Firewalls. Krypto Christian Kawalar, Tim Ungerhofer. June 9, 2017

Transkript

1 Firewalls Krypto 2017 Christian Kawalar, Tim Ungerhofer June 9, 2017

2 Inhalt Einleitung Was ist eine Firewall Firewall Konzepte OSI-Modell Firewall Arten Personal Firewall Externe Firewall Funktionsweise Portforwarding Filterverfahren Projekt VPN Content Filter Getrennte Netzwerke

3 Was ist eine Firewall? Mit einer Firewall wird der ein- bzw. ausgehende Netzwerkverkehr überwacht, und / oder beschränkt.

4 Was ist eine Firewall? Mit einer Firewall wird der ein- bzw. ausgehende Netzwerkverkehr überwacht, und / oder beschränkt. Diese Überwachung / Beschränkung erfolgt über Regeln.

5 Was ist eine Firewall? Mit einer Firewall wird der ein- bzw. ausgehende Netzwerkverkehr überwacht, und / oder beschränkt. Diese Überwachung / Beschränkung erfolgt über Regeln. Firewalls können Hardware- oder Software-basiert sein.

6 Firewall Konzepte Durch Rechtevergabe folgt:

7 Firewall Konzepte Durch Rechtevergabe folgt: Beschränkung von Zugriffen auf Netze und Dienste

8 Firewall Konzepte Durch Rechtevergabe folgt: Beschränkung von Zugriffen auf Netze und Dienste Alarmierungsfunktion und Protokollierung

9 Firewall Konzepte Durch Rechtevergabe folgt: Beschränkung von Zugriffen auf Netze und Dienste Alarmierungsfunktion und Protokollierung Trennen von Netzwerken

10 Firewall Konzepte Durch Rechtevergabe folgt: Beschränkung von Zugriffen auf Netze und Dienste Alarmierungsfunktion und Protokollierung Trennen von Netzwerken Zum Beispiel: Äusseres Netzwerk (meist das Internet) durch Firewall getrennt von innerem Netzwerk. Dies verbirgt außerdem das innere Netzwerk vor dem Äusseren.

11 Firewall Konzepte Durch Rechtevergabe folgt: Beschränkung von Zugriffen auf Netze und Dienste Alarmierungsfunktion und Protokollierung Trennen von Netzwerken Zum Beispiel: Äusseres Netzwerk (meist das Internet) durch Firewall getrennt von innerem Netzwerk. Dies verbirgt außerdem das innere Netzwerk vor dem Äusseren. Per VLANs

12 Firewall Konzepte Durch Rechtevergabe folgt: Beschränkung von Zugriffen auf Netze und Dienste Alarmierungsfunktion und Protokollierung Trennen von Netzwerken Zum Beispiel: Äusseres Netzwerk (meist das Internet) durch Firewall getrennt von innerem Netzwerk. Dies verbirgt außerdem das innere Netzwerk vor dem Äusseren. Per VLANs Durch VPN Zugaenge

13 Wo ist die Firewall im OSI-Modell angesiedelt Je nach Typ operiert die Firewall auf den Schichten 2 bis 7.

14 Inhalt Einleitung Was ist eine Firewall Firewall Konzepte OSI-Modell Firewall Arten Personal Firewall Externe Firewall Funktionsweise Portforwarding Filterverfahren Projekt VPN Content Filter Getrennte Netzwerke

15 Personal Firewall Auch als Desktop-Firewall bezeichnet

16 Personal Firewall Auch als Desktop-Firewall bezeichnet Software, welche auf dem zu schützenden Gerät läuft

17 Personal Firewall Auch als Desktop-Firewall bezeichnet Software, welche auf dem zu schützenden Gerät läuft Filtert ein- und ausgehende Daten zwischen dem Gerät und dem Netzwerk

18 Personal Firewall Auch als Desktop-Firewall bezeichnet Software, welche auf dem zu schützenden Gerät läuft Filtert ein- und ausgehende Daten zwischen dem Gerät und dem Netzwerk Beispiele: Windows-Firewall Kaspersky Internet Security (Windows) Norton Personal Firewall (Windows) IPFirewall (Mac) Little Snitch (Mac) Netfilter (Linux)

19 Personal Firewall Vorteile

20 Personal Firewall Vorteile Leicht zu installieren für Normale Nutzer

21 Personal Firewall Vorteile Leicht zu installieren für Normale Nutzer Meist einfach zu konfigurieren, da ein Popup über unbekannten Datenverkehr informiert

22 Personal Firewall Vorteile Leicht zu installieren für Normale Nutzer Meist einfach zu konfigurieren, da ein Popup über unbekannten Datenverkehr informiert Keine gesonderte Infrastrukur nötig

23 Personal Firewall Vorteile Leicht zu installieren für Normale Nutzer Meist einfach zu konfigurieren, da ein Popup über unbekannten Datenverkehr informiert Keine gesonderte Infrastrukur nötig Preislich um einiges günstiger. ( Gratis bis 100 EUR).

