übertragen werden, egal ob elektronisch, mechanisch, magnetisch, optisch, chemisch, als Fotokopie, manuell oder anderweitig, ohne die vorherige, ausdrückliche, schriftliche Genehmigung von ZyXEL Communications Corporation. Herausgegeben durch ZyXEL Communications Corporation. Alle Rechte vorbehalten. Haftungsausschluss ZyXEL übernimmt keinerlei Haftung für die Verwendung von Produkten oder Software, die in diesem Dokument erwähnt werden.
ZyWALL 1 Internet Security-Gateway Eingeschränkte Garantie von ZyXEL ZyXEL garantiert dem Endverbraucher (Käufer), dass dieses Produkt ab Kaufdatum ein Jahr lang von Materialschäden und damit verbundenen Arbeitsleistungen frei ist. Gegen Vorlage des Kaufbelegs wird ZyXEL bei Nachweis eines durch fehlerhafte Arbeiten oder Materialien entstandenen Fehlers das gesamte Produkt oder entsprechende Komponenten während des Gewährleistungszeitraumes nach eigener Wahl reparieren oder ersetzen beziehungsweise alles tun, was ZyXEL für notwendig hält, um den Funktionszustand wiederherzustellen, ohne dass dem Endverbraucher Material- oder Arbeitskosten in...
• Eine kurze Beschreibung des Problems und was Sie bereits versucht haben, um es zu lösen. E-MAIL TELEFON/FAX WEBSEITE/FTP POSTANSCHRIFT SUPPORT/VERTRIEB LOCATION WELTWEIT support@zyxel.com.tw +886-3-578-3942 www.zyxel.com ZyXEL Communications Corp., 6 Innovation Road II, Science- www.europe.zyxel.com Based Industrial Park, HsinChu, Taiwan 300, R.O.C. sales@zyxel.com.tw +886-3-578-2439 ftp.europe.zyxel.com NORDAMERIKA support@zyxel.com +1-714-632-0882 www.zyxel.com...
ZyWALL 1 Internet Security-Gateway 4.1.1 General Setup und System Name..................4-1 4.1.2 Domain Name ........................4-1 Wizard Setup - Bildschirm 2......................4-1 4.2.1 Ethernet ..........................4-2 4.2.2 PPTP Encapsulation......................4-2 4.2.3 PPPoE Encapsulation......................4-2 Wizard Setup – Bildschirm 3 .......................4-3 4.3.1 WAN-IP-Adresszuordnung....................4-3 4.3.2 IP-Adresse und Subnet-Maske .....................4-3 4.3.3 DNS-Server-Adresszuordnung ....................4-4 4.3.4...
Seite 7
ZyWALL 1 Internet Security-Gateway 5.10 Erstes Fenster VPN/IPSec – Felder im Register VPN/IPSec Setup .......... 5-17 5.10.1 Feld Active ........................5-17 5.10.2 Feld IPSec Keying Mode ....................5-17 5.10.3 Feld Negotiation Mode...................... 5-18 5.10.4 Feld Local Address......................5-18 5.10.5 Feld Remote Address Start....................5-19 5.10.6 Feld Remote Address End ....................
Seite 8
ZyWALL 1 Internet Security-Gateway Konfigurationsdatei zurückspielen....................7-5 7.3.1 Wiederherstellen über FTP ....................7-6 7.3.2 Beispiel zum Wiederherstellen über FTP................7-6 Firmware-Datei hochladen......................7-6 7.4.1 Firmware hochladen......................7-7 7.4.2 Beispiel für FTP-Befehl zum Hochladen im MS-DOS-Fenster...........7-7 7.4.3 Beispiel zum Hochladen der Firmware per FTP ..............7-7 7.4.4 Dateien per TFTP hochladen ....................7-8 7.4.5 Beispiel zum Hochladen mit TFTP-Befehlen ..............7-8...
ZyWALL 1 Internet Security-Gateway Verzeichnis der Abbildungen Abbildung 1-1 Funktionsprinzip des Internet-Zugangs................1-4 Abbildung 2-1 Vorderseite......................... 2-1 Abbildung 2-2 Rückseitige Anschlüsse der ZyWALL 1................2-2 Abbildung 3-1 Elemente des Hauptmenüs ....................3-2 Abbildung 3-2 Übersicht des ZyWALL-Konfigurationsprogramms ............3-4 Abbildung 5-1 Mehrere Server und NAT ....................
Seite 10
ZyWALL 1 Internet Security-Gateway Verzeichnis der Tabellen Tabelle 2-1 Bedeutung der LED-Anzeigen ....................2-1 Tabelle 2-2 Ethernet-Kabelverbindungen an den LAN 10/100M-Anschlüssen ..........2-4 Tabelle 4-1 Bereiche eindeutiger IP-Adressen ....................4-3 Tabelle 4-2 Beispiele der Netzwerkeigenschaften von LAN-Netzwerkservern mit festen IP-Adressen..4-4 Tabelle 5-1 Dienste und Portnummern......................5-6 Tabelle 5-2 VPN und NAT........................5-17 Tabelle 5-3...
Seite 11
ZyWALL 1 Internet Security-Gateway Verzeichnis der Diagramme Diagramm 1 Verbindung einzelner PCs per Modem ..................A Diagramm 2 ZyWALL als PPPoE-Client ......................B Diagramm 3 Ethernet-Übermittlung von PPP-Frames..................C Diagramm 4 Prinzip des PPTP-Protokolls ......................D Diagramm 5 Austausch von Steuerbefehlen zwischen PC und Endgerät ............D Verzeichnis der Diagramme...
Aussetzern bei Niederspannungsgeräten Immunität: EN 55024:1998 Immunitätsstandard Der nachfolgend genannte Importeur bzw. Hersteller haftet für diese Konformitätserklärung: Firmenname :ZyXEL Communications A/S Firmenanschrift :Columbusvej 5 Telefon :+45 39 55 07 00 Fax:+45 39 55 07 07 Verantwortliche Person, die diese Erklärung unterzeichnet:...
ZyWALL 1 Internet Security-Gateway Vorwort Einige Worte zu Ihrem Gateway Vielen Dank, dass Sie sich für das Internet-Security-Gateway ZyWALL 1 entschieden haben! ZyWALL 1 ist ein duales Breitband-Ethernet-Gateway für sicheren Internet-Zugang mit integriertem ICSA- zertifiziertem Firewall und Netzwerkverwaltungsfunktionen. Das Gerät wurde speziell für den Heim- und Bürobedarf konzipiert, um einen komfortablen Internet-Zugang per Kabel- bzw.
