Innominate - Phoenix Contact Cyber Security Bietet
Transcription
Innominate - Phoenix Contact Cyber Security Bietet
Innominate mGuard/mGuard PCI Konfigurationsbeispiele mGuard 2.x Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: +49 (0)30-6392 3300 Fax: +49 (0)30-6392 3307 [email protected] www.innominate.de mGuard – Konfigurationsbeispiele © Innominate Security Technologies AG Dezember 2004 „Innominate“ und „mGuard“ sind registrierte Handelsnamen der Innominate Security Technologies AG. Die mGuard Technologie ist durch das Patent 10138865, erteilt durch das Deutsche Patentamt, geschützt. Weitere Patente sind angemeldet. Weder Gesamtdokument noch Teile davon dürfen ohne schriftliche Genehmigung übertragen oder kopiert werden. Die Innominate AG behält sich das Recht vor, jederzeit und ohne Benachrichtigung dieses Dokument zu verändern. Innominate übernimmt keine Gewährleistung für diese Unterlagen. Dies gilt ohne Einschränkung auch für die stillschweigende Zusicherung der Verkäuflichkeit und der Eignung für einen bestimmten Zweck. Innominate übernimmt ferner keine Haftung für Fehler im vorliegenden Handbuch sowie für zufällige oder Folgeschäden im Zusammenhang mit der Lieferung, Leistung oder Verwendung dieser Unterlagen. Ohne die vorherige schriftliche Zustimmung der Innominate Security Technologies AG darf dieses Handbuch weder teilweise noch vollständig fotokopiert, vervielfältigt oder in eine andere Sprache übersetzt werden. Innominate Dokumentennummer: 5518-111 Version 2.00 -1- mGuard – Konfigurationsbeispiele Inhalt 1 Einleitung__________________________________________________________________________ 3 2 Betrieb des mGuard als DSL-Router (PPPoE-Modus) ________________________________ 3 3 2.1 Austausch eines DSL-Routers gegen den mGuard _____________________________________ 4 2.2 Menü: Firewall -> NAT ____________________________________________________________ 4 2.3 Menü: Netzwerk -> PPPoE _________________________________________________________ 5 2.4 Menü: Netzwerk -> Basis __________________________________________________________ 5 2.5 IP-Einstellungen auf den Client-Rechnern ____________________________________________ 5 Betrieb des mGuard als Router (Router-Modus)_____________________________________ 6 3.1 Konfiguration des Testrechners ____________________________________________________ 6 3.2 Konfiguration des mGuard _________________________________________________________ 7 3.2.1 3.2.2 3.2.3 3.2.4 4 7 7 8 9 Einschränkungen ________________________________________________________________ 10 4.1.1 4.1.2 4.1.3 4.1.4 4.1.5 Preshared Key (PSK) mit dynamischen IPs ______________________________________ Preshared Key (PSK) mit NAT/NAT-T___________________________________________ L2TP und NAT/NAT-T ________________________________________________________ VPN-Transportverbindung und NAT/IPsec Passthrough ___________________________ L2TP und mGuard im Stealth-Modus ___________________________________________ 10 10 10 10 10 4.2 VPN-Transport-Verbindung (PSK) zwischen zwei mGuards im Stealth-Modus ____________ 11 4.3 VPN-Tunnel-Verbindung (PSK) zwischen zwei mGuards _______________________________ 13 4.2.1 4.2.2 4.3.1 4.3.2 4.3.3 4.3.4 Allgemeine Konfiguration der mGuards _________________________________________ 11 Menü: VPN -> Verbindungen _________________________________________________ 12 Allgemeine Konfiguration mGuard 1 (Router-Modus) _____________________________ Allgemeine Konfiguration mGuard 2 (Stealth-Modus) _____________________________ Menü: VPN -> Verbindungen _________________________________________________ Verwendung von X.509-Zertifikaten____________________________________________ 13 13 14 15 L2TP/IPsec-Verbindung___________________________________________________________ 16 5.1 Erforderliche X.509-Zertifikate ____________________________________________________ 17 5.2 mGuard-Konfiguration ___________________________________________________________ 17 5.3 Konfiguration des Windows-Rechners ______________________________________________ 19 5.2.1 5.2.2 5.2.3 5.3.1 5.3.2 5.3.3 6 Netzwerk -> Basis______________________________________________________ Netzwerk -> Router ____________________________________________________ Firewall -> NAT ________________________________________________________ Dienste -> DNS ________________________________________________________ VPN-Verbindungen________________________________________________________________ 10 4.1 5 Menü: Menü: Menü: Menü: Menü: VPN -> Verbindungen _________________________________________________ 18 Menü: