Einige Gerätefunktionen der Vorgängermodelle werden auf den neuen Modellen nicht unterstützt (siehe Kapitel 2.1.1 ).
Der mGuard sichert IP-Datenverbindungen. Dazu vereinigt das Gerät folgende Funktionen:
–Industrial Security Netzwerkrouter
–Modellabhängig mit eingebautem 3- oder 4-Port-Switch und DMZ-Port
–VPN-Router für sichere Datenübertragung über öffentliche Netze (AES-Verschlüsselung, IPsec- und OpenVPN-Protokoll)
–Konfigurierbare Firewall für den Schutz vor unberechtigtem Zugriff. Der dynamische Paketfilter untersucht Datenpakete anhand der Ursprungs- und Zieladresse und blockiert unerwünschten Datenverkehr.
2.1Neue Geräteplattform FL MGUARD 2000/4000
Mit den Geräten der FL MGUARD 2000/4000-Serie werden die etablierten mGuard-Geräte der RS2000/RS4000- und PCI(E)4000-Serie nach und nach ersetzt.
Die neuen Geräte mit bewährter mGuard Security Technology sind mit schnellem Gigabit-Ethernet ausgestattet und werden mit der Firmware-Version mGuard 10.x betrieben.
Die Geräte sind kompatibel zu ihren Vorgängermodellen, können bestehende Konfigurationsprofile (atv-Dateien) importieren und über CGI- und GAI-Schnittstellen konfiguriert werden.
Der mGuard device manager (ab Version mdm 1.16.0) kann zur Verwaltung von mGuard-Geräten mit installierter Firmware-Version bis mGuard 10.4.x verwendet werden (siehe Benutzerhandbuch „UM DE MDM 1.16“ – 111024_de_xx).
Einige Gerätefunktionen der Vorgängermodelle werden auf den neuen Modellen nicht unterstützt (siehe Kapitel 2.1.1 ). |
2.1.1Nicht mehr unterstützte Funktionen
Auf der neuen Geräteplattform werden bestimmte Funktionen der alten Geräteplattform nicht mehr unterstützt.
Hardware
Die neuen mGuard-Modelle der FL MGUARD 2000/4000-Serie verfügen über keine serielle Schnittstelle und kein internes Modem.
Firmware (Funktionen)
Gerätefunktionen, die auf der neuen Geräteplattform nicht unterstützt werden, sind in Tabelle 2-1 aufgeführt.
Tabelle 2-1: Aktuell nicht unterstützte Gerätefunktionen
Funktionen, die in der Firmware mGuard 10.4.x aktuell nicht unterstützt werden |
|---|
Netzwerk: Interfaces –PPPoE –PPTP –Sekundäres externes Interface |
Netzwerk: Serielle Schnittstelle |
Netzwerk: GRE-Tunnel (Generic Routing Encapsulation) |
Netzwerksicherheit: Deep Packet Inspection –ModbusTCP –OPC Inspector |
VPN-Redundanz |
Quality of Services (QoS) |
CIFS-Integrity-Monitoring |
SEC-Stick |
Update-Methode „Online-Update“ (Installation von Package-Sets) |
Bei der Übertragung von älteren Gerätekonfigurationen auf die neuen Geräte muss deshalb darauf geachtet werden, dass die in Tabelle 2-1 beschriebenen Funktionen vor dem Export in der Gerätekonfiguration deaktiviert bzw. auf Werkseinstellungen zurückgesetzt wurden (siehe auch Kapitel 2.1.5).
2.1.2Neu hinzugefügte Funktionen
Auf der neuen Geräteplattform wurden Variablen hinzugefügt, die auf der alten Geräteplattform nicht vorhanden sind.
