Konfiguracja zapory ogniowej w trybie zaawansowanym na

Konfiguracja zapory ogniowej w trybie zaawansowanym na module SCALANCE S623 1. Konfiguracja SCALANCE S jako zapora ogniowa i router NAT... 2 1.1 Wstęp... 2 1.2 Konfiguracja IP urządzeń klasy PC... 2 1.3 Tworzenie nowego projektu w Security Configuration Tool... 2 1.4 Konfiguracja trybu pracy NAT router... 3 1.5 Konfiguracja zapory ogniowej... 6 1.6 Wgrywanie konfiguracji do modułu zabezpieczającego... 7 1.7 Testowanie funkcjonalności NAT router i logowania danych... 8 2. Konfiguracja SCALANCE S jako zapora pomiędzy siecią zewnętrzną a DMZ... 11 2.1 Wstęp... 11 2.2 Konfiguracja IP urządzeń... 11 2.3 Tworzenie nowego projektu w Security Configuration Tool... 12 2.4 Konfiguracja zapory sieciowej... 12 2.5 Wgrywanie konfiguracji do modułu zabezpieczającego... 13 3. Konfiguracja SCALANCE S jako zapory pomiędzy siecią zewnętrzną i wewnętrzną z wykorzystaniem użytkowników... 15 3.1 Przegląd... 15 3.2 Konfiguracja IP urządzeń klasy PC... 16 3.3 Tworzenie nowego projektu w Security Configuration Tool... 16 3.4 Tworzenie użytkowników zdalnego dostępu... 16 3.5 Ustawianie reguł i przypisywanie do niej użytkownika... 17 3.6 Wgrywanie konfiguracji do modułu zabezpieczającego... 18 3.7 Logowanie się do strony Web... 19 3.8 Testowanie funkcjonowania zapory sieciowej... 19 Słownik Użycie terminów interfejs i port: W tym dokumencie używane będą następujące terminy dotyczące portów modułów zabezpieczeń: Interfejs zewnętrzny : External port modułu S623 Interfejs wewnętrzny : Internal port modułu S623 Interfejs DMZ : Port DMZ modułu S623 Termin port będzie używany gdy będziemy skupiać się na porcie danego interfejsu.

1. Konfiguracja SCALANCE S jako zapora ogniowa i router NAT 1.1 Wstęp W tym przykładzie będziemy konfigurować moduł w tryb NAT router. Dzięki tej konfiguracji dochodzi do sytuacji w której wszystkie pakiety wysłane z wewnętrznej podsieci do sieci zewnętrznej przechodzą przez zaporę ogniową. Pakiety te przekazywane są na zewnątrz z adresem IP zmienionym na adres IP modułu zabezpieczeń i z dynamicznie dobieranym numerem portu. Tylko odpowiedzi na te pakiety są przepuszczane do sieci wewnętrznej. Większość systemów korzystających z NAT ma na celu umożliwienie dostępu wielu hostom w sieci prywatnej do Internetu przy wykorzystaniu pojedynczego publicznego adresu IP. Wizualizacja połączenia: Internal Network wewnętrzna sieć połączona do interfejsu wewnętrznego modułu zabezpieczeń W tym przypadku do tej sieci podłączony jest komputer klasy PC Security module moduł SCALANCE S zabezpieczający sieć wewnętrzną External Network zewnętrzna sieć połączona do interfejsu zewnętrznego modułu zabezpieczeń W tym przypadku do tej sieci podłączony jest komputer klasy PC z zainstalowanym oprogramowaniem Security Configuration Tool 1.2 Konfiguracja IP urządzeń klasy PC Na czas testów komputerom przypisano następujące adresy IP: PC Adres IP Maska podsieci Brama domyślna PC1 192.168.10.100 255.255.255.0 192.168.10.1 PC2 172.10.10.100 255.255.255.0 172.10.10.1 1.3 Tworzenie nowego projektu w Security Configuration Tool 1. Zainstaluj i uruchom Security Configuration Tool na PC1 2. Wybierz Project -> New z paska menu

