192.168.1.100.
4.3.4
Verwendung von X.509-Zertifikaten
Sollen X.509-Zertifikate verwendet werden, so sind folgende Schritte erforderlich:
Anlegen eines X.509-Zertifikates für mGuard 1 und eins für mGuard 2.
Export der Zertifikate beider mGuards als Maschinen- (.p12) und als Verbindungszertifikat (.cer,
.crt).
Konfiguration mGuard 1:
o Menü: VPN -> Verbindungen
Authentisierungsverfahren auf X.509 Zertifikat setzen.
Unter Konfigurieren das Verbindungszertifikat (.cer, .crt) von mGuard 2
importieren.
o Menü: VPN -> Maschinen Zertifikat
Hier muss das Maschinenzertifikat (.p12) von mGuard 1 importiert werden.
Konfiguration mGuard 2:
o Menü: VPN -> Verbindungen
Authentisierungsverfahren auf X.509 Zertifikat setzen.
Unter Konfigurieren das Verbindungszertifikat (.cer, .crt) von mGuard 1
importieren.
o Menü: VPN -> Maschinen Zertifikat
Hier muss das Maschinenzertifikat (.p12) von mGuard 2 importiert werden.
Version 2.00
- 15 -
mGuard – Konfigurationsbeispiele
5
L2TP/IPsec-Verbindung
In diesem Beispiel soll eine L2TP/IPsec-Verbindung von einem Windows-Rechner zu einem mGuard im
Router-Modus einrichtet werden. Da uns nur ein homogenes Netzwerk für den Test zur Verfügung
steht, werden wir einen Rechner einem anderen Netzwerk zuweisen und den angeschlossenen
mGuard als Router zwischen den beiden Netzwerken konfigurieren.
Die folgende Darstellung beschreibt die in diesem Beispiel verwendeten Komponenten und die
benutzten IP Adressen:
L2TP/IPSec-Verbindung zwischen Windows-Client und mGuard
Version 2.00
- 16 -
mGuard – Konfigurationsbeispiele
5.1
Erforderliche X.509-Zertifikate
Als erstes muss ein CA-Zertifikat für das gesamte System erstellt werden. Basierend auf diesem wird
dann ein Zertifikat für die Windows-Maschine und ein Zertifikat für den mGuard angelegt. Folgende
Exporte sind dann erforderlich:
CA-Zertifikat als Trusted CA (.cer,.crt): Import auf dem Windows-Rechner mittels MMC als
„Vertrauenswürdige Stammzertifizierungsstellen“ (z.B. TrustedCA.crt).
Windows-Zertifikat als Maschinenzertifikat (.p12): Import auf dem Windows-Rechner
mittels MMC als „Eigene Zertifikate“ (z.B. WinMZert.p12).
Windows-Zertifikat als Verbindungszertifikat (.cer,.crt): Import auf dem mGuard in der
VPN-Verbindung (z.B. WinVZert.crt).
mGuard-Zertifikat als Maschinenzertifikat (.p12): Import auf dem mGuard als
Maschinenzertifikat (z.B. mGuardMZert.p12).
Die Installation und Handhabung von MMC (Microsoft Management Console) unter Windows sowie die
Konfiguration der mGuard VPN-Verbindung werden im Folgenden behandelt.
5.2
mGuard-Konfiguration
Der mGuard wird als Router konfiguriert, wie im Kapitel „Betrieb des mGuard als Router (RouterModus)“ beschrieben.
Da wir vom externen Netzwerk über die L2TP-Verbindung auf den internen Rechner zugreifen
möchten, müssen lediglich die Menüpunkten Netzwerk -> Basis und Netzwerk -> Router an dieser
Stelle konfiguriert werden. NAT und DNS werden nicht konfiguriert. Ebenso werden die eingehenden
und ausgehenden Firewall-Regeln (Firewall -> Eingehend und Firewall -> Ausgehend) deaktiviert.
Version 2.00
- 17 -
mGuard – Konfigurationsbeispiele
5.2.1
Menü: VPN -> Verbindungen
Es wurde eine VPN-Verbindung mit dem Namen „L2TP“ angelegt und editiert.