Seite 14
ZyWALL 1 Internet Security-Gateway ZyXEL-Webseite Im Download-Bereich unter www.zyxel.com gibt es zusätzliche Dokumentationen und kundendienstspezifische Daten. Schreibkonventionen • In diesem Handbuch bezeichnen wir die ZyWALL 1 häufig einfach nur als ZyWALL. Vorwort...
ZyWALL 1 Internet Security-Gateway Kapitel 1 Einführung Dieses Kapitel enthält eine Übersicht über die wichtigsten Funktionen und Anwendungen der ZyWALL und enthält eine Checkliste zum schnellen Herstellen einer Internet-Verbindung. ZyWALL 1 Internet-Security-Gateway Ihre ZyWALL 1 ist ein duales Internet-Security-Gateway für Ethernet-Netzwerke mit integriertem Hub (4 Netzwerkanschlüsse) und komfortablen Netzwerkverwaltungsfunktionen, das stets einen sicheren und schnellen Zugang zum Internet via Kabel- oder xDSL-Modem gewährleistet.
Seite 18
ZyWALL 1 Internet Security-Gateway 100/100 Mbps-Ethernet-Anschlüsse mit automatischer Geschwindigkeitsanpassung Die automatische Bandbreitenerkennung für 10 bzw. 100 Mbps bietet einen verbesserten Datendurchsatz als herkömmliche Hubs, da die volle Bandbreite dediziert und nicht geteilt zur Verfügung gestellt wird. Die automatische Anpassung der Übertragungsgeschwindigkeit sorgt dafür, dass empfangene Daten problemlos und ohne Benutzereingriff übermittelt werden können.
Seite 19
ZyWALL 1 Internet Security-Gateway Dynamische DNS-Funktionalität Die dynamische DNS-Funktionalität setzt Ihren statischen Hostnamen-Alias in eine dynamische IP-Adresse um, sodass Ihr Host gleichzeitig von mehreren Internet-Adressen aus angesprochen werden kann. Um diese Funktion benutzen zu können, müssen Sie allerdings die dynamische DNS-Funktionalität für Ihren Host registrieren lassen.
ZyWALL 1 Internet Security-Gateway Integrierte FTP- und TFTP-Server Über die integrierten FTP- und TFTP-Server der ZyWALL sind Aktualisierungen der Firmware sowie das Erstellen bzw. Zurückspielen von Konfigurationsdateien besonders einfach. VPN-Anwendungsbeispiel Sie können die ZyWALL mit einem Kabel- oder DSL-Modem verbinden, um vom Ethernet-Netzwerk über das Modem einen Breitband-Zugang zum Internet zu erhalten.
ZyWALL 1 Internet Security-Gateway Kapitel 2 Hardware installieren In diesem Kapitel lernen Sie, wie Sie die Hardware anschließen und erstmalig einrichten. Vorder- und Rückseite der ZyWALL 2.1.1 Leuchtanzeigen der Vorderseite Die LEDs auf der Vorderseite zeigen den Betriebszustand der ZyWALL an. Abbildung 2-1 Vorderseite In der folgenden Tabelle ist die Bedeutung der einzelnen LED-Anzeigen veranschaulicht.
ZyWALL 1 Internet Security-Gateway FARBE STATUS BESCHREIBUNG LAN 1-4 Grün Die ZyWALL ist mit einem 10-Mbps-Netzwerk verbunden. Keine Verbindung zum 10-Mbps-Netzwerk. Blinkt Orange Die ZyWALL ist mit einem 100-Mbps-Netzwerk verbunden. Keine Verbindung zum 100-Mbps-Netzwerk. Blinkt Es werden Daten an das 100-Mbps-Netzwerk gesendet bzw.
ZyWALL 1 Internet Security-Gateway 2.2.1 10 Mbps-WAN-Anschluss ZyWALL mit Kabelmodem verbinden Verbinden Sie den WAN 10M-Anschluss der ZyWALL mit dem Ethernet-Anschluss des Kabelmodems. Verwenden Sie dazu das mit dem Kabelmodem mitgelieferte Ethernet-Kabel. Meistens ist der Ethernet- Anschluss des Kabelmodems mit der Aufschrift "PC" oder "Workstation" gekennzeichnet. ZyWALL mit DSL-Modem verbinden Verbinden Sie den WAN 10M-Anschluss der ZyWALL mit dem Ethernet-Anschluss des DSL-Modems.
ZyWALL 1 Internet Security-Gateway 2.2.4 Anschlussmöglichkeiten mit Hilfe des Uplink-Schalters Tabelle 2-2 Ethernet-Kabelverbindungen an den LAN 10/100M-Anschlüssen ANSCHLUSS FÜR ERFORDERLICHES ETHERNET-KABEL ZUM VERBINDEN 10/100-MBPS LAN DER ZYWALL MIT EINEM COMPUTER Durchgeschleift Gekreuzt (crossover) (straight-through) Durchgeschleift Gekreuzt (crossover) (straight-through) Durchgeschleift Gekreuzt (crossover) (straight-through) 4 UPLINK-Schalter "ein"...
ZyWALL 1 Internet Security-Gateway ZyWALL einschalten An dieser Stelle sollten Sie bereits die LAN-, Netz- sowie WAN-Verbindungen hergestellt haben. Schließen Sie das Netzteil an eine geeignete Steckdose an. Die SYS-LED leuchtet auf. Nachdem der Selbsttest des Gerätes erfolgreich durchlaufen ist, leuchten auch die WAN- und LAN-LEDs der Anschlüsse, an denen Sie zuvor entsprechende Netzwerkkabel angeschlossen hatten.
ZyWALL 1 Internet Security-Gateway ZyWALL konfigurieren 2.6.1 Über den Web Configurator Die schnellste und bequemste Art Ihre ZyWALL zu konfigurieren ist die Verwendung des per Web-Browser bedienbaren Konfigurationsprogramms. Einige Konfigurationsmöglichkeiten sind ebenfalls per FTP/TFTP oder der CI-Befehle verfügbar (beispielsweise können Sie die Firmware per FTP hochladen), aber der Web Configurator ist wesentlich einfacher und benutzerfreundlicher.
