Firewall Cases
Firewall Cases In deze handleiding gaan we een aantal voorbeelden geven hoe u een bepaalde situatie kunt oplossen door middel van een aantal Filter Rules.
Situatie 1: Bedrijf U heeft van de directeur een opdracht gekregen om voor zijn bedrijf enkele firewall regels aan te maken. Het bedrijf bestaat uit 2 afdelingen; een verkoop afdeling en een support afdeling. Tevens heeft elke afdeling een afdelingshoofd. Voor de volgende groepen moet u regels aanmaken: -
Directeur: Hoofd afdeling Verkoop: Afdeling Verkoop: Hoofd afdeling Support: Afdeling Support:
192.168.1.19 192.168.1.20 192.168.1.21 t/m 192.168.1.40 192.168.1.41 192.168.1.42 t/m 192.168.1.45
De directeur wil dat de afdeling verkoop en support alleen gebruik mogen maken van poort 80. Hij wil voor zijn afdelingshoofden en zichzelf volledig toegang.
U begint met het aanmaken van verschillende IP-Objecten voor de verschillende afdelingen, dit kunt u doen bij ‘Objects Settings >> IP-Objects’. U maakt een nieuw object aan door op een bepaald nummer te klikken. Als eerste maakt u een IP-Object aan voor de directeur, zoals u ziet op onderstaande afbeelding. Hiervoor maakt u gebruik van de LAN interface, en bij Address type selecteert u ‘Single Address’.
2|
Vervolgens gaat u een IP-Object aanmaken voor de Verkoop afdeling, hierbij maakt u gebruik van een reeks IP-adressen. Bij Interface selecteert u wederom de LAN kant, aangezien de verkoop afdeling aangesloten is op het interne netwerk.
Hetzelfde doet u voor de Support afdeling, hierbij gebruikt u ook de LAN interface.
U moet nu alleen nog twee IP-Objecten aanmaken voor de afdelingshoofden, zoals u ziet op onderstaande afbeeldingen. Hierbij maakt u gebruik van een Single address.
3|
Hoofd Verkoop:
Hoofd Support:
Aangemaakte IP-Objecten:
4|
Nu we alle IP-Objecten hebben aangemaakt moeten we deze nog verdelen in een tweetal IP-Groups. De afdeling verkoop en support moeten in 1 IP-Group komen, en de Directeur en de 2 Afdelingshoofden ook.
Wanneer u de IP-Objecten correct hebt aangemaakt krijgt u bij ‘Available IP Objects’ een 5 tal IP-objecten te zien. Deze 5 IP-objecten gaat u verdelen in 2 groepen, een voor de directeur en de twee afdelingshoofden en een voor de twee afdelingen. U vult bij ‘Name’ de bijbehorende naam in en geeft bij ‘Interface’ de LAN interface op. Vervolgens selecteert u de juiste IP-Objecten en klikt op onderstaande afbeelding om ze in een groep te plaatsen.
Zoals u ziet hebben we in onderstaande afbeelding 2 IP-Groups aangemaakt. Natuurlijk heeft u de mogelijkheid om meerdere IP-Objecten en/of IP-Groupen aan te maken.
5|
Bij ‘Objects Settings’ heeft u ook de keuze om een ‘Service Type Object’ en ‘Service Type Group’ aan te maken. U kiest voor een Service Type Object. Hierin gaat u een object aanmaken voor poort 80.
Filter Setup
Na het invoeren van de IP-Objecten en groepen gaat u een filterregel aanmaken die al het verkeer blokkeert. Aangezien deze regel voor iedereen geldt hoeft u bij Source IP geen IP-adres op te geven. Bij Filter Action selecteert u ‘Block If No Further Match’
U maakt voor de directeur en zijn afdelingshoofden een nieuwe regel aan, waarin wordt vermeld dat ze een Pass Immediately krijgen op al het LAN => WAN verkeer.
