NAT/PAT- und Firewall-Einstellung zusammen mit der Einrichtung des administrativen Zugriffes über den PPPoE-WAN-Partner der DTAG am Beispiel eines IPv4 https-Zugriffes aus dem WAN auf eine Digitalisierungsbox 1. Beschreibung des Szenarios Ansicht „Vollzugriff“ wird benötigt. Es soll aus dem WAN (von einem anderen Internetanschluss aus) mit einem Browser per https-Zugriff auf den Port 4443 auf die Konfigurationsoberfläche der Digitalisierungsbox zugegriffen werden. Dabei werden in dieser Reihenfolge aus dem WAN folgende Systeme durchlaufen und müssen dementsprechend darauf vorbereitet sein: - Network Address Translation (NAT/PAT) - Stateful Inspection Firewall (SIF) - Administrativer Zugriff auf die Digitalisierungsbox Es wird eine „normale“ Konfiguration ohne Loadbalancing Szenario und ohne Policy Based Routing mit der aktuellen Firmwareversion vorausgesetzt. 2. Network Address Translation / Port Address Translation Das erste durchlaufene Subsystem ist die Network Address Translation (NAT). Hier wird die Anfrage an die offizielle IPv4-Adresse der Digitalisierungsbox (WAN-Partner) durch eine Regel umgesetzt und an die gewünschte IPv4 Adresse im LAN (Exposed Host) oder in eine spezielle DMZ (De-Militarized Zone, abgetrennte und mittels zusätzlicher Firewallregeln überwachte Schnittstelle) weitergeleitet. In unserem Beispiel ist das Ziel der Umsetzung die Digitalisierungsbox selber, es wird also der Localhost (127.0.0.1) verwendet. Um Portscans auf die gängigen TCP Ports (z.B 22->ssh, 23->telnet, 80->http, 443->https) eine nicht allzu große Angriffsfläche zu bieten, wird ebenfalls eine Port Address Translation (PAT) von extern Port 4443 auf intern Port 443 konfiguriert. Menü: Netzwerk – NAT, Registerkarte „NAT-Konfiguration“ 3. Stateful Inspection Firewall Das nächste Subsystem, welches die jetzt von der NAT „durchgelassenen“ Pakete passieren, ist die Firewall. Durch den Status des WAN-Partners als „nicht vertrauenswürdig“ dürfen in der Default Einstellung von diesem Interface keine initialen Anfragen gestellt werden, sondern nur entsprechende Anfragen von „vertrauenswürdigen“ Schnittstellen (inital alle LAN Interfaces) beantwortet werden. Die Anfrage wird also zunächst weiterhin blockiert, diesmal von der SIF. Eine Regel, die diesen Zugriff als Ausnahme vom Ausgangsverhalten erlaubt, muss erst erstellt werden. In der Firewall gilt die Regel, dass Pakete, die durch eine Regel erlaubt werden, später nicht mehr verboten werden können und umgekehrt. Ggf. ist also auch die Reihenfolge der durchlaufenen Regeln zu beachten! In unserem Beispiel muss also der Dienst „https“ (Portumsetzung durch PAT ja schon erfolgt) für den Zugriff vom WAN-Partner auf das lokale Interface (127.0.0.1) erlaubt werden. Im Beispiel sind alle benötigten Schnittstellen und der Dienst bereits vordefiniert, bei abweichender Intention ist ggf. eine gesonderte Definition unter den Adressen bzw. Diensten im Vorfeld nötig. Menü: Firewall – Richtlinen, Registerkarte „IPv4-Richtlinien“ -> Schaltfläche „Neu“ Somit ergibt sich der folgende Regelablauf: 4. Administrativer Zugriff Das letzte Subsystem, welches den Zugriff auf die Konfigurationsoberfläche der Digitalisierungsbox für das gewünschte Szenario erlauben muss, ist der administrative Zugriff. Hierzu muss zuerst das WAN-Partner Interface hinzugefügt werden und dann der Zugriff mit dem Dienst „https“ erlaubt werden. Menü: Systemverwaltung – Administrativer Zugriff, Registerkarte „Zugriff“ Nach der Bestätigung mit „OK“ die Konfiguration abspeichern. 5. Zugriff aus dem WAN Ein Zugriff aus dem WAN auf die offizielle IPv4-Adresse des WAN-Partners mit dem Port 4443 führt nun zu dem Hinweis einer „nicht sicheren Verbindung“, da in dem Browser das von der Digitalisierungsbox hinterlegte Zertifikat nicht über eine ihm bekannte CA verifiziert werden kann. Eine entsprechende Bestätigung und das Zulassen dieser Verbindung führt nun zur LoginSeite der Digitalisierungsbox. Soll diese Sicherheitswarnung umgangen werden, kann selbstverständlich ein käuflich erworbenes und vom Browser als sicher eingestuftes Zertifikat in der Digitalisierungsbox hinterlegt werden.
© Copyright 2024 ExpyDoc