Menü: VPN -> Verbindungen
1. Adresse des VPN Gateways der Gegenstelle: Wird hier %any eingetragen, so kann von
jedem Windows-Rechner aus, auf dem der L2TP/IPsec Client mit den entsprechenden Zertifikaten
eingerichtet wurde, die L2TP-Verbindung aufgebaut werden. Andernfalls kann nur der WindowsRechner eine L2TP-Verbindung aufbauen, dessen IP-Adresse hier angegeben ist. In unserem
Beispiel müsste dann die IP 10.0.0.216 eingetragen werden.
2. Verbindungstyp: der Verbindungstyp ist auf Transport (L2TP Microsoft) zu setzen. Sollten
Sie das Windows-Update „L2TP/IPsec NAT-T update for Windows XP and Windows 2000”
installiert haben, so muss hier Transport (L2TP SSH Sentinel) ausgewählt werden.
3. Verbindungsinitiierung: Ist hier auf Warte auf Gegenstelle zu setzen, da die Verbindung
vom Windows-Client aufgebaut wird.
4. Authentisierungsverfahren: Das Authentisierungsverfahren ist auf X.509 Zertifikat zu
setzen. Unter Konfigurieren ist das Windows-Zertifikat als Verbindungszertifikat einzupflegen. In
unserem Beispiel ist dies der Zertifikatsexport WinVZert.crt.
5. Perfect Forward Secrecy (PFS): Muss bei einer L2TP-Verbindung auf Nein gesetzt werden.
Tunnel Einstellungen: Diese Parameter werden im Transport/L2TP-Modus nicht ausgewertet.
Eingehende und ausgehende Firewall: Hier wurden die Grundeinstellungen belassen, so dass
alles erlaubt ist.
5.2.2
Menü: VPN -> Maschinen Zertifikat
Hier muss der Export des mGuard-Maschinenzertifikats (.p12) eingebunden werden (siehe Kapitel
„Erforderliche X.509-Zertifikate“). In unserem Beispiel ist dies das Zertifikat mGuardMZert.p12.
Version 2.00
- 18 -
mGuard – Konfigurationsbeispiele
5.2.3
Menü: VPN -> L2TP
Menü: VPN -> L2TP
Starte L2TP Server für IPsec/L2TP: muss auf Ja gesetzt werden.
Lokale IP für L2TP Verbindungen: die IP-Adresse des mGuards für die L2TP-Verbindung.
Diese IP-Adresse ist frei wählbar.
Zuweisung von IPs für L2TP Gegenstellen: der hier angegebene Adressbereich wird
verwendet, um den Gegenstellen IP-Adressen für die L2TP-Verbindungen zuzuweisen. Auch diese
Einträge sind frei wählbar, wobei die angegebenen IP-Adressen sich im gleichen Netz befinden
müssen wie die unter Lokale IP für L2TP Verbindungen angegebene IP-Adresse.
5.3
Konfiguration des Windows-Rechners
5.3.1
Microsoft Management Console (MMC) konfigurieren
Mit der Microsoft Management Console (MMC) werden die in Kapitel „Erforderliche X.509-Zertifikate“
generierten Zertifikate importiert. Zuerst muss MMC jedoch konfiguriert werden. Die im Folgenden
beschriebenen Schritte beziehen sich auf das Betriebssystem Windows XP.
Klicken Sie in der Taskleiste auf Start und dann auf Ausführen. Geben Sie mmc ein und
klicken dann auf OK.
Wählen Sie vom Menü Datei -> Snap-In hinzufügen/entfernen und klicken dann auf
Hinzufügen.
Wählen Sie aus der Snap-In Liste Zertifikate aus und klicken Sie auf Hinzufügen.
Aktivieren Sie Computerkonto und klicken Sie auf Weiter.
Aktivieren Sie Lokalen Computer und klicken Sie auf Fertig stellen.
Es sollten nun der Snap-In Zertifikate (Lokaler Computer) angezeigt werden. Klicken Sie auf
OK.
Zum Speichern der Einstellungen Datei -> Speichern vom Menü auswählen.
In dem Feld Speichern in den Desktop auswählen, einen Dateinamen angeben und auf
Speichern klicken.
Schließen Sie das Programm mit Datei -> Beenden.