VPN -> Maschinen Zertifikat ____________________________________________ 18 Menü: VPN -> L2TP _________________________________________________________ 19 Microsoft Management Console (MMC) konfigurieren _____________________________ 19 X.509-Zertifikate für IPsec installieren __________________________________________ 20 L2TP/IPsec Verbindung konfigurieren __________________________________________ 21 Firewall ___________________________________________________________________________ 22 6.1 Regeln _________________________________________________________________________ 22 6.2 Beispiel einer fehlerhaft aufgesetzten Firewall _______________________________________ 22 Version 2.00 -2- mGuard – Konfigurationsbeispiele 1 Einleitung Dieses Handbuch soll Ihnen helfen, sich mit der Konfiguration des mGuard vertraut zu machen. Anhand von Beispielen wird beschrieben, wie Sie die unterschiedlichen Funktionen des mGuard testen können, und wie der mGuard in den einzelnen Fällen zu konfigurieren ist. 2 Betrieb des mGuard als DSL-Router (PPPoE-Modus) Der mGuard soll als DSL-Router (PPPoE-Modus) betrieben werden, um das Firmennetz über ein DSLModem mit dem Internet zu verbinden. Die folgende Darstellung beschreibt die in diesem Beispiel verwendeten Komponenten und die benutzten IP Adressen: Einsatz des mGuard als DSL-Router Version 2.00 -3- mGuard – Konfigurationsbeispiele 2.1 Austausch eines DSL-Routers gegen den mGuard Gehen Sie wie folgt vor, um in einem bereits konfigurierten Netzwerk einen DSL-Router gegen den mGuard auszutauschen: Notieren Sie die IP-Adresse des DSL-Routers (diese ist die auf den Clients angegebene IP-Adresse des Standardgateways). Im folgenden Beispiel ist dies die Adresse 192.168.1.254. Tauschen Sie den DSL-Router gegen den mGuard aus. Schalten Sie den Switch kurz aus und wieder an, damit eventuell zwischengespeicherte arpEinträge gelöscht werden. Wenn Sie den mGuard noch nicht vorkonfiguriert haben sollten, so befindet er sich im StealthModus und ist vom Web-Browser aus über die URL https://1.1.1.1 zu erreichen. Da jedoch das Standardgateway durch das Entfernen des DSL-Routers nicht mehr erreicht werden kann, sind folgende Schritte auf dem Client erforderlich, von dem aus der mGuard konfiguriert werden soll: o Öffnen Sie ein DOS-Fenster. o Geben Sie folgenden Befehl ein: arp –a. Dieser Befehl listet die existierenden arpEinträge auf. Sollte bei der Auflistung die IP-Adresse des Routers erscheinen (in unserem Beispiel 192.168.1.254), so löschen Sie diese durch den Befehl: arp –d <IP-Adresse> (in unserem Beispiel: arp -d 192.168.1.254). o Weisen Sie nun dem Standardgateway eine statische MAC-Adresse mit folgendem Befehl zu: arp –s <IP-Adresse> aa-aa-aa-aa-aa-aa (in unserem Beispiel: arp -s 192.168.1.254 aa-aa-aa-aa-aa-aa). Nun ist der mGuard vom Web-Browser aus über die URL https://1.1.1.1 zu erreichen. 2.2 Menü: Firewall -> NAT NAT muss aktiv sein, damit IP-Adressen im externen Netzwerk (Internet) vom internen aus erreichbar sind. Menü: Firewall -> NAT Klicken Sie auf Neu. Tragen Sie ggf. in das Feld Von IP die entsprechende Netzwerk IP und die dazugehörige Netzmaske in CIDR-Notation (z.B. 255.255.0.0 = 16, 255.255.255.0 = 24, 255.255.255.255 = 32) ein. Die Einstellung 0.0.0.0/0 erlaubt allen Rechnern des internen Netzes den Zugriff auf IPAdressen des externen Netzes (Internet). Möchten Sie nur einem bestimmten Subnetz den Zugang ins Internet erlauben, so müssen Sie das entsprechende Subnetz mit der dazugehörigen Netzmaske eintragen (z.B. 192.168.1.0/24). Soll nur ein bestimmter Rechner Zugang ins Internet erhalten, so muss die entsprechende IP mit der Netzmaske 32 eingetragen werden (z.B. 192.168.1.100/32). Klicken Sie auf OK. Version 2.00 -4- mGuard – Konfigurationsbeispiele 2.3 Menü: Netzwerk -> PPPoE In dieser Eingabemaske müssen die Zugangs-Parameter (Benutzername und Passwort) eingegeben werden, die Sie von Ihrem Internet Service Provider (ISP) erhalten haben: Menü: Netzwerk -> PPPoE Geben Sie in das Feld PPPoE Login den Benutzernamen ein, den Sie vom ISP erhalten haben. Geben Sie in die Felder PPPoE Passwort zweimal das entsprechende Passwort ein. Klicken Sie auf OK. 2.4 Menü: Netzwerk -> Basis Menü: Netzwerk -> Basis Geben Sie in das Feld Interne IPs/IP die lokale IP des mGuard ein. Diese IP muss sich innerhalb des IP-Bereichs des internen Netzes befinden. Haben Sie einen DSL-Router durch den mGuard ersetzt, so tragen Sie hier die ursprüngliche IP des DSL-Routers ein (in unserem Beispiel 192.168.1.254). Geben Sie in das Feld Interne IPs/Netzmaske die dazugehörige Netzmaske ein. Setzen Sie Netzwerk Modus auf PPPoE. Klicken Sie nun auf OK. Befand sich der mGuard im Stealth-Modus, so wird er nun neu gestartet. Nach dem Neustart ist er dann vom Web-Browser aus unter der URL https://<interne IP des mGuard> zu erreichen (in unserem Beispiel: https://192.168.1.254). 