Bezpieczeństwo w M875 1. Reguły zapory sieciowej Funkcje bezpieczeństwa modułu M875 zawierają Stateful Firewall. Jest to metoda filtrowania i sprawdzania pakietów, która polega na analizie nagłówków pakietów przechodzących przez zaporę sieciową pod kątem, czy pakiety te są przesyłane przez aplikacje dopuszczone do ruchu sieciowego. W zależności od wyniku tejże analizy pakiety są przepuszczane lub odrzucane. Nagłówki pakietów są sprawdzane na podstawie reguł zapory sieciowej, wśród których wyróżniamy: Dozwolone protokoły Adresy IP oraz porty dozwolonych nadawców Adresy IP oraz porty dozwolonych odbiorców Jeżeli pakiet pasuje do zdefiniowanego parametru, dostaje pozwolenie na przejście przez zaporę sieciową. Reguły określają również sposób postępowania z pakietami, które nie dostały zgody na przejście przez zaporę sieciową. Techniki prostego filtrowania pakietów wymagają dwóch reguł zapory sieciowej na jedno połączenie: Jedna zasada dla zapytania od nadawcy do odbiorcy Druga zasada dla odpowiedzi od odbiorcy do nadawcy Dzięki Stateful Firewall koniecznym jest zdefiniowanie tylko jednej reguły zapory sieciowej dla zapytania od nadawcy do odbiorcy. Druga reguła dodawana jest domyślnie. Filtr pakietów rozpoznaje kiedy, na przykład, komputer A komunikuje się z komputerem B i tylko wtedy pozwala na odpowiedzi. Kiedy odpowiedź dotrze do komputera A lub zostanie przekroczony zdefiniowany czas na odpowiedź, żadne kolejne pakiety z komputera B nie dostaną zgody na przejście przez zaporę sieciową. Dlatego zapytanie z komputera B nie będzie możliwe bez uprzedniego żądania wysyłanego z komputera A. Dzięki specjalnej procedurze możliwe jest przepuszczanie pakietów UDP i ICMP, nawet gdy nie zostało wysłane żądanie otrzymania tych pakietów. W panelu nawigacyjnym wybierz Security -> Firewall rules
Tworzenie reguł zapory sieciowej Incoming firewall rules W domyślnych ustawieniach, nie są zdefiniowane żadne reguły zapory sieciowej. Oznacza to, że żadne pakiety IP nie dostają pozwolenia na przejście przez zaporę. Aby zdefiniować reguły zapory sieciowej, naciśnij przycisk New w obu obszarach incoming firewall rules oraz outgoing firewall rules. W tym obszarze definiujemy co dzieje się z pakietami przychodzącymi z sieci zewnętrznej. Nadawca pakietów liczy się jako źródło, natomiast aplikacje lokalne na M875 liczą się jako miejsce docelowe. Następujące wpisy są wymagane: Protocol Wybierz protokół z listy rozwijalnej dla którego dana reguła będzie znajdowała zastosowanie. Możliwe są następujące opcje: - All (TCP + UDP) - TCP - UDP - ICMP From IP address Wprowadź adres lub zakres adresów IP zewnętrznych stacji zdalnych, z których pakiety IP będą odbierane. W celu zdefiniowania zakresu adresów, użyj notacji CIDR. From port Zdefiniuj port z którego pakiety IP mogą być odbierane. Ta informacja ma znaczenie tylko w przypadku kiedy wybraliśmy protokół TCP, UDP lub All
