mpix Handleiding Auteur Copyright divinet.nl

Transcriptie

1 mpix Handleiding Versie : 1.0a Datum : 28 November 2006 Auteur :

2 Pagina 2 van 23 Inhoudsopgave Inhoudsopgave Inleiding Aanmaken Hosts/Netwerken Aanmaken Access rules ICMP Routeringen Beperkingen mpix Logging Bijlage Protocolen Verklarende woorden lijst FAQ 2

3 Pagina 3 van 23 Introductie Door de uitbreiding van netwerken en het beschikbaar zijn van een IP-VPN komt de vraag om de security centraal te kunnen regelen. De mpix is hiervoor geschikt en kan als uitbreiding op een IP-VPN of direct op een enkelvoudige DSL lijn (mpix Direct) gebruikt worden om centraal de toegang tot het internet (of andere netwerken) te regelen. De mpix is een complete firewall welke eigenschappen als statefull packet inspection, (advanced) NAT, inkomende en uitgaande rules en de robuustheid van een Cisco Firewall combineerd in 1 product. Een aantal aanvullende voordelen van dit product is het feit dat de hardware (en onderhoudt hierop) geregeld worden door Divinet.nl. Tevens wordt het software onderhoudt en de aanvullende contracten met Cisco door Divinet.nl geregeld en hoeft de klant hiervoor verder niets te doen. Het operationeel beheer (security rules, NAT rules ed) worden geheel door de partner (of klant) geregeld en kunnen realtime via de management interface ingegeven worden. De dienst wordt door Divinet.nl geleverd en wordt direct in de backbone (in ons Cisco 6500 platform) dmv FireWall Service Modules aangeboden. Voordeel hiervan is dat de performance van de mpix ongeevenaard is (~5Gbps). Bestelling mpix Er is keuze uit 4 typen. Deze zijn : 1. MPIX Direct a. Bedoeld als Internet gateway voor één enkel lokatie met één lijn of gestapelde lijn. 2. MPIX VPN a. Bedoeld als één IP VPN Internet gateway voor meerdere locaties of meerdere lijnen. 3. MPIX+ direct a. Uitgebreide MPIX variant met meer features en opties voor één enkel lokatie met één lijn of gestapelde lijn. 4. MPIX+ VPN a. Uitgebreide MPIX variant met meer features en opties voor meerdere locaties of meerdere lijnen. 3

4 Pagina 4 van 23 Activatie MPIX Als de MPIX is geactiveerd zijn de volgende instellingen als basis ingericht. De basis instellingen zijn: mpix mag beheerd worden vanuit het hele inside netwerk. Beheer van uit outside staat default uit. Er staat alleen een default gateway in de mpix. Interne routeringen zijn niet geconfigureerd. Echo en echo-reply staan default aan op de inside interface. Echo-reply staat default aan op de outside interface. Alle inside netwerken worden standaard naar het outside publieke IP adres vertaald van de mpix bij verbindingen naar het Internet. Default mogen alle inside netwerken naar buiten op basis van IP. Default staat alles naar binnen dicht. Logging is default niet geconfigureerd. Beheer MPIX De MPIX kan default zoals je kunt lezen alleen maar vanuit inside worden beheerd. Dit beheren doe je d.m.v. de zogenaamde PDM (PIX device manager) en deze start je op door in je Internet explorer het volgende adres in de adres balk in te typen. https;// De randvoorwaarden voor het succes vol opstarten van de PDM vanuit het inside netwerk zijn: 1. internet explorer 5.0 of hoger/ Firefox 1.5 of hoger 2. java versie 1.42 of hoger 3. De lokatie van waaruit je wilt beheren zal in de IP VPN moeten zijn opgenomen. 4. De routering naar jouw beheer lokatie moet in de MPIX bekend zijn. Zoals je ziet kun je zelf voor punt 1,2 zorgen maar zal punt 3 en 4 lastig zijn aangezien het een nieuwe MPIX is waar jezelf nog niet zomaar bij kunt. Een goede manier om er voor te zorgen dat je altijd bij de MPIX van de Klanten kunt is het inrichten van een beheer machine die aan de PDM MPIX beheer machines wordt toegevoegd op de Outside Interface van de te beheren MPIX. Dit toevoegen van een extra beheer machine aan de buitenkant kun je aanvragen door op de MPIX na activering een ticket te openen maar nog eenvoudiger is het door dit verzoek tijdens de bestelling in het opmerkingen veld te plaatsen. 4