24 Personal Firewall Vorteile Leicht zu installieren für Normale Nutzer Meist einfach zu konfigurieren, da ein Popup über unbekannten Datenverkehr informiert Keine gesonderte Infrastrukur nötig Preislich um einiges günstiger. ( Gratis bis 100 EUR). Nachteile User kann leicht falsche Einstellungen machen (z.b. Ohne zu schauen Popup warnung wegklicken)

25 Personal Firewall Vorteile Leicht zu installieren für Normale Nutzer Meist einfach zu konfigurieren, da ein Popup über unbekannten Datenverkehr informiert Keine gesonderte Infrastrukur nötig Preislich um einiges günstiger. ( Gratis bis 100 EUR). Nachteile User kann leicht falsche Einstellungen machen (z.b. Ohne zu schauen Popup warnung wegklicken) Die Software läuft immer mit den höchsten System-Rechten

26 Personal Firewall Vorteile Leicht zu installieren für Normale Nutzer Meist einfach zu konfigurieren, da ein Popup über unbekannten Datenverkehr informiert Keine gesonderte Infrastrukur nötig Preislich um einiges günstiger. ( Gratis bis 100 EUR). Nachteile User kann leicht falsche Einstellungen machen (z.b. Ohne zu schauen Popup warnung wegklicken) Die Software läuft immer mit den höchsten System-Rechten Sollte die Software einen Fehler haben, ist das ganze System gefärdet.

27 Personal Firewall Vorteile Leicht zu installieren für Normale Nutzer Meist einfach zu konfigurieren, da ein Popup über unbekannten Datenverkehr informiert Keine gesonderte Infrastrukur nötig Preislich um einiges günstiger. ( Gratis bis 100 EUR). Nachteile User kann leicht falsche Einstellungen machen (z.b. Ohne zu schauen Popup warnung wegklicken) Die Software läuft immer mit den höchsten System-Rechten Sollte die Software einen Fehler haben, ist das ganze System gefärdet. Software könnte auch durch Schadcode unbemerkt deaktiviert werden.

28 Externe Firewall Auch als Netzwerk- oder Hardware-Firewall bezeichnet

29 Externe Firewall Auch als Netzwerk- oder Hardware-Firewall bezeichnet Seperates Gerät

30 Externe Firewall Auch als Netzwerk- oder Hardware-Firewall bezeichnet Seperates Gerät Verbindet Netzwerke oder Teile eines Netzwerks miteinander

31 Externe Firewall Auch als Netzwerk- oder Hardware-Firewall bezeichnet Seperates Gerät Verbindet Netzwerke oder Teile eines Netzwerks miteinander Hardwarekomponenten und Sofwarekomponenten

32 Externe Firewall Auch als Netzwerk- oder Hardware-Firewall bezeichnet Seperates Gerät Verbindet Netzwerke oder Teile eines Netzwerks miteinander Hardwarekomponenten und Sofwarekomponenten Beispiele: Fortigate 40C Cisco ASA

33 Externe Firewall Vorteile: Unabhängig vom OS, schützt das gesamte Netzwerk.

34 Externe Firewall Vorteile: Unabhängig vom OS, schützt das gesamte Netzwerk. Mehr Funktionalität als Personal Firewalls.

35 Externe Firewall Vorteile: Unabhängig vom OS, schützt das gesamte Netzwerk. Mehr Funktionalität als Personal Firewalls. Netzwerke können unterschiedlich getrennt werden, z.b.:

36 Externe Firewall Vorteile: Unabhängig vom OS, schützt das gesamte Netzwerk. Mehr Funktionalität als Personal Firewalls. Netzwerke können unterschiedlich getrennt werden, z.b.: unterschiedliche Filterregeln für unterschiedliche Ports.

37 Externe Firewall Vorteile: Unabhängig vom OS, schützt das gesamte Netzwerk. Mehr Funktionalität als Personal Firewalls. Netzwerke können unterschiedlich getrennt werden, z.b.: unterschiedliche Filterregeln für unterschiedliche Ports. Nachteile Erfordert mehr Infrastruktur

38 Externe Firewall Vorteile: Unabhängig vom OS, schützt das gesamte Netzwerk. Mehr Funktionalität als Personal Firewalls. Netzwerke können unterschiedlich getrennt werden, z.b.: unterschiedliche Filterregeln für unterschiedliche Ports. Nachteile Erfordert mehr Infrastruktur Für Noramle Nutzer nicht einfach einzurichten

