Firewall layer 2: Unterschied zwischen den Versionen

Aus SSV Wiki
Wechseln zu: Navigation, Suche
[unmarkierte Version][unmarkierte Version]
(Konfigurationsbeispiel)
 
(31 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 24: Zeile 24:
  
  
Bei einer Firewall layer 2 erfolgen die Filterfunktionen in der Sicherungsschicht (Data Link Layer) des ISO-/OSI-Schichtenmodells. Für die Konfiguration der Firewall bedeutet dies, dass keine Veränderungen der IP-Adressen innerhalb der Netzwerke, die getrennt werden sollen, nötig sind.
+
Bei einer Firewall layer 2 erfolgen die Filterfunktionen in der Sicherungsschicht (Data Link Layer) des ISO-/OSI-Schichtenmodells<ref>Nähere Informationen zum ISO-/OSI-Schichtenmodell bekommen Sie bei Wikipedia: [https://de.wikipedia.org/wiki/OSI-Modell OSI-Modell]</ref>. Für die Konfiguration der Firewall bedeutet dies, dass keine Veränderungen der IP-Adressen innerhalb der Netzwerke, die getrennt werden sollen, nötig sind.
  
 
Das Industrial Gateway teilt durch die beiden Anschlüsse LAN 1 und LAN 2 ein einziges Netzwerk in zwei verschiedene Netzwerke.  
 
Das Industrial Gateway teilt durch die beiden Anschlüsse LAN 1 und LAN 2 ein einziges Netzwerk in zwei verschiedene Netzwerke.  
Zeile 33: Zeile 33:
  
  
{| class="wikitable"; style= "border-left: 1px solid blue"  
+
{| class="wikitable"; style= "background-color:#EFF5FB;"  
|[[File:Hinweis.jpg|50px|link=]]
+
|[[File:Info.svg.png|50px|link=]]
|'''Beachten Sie:''' In den Werkseinstellungen ist die Firewall ausgeschaltet. LAN1 und LAN2 sind völlig transparent miteinander verbunden. Es sind in diesem Zustand keine Firewall-Funktionalität und somit auch keine Schutzfunktionen aktiv.
+
|In den Werkseinstellungen ist die Firewall ausgeschaltet. LAN1 und LAN2 sind völlig transparent miteinander verbunden. Es sind in diesem Zustand keine Firewall-Funktionalität und somit auch keine Schutzfunktionen aktiv.
 
|}
 
|}
  
  
✘ Die Einstellungen des Firewall-Betriebs finden Sie unter dem Menüpunkt <small>'''Services'''</small>.
+
✘ Die Einstellungen des Firewall-Betriebs finden Sie unter dem Menüpunkt <span style="font-variant:small-caps;">'''Services'''</span>.
  
 
=== Firewall aktivieren ===
 
=== Firewall aktivieren ===
  
: ► Setzen Sie ein Häkchen in die Checkbox <small>'''Enable service'''</small>.
+
: ► Setzen Sie im Bereich  <span style="font-variant:small-caps;">'''Firewall Configuration'''</span> ein Häkchen in die Checkbox <span style="font-variant:small-caps;">'''Enable Service'''</span>.
  
 
: ✔ Die Netzwerke LAN 1 und LAN 2 sind voneinander getrennt. Sie können nun Regeln erstellen, um bestimmte Verbindungen zu ermöglichen.
 
: ✔ Die Netzwerke LAN 1 und LAN 2 sind voneinander getrennt. Sie können nun Regeln erstellen, um bestimmte Verbindungen zu ermöglichen.
Zeile 49: Zeile 49:
 
=== Regeln erstellen ===
 
=== Regeln erstellen ===
  
# Geben Sie die gewünschten Regeln unter <small>'''LAN1 <= LAN2 layer 2 forward rules accepted'''</small> ein.
+
# Geben Sie im Bereich <span style="font-variant:small-caps;">'''Lan1 <= Lan2 Layer 2 Forward Rules Accepted'''</span> die gewünschten Regeln  ein.
# Klicken Sie auf die Schaltfläche '''[Add]''' um die Regel hinzuzufügen.
+
# Um die Regel hinzuzufügen, klicken Sie auf die Schaltfläche '''[Add]'''.
 
# Bestätigen Sie die Konfiguration mit '''[OK]''' oder '''[Apply]'''.
 
# Bestätigen Sie die Konfiguration mit '''[OK]''' oder '''[Apply]'''.
 
:✔ Die Regel wird nun in der Liste aufgeführt.
 