2.5 IP-Einstellungen auf den Client-Rechnern Die interne IP des mGuard (in unserem Beispiel 192.168.1.254) muss auf den Client-Rechnern als Standardgateway und als DNS eingetragen werden. Version 2.00 -5- mGuard – Konfigurationsbeispiele 3 Betrieb des mGuard als Router (Router-Modus) Der mGuard soll als Router zwischen zwei Netzwerken betrieben werden. Die folgende Darstellung beschreibt die in diesem Beispiel verwendeten Komponenten und die benutzten IP Adressen: mGuard als Router zwischen zwei Netzwerken 3.1 Konfiguration des Testrechners Der Testrechner (Rechner 1) wurde mit folgenden Netzwerkeinstellungen konfiguriert: IP-Adresse = 192.168.1.100 Subnetzmaske = 255.255.255.0 Standardgateway = 192.168.1.1 Anmerkung: Die als Standardgateway angegeben IP-Adresse ist die IP, die wir später bei der Konfiguration des mGuard als interne IP des Routers angeben werden. Sollten Sie anstelle des Testrechners ein zweites Netzwerk haben, so müssten Sie bei jedem Rechner das Standardgateway auf diesen Wert setzen. Version 2.00 -6- mGuard – Konfigurationsbeispiele 3.2 Konfiguration des mGuard 3.2.1 Menü: Netzwerk -> Basis Mit dieser Eingabemaske werden die Parameter für das interne Netz festgelegt. Menü: Netzwerk -> Basis Der Netzwerk Modus ist auf Router zu setzen. Die als Interne Ips/IP angegebene IP-Adresse muss bei allen Rechnern des internen Netzes als Standardgateway angegeben werden. Besteht das interne Netz aus mehreren Subnetzen, so werden diese unter Zusätzliche interne Routen eingetragen. 3.2.2 Menü: Netzwerk -> Router Mit dieser Eingabemaske werden die Parameter für das externe Netz festgelegt. Menü: Netzwerk -> Router In unserem Beispiel wird die externe Konfiguration nicht per DHCP bezogen. Die Externe IP gibt an, unter welcher IP-Adresse das interne Netz vom externen Netz aus erreicht werden kann. Besteht das externe Netz aus mehreren Subnetzen, so werden diese unter Zusätzliche externe Routen eingetragen. Befindet sich der Internetzugang im externen Netz und sollen die Benutzer vom internen Netze aus ebenfalls Zugang zum Internet haben, so muss als Default Route über IP die IP-Adresse des Standardgateways des externen Netzes angegeben werden. Version 2.00 -7- mGuard – Konfigurationsbeispiele 3.2.3 Menü: Firewall -> NAT Menü: Firewall -> NAT Soll die Verbindung zum externen Netz ausschließlich über einen VPN-Tunnel erfolgen, so darf kein NAT-Eintrag vorhanden sein. Sollen die Rechner des externen Netzwerks vom internen aus erreichbar sein, so muss NAT aktiviert werden. Klicken Sie auf Neu. Tragen Sie ggf. in das Feld Von IP die entsprechende Netzwerk IP und die dazugehörige Netzmaske in CIDR-Notation (z.B. 255.255.0.0 = 16, 255.255.255.0 = 24, 255.255.255.255 = 32) ein. Die Einstellung 0.0.0.0/0 erlaubt allen Rechnern des internen Netzes den Zugriff auf IPAdressen des externen Netzes (Internet). Möchten Sie nur einem bestimmten Subnetz den Zugang ins Internet erlauben, so müssen Sie das entsprechende Subnetz mit der dazugehörigen Netzmaske eintragen (z.B. 192.168.1.0/24). Soll nur ein bestimmter Rechner Zugang ins Internet erhalten, so muss die entsprechende IP mit der Netzmaske 32 eingetragen werden (z.B. 192.168.1.100/32). Klicken Sie auf OK. Nach der bisherigen Konfiguration ist folgendes möglich: Ping auf die Rechner des externen Netzes unter Angabe der IP-Adresse. Zugriff auf die Rechner des externen Netzes unter Angabe der IP-Adresse. Zugriff auf Internetseiten unter Angabe der IP-Adresse. Es ist jedoch noch nicht möglich, auf die Rechner des externen Netzes über den Rechnernamen zuzugreifen oder auf eine Internetseite durch Angabe der URL. Hierfür muss noch der DNS auf dem mGuard und auf dem Testrechner konfiguriert werden. Version 2.00 -8- mGuard – Konfigurationsbeispiele 3.2.4 Menü: Dienste -> DNS Menü: Dienste -> DNS Ist Hostnamen Modus auf Nutzer definiert gesetzt, so muss der Domain Suchpfad angegeben werden. Ist Benutzte Nameserver auf Nutzer definiert gesetzt, so muss die IP des Nameservers unter Nutzer definierte Nameserver angegeben werden. Auf dem Testrechner müssen jetzt noch folgende DNS-Netzwerkeinstellungen vorgenommen werden, damit auf die Rechner des externen Netzes über den Rechnernamen zugegriffen werden kann, bzw. auf Internetseiten unter Angabe der URL: Bevorzugter DNS-Server: Hier muss die interne IP des mGuard eingetragen werden, in unserem Beispiel 192.168.1.1. DNS-Suffixe: Hier muss der Domänen Suchpfad eingetragen werden, in unserem Beispiel bln.innominate.local (Inhouse-Test). Nun ist der Zugriff auf die Rechner des externen Netzes unter Angabe des Rechnernamens möglich und der Zugang zu Internetseiten unter Angabe der URL. Version 2.00 -9- mGuard – Konfigurationsbeispiele 4 VPN-Verbindungen 4.1 Einschränkungen Die im Folgenden aufgeführten Betriebsarten sind nicht möglich. 