3. W oknie które się pojawi utwórz nowego użytkownika podając jego nazwę i hasło. Rola administratora zostanie przydzielona do tego użytkownika automatycznie 4. Potwierdź wprowadzone dane przyciskiem OK.. Rezultat: Nowy projekt został założony, otworzy się nowe okno dialogowe 5. Wybierz następujące opcje: Product type: SCALANCE S Module : S623 Firmware release: V3 6. W polu MAC address wpisz adres MAC w wymaganym formacie Adres MAC jest nadrukowany na przodzie modułu SCALANCE S. 7. W polu IP address(ext.) wpisz zewnętrzny adres IP (192.168.10.1), a w polu Subnet mask(ext.) zewnętrzną maskę podsieci (255.255.255.0) i potwierdź przyciskiem OK.. 1.4 Konfiguracja trybu pracy NAT router Aktywacja trybu routera 1. Przejdź do trybu widoku zaawansowanego używając skrótu klawiszowego Ctrl + E lub z paska menu wybierając View -> Advanced mode 2. Wybierz swój moduł zabezpieczeń, który uprzednio został utworzony 3. Przejdź do właściwości tego modułu korzystając ze skrótu klawiszowego F4 lub z paska menu wybierając Edit -> Properties 4. Z listy rozwijalnej Interface routing external/internal wybierz Routing mode 5. W obszarze Internal (P2) wypełnij następujące pola: - IP address: 172.10.10.1 (adres IP urządzenia podłączonego pod port Internal ) - Subnet mask: 255.255.255.0 (maska podsieci wewnętrznej) 6. Zatwierdź zmiany naciskając przycisk Apply

Aktywacja trybu NAT router dla sieci wewnętrznej 1. Przejdź do zakładki NAT/NAPT. 2. Zaznacz pole wyboru Activate NAT 3. W obszarze poświęconym NAT naciśnij przycisk Add W zależności od tego co chcesz osiągnąć masz do wyboru trzy opcje wypełniania tych pól 1. Dst-NAT (from external) przekierowanie Pole Przyjmowane wartości Opis External IP address Adres IP sieci zewnętrznej Korzystając z dynamicznego przydzielania adresów, ten typ translacji nie będzie działał! Adres IP docelowy w sieci zewnętrznej przez który sieć wewnętrzna będzie się łączyła. Jeżeli adres docelowy w przesyłanej ramce będzie się zgadzał z wprowadzonym adresem, adres ramki zostanie zastąpiony odpowiadającym mu wewnętrznym adresem IP Jeżeli wprowadzony w to pole adres nie będzie adresem IP modułu zabezpieczeń, stanie się aliasem adresu. Oznacza to, że wprowadzony adres zostanie zarejestrowany jako adres na danym porcie. Upewnij się, że żaden adres IP w sieci nie będzie powodował konfliktów z tym adresem.

Internal IP address Adres IP urządzenia sieci wewnętrznej Adres docelowy zostanie zamieniony przez adres podany w tym polu. Translacja adresów w tym przypadku odbywa się tylko przy transferze danych z sieci zewnętrznej do wewnętrznej. 2. Src-NAT (to external) maskarada Pole Przyjmowane wartości Opis External IP address Adres IP sieci zewnętrznej Internal IP address Adres IP modułu zabezpieczającego, gdy dezaktywujemy opcję Allow all internal nodes access to the outside Korzystając z dynamicznego przydzielania adresów, zostawiamy to pole puste! Adres IP urządzenia sieci wewnętrznej Adres IP, który zostanie użyty jako nowy adres źródłowy IP. Jeżeli wprowadzony w to pole adres nie będzie adresem IP modułu zabezpieczeń, stanie się aliasem adresu. Oznacza to, że wprowadzony adres zostanie zarejestrowany jako adres na danym porcie. Upewnij się, że żaden adres IP w sieci nie będzie powodował konfliktów z tym adresem. Źródłowy adres IP urządzenia sieci wewnętrznej o danym adresie IP jest zamieniany na adres podany w polu wyżej. Podsieć lub zakres adresów IP Źródłowy adres IP z podanej podsieci lub podanego zakresu adresów IP zostaje zamieniony na adres podany w polu wyżej. Port źródłowy również jest zamieniany 3. Src-NAT + Dst-NAT (external) Pole Przyjmowane wartości Opis External IP address Adres IP sieci zewnętrznej Korzystając z dynamicznego przydzielania adresów, ten typ translacji nie będzie działał! Zakres adresów IP oddzielamy kreską (np.192.168.0.1 192.168.0.255) Ten typ translacji jest koniunkcją dwóch poprzednich, także zachowują się dokładnie tak samo dla danego ruchu sieciowego. Internal IP address Adres IP urządzenia sieci wewnętrznej W naszym przykładzie będziemy korzystać z opcji nr 2 Src-NAT (to external) czyli będziemy tworzyć maskaradę. 4. Wypełnij poniższe pola zgodnie z wytycznymi: - External IP address : 192.168.10.1 - Internal IP address: 172.10.10.1 - Direction: Src-NAT (to external)

