Firewall und DMZ

Top  Previous  Next

Konfiguration von Gibraltar als Internet-Gateway und Definition einer DMZ (Demilitarisierte Zone). In der DMZ befinden sich ein WWW und ein Mailserver.

 

int0 für das interne Netzwerk
dmz0 für die DMZ
ext0 für das Internet

 

szenario3

 

Systemvoraussetzungen

 

PC mit drei kompatiblen Netzwerkkarten oder Gibraltar Security Gateway. Breitband-Internet mit fixer öffentlicher IP-Adresse (z.B. XDSL)

 

Installation von Gibraltar

 

Installieren sie Gibraltar wie im Kapitel Installation beschrieben.

 

Systemeinstellungen

 

Systemeinstellungen wie in Szenario 1

 

Netzwerkeinstellungen - Netzwerkkarten

 

1.Wählen Sie im Hauptmenü den Punkt Netzwerk.
2.Wählen Sie die Registerkarte eth0.
3.Interface: Geben Sie in dieses Textfeld die gewünschte Bezeichnung für diese Netzwerkkarte ein (z.B.: "ext0" für die Netzwerkkarte ins Internet).
4.Automatisch starten: Markieren Sie dieses Kontrollkästchen, damit diese Netzwerkkarte bei einem Neustart automatisch gestartet wird.
5.IP-Adresse: Wählen Sie die Option statisch, da die IP-Adresse für diese Netzwerkkarte statisch vergeben werden soll.
6.Statische IPs: Ändern Sie die IP-Adresse im Textfeld IP-Adresse/Netzwerkmaske auf die von Ihnen für Gibraltar vorgesehene IP-Adresse (CIDR-Notation: z.B. 80.50.30.50/24).
7.Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern.
8.Wählen Sie die Registerkarte eth1.
9.Interface: Geben Sie in dieses Textfeld die gewünschte Bezeichnung für diese Netzwerkkarte ein (z.B.: "int0" für die Netzwerkkarte ins interne Netzwerk).
10.Automatisch starten: Markieren Sie dieses Kontrollkästchen, damit diese Netzwerkkarte bei einem Neustart automatisch gestartet wird.
11.P-Adresse: Wählen Sie die Option statisch, da auch die IP-Adresse für diese Netzwerkkarte statisch vergeben werden soll.
12.Statische IPs: Ändern Sie die IP-Adresse im Textfeld IP-Adresse/Netzwerkmaske auf die von Ihnen für Gibraltar vorgesehene IP-Adresse (CIDR-Notation: z.B. 192.168.1.1/24).
13. Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern.
14.Wählen Sie die Registerkarte eth2.
15.Interface: Geben Sie in dieses Textfeld die gewünschte Bezeichnung für diese Netzwerkkarte ein (z.B.: "dmz0" für die Netzwerkkarte, die die demilitarisierte Zone (DMZ) einbinden soll).
16.Automatisch starten: Markieren Sie dieses Kontrollkästchen, damit diese Netzwerkkarte bei einem Neustart automatisch gestartet wird.
17.IP-Adresse: Wählen Sie die Option statisch, da die IP-Adresse für diese Netzwerkkarte statisch vergeben werden soll.
18.Statische IPs: Ändern Sie die IP-Adresse im Textfeld IP-Adresse/Netzwerkmaske auf die von Ihnen für Gibraltar vorgesehene IP-Adresse (CIDR-Notation: z.B. 192.168.0.1/24).
19.Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern.

 

Das interne Netzwerk hat somit den Adressbereich 192.168.1.0/24 und die DMZ den Adressbereich 192.168.0.0/24. Dementsprechend sind auch Ihre Rechner zu konfigurieren, damit sie über die Firewall das Internet bzw. die Server in der DMZ erreichen können.

 

ACHTUNG: Durch das Verändern der IP-Adresse auf der Netzwerkkarte, über die Sie auf Gibraltar zugreifen, wird die Verbindung unterbrochen und Sie müssen für Ihren Arbeitsplatzrechner ebenfalls die IP-Adresse anpassen.