39 Externe Firewall Vorteile: Unabhängig vom OS, schützt das gesamte Netzwerk. Mehr Funktionalität als Personal Firewalls. Netzwerke können unterschiedlich getrennt werden, z.b.: unterschiedliche Filterregeln für unterschiedliche Ports. Nachteile Erfordert mehr Infrastruktur Für Noramle Nutzer nicht einfach einzurichten Preislich Teuer ( 3 stellige bis 6 stellige EUR Beträge )

40 Externe Firewall: Arten Bridging-Firewall OSI Layer 2, Filtert Pakete anhand der MAC-Adresse

41 Externe Firewall: Arten Bridging-Firewall OSI Layer 2, Filtert Pakete anhand der MAC-Adresse Routing-Firewall

42 Externe Firewall: Arten Bridging-Firewall OSI Layer 2, Filtert Pakete anhand der MAC-Adresse Routing-Firewall Proxy-Firewall

43 Externe Firewall: Arten Bridging-Firewall OSI Layer 2, Filtert Pakete anhand der MAC-Adresse Routing-Firewall Proxy-Firewall Layer 7, Anwendungschicht, gilt als sicherste Variante

44 Inhalt Einleitung Was ist eine Firewall Firewall Konzepte OSI-Modell Firewall Arten Personal Firewall Externe Firewall Funktionsweise Portforwarding Filterverfahren Projekt VPN Content Filter Getrennte Netzwerke

45 Wie funktioniert die Firewall

46 Portforwarding Weiterleitung einer Verbindung auf bestimmtem Port

47 Portforwarding Weiterleitung einer Verbindung auf bestimmtem Port Verbesserte Sicherheit (Tunneling)

48 Portforwarding Weiterleitung einer Verbindung auf bestimmtem Port Verbesserte Sicherheit (Tunneling) Beispiel:

49 Paketfilter Auch Netzwerkfilter genannt

50 Paketfilter Auch Netzwerkfilter genannt Ein- und Ausgehender Datenverkehr wird gefiltert

51 Paketfilter Auch Netzwerkfilter genannt Ein- und Ausgehender Datenverkehr wird gefiltert z.b.: Ingress-Filter

52 Paketfilter Auch Netzwerkfilter genannt Ein- und Ausgehender Datenverkehr wird gefiltert z.b.: Ingress-Filter Mögliche Szenarien für Paket:

53 Paketfilter Auch Netzwerkfilter genannt Ein- und Ausgehender Datenverkehr wird gefiltert z.b.: Ingress-Filter Mögliche Szenarien für Paket: DENY/DROP

54 Paketfilter Auch Netzwerkfilter genannt Ein- und Ausgehender Datenverkehr wird gefiltert z.b.: Ingress-Filter Mögliche Szenarien für Paket: DENY/DROP REJECT

55 Paketfilter Auch Netzwerkfilter genannt Ein- und Ausgehender Datenverkehr wird gefiltert z.b.: Ingress-Filter Mögliche Szenarien für Paket: DENY/DROP REJECT FORWARD/PERMIT

56 Paketfilter Auch Netzwerkfilter genannt Ein- und Ausgehender Datenverkehr wird gefiltert z.b.: Ingress-Filter Mögliche Szenarien für Paket: DENY/DROP REJECT FORWARD/PERMIT ALLOW/PASS

57 Stateful Inspection Erweiterte (dynamische) Form von Paketfilterung

58 Stateful Inspection Erweiterte (dynamische) Form von Paketfilterung Bei Analyse wird Verbindungsstatus beachtet

59 Stateful Inspection Erweiterte (dynamische) Form von Paketfilterung Bei Analyse wird Verbindungsstatus beachtet Pakete werden in Vermittlungsschicht in Tabellen gespeichert

60 Stateful Inspection Erweiterte (dynamische) Form von Paketfilterung Bei Analyse wird Verbindungsstatus beachtet Pakete werden in Vermittlungsschicht in Tabellen gespeichert Höhere Sicherheit als bei klassischer Paketfilterung

61 Deep Packet Inspection Auch Complete Packet Inspection genannt

62 Deep Packet Inspection Auch Complete Packet Inspection genannt Kann zur Regulierung des Datenflusses verwendet werden

63 Deep Packet Inspection Auch Complete Packet Inspection genannt Kann zur Regulierung des Datenflusses verwendet werden Genauer: DPI kann auf Schichten 2-7 verwendet werden

64 Deep Packet Inspection Auch Complete Packet Inspection genannt Kann zur Regulierung des Datenflusses verwendet werden Genauer: DPI kann auf Schichten 2-7 verwendet werden Untersucht werden Header, Datenprotokollstrukturen und Nutzdaten

65 Deep Packet Inspection Auch Complete Packet Inspection genannt Kann zur Regulierung des Datenflusses verwendet werden Genauer: DPI kann auf Schichten 2-7 verwendet werden Untersucht werden Header, Datenprotokollstrukturen und Nutzdaten Wenn ein Gerät Information über Schicht 3 betrachtet oder deswegen handelt