Dzięki temu została automatycznie utworzona reguła zapory ogniowej, która pozwala na komunikację w skonfigurowanym kierunku translacji adresów. W następnym kroku zmienimy tą regułę ograniczając dozwolone docelowe adresy IP tylko do adresu PC1. Jeżeli jednak reguła nie została z jakichś powodów automatycznie utworzona, został opisany sposób jej utworzenia 1.5 Konfiguracja zapory ogniowej 1. Przejdź do zakładki Firewall 2. Utwórz nową regułę klikając przycisk Add rule 3. Wypełnij poniższe pola: - Action: Allow - From: Internal - To: External - Source IP address: (puste) - Destination IP address: 192.168.10.100 - Service: all - Logging: zaznacz (w celu logowania wszystkich pakietów które korzystają z tej reguły) 4. Zatwierdź zmiany poprzez naciśnięcie przycisku Apply.

5. Zamknij okno dialogowe klikając przycisk OK. 1.6 Wgrywanie konfiguracji do modułu zabezpieczającego 1. Wybierz moduł zabezpieczeń, do którego chcesz wgrać konfigurację 2. Z paska menu wybierz Transfer -> To module(s)

Z listy rozwijalnej Network adapter wybierz kartę sieciową do której podpięty jest moduł zabezpieczeń i naciśnij OK. 3. Jeżeli adres IP się zgadza, naciśnij przycisk Start. 4. Jeżeli wgrywanie konfiguracji zakończyło się sukcesem, moduł SCALANCE S jest automatycznie restartowany i aktywowana jest nowa konfiguracja. W tym momencie SCALANCE S działa produktywnie. Sygnalizowane jest to zmianą koloru lampki Fault na zielony. 1.7 Testowanie funkcjonalności NAT router i logowania danych W jaki sposób można przetestować skonfigurowaną funkcjonalność? Można to zrobić poprzez komendę ping. Jako alternatywę, możesz również użyć innych programów komunikacyjnych, aby przetestować zaporę ogniową. Uwaga! W systemach Windows, zapora ogniowa może zostać skonfigurowana w taki sposób, że komenda ping jest blokowana. Testowanie faza 1 Przetestujmy funkcję NAT router z sieci wewnętrznej do sieci zewnętrznej: 1. Na PC2 uruchom wiersz poleceń (W+R, wpisujemy cmd i naciskamy OK. ) 2. Wywołaj polecenie Ping z PC2 do PC1 wpisując w wiersz poleceń ping 192.168.10.100 Pozytywna odpowiedź powinna wyglądać tak:

Pakiety IP dotarły do PC1, Ping statistics powinno zawierać: Sent = 4 Received = 4 Lost = 0 (0% loss) Testowanie faza 2 ewaluacja wyników 1. Zmień tryb pracy Security Configuration Tool na online skrótem klawiszowym Ctrl + D lub wybierając View -> Online z paska menu. 2. Z paska menu wybierz Edit -> Online diagnostics 3. Wybierz zakładkę Packet filter log 4. Naciśnij przycisk Start reading 5. Zatwierdź przyciskiem OK. nowe okno dialogowe Wpisy dziennika zdarzeń zostały wczytane i wyświetlone.