4.1.1 Preshared Key (PSK) mit dynamischen IPs PSK mit dynamischen IPs setzt voraus, dass das Authentifizierungverfahren Aggressive Mode unterstützt wird. Der mGuard unterstützt dieses Verfahren nicht, da die Authentifizierung im Aggressive Mode leicht zu knacken ist. Im IPSec unterscheidet man zwischen Main Mode und Aggressive Mode. Der Main Mode benutzt die IP-Adresse als einen Teil der Verschlüsselungsverfahren, der Aggressive Mode nicht. Dies ist die Voraussetzung für einen erfolgreichen Hackerangriff auf ein VPN mit Preshared Keys. Heutige VPN Gateways unterstützen beide Verfahren. Wählt sich nun ein Hacker mit einer dynamischen IP-Adresse in ein anderes VPN Gateway ein, so wird das Aggressive Mode-Verfahren vorgeschlagen, da die dynamische IP-Adresse dem Gateway nicht bekannt ist und somit auch nicht für die Authentifizierung herangezogen werden kann. Im Aggressive Mode werden lediglich drei Botschaften ausgetauscht. Die erste Botschaft enthält u.a. die Aufforderung, im Aggressive Mode zu arbeiten. Das VPN Gateway schickt daraufhin eine ausführliche Antwort an den Absender. Dies ist die einzige Meldung, die das zentrale VPN Gateway zum Aufbau der Verbindung sendet. Diese Meldung wird unverschlüsselt übertragen und beinhaltet u.a. einen Hash-Wert, der aus dem Preshared Key berechnet wurde. Wurden nun die Datenpakete mittels tcpdump oder Windump mitgeschnitten, so kann mittels Hacker Tools (z.B. IKECrack) der Preshared Key offline ermittelt werden. Wurde der Preshared Key ermittelt, gelangt ein Hacker gewissermaßen durch die Vordertür in das Unternehmensnetzwerk und hat Zugriff auf die Daten des Unternehmens. Mögliche Alternativen sind: Verwendung einer festen IP-Adresse. Verwendung von X.509-Zertifikaten anstelle von Preshared Keys. Verwendung eines DynDNS-Services. 4.1.2 Preshared Key (PSK) mit NAT/NAT-T Kann nicht angewendet werden, da der mGuard Aggressive Mode nicht unterstützt (Erläuterung siehe oben). 4.1.3 L2TP und NAT/NAT-T Aus technischen Gründen kann NAT/NAT-T nur bei Tunnelverbindungen angewendet werden. L2TP ist eine Transportverbindung. 4.1.4 VPN-Transportverbindung und NAT/IPsec Passthrough Aus technischen Gründen kann NAT/IPSec Passthrough nur bei Tunnelverbindungen angewendet werden. 4.1.5 L2TP und mGuard im Stealth-Modus Der mGuard im Stealth-Modus verfügt über keine L2TP-Dienste. Version 2.00 - 10 - mGuard – Konfigurationsbeispiele 4.2 VPN-Transport-Verbindung (PSK) zwischen zwei mGuards im Stealth-Modus In diesem Beispiel soll eine VPN-Transport Verbindung zwischen zwei mGuards im Stealth-Modus unter der Verwendung von Pre-Shared Keys (PSK) aufgebaut werden. Die folgende Darstellung beschreibt die in diesem Beispiel verwendeten Komponenten und die benutzten IP Adressen: VPN Transport Verbindung zwischen zwei mGuards im Stealth-Modus 4.2.1 Allgemeine Konfiguration der mGuards Die werkseitigen Grundeinstellungen wurden auf beiden mGuards beibehalten. Die ausgehenden Firewall-Regeln (Menü: Firewall -> Ausgehend) wurden auf beiden mGuards entfernt. Version 2.00 - 11 - mGuard – Konfigurationsbeispiele 4.2.2 Menü: VPN -> Verbindungen Menü: VPN -> Verbindungen Einstellungen, die mit einem Gleichheitszeichen markiert sind, müssen auf beiden mGuards übereinstimmen. Der Verbindungstyp ist bei beiden mGuards als Transport (Host <-> Host) anzugeben. 1. Adresse des VPN Gateways der Gegenstelle: Hier wird jeweils die IP-Adresse des Clients der gegenüberliegenden Stelle eingetragen. Auf mGuard 1 die IP-Adresse vom Rechner 2 und auf mGuard 2 die IP-Adresse des Rechners 1. 2. Verbindungsinitiierung: Hier wird festgelegt, von welcher Seite aus die Verbindung aufgebaut werden kann. Ist der Wert auf beiden mGuards als Starte Verbindung zur Gegenstelle angegeben, so kann die Verbindung von beiden Seiten aus aufgebaut werden. 