Outgoing firewall rules To IP address Wprowadź adres lub zakres adresów IP zewnętrznych stacji zdalnych, do których możemy wysyłać pakiety. W celu zdefiniowania zakresu adresów, użyj notacji CIDR. To port Zdefiniuj port na który pakiety IP mogą być wysyłane. Ta informacja ma znaczenie tylko w przypadku kiedy wybraliśmy protokół TCP, UDP lub All Action Z listy rozwijalnej wybierz jedną z następujących czynności, która zdefiniuje co stanie się z przychodzącymi pakietami IP: - Allow: Pakiety IP mogą przechodzić przez zaporę sieciową - Reject: Pakiety IP są odrzucane, i wysyłający otrzymuje odpowiedni komunikat - Discard: Pakiety danych są usuwane bez żadnego powiadomienia wysyłającego Log Dla każdej reguł zapory ogniowej, można określić czy zdarzenia będą logowane w logu zapory sieciowej, jeżeli reguła zadziała. Log entries for unknown incoming connection attempts Zdefiniuj czy próby połączenia nie pokrywające się z żadną regułą będą logowane. W tym obszarze, zdefiniuj co stanie się z pakietami wysyłanymi z sieci lokalnej. Aplikacja lokalna podłączona do M875 wysyłająca pakiety IP liczy się jako źródło. Zewnętrzna stacja zdalna, na przykład w Internecie, liczy się jako miejsce docelowe. Protocol Wybierz protokół z listy rozwijalnej dla którego dana reguła będzie znajdowała zastosowanie. Możliwe są następujące opcje: - All (TCP + UDP) - TCP - UDP - ICMP From IP address Wprowadź adres lub zakres adresów IP aplikacji lokalnej, który może wysyłać pakiety IP do sieci zewnętrznej. W celu zdefiniowania zakresu adresów, użyj notacji CIDR. From port Zdefiniuj port z którego aplikacje lokalne mogą wysyłać pakiety IP. Ta informacja ma znaczenie tylko w przypadku kiedy wybraliśmy protokół TCP, UDP lub All
To IP address Wprowadź adres lub zakres adresów IP zewnętrznych stacji zdalnych do których pakiety IP mogą zostać wysłane. W celu zdefiniowania zakresu adresów, użyj notacji CIDR. To port Zdefiniuj port do którego partner zewnętrzny może wysyłać pakiety IP. Ta informacja ma znaczenie tylko w przypadku kiedy wybraliśmy protokół TCP, UDP lub All Action Z listy rozwijalnej wybierz jedną z następujących czynności, która zdefiniuje co stanie się z wychodzącymi pakietami IP: - Allow: Pakiety IP mogą przechodzić przez zaporę sieciową - Reject: Pakiety IP są odrzucane, i wysyłający otrzymuje odpowiedni komunikat - Discard: Pakiety danych są usuwane bez żadnego powiadomienia wysyłającego Log Dla każdej reguły zapory ogniowej, można określić czy zdarzenia będą logowane w logu zapory sieciowej, jeżeli reguła zadziała. Log entries for unknown outgoing connection attempts Zdefiniuj czy próby połączenia nie pokrywające się z żadną regułą będą logowane. 2. Przekierowanie portów Kolejną funkcją bezpieczeństwa M875 jest przekierowanie portów. Konieczne będzie także utworzenie reguł dla przekierowania portów. Kiedy przychodzi ramka z sieci zewnętrznej na określony port, nagłówek ramki zostaje zmieniony. Dzięki zasadom przekierowania portów, ramka może być przekazana na zdefiniowany adres IP na zdefiniowany port Metoda ta znana jest również jako destination NAT. Przekierowanie portów może być skonfigurowane dla protokołów TCP lub UDP. Uwaga! Reguły zapory sieciowej dla przekierowania portów Dla ramek przychodzących, które mają zostać przekserowane na określony adres IP w sieci lokalnej, musisz utworzyć odpowiednią regułę zapory sieciowej dla tego adresu IP (incoming firewall rule). W panelu nawigacyjnym wybierz Security -> Port forwarding