Tabelle 2-2: Neu hinzugefügte Funktionen / Variablen
Neue Variable im WBM |
Neue Funktion / Auswirkung Migration |
Firmware (Eingefügt mit Firmware-Version) |
|---|---|---|
[Update-Server] Menü: Verwaltung >> Update >> Update Sektion: Update-Server Variable: Server-Zertifikat GAI-Variable: PSM_REPOSITORIES.x.REMOTE_CERT_REF
|
Um sicherzustellen, dass eine sichere HTTPS-Verbindung zum konfigurierten Update-Server aufgebaut wird, kann ein Server-Zertifikat des Update-Servers auf dem mGuard-Gerät installiert werden. Dieses kann vom mGuard-Gerät genutzt werden, um die Authentizität des Update-Servers zu überprüfen. Migration von älteren mGuard-Konfigurationen Nach der Migration einer Konfiguration aus einer älteren Firmware-Version wird der Wert der neu hinzugefügten Variable auf "Ignorieren" gesetzt. |
10.3.0 |
[Alarmausgang] Menü: Verwaltung >> Service I/O >> Alarmausgang Sektion: Funktions-Überwachung Variable: Passwörter nicht konfiguriert GAI-Variable: PASSWORD_CHECK
|
Ein konfigurierbarer Alarm "Passwörter nicht konfiguriert" für nicht geänderte Standardpasswörter (admin/root) wurde zum Gerät hinzugefügt. Der Alarm löst den Alarmausgang über I/Os sowie die entsprechende FAIL-LED aus. Migration von älteren mGuard-Konfigurationen Nach der Migration einer Konfiguration aus einer älteren Firmware-Version wird der Wert der neu hinzugefügten Variable auf "Überwachen" gesetzt. |
10.3.0
|
[OpenVPN-Client] Menü: OpenVPN-Client > Verbindungen > Tunneleinstellungen Sektion: Datenverschlüsselung Variable: Hash-Algorithmus (HMAC-Authentication) GAI-Variable: OPENVPN_CONNECTION.x.VPN_AUTH_HMAC
|
Die Hash-Funktion, die zur Berechnung der Prüfsumme verwendet wird, kann konfiguriert werden. Migration von älteren mGuard-Konfigurationen Nach der Migration einer Konfiguration aus einer älteren Firmware-Version wird der Wert der neu hinzugefügten Variable auf "SHA-1" gesetzt.
|
10.4.0 |
2.1.3Geänderte Werkseinstellungen
In wenigen Fällten unterscheiden sich die Werkseinstellungen vorhandener Variablen auf der alten und der neuen Geräteplattform.
Tabelle 2-3: Geänderte Wertkseinstellungen
Funktion |
Geänderte Werkseinstellung / Auswirkung Migration |
Firmware (Eingefügt mit Firmware-Version) |
|---|---|---|
[Network Address Translation] Menü: Netzwerk >> NAT >> Maskierung Sektion: Network Address Translation/IP-Masquerading Variable: Ausgehend über Interface / Von IP
|
In den Werkseinstellungen wird eine Tabellenzeile/Regel mit den folgenden Variablen-Werten hinzugefügt: –Ausgehend über Interface: Extern –Von IP: 0.0.0.0/0 IP-Masquerading
ist damit für alle Pakete aktiviert, die aus dem internen Netzwerk
(LAN) in Migration von älteren mGuard-Konfigurationen Die Werte aus der migrierten Konfiguration werden unverändert übernommen. Eine neueTabellenzeile/Regel wird nicht hinzugefügt. |
10.3.0 |
[Netzwerkeinstellungen] Menü: Netzwerk >> Interfaces >> Allgemein Sektion: Netzwerk-Modus Variable: Netzwerk-Modus
|
Alle Geräte der neuen Gerätegeneration werden im Netzwerk-Modus „Router“ ausgeliefert. Das externe WAN-Interface erhält seine IP-Konfiguration über DHCP. In der Werkseinstellung verhindert jedoch die Firewall den Fernzugang zum Gerät über das WAN-Interface. Über das interne LAN-Interface ist das Gerät unter der Netzwerkadresse 192.168.1.1/24 aus dem LAN-Netzwerk erreichbar. Mit dem LAN-Interface verbundene Geräte können ihre IP-Konfiguration über den DHCP-Server des mGuard-Geräts erhalten. Migration von älteren mGuard-Konfigurationen Der Wert aus der migrierten Konfiguration wird unverändert übernommen. Der konfigurierte Netzwerkmodus wird nicht geändert. |
10.3.0 |
In wenigen Fällten sind Werte von Variablen auf der neuen Geräteplattform nicht mehr verfügbar und werden durch andere Werte ersetzt.
Tabelle 2-4: Geänderte Variablenwerte
Funktion |
Geänderter Variablenwert / Auswirkung Migration |
Firmware (Eingefügt mit Firmware-Version) |
|---|---|---|
[Multicast] Menü: Netzwerk >> Ethernet >> Multicast Sektion: Allgemeine Multicast-Konfiguration Variable: IGMP-Snooping
|
Damit Daten in „Statischen Multicast-Gruppen“ korrekt an die konfigurierten Ports weitergeleitet werden, muss „IGMP-Snooping“ aktiviert werden Migration von älteren mGuard-Konfigurationen Der Wert der Variable wird nach einer Migration wie folgt geändert: –Aktiviert: Wenn „Statischen Multicast-Gruppen“ konfiguriert sind. –Aktiviert: Wenn „IGMP-Snooping“ in der alten Konfiguration aktiviert ist. –Deaktiviert: Wenn keine „Statischen Multicast-Gruppen“ konfiguriert sind und IGMP-Snooping“ in der alten Konfiguration deaktiviert ist. |
10.3.0 |
2.1.5Migration der Gerätekonfiguration
Die Migration der Konfiguration älterer mGuard-Geräte kann über das Web-based Management (WBM) oder via SD-Karte (ECS) vorgenommen werden.