Seite 27
Konfigurationsprogramm Konfigurationsprogramm Dieser Abschnitt führt Sie in das per Web-Browser bedienbare Konfigurationsprogramm der ZyWALL ein und beschreibt die Fenster MAIN MENU, WIZARD SETUP, ADVANCED und MAINTENANCE.
ZyWALL 1 Internet Security-Gateway Kapitel 3 Einführung zum Konfigurationsprogramm Dieses Kapitel beschreibt, wie Sie das ZyWALL-Konfigurationsprogramm starten und enthält eine Übersicht zu den verschiedenen Funktionen des Gerätes. ZyWALL-Konfigurationsprogramm starten Stellen Sie sicher, dass Sie alle Kabelverbindungen erfolgreich hergestellt haben (siehe Kapitel 2). Richten Sie Ihren Computer (bzw.
ZyWALL 1 Internet Security-Gateway Aus Sicherheitsgründen werden Sie abgemeldet, falls 5 Minuten lang keine Aktivität verzeichnet wurde. Falls dies geschieht, melden Sie sich einfach noch einmal an. Bedienung des ZyWALL-Konfigurationsprogramms Nachfolgend sind die verfügbaren Elemente des Hauptmenüs des Konfigurationsprogramms abgedruckt. Klicken Sie zur erstmaligen Klicken Sie auf ADVANCED, um die erweiterten Konfiguration der Parameter...
ZyWALL 1 Internet Security-Gateway Folgen Sie den Hinweisen im Hauptmenü, oder klicken Sie auf das Symbol (oben rechts in den meisten Fenstern), um die Hilfefunktion aufzurufen. Das Symbol erscheint nicht im Hauptmenü. Falls Sie Ihr Kennwort vergessen haben, lesen Sie in Abschnitt 2.5 nach, wie Sie die Werkseinstellungen wiederherstellen können.
ZyWALL 1 Internet Security-Gateway Kapitel 4 Funktionen im Wizard Setup Dieses Kapitel befasst sich mit den unter Wizard Setup verfügbaren Funktionen des Konfigurationsprogramms. Wizard Setup – Bildschirm 1 4.1.1 General Setup und System Name Der Abschnitt General Setup enthält verwaltungs- sowie systemspezifische Daten. Das Feld System Name dient zur Identifikation.
ZyWALL 1 Internet Security-Gateway 4.2.1 Ethernet Wird der WAN-Anschluss zur herkömmlichen Ethernet-Verbindung benutzt, wählen Sie die Option Ethernet. 4.2.2 PPTP Encapsulation Point-to-Point Tunneling Protocol (PPTP) ist ein Netzwerkprotokoll, das eine Datenübertragung von einem entfernten Client an einen privaten Server ermöglicht, indem ein virtuelles, privates Netzwerk (VPN) mit Hilfe einer TCP/IP-Netzwerkarchitektur aufgebaut wird.
ZyWALL 1 Internet Security-Gateway Wizard Setup – Bildschirm 3 4.3.1 WAN-IP-Adresszuordnung Jeder Computer im Internet muss eine eindeutige Adresse besitzen. Falls Ihre Netzwerke nicht mit dem Internet verbunden sind (z.B. zwischen zwei Filialen), können Sie dem Host-Computer problemlos beliebige IP-Adressen zuordnen. Die Internet-Regulierungsbehörde "IANA" hat jedoch die folgenden drei Adressbereiche für private Netzwerke reserviert: Tabelle 4-1 Bereiche eindeutiger IP-Adressen 10.0.0.0...
ZyWALL 1 Internet Security-Gateway gebeten werden. Wenn Sie beispielsweise die Netzwerknummer 192.168.1.0 wählen, stehen Ihnen 254 individuelle Adressen von 192.168.1.1 bis 192.168.1.254 (null und 255 sind reserviert) zur Verfügung. Wie Sie sehen, geben die 3 ersten Zahlen die Netzwerknummer und die letzte Zahl die Nummer des Arbeitsplatzcomputers im Netzwerk an.
ZyWALL 1 Internet Security-Gateway (ZyNOS-Konfigurationsdatei) kopiert. Diese Adresse bleibt solange erhalten, bis Sie sie ändern oder eine neue "rom"-Datei auf das Gerät hochladen. Wir empfehlen Ihnen, die MAC-Adresse eines Arbeitsplatzrechners auch dann auf Ihrem Netzwerk zu klonen, wenn Ihr Provider keine MAC-Adressauthentifizierung erfordert.
ZyWALL 1 Internet Security-Gateway Kapitel 5 Erweiterte Einrichtung Dieses Kapitel befasst sich mit den erweiterten Funktionen des Konfigurationsprogramms. Funktionen im Fenster System Dieser Abschnitt beschreibt die Register General, DDNS, Password und Time Zone im Fenster System. 5.1.1 General Setup Siehe Abschnitt 4.1. 5.1.2 Dynamische DNS Über diese Funktion können Sie Ihre gegenwärtige dynamische IP-Adresse einem oder mehreren dynamischen DNS-Diensten zur Verfügung stellen, sodass Sie für jedermann erreichbar sind (z.B.
ZyWALL 1 Internet Security-Gateway Sie können die dynamische DNS-Funktionalität nicht verwenden, wenn Sie eine feste IP-Adresse besitzen. 5.1.3 Password In diesem Fenster können Sie das Zugriffskennwort für Ihre ZyWALL ändern (dringend empfohlen). 5.1.4 Time Zone Hier können Sie die ZyWALL-Uhrzeit gemäß Ihrer Zeitzone festlegen. Fenster LAN Dieser Abschnitt befasst sich mit der DHCP-Einrichtung und der LAN TCP/IP-Funktionalität im Fenster LAN.
Seite 41
ZyWALL 1 Internet Security-Gateway Werksseitige LAN-Einstellungen Die LAN-Parameter der ZyWALL wurden werksseitig auf folgende Werte voreingestellt: IP-Adresse 192.168.1.1 und Subnet-Maske 255.255.255.0 (24 Bit) DHCP-Server aktiviert mit 32 Client-IP-Adressen ab 192.168.1.33. Diese Parameter sollten von Anfang an bei den meisten Neuinstallationen funktionieren. Falls Sie von Ihrem Provider eine oder mehrere bestimmte DNS-Server-Adressen mitgeteilt bekommen haben, lesen Sie in der Hilfe zum Konfigurationsprogramm nach, welche Felder wie ausgefüllt werden müssen.