3. Authentisierungsverfahren: Hier wird festgelegt, ob X.509-Zertifikate verwendet werden sollen oder Pre-Shared-Keys. In unserem Beispiel verwenden wir Pre-Shared Keys. Der unter Konfigurieren eingetragene Schlüssel muss auf beiden mGuards übereinstimmen. Tunnel Einstellungen: Bei der VPN-Transport Verbindung werden diese Parameter nicht ausgewertet. Eingehende und ausgehende Firewall: hier werden die Grundeinstellungen belassen, so dass alles erlaubt ist. Falls noch nicht erfolgt, muss nun die VPN-Verbindung auf beiden mGuards auf Aktiv=Ja gesetzt werden (Menü: VPN -> Verbindungen). Im Stealth-Modus wird der VPN-Tunnel erst bei dessen Benutzung aufgebaut, z.B. durch einen Ping von Rechner 1 nach Rechner 2. Nun ist es möglich, von Rechner 1 über den VPN-Tunnel auf den Rechner 2 zuzugreifen und umgekehrt. Dazu muss jeweils die IP-Adresse des gegenüberliegenden Rechners angegeben werden. Der Status der VPN-Verbindung (Menü: VPN -> IPsec Status) sollte für ISAKMP und IPsec established sein. Version 2.00 - 12 - mGuard – Konfigurationsbeispiele 4.3 VPN-Tunnel-Verbindung (PSK) zwischen zwei mGuards In diesem Beispiel soll eine VPN-Tunnelverbindung zwischen zwei mGuards unter der Verwendung von Pre-Shared Keys (PSK) aufgebaut werden. Der Datenverkehr soll ausschließlich über diesen Tunnel erfolgen. Da ein VPN-Tunnel nur zwischen zwei unterschiedlichen Netzwerken aufgebaut werden kann, uns aber nur ein homogenes Netzwerk für den Test zur Verfügung steht, werden wir dieses Szenario simulieren, indem wir einen Rechner einem anderen Netzwerk zuweisen und den angeschlossenen mGuard (mGuard 1) als Router zwischen den beiden Netzwerken konfigurieren. Die folgende Darstellung beschreibt die in diesem Beispiel verwendeten Komponenten und die benutzten IP Adressen: VPN-Verbindung zwischen zwei mGuards 4.3.1 Allgemeine Konfiguration mGuard 1 (Router-Modus) mGuard 1 wird als Router konfiguriert, wie im Kapitel „Betrieb des mGuard als Router (RouterModus)“ beschrieben. Da der Datentransfer ausschließlich über den VPN-Tunnel erfolgen soll, dürfen keine NAT-Einstellungen angegeben sein. Die ausgehenden Firewall-Regeln wurden ebenfalls entfernt. 4.3.2 Allgemeine Konfiguration mGuard 2 (Stealth-Modus) Die werkseitigen Grundeinstellungen können beibehalten werden. Die ausgehenden Firewall-Regeln wurden entfernt. Version 2.00 - 13 - mGuard – Konfigurationsbeispiele 4.3.3 Menü: VPN -> Verbindungen Menü: VPN -> Verbindungen Einstellungen, die mit dem Gleichheitszeichen markiert sind, müssen auf beiden mGuards übereinstimmen. Der Verbindungstyp ist bei beiden mGuards auf Tunnel (Netz <-> Netz) gesetzt. 1. Adresse des VPN Gateways der Gegenstelle: mGuard 1 (Router): Hier wird die IP-Adresse des Clients eingetragen, der sich hinter dem mGuard 2 befindet, in unserem Beispiel 10.0.0.216. mGuard 2 (Stealth): Hier wird die externe IP des mGuard 1 eingetragen, in unserem Beispiel 10.0.0.98. 2. Verbindungsinitiierung: Hier wird festgelegt, von welcher Seite aus die Verbindung aufgebaut werden kann. Ist der Wert auf beiden mGuards als Starte Verbindung zur Gegenstelle angegeben, so kann die Verbindung von beiden Seiten aus aufgebaut werden. 3. Authentisierungsverfahren: Hier wird festgelegt, ob X.509-Zertifikate verwendet werden sollen oder Pre-Shared-Keys. In unserem Beispiel verwenden wir Pre-Shared Keys. Der unter Konfigurieren eingetragene Schlüssel muss auf beiden mGuards übereinstimmen. 4. Tunnel Einstellungen (Lokales Netz und dazugehörige Netzmaske): Router-Modus (mGuard 1): Befindet sich der mGuard im Router-Modus, so muss das hier angegebene lokale Netz mit dem des internen Netzes übereinstimmen, in unserem Beispiel ist dies das Netz 192.168.1.0/255.255.255.0. Wurden mehrere interne Routen angegeben (Menü: Netzwerk -> Basis, Zusätzliche interne Routen), so kann für jede interne Route ein VPN-Tunnel unter Angabe der entsprechenden Subnetzmaske konfiguriert werden. Stealth-Modus (mGuard 2): Befindet sich der mGuard im Stealth-Modus, so wird hier ein rein virtuelles Netz definiert, dessen Parameter frei wählbar sind. Das angegebene virtuelle Netz darf jedoch nicht Bestandteil eines bereits existierenden Netzes sein. Version 2.00 - 14 - mGuard – Konfigurationsbeispiele 5. Die virtuelle IP für den Client im Stealth Modus: Dieser Parameter wird nur im Stealth- Modus ausgewertet, in unserem Beispiel mGuard 2. Unter der hier angegebene IP-Adresse kann der Client hinter mGuard 2 vom internen Netz aus erreicht werden. Die IP-Adresse muss dem unter Tunnel Einstellungen, Die Adresse des lokalen Netzes angegebenen Netz angehören. In unserem Beispiel wählen wir die IP 10.0.1.1. 