5 Pagina 5 van 23 Aanmaken Hosts/Netwerken Het beheren van de MPIX is natuurlijk een persoonlijke zaak maar in deze handleiding proberen wij U het beheer van de MPIX dusdanig uit te leggen dat er zo min mogelijk fouten worden gemaakt. Alles m.b.t. de configuratie van de MPIX kan binnen de PDM gui worden gedaan en om deze Gui zo optimaal mogelijk te gebruiken raden wij U aan om voordat U met het configureren van Access Rules begint alle resources die U bij de configuratie van Access Rules nodig heeft eerst onder het tabblad Hosts/networks aan te maken. Er zit namelijk een kleine wizard verborgen bij het aanmaken van een host of network. Klik op add en de wizard begint. Vul ip adres van host of netwerk in. Vul mask in van host of netwerk (Host dan altijd ) Vul naam in voor het makelijk terug vinden in rules van het netwerk of host. Klik next: Als het de eerste Host of het eerste netwerk is dat je invult vul je uiteraard de routering in naar het netwerk of host. Dit is bij alle nieuwe opgeleverde MPIX installaties na 1 juni 2006 altijd als gateway. 5

6 Pagina 6 van 23 Laat het vinkje bij deze vraag m.b.t Never ask me this questions again altijd leeg Mocht je dit vinkje hebben gezet kun je de default instellingen van de PDM onder Options preferences weer terug zetten door op default te klikken. Next Als laatste stap vul je de Nat vertalingen in. 6

7 Pagina 7 van 23 NAT Bij Address Pool ID zal er altijd minimaal 1 POOL actief zijn dit is altijd Pool ID 1. Hier zit namelijk de basis PAT vertaling op basis van het outside IP adres van de MPIX op geconfigureerd. Meerdere Pools kan men configureren door op manage pools te klikken. Hier een vb van een heel stel POOL ID s 7

8 Pagina 8 van 23 Als je de netwerken en/of hosts hebt toegevoegd en alle routeringen en Nat vertalingen goed hebt ingevuld is de basis goed gelegd. Onder de tabbladen translation rules en properties kun je respectievelijk de Nat vertaling en de routeringen controleren. Hier als voorbeeld waarbij geen vertaling wordt toegepast en dus het IP adres hetzelfde blijft. Hier de standaard vertaling naar het outside ip adres van de MPIX Ook is het mogelijk om een poort vertaling van een publiek IP adres naar een Host te maken. Hiermee bespaart men namelijk op Publieke IP adressen. Men kan namelijk door slim gebruik te maken van Poort translaties aan 1 Publiek IP adres meerdere Interne servers op verschillende poorten koppelen. Een mooi voorbeeld is het configureren van RDP op diverse interne server voor beheer terwijl aan de buiten kant de Interne machine op diverse poorten op het publieke IP adres luisteren. 8

9 Pagina 9 van 23 Aanmaken Access rules Als de host en netwerken zijn aangemaakt is het aanmaken van Access rules zeer eenvoudig. Wat wel heel belangrijk is om te weten is dat de MPIX firewall van Cisco op twee zeer belangrijke principes is gebouwd. Dit zijn namelijk: 1. Het hele firewall principe baseert op één access-list per Interface die incomming op de Interface is. 2. Het first match principe.dit betekent dat de MPIX bij de eerste match op een Access rule deze zal uitvoeren en de volgende regels die er onder staan niet meer zal uitvoeren. Als men dit in een schema zou moeten zetten ziet het er zo uit. Access-list inside Access-list Outside In dit schema zijn bewust enkele fouten gemaakt om ze te kunnen toelichten. Om te beginnen zien we bij de access-list outside twee normale regels die mail (25) en web (80) naar een host naar binnen toestaan. Op regel 3 staat vervolgens een permit any any die de MPIX wagenwijd openzet. Regel 4 zal vervolgens alles blokken. De principes in aanmerking genomen van first match betekent dit dus dat mail bestemd voor (aan de buitenkant uiteraard een publiek adres) op regel 1 zal matchen. 9