:✔ Die Regel wird nun in der Liste aufgeführt.
Zeile 60: Zeile 60:
  
  
 
+
{| class="wikitable"; style= "background-color:#EFF5FB;"  
{| class="wikitable"; style= "border-left: 1px solid blue"  
+
|[[File:Info.svg.png|50px|link=]]
|[[File:Hinweis.jpg|50px|link=]]
+
|In diesem Beispiel wird mehrfach auf den Security Scanner nmap zugegriffen. Um das Beispiel nachzuvollziehen oder Firewall-Aufgabenstellungen zu testen, installieren Sie nmap<ref name="nmap">[https://nmap.org/ Nmap]</ref> auf Ihrem PC.
|In diesem Beispiel wird mehrfach auf den Security Scanner nmap zugegriffen. Um das Beispiel nachzuvollziehen oder Firewall-Aufgabenstellungen zu testen, installieren Sie nmap (https://nmap.org/) auf Ihrem PC.
+
|}
|}  
+
  
 
<br clear=all/>
 
<br clear=all/>
Zeile 71: Zeile 70:
 
# Schalten Sie in der SSV/WebUI-Konfigurationsoberfläche des IGW/936-FW die [[Firewall layer 2#Firewall aktivieren|Firewall-Funktionen]] ein, um Shopfloor-LAN und Officefloor-LAN voneinander zu trennen. Das IGW/935 (IP-Adresse: <code>192.168.178.45</code>) ist für den PC nun nicht mehr erreichbar.
 
# Schalten Sie in der SSV/WebUI-Konfigurationsoberfläche des IGW/936-FW die [[Firewall layer 2#Firewall aktivieren|Firewall-Funktionen]] ein, um Shopfloor-LAN und Officefloor-LAN voneinander zu trennen. Das IGW/935 (IP-Adresse: <code>192.168.178.45</code>) ist für den PC nun nicht mehr erreichbar.
 
#: <br />
 
#: <br />
# Prüfen Sie mit Hilfe eines nmap-Aufrufs vom PC aus, ob das IGW/935 im Shopfloor-LAN noch erreichbar ist.<br /> Mit <code>nmap -sP 192.168.178.0/24</code> wird das gesamte Netzwerk nach vorhandenen Rechnern durchsucht (-sP &rarr; nmap Ping Scan). Alle gefundenen Rechner werden von nmap aufgelistet. Das IGW/935 mit der IP-Adresse <code>192.168.178.45</code> wird noch in dieser Liste auftauchen. Wenn Sie vom PC aus über http://192.168.178.45:7777 versuchen auf die SSV/WebUI-Oberfläche des IGW/935 zuzugreifen, wird dieser Versuch fehlschlagen. Der nmap-Aufruf <code>nmap –sT –p 7700-7799 192.168.178.45</code> zeigt, dass der TCP-Port <code>7777</code> (wie alle anderen TCP- und UDP-Ports zwischen <code>1</code> und <code>65.535</code>) von den Firewall-Funktionen des IGW/936-FW blockiert wird. Ein IT-Monitoring-Programm, das auf dem PC im Officefloor-LAN läuft, liefert für das IGW/935 z.B. folgenden Zustand: <br clear=all/> <br /> [[File:FW6 250316.png|border|left]] <br clear=all/> <br /> Per Ping ist das IGW/935 im Shopfloor LAN für das IT-Monitoring noch erreichbar. Der HTTP-Request wird allerdings vom IGW/936-FW blockiert. Um zu verhindern, dass die Baugruppen im Shopfloor-LAN auf einen Ping aus Officefloor-LAN heraus antworten, deaktivieren Sie in den IGW/936-FW-Einstellungen <small>'''Allow ping'''</small>.  
+
# Prüfen Sie mit Hilfe eines nmap-Aufrufs vom PC aus, ob das IGW/935 im Shopfloor-LAN noch erreichbar ist.<br /> Mit <code>nmap -sP 192.168.178.0/24</code> wird das gesamte Netzwerk nach vorhandenen Rechnern durchsucht (-sP &rarr; nmap Ping Scan). Alle gefundenen Rechner werden von nmap aufgelistet. Das IGW/935 mit der IP-Adresse <code>192.168.178.45</code> wird noch in dieser Liste auftauchen. Wenn Sie vom PC aus über http://192.168.178.45:7777 versuchen auf die SSV/WebUI-Oberfläche des IGW/935 zuzugreifen, wird dieser Versuch fehlschlagen. Der nmap-Aufruf <code>nmap –sT –p 7700-7799 192.168.178.45</code> zeigt, dass der TCP-Port <code>7777</code> (wie alle anderen TCP- und UDP-Ports zwischen <code>1</code> und <code>65.535</code>) von den Firewall-Funktionen des IGW/936-FW blockiert wird. Ein IT-Monitoring-Programm, das auf dem PC im Officefloor-LAN läuft, liefert für das IGW/935 z.B. folgenden Zustand: <br clear=all/> <br /> [[File:FW6 250316.png|border|left]] <br clear=all/> <br /> Per Ping ist das IGW/935 im Shopfloor LAN für das IT-Monitoring noch erreichbar. Der HTTP-Request wird allerdings vom IGW/936-FW blockiert. Um zu verhindern, dass die Baugruppen im Shopfloor-LAN auf einen Ping aus Officefloor-LAN heraus antworten, deaktivieren Sie in den IGW/936-FW-Einstellungen im Bereich <span style="font-variant:small-caps;">'''Lan1 <= Lan2 Layer 2 Forward Rules Accepted'''</span> die Option <span style="font-variant:small-caps;">'''Allow Ping'''</span>.  
 