6. Tunnel Einstellungen (gegenüberliegendes Netz und dazugehörige Netzmaske): Hier sind die entsprechenden Netzwerke der Gegenstellen einzutragen. Eingehende und ausgehende Firewall: hier wird die Grundeinstellung belassen, so dass alles erlaubt ist. Falls noch nicht erfolgt, muss nun die VPN-Verbindung auf beiden mGuards auf Aktiv=Ja gesetzt werden (Menü: VPN -> Verbindungen). Befindet sich der mGuard im Router-Modus, so wird der VPN-Tunnel nach Beendigung der Konfiguration initialisiert. Im Stealth-Modus wird der VPN-Tunnel erst bei dessen Benutzung aufgebaut (z.B. durch einen Ping von Rechner 2 nach Rechner 1). Nun ist es möglich, von Rechner 1 über den VPN-Tunnel auf den Rechner 2 zuzugreifen. Als IPAdresse muss dafür die Virtuelle IP für den Client im Stealth Modus (mGuard 2) angegeben werden, in unserem Beispiel 10.0.1.1. Der Status der VPN-Verbindung (Menü: VPN -> IPsec Status) sollte für ISAKMP und IPsec established sein. Der Zugriff von Rechner 2 auf Rechner 1 erfolgt durch die Angabe der IP-Adresse von Rechner 1, in unserem Beispiel 192.168.1.100. 4.3.4 Verwendung von X.509-Zertifikaten Sollen X.509-Zertifikate verwendet werden, so sind folgende Schritte erforderlich: Anlegen eines X.509-Zertifikates für mGuard 1 und eins für mGuard 2. Export der Zertifikate beider mGuards als Maschinen- (.p12) und als Verbindungszertifikat (.cer, .crt). Konfiguration mGuard 1: o Menü: VPN -> Verbindungen Authentisierungsverfahren auf X.509 Zertifikat setzen. Unter Konfigurieren das Verbindungszertifikat (.cer, .crt) von mGuard 2 importieren. o Menü: VPN -> Maschinen Zertifikat Hier muss das Maschinenzertifikat (.p12) von mGuard 1 importiert werden. Konfiguration mGuard 2: o Menü: VPN -> Verbindungen Authentisierungsverfahren auf X.509 Zertifikat setzen. Unter Konfigurieren das Verbindungszertifikat (.cer, .crt) von mGuard 1 importieren. o Menü: VPN -> Maschinen Zertifikat Hier muss das Maschinenzertifikat (.p12) von mGuard 2 importiert werden. Version 2.00 - 15 - mGuard – Konfigurationsbeispiele 5 L2TP/IPsec-Verbindung In diesem Beispiel soll eine L2TP/IPsec-Verbindung von einem Windows-Rechner zu einem mGuard im Router-Modus einrichtet werden. Da uns nur ein homogenes Netzwerk für den Test zur Verfügung steht, werden wir einen Rechner einem anderen Netzwerk zuweisen und den angeschlossenen mGuard als Router zwischen den beiden Netzwerken konfigurieren. Die folgende Darstellung beschreibt die in diesem Beispiel verwendeten Komponenten und die benutzten IP Adressen: L2TP/IPSec-Verbindung zwischen Windows-Client und mGuard Version 2.00 - 16 - mGuard – Konfigurationsbeispiele 5.1 Erforderliche X.509-Zertifikate Als erstes muss ein CA-Zertifikat für das gesamte System erstellt werden. Basierend auf diesem wird dann ein Zertifikat für die Windows-Maschine und ein Zertifikat für den mGuard angelegt. Folgende Exporte sind dann erforderlich: CA-Zertifikat als Trusted CA (.cer,.crt): Import auf dem Windows-Rechner mittels MMC als „Vertrauenswürdige Stammzertifizierungsstellen“ (z.B. TrustedCA.crt). Windows-Zertifikat als Maschinenzertifikat (.p12): Import auf dem Windows-Rechner mittels MMC als „Eigene Zertifikate“ (z.B. WinMZert.p12). Windows-Zertifikat als Verbindungszertifikat (.cer,.crt): Import auf dem mGuard in der VPN-Verbindung (z.B. WinVZert.crt). mGuard-Zertifikat als Maschinenzertifikat (.p12): Import auf dem mGuard als Maschinenzertifikat (z.B. mGuardMZert.p12). Die Installation und Handhabung von MMC (Microsoft Management Console) unter Windows sowie die Konfiguration der mGuard VPN-Verbindung werden im Folgenden behandelt. 5.2 mGuard-Konfiguration Der mGuard wird als Router konfiguriert, wie im Kapitel „Betrieb des mGuard als Router (RouterModus)“ beschrieben. Da wir vom externen Netzwerk über die L2TP-Verbindung auf den internen Rechner zugreifen möchten, müssen lediglich die Menüpunkten Netzwerk -> Basis und Netzwerk -> Router an dieser Stelle konfiguriert werden. NAT und DNS werden nicht konfiguriert. Ebenso werden die eingehenden und ausgehenden Firewall-Regeln (Firewall -> Eingehend und Firewall -> Ausgehend) deaktiviert. Version 2.00 - 17 - mGuard – Konfigurationsbeispiele 5.2.1 Menü: VPN -> Verbindungen Es wurde eine VPN-Verbindung mit dem Namen „L2TP“ angelegt und editiert. Menü: VPN -> Verbindungen 1. Adresse des VPN Gateways der Gegenstelle: Wird hier %any eingetragen, so kann von jedem Windows-Rechner aus, auf dem der L2TP/IPsec Client mit den entsprechenden Zertifikaten eingerichtet wurde, die L2TP-Verbindung aufgebaut werden. Andernfalls kann nur der WindowsRechner eine L2TP-Verbindung aufbauen, dessen IP-Adresse hier angegeben ist. In unserem Beispiel müsste dann die IP 10.0.0.216 eingetragen werden. 