66 Deep Packet Inspection Auch Complete Packet Inspection genannt Kann zur Regulierung des Datenflusses verwendet werden Genauer: DPI kann auf Schichten 2-7 verwendet werden Untersucht werden Header, Datenprotokollstrukturen und Nutzdaten Wenn ein Gerät Information über Schicht 3 betrachtet oder deswegen handelt Signatur-Datenbank mittels welcher Datenverkehr identifiziert/klassifiziert wird

67 Deep Packet Inspection Auch Complete Packet Inspection genannt Kann zur Regulierung des Datenflusses verwendet werden Genauer: DPI kann auf Schichten 2-7 verwendet werden Untersucht werden Header, Datenprotokollstrukturen und Nutzdaten Wenn ein Gerät Information über Schicht 3 betrachtet oder deswegen handelt Signatur-Datenbank mittels welcher Datenverkehr identifiziert/klassifiziert wird Klassifizierter Verkehr kann umgeleitet, markiert, blockiert, beschränkt und/oder bei einer Meldestelle (reporting agent) im Netzwerk gemeldet werden

68 Proxyfilter Stellvertreter für Client stellt Verbindung her

69 Proxyfilter Stellvertreter für Client stellt Verbindung her Und leitet Pakete an Client weiter

70 Proxyfilter Stellvertreter für Client stellt Verbindung her Und leitet Pakete an Client weiter Kommunikation kann beliebig analysiert, bei Bedarf auch beeinflusst werden

71 Proxyfilter Stellvertreter für Client stellt Verbindung her Und leitet Pakete an Client weiter Kommunikation kann beliebig analysiert, bei Bedarf auch beeinflusst werden Parallele Proxyfilter für verschiedene Protokolle

72 Contentfilter Ist eine Art Proxyfilter

73 Contentfilter Ist eine Art Proxyfilter Wertet Nutzdaten aus

74 Contentfilter Ist eine Art Proxyfilter Wertet Nutzdaten aus Filtert zum Beispiel JavaScript von Webseiten heraus

75 Contentfilter Ist eine Art Proxyfilter Wertet Nutzdaten aus Filtert zum Beispiel JavaScript von Webseiten heraus Hintert Schadsoftware am Download

76 Contentfilter Ist eine Art Proxyfilter Wertet Nutzdaten aus Filtert zum Beispiel JavaScript von Webseiten heraus Hintert Schadsoftware am Download Ermöglicht Sperren von Webseiten anhand Schlüsselwörtern etc.

77 Inhalt Einleitung Was ist eine Firewall Firewall Konzepte OSI-Modell Firewall Arten Personal Firewall Externe Firewall Funktionsweise Portforwarding Filterverfahren Projekt VPN Content Filter Getrennte Netzwerke

78 VPN Content Filter Gesamter Datenverkehr geht Über den VPN.

79 VPN Content Filter Gesamter Datenverkehr geht Über den VPN. Firewall (iptables) leiten gesamten Verkehr über Proxy.

80 VPN Content Filter Gesamter Datenverkehr geht Über den VPN. Firewall (iptables) leiten gesamten Verkehr über Proxy. Firewall (iptables) blockt sämtlichen anderen Verkehr.

81 VPN Content Filter Gesamter Datenverkehr geht Über den VPN. Firewall (iptables) leiten gesamten Verkehr über Proxy. Firewall (iptables) blockt sämtlichen anderen Verkehr. Proxy HAVP scannt gesamten Verkehr mit calmav auf Viren.

82 VPN Content Filter Gesamter Datenverkehr geht Über den VPN. Firewall (iptables) leiten gesamten Verkehr über Proxy. Firewall (iptables) blockt sämtlichen anderen Verkehr. Proxy HAVP scannt gesamten Verkehr mit calmav auf Viren. Proxy Privoxy filtert den Verkehr, und wendet die gegebenen Regeln an.

83 VPN Content Filter Gesamter Datenverkehr geht Über den VPN. Firewall (iptables) leiten gesamten Verkehr über Proxy. Firewall (iptables) blockt sämtlichen anderen Verkehr. Proxy HAVP scannt gesamten Verkehr mit calmav auf Viren. Proxy Privoxy filtert den Verkehr, und wendet die gegebenen Regeln an. Dnsmasq wird zur schnelleren DNS Auflösung verwendet.