#: <br />
 
#: <br />
# Erstellen Sie nun eine neue Firewall-Regel mit dem <small>'''Rule name'''</small> <code>IGW/935-Config</code>. <br />  
+
# Erstellen Sie nun im Bereich <span style="font-variant:small-caps;">'''Lan1 <= Lan2 Layer 2 Forward Rules Accepted'''</span> eine neue Firewall-Regel mit dem <span style="font-variant:small-caps;">'''Rule name'''</span> <code>IGW/935-Config</code>. <br />  
## Wählen Sie <span style="font-variant:small-caps;">Tcp</span> im Bereich <small>'''IPv4-Transportprotokoll'''</small>
+
## Wählen Sie im Bereich <span style="font-variant:small-caps;">'''IPv4-Transportprotokoll'''</span> die Option <code>Tcp</code>.
## Tragen Sie in das Feld <small>'''To port'''</small> <code>7777</code>ein.  
+
## Tragen Sie in das Feld <span style="font-variant:small-caps;">'''To port'''</span> <code>7777</code>ein.  
 
## Klicken Sie erst auf '''[Add]''' und danach auf '''[Apply]'''. <br />  
 
## Klicken Sie erst auf '''[Add]''' und danach auf '''[Apply]'''. <br />  
 
#:✔ Nun kann vom Officefloor-LAN aus der PC mit der IP-Adresse <code>192.168.178.23</code> die SSV/WebUI-Oberfläche des IGW/935 über den Link <code><nowiki>http://192.168.178.45:7777</nowiki></code> erreichen.  <br clear=all/> <br />[[File:FW2 260316 B.jpg|border|left]] <br clear=all/> <br /> Um zu verhindern, dass auch jeder andere PC aus dem Officefloor-LAN über den Link <code><nowiki>http://192.168.178.45:7777</nowiki></code> das IGW/935-SSV/WebUI erreichen kann, fahren Sie mit dem folgenden Schritt fort.  
 
#:✔ Nun kann vom Officefloor-LAN aus der PC mit der IP-Adresse <code>192.168.178.23</code> die SSV/WebUI-Oberfläche des IGW/935 über den Link <code><nowiki>http://192.168.178.45:7777</nowiki></code> erreichen.  <br clear=all/> <br />[[File:FW2 260316 B.jpg|border|left]] <br clear=all/> <br /> Um zu verhindern, dass auch jeder andere PC aus dem Officefloor-LAN über den Link <code><nowiki>http://192.168.178.45:7777</nowiki></code> das IGW/935-SSV/WebUI erreichen kann, fahren Sie mit dem folgenden Schritt fort.  
 
#: <br />
 
#: <br />
# Editieren Sie den Eintrag mit dem <small>'''Rule name'''</small> <code>IGW/935-Config</code>. <br />  
+
# Editieren Sie den Eintrag mit dem <span style="font-variant:small-caps;">'''Rule name'''</span> <code>IGW/935-Config</code>. <br />  
## Klicken Sie auf den Stift am rechten Rand des Feldes und tragen Sie in das Feld <small>'''From address'''</small> die IP-Adresse <code>192.168.178.23</code> ein.  
+
## Klicken Sie auf den Stift am rechten Rand des Feldes und tragen Sie in das Feld <span style="font-variant:small-caps;">'''From address'''</span> die IP-Adresse <code>192.168.178.23</code> ein.  
 
## Klicken Sie erst auf '''[Replace]''' und danach auf '''[Apply]'''. <br clear=all/> <br /> [[File:FW3 260316 B.jpg|border|left]] <br clear=all/>
 
## Klicken Sie erst auf '''[Replace]''' und danach auf '''[Apply]'''. <br clear=all/> <br /> [[File:FW3 260316 B.jpg|border|left]] <br clear=all/>
  
Zeile 89: Zeile 88:
 
<br clear=all/>
 
<br clear=all/>
 
   
 
   
 
+
{| class="wikitable"; style= "background-color:#EFF5FB;"  
{| class="wikitable"; style= "border-left: 1px solid blue"  
+
|[[File:Info.svg.png|50px|link=]]
|[[File:Hinweis.jpg|50px|link=]]
+
 
|'''Beachten Sie:''' Mit der hier beschriebenen Firewall-Einstellung besitzt das IGW/935 im Shopfloor-LAN keinen Zugriff mehr auf Dienste im Officefloor-LAN wie z.B. einen im Officefloor-LAN vorhandenen Internet-Zugang. Eine eventuell eingestellte Zeitsynchronisation <!-- Link zu Time and date, wenn Artikel erstellt --> des IGW/935 mit einem NTP-Server im Internet wird nun fehlschlagen.
 
|'''Beachten Sie:''' Mit der hier beschriebenen Firewall-Einstellung besitzt das IGW/935 im Shopfloor-LAN keinen Zugriff mehr auf Dienste im Officefloor-LAN wie z.B. einen im Officefloor-LAN vorhandenen Internet-Zugang. Eine eventuell eingestellte Zeitsynchronisation <!-- Link zu Time and date, wenn Artikel erstellt --> des IGW/935 mit einem NTP-Server im Internet wird nun fehlschlagen.
 
|}
 
|}
 +
  
  
Zeile 108: Zeile 107:
 
Im Shopfloor-LAN befindet sich ein PC mit einem Modbus-Slave. Er ist über die IP-Adresse <code>192.168.178.21</code> erreichbar. Im Officefloor-LAN existiert ein PC mit der IP-Adresse <code>192.168.178.23</code>. Dieser PC soll als Modbus-Master auf den Slave im Shopfloor-LAN zugreifen können. Beide Netzwerke sind durch ein IGW/936-FW voneinander getrennt. Das IGW/936-FW befindet sich zunächst im Auslieferzustand (Werkseinstellung: Firewall-Funktionen = Aus).
 