ZyWALL 1 Internet Security-Gateway wie vor weit verbreitet. Wenn Sie weitere Informationen zur Zusammenarbeit zwischen IGMP Version 2 und Version 1 benötigen, lesen Sie die Abschnitte 4 und 5 zu RFC 2236. Die IP-Adresse der Klasse D wird zur Gruppenidentifikation verwendet und liegt im Adressbereich 224.0.0.0 bis 239.255.255.255. Die Adresse 224.0.0.0 ist keiner Gruppe zugeordnet und wird von den IP-Multicast-Computern verwendet.
Seite 43
ZyWALL 1 Internet Security-Gateway Dabei können Sie eine einzige Portnummer oder einen ganzen Portnummernbereich für die Umsetzung, sowie die IP-Adresse des gewünschten Servers festlegen. Die Portnummer kennzeichnet einen Dienst. Beispielsweise wird Port 80 dem Web-Dienst und Port 21 dem FTP-Dienst zugeordnet. In einigen Fällen, z.B.
ZyWALL 1 Internet Security-Gateway 5.4.3 Dienste und Portnummern Die am häufigsten verwendeten Portnummern sind in der folgenden Tabelle dargestellt. In den Richtlinien RFC 1700 finden Sie weitere Informationen zu Portnummern. Auf der mitgelieferten CD finden Sie außerdem einige Beispiele und Details zu SUA/NAT. Tabelle 5-1 Dienste und Portnummern DIENSTE PORTNUMMER...
ZyWALL 1 Internet Security-Gateway 5.4.4 Server für SUA-Dienste konfigurieren (Beispiel) Nehmen wir an, Sie möchten die Ports 22 bis 25 einem Server, Port 80 einem anderen Server und die Standard-IP-Adresse 192.168.1.35 zuordnen (siehe folgende Abbildung). Abbildung 5-1 Mehrere Server und NAT Klicken Sie im Konfigurationsprogramm auf ADVANCED->SUA/NAT.
ZyWALL 1 Internet Security-Gateway IP-Adresse des Ports der FTP/Telnet/SMT FTP/Telnet/SMTP– P-Servers. Dienste. IP-Adresse des Port des WEB bzw. Web- bzw. HTTP-Dienstes. HTTP-Servers. Abbildung 5-2 Fenster SUA/NAT Wenn Sie keine Standard-IP-Adresse für den Server festlegen, werden alle Pakete abgewiesen, die nicht explizit für einen der in diesem Fenster festgelegten Ports bestimmt sind.
ZyWALL 1 Internet Security-Gateway 5.5.1 Allgemeines zu statischen Ruten Jede entfernte Gegenstelle gibt ausschließlich das Netzwerk an, mit dem das Gateway direkt verbunden ist. So kann ZyWALL die Netzwerke, die dahinter liegen, nicht "sehen". Z.B. "sieht" ZyWALL das in der folgenden Abbildung aufgezeigte Netzwerk N2 durch die entfernten Gegenstelle von Router 1.
ZyWALL 1 Internet Security-Gateway 5.6.1 Einführung Was ist ein Firewall? Das englische Wort Firewall (Feuertür) bezieht sich auf eine Bautechnik, die die Ausweitung von Bränden von einem Raum zum nächsten verhindern soll. In der Netzwerktechnik wird ein Firewall als ein System (oder eine Systemgruppe) definiert, das (die) eine Zugriffssteuerung zwischen zwei Netzwerken ermöglicht.
Seite 49
ZyWALL 1 Internet Security-Gateway Der LAN-Anschluss wird mit Ihrem Computer-Netzwerk verbunden, das gegen die Außenwelt abgesichert werden soll. Diese Computer haben standardmäßig Zugriff auf Internet-Dienste wie E-Mail, FTP und das World Wide Web. Eingehender Datenverkehr ist jedoch standardmäßig nicht erlaubt, es sei denn, Sie schalten einen betreffenden Host für einen spezifischen Dienst frei.
Seite 50
ZyWALL 1 Internet Security-Gateway Verschicken Sie niemals vertrauliche Daten, wie Kennwörter, Kreditkartennummern usw. per E-Mail, ohne diese Daten zuerst zu verschlüsseln. Verschicken Sie niemals vertrauliche Daten über eine Webseite es sei denn, Sie arbeitet mit einer sicheren Verbindung. Sichere Verbindungen erkennen Sie an einem kleinen Schlüsselsymbol in der Statuszeile des Web-Browsers (Internet Explorer ab Version 3.02 bzw.
ZyWALL 1 Internet Security-Gateway 5.6.2 Register des Fensters Firewall Um die folgenden Register zu öffnen, klicken Sie zunächst auf ADVANCED und dann auf FIREWALL. Log Settings In diesem Fenster aktivieren Sie den Firewall, ermöglichen NetBIOS-Datenverkehr (standardmäßig deaktiviert), geben die Daten zu Ihren Mail-Server-Adressen ein, aktivieren die Protokolle und Benachrichtigungen und legen eine authentifizierte IP-Adresse fest.
ZyWALL 1 Internet Security-Gateway 5.7.3 Security Association Als Security Association (SA) bezeichnet man einen Vertrag zwischen zwei Parteien, wo zu benutzende sicherheitsrelevante Parameter (wie Schlüssel und Algorithmen) vereinbart werden. 5.7.4 Sonstige Terminologie Verschlüsselung Die Verschlüsselung ist eine mathematische Umwandlung von lesbaren Daten in verschlüsselte ("zerstückelte") Daten, bei der ein Schlüssel verwendet wird.
ZyWALL 1 Internet Security-Gateway IPSec-Architektur Die grundsätzliche IPSec-Architektur ist in der folgenden Abbildung dargestellt. Abbildung 5-5 IPSec-Architektur 5.8.1 IPSec-Algorithmen Die Protokolle ESP (Encapsulating Security Payload) Protocol (RFC 2406) und AH (Authentication Header) (RFC 2402) beschreiben die Paketformate und die Paketstruktur (einschließlich Algorithmen zur Implementierung).