Nun sollte es möglich sein, das Programm MMC vom Desktop aus durch einen Doppelklick auf das
MMC-Icon zu starten.
Version 2.00
- 19 -
mGuard – Konfigurationsbeispiele
5.3.2
X.509-Zertifikate für IPsec installieren
Starten Sie das Programm MMC und laden Sie die zuvor gespeicherte Konfiguration oder führen
Sie einen Doppelklick auf das MMC-Icon auf dem Desktop aus.
Zertifikats-Import der Trusted CA:
Öffnen Sie im linken Fenster den Baum Konsolenstamm -> Zertifikate (Lokaler Computer).
Rechter Mouseklick auf Vertrauenswürdige Stammzertifizierungsstellen, dann Alle Tasks > Importieren... auswählen.
⇒ Der Zertifikatsimport-Assistent wird angezeigt.
o Klicken Sie auf Weiter.
o Klicken Sie auf Durchsuchen, um das Zertifikat auszuwählen. Setzen Sie Dateityp: auf
X.509-Zertifikat (*.cer,*.crt). Hier muss das Trusted CA (.cer) ausgewählt werden. In
unserem Beispiel ist dies der Zertifikatsexport mit dem Namen TrustedCA.crt. Klicken Sie
auf Öffnen und dann auf Weiter.
o Wählen Sie die Option Alle Zertifikate in folgendem Speicher speichern
(Zertifikatsspeicher: Vertrauenswürdige Stammzertifizierungsstellen) aus und klicken Sie
dann auf Weiter.
o Klicken Sie zum Schluss auf Fertig stellen.
⇒ Es sollte die Meldung erscheinen, dass der Importvorgang erfolgreich war.
Zertifikats-Import des privaten Schlüssels (Windows-Maschinenzertifikat):
Öffnen Sie im linken Fenster den Baum Konsolenstamm -> Zertifikate (Lokaler Computer).
Rechter Mouseklick auf Eigene Zertifikate, dann Alle Tasks -> Importieren... auswählen.
⇒ Der Zertifikatsimport-Assistent wird angezeigt.
o Klicken Sie auf Weiter.
o Klicken Sie auf Durchsuchen, um das Zertifikat auszuwählen. Setzen Sie Dateityp: auf
Privater Informationsaustausch (*.pfx,*.p12). Hier muss das Windows-Zertifikat als
Maschinenzertifikat (.p12) ausgewählt werden. In unserem Beispiel ist dies der
Zertifikatsexport mit dem Namen WinMZert.p12. Klicken Sie auf Öffnen und dann auf
Weiter.
o Geben Sie das Kennwort ein, welches das Zertifikat vor unerlaubten Zugriff schützt und
klicken Sie auf Weiter.
o Wählen Sie die Option Alle Zertifikate in folgendem Speicher speichern
(Zertifikatsspeicher: Eigene Zertifikate) aus und klicken Sie auf Weiter.
o Klicken Sie zum Schluss auf Fertig stellen.
⇒ Es sollte die Meldung erscheinen, dass der Importvorgang erfolgreich war.
Bevor das Programm MMC geschlossen wird, müssen noch die Einstellungen gespeichert werden
(Menü: Datei -> Speichern).
Version 2.00
- 20 -
mGuard – Konfigurationsbeispiele
5.3.3
L2TP/IPsec Verbindung konfigurieren
Öffnen Sie Netzwerkverbindungen (Start -> Systemsteuerung -> Netzwerkverbindungen).
Doppelklick auf Assistent für neue Verbindungen.
⇒ Der Assistent für neue Verbindungen erscheint.
o Klicken Sie auf Weiter.
o Wählen Sie Verbindung mit dem Netzwerk am Arbeitsplatz herstellen und klicken
Sie dann auf Weiter.
o Wählen Sie VPN-Verbindung und klicken Sie dann auf Weiter.
o Geben Sie einen Namen für die Verbindung an (z.B. L2TP-Verbindung), dann auf Weiter
klicken.
o Geben Sie als nächstes die IP-Adresse an, zu der eine L2TP-Verbindung aufgebaut
werden soll. Hier ist die externe IP des mGuard im Router-Modus anzugeben (mGuardMenü: Netzwerk -> Router, Feld: Externe IPs). In unserem Beispiel ist dies die IP
10.0.0.98. Klicken Sie auf Weiter.
o Klicken Sie dann auf Fertig stellen.
