• Informationen für …
• Wir über uns
• Unsere Servicepalette
• Fragen, Beratung und Unterstützung
• Presse
• Projekte, Kooperationen, Arbeitsgruppen
• Andere im WWW

• Security
  • Motivation
  • Rechner sicher machen
  • Umgang mit Passwörtern
  • Die Anti-Virus-Seite
  • Windows Server Update Service
  • Rechner geknackt - was tun?
  • PATH-Variable in Unix
  • AFS und Sicherheit
  • E-Mail und Sicherheit
  • Phishing
  • Konfiguration von 'pine'
  • Sichere Institutsnetze
  • Virtuelle Firewalls
  • Secure Shell (SSH)
  • SSH-Client PuTTY
  • SCP/SFTP-Clients WinSCP
  • Online-Informationen, Literatur
  • Brief der LRZ-Leitung
  • Bearbeitung von Abuse-Fällen
  • Informationen zum DFN-CERT
  • LRZ-Dienste zur Sicherheit
  • Kurs: Sicherheit (für Benutzer)
  • Vortrag: Schattenseiten des Internet
  • Kurs: Sicherheit (für Unix-Admins)
  • Security-Vorträge

ALIs

kommt noch

Virtuelle Firewalls für Institutsnetze

Überblick

Das LRZ bietet für Institute und Organisationen im Münchner Wissenschaftsnetz (MWN) die Möglichkeit, eine virtuelle Firewall auf LRZ-Hardware zu betreiben. Dabei handelt es sich um Spezial-Hardware in den Backbone-Routern des MWNs. Diese Spezial-Hardware erlaubt es, darauf mehrere Firewall-Instanzen zu betreiben und unabhängig voneinander zu verwalten. Die zu schützenden Subnetze werden über Virtuelle LANs (VLAN), einer logischen Netzschicht, zur jeweils zuständigen Firewall-Instanz geführt und dort gefiltert.

Ob eine virtuelle Firewall eingerichtet werden kann, hängt im Einzelfall von der jeweiligen Netztopologie ab und muß vorab geklärt werden. Derzeit stehen auf 5 Routern jeweils 20 virtuelle Firewalls zur Verfügung.

Das LRZ stellt eine einfache Grundkonfiguration bereit, die der Verwalter des Instituts/der Organisation individuell anpassen muß.

Der Aufbau und Betrieb einer Firewall im Allgemeinen erfordert zumindest Grundkenntnisse in Datennetzen. Darüberhinaus ist eine regelmäßige Kontrolle der anfallenden Log-Daten wichtig, um die Funktion der Firewall sicherzustellen. Beides trifft natürlich auch auf eine virtuelle Firewall zu. Aus diesem Grund ist es von Vorteil, wenn eine virtuelle Firewall von einer größeren Organisationseinheit für ihre Mitglieder betrieben wird, z.B. von einer Fakultät für die einzelnen Lehrstühle. Knowhow und Personalresourcen für den Betrieb müssen dann nur an einer Stelle zentral vorhanden sein und belasten damit nicht jeden Lehrstuhl.

---

Einrichten einer virtuellen Firewall (Workflow)

Klärung der Netztopologie

• Ansprechpartner vor Ort: Netzverantwortlicher
• Ansprechpartner im LRZ: Arealbeauftragter

Der Netzverantwortliche und sein Arealbeauftragter klären die Netztopologie. Folgende Voraussetzungen müssen erfüllt sein:

• Strukturierte Verkabelung
  (Switches, kein Koaxkabel)
• Prinzip: 1 Subnetz pro VLAN
  (Um diese Voraussetzung zu erfüllen, können weitere VLANs durch das LRZ eingerichtet werden)
• Subnetz gehört vollständig dem(r) Institut/Organisation oder Teilhaber sind sich einig

Beantragen der virtuellen Firewall

Das Aktivieren der virtuellen Firewall veranlaßt der Netzverantwortliche mit einer E-Mail an die Adresse

firewall@lrz.de

Die E-Mail muß folgende Informationen enthalten:

• Name des(r) Institutes/Organisation
• Lokaler Ansprechpartner (Telefon, E-Mail)
• Interne(s) Subnetz(e)/VLAN(s) (später hinter der virtuellen Firewall)

Das Firewall-Team nimmt dann Kontakt mit dem lokalen Ansprechpartner auf und aktiviert die virtuelle Firewall.

---

Online Dokumentation

Graphische Verwalterschnittstelle: Cisco Adaptive Security Device Manager (ASDM)

• Cisco ASDM User Guide, 6.1F
• Cisco ASDM Release Notes Version 6.1(x)F

Betriebssystem

Version 4.0(3)

• Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide, 4.0
• Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference, 4.0

---

FAQ

Allgemeines

1. Was ist der ASDM?

   ASDM ist das Akronym für Adaptive Security Device Manager. Damit bezeichnet Cisco die graphische Benutzerschnittstelle für verschiedene Komponenten im Bereich Netzsicherheit. Damit werden auch die virtuellen Firewalls verwaltet.