Opis: Wpis nr 1, 3, 5 i 7 Adresy IP pakietów przesyłanych z PC2 do PC1 są przekazywane poprzez interfejs zewnętrznej sieci z adresem IP interfejsu zewnętrznego modułu zabezpieczeń (192.168.10.1). Odpowiada to oczekiwanej translacji adresów (dodatkowa zmiana portu jest tutaj niewidoczna). Wpis nr 2, 4, 6 i 8 Pakiety odpowiedzi wyświetlone są jako adres docelowy dla danego węzła w podsieci wewnętrznej (PC2: 172.10.10.100)

2. Konfiguracja SCALANCE S jako zapora pomiędzy siecią zewnętrzną a DMZ 2.1 Wstęp W tym przykładzie użyjemy Software Configuration Tool w celu utworzenia zasady zapory ogniowej pozwalającej na dostęp z PC podłączonego do sieci zewnętrznej do serwera Web w sieci DMZ. Dostęp do sieci wewnętrznej pozostaje zablokowany. DMZ, to strefa zdemilitaryzowana bądź ograniczonego zaufania - jest to wydzielany na zaporze ogniowej obszar sieci komputerowej nienależący ani do sieci wewnętrznej, ani do sieci zewnętrznej. W strefie zdemilitaryzowanej umieszczane są serwery "zwiększonego ryzyka włamania", przede wszystkim serwery świadczące usługi użytkownikom sieci zewnętrznej, którym ze względów bezpieczeństwa nie umożliwia się dostępu do sieci wewnętrznej (najczęściej są to serwery WWW i FTP). Wizualizacja połączenia: 2.2 Konfiguracja IP urządzeń Na czas testów komputerom przypisano następujące adresy IP: Urządzenie Adres IP Maska podsieci Brama domyślna PC1 192.168.2.100 255.255.255.0 192.168.2.1 PC2 192.168.1.100 255.255.255.0 192.168.1.1 Serwer Web 192.168.3.100 255.255.255.0 192.168.3.1

2.3 Tworzenie nowego projektu w Security Configuration Tool 1. Zainstaluj i uruchom Security Configuration Tool na PC2 2. Wybierz Project -> New z paska menu 3. W oknie które się pojawi utwórz nowego użytkownika podając jego nazwę i hasło. Rola administratora zostanie przydzielona do tego użytkownika automatycznie 4. Potwierdź wprowadzone dane przyciskiem OK.. Rezultat: Nowy projekt został założony, otworzy się nowe okno dialogowe 5. Wybierz następujące opcje: Product type: SCALANCE S Module : S623 Firmware release: V3 6. W polu MAC address wpisz adres MAC w wymaganym formacie Adres MAC jest nadrukowany na przodzie modułu SCALANCE S. 7. W polu IP address(ext.) wpisz zewnętrzny adres IP (192.168.1.1), a w polu Subnet mask(ext.) zewnętrzną maskę podsieci (255.255.255.0). 8. Z listy rozwijalnej Interface routing external/internal wybierz opcję Routing mode 9. Wprowadź internal IP address (192.168.2.1) i internal subnet mask(255.255.255.0) i naciśnij OK. 10. Zaznacz moduł zabezpieczeń i przejdź do jego właściwości korzystając ze skrótu klawiszowego F4 lub z paska menu wybierz Edit -> Properties 11. W zakładce Interfaces, w obszarze DMZ port (P3) zaznacz pole Activate interface. Po odblokowaniu pól dodaj adres IP (192.168.3.1) oraz maskę podsieci (255.255.255.0) 12. Zatwierdź zmiany klikając przycisk OK. 2.4 Konfiguracja zapory sieciowej 1. Zaznacz moduł zabezpieczeń i przejdź do jego właściwości korzystając ze skrótu klawiszowego F4 lub z paska menu wybierz Edit -> Properties 2. Przejdź do zakładki Firewall 3. Dodaj nową regułę klikając przycisk Add rule i skonfiguruj ją według poniższych wytycznych: - Action : Allow - From: External