Im Shopfloor-LAN befindet sich ein PC mit einem Modbus-Slave. Er ist über die IP-Adresse <code>192.168.178.21</code> erreichbar. Im Officefloor-LAN existiert ein PC mit der IP-Adresse <code>192.168.178.23</code>. Dieser PC soll als Modbus-Master auf den Slave im Shopfloor-LAN zugreifen können. Beide Netzwerke sind durch ein IGW/936-FW voneinander getrennt. Das IGW/936-FW befindet sich zunächst im Auslieferzustand (Werkseinstellung: Firewall-Funktionen = Aus).
  
 
+
{| class="wikitable"; style= "background-color:#EFF5FB;"  
{| class="wikitable"; style= "border-left: 1px solid blue"  
+
|[[File:Info.svg.png|50px|link=]]
|[[File:Hinweis.jpg|50px|link=]]
+
|In diesem Beispiel wird mehrfach auf den Security Scanner nmap zugegriffen. Um das Beispiel nachzuvollziehen oder Firewall-Aufgabenstellungen zu testen, installieren Sie nmap<ref name="nmap></ref> auf Ihrem PC.
|In diesem Beispiel wird mehrfach auf den Security Scanner nmap zugegriffen. Um das Beispiel nachzuvollziehen oder Firewall-Aufgabenstellungen zu testen, installieren Sie nmap (https://nmap.org/) auf Ihrem PC.
+
|}
|}  
+
  
 
<br clear=all/>
 
<br clear=all/>
  
# Prüfen Sie mit Hilfe eines nmap-Aufrufs vom PC im Officefloor-LAN aus, welche TCP-Ports auf dem PC im Shopfloor-LAN erreichbar sind.<br /> Mit <code>nmap –sT –p 1-999 192.168.178.21</code> könnte sich zum Beispiel für einen unter Windows 7 laufenden PC die hier folgende nmap-Ausgabe ergeben: <br /> [[File:FW2 280316.png|border|left]] <br clear=all/> Die Einschränkung auf die TCP-Ports 1 bis 999 erfolgte aus Zeitgründen. Je mehr Ports nmap prüfen soll, desto länger dauert die Prüfung.
+
# Prüfen Sie mit Hilfe eines nmap-Aufrufs vom PC im Officefloor-LAN aus, welche TCP-Ports auf dem PC im Shopfloor-LAN erreichbar sind.<br /> Mit <code>nmap –sT –p 1-999 192.168.178.21</code> könnte sich zum Beispiel für einen unter Windows 7 laufenden PC die hier folgende nmap-Ausgabe ergeben: <br clear=all/> <br /> [[File:FW2 280316.png|border|left]] <br clear=all/> <br /> Die Einschränkung auf die TCP-Ports 1 bis 999 erfolgte aus Zeitgründen. Je mehr Ports nmap prüfen soll, desto länger dauert die Prüfung.
 
#: <br />
 
#: <br />
 
#Schalten Sie in der SSV/WebUI-Konfigurationsoberfläche des IGW/936-FW die [[Firewall layer 2#Firewall aktivieren|Firewall-Funktionen]] ein, um Shopfloor-LAN und Officefloor-LAN voneinander zu trennen. <br /> ✔ Der PC mit dem Modbus-Master (IP-Adr.: <code>192.168.178.21</code>) ist nun für den PC im Officefloor-LAN nicht mehr erreichbar.
 
#Schalten Sie in der SSV/WebUI-Konfigurationsoberfläche des IGW/936-FW die [[Firewall layer 2#Firewall aktivieren|Firewall-Funktionen]] ein, um Shopfloor-LAN und Officefloor-LAN voneinander zu trennen. <br /> ✔ Der PC mit dem Modbus-Master (IP-Adr.: <code>192.168.178.21</code>) ist nun für den PC im Officefloor-LAN nicht mehr erreichbar.
 
#: <br />
 
#: <br />
 
#Erstellen Sie nun eine neue Firewall-Regel.  
 
#Erstellen Sie nun eine neue Firewall-Regel.  
## Wählen Sie im Bereich Service <span style="font-variant:small-caps;">Modbus</span> aus.
+
## Wählen Sie im Bereich <span style="font-variant:small-caps;">'''Service'''</span> die Option <code>Modbus</code> aus.
## Tragen Sie <code>192.168.178.23</code> in das Feld <small>'''From address'''</small> ein.  
+
## Tragen Sie in das Feld <span style="font-variant:small-caps;">'''From address'''</span> <code>192.168.178.23</code> ein.  
## Klicken Sie erst auf '''[Add]''' und danach auf '''[Apply]'''. <br /> [[File:FW3 280316 B.jpg|border|left]] <br clear=all/>
+
## Klicken Sie erst auf '''[Add]''' und danach auf '''[Apply]'''. <br clear=all/> <br /> [[File:FW3 280316 B.jpg|border|left]] <br clear=all/>
 