84 VPN Privoxy Filterregeln: Filtert Werbung.

85 VPN Privoxy Filterregeln: Filtert Werbung. Verhindert dass Javascript von Dritt-Links geladen wird

86 VPN Privoxy Filterregeln: Filtert Werbung. Verhindert dass Javascript von Dritt-Links geladen wird Kann auch als Websiten Blocker eingesetzt werden

87 VPN Content Filter Mehr information unter: 3-ways-to-securely-browse-the-internet-with-openvpn-on-deb

88 Getrennte Netzwerke

89 Ausgangssituation Ziel ist es, sensible Geräte vor der Außenwelt, oder Gästen im eigenen Zuhause abzuschotten. Gleichzeitig soll es für Gäste aber möglich sein, ins Internet zu gehen, oder Zugriff auf nicht-sensible Infrastrukur zuzulassen. Außerdem muss das Gäste Netzwerk über das interne Netzwerk erreichbar sein, aber das Gäste Netzwerk darf keinen Zugriff auf das Interne haben.

90 Ausgangssituation Ziel ist es, sensible Geräte vor der Außenwelt, oder Gästen im eigenen Zuhause abzuschotten. Gleichzeitig soll es für Gäste aber möglich sein, ins Internet zu gehen, oder Zugriff auf nicht-sensible Infrastrukur zuzulassen. Außerdem muss das Gäste Netzwerk über das interne Netzwerk erreichbar sein, aber das Gäste Netzwerk darf keinen Zugriff auf das Interne haben. Folgende Geräte sind im Netzwerk vorhanden.

91 Ausgangssituation Ziel ist es, sensible Geräte vor der Außenwelt, oder Gästen im eigenen Zuhause abzuschotten. Gleichzeitig soll es für Gäste aber möglich sein, ins Internet zu gehen, oder Zugriff auf nicht-sensible Infrastrukur zuzulassen. Außerdem muss das Gäste Netzwerk über das interne Netzwerk erreichbar sein, aber das Gäste Netzwerk darf keinen Zugriff auf das Interne haben. Folgende Geräte sind im Netzwerk vorhanden. Philips HUE Led Lampen

92 Ausgangssituation Ziel ist es, sensible Geräte vor der Außenwelt, oder Gästen im eigenen Zuhause abzuschotten. Gleichzeitig soll es für Gäste aber möglich sein, ins Internet zu gehen, oder Zugriff auf nicht-sensible Infrastrukur zuzulassen. Außerdem muss das Gäste Netzwerk über das interne Netzwerk erreichbar sein, aber das Gäste Netzwerk darf keinen Zugriff auf das Interne haben. Folgende Geräte sind im Netzwerk vorhanden. Philips HUE Led Lampen Netzwerk spotify jukebox

93 Ausgangssituation Ziel ist es, sensible Geräte vor der Außenwelt, oder Gästen im eigenen Zuhause abzuschotten. Gleichzeitig soll es für Gäste aber möglich sein, ins Internet zu gehen, oder Zugriff auf nicht-sensible Infrastrukur zuzulassen. Außerdem muss das Gäste Netzwerk über das interne Netzwerk erreichbar sein, aber das Gäste Netzwerk darf keinen Zugriff auf das Interne haben. Folgende Geräte sind im Netzwerk vorhanden. Philips HUE Led Lampen Netzwerk spotify jukebox Android Tablet

94 Ausgangssituation Ziel ist es, sensible Geräte vor der Außenwelt, oder Gästen im eigenen Zuhause abzuschotten. Gleichzeitig soll es für Gäste aber möglich sein, ins Internet zu gehen, oder Zugriff auf nicht-sensible Infrastrukur zuzulassen. Außerdem muss das Gäste Netzwerk über das interne Netzwerk erreichbar sein, aber das Gäste Netzwerk darf keinen Zugriff auf das Interne haben. Folgende Geräte sind im Netzwerk vorhanden. Philips HUE Led Lampen Netzwerk spotify jukebox Android Tablet Android Telefon

95 Ausgangssituation Ziel ist es, sensible Geräte vor der Außenwelt, oder Gästen im eigenen Zuhause abzuschotten. Gleichzeitig soll es für Gäste aber möglich sein, ins Internet zu gehen, oder Zugriff auf nicht-sensible Infrastrukur zuzulassen. Außerdem muss das Gäste Netzwerk über das interne Netzwerk erreichbar sein, aber das Gäste Netzwerk darf keinen Zugriff auf das Interne haben. Folgende Geräte sind im Netzwerk vorhanden. Philips HUE Led Lampen Netzwerk spotify jukebox Android Tablet Android Telefon Laptop

96 Ausgangssituation Ziel ist es, sensible Geräte vor der Außenwelt, oder Gästen im eigenen Zuhause abzuschotten. Gleichzeitig soll es für Gäste aber möglich sein, ins Internet zu gehen, oder Zugriff auf nicht-sensible Infrastrukur zuzulassen. Außerdem muss das Gäste Netzwerk über das interne Netzwerk erreichbar sein, aber das Gäste Netzwerk darf keinen Zugriff auf das Interne haben. Folgende Geräte sind im Netzwerk vorhanden. Philips HUE Led Lampen Netzwerk spotify jukebox Android Tablet Android Telefon Laptop Stand PC

