Siemens SIMATIC NET RUGGEDCOM RX5000 Konfigurationshandbuch Seite 332

6.9.1.4 Weiterleitung von Ports
Die Portweiterleitung bzw. Portumleitung gestattet, dass Datenverkehr aus dem
Internet an einen Host hinter dem NAT-Gateway gesendet wird.
In vorherigen Beispielen wurden NAT-Prozesse beschrieben, bei denen Verbindungen
vom Intranet zum Internet hergestellt wurden. In diesen Beispielen waren Adressen
und Ports eindeutig.
Wenn versucht wird, Verbindungen vom Internet zum Intranet herzustellen, hat das
NAT-Gateway mehrere Hosts im Intranet, die die Verbindung akzeptieren können. Es
benötigt zusätzliche Informationen zur Identifikation des Hosts, um die Verbindung
zu akzeptieren.
Im Folgenden wird angenommen, dass zwei Hosts, 192.168.1.10 und 192.168.1.20,
sich hinter einem NAT-Gateway mit einer öffentlichen Schnittstelle 213.18.101.62
befinden. Wenn eine Verbindungsanfrage für HTTP-Port 80 an 213.18.101.62
ankommt, kann der NAT-Gateway die Anfrage an einen der Hosts weiterleiten (oder
diese selbst akzeptieren). Die Port-Weiterleitung kann verwendet werden, um die
Anfragen an Port 80 an den ersten Host umzuleiten.
Die Weiterleitung von Ports kann auch Portnummern neu zuordnen. Der zweite Host
muss möglicherweise auf die HTTP-Anfragen antworten. Da die Verbindungen an
Port 80 an den ersten Host geleitet werden, kann dem zweiten Host eine andere
Portnummer (z.B. 8080) zugewiesen werden. Da die Anfragen am Gateway für Port
8080 ankommen, ordnet das Gateway die Portnummer zu 80 neu zu und leitet die
Anfrage an den zweiten Host weiter.
Bei der Port-Weiterleitung wird auch die Quelladresse berücksichtigt. Eine weitere
Möglichkeit zur Lösung des vorstehenden Problems besteht darin, zwei Hosts
200.0.0.1 und 200.0.0.2 zuzuordnen und das NAT-Gateway Anfragen an Port 80
von 200.0.0.1 bis 192.168.1.10 und von 200.0.0.2 bis 192.168.1.20 weiterleiten zu
lassen.
6.9.1.5 Schutz gegen einen SYN-Flood-Angriff
RUGGEDCOM ROX II reagiert auf SYN-Pakete nach dem TCP-Standard durch Rückgabe
eines SYN-ACK-Pakets für offene Ports und eines RST-Pakets für geschlossene
Ports. Wird das Gerät mit einer großen Menge an SYN-Paketen überflutet, kann der
betroffene Port möglicherweise nicht mehr reagieren.
Um SYN-Überflutungsangriffe an geschlossenen Ports zu verhindern, ist die Firewall
so einzustellen, dass jeglicher Verkehr zu geschlossenen Ports blockiert wird. Dies
verhindert, dass SYN-Pakete den Kernel erreichen.
Siemens empfiehlt ferner, die hörenden Ports so einzustellen, dass IP-Adressen
an getrennten Schnittstellen eingeschlossen sind. Zum Beispiel kann das Gerät
eingestellt werden, um auf eine IP-Adresse an switch.0001 und fe-cm-1 zu hören.
Damit wird sichergestellt, dass ein Port erreichbar bleibt, wenn der andere überflutet
ist.
RUGGEDCOM ROX II v2.15 Weboberfläche
Konfigurationshandbuch, 05/2022, C79000-G8900-1534-02
Sicherheit
6.9.1 Firewall-Konzepte
287