Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zur Registrierung für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Ersetzen Sie diese Werte nach Abschluss der Übung durch Werte, die für Ihre Cloud-Umgebung spezifisch sind.

Sicherheit mit der Firewall pfSense zur Domain Name Systemarchitektur hinzufügen

Einführung

OraStage ist ein führendes Unternehmen im Energiesektor, das sich auf Lösungen für erneuerbare Energien und innovative Energietechnologien spezialisiert hat. Das Unternehmen kündigte eine strategische Entscheidung an, seine Workloads auf Oracle Cloud Infrastructure (OCI) zu migrieren, um Performance, Skalierbarkeit und Sicherheit zu verbessern.

Unter Berücksichtigung der spezifischen Anforderungen und Bedingungen, die OraStage dargelegt hat, benötigt das Unternehmen eine hybride Domain Name System (DNS)-Lösung in der Cloud, und hybride bedeutet hier, Ihr eigenes Berkeley Internet Name Domain Version 9 (BIND9) DNS-System zusätzlich zum OCI DNS-Service verwenden, wobei die endgültige Architektur, die sie erstellen möchten, in der folgenden Abbildung dargestellt wird.

OraStage DNS-Anforderungen:

• Das Unternehmen verfügt über mehrere interne Domains und Subdomains. Alle müssen mit ihrem BIND9-DNS in OCI aufgelöst werden. Dabei verwaltet OraStage alle zugehörigen Zonen und Datensätze. Eine dieser Domains ist orastage.com, die wir in diesem Tutorial verwenden werden. Daher muss jede Abfrage an orastage.com an ihre BIND9 weitergeleitet werden.

• In einigen Fällen müssen sie OCI-native Domains (oraclevcn.com, oraclecloud.com usw.) dennoch auflösen. Dazu werden private OCI-DNS-Komponenten verwendet: private Ansichten, Weiterleitung von Endpunkten und Regeln sowie Listening-Endpunkte.

• Alle Abfragen müssen von einer pfSense-Firewallinstanz geprüft werden.

• Um Single Point of Failure zu vermeiden, plant OraStage, einen anderen DNS-Server zu verwenden und den OCI Load Balancer zu nutzen, um Abfragen zwischen primärem und sekundärem DNS zu verteilen.

Diese Tutorial-Serie wird Sie Schritt für Schritt führen, um die oben beschriebenen Anforderungen zu erfüllen und die gesamte Lösung von Grund auf neu zu erstellen. Sie können einfach zu jedem Tutorial aus der folgenden Liste navigieren:

• Tutorial 1: DNS BIND9 in OCI konfigurieren. Erfahren Sie, wie Sie BIND9 auf einer Compute-Instanz installieren und konfigurieren, sodass es zum lokalen DNS-Server für zwei Testumgebungen in OCI wird. Diese Umgebungen bestehen aus "Frontend"- und "Backend"-Servern, die jeweils in einem separaten Spoke-Netzwerk gehostet werden. Der BIND9-Server verarbeitet alle DNS-Abfragen, die an orastage.com weitergeleitet werden.

• Tutorial 2: High Availability für das DNS-Szenario BIND9 in OCI implementieren. Dieses Tutorial konzentriert sich auf das Hinzufügen eines sekundären BIND9-Servers und das Konfigurieren eines Network Load Balancers (NLB), um DNS-Traffic zwischen beiden Servern zu verteilen. DNS-Abfragen an orastage.com werden an die NLB-IP weitergeleitet, mit der die Last zwischen dem primären und dem sekundären BIND9-Server ausgeglichen wird. Wenn ein Server nicht mehr verfügbar ist, wird die DNS-Auflösung ohne Serviceunterbrechung fortgesetzt.

• Tutorial 3: Native Domains mit OCI-DNS auflösen. Konzentrieren Sie sich nur auf einen bestimmten Anwendungsfall, in dem wir native DNS-Komponenten in OCI verwenden, falls native Domains wie oraclevcn.com und oraclecloud.com aufgelöst werden müssen. BIND9 DNS wird in diesem Tutorial nicht verwendet.