97 Ausgangssituation Ziel ist es, sensible Geräte vor der Außenwelt, oder Gästen im eigenen Zuhause abzuschotten. Gleichzeitig soll es für Gäste aber möglich sein, ins Internet zu gehen, oder Zugriff auf nicht-sensible Infrastrukur zuzulassen. Außerdem muss das Gäste Netzwerk über das interne Netzwerk erreichbar sein, aber das Gäste Netzwerk darf keinen Zugriff auf das Interne haben. Folgende Geräte sind im Netzwerk vorhanden. Philips HUE Led Lampen Netzwerk spotify jukebox Android Tablet Android Telefon Laptop Stand PC EIB IP Gateway

98 Ausgangssituation Ziel ist es, sensible Geräte vor der Außenwelt, oder Gästen im eigenen Zuhause abzuschotten. Gleichzeitig soll es für Gäste aber möglich sein, ins Internet zu gehen, oder Zugriff auf nicht-sensible Infrastrukur zuzulassen. Außerdem muss das Gäste Netzwerk über das interne Netzwerk erreichbar sein, aber das Gäste Netzwerk darf keinen Zugriff auf das Interne haben. Folgende Geräte sind im Netzwerk vorhanden. Philips HUE Led Lampen Netzwerk spotify jukebox Android Tablet Android Telefon Laptop Stand PC EIB IP Gateway Synolgy DSM216 NAS

99 Ausgangssituation Ziel ist es, sensible Geräte vor der Außenwelt, oder Gästen im eigenen Zuhause abzuschotten. Gleichzeitig soll es für Gäste aber möglich sein, ins Internet zu gehen, oder Zugriff auf nicht-sensible Infrastrukur zuzulassen. Außerdem muss das Gäste Netzwerk über das interne Netzwerk erreichbar sein, aber das Gäste Netzwerk darf keinen Zugriff auf das Interne haben. Folgende Geräte sind im Netzwerk vorhanden. Philips HUE Led Lampen Netzwerk spotify jukebox Android Tablet Android Telefon Laptop Stand PC EIB IP Gateway Synolgy DSM216 NAS Fritz Box (Reiner WLAN Router)

100 Ausgangssituation Ziel ist es, sensible Geräte vor der Außenwelt, oder Gästen im eigenen Zuhause abzuschotten. Gleichzeitig soll es für Gäste aber möglich sein, ins Internet zu gehen, oder Zugriff auf nicht-sensible Infrastrukur zuzulassen. Außerdem muss das Gäste Netzwerk über das interne Netzwerk erreichbar sein, aber das Gäste Netzwerk darf keinen Zugriff auf das Interne haben. Folgende Geräte sind im Netzwerk vorhanden. Philips HUE Led Lampen Netzwerk spotify jukebox Android Tablet Android Telefon Laptop Stand PC EIB IP Gateway Synolgy DSM216 NAS Fritz Box (Reiner WLAN Router) Speedport WLAN / DSL Modem

101 Ausgangssituation Ziel ist es, sensible Geräte vor der Außenwelt, oder Gästen im eigenen Zuhause abzuschotten. Gleichzeitig soll es für Gäste aber möglich sein, ins Internet zu gehen, oder Zugriff auf nicht-sensible Infrastrukur zuzulassen. Außerdem muss das Gäste Netzwerk über das interne Netzwerk erreichbar sein, aber das Gäste Netzwerk darf keinen Zugriff auf das Interne haben. Folgende Geräte sind im Netzwerk vorhanden. Philips HUE Led Lampen Netzwerk spotify jukebox Android Tablet Android Telefon Laptop Stand PC EIB IP Gateway Synolgy DSM216 NAS Fritz Box (Reiner WLAN Router) Speedport WLAN / DSL Modem Fortigate 60C Hardware Firewall

102 Einstufung Als Erstes muss überlegt werden welche Geräte in welches Netzwerk kommen, wir haben uns für folgende Einteilung entschieden.

103 Einstufung Als Erstes muss überlegt werden welche Geräte in welches Netzwerk kommen, wir haben uns für folgende Einteilung entschieden. Externes / Gäste Netzwerk

104 Einstufung Als Erstes muss überlegt werden welche Geräte in welches Netzwerk kommen, wir haben uns für folgende Einteilung entschieden. Externes / Gäste Netzwerk Speedport WLAN / DSL Modem

105 Einstufung Als Erstes muss überlegt werden welche Geräte in welches Netzwerk kommen, wir haben uns für folgende Einteilung entschieden. Externes / Gäste Netzwerk Speedport WLAN / DSL Modem DHCP Server für Gäste Netzwerk

106 Einstufung Als Erstes muss überlegt werden welche Geräte in welches Netzwerk kommen, wir haben uns für folgende Einteilung entschieden. Externes / Gäste Netzwerk Speedport WLAN / DSL Modem DHCP Server für Gäste Netzwerk Leitet Traffic für Internes Netzwerk auf Fortigate um

107 Einstufung Als Erstes muss überlegt werden welche Geräte in welches Netzwerk kommen, wir haben uns für folgende Einteilung entschieden. Externes / Gäste Netzwerk Speedport WLAN / DSL Modem DHCP Server für Gäste Netzwerk Leitet Traffic für Internes Netzwerk auf Fortigate um Stellt Verbindung mit Internet her.