#: <br />
 
#: <br />
#Prüfen Sie mit Hilfe eines erneuten nmap-Aufrufs vom PC im Officefloor-LAN aus, welche TCP-Ports auf dem PC im Shopfloor-LAN nun noch erreichbar sind. <br />Mit <code>nmap –sT –p 1-999 192.168.178.21</code> ergibt sich für den unter Windows 7 laufenden PC mit dem Modbus-Slave nun die hier folgende nmap-Ausgabe:<br /> [[File:FW4 280316.png|border|left]] <br clear=all/>
+
#Prüfen Sie mit Hilfe eines erneuten nmap-Aufrufs vom PC im Officefloor-LAN aus, welche TCP-Ports auf dem PC im Shopfloor-LAN nun noch erreichbar sind. <br />Mit <code>nmap –sT –p 1-999 192.168.178.21</code> ergibt sich für den unter Windows 7 laufenden PC mit dem Modbus-Slave nun die hier folgende nmap-Ausgabe:<br clear=all/> <br /> [[File:FW4 280316.png|border|left]] <br clear=all/>
  
  
Zeile 131: Zeile 129:
  
  
{| class="wikitable"; style= "border-left: 1px solid blue"  
+
{| class="wikitable"; style= "background-color:#EFF5FB;"  
|[[File:Hinweis.jpg|50px|link=]]
+
|[[File:Info.svg.png|50px|link=]]
 
|Modbus-TCP benutzt standardmäßig den Port 502/TCP. Durch den vorgefertigten Service Modbus wird 502/TCP freigeschaltet, so dass ein TCP-Client (Modbus-Master) im Officefloor-LAN eine Verbindung zu einem TCP-Server (Modbus-Slave) im Shopfloor-LAN aufbauen kann.
 
|Modbus-TCP benutzt standardmäßig den Port 502/TCP. Durch den vorgefertigten Service Modbus wird 502/TCP freigeschaltet, so dass ein TCP-Client (Modbus-Master) im Officefloor-LAN eine Verbindung zu einem TCP-Server (Modbus-Slave) im Shopfloor-LAN aufbauen kann.
 
|}
 
|}
  
 +
== Vorgefertigte Services ==
  
  
 +
Die Konfigurationsoberfläche des IGW/36-FW bietet einige vorgefertigte Services mit Firewall-Regeln an.
 +
 +
 +
: {| border="1" style="border-collapse:collapse" cellpadding="10"
 +
! style="text-align:left;" |<big>Service</big>
 +
! style="text-align:right;" |<big>Port(s)</big>
 +
! style="text-align:left;" |<big>Beschreibung</big>
 +
|-
 +
|'''HTTP'''
 +
|style="text-align:right;"|80/TCP
 +
|Ein im Shopfloor-LAN laufender Webserver kann von einem HTTP-Client im Officefloor-LAN über den TCP-Port 80 benutzt werden.
 +
|-
 +
|'''HTTPS'''
 +
|style="text-align:right;"|443/TCP
 +
|Ein im Shopfloor-LAN laufender Webserver kann von einem HTTPS-Client im Officefloor-LAN benutzt werden. Dafür wird der TCP-Port 443 für eingehende Verbindungen aus dem Officefloor-LAN geöffnet.
 +
|-
 +
|'''Modbus'''
 +
|style="text-align:right;"|502/TCP
 +
|Ein im Shopfloor-LAN laufender Modbus-TCP-Server (Modbus-Slave) kann von einem Modbus-TCP-Client (Modbus-Master) im Officefloor-LAN über den TCP-Port 502 benutzt werden.
 +
|-
 +
|'''OPC DA'''
 +
|style="text-align:right;"|135/TCP
 +
|Ein im Shopfloor-LAN laufender OPC DA-Server kann von einem OPC DA-Client aus dem Officefloor-LAN heraus über den TCP-Port 135 benutzt werden.
 +
|-
 +
|'''OPC DA &le; Windows Server 2003'''
 +
|style="text-align:right;"|1.024- 5.000/TCP
 +
|Ein im Shopfloor-LAN laufender OPC DA-Server, der auf einem PC mit einem Windows-Betriebssystem kleiner/gleich Version Windows Server 2003 oder ähnlich abläuft, kann von einem OPC UA-Client aus dem Officefloor-LAN heraus benutzt werden. Dafür wird der Portbereich 1.024-5.000 für eingehende Verbindungen aus dem Officefloor-LAN geöffnet.
 +
|-
 +
|'''OPC DA &ge; Windows Server 2008'''
 +
|style="text-align:right;"|49.152- 65.535/TCP
 +
|Ein im Shopfloor-LAN laufender OPC DA-Server, der auf einem PC mit einem Windows-Betriebssystem größer/gleich Version Windows Server 2008 oder ähnlich abläuft, kann von einem OPC UA-Client aus dem Officefloor-LAN heraus benutzt werden. Dieser vorgefertigte Service wäre z. B. zu nutzen, wenn der OPC DA-Server auf einem Rechner mit Windows XP läuft. Dafür wird der Portbereich 49.152-65.535 für eingehende Verbindungen aus dem Officefloor-LAN geöffnet.
 +
|-
 +
|'''OPC UA'''
 +
|style="text-align:right;"|4840/TCP
 +
|Ein im Shopfloor-LAN laufender OPC UA-Server kann von einem OPC UA-Client aus dem Officefloor-LAN heraus über den TCP-Port 4840 benutzt werden.
 +
|-
 +
|'''SSH'''
 +
|style="text-align:right;"|22/TCP
 +
|Ein im Shopfloor-LAN laufender SSH-Server kann von einem SSH-Client im Officefloor-LAN benutzt werden. Dafür wird der TCP-Port 22 für eingehende Verbindungen aus dem Officefloor-LAN geöffnet.
 +
|-
 +
|'''Telnet'''
 +
|style="text-align:right;"|23/TCP
 +
|Ein im Shopfloor-LAN laufender Telnet-Server kann von einem Telnet-Client im Officefloor-LAN über den TCP-Port 23 benutzt werden.
 +
|}
  
