Netzwerksicherheit Grundkurs

Firewall-Regeln definieren

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Einige Regeln müssen in der Firewall definiert werden, um ein L2TP/IPSec VPN im NAT-Modus durch diese leiten zu können. Das Video bietet einen detaillierten Überblick über die notwendigen Einstellungen.

Transkript

In diesem Video möchte ich Ihnen zeigen, wie wir pfSense, die Firewall, so parametrieren, damit wir von unserem Client S3 über die Firewall zu unserem Rechner S1 gelangen, um dort die Möglichkeit zu haben, uns über L2TP/IPsec anmelden zu können und in das Heimnetzwerk von 172.16.0.1 beziehungsweise in das Heimnetzwerk 172.16.0.0 zu gelangen. Ich melde mich mal an der Firewall an. Hier sehen wir, ich besitze bei der Firewall zwei Netzwerkkarten. Bei diesen Netzwerkkarten haben wir einmal die Verbindung ins WAN. Das ist die 10.0.0.1. Zum anderen haben wir die Verbindung ins LAN, das ist die 192.168.1.2. In unserem Fall haben wir eine NAT-Firewall. Sie müssen also in der Lage sein, zwischen dem Zehner-Netzwerk und dem Netzwerk 192.168.1... zu vermitteln. VPNs tun sich in der Regel sehr schwer mit NAT-Firewalls. Es sei denn, man richtet die Firewall richtig ein und kann die Situationen so dennoch transferieren. Was dazu nötig ist, zeige ich Ihnen jetzt, indem ich hier bei der Firewall auf den Punkt NAT gehe. Der Punkt VPN ist für uns in diesem Moment uninteressant. da wir den Endpunkt nicht an der Firewall haben, sondern der VPN-Endpunkt in diesem Falle auf unserem Server S1 liegt. HIer haben wir zwei Stellen, die für uns von Relevanz sind. Zum einen haben wir NAT. Hier werden die sogenannten NAT-Weiterleltungsregeln definiert. Hier haben wir Roles, die Firewall-Rollen. In unserem Fall müssen wir in Roles eigentlich nichts tun. denn pfSense ist so intelligent und sagt sich, Wenn ihr schon die NAT-Regeln definiert, definiere ich für euch auch gleich die passenden Firewall-Rollen. Von daher müssen wir das nicht einrichten. Ob das bei Ihnen und Ihrer Firewall genau so ist, müssen Sie im Einzelfall nachprüfen. Ich gehe mal auf NAT. Wir sehen hier vier Regeln. Ich habe die Regeln alle schon eingerichtet, da sonst die Vertipp-Rate zu hoch wird. Zwei sind aktiviert, zwei sind nicht aktiviert. Warum? Das erkläre ich Ihnen gleich. Fangen wir mal mit den Informationen an, die wir in dieser Regel sehen können. Wir haben zum einen 192.168.1.1. Das ist in dem Fall unser Ziel. Wir nehmen auf der 10.0.0.1 die Informationen entgegen und leiten es dann an die 192.168.1.1 weiter. Das ist quasi unser Endpunkt. Da das in jedem Fall der gleiche Endpunkt ist, haben wir bei beiden die gleichen Eintragungen. Genau so sieht es auf der Destination Address aus. Das ist der Ort, wo die Information aufläuft. Wo kommt die Information an? Das wäre in dem Fall die WAN-Adresse. Diese Information wird hier genommen und auf 192.168.1.1 weitergeleitet. Hier kann man sehen: Source Address, Source Port. Das ist in diesem Falle uninteressant. Wir lassen eh nur 500 und 4500 greifen und setzen es letztendlich um. Zum Schluss haben wir hier noch dementsprechend TCP und UCP stehen. Das ist das jeweilige Protokoll. Zum Schluss haben wir noch das Interface stehen, wo das Paket aufläuft. Man könnte in unserem Fall die Zehner-Adresse eintragen. Da wir aber davon ausgehen können, dass diese Firewall wirklich im Internet steht, und von ihrem Provider dynamisch eine Adresse zugewiesen wird, dann können wir die Adressen hier nicht fest eintragen, sondern man nimmt einfach WAN address. Wir haben dann genau die Adresse, die zu dem Zeitpunkt aktiv und gültig ist. Schauen wir uns mal so eine Einstellung an. Ich gehe auf die erste und gehe auf e für editieren. Ich schaue mir an, was hier an Informationen drin steht. Da haben wir zum einen WAN, das Interface, worüber wir kommen. Wir haben UDP, das wäre das Protokoll. Als nächstes wäre da Destination. Dort wo es quasi aufläuft. Source ist ja die Stelle, wo es weggeschickt wird und Destination ist bei uns. Wir sind ja das Ziel. In dem Fall gebe ich keine feste Adresse ein, sondern ich nehme die WAN address. Ich könnte natürlich auch Single Host sagen. Dann gäbe es die Möglichkeit, hier die Zehner-Adresse einzutragen. Aber WAN address passt an der Stelle immer. Deswegen lassen wir sie dort stehen. Destination Port Range. Das wäre die Möglichkeit zu definieren, um welchen Port es sich handelt. Was für einen Port möchte ich denn hier gern durchreichen. Das ist hier der Port 500. Bei pfSense definiert als ISAKMP. Man könnte den Port auch von Hand eintragen. Da gibt es dann Any Ports oder Special Ports. Dann kann man das festlegen. Dann haben wir Redirect Target. Wo schaffe ich die Informationen hin? Das wäre bei uns die 192.168.1.1. Die Frage ist natürlich, wo landet das Ganze? Auf dem gleichen Port. Man könnte hier – wir machen das in unserem Falle natürlich nicht – aber man könnte hier auch eine Verschiebung stattfinden lassen. Zum Beispiel kämen Sie an Port 80 an und würden auf Port 100 weitergehen. In unserem Falle lassen wir alles so, wie es ist. Wir laufen auf dem Port 500 ein und gehen weiter zu unserem Rechner 192.168.1.1, und werden dort auf Port 500 ankommen.

Netzwerksicherheit Grundkurs

Machen Sie sich mit den grundlegenden Konzepten der Netzwerksicherheit vertraut und erfahren Sie, wie Sie Ihre Kenntnisse unter Windows, OS X und Linux praktisch umsetzen können.

11 Std. 47 min (142 Videos)
Derzeit sind keine Feedbacks vorhanden...

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!