108 Einstufung Als Erstes muss überlegt werden welche Geräte in welches Netzwerk kommen, wir haben uns für folgende Einteilung entschieden. Externes / Gäste Netzwerk Speedport WLAN / DSL Modem DHCP Server für Gäste Netzwerk Leitet Traffic für Internes Netzwerk auf Fortigate um Stellt Verbindung mit Internet her. Fortigate 60C Hardware Firewall

109 Einstufung Als Erstes muss überlegt werden welche Geräte in welches Netzwerk kommen, wir haben uns für folgende Einteilung entschieden. Externes / Gäste Netzwerk Speedport WLAN / DSL Modem DHCP Server für Gäste Netzwerk Leitet Traffic für Internes Netzwerk auf Fortigate um Stellt Verbindung mit Internet her. Fortigate 60C Hardware Firewall Physisch verkabelt mit Speedport.

110 Einstufung Als Erstes muss überlegt werden welche Geräte in welches Netzwerk kommen, wir haben uns für folgende Einteilung entschieden. Externes / Gäste Netzwerk Speedport WLAN / DSL Modem DHCP Server für Gäste Netzwerk Leitet Traffic für Internes Netzwerk auf Fortigate um Stellt Verbindung mit Internet her. Fortigate 60C Hardware Firewall Physisch verkabelt mit Speedport. Anschluss an Fortigate WAN (Wide Area Network) Port

111 Einstufung Als Erstes muss überlegt werden welche Geräte in welches Netzwerk kommen, wir haben uns für folgende Einteilung entschieden. Externes / Gäste Netzwerk Speedport WLAN / DSL Modem DHCP Server für Gäste Netzwerk Leitet Traffic für Internes Netzwerk auf Fortigate um Stellt Verbindung mit Internet her. Fortigate 60C Hardware Firewall Physisch verkabelt mit Speedport. Anschluss an Fortigate WAN (Wide Area Network) Port Netzwerk Spotify Jukebox

112 Einstufung Fortsetzung Internes / Privates Netzwerk

113 Einstufung Fortsetzung Internes / Privates Netzwerk EIB IP Gateway

114 Einstufung Fortsetzung Internes / Privates Netzwerk EIB IP Gateway Synolgy DSM216 NAS

115 Einstufung Fortsetzung Internes / Privates Netzwerk EIB IP Gateway Synolgy DSM216 NAS Fritz Box (Reiner WLAN Router)

116 Einstufung Fortsetzung Internes / Privates Netzwerk EIB IP Gateway Synolgy DSM216 NAS Fritz Box (Reiner WLAN Router) Fortigate 60C Hardware Firewall

117 Einstufung Fortsetzung Internes / Privates Netzwerk EIB IP Gateway Synolgy DSM216 NAS Fritz Box (Reiner WLAN Router) Fortigate 60C Hardware Firewall Philips HUE Led Lampen

118 Einstufung Fortsetzung Internes / Privates Netzwerk EIB IP Gateway Synolgy DSM216 NAS Fritz Box (Reiner WLAN Router) Fortigate 60C Hardware Firewall Philips HUE Led Lampen Android Tablet

119 Einstufung Fortsetzung Internes / Privates Netzwerk EIB IP Gateway Synolgy DSM216 NAS Fritz Box (Reiner WLAN Router) Fortigate 60C Hardware Firewall Philips HUE Led Lampen Android Tablet Android Telefon

120 Einstufung Fortsetzung Internes / Privates Netzwerk EIB IP Gateway Synolgy DSM216 NAS Fritz Box (Reiner WLAN Router) Fortigate 60C Hardware Firewall Philips HUE Led Lampen Android Tablet Android Telefon Laptop

121 Einstufung Fortsetzung Internes / Privates Netzwerk EIB IP Gateway Synolgy DSM216 NAS Fritz Box (Reiner WLAN Router) Fortigate 60C Hardware Firewall Philips HUE Led Lampen Android Tablet Android Telefon Laptop Stand PC

122 Schematischer Aufgbau Unser Aufbau sieht bis jetzt so aus:

123 Netzwerk Addressen Wir entscheiden uns für folgende Addressvergabe

124 Netzwerk Addressen Wir entscheiden uns für folgende Addressvergabe Gäste Netzwerk hat IP range /24

125 Netzwerk Addressen Wir entscheiden uns für folgende Addressvergabe Gäste Netzwerk hat IP range /24 Internes Netzwerk hat IP range /24

126 Netzwerk Addressen Wir entscheiden uns für folgende Addressvergabe Gäste Netzwerk hat IP range /24 Internes Netzwerk hat IP range /24 Fast alle Geräte erhalten ihre IP über DHCP, nur folgende Geräte erhalten eine statische IP Adresse.

