Embed Size (px)
Citation preview
Einfach Sicher – Anleitungen
IT-Security Produkte müssen einfach zu bedienen sein, sowohl für den Anwender, als auch für den Administrator. Sind Produkte zu komplex werden sie falsch konfiguriert oder gar nicht verwendet, was zu wenig oder gar keiner Sicherheit führt.
Custotec Einfach Sicher - Anleitungen sollen die Einrichtung und Konfiguration von Sicherheitssoftware erleichtern. Dabei wird, mit Bildern unterlegt, Schritt für Schritt gezeigt, wie verschiedene Optionen zu konfigurieren sind.
Verbesserungsvorschläge sind uns jederzeit Willkommen, schicken sie uns eine Mail an
CopyrightDiese Anleitungen wurden mit größter Sorgfalt erstellt. Custotec haftet jedoch nicht für Schäden jeglicher Art, die aus der Verwendung dieser Anleitung resultieren. Die Anleitungen stellen keine Zusicherung von Produkteigenschaften dar. Änderungen des Textes und Anpassungen sind vorbehalten.
Der Hersteller der beschriebenen Produkte ist die Firma
NCP engineering GmbH – http://www.ncp-e.com
Dieses Material steht unter der Creative-Commons-Lizenz Namensnennung - Weitergabe unter gleichen Bedingungen 4.0 International. Um eine Kopie dieser Lizenz zu sehen, besuchen Sie http://creativecommons.org/licenses/by-sa/4.0/.
Seite 1 von 8 Grundkonfiguration Firewall NCP Entry ClientCustotec – http://www.custotec.de – [email protected]
Grundkonfiguration Firewall NCP Entry Client
Diese Anleitung soll in einfachen Schritten erklären, wie die Firewall für den NCP Entry Client für Windowskonfiguriert wird
Die aktuellste Version des NCP Entry Client kann direkt auf der Seite des Herstellers bezogen werden. Damitwird sichergestellt, dass immer die aktuellste Software eingesetzt wird:
https://www.ncp-e.com/de/service/download-vpn-client.html
Der Konfigurationsdialog kann im NCP Entry Client im Menü Konfiguration – Firewall aufgerufen werden (2. Menüpunkt von oben).
Es öffnet sich der Firewall Konfigurationsdialog, der folgendermaßen aussieht:
Die Firewall ist in der Standardeinstellung deaktiviert und muss erst aktiviert werden.
Achtung! Wird die Firewall aktiviert, verwirft sie alle ein- und ausgehenden Pakete bis entsprechende Regeln erstellt worden sind. Ausgehende IPsec Verbindungen werden immer automatisch zugelassen.
Seite 2 von 8 Grundkonfiguration Firewall NCP Entry ClientCustotec – http://www.custotec.de – [email protected]
Der NCP Client bietet einen Regelassistenten, der häufig benötigt Regeln automatisch einfügen kann.
Als Beispiel soll die erste Regel „Alle ausgehenden Verbindungen (IPv4) eingefügt werden“.
Diese Regel erlaubt ausgehenden IPv4 Verkehr auf allen Schnittstellen, allerdings nur, wenn die Verbindung vom eigenen PC ausgegangen ist. Sollte eine neue Verbindung von außen ankommen, wird diese abgelehnt.
Hinweis: Die NCP Client Firewall registriert sich im Windows Security Center, wird also dort als Firewall erkannt. Wird die Windows Firewall nicht explizit deaktiviert, sind beide Firewalls aktiv, d.h.die Windows Firewall und die NCP Firewall. Dies kann es erschweren Fehler zu suchen.
Als weiteres Beispiel wird die bisherige Regel gelöscht und es sollen Regeln angelegt werden, die nur das surfen erlauben (diese Regeln wären auch im Regelassistenten vorhanden unter „Internet Zugriff via Web-Browser).
Um eine Vorhandene Regel zu löschen wird diese ausgewählt und der Button löschen im unteren Feld betätigt.
Seite 3 von 8 Grundkonfiguration Firewall NCP Entry ClientCustotec – http://www.custotec.de – [email protected]
Um eine neue Regel hinzuzufügen wird der Button „Neu“ gedrückt.
Seite 4 von 8 Grundkonfiguration Firewall NCP Entry ClientCustotec – http://www.custotec.de – [email protected]
Die neue Regel taucht als Zeile in der Firewall Konfiguration auf. Dort muss als erstes ein Name für die Regel eingetragen werden. Zusätzlich werden die drei Haken für die Netze aktiviert (Erklärung folgt später) und als Protokoll TCP ausgewählt werden.
Nun muss konfiguriert werden, welche IP Adressen und Ports erreichbar sein sollen. Dazu können im unteren Teil des Fensters Angaben gemacht werden.
