Firewall für Zusammenarbeit mit VPN konfigurieren


    Tags: ,

    Ein VPN wird typischerweise von außen aufgesetzt. Damit es innerhalb einer Firewall genutzt werden kann, müssen Firewalls in Kleinunternehmen für ein VPN-Passthrough häufig erst entsprechend konfiguriert werden. Dazu gehört, dass man die Ports und Protokolle zulässt, die für die Herstellung einer VPN-Verbindung nötig sind.

    Die Firewall muss den Transport des VPN-Traffic zum entsprechenden Concentrator zulassen, wobei das VPN Gateway innerhalb der demilitarisierten Zone liegen sollte. Dies unterscheidet sich von einer typischen Stateful Inspection Firewall, deren Verbindungen innerhalb des Netzwerkes beginnen. In diesem Fall erstellt die Firewall die benötigten Tunnel für den Return-Traffic sofort. Folglich müssen die für den VPN-Betrieb benötigten Ports und Protokolle korrekt eingegeben und konfiguriert werden.

    Ports für SSL und IPSec öffnen

    In einem SSL-VPN muss man beispielsweise sicherstellen, dass der SSL-Port für den Zugang zum SSL VPN Gateway offen ist. Dies ist üblicherweise Port 443 und es wird TCP 6 verwendet.

    Bei IPsec ist der Aufwand etwas größer: IKE (für Initial Key Exchange), das über UDP Port 500 läuft und (in den meisten Fällen) auch NAT-Traversal, das über UDP Port 4500 läuft, müssen eingerichtet werden.

    Zusätzlich muss sichergestellt werden, dass Protokoll 50 für ESP (Encapsulating Security Payload) und/oder Protokoll 51 für AH (Authentication Header) offen sind und IPsec-Traffic durchlassen.

    Daneben gibt es noch andere, weniger gängige VPN Technologien, wie beispielsweise PPTP, L2TP und L2F, die andere Voraussetzungen haben. Das wichtigste aber ist, dass man die Anforderungen des eingesetzten Sicherheitsprotokolls versteht.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Rainer Enders
    Rainer Enders ist technischer Leiter der NCP engineering in Nordamerika, einer Niederlassung der deutschen Firma NCP engineering GmbH. Er arbeitet seit 20 Jahren in der Netzwerk- und Sicherheits­industrie und hat darüber hinaus Erfahrung in Test­automa­ti­sierung, Qualitäts­sicherung sowie Test und Verifikation von komplexen Netzwerk- und System­architekturen.

    Ähnliche Beiträge

    Weitere Links