ZyWALL 1 Internet Security-Gateway Der Verschlüsselungsalgorithmus beschreibt die Verwendung von Verschlüsselungstechniken wie die Algorithmen DES (Data Encryption Standard) und Dreifach-DES. Die Authentifizierungsalgorithmen HMAC-MD5 (RFC 2403) und HMAC-SHA-1 (RFC 2404) stellen einen Mechanismus zur Authentifizierung der AH- und ESP-Protokolle dar. IPSec und NAT Lesen Sie diesen Abschnitt, wenn Sie IPSec auf einem Host-Computer einsetzen, der sich hinter Ihrer ZyWALL befindet.
ZyWALL 1 Internet Security-Gateway Tabelle 5-2 VPN und NAT SICHERHEITSPROTOKOLL BETRIEB Transport Tunnel Transport Tunnel 5.10 Erstes Fenster VPN/IPSec – Felder im Register VPN/IPSec Setup Zum Öffnen des Registers VPN/IPSec Setup klicken Sie auf ADVANCED und anschließend auf VPN/IPSec. Dieser Abschnitt beschreibt die Felder auf der Registerkarte VPN/IPSec Setup. Die in diesem Fenster verfügbaren Felder hängen von der Auswahl im Feld IPSec Keying Mode ab.
ZyWALL 1 Internet Security-Gateway Abbildung 5-6 Die zwei Phasen zum Herstellen einer IPSec-SA 5.10.3 Feld Negotiation Mode Wählen Sie im Pulldown-Menü die Option Main oder Aggressive. Die gewählte Abstimmung (Negotiation Mode) legt fest, wie die SA für jede einzelne Verbindung per IKE- Abstimmung hergestellt wird.
ZyWALL 1 Internet Security-Gateway 5.10.5 Feld Remote Address Start Geben Sie hier die IP-Startadresse der Computer ein, die sich hinter dem entfernten IPSec-Gateway im Netzwerk der Gegenstelle befinden (aus einer Gruppe von IP-Adressen). 5.10.6 Feld Remote Address End Geben Sie hier die IP-Endadresse der Computer ein, die sich hinter dem entfernten IPSec-Gateway im Netzwerk der Gegenstelle befinden (aus einer Gruppe von IP-Adressen).
ZyWALL 1 Internet Security-Gateway Abbildung 5-7 ZyWALL-Konfiguration der Zweigniederlassung Der Wert im Feld Secure Gateway IP Address darf nur 0.0.0.0 sein, wenn IKE und nicht Manual Key Negotiation verwendet wird. Wenn Sie das Feld Secure Gateway IP Address auf 0.0.0.0 setzen, kann ZyWALL mehrere VPN-Verbindungsanforderungen empfangen, wenn sie dieselbe VPN- Regel verwenden.
ZyWALL 1 Internet Security-Gateway Transport-Betrieb Der Transport-Modus schützt Protokolle höherer Ebenen und wirkt sich nur auf die Daten in den IP- Paketen aus. Dabei folgt das IP-Paket, das Sicherheitsprotokoll (AH oder ESP) unmittelbar auf den Original- IP-Header und die Optionen, befindet sich aber noch vor möglichen Protokollen höherer Ebene, die ggf. in dem Paket enthalten sind (z.B.
ZyWALL 1 Internet Security-Gateway Bei Anwendungen, wo keine Vertraulichkeit erforderlich ist und keine behördlichen Einschränkungen bzgl. Verschlüsselung vorliegen, kann AH zur Sicherstellung der Integrität verwendet werden. Diese Art der Implementierung schützt zwar nicht die Daten vor ihrer Verbreitung, gewährleistet aber die Überprüfung auf Datenintegrität und die Authentifizierung ihrer Herkunft.
ZyWALL 1 Internet Security-Gateway ZyWALL führt eine Authentifizierung der IKE-VPN-Sitzung durch, indem zuvor ausgetauschte Schlüssel verwendet werden. Zuvor ausgetauschte Schlüssel sind sehr gut für kleinere Netzwerke geeignet (kleiner als zehn Knotenpunkte). Geben Sie hier Ihren zuvor bekannt gegebenen Schlüssel ein. Er darf bis zu 31 Zeichen umfassen.
ZyWALL 1 Internet Security-Gateway ZyWALL überprüft die IKE-Konfiguration der Gegenstelle (sicheres Gateway). Ist die Konfiguration nicht kompatibel (wenn z.B. ZyWALL und die Gegenstelle verschiedene Algorithmen verwenden), wird die Verbindung getrennt und ein entsprechender Eintrag in das VPN-Protokoll aufgenommen. Die folgende Tabelle erläutert, wie Sie die Felder dieses Bildschirms ausfüllen müssen, damit eine sichere Verbindung zum Gateway der Gegenstelle hergestellt werden kann.
ZyWALL 1 Internet Security-Gateway Abbildung 5-9 IKE-Felder der ZyWALL und des sicheren Gateways der Gegenstelle 5.12 Zweites Fenster VPN/IPSec – Felder im Register VPN/IPSec Setup 5.12.1 SA Life Time Definieren Sie in diesem Feld das Zeitintervall, nach dem automatisch eine Neuabstimmung der IKE-SA stattfinden soll.
ZyWALL 1 Internet Security-Gateway 5.13 Fenster VPN/IPSec – Felder im Register SA Monitor Eine Sicherheitszuordnung, englisch Security Association (SA), ist eine Reihe von Sicherheitseinstellungen, die sich auf einen bestimmten VPN-Kanal beziehen. In diesem Fenster werden alle aktiven VPN- Verbindungen angezeigt. Mit Hilfe der Option Refresh können Sie die gegenwärtig aktiven VPN- Verbindungen einsehen.
ZyWALL 1 Internet Security-Gateway 5.14 Fenster VPN/IPSec – Felder im Register View IPSec Log In diesem Fenster können Sie die IPSec- und IKE-Verbindungsprotokolle einsehen. Es ist besonders hilfreich bei der Fehlersuche. Die folgende Tabelle erläutert die in diesem Register vorhandenen Felder. Tabelle 5-7 Felder im Register View IPSec Log FELD BESCHREIBUNG...
ZyWALL 1 Internet Security-Gateway Abbildung 5-10 Beispiel für ein IPSec-Protokoll eines VPN-Initiators Die folgende Abbildung zeigt ein typisches Protokoll der VPN-Gegenstelle. 5-28 Erweiterte Einrichtung...
