Firewall layer 2: Unterschied zwischen den Versionen

Version vom 31. März 2016, 10:45 Uhr (Quelltext anzeigen) Mho (Diskussion | Beiträge) ← Zum vorherigen Versionsunterschied		Version vom 31. März 2016, 11:56 Uhr (Quelltext anzeigen) Mho (Diskussion | Beiträge) (→‎Konfigurationsbeispiel) Zum nächsten Versionsunterschied →
Zeile 54:		Zeile 54:
	== Konfigurationsbeispiel ==		== Konfigurationsbeispiel ==
−	Einfügen: [[Konfigurationsbeispiel: Firewall]]	+	[[File:FW5 250316.png|130px|right]] Um die Firewall-Funktionen und den dafür erforderlichen Setup zu verstehen, hier ein einfaches Beispiel: Im Shop Floor LAN befindet sich ein IGW/935 mit der IP-Adresse <tt>192.168.178.45</tt>, im Office Floor LAN ein PC mit der IP-Adresse <tt>192.168.178.23</tt>. Beide Netzwerke sind durch ein IGW/936-FW voneinander getrennt. Das IGW/936-FW befindet sich zunächst im Auslieferzustand (Werkseinstellung: Firewall-Funktionen = Aus).
−	{{backbutton}}	+
		+
		+	{| class="wikitable"; style= "border-left: 1px solid blue"
		+	|[[File:Hinweis.jpg|50px|link=]]
		+	|In diesem Beispiel wird mehrfach auf den Security Scanner nmap zugegriffen. Wenn Sie das Beispiel nachvollziehen wollen, oder auf ähnliche Art und Weise Firewall-Aufgabenstellungen testen wollen, sollten Sie zunächst nmap (https://nmap.org/) auf Ihrem PC installieren.
		+	|}
		+
		+
		+
		+
		+	# Schalten Sie in der SSV/WebUI-Konfigurationsoberfläche des IGW/936-FW die [[Firewall layer 2#Firewall aktivieren|Firewall-Funktionen]] ein, um Shop-Floor-LAN und Office-Floor-LAN voneinander zu trennen. Das IGW/935 (IP-Adresse: <tt>192.168.178.45</tt>) ist für den PC nun nicht mehr erreichbar.
		+	#: <br />
		+	# Prüfen Sie mit Hilfe eines nmap-Aufrufs vom PC aus, ob das IGW/935 im Shop-Floor-LAN noch erreichbar ist.<br /> Mit <tt>nmap -sP 192.168.178.0/24</tt> wird das gesamte Netzwerk nach vorhandenen Rechnern durchsucht (-sP &rarr; nmap Ping Scan). Alle gefundenen Rechner werden von nmap aufgelistet. Das IGW/935 mit der IP-Adresse <tt>192.168.178.45</tt> wird noch in dieser Liste auftauchen. Wenn Sie allerdings vom PC aus über http://192.168.178.45:7777 versuchen auf die SSV/WebUI-Oberfläche des IGW/935 zuzugreifen, wird dieser Versuch fehlschlagen. Der nmap-Aufruf <tt>nmap –sT –p 7700-7799 192.168.178.45</tt> zeigt, dass der TCP-Port <tt>7777</tt> (wie alle anderen TCP- und UDP-Ports zwischen <tt>1</tt> und <tt>65.535</tt>) von den Firewall-Funktionen des IGW/936-FW blockiert wird. Ein IT-Monitoring-Programm, das auf dem PC im Office-Floor-LAN läuft, liefert für das IGW/935 z.B. folgenden Zustand:  <br /> [[File:FW6 250316.png|300px|left]] <br clear=all/> Per Ping ist das IGW/935 im Shop Floor LAN für das IT-Monitoring noch erreichbar. Der HTTP-Request wird allerdings vom IGW/936-FW blockiert. Wenn Sie nicht wollen, dass die Baugruppen im Shop-Floor-LAN auf einen Ping aus Office-Floor-LAN heraus antworten, deaktivieren Sie in den IGW/936-FW-Einstellungen <small>'''Allow ping'''</small>.
