Firewall für Zusammenarbeit mit VPN konfigurieren


    Tags: ,

    Ein VPN wird typischerweise von außen aufgesetzt. Damit es innerhalb einer Firewall genutzt werden kann, müssen Firewalls in Kleinunternehmen für ein VPN-Passthrough häufig erst entsprechend konfiguriert werden. Dazu gehört, dass man die Ports und Protokolle zulässt, die für die Herstellung einer VPN-Verbindung nötig sind.

    Die Firewall muss den Transport des VPN-Traffic zum entsprechenden Concentrator zulassen, wobei das VPN Gateway innerhalb der demilitarisierten Zone liegen sollte. Dies unterscheidet sich von einer typischen Stateful Inspection Firewall, deren Verbindungen innerhalb des Netzwerkes beginnen. In diesem Fall erstellt die Firewall die benötigten Tunnel für den Return-Traffic sofort. Folglich müssen die für den VPN-Betrieb benötigten Ports und Protokolle korrekt eingegeben und konfiguriert werden.

    Ports für SSL und IPSec öffnen

    In einem SSL-VPN muss man beispielsweise sicherstellen, dass der SSL-Port für den Zugang zum SSL VPN Gateway offen ist. Dies ist üblicherweise Port 443 und es wird TCP 6 verwendet.

    Bei IPsec ist der Aufwand etwas größer: IKE (für Initial Key Exchange), das über UDP Port 500 läuft und (in den meisten Fällen) auch NAT-Traversal, das über UDP Port 4500 läuft, müssen eingerichtet werden.

    Zusätzlich muss sichergestellt werden, dass Protokoll 50 für ESP (Encapsulating Security Payload) und/oder Protokoll 51 für AH (Authentication Header) offen sind und IPsec-Traffic durchlassen.

    Daneben gibt es noch andere, weniger gängige VPN Technologien, wie beispielsweise PPTP, L2TP und L2F, die andere Voraussetzungen haben. Das wichtigste aber ist, dass man die Anforderungen des eingesetzten Sicherheitsprotokolls versteht.

    Keine Kommentare