- To: DMZ - Destination IP address: 192.168.3.100 4. Naciśnij przycisk Apply w celu zatwierdzenia zmian i następnie przycisk IP services. 5. W nowym oknie dialogowym kliknij przycisk Add IP service i skonfiguruj nowy wpis zgodnie z poniższymi wytycznymi: - Name: ServiceHTTP - Protocol : tcp - Source port: * (gwiazdka oznacza wszystkie adresy) - Target port: 80 Powinno to wyglądać tak: 6. Zamknij okno dialogowe naciskając przycisk OK. 7. Dla reguły zapory ogniowej, która została stworzona, wybierz IP Service, który właśnie został zdefiniowany, z listy rozwijalnej w kolumnie Service. 8. Zamknij okno dialogowe naciskając przycisk OK. 2.5 Wgrywanie konfiguracji do modułu zabezpieczającego 1. Wybierz moduł zabezpieczeń, do którego chcesz wgrać konfigurację 2. Z paska menu wybierz Transfer -> To module(s)

Z listy rozwijalnej Network adapter wybierz kartę sieciową do której podpięty jest moduł zabezpieczeń i naciśnij OK. 3. Jeżeli adres IP się zgadza, naciśnij przycisk Start. 4. Jeżeli wgrywanie konfiguracji zakończyło się sukcesem, moduł SCALANCE S jest automatycznie restartowany i aktywowana jest nowa konfiguracja. W tym momencie SCALANCE S działa produktywnie. Sygnalizowane jest to zmianą koloru lampki Fault na zielony.

3. Konfiguracja SCALANCE S jako zapory pomiędzy siecią zewnętrzną i wewnętrzną z wykorzystaniem użytkowników 3.1 Przegląd W tym przykładzie stworzymy zasadę opartą na użytkownikach i przypiszemy do niej użytkownika. Utworzony użytkownik będzie miał dostęp do PC2 w sieci wewnętrznej z PC1 znajdującym się w sieci zewnętrznej. Jednakże, dla innych użytkowników dostęp pozostanie zablokowany. Wizualizacja połączenia: Internal Network wewnętrzna sieć połączona do interfejsu wewnętrznego modułu zabezpieczeń W tym przypadku do tej sieci podłączony jest komputer klasy PC Security module moduł SCALANCE S zabezpieczający sieć wewnętrzną External Network zewnętrzna sieć połączona do interfejsu zewnętrznego modułu zabezpieczeń W tym przypadku do tej sieci podłączony jest komputer klasy PC z zainstalowanym oprogramowaniem Security Configuration Tool

3.2 Konfiguracja IP urządzeń klasy PC Na czas testów komputerom przypisano następujące adresy IP: PC Adres IP Maska podsieci Brama domyślna PC1 192.168.1.100 255.255.255.0 192.168.1.1 PC2 192.168.2.100 255.255.255.0 192.168.2.1 3.3 Tworzenie nowego projektu w Security Configuration Tool 1. Zainstaluj i uruchom Security Configuration Tool na PC1 2. Wybierz Project -> New z paska menu 3. W oknie które się pojawi utwórz nowego użytkownika podając jego nazwę i hasło. Rola administratora zostanie przydzielona do tego użytkownika automatycznie 4. Potwierdź wprowadzone dane przyciskiem OK.. Rezultat: Nowy projekt został założony, otworzy się nowe okno dialogowe 5. Wybierz następujące opcje: Product type: SCALANCE S Module : S623 Firmware release: V3 6. W polu MAC address wpisz adres MAC w wymaganym formacie Adres MAC jest nadrukowany na przodzie modułu SCALANCE S. 7. W polu IP address(ext.) wpisz zewnętrzny adres IP (192.168.1.1), a w polu Subnet mask(ext.) zewnętrzną maskę podsieci (255.255.255.0). 8. Z listy rozwijalnej Interface routing external/internal wybierz opcję Routing mode 9. Wprowadź internal IP address (192.168.2.1) i internal subnet mask(255.255.255.0) i naciśnij OK. 3.4 Tworzenie użytkowników zdalnego dostępu 1. Z paska menu wybierz Options -> User management 2. W zakładce user naciśnij przycisk Add 3. Utwórz nowego użytkownika według poniższych wytycznych: - User name: Remote - Assigned role: remote access