6|
U maakt een nieuwe regel aan die u eerst activeert, vervolgens geeft u de juiste beschrijving op en verandert u de Direction in LAN => WAN. Deze regel heeft betrekking op de directeur en zijn afdelingshoofden, zij hebben geen restricties op het LAN => WAN verkeer, dus wordt er hier gewerkt met een ‘Pass Immediately’. Vervolgens klikt u bij Source IP op ‘Edit’, hier heeft u de mogelijkheid om bij Address Type voor ‘Group and Objects’ te kiezen.
7|
Nu hoeft u alleen nog maar een regel aan te maken voor de Verkoop & Support afdeling. Deze 2 afdelingen hebben alleen toegang tot port 80. U geeft bij Source IP de IP Group op waarin u deze 2 afdelingen heeft geplaatst.
Vervolgens selecteert u bij Service Type het aangemaakte Service Type Object. Aangezien de twee afdelingen alleen toegang tot port 80 mogen hebben.
8|
Situatie 2 : School U moet voor een basisschool enkele firewall regels aanmaken. Op deze school zijn aparte werkstations beschikbaar voor de leerlingen, leraren, directie en de administrators. Tevens zijn er enkele internet pc’s beschikbaar voor iedereen. Voor de volgende groepen moet u regels aanmaken: Directie: Administrators: Leraren: Leerlingen: Internet PC:
(10.0.0.15 – 10.0.0.25) (10.0.0.30 – 10.0.0.40) (10.0.0.50 – 10.0.0.90) (10.0.0.100 – 10.0.0.230) (10.0.0.240 – 10.0.0.250)
De volgende regels wil de school graag zien: De leerlingen mogen geen toegang tot het internet, behalve de pc’s met het IP-adres 10.0.0.240 t/m 10.0.0.250. De Leraren en de Directie hebben alleen toegang tot internet via poort 80, terwijl de administrators geen restricties hebben. U gaat wederom deze IP-adressen in objecten en groepen plaatsen. In dit geval laten we alleen het IP-Object van de Administrators zien, aangezien het aanmaken van de andere IP-Objecten vrijwel hetzelfde is als in het eerder besproken voorbeeld.
Na het aanmaken van de IP-Objecten kunt u ervoor kiezen om nog een IP-Group aan te maken. De IP-Objecten die u heeft aangemaakt voor Leraren, Directie , Internet PC kunt u in 1 groep plaatsen. U kunt er ook voor kiezen om dit achterwege te laten aangezien u in de filter regel ook IP-Objecten kunt aangeven. U gaat een Service Type Object aanmaken, aangezien u voor bepaalde afdelingen alleen poort 80 wilt toestaan.
9|
U maakt als eerste een regel aan die al het verkeer van LAN => WAN blokkeert. U hoeft bij Source IP, Destination IP en Service Type nog niks in te vullen aangezien de regel betrekking heeft tot al het verkeer.
Na het aanmaken van een Block All regel kunt u een nieuwe regel aanmaken waarin u een uitzondering maakt voor de administrators.
Bij Source IP geeft u het IP-Object op die u heeft aangemaakt, bij Destination IP en Service Type hoeft u niks op te geven. U Geeft bij Filter Action ‘Pass Immediately’ op. De Directie, Leraren en Internet PC’s hebben alleen toegang tot poort 80. Hiervoor maakt u 1 aparte filterregel aan waarbij u gebruik maakt van de actie ‘Pass Immediately’.
10 |
Directie & Leraren & Internet PC’s:
Vervolgens gaat u bij Source IP naar Edit en geeft u hier de 3 IP-objecten op die u heeft aangemaakt voor de Directie, Leraren en Internet PC’s.
11 |
Nu zult u bij Service Type alleen nog poort 80 moeten opgeven, dit kan door op ‘Edit’ te klikken en bij Service Object het eerder aangemaakte object te selecteren.
Aangezien alle werkstations van de leerlingen nergens toegang tot hebben (Block All) hoeft u hier geen regel voor aan te maken.