Es soll der Zugang von unserem PC zu beliebigen Webservern erlaubt werden. In der Liste ist bereits ein Platzhalter für das lokale Netz „anyv4“ vorhanden. Damit wird automatisch jegliche IPv4 Adresse zugelassen. Der gleiche Platzhalter existiert für IPv6 Netzwerke und nennt sich „anyv6“.
Hinweis: Sollte im unteren Bereich kein Editieren möglich sein, muss der Bearbeitungsmodus mit Klick auf „Bearbeiten“ aktiviert werden.
Im Bereich Lokal und IP-Adresse wird auf das „+“ Symbol geklickt und ein Eintrag mit „anyv6“ erstellt. Im Bereich Remote ein Eintrag für „anyv4“ und „anyv6“
Mit diesem Eintrag wird der Datenverkehr von jeder lokalen IP zu jeder entfernten IP zugelassen (stateful – nur für vom PC aufgebaute Verbindungen).
Seite 5 von 8 Grundkonfiguration Firewall NCP Entry ClientCustotec – http://www.custotec.de – [email protected]
Was noch fehlt die die Angabe der Ports auf der Remote Seite.
Dieser kann entweder als Name „http“ oder als Nummer angegeben werden „80“. Ein weiterer Eintrag für „https“ oder „443“ wird hinzugefügt.
Damit ist diese Regel vollständig. Die Regel muss allerdings noch aktiviert werden. Dazu wird der grüne Haken am Anfang der Regel aktiviert
Damit wird der Zugriff auf Webseiten zugelassen. Was allerdings noch fehlt ist eine Regel für DNS Abfragen, um den Namen der Webseite in eine IP Adresse auflösen zu können.
Dazu wird eine neue Regel mit folgenden Einstellungen erstellt:
Seite 6 von 8 Grundkonfiguration Firewall NCP Entry ClientCustotec – http://www.custotec.de – [email protected]
Damit ist die Erstellung der Regeln abgeschlossen und der PC darf nur noch Webseiten erreichen oder einen VPN Tunnel aufbauen. Weitere Regeln können nun hinzugefügt werden.
Die Firewall des NCP Entry Client für Windows ist damit konfiguriert. Für das weitere Vorgehen, z.B. wie der Client aktiviert oder konfiguriert werden kann, siehe unsere weiteren Anleitungen unter:
http://www.custotec.de/Einfach/NCP-Konfiguration
Seite 7 von 8 Grundkonfiguration Firewall NCP Entry ClientCustotec – http://www.custotec.de – [email protected]
Optionen der Firewall - Regeldefinition NCP Entry Client
Mögliche Einstellungen der RegeldefinitionAktiv: Regel aktiv oder inaktivName: Name der RegelRichtung: eingehend, ausgehend oder bidirektional. Gilt stateful, d.h. Antwortpakete werden
automatisch zugelassen, es sind keine zwei Regeln notwendig.Aktion: zulassen oder sperren. Per default werden alle Pakete gesperrt und es werden Regeln für
erlaubte Pakete erstellt. Sollen explizit eine Ausnahme für eine bereits vorhandene „zulassen“ Regel erstellt werden, kann dies über eine „sperren“ Regel umgesetzt werden.
Netze: VPN, Bekanntes Netzwerk, Unbekanntes Netzwerk. Wird der Haken für „VPN“ gesetzt, gilt diese Regel innerhalb des VPN Tunnels. Alle anderen Netze sind per default „Unbekannte Netze“. Bekannte Netze sind ein Spezialfall der innerhalb einer anderen Anleitung erklärt wird.
Protokoll Definiert das Netzwerkprotokoll.Anwendung Definiert die Anwendung für die diese Regel gelten soll.Kein automa …Der NCP Client kann so konfiguriert werden, dass automatisch eine Verbindung aufgebaut
wird, wenn Daten fließen. Wird dieser Haken aktiviert, beeinflussen Pakete dieser Regel nicht den automatischen Verbindungsaufbau.
Nur gültig … Diese Regel ist nur gültig, solange keine VPN Verbindung besteht.
Mögliche Einstellungen der IP und Portdefinition
Es gibt folgende Schlüsselwörter für IP Adresse:
anyv4 Jede IPv4 Adresseanyv6 Jede IPv6 Adresse
Netze oder IP Adressen werden in der sogenannten CIDR Schreibweise angebenen also z.B.
192.168.2.0/24 Das gesamte Class C Netzwerk 192.168.2.0 – 192.168.2.255192.168.5.10/32 Genau die IP 192.168.5.10
Folgende Schlüsselwörter gibt es für Ports:
any Jeder Port
Ansonsten kann ein einzelner Port angegeben werden (als Nummer oder Name, falls bekannt) oder Portbereiche, also z.B. 100 – 200.
Seite 8 von 8 Grundkonfiguration Firewall NCP Entry ClientCustotec – http://www.custotec.de – [email protected]