		+	#: <br />
		+	# Erstellen Sie nun eine neue Firewall-Regel mit dem <small>'''Rule name'''</small> <tt>IGW/935-Config</tt>. <br />
		+	## Wählen Sie TCP als IPv4-Transportprotokoll und tragen Sie in das Feld <small>'''To port'''</small>  <tt>7777</tt>ein.
		+	## [[File:FW2 260316 B.jpg|200 px|right]] Betätigen Sie erst <code>Add</code> und danach <code>Apply</code>. <br /> Nun kann vom Office-Floor-LAN aus der PC mit der IP-Adresse <tt>192.168.178.23</tt> die SSV/WebUI-Oberfläche des IGW/935 über den Link <tt><nowiki>http://192.168.178.45:7777</nowiki></tt> erreichen.  <br /> Mit dieser IGW/936-FW-Einstellung kann nicht nur der PC mit der IP-Adresse <tt>192.168.178.23</tt> auf die SSV/WebUI-Oberfläche des IGW/935 zugreifen. Auch jeder andere PC aus dem Office-Floor-LAN kann über den Link <tt><nowiki>http://192.168.178.45:7777</nowiki></tt> das IGW/935-SSV/WebUI erreichen.
		+	#: <br />
		+	# Editieren Sie den Eintrag mit dem Rule name <tt>IGW/935-Config</tt>. <br />
		+	## [[File:FW3 260316 B.jpg|200 px|right]] Klicken Sie auf den Stift am rechten Rand des Feldes und tragen Sie in das Feld <small>'''From address'''</small> die IP-Adresse <tt>192.168.178.23</tt> ein.
		+	## Betätigen Sie erst <code>Replace</code> und danach <code>Apply</code>.
		+	:: Das IT-Monitoring-Programm auf dem PC mit der IP-Adresse <tt>192.168.178.23</tt> im Office-Floor-LAN kann nun sowohl per Ping als auch per HTTP-Request (http://192.168.178.45:7777) den Zustand des IGW/935 im Shop-Floor-LAN überwachen und bei Verfügbarkeitsproblemen eine Nachricht an den zuständigen Mitarbeiter schicken.
		+
		+	::[[File:FW1 270316.png|300px|left]]
		+	<br clear=all/>
		+
		+
		+	{| class="wikitable"; style= "border-left: 1px solid blue"
		+	|[[File:Hinweis.jpg|50px|link=]]
		+	|'''Beachten Sie:''' Mit der hier beschriebenen Firewall-Einstellung besitzt das IGW/935 im Shop-Floor-LAN keinen Zugriff mehr auf Dienste im Office-Floor-LAN wie z.B. einen im Office-Floor-LAN vorhandenen Internet-Zugang. Eine eventuell eingestellte Zeitsynchronisation <!-- Link zu Time and date, wenn Artikel erstellt --> des IGW/935 mit einem NTP-Server im Internet wird nun fehlschlagen.
		+	|}
		+
		+
		+	Das IGW/935 ist innerhalb des LANs nun indirekt mit 1.000 Mbps statt mit 100 Mbps eingebunden. Die LAN1-Schnittstelle des IGW/935 unterstützt wie LAN1 des IGW/936-FW zwar nur 10 und 100 Mbps. LAN2 des IGW/936-FW ist allerdings für 10/100/1.000 Mbps geeignet.
		+	[[File:FW2 270316.png|300px|left]]
		+	<br clear=all/>
		+
		+	Durch die LAN2-Verbindung des IGW/936-FW in Richtung Office-Floor-LAN präsentiert sich das IGW/935 mit der IP-Adresse <tt>192.168.178.45</tt> nun als LAN-Teilnehmer mit einer 1.000 Mbps-Verbindung.