ZyWALL 1 Internet Security-Gateway Abbildung 5-11 Beispiel für ein IPSec-Protokoll der antwortenden Gegenstelle 5.14.2 Beispiel für Protokollnachrichten Protokollierte Nachrichten sind hilfreich bei der Fehlersuche. In den folgenden Tabellen werden die Protokolle aus Abbildung 5-10 und beschrieben Abbildung 5-11. Doppelte Ausrufezeichen (!!) bezeichnen einen Fehler oder eine Warnmeldung. Erweiterte Einrichtung 5-29...
ZyWALL 1 Internet Security-Gateway Die folgenden Tabellen erläutern Beispielmeldungen eines IKE-Schlüsselaustauschs. Tabelle 5-8 Beispiele eines IKE-Schlüsselaustauschprotokolls NACHRICHT IM PROTOKOLL BESCHREIBUNG Cannot find outbound SA for rule <#d> Das Paket erfüllt die Regel Nr. #d, aber die Phase 1- bzw. Phase 2-Abstimmung für den ausgehenden Datenverkehr (vom VPN-Initiator) ist noch nicht abgeschlossen.
Seite 69
ZyWALL 1 Internet Security-Gateway Tabelle 5-8 Beispiele eines IKE-Schlüsselaustauschprotokolls NACHRICHT IM PROTOKOLL BESCHREIBUNG !! Verifying Local ID failed Während der IKE-Phase 2-Abstimmung tauschen beide Teilnehmer Verbindungsdaten aus, !! Verifying Remote ID failed einschließlich der lokalen und entfernten IP- Adressbereiche. Falls diese Adressbereiche nicht übereinstimmen, wird die Verbindung getrennt.
ZyWALL 1 Internet Security-Gateway Die folgende Tabelle enthält Beispiele zu Protokollnachrichten, die während der Paketübertragung auftreten können. Tabelle 5-9 Beispiele für IPSec-Protokolle während der Paketübertragung NACHRICHT IM PROTOKOLL BESCHREIBUNG !! WAN IP changed to <IP> Wird die WAN-IP-Adresse der ZyWALL geändert, ändern sich alle Einträge unter "My IP Addr"...
ZyWALL 1 Internet Security-Gateway Die folgende Tabelle enthält die RFC-2408 ISAKMP-Nutzdaten, die das Protokoll anzeigen kann. Detaillierte Informationen zu den verschiedenen Typen finden Sie im betreffenden RFC-Dokument. Tabelle 5-10 RFC-2408 ISAKMP-Nutzdaten ANZEIGE ART DER NUTZDATEN Security Association PROP Proposal TRANS Transform Key Exchange Identification...
ZyWALL 1 Internet Security-Gateway Kapitel 6 Fenster zur Systemverwaltung Dieses Kapitel befasst sich mit den Fenstern zur Systemverwaltung des Web Configurators. Einführung Über das per Web-Browser bedienbare Konfigurationsprogramm (Web Configurator) können Sie Ihre ZyWALL auf einfache Art und Weise verwalten. Diese Art der Systemverwaltung empfiehlt sich für alle Anwender.
ZyWALL 1 Internet Security-Gateway Fenster Configuration Im Fenster CONFIGURATION befinden sich die Registerkarten Backup, Restore und Default. Folgen Sie den Anweisungen in den einzelnen Fenstern, um die nachfolgend beschriebenen Funktionen durchzuführen. 6.5.1 Backup Mit dieser Funktion können Sie die gegenwärtige ZyWALL-Konfiguration auf Ihrem Computer speichern. 6.5.2 Restore Hierüber können Sie eine zuvor auf Ihrem Computer gespeicherte Konfigurationsdatei auf Ihre ZyWALL hochladen.
Erweiterte Verwaltungsfunktionen per FTP/TFTP Erweiterte Verwaltungsfunktionen per FTP/TFTP Dieser Abschnitt befasst sich mit der Verwaltung der Firmware und den Konfigurationsdateien über FTP/TFTP.
ZyWALL 1 Internet Security-Gateway Kapitel 7 Firmware und Konfigurationsdateien verwalten In diesem Kapitel lernen Sie, wie Sie via FTP/TFTP Sicherheitskopien der Konfigurationsdatei erstellen, wie Sie diese zurückspielen und wie Sie neue Firmware-Versionen bzw. Konfigurationsdateien auf das Gerät überspielen. Es wird dringend empfohlen, die in diesem Kapitel beschriebenen Funktionen lieber über das per Web- Browser bedienbare Konfigurationsprogramm (Web Configurator) auszuführen (siehe dazu Kapitel 6).
ZyWALL 1 Internet Security-Gateway In der folgenden Tabelle finden Sie eine Übersicht. Dabei bezieht sich der interne Dateiname auf den Dateinamen, der sich im ZyWALL befindet und der externe auf den Namen der Datei, die sich nicht im ZyWALL befindet, d.h., auf Ihrem Computer, auf dem lokalen Netzwerk oder einer FTP-Seite, sodass der Name selbst (aber nicht die Erweiterung) unterschiedlich sein kann.
ZyWALL 1 Internet Security-Gateway Verwenden Sie den Befehl "get", um Dateien von der ZyWALL auf Ihren Computer zu überspielen. Z.B. übermittelt der Befehl "get rom-0 config.rom" die ZyWALL-Konfigurationsdatei auf Ihren Computer und benennt sie in "config.rom" um. Weitere Hinweise zur Dateinamenskonvention finden Sie weiter oben in diesem Kapitel.
ZyWALL 1 Internet Security-Gateway Initial Local Directory Wählen Sie den lokalen Pfad aus. 7.2.4 Konfiguration per TFTP sichern ZyWALL unterstützt das Hoch- bzw. Herunterladen der Firmware- und Konfigurationsdateien über TFTP (Trivial File Transfer Protocol) im lokalen Netzwerk. Obwohl TFTP auch über das WAN-Netzwerk funktionieren sollte, wird hiervon abgeraten.
ZyWALL 1 Internet Security-Gateway 7.2.6 TFTP-Clients mit grafischer Benutzeroberfläche In der folgenden Tabelle sind die typischen Felder eines TFTP-Clients mit grafischer Benutzeroberfläche wiedergegeben. Tabelle 7-3 Allgemeine Befehle für TFTP-Clients mit grafischer Benutzeroberfläche BEFEHL BESCHREIBUNG Host Hier geben Sie die IP-Adresse der ZyWALL ein. Werksseitig wird ZyWALL mit der IP-Adresse 192.168.1.1 ausgeliefert.