 

Netzwerkeinstellungen - Routing

 

1.Wählen Sie im Hauptmenü den Punkt Netzwerk.
2.Wählen Sie die Registerkarte Routing.
3.Standardroute: Geben Sie in dieses Feld die vom Provider vorgegebene Standardroute ein. An diese Adresse werden alle Pakete weitergeleitet, die nicht zur Weiterleitung an andere Netze bestimmt sind.
4.Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern.

 

Als nächstes müssen Sie konkrete Filterregeln setzen, um Paketen den Weg ins Internet oder auf die Server offen zu lassen. Standardmäßig ist jeglicher Verkehr über die Firewall unterbunden. Nur die von Ihnen gestatteten Pakete können die Firewall passieren. Wir wollen den Verkehr vom internen Netzwerk nach außen zulassen. Von der DMZ sollen sich die Mitarbeiter die E-Mails vom Mailserver via POP3 abholen können. Außerdem dürfen sie den WWW-Server benutzen.

 

Firewallregeln

 

1.Wählen Sie im Hauptmenü den Punkt Firewall.
2.Wählen Sie die Registerkarte Firewallregeln.
3.Eingehend: Wählen Sie als eingehendes Interface "int0".
4.Ausgehend: Wählen Sie als ausgehendes Interface "ext0".
5.Go!: Betätigen Sie diese Schaltfläche, um die Filterregeln für Pakete von "int0" nach "ext0" anzuzeigen.
6.Regel hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Filterregel hinzuzufügen, die Pakete von innen nach außen durchläßt. Sie werden in die Detailansicht weitergeleitet.
7.Quelladresse: Wählen Sie aus der Auswahlliste ANY, um alle Quelladressen zu erlauben.
8.Zieladresse: Wählen Sie aus der Auswahlliste ANY, um alle Zieladressen zu erlauben.
9.Speichern: Betätigen Sie die Schaltfläche Speichern.
10.Eingehend: Belassen Sie die Einstellung des eingehenden Interfaces auf "int0".
11.Ausgehend: Wählen Sie aus der Auswahlliste des ausgehenden Interfaces "dmz0".
12.Go!: Betätigen Sie diese Schaltfläche, um die Filterregeln für die Pakete von "int0" nach "dmz0" anzuzeigen.
13.Regel hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Filterregel hinzuzufügen, die Pakete von "int0" nach "dmz0" durchläßt.
14.Quelladresse: Wählen Sie aus der Auswahlliste ANY, um alle Quelladressen zu erlauben.
15.Zieladresse: Wählen Sie aus der Auswahlliste ANY, um alle Zieladressen zu erlauben.
16.Service: Wählen Sie den Eintrag "pop3".
17.Speichern: Lassen Sie in der folgenden Detailansicht alle Felder entsprechend den Standardeinstellungen.
18.Weitere Regel hinzufügen: Betätigen Sie diese Schaltfläche, um eine weitere Filterregel hinzuzufügen.
19.Service: Wählen Sie den Eintrag "http".
20.Quelladresse: Wählen Sie aus der Auswahlliste ANY, um alle Quelladressen zu erlauben.
21.Zieladresse: Wählen Sie aus der Auswahlliste ANY, um alle Zieladressen zu erlauben.
22.Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. Somit können Sie vom internen Netzwerk Ihre Mails auf dem Mailserver in der DMZ abfragen und auch auf den WWW-Server in der DMZ zugreifen.

 

Auf der Firewall wird ein Mail-Relay betrieben, der eingehende Mails via SMTP an den Mailserver in der DMZ weiterleitet. Daher muss es SMTP Paketen erlaubt sein, die Firewall zu erreichen.

 

1.Wählen Sie im Hauptmenü den Punkt Firewall.
2.Wählen Sie die Registerkarte Firewallregeln.
3.Eingehend: Wählen Sie als eingehendes Interface "ext0".
4.Ausgehend: Wählen Sie als ausgehendes Interface "local".
5.Go!: Betätigen Sie diese Schaltfläche, um die Filterregeln für Pakete anzuzeigen, die von außen ("ext0") auf der Firewall eingehen.
6.Regel hinzufügen: Betätigen Sie diese Schaltfläche, um eine Filterregel hinzuzufügen. Sie werden in die Detailansicht weitergeleitet.
7.Quelladresse: Wählen Sie aus der Auswahlliste ANY, um alle Quelladressen zu erlauben.
8.Zieladresse: Wählen Sie aus der Auswahlliste ANY, um alle Zieladressen zu erlauben.
9.Service: Wählen Sie den Eintrag "smtp".
10.Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern.

