Firewall für den Datenverkehr in VPN-Tunneln

[sgoetze]

Hallo,

ich bin um Rat zu einem Problem befragt worden, zu dem ich diesen Rat selbst benötige.

Ein kleines Automatisierungsnetz besteht aus eine Zentrale und drei automatisch arbeitenden räumlich entfernten (einige km) Außenstellen. Früher wurden Modem-Wählleitungen zur Verbindung der Zentrale mit den Außenstellen genutzt, vor einiger Zeit wurden als Modernisierung DSL-Anschlüsse mit LC-1751-Routern eingeführt. Die Zentrale kommuniziert jetzt mit den Außenstellen durch VPN-Tunnel (site2site). Da die Vernetzung nur Mittel zum Zweck ist und man in dem Fachbetrieb keinen Netzwerkspezialisten hat, wurde über das Einrichten der VPN-Tunnel hinaus die Standardkonfiguration der LC 1751 kaum geändert (natürlich andere Passworte). Jetzt ist aber doch die Frage der Netzwerksicherheit aufgetaucht und man möchte

1. den Datenverkehr aus den Netzen in der Zentrale und in den Außenstellen auf die Nutzung der VPN-Tunnel einschränken (es soll niemand, der sich an das Netz anschließt, eine Verbindung ins Internet bekommen), um wieder einen Sicherheitszustand ähnlich wie bei den Modem-Wählleitungen zu erreichen,

2. nur Datenverkehr in den VPN-Tunneln zuzulassen, der von der Zentrale ausgeht (es werden die Außenstellen alle paar Minuten abgefragt und liefern einige hundert Byte Daten, also Performance ist kein Thema und früher hat nur das Modem aus der Zentrale die Außenstellen angerufen). Somit soll niemand aus den Netzen in den Außenstellen durch einen VPN-Tunnel auf die Knoten in der Zentrale (u.a. ein Datenarchiv) zugreifen können. Es gibt zwar eine Zutrittssicherheit, aber man möchte nicht beim Aufleuchten der Einbruchsmeldung in einer Außenstelle zum Verhindern möglicher Angriffe sofort das Netzwerk lahmlegen - nur weil eine Handwerksfirma das Ausschalten des Einbruchalarms vergessen hat.

So, das ist das Problem und hier sind meine Fragen.

Lassen sich beide Aufgaben mit den Firewalls in den LC 1751 lösen?
Für Aufgabe 1 habe ich im Internet Lösungen gesehen (nicht für LANCOM). Es sollte aber ähnlich möglich sein.
Bei Aufgabe 2 habe ich nichts gefunden. Es ist schwer, das Problem eingrenzende Suchbegriffe zu wählen (Firewall, VPN, Richtung, Regel usw. produzieren tausende Treffer).
Kann mir jemand bei dem Problem selbst oder bei der Suche nach einer Lösung helfen?
Wenn sich Aufgabe 2 nicht oder nur mit sehr komplexen Firewalleinstellungen lösen ließe, wäre die Alternative, eine Hardwarefirewall hinter dem LC 1751 in der Zentrale zu betreiben. Dann hat man es nur noch mit dem privaten Netz zu tun - die Regel ist dann einfach und heißt - "lass keine Verbindungsaufnahme von außen zu".

Vielen Dank im Voraus

SGoetze

[Jirka]

Hallo sgoetze,

Lassen sich beide Aufgaben mit den Firewalls in den LC 1751 lösen?

Selbstverständlich und sogar noch darüber hinaus.

Für Aufgabe 1 habe ich im Internet Lösungen gesehen (nicht für LANCOM). Es sollte aber ähnlich möglich sein.

Eine Deny-All-Regel und dann eine Regel, die erlaubt, was erlaubt werden soll...
https://www2.lancom.de/kb.nsf/1275/BB6F ... enDocument

Bei Aufgabe 2 habe ich nichts gefunden. Es ist schwer, das Problem eingrenzende Suchbegriffe zu wählen (Firewall, VPN, Richtung, Regel usw. produzieren tausende Treffer).

Genau die gleiche Antwort wie bei 1. Quelle und Ziel beachten, fertig.

Kann mir jemand bei dem Problem selbst oder bei der Suche nach einer Lösung helfen?

Problem an der Sache ist immer, dass es fast drei mal länger braucht das hier aufzuschreiben, als es zu konfigurieren...
Zumal hier ja noch nicht mal konkrete IP-Adresse aufgeführt wurden.

Wenn sich Aufgabe 2 nicht oder nur mit sehr komplexen Firewalleinstellungen lösen ließe, wäre die Alternative, eine Hardwarefirewall hinter dem LC 1751 in der Zentrale zu betreiben.

Um Gottes willen... Das wäre ja wie mit den Händen zu essen, weil man nicht weiß, wie das Besteck zu benutzen ist...

Viele Grüße,
Jirka

[sgoetze]

Hallo Jirka,

vielen Dank für die Hilfe.

Frohe Ostern

SGoetze