  
 
{{backbutton}}
 
{{backbutton}}
 +
 +
== Weiterführende Weblinks ==
 +
 +
<references />
 +
 +
 +
[[category:WebConfigTool]]
 +
[[category:IGW/936-FW]]

Aktuelle Version vom 27. April 2016, 12:12 Uhr

Geräte

‹ zurück

Die integrierte Firewall isoliert die Netzwerkumgebung des Shopfloor-LAN von der des Officefloor-LAN. Auf dieser Seite erfahren Sie, wie Sie den Zugriff aus dem Officefloor-LAN in das Shopfloor-LAN für bestimmte Systeme erlauben können.


Beschreibung

Bei einer Firewall layer 2 erfolgen die Filterfunktionen in der Sicherungsschicht (Data Link Layer) des ISO-/OSI-Schichtenmodells[1]. Für die Konfiguration der Firewall bedeutet dies, dass keine Veränderungen der IP-Adressen innerhalb der Netzwerke, die getrennt werden sollen, nötig sind.

Das Industrial Gateway teilt durch die beiden Anschlüsse LAN 1 und LAN 2 ein einziges Netzwerk in zwei verschiedene Netzwerke. Die zu schützenden Systeme benötigen eine Verbindung zum Anschluss LAN 1. Alle an LAN 1 angeschlossenen Geräte bilden das Shopfloor-LAN. Alle Systeme, die an LAN 2 angeschlossen sind, bilden das ungeschützte Officefloor-LAN.


Die Firewall konfigurieren

Info.svg.png In den Werkseinstellungen ist die Firewall ausgeschaltet. LAN1 und LAN2 sind völlig transparent miteinander verbunden. Es sind in diesem Zustand keine Firewall-Funktionalität und somit auch keine Schutzfunktionen aktiv.


✘ Die Einstellungen des Firewall-Betriebs finden Sie unter dem Menüpunkt Services.

Firewall aktivieren

► Setzen Sie im Bereich Firewall Configuration ein Häkchen in die Checkbox Enable Service.
✔ Die Netzwerke LAN 1 und LAN 2 sind voneinander getrennt. Sie können nun Regeln erstellen, um bestimmte Verbindungen zu ermöglichen.

Regeln erstellen

  1. Geben Sie im Bereich Lan1 <= Lan2 Layer 2 Forward Rules Accepted die gewünschten Regeln ein.
  2. Um die Regel hinzuzufügen, klicken Sie auf die Schaltfläche [Add].
  3. Bestätigen Sie die Konfiguration mit [OK] oder [Apply].
✔ Die Regel wird nun in der Liste aufgeführt.

Konfigurationsbeispiel

Konfigurationsbeispiel: Firewall

Im Shopfloor LAN befindet sich ein IGW/935 mit der IP-Adresse 192.168.178.45, im Officefloor LAN ein PC mit der IP-Adresse 192.168.178.23. Beide Netzwerke sind durch ein IGW/936-FW voneinander getrennt. Das IGW/936-FW befindet sich zunächst im Auslieferzustand (Werkseinstellung: Firewall-Funktionen = Aus).


Info.svg.png In diesem Beispiel wird mehrfach auf den Security Scanner nmap zugegriffen. Um das Beispiel nachzuvollziehen oder Firewall-Aufgabenstellungen zu testen, installieren Sie nmap[2] auf Ihrem PC.



  1. Schalten Sie in der SSV/WebUI-Konfigurationsoberfläche des IGW/936-FW die Firewall-Funktionen ein, um Shopfloor-LAN und Officefloor-LAN voneinander zu trennen. Das IGW/935 (IP-Adresse: 192.168.178.45) ist für den PC nun nicht mehr erreichbar.