Voraussetzungen
Sind Gerätefunktionen des Geräts, dessen Konfiguration migriert werden soll, auf dem neuen Gerät nicht verfügbar, müssen die Variablen vor dem Export der Konfiguration auf dem alten Gerät auf Werkseinstellungen zurückgesetzt werden (siehe Tabelle 2-1).
Das genaue Vorgehen bei der Gerätemigration wird im Dokument 111259_de_xx (AH DE MGUARD MIGRATE 10) beschrieben, erhältlich unter phoenixcontact.com/product/1357875.
Die genannten Eigenschaften sind keine garantierten Eigenschaften, da sie grundsätzlich gerätespezifisch sind.
Netzwerk-Features
–Stealth (Auto, Static, Multi), Router (Static, DHCP-Client)
–DMZ
–VLAN
–DHCP-Server/Relay auf den internen und externen Netzwerkschnittstellen
–DNS-Cache auf der internen Netzwerkschnittstelle
–Dynamisches Routing (OSPF)
–Administration über HTTPS und SSH
–LLDP
–MAU-Management
–SNMP
Firewall-Features
–Stateful Packet Inspection
–Anti-Spoofing
–IP-Filter
–L2-Filter (nur im Stealth-Modus)
–NAT mit FTP-, IRC-Unterstützung (nur im Netzwerkmodus „Router“)
–1:1-NAT (nur im Netzwerk-Modus „Router“)
–Port-Weiterleitung (nicht im Netzwerk-Modus „Stealth“)
–Individuelle Firewall-Regeln für verschiedene Nutzer (Benutzerfirewall)
–Individuelle Regelsätze als Aktion (Ziel) von Firewall-Regeln (ausgenommen Benutzerfirewall oder VPN-Firewall)
–Schutzgerät für PROFIsafe-Netzwerkzellen (nach IEC 61784-3-3)
VPN-Features (IPsec)
–Protokoll: IPsec (Tunnel- und Transport-Mode, XAuth/Mode Config)
–IPsec-Verschlüsselung mit DES (56 Bit), 3DES (168 Bit), AES (128, 192, 256 Bit)
–Paket-Authentifizierung: MD5, SHA-1, SHA-265, SHA-384, SHA-512
–Internet-Key-Exchange (IKE) mit Main- und Quick-Mode
–Authentisierung über
–Pre-Shared-Key (PSK)
–X.509v3-Zertifikate mit Public-Key-Infrastruktur (PKI) mit Certification Authority (CA), optionaler Certificate Revocation List (CRL) und Filtermöglichkeit nach Subjects
oder
–Zertifikat der Gegenstelle, z. B. selbstunterschriebene Zertifikate
–Erkennen wechselnder IP-Adressen von Gegenstellen über DynDNS
–NAT-Traversal (NAT-T)
–Dead-Peer-Detection (DPD): Erkennung von IPsec-Verbindungsabbrüchen
–IPsec/L2TP-Server: Anbindung von IPsec/L2TP-Clients
–IPsec-Firewall und IPsec NAT
–Standard-Route über VPN-Tunnel
–Weiterleiten von Daten zwischen VPNs (Hub and Spoke)
–Gerätetypenabhängig bis zu 250 aktive VPN-Tunnel
VPN-Features (OpenVPN)
–OpenVPN-Client
–OpenVPN-Verschlüsselung mit Blowfish, AES (128, 192, 256 Bit)
–HMAC-Authentifizierung: SHA-1, SHA-256 , SHA-512
–Dead-Peer-Detection (DPD)
–Authentisierung über Benutzerkennung, Passwort oder X.509v3-Zertifikat
–Erkennen wechselnder IP-Adressen von Gegenstellen über DynDNS
–OpenVPN-Firewall und 1:1-NAT
–Routen über VPN-Tunnel statisch konfigurierbar und dynamisch erlernbar
–Weiterleiten von Daten zwischen VPNs (Hub and Spoke)
–Bis zu 250 VPN-Tunnel
Weitere Features
–Remote Logging
–Administration unter Benutzung von SNMP v1-v3 und mGuard device manager (FL MGUARD DM UNLIMITED)
–PKI-Unterstützung für HTTPS/SSH Remote Access
–Kann über die LAN-Schnittstelle als NTP- und DNS-Server agieren
–Plug-n-Protect Technologie
–Kompatibel zur mGuard Secure Cloud (mSC)
Support
Bei Problemen mit Ihrem mGuard wenden Sie sich bitte an Ihre Bezugsquelle.
Zusätzliche Informationen zum Gerät sowie Release Notes und Software-Updates finden Sie unter folgender Internet-Adresse: phoenixcontact.com/product/<Bestellnummer>. |
2.3Typische Anwendungsszenarien
In diesem Kapitel werden verschiedene Anwendungsszenarien für den mGuard skizziert.