ZyWALL 1 Internet Security-Gateway 7.3.1 Wiederherstellen über FTP Details zum Sichern von Dateien per (T)FTP finden Sie in den Abschnitten weiter oben in diesem Kapitel. Starten Sie auf Ihrem Computer den FTP-Client. Geben Sie den Befehl "open" gefolgt von einem Leerzeichen und der IP-Adresse von ZyWALL ein. Wenn Sie nach einem Benutzernamen gefragt werden, drücken Sie die Eingabetaste.
ZyWALL 1 Internet Security-Gateway ACHTUNG! UNTERBRECHEN SIE NIEMALS DIE DATEIÜBERTRAGUNG, DA IHR ZYWALL HIERDURCH DAUERHAFT BESCHÄDIGT WERDEN KANN. 7.4.1 Firmware hochladen Vorzugsweise sollten Sie Ihre Firmware- und Konfigurationsdateien per FTP übertragen. In diesem Fall muss auf Ihrem Computer ein FTP-Client installiert sein. 7.4.2 Beispiel für FTP-Befehl zum Hochladen im MS-DOS-Fenster Starten Sie auf Ihrem Computer den FTP-Client.
ZyWALL 1 Internet Security-Gateway 7.4.4 Dateien per TFTP hochladen ZyWALL unterstützt ebenfalls das Hochladen von Firmwaredateien über das lokale Netzwerk mit Hilfe des TFTP-Protokolls (Trivial File Transfer Protocol). Obwohl TFTP auch über das WAN-Netzwerk funktionieren sollte, wird hiervon abgeraten. So übertragen Sie die Firmware- und Konfigurationsdatei: Da TFTP keinerlei Sicherheitsüberprüfungen ermöglicht, zeichnet ZyWALL die IP-Adresse des Telnet- Client auf und nimmt weitere Anfragen nur noch von dieser Adresse an.
Zusatzinformationen Zusatzinformationen In diesem Abschnitt finden Sie Hinweise zum Eingrenzen und Lösen bekannter Probleme; die Anhänge, ein Glossar sowie den Index.
ZyWALL 1 Internet Security-Gateway Kapitel 8 Problemlösung Dieses Kapitel behandelt die am häufigsten auftretenden Probleme und deren Lösungen. Nach jeder Problembeschreibung finden Sie Anweisungen, die Ihnen beim Auffinden und Lösen des Problems helfen sollen. Weitere Informationen finden Sie auf der Support-CD. Probleme beim Einschalten Tabelle 8-1 Probleme beim Einschalten lösen PROBLEM...
ZyWALL 1 Internet Security-Gateway Probleme mit dem LAN-Netzwerkanschluss Tabelle 8-3 Probleme mit dem LAN-Netzwerkanschluss lösen PROBLEM MÖGLICHE LÖSUNG Es kann keine Überprüfen Sie Ihre Ethernet-Kabelverbindungen. Anweisungen zum Herstellen der Kabelverbindungen finden Sie in Abschnitt 2.2. Netzwerkverbindung zu ZyWALL hergestellt werden. Vergewissern Sie sich, dass Ihre Netzwerkkarte korrekt installiert ist und fehlerfrei arbeitet.
ZyWALL 1 Internet Security-Gateway Falls Ihr Provider den Hostnamen abfragt, geben Sie den Namen Ihres Computers in das Feld System Name im ersten Fenster unter WIZARD SETUP ein (siehe Kapitel 4). Sollte Ihr Provider den Benutzernamen abfragen, klicken Sie auf ADVANCED, WAN, und öffnen Sie das Register ISP.
Seite 90
ZyWALL 1 Internet Security-Gateway Problemlösung...
ZyWALL 1 Internet Security-Gateway Anhang A PPPoE Funktionsweise von PPPoE Ein ADSL-Modem leitet eine PPP-Sitzung per Ethernet (PPP over Ethernet, RFC 2516) vom PC an einen ATM-PVC (Permanent Virtual Circuit) weiter. Dieser wiederum ist mit einem xDSL-Hub verbunden, wo die PPP-Sitzung endet (siehe folgende Abbildung).
Seite 92
ZyWALL 1 Internet Security-Gateway Funktionsweise von PPPoE Der PPPoE-Treiber täuscht dem PC ein Ethernet als serielle Verbindung vor, und der PC kommuniziert dabei per PPP. Das Modem setzt die Ethernet-Frames auf den Access Concentrator (AC) um. Zwischen dem AC und dem Internet-Provider fungiert der AC als L2TP (Layer 2 Tunneling Protocol) LAC (L2TP Access Concentrator) und leitet die PPP-Frames an den Provider weiter.
ZyWALL 1 Internet Security-Gateway Anhang B PPTP Was ist PPTP PPTP (Point-to-Point Tunneling Protocol) ist ein von Microsoft entwickeltes Protokoll (RFC 2637 ist nur ein informatives Dokument), um PPP-Frames weiterzuleiten. Übermittlung von PPP-Frames von einem PC an ein Breitbandmodem über Ethernet Eine mögliche Lösung ist die Integration von PPTP in das ADSL-Endgerät, wobei PPTP nur für den kurzen Ethernet-Pfad zwischen dem PC und dem Modem zum Einsatz kommt.
Seite 94
ZyWALL 1 Internet Security-Gateway Prinzip des PPTP-Protokolls PPTP verhält sich ähnlich wie L2TP, da L2TP auf PPTP und L2F (Layer 2 Forwarding von Cisco) basiert. Grundsätzlich sind in der PPTP-Übermittlung drei Parteien involviert: der PNS (PPTP-Netzwerk-Server), der PAC (PPTP Access Concentrator) und der PPTP-Benutzer. Der PNS ist das Gerät, das sowohl die PPP- als auch die PPTP-Stacks enthält und das eine Ende des PPTP-Kanals darstellt.
Seite 95
ZyWALL 1 Internet Security-Gateway PPP-Datenverbindung Die PPP-Frames werden zwischen dem PNS und dem PAC per GRE (General Routing Encapsulation, RFC 1701, 1702) weitergeleitet. Individuelle Anrufe innerhalb einer Verbindung werden durch eine Anruf-ID im GRE-Header unterschieden. Anhang B...