 

Um E-Mails über Gibraltar verschicken zu können, muss auch der SMTP Port von innen auf die Firewall zugänglich sein.

Wiederholen Sie den vorigen Vorgang für das eingehende Interface "int0" und das ausgehende Interface "local". Zusätzlich schränken Sie die Quell IP-Adressen auf die des internen Netzwerkes ein, indem Sie in das Feld Quell IP-Adresse den Wert "192.168.1.0/24" eingeben.

Weiters sollen auch DNS Anfragen an den lokal auf Gibraltar laufenden DNS Server möglich sein. Fügen Sie dazu sowohl für das eingehende Interface "int0" und das ausgehende Interface "local", als auch für das eingehende Interface "dmz0" und das ausgehende Interface "local" eine Filterregel ein, die Pakete für den Service "dns" akzeptiert.

Damit der Mailserver auch selbst E-mails versenden kann, müssen Sie für das eingehende Interface "dmz0" und das ausgehende Interface "local" TCP Pakete auf den Service "smtp" zulassen.

 

Damit die Pakete im Internet auch korrekt weitergeleitet werden, müssen die internen Adressen beim Verlassen der Firewall mit der öffentlichen IP-Adresse als Quell IP-Adresse maskiert werden (NAT). Auch Anfragen an den HTTP Port (80) der Firewall müssen an den WWW-Server in der DMZ weitergeleitet werden. Diese Konfigurationen nehmen wir im NAT Modul vor.

 

NAT - Regeln

 

1.Wählen Sie im Hauptmenü den Punkt NAT.
2.Wählen Sie die Registerkarte NAT-Regeln.
3.Track: Wählen Sie aus diesem Auswahlfeld den Wert "outgoing ext0", um die ausgehenden Pakete zu maskieren.
4.Regel hinzufügen: Betätigen Sie diese Schaltfläche, um eine NAT Regel hinzuzufügen. Sie werden in die Detailansicht weitergeleitet.
5.Quell IP-Adresse: Geben Sie hier den Wert 192.168.1.0/24 ein, damit alle Pakete, die aus diesem Netz kommen und über "ext0" die Firewall verlassen, eine neue Quell IP-Adresse bekommen.
6.Aktion: Belassen Sie die Auswahl auf "SNAT", weil die Quell IP-Adresse auf eine uns bekannte öffentliche IP-Adresse verändert werden soll.
7.--to: Geben Sie hier die neue Quell IP-Adresse ein (in unserem Fall: 80.50.30.50).
8.Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern.

 

Wiederholen Sie den Vorgang mit der Quell IP-Adresse 192.168.0.0/24, da auch die Pakete aus der DMZ verändert werden müssen.

 

Um Anfragen auf den Port 80 der Firewall an den WWW-Server weiterzuleiten, müssen folgende Einstellungen gemacht werden:

 

1.Wählen Sie im Hauptmenü den Punkt NAT.
2.Wählen Sie die Registerkarte NAT-Regeln.
3.Track: Wählen Sie aus diesem Auswahlfeld den Wert "incoming ext0", um die ausgehenden Pakete zu maskieren.
4.Regel hinzufügen: Betätigen Sie diese Schaltfläche, um eine NAT Regel hinzuzufügen. Sie werden in die Detailansicht weitergeleitet.
5.Ziel IP-Adresse: Geben Sie hier den Wert 80.50.30.50 ein, da die Anfragen an der IP-Adresse der Firewall eingehen.
6.Service: Wählen Sie aus dem Auswahlfeld den Wert "http".
7.Aktion: Belassen Sie die Auswahl auf "DNAT", weil die Ziel IP-Adresse verändert werden soll.
8.--to: Geben Sie hier die neue Ziel IP-Adresse ein (in unserem Fall: 192.168.0.3).
9.Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern.

 

Dadurch wird die Ziel IP-Adresse von HTTP Paketen auf die Adresse des WWW-Servers (192.168.0.3) verändert. Damit das Paket auch den WWW-Server erreichen kann, ist jedoch noch der Eintrag einer Paketfilterregel im Modul Firewall nötig. Diese erlaubt es einem HTTP-Paket erst, von außen in die DMZ vorzudringen.

