Konfiguracja Siemens mo¿e odbywać się w następujacy

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA
Przewodnik konfiguracji i zarządzania Siemens 4YourSafety
Konfiguracja Siemens 4YourSafety w zakresie systemu operacyjnego i supportu
urządzenia może odbywać się w następujący sposób:
• z lokalnej konsoli urządzenia,
• zdalnie poprzez SSH (secure shell),
• zdalnie poprzez Web GUI za pomocą przeglądarki WWW (SSL).
Szczegóły konfiguracji urządzenia z konsoli oraz SSH przedstawione są w
przewodniku „Siemens Firewall Appliance Installation Manual”. Konfiguracja i zarządzanie
zabezpieczeń odbywa się podobnie jak dla wszystkich rozwiązań sprzętowo-programowych
VPN-1/FireWall-1 (m.in. Intrusion PDS, Nokia) z konsoli Check Point Management GUI.
Monitorowanie stanu i pracy urządzania (m.in. obciążenie CPU, stan pamięci) może
odbywać się za pomocą konsoli Siemens ServerView.
Procedura konfiguracji urządzenia Siemens 4YourSafety za pomocą przeglądarki
WWW odbywa się w następujący sposób:
1. Otwieramy połączenie z urządzeniem https://192.168.0.1 i logujemy się na konto: fwadmin
podając hasło dostępu numer identyfikacyjny urządzenia np. YBUU001740 (numer ten jest
wyświetlany na górnym pasku przeglądarki).
CLICO Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927522 ... 24 ; Fax: 12 6323698;
E-mail: [email protected], [email protected].; http://www.clico.pl
Przewodnik konfiguracji i zarządzania Siemens 4YourSafety
2. Dokonujemy zmiany hasła dostępu do konta fwadmin.
3. Ustalamy nazwę urządzenia System config | Hostname.
© 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
2
Przewodnik konfiguracji i zarządzania Siemens 4YourSafety
4. Weryfikujemy i korelujemy ustawienia daty i czasu systemowego System config |
Date/Timezone
© 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
3
Przewodnik konfiguracji i zarządzania Siemens 4YourSafety
1. Konfiguracja parametrów sieciowych
1. Wprowadzamy odpowiednie ustawienia adresów IP interfejsów sieciowych maszyny
Firewall Network config | Interfaces
2. Wprowadzamy adres IP domyślnej bramy sieci Network config | Default Gateway
© 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
4
Przewodnik konfiguracji i zarządzania Siemens 4YourSafety
3. Weryfikujemy i w razie potrzeby wprowadzamy lokalną konfigurację DNS (/etc/hosts)
Network config | Hosts
4. Ustalamy konfigurację DNS (/etc/resolv.conf) Network config | DNS
Poprawne ustawienie DNS jest wymagane w wielu konfiguracjach do poprawnego
funkcjonowania systemu zabezpieczeń VPN-1/FireWall-1.
© 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
5
Przewodnik konfiguracji i zarządzania Siemens 4YourSafety
5. Ustalamy reguły statycznego rutingu IP Network config | Static Routes
6. Po zakończeniu konfiguracji parametrów sieciowych można przeładować moduły obsługi
sieci Toolbox | Restart Network
© 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
6
Przewodnik konfiguracji i zarządzania Siemens 4YourSafety
2. Uruchomienie modułów zabezpieczeń VPN-1/FireWall-1
Urządzenia Siemens 4YourSafety wyposażone są w pre-instalowaną wersję systemu
zabezpieczeń Check Point VPN-1/FireWall-1 oraz systemu ochrony przed awariami
Rainfinity RainWall. W zależności od potrzeb należy dokonać uruchomienia odpowiednich
modułów zabezpieczeń. Wykonuje się to z lokalnej konsoli urządzenia, bądź zdalnie poprzez
klienta SSH:
a. uruchomienie i wstępne skonfigurowanie modułów Check Point odbywa się za
pomocą standardowej aplikacji cpconfig
b. konfiguracja Rainfinity RainWall jest szczegółowo opisana w dokumentacji
produktu; całkowite zablokowanie modułu RainWall odbywa się za pomocą
polecenia chkconfig --del rainwall
Uruchomienie i wstępna konfiguracja modułów zabezpieczeń VPN-1/ FireWall-1
powinno odbywać się z konta root. Za pomocą cpconfig należy ustalić m.in.:
• moduły zabezpieczeń, jakie zostaną uruchomione:
(1) Enterprise Primary Management and Enforcement Module (Firewall i stacja
zarządzająca na jednej maszynie),
(2) Enforcement Module (Firewall),
(3) Enterprise Primary Management (stacja zarządzająca),
(4) Enterprise Secondary Management (zapasowa stacja zarządzająca),
(5) Enterprise Log Server (serwerów logów).
• przy instalacji modułu Firewall podajemy klucz uwierzytelniania z zewnętrzną
stacją zarządzania Management Server (One Time Password).
Po uruchomieniu modułów VPN-1/FireWall-1 i przeładowaniu maszyny Firewall
dostęp do urządzenia jest możliwy jedynie za pomocą narzędzi Check Point Management
GUI. W polityce bezpieczeństwa FireWall-1 należy odpowiednio zezwolić protokoły
zarządzania SSH i HTTPS(SSL) lub w razie potrzeby tymczasowo odinstalować filtr Firewall:
#fw unload localhost
W konfiguracji modułów Check Point VPN-1/FireWall-1 (cpconfig) nie należy
instalować rozszerzeń SNMP, jeżeli planujemy monitorować urządzenie za
pomocą narzędzi Siemens ServerView.
Polecenia systemu operacyjnego nie wymagające interakcji z użytkownikiem można
także wydawać z konsoli Web GUI z menu Toolbox | Web Shell
© 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
7
Przewodnik konfiguracji i zarządzania Siemens 4YourSafety
3. Monitorowanie systemu
Konfiguracja polityki bezpieczeństwa VPN-1/FireWall-1 odbywa się z konsoli Check
Point Management GUI. Stan funkcjonowania systemu operacyjnego można monitorować za
pomocą Check Point Status Manager oraz narzędzi Siemens (Web GUI i ServerView).
© 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
8
Przewodnik konfiguracji i zarządzania Siemens 4YourSafety
Odczyt bardziej szczegółowych informacji nt. stanu modułów zabezpieczeń VPN-1
/FireWall-1 dokonujemy z konsoli Siemens Web GUI za pomocą opcji FireWall-1 | Status
© 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
9
Przewodnik konfiguracji i zarządzania Siemens 4YourSafety
Po wykonaniu konfiguracji systemu operacyjnego oraz systemu zabezpieczeń Check
Point VPN-1/FireWall-1 zalecane jest wykonanie całościowej kopii Backup i zapisanie jej w
bezpiecznym miejscu. Kopie Backup wykonuje się w menu Backup | Create
Inne przydatne narzędzia z konsoli Siemens Web GUI to m.in.:
• FireWall-1 | Stop – zatrzymanie modułu VPN-1/FireWall-1,
• FireWall-1 | Start – uruchomienie modułu VPN-1/FireWall-1,
• Toolbox | System shutdown – zatrzymanie urządzenia,
• Toolbox | Restart network – restart modułów sieciowych,
• Toolbox | Network status – odczyt konfiguracji sieci,
• Toolbox | File Editor – editor plików tekstowych,
• Toolbox | Web Shell – konsola uruchamiania poleceń systemowych.
Bezpieczne wyłączenie urządzenia może odbywać się z Web GUI lub za pomocą
poleceń z linii komend:
#shutdown 1
#poweroff
© 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
10