List of rulet for forwarding Opierając się na poniższych parametrach, zdefiniuj regułę przekierowania portów. Aby dodać kolejną regułę, naciśnij przycisk New. Aby usunąć istniejącą regułę, naciśnij przycisk Delete Zapisz zmiany klikając przycisk Save Protocol Wybierz protokół z listy rozwijalnej dla którego dana reguła będzie obowiązywała. Możliwe są następujące opcje: - TCP - UDP Arrives at port Określ port na który przychodzą ramki do przekierowania z sieci zewnętrznej. Is forwarded to IP address Określ aplikację lokalną do której będą przekazywane przychodzące ramki. Is forwarded to port Określ port aplikacji lokalnej na który przekazywane będą pakiety. Log entry Dla każdej reguły przekierowania portów, można określić czy zdarzenia będą logowane w logu zapory sieciowej, jeżeli reguła zadziała. 3. Zaawansowane funkcje zabezpieczeń Zaawansowane funkcje zabezpieczeń służą zabezpieczeniu M875 i podłączonych do niego aplikacji lokalnych przeciw atakom. Przyjęto, że w czasie normalnej pracy, pewna liczba połączeń lub pakietów typu ping nie będzie przekroczona. Określono górny limit dla pakietów wychodzących i przychodzących. Jeżeli określony limit zostanie przekroczony, wszystkie dalsze pakiety zostaną odrzucone. W panelu nawigacyjnym wybierz Security -> Advanced Settings. Pojawi się następujące okno.
Ustawienia domyślne zostały dobrane w taki sposób, by nigdy nie zostały osiągnięte w przypadku pracy normalnej. Jednakże jeżeli wystąpiłby atak, górne limity powinny zostać z łatwością przekroczone. Jeżeli występują specjalne wymagania w Twoim środowisku operacyjnym, wprowadź odpowiednie wartości w następujących polach. Poniżej przedstawiono wartości domyślne dla każdej z opcji: Maximum number of new incoming TCP connections per second: 25 (Maksymalna liczba nowych, przychodzących połączeń TCP na sekundę) Maximum number of new outgoing TCP connections per second: 75 (Maksymalna liczba nowych, wychodzących połączeń TCP na sekundę) Maximum number of new incoming ping packets per second: 3 (Maksymalna liczba nowych, przychodzących pakietów ping na sekundę) Maximum number of new outgoing ping packets per second: 5 (Maksymalna liczba nowych, wychodzących pakietów ping na sekundę) External ICMP Drop External ICMP Określa co stanie się z pakietami ICMP, które zostaną wysłane z sieci zewnętrznej w kierunku M875 Uwaga! Zwiększenie kosztów ze względu na wzmożony ruch sieciowy Wysyłając i odpowiadając na pakiety ICMP, ruch sieciowy na połączeniu UMTS/GPRS jest wzmożony. Może to skutkować dodatkowymi kosztami, zależącymi od umowy użytkownika z operatorem sieci mobilnej.
Z listy rozwijalnej wybierz jedną z następujących opcji: Allow: Akceptuje i odpowiada na wszystkie typy pakietów ICMP Allow ping: Akceptuje i odpowiada na pakiety typu ping Discard: Wszystkie typy pakietów ICMP są blokowane 4. Firewall log Za każdym razem kiedy reguła zapory sieciowej znajduje zastosowanie, zostaje to odnotowane w firewall log. Aby rejestrować wykorzystania reguł zapory sieciowej musisz aktywować funkcje logowania indywidualnie dla każdej reguły zapory i każdej reguły przekierowania portów. Możesz przechowywać rejestr na Admin PC jak również podglądnąć go w edytorze tekstu. Z panelu nawigacyjnego wybierz Security -> Firewall Log. Naciśnij przycisk Download. Otworzy się okno dialogowe do zapisu pliku. Wybierz pożądaną ścieżkę zapisu i postępuj zgodnie z instrukcjami zawartymi w wyświetlanych oknach dialogowych. Uwaga! Wpisy w Firewall log są tracone jeżeli urządzenie zostanie uruchomione ponownie!