 

1.Wählen Sie im Hauptmenü den Punkt Firewall.
2.Wählen Sie die Registerkarte Firewallregeln.
3.Eingehend: Wählen Sie als eingehendes Interface "ext0".
4.Ausgehend: Wählen Sie als ausgehendes Interface "dmz0".
5.Go!: Betätigen Sie diese Schaltfläche, um die Filterregeln für Pakete anzuzeigen, die von "ext0" nach "dmz0" gelangen sollen.
6.Regel hinzufügen: Betätigen Sie diese Schaltfläche, um eine Filterregel hinzuzufügen. Sie werden in die Detailansicht weitergeleitet.
7.Quelladresse: Wählen Sie aus der Auswahlliste ANY, um alle Quelladressen zu erlauben.
8.Ziel IP-Adresse: Geben Sie in dieses Textfeld die IP-Adresse des WWW-Servers ein (192.168.0.3).
9.Service: Wählen Sie den Eintrag "http".
10.Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern.

 

 

Konfiguration des Mail-Relay

 

Das Mail-Relay empfängt die E-mails, die für Ihre Domäne bestimmt sind, und leitet sie an einen in der DMZ gelegenen Mailserver weiter. Dadurch ist Ihr Mailserver von außen nicht direkt erreichbar und somit besser vor Angriffen geschützt. Um eingehende Mails an den internen Mailserver weiterzuleiten, gehen Sie folgendermaßen vor.

 

1.Wählen Sie aus dem Hauptmenü den Punkt Mail.
2.Wählen Sie die Registerkarte Weiterleitung eingehend.
3.Verwaltete Domänen: Geben Sie in diese Elementgruppe die Domänen ein, die Sie auf Ihren Mailservern verwalten.
4.Server hinzufügen: Betätigen Sie diese Schaltfläche, um einen Server hinzuzufügen.
5.Domäne: Geben Sie in dieses Textfeld die zu verwaltende Domäne ein (z.B. "esys.at").
6.Mailserver IP: Geben Sie hier die IP-Adresse des Mailservers ein, der die Mails für die angegebene Domäne verwaltet (z.B. 192.168.0.2).
7.Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern.
8.Wählen Sie aus dem Hauptmenü den Punkt Mail.
9.Wählen Sie die Registerkarte Allgemeine Einstellungen.
10.Viren und Spamchecks aktivieren: Aktivieren Sie diese Option, wenn Sie Ihre Mails auf Viren und Spam überprüfen wollen.
11.Mails scannen für: Aktivieren Sie die jeweiligen Domänen, die Sie auf Mails bzw. Spam überprüfen wollen
12.Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern.

 

Um die Einstellungen für den Mailversand nach außen hin vorzunehmen, gehen Sie folgendermaßen vor:

 

1.Wählen Sie aus dem Hauptmenü den Punkt Mail.
2.Wählen Sie die Registerkarte Weiterleitung ausgehend.
3.Lokale Netzwerke: Betätigen Sie die Schaltfläche Netzwerkadresse hinzufügen, um eine Netzwerkadresse hinzuzufügen. Allen Netzwerken in dieser Liste ist das Versenden von E-Mails erlaubt. Belassen Sie den bereits vorhandenen Eintrag 127.0.0.1/8, denn die Firewall selbst versendet ebenfalls E-Mails an den Administrator.
4.Netzwerkadresse: Geben Sie hier den Wert 192.168.1.0/24 ein, da Clients aus unserem internen Netzwerk Mails versenden dürfen. Auch aus der DMZ werden Mails gesendet. Fügen Sie die Netzwerkadresse 192.168.0.0/24 hinzu.
5.Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern.

 

 

Konfiguration speichern

 

1.Speichern Sie die Konfiguration auf einem USB-Stick oder auf der Harddisk.

       

Damit sind die Einstellungen vollkommen und Ihre Netzwerke eingerichtet. Durch das Speichern der Konfiguration können Sie jederzeit den jetzigen Stand wiederherstellen, Sie den USB Stick anstecken und Gibraltar neu booten.