  2. Prüfen Sie mit Hilfe eines nmap-Aufrufs vom PC aus, ob das IGW/935 im Shopfloor-LAN noch erreichbar ist.
    Mit nmap -sP 192.168.178.0/24 wird das gesamte Netzwerk nach vorhandenen Rechnern durchsucht (-sP → nmap Ping Scan). Alle gefundenen Rechner werden von nmap aufgelistet. Das IGW/935 mit der IP-Adresse 192.168.178.45 wird noch in dieser Liste auftauchen. Wenn Sie vom PC aus über http://192.168.178.45:7777 versuchen auf die SSV/WebUI-Oberfläche des IGW/935 zuzugreifen, wird dieser Versuch fehlschlagen. Der nmap-Aufruf nmap –sT –p 7700-7799 192.168.178.45 zeigt, dass der TCP-Port 7777 (wie alle anderen TCP- und UDP-Ports zwischen 1 und 65.535) von den Firewall-Funktionen des IGW/936-FW blockiert wird. Ein IT-Monitoring-Programm, das auf dem PC im Officefloor-LAN läuft, liefert für das IGW/935 z.B. folgenden Zustand:

    FW6 250316.png


    Per Ping ist das IGW/935 im Shopfloor LAN für das IT-Monitoring noch erreichbar. Der HTTP-Request wird allerdings vom IGW/936-FW blockiert. Um zu verhindern, dass die Baugruppen im Shopfloor-LAN auf einen Ping aus Officefloor-LAN heraus antworten, deaktivieren Sie in den IGW/936-FW-Einstellungen im Bereich Lan1 <= Lan2 Layer 2 Forward Rules Accepted die Option Allow Ping.

  3. Erstellen Sie nun im Bereich Lan1 <= Lan2 Layer 2 Forward Rules Accepted eine neue Firewall-Regel mit dem Rule name IGW/935-Config.
    1. Wählen Sie im Bereich IPv4-Transportprotokoll die Option Tcp.
    2. Tragen Sie in das Feld To port 7777ein.
    3. Klicken Sie erst auf [Add] und danach auf [Apply].
    ✔ Nun kann vom Officefloor-LAN aus der PC mit der IP-Adresse 192.168.178.23 die SSV/WebUI-Oberfläche des IGW/935 über den Link http://192.168.178.45:7777 erreichen.

    FW2 260316 B.jpg


    Um zu verhindern, dass auch jeder andere PC aus dem Officefloor-LAN über den Link http://192.168.178.45:7777 das IGW/935-SSV/WebUI erreichen kann, fahren Sie mit dem folgenden Schritt fort.

  4. Editieren Sie den Eintrag mit dem Rule name IGW/935-Config.
    1. Klicken Sie auf den Stift am rechten Rand des Feldes und tragen Sie in das Feld From address die IP-Adresse 192.168.178.23 ein.
    2. Klicken Sie erst auf [Replace] und danach auf [Apply].

      FW3 260316 B.jpg


✔ Das IT-Monitoring-Programm auf dem PC mit der IP-Adresse 192.168.178.23 im Officefloor-LAN kann nun sowohl per Ping als auch per HTTP-Request (http://192.168.178.45:7777) den Zustand des IGW/935 im Shopfloor-LAN überwachen und bei Verfügbarkeitsproblemen eine Nachricht an den zuständigen Mitarbeiter schicken.

FW1 270316.png


Info.svg.png Beachten Sie: Mit der hier beschriebenen Firewall-Einstellung besitzt das IGW/935 im Shopfloor-LAN keinen Zugriff mehr auf Dienste im Officefloor-LAN wie z.B. einen im Officefloor-LAN vorhandenen Internet-Zugang. Eine eventuell eingestellte Zeitsynchronisation des IGW/935 mit einem NTP-Server im Internet wird nun fehlschlagen.


Das IGW/935 ist innerhalb des LANs nun indirekt mit 1.000 Mbps statt mit 100 Mbps eingebunden. Die LAN1-Schnittstelle des IGW/935 unterstützt wie LAN1 des IGW/936-FW zwar nur 10 und 100 Mbps. LAN2 des IGW/936-FW ist allerdings für 10/100/1.000 Mbps geeignet.


FW2 270316.png



Durch die LAN2-Verbindung des IGW/936-FW in Richtung Officefloor-LAN präsentiert sich das IGW/935 mit der IP-Adresse 192.168.178.45 nun als LAN-Teilnehmer mit einer 1.000 Mbps-Verbindung.

Konfigurationsbeispiel: Modbus

Konfigurationsbeispiel: Modbus

Im Shopfloor-LAN befindet sich ein PC mit einem Modbus-Slave. Er ist über die IP-Adresse 192.168.178.21 erreichbar. Im Officefloor-LAN existiert ein PC mit der IP-Adresse 192.168.178.23. Dieser PC soll als Modbus-Master auf den Slave im Shopfloor-LAN zugreifen können. Beide Netzwerke sind durch ein IGW/936-FW voneinander getrennt. Das IGW/936-FW befindet sich zunächst im Auslieferzustand (Werkseinstellung: Firewall-Funktionen = Aus).

Info.svg.png In diesem Beispiel wird mehrfach auf den Security Scanner nmap zugegriffen. Um das Beispiel nachzuvollziehen oder Firewall-Aufgabenstellungen zu testen, installieren Sie nmap[2] auf Ihrem PC.