Situatie 3 : VPN-Remote Dial-In Users Firewall regels aanmaken voor Remote Dial-In Users. We maken hierbij gebruik van onderstaande situatie. De telewerker die inlogt op de DrayTek heeft het IP-adres 218.242.130.19 en mag alleen toegang hebben tot de server die als IP-adres 192.168.21.1/24 heeft.
IPSEC In eerste situatie hebben we een Remote Dial In profiel aangemaakt met een IPSec beveiliging. PPTP en L2TP worden later in deze handleiding uitgelegd door middel van een zelfde voorbeeld, alleen verschilt dit qua instellingen. 12 |
We beginnen met het aanmaken van een ‘Block all’ voor het IP-adres 218.242.130.19. Als eerste zet u een vinkje bij ‘Check to enable the Filter Rule’ en vult u een bijpassende naam in voor het profiel. Vervolgens geeft u de directie aan. Aangezien de telewerker vanuit huis wil inbellen op de DrayTek, gebruiken we ‘WAN=>LAN’. Bij Source IP geeft u het IP adres op van de Telewerker, en bij Destination IP-adres en Service Type geeft u aan dat het hele netwerk word geblokkeerd voor de telewerker. Selecteer vervolgens bij Filter ‘Block If No Further Match’.
13 |
Nu gaat u een nieuw filter profiel aanmaken waarin u aangeeft dat de Telewerker wel toegang heeft tot de Server (192.168.21.1/24). Doordat u hier een Pass Immediately aangeeft krijgt de telewerker wel toegang tot de Server.
PPTP/L2TP In deze tweede situatie gebruiken we precies dezelfde situatie op de IPSEC beveiliging na.
14 |
Wederom gaat u twee filter regels aan maken. Als eerste maakt u een ‘Block All’ regel aan voor al het verkeer dat van het IP-adres 192.168.21.0 naar het interne netwerk verloopt. Wat u misschien wel opvalt is dat het ‘Source IP’ hier niet het IP-adres van de laptop bevat maar het interne IP-adres dat de gebruiker krijgt van de DrayTek. Verder is alles hetzelfde geconfigureerd als de IPSec regel die u net heeft aangemaakt.
Het enige wat rest is het aanmaken van een Pass regel voor het server IP-adres, zodat de telewerker alleen toegang heeft tot deze server.
15 |
Voorbehoud We behouden ons het recht voor om deze en andere documentatie te wijzigen zonder de verplichting gebruikers hiervan op de hoogte te stellen. Afbeeldingen en screenshots kunnen afwijken. Copyright verklaring © 2011 DrayTek. Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen, of enige andere manier, zonder voorafgaande toestemming van de uitgever. Voor zover het maken van kopieën uit deze uitgave is toegestaan op grond van artikel 16B Auteurswet 1912 j° het Besluit van 20 juni 1974, St.b. 351, zoals gewijzigd bij Besluit van 23 augustus 1985, St.b. 471 en artikel 17 Auteurswet 1912, dient men de daarvoor wettelijk verschuldigde vergoedingen te voldoen aan de Stichting Reprorecht. Voor het opnemen van gedeelte(n) uit deze uitgave in bloemlezingen, readers of andere compilatie- of andere werken (artikel 16 Auteurswet 1912), in welke vorm dan ook, dient men zich tot de uitgever te wenden. Ondanks alle aan de samenstelling van deze handleiding bestede zorg kan noch de fabrikant, noch de auteur, noch de distributeur aansprakelijkheid aanvaarden voor schade die het gevolg is van enige fout uit deze uitgave. Registreren U kunt via www.draytek.nl/registratie uw product registreren. Geregistreerde gebruikers worden per e-mail op de hoogte gehouden van nieuwe firmware versies en ontwikkelingen. Trademarks Alle merken en geregistreerde merken zijn eigendom van hun respectievelijke eigenaren.
16 |
