Peter Gyger online

"Gring ache u seckle" (Quelle: A. Weyermann)

NAVIGATION - SEARCH

HARDWARE FIREWALL - ERSTE SCHRITTE

 

Um was geht es?

Die aktuelle Entwicklung zu IPV6 führt zum Wegfall der NAT. Das wiederum führt dazu, dass vermehrt Hardware Firewall (nachfolgend abgekürzt als "Firewall" bezeichnet) eingesetzt werden. Nachfolgend die ersten Schritte und Hintergrund Überlegungen.

Einleitung

Das Produkt USG von Zyxel ist einsteigerfreundlich. D.h. die Lernkurve ist flacher als bei bekannten Produkten wie "Checkpoint". Dennoch ist zu beachten, dass für eine tieferes Verständnis der Materie die Kenntnisse vom technischen Englisch unabdingbar sind.

Die Firewall übernimmt den Routingteil des Internetzugriffes. Das Modem wird zum einfachen Modem gebridged. Was bekanntlich bei den aktuellen Firmware Release der Centro Router der Swisscom nicht möglich ist. Wenn auf diesem Anschluss Swisscom TV eingeschalten ist, ergibt sich der nächste zu prüfende Punkt. Genauso wie alle Netzwerkzugriffe die über das browsen im Internet hinaus gehen: VPN, Webcam, etc. Wenn das Modem im Bridge Modus betrieben wird, sollte die DHCP Server Funktion nicht mehr zur Verfügung stehen. D.h. die eigenen.NW - Geräte müssen mit festen IP Adressen (aus den dafür festgelegten Adressbereichen) versehen werden. Oder der DHCP Server den i.d.R. jede Firewall integriert hat, ist zu konfigurieren.

Hintergrund

Die Beispiele wurden mit einer ZyXEL ZyWALL USG 100 – Firmware Release 3.0 – erstellt. Die ersten Schritte (Benutzernamen / Passwort)) sind in folgendem Knowlege Base Artikel aufgelistet.

Quick Start Guide

Starthilfe für USG-Firewall

Wer das WebGUI einer Zyxel USG nicht kennt, kann sich mit dem Demo einen Eindruck verschaffen:

User:     demo
Password:     demouser

URL: https://demo.zywall.zyxel.com

   

Lokal

Das erste Mal wenn die IP 192.168.1.1 im Browser aufgerufen wird, wird das Zertifikat als "ungültig" zurück gewiesen. Im "Internet Explorer" kann das wie folgt behoben erden:

Auf "Laden… fortsetzen" klicken. Nicht anmelden, sondern den Browser wieder schliessen. Beim zweiten Start wird wieder der Fehler angezeigt. Wieder auf "Laden… fortsetzen" klicken. Diesmal in der Adresszeile des Browsers auf den roten Kreis mit Kreuz klicken

   

Jetzt wird folgender Text angezeigt:

   

Unten auf den Link "Zertifikat anzeigen" klicken.

Erst jetzt beim zweiten Start kann das Zertifikat installiert werden.

Zertifikatsprobleme sind nicht zu unterschätzen. Sie bilden unter anderem die Möglichkeit für "Man in the middle" Angriffe.

Nach der Anmeldung an der USG sind die ersten Schritte

Passwort ändern

IP Adresse ändern (anderes Subnetz wählen)

   

Passwort ändern

Menu "Configuration" --> Untermenu "Object" --> Menupunkt "User/Group"

Rechts im Menupukt "Configuration" das zu ändernde Objekt aktivieren und au den Menupunkt "Edit" klicken

   

Das darauf angezeigte Fenster erklärt sich von selbst:

   

Die IP Adresse ändern ist ein Punkt der geplant sein muss. Nahe liegender weise wird die Firewall als DHCP Server eingesetzt. D.h. jeder andere DHCP Server im LAN sollte deaktiviert sein. Ferner müssen alle Netzwerkgeräte im selben IP Subnetz laufen.

Das einstellen im WebGUI geht über "Configuration" --> Untermenu "Network" --> Menupunkt "Interface"

   

Auf der rechten Seite das Tab "Ethernet" aktivieren. Die Zeile "lan1" aktivieren. Danach im Abschnitt "Configuration" auf "Edit" klicken

   

Im Abschnitt "IP Adress Segment" wird die Router IP Adresse eingetragen. Darunter folgt der Abschnitt "DHCP Setting".

   

   

   

Der nächste Schritt ist das einrichten der Internetverbindung. Dazu müssen drei Informationen bekannt sein:

Benutzername / Passwort des ISP

DHCP oder PPP Anmeldung

Statische IP? Wenn ja, muss diese – anders als im Modem – bekannt sein und konfiguriert werden.

   

Umsetzung im WebGui der USG:

Hauptmenu "Configuration" – Untermenu "Interface"

   

In den Tabs den Punkt "PPP" wählen. Danach unter "System Default" die Zeile mit dem Namen "wan1_ppp" anwählen:

   

Die Details dieser Einstellung sind durch die Art der Internetverbindung (ISP) vorgegeben.

Referenzen:

Zywall Firmware Update

Zywall Release 3 – Feature (Video)

Zywall Release 3 – Feature

Zywall USG 100

Zyxel Forum USG

Zyxel Community USG

Zyxel TV

 

Fazit

 

 

 

ELEMENT

Wert

Erstellt

12.9.2012

Letzte Änderung

 

ID

 

Kategorie

TCPIP

Tag

Hardware

Autor

 

 

        

Add comment

  Country flag

biuquote
  • Comment
  • Preview
Loading