⇒ Nun erscheint das Fenster für die Herstellung der Verbindung.
o Klicken Sie auf Eigenschaften.
o Wechseln Sie zur Karteikarte Netzwerk.
o Wählen Sie als VPN-Typ den Typ L2TP-IPsec-VPN.
o Wechseln Sie zur Karteikarte Sicherheit.
o Aktivieren Sie das Feld Erweitert (benutzerdefinierte Einstellungen), und klicken Sie
dann auf Einstellungen.
o Wählen Sie als Datenverschlüsselung die Option Optional (Verbindung auch ohne
Verschlüsselung) und aktivieren Sie den Eintrag Unverschlüsseltes Kennwort
(PAP). Sie brauchen sich keine Sorge wegen des Eintrags „Unverschlüsselt“ zu machen,
da die Verbindung durch IPsec bereits geschützt ist.
o Klicken Sie nun auf OK und nochmals auf OK, um die Verbindungs-Eigenschaften zu
schließen.
o Klicken Sie nun auf Verbinden, um die L2TP-Verbindung herzustellen.
Nun ist es möglich, vom Windows-Client aus eine L2TP-Verbindung zum mGuard herzustellen. In
unserem Beispiel kann dann auf den Rechner im internen Netz über die IP 192.168.1.100 zugegriffen
werden.
Version 2.00
- 21 -
mGuard – Konfigurationsbeispiele
6
6.1
Firewall
Regeln
Beachten Sie folgende Regeln beim Aufsetzen der Firewall:
1. Die angegebenen Firewall-Regeln werden von oben nach unten abgearbeitet. Trifft eine Regel zu,
egal ob die Aktion „Annehmen“ , „Ablehnen“ oder „Verwerfen“ ist, so werden die folgenden
Regeln NICHT mehr berücksichtigt.
2. Die Portangaben in den Feldern „Von Port“ und „Nach Port“ werden nur dann berücksichtigt,
wenn Protokoll=TCP oder UDP ist. In allen anderen Fällen werden die Portangaben NICHT
berücksichtigt!
6.2
Beispiel einer fehlerhaft aufgesetzten Firewall
In diesem Beispiel soll verhindert werden, dass die Mitarbeiter Zugang zum Internet haben. Alles
andere soll erlaubt sein.
Beispiel einer fehlerhaft aufgesetzten Firewall
Das obige Beispiel weist mehrere Fehler auf:
1. Zeile 1: Die Firewall-Regeln werden von oben nach unten abgearbeitet. Trifft eine Regel zu, so
werden die folgenden Regeln nicht mehr berücksichtigt. Da die erste Regel alles erlaubt, somit
immer erfüllt ist, wird die zweite, einschränkende Regel nicht mehr berücksichtigt. Die beiden
Zeilen müssten also getauscht werden.
3. Zeile 2 - Portangaben: Die Portangaben in den Feldern „Von Port“ und „Nach Port“ werden nur
dann berücksichtigt, wenn Protokoll=TCP oder UDP ist. Da jedoch Protokoll=Alle ist, werden die
Portangaben nicht berücksichtigt. Protokoll ist in diesem Fall auf TCP zu setzen.
2. Zeile 2 – „Von Port“=80: HTTP-Anfragen von Web-Browsern benutzen in der Regel einen Port
oberhalb 1024 und senden die Anfrage an Port 80. Da hier „Von Port“=80 ist, würde die Regel
nicht greifen. In diesem Falle müsste „Von Port“=any gesetzt werden.
Version 2.00
- 22 -
mGuard – Konfigurationsbeispiele
Die korrekt konfigurierte Firewall müsste folgendermaßen aussehen:
Beispiel einer korrekt aufgesetzten Firewall
Erfolgt eine HTTP-Anfrage, so wird diese von der ersten Regel erfasst und abgewiesen.
Bei allen anderen Aktionen greift die zweite Regel, die alles erlaubt.
Version 2.00
- 23 -