Konfiguracja Siemens mo¿e odbywać się w następujacy
Transkrypt
Konfiguracja Siemens mo¿e odbywać się w następujacy
PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Przewodnik konfiguracji i zarządzania Siemens 4YourSafety Konfiguracja Siemens 4YourSafety w zakresie systemu operacyjnego i supportu urządzenia może odbywać się w następujący sposób: • z lokalnej konsoli urządzenia, • zdalnie poprzez SSH (secure shell), • zdalnie poprzez Web GUI za pomocą przeglądarki WWW (SSL). Szczegóły konfiguracji urządzenia z konsoli oraz SSH przedstawione są w przewodniku „Siemens Firewall Appliance Installation Manual”. Konfiguracja i zarządzanie zabezpieczeń odbywa się podobnie jak dla wszystkich rozwiązań sprzętowo-programowych VPN-1/FireWall-1 (m.in. Intrusion PDS, Nokia) z konsoli Check Point Management GUI. Monitorowanie stanu i pracy urządzania (m.in. obciążenie CPU, stan pamięci) może odbywać się za pomocą konsoli Siemens ServerView. Procedura konfiguracji urządzenia Siemens 4YourSafety za pomocą przeglądarki WWW odbywa się w następujący sposób: 1. Otwieramy połączenie z urządzeniem https://192.168.0.1 i logujemy się na konto: fwadmin podając hasło dostępu numer identyfikacyjny urządzenia np. YBUU001740 (numer ten jest wyświetlany na górnym pasku przeglądarki). CLICO Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927522 ... 24 ; Fax: 12 6323698; E-mail: [email protected], [email protected].; http://www.clico.pl Przewodnik konfiguracji i zarządzania Siemens 4YourSafety 2. Dokonujemy zmiany hasła dostępu do konta fwadmin. 3. Ustalamy nazwę urządzenia System config | Hostname. © 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 2 Przewodnik konfiguracji i zarządzania Siemens 4YourSafety 4. Weryfikujemy i korelujemy ustawienia daty i czasu systemowego System config | Date/Timezone © 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 3 Przewodnik konfiguracji i zarządzania Siemens 4YourSafety 1. Konfiguracja parametrów sieciowych 1. Wprowadzamy odpowiednie ustawienia adresów IP interfejsów sieciowych maszyny Firewall Network config | Interfaces 2. Wprowadzamy adres IP domyślnej bramy sieci Network config | Default Gateway © 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 4 Przewodnik konfiguracji i zarządzania Siemens 4YourSafety 3. Weryfikujemy i w razie potrzeby wprowadzamy lokalną konfigurację DNS (/etc/hosts) Network config | Hosts 4. Ustalamy konfigurację DNS (/etc/resolv.conf) Network config | DNS Poprawne ustawienie DNS jest wymagane w wielu konfiguracjach do poprawnego funkcjonowania systemu zabezpieczeń VPN-1/FireWall-1. © 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 5 Przewodnik konfiguracji i zarządzania Siemens 4YourSafety 5. Ustalamy reguły statycznego rutingu IP Network config | Static Routes 6. Po zakończeniu konfiguracji parametrów sieciowych można przeładować moduły obsługi sieci Toolbox | Restart Network © 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 6 Przewodnik konfiguracji i zarządzania Siemens 4YourSafety 2. Uruchomienie modułów zabezpieczeń VPN-1/FireWall-1 Urządzenia Siemens 4YourSafety wyposażone są w pre-instalowaną wersję systemu zabezpieczeń Check Point VPN-1/FireWall-1 oraz systemu ochrony przed awariami Rainfinity RainWall. W zależności od potrzeb należy dokonać uruchomienia odpowiednich modułów zabezpieczeń. Wykonuje się to z lokalnej konsoli urządzenia, bądź zdalnie poprzez klienta SSH: a. uruchomienie i wstępne skonfigurowanie modułów Check Point odbywa się za pomocą standardowej aplikacji cpconfig b. konfiguracja Rainfinity RainWall jest szczegółowo opisana w dokumentacji produktu; całkowite zablokowanie modułu RainWall odbywa się za pomocą polecenia chkconfig --del rainwall Uruchomienie i wstępna konfiguracja modułów zabezpieczeń VPN-1/ FireWall-1 powinno odbywać się z konta root. Za pomocą cpconfig należy ustalić m.in.: • moduły zabezpieczeń, jakie zostaną uruchomione: (1) Enterprise Primary Management and Enforcement Module (Firewall i stacja zarządzająca na jednej maszynie), (2) Enforcement Module (Firewall), (3) Enterprise Primary Management (stacja zarządzająca), (4) Enterprise Secondary Management (zapasowa stacja zarządzająca), (5) Enterprise Log Server (serwerów logów). • przy instalacji modułu Firewall podajemy klucz uwierzytelniania z zewnętrzną stacją zarządzania Management Server (One Time Password). Po uruchomieniu modułów VPN-1/FireWall-1 i przeładowaniu maszyny Firewall dostęp do urządzenia jest możliwy jedynie za pomocą narzędzi Check Point Management GUI. W polityce bezpieczeństwa FireWall-1 należy odpowiednio zezwolić protokoły zarządzania SSH i HTTPS(SSL) lub w razie potrzeby tymczasowo odinstalować filtr Firewall: #fw unload localhost W konfiguracji modułów Check Point VPN-1/FireWall-1 (cpconfig) nie należy instalować rozszerzeń SNMP, jeżeli planujemy monitorować urządzenie za pomocą narzędzi Siemens ServerView. Polecenia systemu operacyjnego nie wymagające interakcji z użytkownikiem można także wydawać z konsoli Web GUI z menu Toolbox | Web Shell © 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 7 Przewodnik konfiguracji i zarządzania Siemens 4YourSafety 3. Monitorowanie systemu Konfiguracja polityki bezpieczeństwa VPN-1/FireWall-1 odbywa się z konsoli Check Point Management GUI. Stan funkcjonowania systemu operacyjnego można monitorować za pomocą Check Point Status Manager oraz narzędzi Siemens (Web GUI i ServerView). © 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 8 Przewodnik konfiguracji i zarządzania Siemens 4YourSafety Odczyt bardziej szczegółowych informacji nt. stanu modułów zabezpieczeń VPN-1 /FireWall-1 dokonujemy z konsoli Siemens Web GUI za pomocą opcji FireWall-1 | Status © 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 9 Przewodnik konfiguracji i zarządzania Siemens 4YourSafety Po wykonaniu konfiguracji systemu operacyjnego oraz systemu zabezpieczeń Check Point VPN-1/FireWall-1 zalecane jest wykonanie całościowej kopii Backup i zapisanie jej w bezpiecznym miejscu. Kopie Backup wykonuje się w menu Backup | Create Inne przydatne narzędzia z konsoli Siemens Web GUI to m.in.: • FireWall-1 | Stop – zatrzymanie modułu VPN-1/FireWall-1, • FireWall-1 | Start – uruchomienie modułu VPN-1/FireWall-1, • Toolbox | System shutdown – zatrzymanie urządzenia, • Toolbox | Restart network – restart modułów sieciowych, • Toolbox | Network status – odczyt konfiguracji sieci, • Toolbox | File Editor – editor plików tekstowych, • Toolbox | Web Shell – konsola uruchamiania poleceń systemowych. Bezpieczne wyłączenie urządzenia może odbywać się z Web GUI lub za pomocą poleceń z linii komend: #shutdown 1 #poweroff © 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 10