10 Pagina 10 van 23 Idem voor web verkeer op host maar op regel drie staat een any any die alles toelaat waardoor regel 4 nooit meer dienst doet. Als we naar de access-list inside kijken zien we vergelijkbare problemen. Regel 1 zal namelijk altijd matchen waardoor regel 2,3 er niet meer toe doen. Wil je dus b.v alleen de mailserver naar buiten laten mailen en vervolgens alle machines toch vrij op het internet laten surfen zonder beperkingen behalve poort 25 (smtp) dan zou de access-list inside er als volgt uitzien. 1 permit host any eq 25 2 deny any any eq 25 3 permit any any Pas vooral op met het gebruik van het any any statement. Dit wordt vooral erg gevaarlijk bij meer dan twee interfaces. Als je dit in een schema zet ziet dit er als volgt uit. Access-list inside Access-list Outside Zonder nu al te veel te zeggen zie je nu al heel snel dat het statement permit any any op beide access-lists voor de volgende problemen zorgt. 10

11 Pagina 11 van 23 Iedereen van buiten mag zowel naar het inside netwerk als naar het DMZ netwerk. Iedereen vanuit het Inside netwerk mag zowel naar buiten als naar het DMZ netwerk. Beter is het dus om ervoor te zorgen dat de access-rules zo specifiek mogelijk zijn. Dus b.v op inside 1 permit /24 (inside) /24 (dmz) waardoor alleen het netwerk naar dmz mag. Bij het aanmaken van de access rules zijn er nog een paar aandacht punten die voor meer security kunnen zorgen. Die zijn: Zet deny regels bij voorkeur zo hoog mogelijk op de access-rules lijst. Wees zo specifiek als mogelijk Probeer any any rules te voorkomen. Verder is het van belang om te weten dat: Bij de keuze van de source host/network interface de plek van de access-list wordt vastgelegd. De keuze van de destination Host/network interface geen invloed op bestemmings interfaces heeft maar er alleen maar staat om het zoeken naar Host/networks eenvoudiger te maken als deze al zijn gedefinieerd. 11

12 Pagina 12 van 23 Het aanmaken van groups (meerdere netwerken of hosts of combinaties) alleen maar kan onder het tabblad Host/networks. Het aanmaken van service Groups kan binnen het aanmaken van een accessrule of anders te vinden is onder Tools service groups. Voor meer dan 98 procent van de poort instellingen de volgende regels gelden: o Source port altijd hoger is dan 1024 en dynamisch door de pc wordt vastgesteld en daarom bijna nooit hoeft te worden gewijzigd t.o.v de o default. De Destination port bijna altijd een vaste poort is en dat deze op zogenaamde RFC lijsten of bij de software gebruiksaanwijzing kan worden gevonden. Zeker als het afwijkende poorten zijn of als er meerdere poorten open moeten zal dit altijd bij de fabrikant zijn terug te vinden. Er een bug zit in de PDM access-rule wizard die bij het selecteren van poorten of IP sub protocolen nog wel eens roet in het eten wil gooien. Vooral bij he selecteren van IP sub protocollen zoals gre(47) of esp(50) lijkt het niet te werken. Als je de sub protocollen zonder de haakjes en alleen het nummer in typt werkt het wel. Het wijzigen van nat vertalingen on the fly als er al access-rules zijn aangemaakt voor die host de bijbehorende access-rules op null gaat zetten. Beter is het om de access-rules van die Host eerst weg te halen en dan de Nat regels aan te passen en vervolgens de access-rules weer terug te plaatsen. 12

13 Pagina 13 van 23 ICMP Men zou ICMP kunnen beschrijven als het protocol dat de administratie van een netwerk verzorgt; het laat gebruikers toe problemen uit te pluizen, en stelt TCP/IPimplementaties in staat om foutberichten te sturen naar communicatiepartners. Hoewel het protocol beschreven wordt in een apart RFC-document, losstaand van het document dat IP, het Internet-protocol zelf, beschrijft, is het wel zo dat ICMP integraal deel uitmaakt van IP; een IP-implementatie die geen ICMP implementeert kan niet als volledig beschouwd worden. ICMP is een connectionless protocol, met IP-protocolnummer 1. De meest bekende sub protocollen zijn: TCP (6) UDP (17) ICMP (1) ESP (50) AH (51) GRE (47) Icmp wordt dan ook door onze partners voornamelijk gebruikt om problemen te achterhalen. Er zitten echter een paar aders onder het gras. De MPIX laat default geen ICMP verkeer toe. De opgeleverde MPIX is echter al enigszins aangepast en laat beperkt ICMP toe. Dit is: Echo en echo-reply staan default aan op de inside interface. Echo-reply staat default aan op de outside interface. Met deze instellingen kun je dus de MPIX vanuit het inside netwerk pingen op zijn Interface en kunnen ping pakketten antwoord geven door de MPIX terug naar de PC om Internet te kunnen testen. Als men de MPIX bv ook van buiten wil kunnen pingen zal men dit moeten wijzigen bij properties/administration/icmp Rules 13