4. Zamknij okno dialogowe klikając OK. 5. Zamknij zarządzanie użytkownikami klikając OK. 3.5 Ustawianie reguł i przypisywanie do niej użytkownika 1. Przejdź do trybu widoku zaawansowanego używając skrótu klawiszowego Ctrl + E lub z paska menu wybierając View -> Advanced mode 2. Z paska nawigacyjnego umieszczonego po prawej stronie okna wybierz User-specific IP rule sets i naciśnij prawym klawiszem myszy 3. Wybierz Insert rule set z menu. 4. W nowym oknie dialogowym dodaj nową zasadę do grupy zasad, klikając przycisk Add Rule, zgodnie z poniższymi wytycznymi: - Action: Allow - From: External - To: Internal - Destination IP address: 192.168.2.100 5. Z listy Available users: wybierz użytkownika, którego wcześniej utworzyłeś (w tym przypadku Remote ) i klikając przycisk Add dodaj go do listy użytkowników przypisanych do tej grupy reguł.

6. Zamknij okno dialogowe klikając OK. Przypisywanie grupy reguł do modułu zabezpieczającego 1. Zaznacz moduł zabezpieczeń i przejdź do jego właściwości korzystając ze skrótu klawiszowego F4 lub z paska menu wybierz Edit -> Properties 2. Przejdź do zakładki Firewall 3. Naciśnij przycisk Add rule sets 4. W nowo otwartym oknie dialogowym wybierz zestaw reguł, który właśnie został utworzony i zatwierdź przyciskiem Add 5. Jeśli naciśniesz przycisk Expand rule sets możesz podejrzeć szczegóły zestawu reguł 3.6 Wgrywanie konfiguracji do modułu zabezpieczającego 1. Wybierz moduł zabezpieczeń, do którego chcesz wgrać konfigurację 2. Z paska menu wybierz Transfer -> To module(s)

Z listy rozwijalnej Network adapter wybierz kartę sieciową do której podpięty jest moduł zabezpieczeń i naciśnij OK. 3. Jeżeli adres IP się zgadza, naciśnij przycisk Start. 4. Jeżeli wgrywanie konfiguracji zakończyło się sukcesem, moduł SCALANCE S jest automatycznie restartowany i aktywowana jest nowa konfiguracja. W tym momencie SCALANCE S działa produktywnie. Sygnalizowane jest to zmianą koloru lampki Fault na zielony. 3.7 Logowanie się do strony Web 1. W przeglądarce internetowej PC1, wpisz adres https://192.168.1.1 i przejdź do niego. 2. W następującym oknie, wpisz nazwę użytkownika (w tym przypadku Remote ) i odpowiadające mu hasło. Następnie naciśnij przycisk Log in 3. Zdefiniowany zestaw reguł dla użytkownika Remote zapewnia mu dostęp z PC1 znajdującym się w sieci zewnętrznej do PC2, który jest podłączony do sieci wewnętrznej. 3.8 Testowanie funkcjonowania zapory sieciowej W jaki sposób można przetestować skonfigurowaną funkcjonalność? Można to zrobić poprzez komendę ping. Jako alternatywę, możesz również użyć innych programów komunikacyjnych, aby przetestować zaporę ogniową. Uwaga! W systemach Windows, zapora ogniowa może zostać skonfigurowana w taki sposób, że komenda ping jest blokowana.

Testowanie 1. Na PC1 uruchom wiersz poleceń (W+R, wpisujemy cmd i naciskamy OK. ) 2. Wywołaj polecenie Ping z PC1 do PC2 wpisując w wiersz poleceń ping 192.168.2.100 Pozytywna odpowiedź powinna wyglądać tak: Pakiety IP dotarły do PC2, Ping statistics powinno zawierać: Sent = 4 Received = 4 Lost = 0 (0% loss) Dzięki takiej konfiguracji sieci, pakiety pochodzące z sieci zewnętrznej są przepuszczane do sieci wewnętrznej, ale tylko dla zdefiniowanego użytkownika. PC w sieci wewnętrznej odpowiada na pakiety typu ping. Dzięki funkcji stateful inspection na zaporze sieciowej, pakiety odpowiedzi przychodzące z sieci wewnętrznej są automatycznie przepuszczane do sieci zewnętrznej.