127 Netzwerk Addressen Wir entscheiden uns für folgende Addressvergabe Gäste Netzwerk hat IP range /24 Internes Netzwerk hat IP range /24 Fast alle Geräte erhalten ihre IP über DHCP, nur folgende Geräte erhalten eine statische IP Adresse. Fortigate 60c WAN Port:

128 Netzwerk Addressen Wir entscheiden uns für folgende Addressvergabe Gäste Netzwerk hat IP range /24 Internes Netzwerk hat IP range /24 Fast alle Geräte erhalten ihre IP über DHCP, nur folgende Geräte erhalten eine statische IP Adresse. Fortigate 60c WAN Port: Fortigate 60c

129 Netzwerk Addressen Wir entscheiden uns für folgende Addressvergabe Gäste Netzwerk hat IP range /24 Internes Netzwerk hat IP range /24 Fast alle Geräte erhalten ihre IP über DHCP, nur folgende Geräte erhalten eine statische IP Adresse. Fortigate 60c WAN Port: Fortigate 60c Speedport

130 Netzwerk Addressen Wir entscheiden uns für folgende Addressvergabe Gäste Netzwerk hat IP range /24 Internes Netzwerk hat IP range /24 Fast alle Geräte erhalten ihre IP über DHCP, nur folgende Geräte erhalten eine statische IP Adresse. Fortigate 60c WAN Port: Fortigate 60c Speedport Spotify Jukebox

131 Netzwerk Addressen Wir entscheiden uns für folgende Addressvergabe Gäste Netzwerk hat IP range /24 Internes Netzwerk hat IP range /24 Fast alle Geräte erhalten ihre IP über DHCP, nur folgende Geräte erhalten eine statische IP Adresse. Fortigate 60c WAN Port: Fortigate 60c Speedport Spotify Jukebox Synolgy NAS

132 Erster Test Damit geht bis jetzt Folgendes:

133 Erster Test Damit geht bis jetzt Folgendes: Internet Zugriff aus Gäste Netzwerk.

134 Erster Test Damit geht bis jetzt Folgendes: Internet Zugriff aus Gäste Netzwerk. Internet Zugriff aus internem Netzwerk. (WAN Port gilt als Zugriffspunkt, deswegen versucht die Fortigate von selbst zu routen)

135 Erster Test Damit geht bis jetzt Folgendes: Internet Zugriff aus Gäste Netzwerk. Internet Zugriff aus internem Netzwerk. (WAN Port gilt als Zugriffspunkt, deswegen versucht die Fortigate von selbst zu routen) Folgendes muss noch konfiguriert werden:

136 Erster Test Damit geht bis jetzt Folgendes: Internet Zugriff aus Gäste Netzwerk. Internet Zugriff aus internem Netzwerk. (WAN Port gilt als Zugriffspunkt, deswegen versucht die Fortigate von selbst zu routen) Folgendes muss noch konfiguriert werden: Zugriff auf Gäste Netzwerk von internem Netzwerk aus.

137 Fortigate Konfiguration Um Zugriff auf das Gäste Netzwerk aus dem internen Netzwerk zu erhalten muss eine Route eingerichtet werden.

138 Fortigate Konfiguration Um Zugriff auf das Gäste Netzwerk aus dem internen Netzwerk zu erhalten muss eine Route eingerichtet werden. Durch eine Route leitet die Fortigate eine Anfrage aus dem /24 Netz in das /24 Netz weiter.

139 Fortigate Konfiguration Um Zugriff auf das Gäste Netzwerk aus dem internen Netzwerk zu erhalten muss eine Route eingerichtet werden. Durch eine Route leitet die Fortigate eine Anfrage aus dem /24 Netz in das /24 Netz weiter. Gleichzeitig richten wir eine Regel ein, die verhindert, dass aus dem /24 Netz auf das /24 Netz zugegriffen werden kann.

140 Fortigate Interface Konfiguration

141 Fortigate Routen Konfiguration

142 Fortigate Policy Konfiguration Damit ist die Route in das Gäste Netzwerk eingerichtet, jetzt müssen wir noch die Firewall Policies ändern, um den Zugriff zuzulassen.

143 Fortigate Policy Konfiguration Damit ist die Route in das Gäste Netzwerk eingerichtet, jetzt müssen wir noch die Firewall Policies ändern, um den Zugriff zuzulassen. Durch die letze Policy wir sämtlicher Verkehr blockiert, der nicht von den oberen Policies erlaubt wurde.