–„Stealth-Modus (Plug-n-Protect)“
–„DMZ“ (Demilitarized Zone)
–„WLAN über VPN“-Tunnel
–„Auflösen von Netzwerkkonflikten“
2.3.1Stealth-Modus (Plug-n-Protect)
Im Stealth-Modus kann der mGuard zwischen einen einzelnen Rechner und das übrige Netzwerk gesetzt werden.
Die Einstellungen (z. B. für Firewall und VPN) können mit einem Web-Browser unter der URL https://1.1.1.1/ vorgenommen werden.
Auf dem Rechner selbst müssen keine Konfigurationsänderungen durchgeführt werden.
Bild 2-1Stealth-Modus (Plug-n-Protect)
Der mGuard kann für mehrere Rechner als Netzwerkrouter die Internet-Anbindung bereitstellen und das Firmennetz dabei mit seiner Firewall schützen.
Bei Rechnern im Intranet muss der mGuard als Standard-Gateway festgelegt sein.
Bild 2-2Netzwerk-Router
Eine DMZ (Demilitarized Zone, deutsch: entmilitarisierte Zone) ist ein geschütztes Netzwerk, das zwischen zwei anderen Netzen liegt. Zum Beispiel kann sich die Webpräsenz einer Firma so in der DMZ befinden, dass nur aus dem Intranet heraus mittels FTP neue Seiten auf den Server kopiert werden können. Der lesende Zugriff per HTTP auf die Seiten ist jedoch auch aus dem Internet heraus möglich.
Die IP-Adressen innerhalb der DMZ können öffentlich oder privat sein, wobei der mit dem Internet verbundene mGuard die Verbindungen mittels Port-Weiterleitung an die privaten Adressen innerhalb der DMZ weiterleitet.
Ein DMZ-Szenario lässt sich entweder durch zwei mGuards realisieren (siehe Bild 2-3), oder per dediziertem DMZ-Port einiger mGuard-Geräte, z. B. dem FL MGUARD 4305.
Der DMZ-Port wird nur im Router-Modus unterstützt und benötigt wenigstens eine IP-Adresse und eine entsprechende Netzmaske. Die DMZ unterstützt keine VLANs.
Beim VPN-Gateway soll Mitarbeitern einer Firma ein verschlüsselter Zugang zum Firmennetz von zu Hause oder von unterwegs zur Verfügung gestellt werden. Der mGuard übernimmt dabei die Rolle des VPN-Gateways.
Auf den externen Rechnern muss dazu eine IPsec-fähige VPN-Client-Software installiert werden oder der Rechner wird mit einem mGuard ausgerüstet.
Bild 2-4VPN-Gateway
Beim WLAN über VPN sollen zwei Gebäude einer Firma über eine mit IPsec geschützte WLAN-Strecke miteinander verbunden werden. Vom Nebengebäude soll zudem der Internetzugang des Hauptgebäudes mitgenutzt werden können.
Bild 2-5WLAN über VPN
In diesem Beispiel wurden die mGuards in den Router-Modus geschaltet und für das WLAN ein eigenes Netz mit 172.16.1.x Adressen eingerichtet.
Da vom Nebengebäude aus das Internet über das VPN erreichbar sein soll, wird hier eine Standard-Route über das VPN eingerichtet:
Tunnelkonfiguration im Nebengebäude
Verbindungstyp |
Tunnel (Netz <-> Netz) |
Adresse des lokalen Netzes |
192.168.2.0/24 |
Adresse des Remote-Netzes |
0.0.0.0/0 |
Im Hauptgebäude wird das entsprechende Gegenstück der Verbindung konfiguriert:
Tunnelkonfiguration im Hauptgebäude
Verbindungstyp |
Tunnel (Netz <-> Netz) |
Lokales Netz |
0.0.0.0 |
Adresse des Remote-Netzes |
192.168.2.0/24 |
Die Standard-Route eines mGuards führt normalerweise über den WAN-Port. In diesem Fall jedoch ist das Internet über den LAN Port erreichbar:
Standard-Gateway im Hauptgebäude:
IP-Adresse des Standard-Gateways |
192.168.1.253 |
2.3.6Auflösen von Netzwerkkonflikten
Auflösen von Netzwerkkonflikten
Im Beispiel sollen die Netzwerke auf der rechten Seite von dem Netzwerk oder Rechner auf der linken Seite erreichbar sein. Aus historischen oder technischen Gründen überschneiden sich jedoch die Netzwerke auf der rechten Seite.
Mit Hilfe der mGuards und ihrem 1:1-NAT-Feature können diese Netze nun auf andere Netze umgeschrieben werden, so dass der Konflikt aufgelöst wird.
(1:1-NAT kann im normalen Routing, in IPsec-Tunneln und in OpenVPN-Verbindungen genutzt werden.)