2. Was ist das CLI?

   CLI ist das Akronym für Command Line Interface. Eine virtuelle Firewall kann nicht nur über den ASDM verwaltet werden, sondern auch über das CLI. Das CLI ist per SSH erreichbar, wobei IP-Adresse, Kennung und Passwort analog zum ASDM verwendet werden.

3. Was bedeutet ACL und ACE?

   ACL ist das Akronym für Access Control List. Eine ACL ist eine geordnete Menge von Filterregeln, sogenannten Access Control Entries (ACE), mit der innerhalb einer Firewall der Zugriff auf einen Netzbereich beschränkt wird. Jedes Paket, das in diesen Netzbereich geschickt wird, durchläuft sequentiell die ACL und wird anhand von IP-Adressen und Ports daraufhin überprüft, ob ein ACE zutrifft. Der ACE, der zuerst zutrifft, bestimmt über das weitere Schicksal des Paketes. Handelt es sich um einen Permit-ACE, kann das Paket seinen Weg in den Netzbereich fortsetzen. Im Fall eines Deny-ACE ist die Reise des Paketes zu Ende und es wird verworfen. Trifft keiner der konfigurierten ACEs zu, schlägt die implizite Deny-ACE zu.

4. Was muß ich tun, damit eine Verbindung zwischen einem externen und einem internen Rechner über meine virtuelle Firewall zustande kommt?

   Ein Paket, das der externe Rechner schickt, passiert zuerst das Outside-Interface und dann ein Inside-Interface der Firewall bis es schließlich den internen Rechner erreicht. Für jedes Interface können zwei ACLs definiert werden: eine Incoming-ACL und eine Outgoing-ACL. Auf das Paket wirken auf seinem Weg durch die Firewall zwei ACLs, nämlich die Incoming-ACL des Interfaces, das der Eingang zur Firewall ist, und die Outgoing-ACL des Interfaces, das der Ausgang aus der Firewall ist. In unserem Fall sind das die Incoming-ACL des Outside-Interfaces und die Outgoing-ACL des Inside-Interfaces. Die Incoming-ACLs aller Interfaces sind standardmäßig definiert und enthalten eine implizite Deny-ACE. Die Outgoing-ACLs werden erst bei Bedarf durch den Verwalter definiert und stellen ursprünglich kein Hindernis dar. Deshalb reicht es aus, wenn der Verwalter einen Permit-ACE in der Incoming-ACL des Outside-Interfaces für das Paket des externen Rechners einpflegt, damit eine Verbindung zum internen Rechner zustande kommt. Um die umgekehrte Richtung muß sich der Verwalter nicht kümmern, das erledigt die Firewall automatisch (Stateful Firewall).

5. Gibt es bei der Outgoing-ACL eines Interfaces eine implizite Deny-Regel?

   Ja. Allerdings wirkt diese erst, wenn die Outgoing-ACL eines Interfaces definiert wird. Das passiert, wenn ein ACE in die ACL eingepflegt wird, selbst wenn dieser nicht "enabled" ist. Wenn die Outgoing-ACL eines Interfaces keinen ACE enthält, ist sie nicht definiert und die implizite Deny-Regel wirkt nicht.

6. Wie lösche ich eine komplette ACL (inklusive Kommentaren)?

   FWSM/hostname(config)# clear configure access-list NAME_OF_ACL

7. Wie erlaube ich VPN-Nutzern den Zugriff auf das Institutsnetz?

   Im ASDM unter Configuration|Global Objects|Hosts/Networks|iew Unkown Hosts/Networks Groups... finden sich Netzobjekte mit sprechenden Namen. Z.B. enthalten die Objekte VPN-private-LMU und VPN-public-LMU die vom VPN-Gateway an LMU-Angehörige vergebenen privaten und öffentlichen IP-Adressen. Diese Netzobjekte müssen zuerst dem Outside-Interface zugeordnet werden. Danach können sie als Quelladresse (Configuration|Security Policy|Access Rules|Add|Source Host/Network|Group) in entsprechenden Permit-ACEs verwendet werden.

8. Kann IPv6-Verkehr gefiltert werden?

   Derzeit kann IPv6-Verkehr nur durch eine virtuelle Firewall im Routed-Modus gefiltert werden. Eine entsprechende ACL kann nicht über den ASDM, sondern nur über das CLI konfiguriert werden.

   Eine virtuelle Firewall im Transparent-Modus kann derzeit keinen IPv6-Verkehr filtern. Allerdings kann eine virtuelle Firewall im Transparent-Modus so konfiguriert werden, dass IPv6-Verkehr die Firewall UNGEFILTERT passieren kann.

9. Funktioniert ein Microsoft NLB-Cluster im Multicast-Modus hinter einer virtuellen Firewall?

   Ja.

ASDM

Version 6.1(3)F

1. Welche Java-Plugin-Version braucht mein Browser?

   Version 6.0 (1.6.0).

---

Links

• Virtuelle Firewalls im Münchner Wissenschaftsnetz (MWN)
  Ein Vortrag von Ralf Kornberger und Claus Wimmer
  LRZ, 07.11.2007