2. Verbindungstyp: der Verbindungstyp ist auf Transport (L2TP Microsoft) zu setzen. Sollten Sie das Windows-Update „L2TP/IPsec NAT-T update for Windows XP and Windows 2000” installiert haben, so muss hier Transport (L2TP SSH Sentinel) ausgewählt werden. 3. Verbindungsinitiierung: Ist hier auf Warte auf Gegenstelle zu setzen, da die Verbindung vom Windows-Client aufgebaut wird. 4. Authentisierungsverfahren: Das Authentisierungsverfahren ist auf X.509 Zertifikat zu setzen. Unter Konfigurieren ist das Windows-Zertifikat als Verbindungszertifikat einzupflegen. In unserem Beispiel ist dies der Zertifikatsexport WinVZert.crt. 5. Perfect Forward Secrecy (PFS): Muss bei einer L2TP-Verbindung auf Nein gesetzt werden. Tunnel Einstellungen: Diese Parameter werden im Transport/L2TP-Modus nicht ausgewertet. Eingehende und ausgehende Firewall: Hier wurden die Grundeinstellungen belassen, so dass alles erlaubt ist. 5.2.2 Menü: VPN -> Maschinen Zertifikat Hier muss der Export des mGuard-Maschinenzertifikats (.p12) eingebunden werden (siehe Kapitel „Erforderliche X.509-Zertifikate“). In unserem Beispiel ist dies das Zertifikat mGuardMZert.p12. Version 2.00 - 18 - mGuard – Konfigurationsbeispiele 5.2.3 Menü: VPN -> L2TP Menü: VPN -> L2TP Starte L2TP Server für IPsec/L2TP: muss auf Ja gesetzt werden. Lokale IP für L2TP Verbindungen: die IP-Adresse des mGuards für die L2TP-Verbindung. Diese IP-Adresse ist frei wählbar. Zuweisung von IPs für L2TP Gegenstellen: der hier angegebene Adressbereich wird verwendet, um den Gegenstellen IP-Adressen für die L2TP-Verbindungen zuzuweisen. Auch diese Einträge sind frei wählbar, wobei die angegebenen IP-Adressen sich im gleichen Netz befinden müssen wie die unter Lokale IP für L2TP Verbindungen angegebene IP-Adresse. 5.3 Konfiguration des Windows-Rechners 5.3.1 Microsoft Management Console (MMC) konfigurieren Mit der Microsoft Management Console (MMC) werden die in Kapitel „Erforderliche X.509-Zertifikate“ generierten Zertifikate importiert. Zuerst muss MMC jedoch konfiguriert werden. Die im Folgenden beschriebenen Schritte beziehen sich auf das Betriebssystem Windows XP. Klicken Sie in der Taskleiste auf Start und dann auf Ausführen. Geben Sie mmc ein und klicken dann auf OK. Wählen Sie vom Menü Datei -> Snap-In hinzufügen/entfernen und klicken dann auf Hinzufügen. Wählen Sie aus der Snap-In Liste Zertifikate aus und klicken Sie auf Hinzufügen. Aktivieren Sie Computerkonto und klicken Sie auf Weiter. Aktivieren Sie Lokalen Computer und klicken Sie auf Fertig stellen. Es sollten nun der Snap-In Zertifikate (Lokaler Computer) angezeigt werden. Klicken Sie auf OK. Zum Speichern der Einstellungen Datei -> Speichern vom Menü auswählen. In dem Feld Speichern in den Desktop auswählen, einen Dateinamen angeben und auf Speichern klicken. Schließen Sie das Programm mit Datei -> Beenden. Nun sollte es möglich sein, das Programm MMC vom Desktop aus durch einen Doppelklick auf das MMC-Icon zu starten. Version 2.00 - 19 - mGuard – Konfigurationsbeispiele 5.3.2 X.509-Zertifikate für IPsec installieren Starten Sie das Programm MMC und laden Sie die zuvor gespeicherte Konfiguration oder führen Sie einen Doppelklick auf das MMC-Icon auf dem Desktop aus. Zertifikats-Import der Trusted CA: Öffnen Sie im linken Fenster den Baum Konsolenstamm -> Zertifikate (Lokaler Computer). Rechter Mouseklick auf Vertrauenswürdige Stammzertifizierungsstellen, dann Alle Tasks > Importieren... auswählen. ⇒ Der Zertifikatsimport-Assistent wird angezeigt. o Klicken Sie auf Weiter. o Klicken Sie auf Durchsuchen, um das Zertifikat auszuwählen. Setzen Sie Dateityp: auf X.509-Zertifikat (*.cer,*.crt). Hier muss das Trusted CA (.cer) ausgewählt werden. In unserem Beispiel ist dies der Zertifikatsexport mit dem Namen TrustedCA.crt. Klicken Sie auf Öffnen und dann auf Weiter. o Wählen Sie die Option Alle Zertifikate in folgendem Speicher speichern (Zertifikatsspeicher: Vertrauenswürdige Stammzertifizierungsstellen) aus und klicken Sie dann auf Weiter. o Klicken Sie zum Schluss auf Fertig stellen. ⇒ Es sollte die Meldung erscheinen, dass der Importvorgang erfolgreich war. Zertifikats-Import des privaten Schlüssels (Windows-Maschinenzertifikat): Öffnen Sie im linken Fenster den Baum Konsolenstamm -> Zertifikate (Lokaler Computer). Rechter Mouseklick auf Eigene Zertifikate, dann Alle Tasks -> Importieren... auswählen. ⇒ Der Zertifikatsimport-Assistent wird angezeigt. o Klicken Sie auf Weiter. o Klicken Sie auf Durchsuchen, um das Zertifikat auszuwählen. Setzen Sie Dateityp: auf Privater Informationsaustausch (*.pfx,*.p12). Hier muss das Windows-Zertifikat