  1. Prüfen Sie mit Hilfe eines nmap-Aufrufs vom PC im Officefloor-LAN aus, welche TCP-Ports auf dem PC im Shopfloor-LAN erreichbar sind.
    Mit nmap –sT –p 1-999 192.168.178.21 könnte sich zum Beispiel für einen unter Windows 7 laufenden PC die hier folgende nmap-Ausgabe ergeben:

    FW2 280316.png


    Die Einschränkung auf die TCP-Ports 1 bis 999 erfolgte aus Zeitgründen. Je mehr Ports nmap prüfen soll, desto länger dauert die Prüfung.

  2. Schalten Sie in der SSV/WebUI-Konfigurationsoberfläche des IGW/936-FW die Firewall-Funktionen ein, um Shopfloor-LAN und Officefloor-LAN voneinander zu trennen.
    ✔ Der PC mit dem Modbus-Master (IP-Adr.: 192.168.178.21) ist nun für den PC im Officefloor-LAN nicht mehr erreichbar.

  3. Erstellen Sie nun eine neue Firewall-Regel.
    1. Wählen Sie im Bereich Service die Option Modbus aus.
    2. Tragen Sie in das Feld From address 192.168.178.23 ein.
    3. Klicken Sie erst auf [Add] und danach auf [Apply].

      FW3 280316 B.jpg


  4. Prüfen Sie mit Hilfe eines erneuten nmap-Aufrufs vom PC im Officefloor-LAN aus, welche TCP-Ports auf dem PC im Shopfloor-LAN nun noch erreichbar sind.
    Mit nmap –sT –p 1-999 192.168.178.21 ergibt sich für den unter Windows 7 laufenden PC mit dem Modbus-Slave nun die hier folgende nmap-Ausgabe:

    FW4 280316.png


✔ Aus dem Officefloor-LAN kann nur noch der PC mit der IP-Adresse 192.168.178.23 den Modbus-Slave im Shopfloor-LAN erreichen.


Info.svg.png Modbus-TCP benutzt standardmäßig den Port 502/TCP. Durch den vorgefertigten Service Modbus wird 502/TCP freigeschaltet, so dass ein TCP-Client (Modbus-Master) im Officefloor-LAN eine Verbindung zu einem TCP-Server (Modbus-Slave) im Shopfloor-LAN aufbauen kann.

Vorgefertigte Services

Die Konfigurationsoberfläche des IGW/36-FW bietet einige vorgefertigte Services mit Firewall-Regeln an.


Service Port(s) Beschreibung
HTTP 80/TCP Ein im Shopfloor-LAN laufender Webserver kann von einem HTTP-Client im Officefloor-LAN über den TCP-Port 80 benutzt werden.
HTTPS 443/TCP Ein im Shopfloor-LAN laufender Webserver kann von einem HTTPS-Client im Officefloor-LAN benutzt werden. Dafür wird der TCP-Port 443 für eingehende Verbindungen aus dem Officefloor-LAN geöffnet.
Modbus 502/TCP Ein im Shopfloor-LAN laufender Modbus-TCP-Server (Modbus-Slave) kann von einem Modbus-TCP-Client (Modbus-Master) im Officefloor-LAN über den TCP-Port 502 benutzt werden.
OPC DA 135/TCP Ein im Shopfloor-LAN laufender OPC DA-Server kann von einem OPC DA-Client aus dem Officefloor-LAN heraus über den TCP-Port 135 benutzt werden.
OPC DA ≤ Windows Server 2003 1.024- 5.000/TCP Ein im Shopfloor-LAN laufender OPC DA-Server, der auf einem PC mit einem Windows-Betriebssystem kleiner/gleich Version Windows Server 2003 oder ähnlich abläuft, kann von einem OPC UA-Client aus dem Officefloor-LAN heraus benutzt werden. Dafür wird der Portbereich 1.024-5.000 für eingehende Verbindungen aus dem Officefloor-LAN geöffnet.
OPC DA ≥ Windows Server 2008 49.152- 65.535/TCP Ein im Shopfloor-LAN laufender OPC DA-Server, der auf einem PC mit einem Windows-Betriebssystem größer/gleich Version Windows Server 2008 oder ähnlich abläuft, kann von einem OPC UA-Client aus dem Officefloor-LAN heraus benutzt werden. Dieser vorgefertigte Service wäre z. B. zu nutzen, wenn der OPC DA-Server auf einem Rechner mit Windows XP läuft. Dafür wird der Portbereich 49.152-65.535 für eingehende Verbindungen aus dem Officefloor-LAN geöffnet.
OPC UA 4840/TCP Ein im Shopfloor-LAN laufender OPC UA-Server kann von einem OPC UA-Client aus dem Officefloor-LAN heraus über den TCP-Port 4840 benutzt werden.
SSH 22/TCP Ein im Shopfloor-LAN laufender SSH-Server kann von einem SSH-Client im Officefloor-LAN benutzt werden. Dafür wird der TCP-Port 22 für eingehende Verbindungen aus dem Officefloor-LAN geöffnet.
Telnet 23/TCP Ein im Shopfloor-LAN laufender Telnet-Server kann von einem Telnet-Client im Officefloor-LAN über den TCP-Port 23 benutzt werden.


‹ zurück

Weiterführende Weblinks

  1. Nähere Informationen zum ISO-/OSI-Schichtenmodell bekommen Sie bei Wikipedia: OSI-Modell
  2. 2,0 2,1 Nmap