14 Pagina 14 van 23 Als men PING (ICMP) wil gebruiken om een probleem boven water te krijgen is het verstandig dit niet gelijk naar de eind bestemming te doen maar eerst naar bv de gateway en zich zo naar het probleem toe te werken. Ook de commando s traceroute op een Cisco router of tracert op een windows host laten al vaak potentiële problemen zien. Sinds de komst van XP hebben we er een nieuwe tool bij en die heet pathping. Deze tool is een combinatie van tracert en pring en laat duidelijke bottlenecks in een netwerk zien. Ook het gebruik van ping om te ontdekken of er binnen een netwerk problemen zijn met de MTU size wordt vaak vergeten. Het default ICMP pakket is namelijk maar 56(64) bytes afhankelijk welk platform je gebruikt en zal normaal gesproken geen last hebben van MTU size problemen. Maar wijzig je deze size met (Windows ) ping x.x.x.x l 1500 f en maak je deze size langzaam kleiner. -l = size -f = do not fragment 14

15 Pagina 15 van 23 Routeringen De routeringen binnen een MPIX oplossing zijn redelijk eenvoudig. Aangezien de MPIX binnen het Divinet.nl netwerk staat en Divinet.nl uitsluitend BGP gebruikt voor haar routeringen en de MPIX hier niets van begrijpt doen we alle routeringen op de MPIX statisch. Dit betekent dus letterlijk dat wanneer er een nieuw netwerk aan de IP VPN van de klant wordt toegevoegd dit ook betekent dat dit netwerk bekend moet worden gemaakt op de MPIX. Dit wordt niet automatisch door Divinet.nl gedaan. De partner is verantwoordelijk voor het beheer en de inrichting van de MPIX. Alle routeringen worden automatisch gevuld als men de nieuwe netwerken via de Host/networks wizard toevoegd. Wil men de routeringen handmatig toevoegen dan doet men dit onder properties/routing/static Route. Default is de default route outside gevuld door Divinet.nl deze mag men niet wijzigen. Alle routeringen naar het inside netwerk kunnen sinds 1 juni 2006 worden gezet naar Dit is de default gateway naar binnen bij divinet.nl per IP VPN. Andere routeringen voor andere interfaces (naar DMZ b.v) gaan ook naar een x.252 gateway maar dit moet per interface worden gecommuniceerd. Een eenvoudige manier om te kijken of de routering werkt is door vanuit de Tools/Ping command line een ping naar de router of host te versturen via de MPIX GUI. 15

16 Pagina 16 van 23 Als men een routering wil afdwingen omdat men denkt een probleem te hebben kan men een interface kiezen van waaruit de ping wordt verstuurd. Normaal gesproken zal in de routerings tabel van de MPIX worden gekeken via welke interface de ping moet worden verstuurd. Ook bij de MPIX geldt het routerings principe most specific wordt gebruikt. Dit betekent dat als men een routering voor het /8 netwerk naar binnen routeert naar de maar men routeert ook /32 naar buiten dan zal de nooit meer binnen bereikbaar zijn ook al bevindt er zich werkelijk een host met dit IP adres op het inside netwerk. 16