ZyWALL 1 Internet Security-Gateway Anhang C Technische Daten des Netzteils NETZSTECKER FÜR JAPAN, TAIWAN UND USA Modellnummer DSA-0151A-05A Eingangsspannung 100-120 V~, 50/60 Hz Ausgangsleistung 5 V=, 2,4 A Leistungsaufnahme 12 W Prüfsiegel UL, FCC, CE NETZSTECKER FÜR EUROPA Modellnummer DSA-0151A-05A (U) Eingangsspannung 200-240 V~, 50-60 Hz, 0,4 A Ausgangsleistung...
ZyWALL 1 Internet Security-Gateway Anhang D TCP/IP In allen Computern muss eine 10- oder 100-Mbps-Ethernet-Netzwerkkarte installiert sein. Wenn Sie einen Computer mit Windows NT/2000/XP, Macintosh OS 7 oder eine höhere Version verwenden, sollte das TCP/IP-Protokoll bereits installiert sein. Windows 95/98/Me/NT/2000/XP, Macintosh OS 7 und neuere Versionen sowie alle UNIX/LINUX- Betriebssysteme enthalten bereits alle erforderlichen Softwarekomponenten, die zur Installation von TCP/IP benötigt werden.
Seite 98
ZyWALL 1 Internet Security-Gateway Klicken Sie im Fenster Netzwerk auf die Schaltfläche Hinzufügen. Wählen Sie Protokoll, und klicken Sie auf Hinzufügen. Wählen Sie aus der Herstellerliste den Eintrag Microsoft. Wählen Sie aus der Protokollliste den Eintrag TCP/IP, und klicken Sie auf OK. Falls Sie noch den Client für Microsoft-Netzwerke benötigen: Klicken Sie auf Hinzufügen.
Seite 99
ZyWALL 1 Internet Security-Gateway Schalten Sie ZyWALL ein, und starten Sie Ihren Computer neu, wenn Sie dazu aufgefordert werden. TCP/IP-Einstellungen überprüfen Klicken Sie auf Start, und wählen Sie den Befehl Ausführen. Geben Sie im Fenster Ausführen den Befehl „winipcfg“ ein, und klicken Sie auf OK, um das Fenster IP- Konfiguration zu öffnen.
Seite 100
ZyWALL 1 Internet Security-Gateway Schalten Sie ZyWALL ein, und starten Sie Ihren Computer neu (falls Sie dazu aufgefordert werden). TCP/IP-Einstellungen überprüfen Klicken Sie in der Task-Leiste auf Start, Programme, Zubehör, und wählen Sie Eingabeaufforderung. Geben Sie im Fenster Eingabeaufforderung den Befehl "ipconfig" ein, und drücken Sie die Eingabetaste. Es erscheinen Informationen zu Ihrer Netzwerkverbindung, dem DNS-Suffix, der IP-Adresse, der Subnet- Maske und dem Standard-Gateway.
Seite 101
ZyWALL 1 Internet Security-Gateway - Klicken Sie auf OK, wenn Sie fertig sind. Im Register Allgemein des Fensters TCP/IP-Eigenschaften. - Klicken Sie auf DNS-Serveradressen automatisch beziehen, falls Sie die IP-Addresse(n) Ihres bzw. Ihrer DNS-Server nicht kennen. - Wenn Sie die IP-Addresse(n) des bzw. der DNS-Server kennen, geben Sie sie in die Felder Bevorzugter DNS-Server und Alternativer DNS-Server unter Folgende DNS-Serveradressen verwenden ein.
Seite 102
ZyWALL 1 Internet Security-Gateway Klicken Sie ggf. auf Speichern, falls Sie dazu aufgefordert werden. Schalten Sie ZyWALL ein, und starten Sie Ihren Computer neu (falls Sie dazu aufgefordert werden). TCP/IP-Einstellungen überprüfen Überprüfen Sie die Parameter im Kontrollfeld TCP/IP. Anhang D...
Seite 103
ZyWALL 1 Internet Security-Gateway Stichwortverzeichnis Allgemeine Befehle für FTP-Clients mit Dateien per TFTP hochladen, 7-8 grafischer Benutzeroberfläche, 7-3 Dateinamenskonventionen, 7-1 Allgemeine Befehle für TFTP-Clients mit Dateiübertragung grafischer Benutzeroberfläche, 7-5 Hinweis, 7-5 Anrufverbindung, D Datum und Uhrzeit, 1-3 Anschluss Denial of Service, 5-10 Installation, I DHCP Table, 6-1 Anschlüsse der Rückseite, 2-2...
Seite 104
ZyWALL 1 Internet Security-Gateway Ethernet, 4-2 Internet-Regulierungsbehörde, 4-3 Ethernet-Netzwerkanschlüsse IP Multicast autom. Geschwindigkeit, 1-2 Internet Group Management Protocol Externes Hub, 2-3 (IGMP), 5-3 IP Static Route, 5-8, 5-9 IP-Adresse und Subnet-Maske, 4-3, 5-3 IP-Adresszuordnung, 4-3 Fenster zur Systemverwaltung, 6-1 IP-Gruppen, 5-2 Firewall IP-Gruppen einrichten, 5-2 Tipps zum Erhöhen der Sicherheit, 5-11...
Seite 105
ZyWALL 1 Internet Security-Gateway Übersicht, 3-3 Primärer und sekundärer DNS-Server, 5-2 Wizard Setup, 4-1 Prinzip des PPTP-Protokolls, D kontextensitive Hilfe, xiii Problemlösung, 8-1 Kundendienst, iv Einschalten, 8-1 Firewall, 8-3 Internet, 8-3 Kennwort, 8-1 LAN TCP/IP, 5-2 LAN-Netzwerkanschluss, 8-2 Leuchtanzeigen der Vorderseite, 2-1 WAN-Netzwerkanschluss, 8-2 Problemlösung und Zusatzinformationen, V Protokolle...
Seite 106
ZyWALL 1 Internet Security-Gateway Single User Account, 4-3 Verzeichnis der Diagramme, xi Standard-IP-Adresse des Servers, 5-5 Verzeichnis der Tabellen, x keine Portdefinition, 5-5 Vollduplexbetrieb, 4-5 Stateful Inspection, 5-10 Vollständige Netzwerkverwaltung, 1-3 statische IP-Ruten, 5-9 Vorder- und Rückseite, 2-1 Statische Ruten, 5-8 Vorderseite, 2-1 Allgemeines, 5-9 Vorderseite (Abbildung), 2-1...