---

Version vom 31. März 2016, 11:56 Uhr

‹ zurück

Die integrierte Firewall isoliert die Netzwerkumgebung des Shop-Floor-LAN von der des Office-Floor-LAN. Auf dieser Seite erfahren Sie, wie Sie den Zugriff aus dem Office-Floor-LAN in das Shop-Floor-LAN für bestimmte Systeme erlauben können.

Beschreibung

Bei einer Firewall layer 2 erfolgen die Filterfunktionen in der Sicherungsschicht (Data Link Layer) des ISO-/OSI-Schichtenmodells. Für die Konfiguration der Firewall bedeutet dies, dass keine Veränderungen der IP-Adressen innerhalb der Netzwerke, die getrennt werden sollen, nötig sind.

Das Industrial Gateway teilt durch die beiden Anschlüsse LAN 1 und LAN 2 ein einziges Netzwerk in zwei verschiedene Netzwerke. Die zu schützenden Systeme benötigen eine Verbindung zum Anschluss LAN 1. Alle an LAN 1 angeschlossenen Geräte bilden das Shop-Floor-LAN. Alle Systeme, die an LAN 2 angeschlossen sind, bilden das ungeschützte Office-Floor-LAN.

Die Firewall konfigurieren

Beachten Sie: In den Werkseinstellungen ist die Firewall ausgeschaltet. LAN1 und LAN2 sind völlig transparent miteinander verbunden. Es sind in diesem Zustand keine Firewall-Funktionalität und somit auch keine Schutzfunktionen aktiv.

✘ Die Einstellungen des Firewall-Betriebs finden Sie unter dem Menüpunkt Services.

Firewall aktivieren

► Setzen Sie ein Häkchen in die Checkbox Enable service.

✔ Die Netzwerke LAN 1 und LAN 2 sind voneinander getrennt. Sie können nun Regeln erstellen, um bestimmte Verbindungen zu ermöglichen.

Regeln erstellen

1. Geben Sie die gewünschten Regeln unter LAN1 <= LAN2 layer 2 forward rules accepted ein.
2. Klicken Sie auf die Schaltfläche Add um die Regel hinzuzufügen.
3. Bestätigen Sie die Konfiguration mit OK oder Apply.

✔ Die Regel wird nun in der Liste aufgeführt.

Konfigurationsbeispiel

Um die Firewall-Funktionen und den dafür erforderlichen Setup zu verstehen, hier ein einfaches Beispiel: Im Shop Floor LAN befindet sich ein IGW/935 mit der IP-Adresse 192.168.178.45, im Office Floor LAN ein PC mit der IP-Adresse 192.168.178.23. Beide Netzwerke sind durch ein IGW/936-FW voneinander getrennt. Das IGW/936-FW befindet sich zunächst im Auslieferzustand (Werkseinstellung: Firewall-Funktionen = Aus).

In diesem Beispiel wird mehrfach auf den Security Scanner nmap zugegriffen. Wenn Sie das Beispiel nachvollziehen wollen, oder auf ähnliche Art und Weise Firewall-Aufgabenstellungen testen wollen, sollten Sie zunächst nmap (https://nmap.org/) auf Ihrem PC installieren.

1. Schalten Sie in der SSV/WebUI-Konfigurationsoberfläche des IGW/936-FW die Firewall-Funktionen ein, um Shop-Floor-LAN und Office-Floor-LAN voneinander zu trennen. Das IGW/935 (IP-Adresse: 192.168.178.45) ist für den PC nun nicht mehr erreichbar.