17 Pagina 17 van 23 Beperkingen mpix De MPIX met zijn huidige software versie heeft twee beperkingen die soms lastig kunnen zijn. PPTP Als men de Windows vpn manier wil gebruiken om verbindingen te maken (PPTP) ondersteund de MPIX dit niet goed. In de praktijk komt het er op neer dat men voor elke gebruiker die vanuit inside naar buiten een PPTP tunnel wil opzetten een publiek IP adres nodig heeft. Dit heeft te maken met het feit dat de MPIX niet weet dat het protocol GRE naar binnen moet worden geopend als men een Windows VPN opzet. Dit moet dus handmatig gebeuren. Aangezien dit niet d.m.v port forwarding kan moet men een dedicated publiek IP adres aan deze gebruiker toekennen. Hetzelfde probleem heeft men als men een Windows server wil inzetten inside als een Windows VPN server. OOK hier heeft men een dedicated Publiek IP adres nodig. IPSEC Hetzelfde geldt in mindere mate bij IPSEC. Als een gebruiker een ipsec verbinding van binnenuit wil maken naar een VPN server is dit geen probleem maar als meerdere gebruikers dit tegelijkertijd willen doen gaat het ook hier mis. Hier heeft het echter te maken met het feit dat de MPIX dan niet goed weet naar welke gebruiker hij de terugkerende IPsec sessie moet sturen. Bij het gebruik van een IPSEC terminator device aan de binnenkant zouden wij altijd een dedicated Publiek IP adres adviseren. Exchange/SMTP Default staat de smtp fixup in de MPIX aan. Deze is te vinden onder properties/advanced/fixup 17

18 Pagina 18 van 23 Er zijn gevallen bekend waarbij de fixup voor mail problemen zorgde bij diverse mail platformen. Het uitschakelen van SMTP fixup verhelpt eventuele mail problemen maar is wel minder secure. Dit zult U dus zelf moeten vaststellen. 18

19 Pagina 19 van 23 Logging Zoals al eerder in dit document vermeld staat logging op de MPIX default uit. Als men echter op een MPIX moet troubleshooten is het zeer belangrijk dat men de logging kan gebruiken. Logging zet men op de volgende manier aan: Ga naar properties/logging/logging setup en zet logging aan. Ga naar PDM logging en zet debugging of informational aan. 19

20 Pagina 20 van 23 Ga naar syslog en zet ook daar debugging of informational aan. Nu is de MPIX klaar om de juiste logging informatie via of een syslog server of de GUI monitoring tool te tonen. Voor een syslog server zal er nog een syslog server moeten worden gedefinieerd en let hierbij op een MPIX samen met veel logging en een goede syslog server kan een sdsl verbinding waar de syslog server misschien achter zit compleet overbelasten. 20

21 Pagina 21 van 23 De Monitor tool vindt je op de main Tab onder Monitoring Als je deze tab opent zie je het volgende: Als je de PDM log aanclickt krijg je een venster waar je weer je logging level selecteerd en na het aanclicken van view krijg je het eigenlijke venster. 21

22 Pagina 22 van 23 Door enkele malen op refresh te klikken zal het venster zich gaan vullen met gegevens waaruit jezelf je conclusie zult moeten gaan trekken. Door op de knop clear te klikken maak je het venster weer leeg. Hier een view waar alles goed lijkt te gaan. (tenminste als je dit dus wilt) 22

23 Pagina 23 van 23 Bijlage Protocollen/Poorten Een lijst met alle officiële geregistreerde protocollen en poorten vindt je hier. Verklarende woordenlijst CSP Contractant van Divinet.nl Eindgebruiker Contractant van CSP ATM Asynchronous Transfer Mode, technologie voor datacommunicatie PVC Permanent Virtual Circuit, methode om data te transporteren over ATM CPE Router/bridge bij de klant IP-VPN Gesloten virtual private netwerk MPIX Managed hosted Cisco PIX firewall Interconnect De connectie van de aan het Divinet.nl-netwerk gekoppelde telco s SLA Service level Agreement IS/RA punt Het lokale punt waar het koperdraad een gebouw binnenkomt. Local Loop lijnverbinding vanaf de ISRA naar de wijkcentrale QoS Quality of Service NAT Netwerk adres vertaling DMZ demilitariseerde zone ( een netwerk dat als minder veilig wordt beschouwd als het inside netwerk maar veiliger als het Outside netwerk( Internet) FAQ 00aecd800fa578.shtml Referenties Sommige in dit document gebruikte tekst fragmenten zijn van de Cisco website gehaald en zo goed mogelijk vertaald en van de Wiki pedia. Links Firewall module: 23