als Maschinenzertifikat (.p12) ausgewählt werden. In unserem Beispiel ist dies der Zertifikatsexport mit dem Namen WinMZert.p12. Klicken Sie auf Öffnen und dann auf Weiter. o Geben Sie das Kennwort ein, welches das Zertifikat vor unerlaubten Zugriff schützt und klicken Sie auf Weiter. o Wählen Sie die Option Alle Zertifikate in folgendem Speicher speichern (Zertifikatsspeicher: Eigene Zertifikate) aus und klicken Sie auf Weiter. o Klicken Sie zum Schluss auf Fertig stellen. ⇒ Es sollte die Meldung erscheinen, dass der Importvorgang erfolgreich war. Bevor das Programm MMC geschlossen wird, müssen noch die Einstellungen gespeichert werden (Menü: Datei -> Speichern). Version 2.00 - 20 - mGuard – Konfigurationsbeispiele 5.3.3 L2TP/IPsec Verbindung konfigurieren Öffnen Sie Netzwerkverbindungen (Start -> Systemsteuerung -> Netzwerkverbindungen). Doppelklick auf Assistent für neue Verbindungen. ⇒ Der Assistent für neue Verbindungen erscheint. o Klicken Sie auf Weiter. o Wählen Sie Verbindung mit dem Netzwerk am Arbeitsplatz herstellen und klicken Sie dann auf Weiter. o Wählen Sie VPN-Verbindung und klicken Sie dann auf Weiter. o Geben Sie einen Namen für die Verbindung an (z.B. L2TP-Verbindung), dann auf Weiter klicken. o Geben Sie als nächstes die IP-Adresse an, zu der eine L2TP-Verbindung aufgebaut werden soll. Hier ist die externe IP des mGuard im Router-Modus anzugeben (mGuardMenü: Netzwerk -> Router, Feld: Externe IPs). In unserem Beispiel ist dies die IP 10.0.0.98. Klicken Sie auf Weiter. o Klicken Sie dann auf Fertig stellen. ⇒ Nun erscheint das Fenster für die Herstellung der Verbindung. o Klicken Sie auf Eigenschaften. o Wechseln Sie zur Karteikarte Netzwerk. o Wählen Sie als VPN-Typ den Typ L2TP-IPsec-VPN. o Wechseln Sie zur Karteikarte Sicherheit. o Aktivieren Sie das Feld Erweitert (benutzerdefinierte Einstellungen), und klicken Sie dann auf Einstellungen. o Wählen Sie als Datenverschlüsselung die Option Optional (Verbindung auch ohne Verschlüsselung) und aktivieren Sie den Eintrag Unverschlüsseltes Kennwort (PAP). Sie brauchen sich keine Sorge wegen des Eintrags „Unverschlüsselt“ zu machen, da die Verbindung durch IPsec bereits geschützt ist. o Klicken Sie nun auf OK und nochmals auf OK, um die Verbindungs-Eigenschaften zu schließen. o Klicken Sie nun auf Verbinden, um die L2TP-Verbindung herzustellen. Nun ist es möglich, vom Windows-Client aus eine L2TP-Verbindung zum mGuard herzustellen. In unserem Beispiel kann dann auf den Rechner im internen Netz über die IP 192.168.1.100 zugegriffen werden. Version 2.00 - 21 - mGuard – Konfigurationsbeispiele 6 6.1 Firewall Regeln Beachten Sie folgende Regeln beim Aufsetzen der Firewall: 1. Die angegebenen Firewall-Regeln werden von oben nach unten abgearbeitet. Trifft eine Regel zu, egal ob die Aktion „Annehmen“ , „Ablehnen“ oder „Verwerfen“ ist, so werden die folgenden Regeln NICHT mehr berücksichtigt. 2. Die Portangaben in den Feldern „Von Port“ und „Nach Port“ werden nur dann berücksichtigt, wenn Protokoll=TCP oder UDP ist. In allen anderen Fällen werden die Portangaben NICHT berücksichtigt! 6.2 Beispiel einer fehlerhaft aufgesetzten Firewall In diesem Beispiel soll verhindert werden, dass die Mitarbeiter Zugang zum Internet haben. Alles andere soll erlaubt sein. Beispiel einer fehlerhaft aufgesetzten Firewall Das obige Beispiel weist mehrere Fehler auf: 1. Zeile 1: Die Firewall-Regeln werden von oben nach unten abgearbeitet. Trifft eine Regel zu, so werden die folgenden Regeln nicht mehr berücksichtigt. Da die erste Regel alles erlaubt, somit immer erfüllt ist, wird die zweite, einschränkende Regel nicht mehr berücksichtigt. Die beiden Zeilen müssten also getauscht werden. 3. Zeile 2 - Portangaben: Die Portangaben in den Feldern „Von Port“ und „Nach Port“ werden nur dann berücksichtigt, wenn Protokoll=TCP oder UDP ist. Da jedoch Protokoll=Alle ist, werden die Portangaben nicht berücksichtigt. Protokoll ist in diesem Fall auf TCP zu setzen. 2. Zeile 2 – „Von Port“=80: HTTP-Anfragen von Web-Browsern benutzen in der Regel einen Port oberhalb 1024 und senden die Anfrage an Port 80. Da hier „Von Port“=80 ist, würde die Regel nicht greifen. In diesem Falle müsste „Von Port“=any gesetzt werden. Version 2.00 - 22 - mGuard – Konfigurationsbeispiele Die korrekt konfigurierte Firewall müsste folgendermaßen aussehen: Beispiel einer korrekt aufgesetzten Firewall Erfolgt eine HTTP-Anfrage, so wird diese von der ersten Regel erfasst und abgewiesen. Bei allen anderen Aktionen greift die zweite Regel, die alles erlaubt. Version 2.00 - 23 -