   
   

2. Prüfen Sie mit Hilfe eines nmap-Aufrufs vom PC aus, ob das IGW/935 im Shop-Floor-LAN noch erreichbar ist.
   Mit nmap -sP 192.168.178.0/24 wird das gesamte Netzwerk nach vorhandenen Rechnern durchsucht (-sP → nmap Ping Scan). Alle gefundenen Rechner werden von nmap aufgelistet. Das IGW/935 mit der IP-Adresse 192.168.178.45 wird noch in dieser Liste auftauchen. Wenn Sie allerdings vom PC aus über http://192.168.178.45:7777 versuchen auf die SSV/WebUI-Oberfläche des IGW/935 zuzugreifen, wird dieser Versuch fehlschlagen. Der nmap-Aufruf nmap –sT –p 7700-7799 192.168.178.45 zeigt, dass der TCP-Port 7777 (wie alle anderen TCP- und UDP-Ports zwischen 1 und 65.535) von den Firewall-Funktionen des IGW/936-FW blockiert wird. Ein IT-Monitoring-Programm, das auf dem PC im Office-Floor-LAN läuft, liefert für das IGW/935 z.B. folgenden Zustand:
   
   
   
   Per Ping ist das IGW/935 im Shop Floor LAN für das IT-Monitoring noch erreichbar. Der HTTP-Request wird allerdings vom IGW/936-FW blockiert. Wenn Sie nicht wollen, dass die Baugruppen im Shop-Floor-LAN auf einen Ping aus Office-Floor-LAN heraus antworten, deaktivieren Sie in den IGW/936-FW-Einstellungen Allow ping.

   
   

3. Erstellen Sie nun eine neue Firewall-Regel mit dem Rule name IGW/935-Config.
   
   1. Wählen Sie TCP als IPv4-Transportprotokoll und tragen Sie in das Feld To port 7777ein.
   2. 
      Betätigen Sie erst Add und danach Apply.
      Nun kann vom Office-Floor-LAN aus der PC mit der IP-Adresse 192.168.178.23 die SSV/WebUI-Oberfläche des IGW/935 über den Link http://192.168.178.45:7777 erreichen.
      Mit dieser IGW/936-FW-Einstellung kann nicht nur der PC mit der IP-Adresse 192.168.178.23 auf die SSV/WebUI-Oberfläche des IGW/935 zugreifen. Auch jeder andere PC aus dem Office-Floor-LAN kann über den Link http://192.168.178.45:7777 das IGW/935-SSV/WebUI erreichen.

   
   

4. Editieren Sie den Eintrag mit dem Rule name IGW/935-Config.
   
   1. 
      Klicken Sie auf den Stift am rechten Rand des Feldes und tragen Sie in das Feld From address die IP-Adresse 192.168.178.23 ein.
   2. Betätigen Sie erst Replace und danach Apply.

Das IT-Monitoring-Programm auf dem PC mit der IP-Adresse 192.168.178.23 im Office-Floor-LAN kann nun sowohl per Ping als auch per HTTP-Request (http://192.168.178.45:7777) den Zustand des IGW/935 im Shop-Floor-LAN überwachen und bei Verfügbarkeitsproblemen eine Nachricht an den zuständigen Mitarbeiter schicken.

Beachten Sie: Mit der hier beschriebenen Firewall-Einstellung besitzt das IGW/935 im Shop-Floor-LAN keinen Zugriff mehr auf Dienste im Office-Floor-LAN wie z.B. einen im Office-Floor-LAN vorhandenen Internet-Zugang. Eine eventuell eingestellte Zeitsynchronisation des IGW/935 mit einem NTP-Server im Internet wird nun fehlschlagen.

Das IGW/935 ist innerhalb des LANs nun indirekt mit 1.000 Mbps statt mit 100 Mbps eingebunden. Die LAN1-Schnittstelle des IGW/935 unterstützt wie LAN1 des IGW/936-FW zwar nur 10 und 100 Mbps. LAN2 des IGW/936-FW ist allerdings für 10/100/1.000 Mbps geeignet.

Durch die LAN2-Verbindung des IGW/936-FW in Richtung Office-Floor-LAN präsentiert sich das IGW/935 mit der IP-Adresse 192.168.178.45 nun als LAN-Teilnehmer mit einer 1.000 Mbps-Verbindung.