• Tutorial 4: Sicherheit mit der pfSense-Firewall zur DNS-Architektur hinzufügen. Konzentrieren Sie sich auf die Installation einer pfSense-Firewall im Hub-VCN in OCI, und führen Sie die erforderliche Netzwerkkonfiguration aus, um den gesamten Ost-West-Traffic einschließlich DNS-Abfragen (in den letzten Tutorials ausgeführt) über die zu prüfende Firewall weiterzuleiten.

Überblick

In diesem Tutorial untersuchen wir, wie wir die Sicherheit unserer DNS-Architektur verbessern können, indem wir pfSense, eine Open-Source-Firewall und Router-Plattform, nutzen.

DNS ist eine wichtige Komponente der Netzwerkinfrastruktur, ist jedoch häufig anfällig für Angriffe wie DNS-Spoofing, Cachevergiftung und Distributed Denial of Service (DDoS). Durch die Integration von pfSense in DNS-Sicherheitsmaßnahmen können Sie eine robuste Schutzebene hinzufügen, um sicherzustellen, dass der DNS-Traffic Ihres Netzwerks sicher und resilient ist. Daher wird empfohlen, Ihre Firewall so zu konfigurieren, dass DNS-Abfragen gefiltert, böswillige Domains blockiert und die allgemeine DNS-Integrität gestärkt wird.

Was ist der zusätzliche Vorteil, wenn eine pfSense-Firewall vor einem DNS-Server platziert wird?

• Trafficfilterung und Zugriffskontrolle

  • Die Firewall kann den Zugriff auf Ihren DNS-Server einschränken, sodass nur autorisierte IP-Adressen oder bestimmte Netzwerke DNS-Abfragen senden können. Dadurch wird verhindert, dass nicht autorisierte Benutzer oder Systeme den Server abfragen oder ausnutzen.

  • Sie kann Zugriffskontrollrichtlinien durchsetzen, um sicherzustellen, dass nur legitimer DNS-Traffic den Server erreicht und potenziell schädlichen oder unerwünschten Traffic blockiert.

• Schutz vor DNS-basierten Angriffen

  • Vorbeugung von DNS-Verstärkungs-/Reflexionsangriffen: Firewalls können DNS-Verstärkungsangriffe erkennen und mindern, bei denen Angreifer gefälschte Anforderungen senden, um den Server zu überwältigen. Durch die Begrenzung oder Ratenbegrenzung des DNS-Abfrageverkehrs minimiert die Firewall die Auswirkungen solcher Angriffe.

  • DNS-Spoofing-Prävention: Firewalls können böswillige oder böswillige DNS-Antworten blockieren, die bei DNS-Spoofing- oder -Vergiftungsangriffen verwendet werden, um Benutzer auf betrügerische Websites zu verweisen.

  • DDoS Abwehr: Firewalls bieten Abwehrmechanismen gegen Distributed Denial of Service-(DDoS-)Angriffe, indem sie anormale DNS-Traffic-Volumes überwachen und drosseln, sodass Angreifer Ihre DNS-Infrastruktur nicht überlasten können.

• DNS-Abfrageprüfung und -Protokollierung

  • Die Firewall kann DNS-Abfragen auf verdächtige Muster prüfen, wie z. B. Abfragen nach bekannten böswilligen Domains. Es kann diese Abfragen blockieren, bevor sie den DNS-Server erreichen, wodurch der Zugriff auf gefährliche Websites verhindert wird.
  • DNS-Abfragelogs können zu Auditingzwecken aufgezeichnet werden, sodass Sie abnormales Verhalten erkennen oder potenzielle Sicherheitsvorfälle effektiver untersuchen können.

• Vermeidung von DNS-Tunneln

  • DNS-Tunneling ist eine Technik, mit der Angreifer Daten exfiltrieren oder über DNS-Abfragen mit kompromittierten Systemen kommunizieren können. Eine Firewall kann DNS-Tunnelaktivitäten erkennen und blockieren und einen signifikanten Datenleckagevektor abschalten.

• Ratenbegrenzung und Ressourcenschutz

  • Die Firewall kann die Anzahl der DNS-Anforderungen begrenzen, die von einer einzelnen Quelle kommen (Ratenbegrenzung), wodurch eine Überlastung des DNS-Servers verhindert wird. Dies schützt vor Brute-Force-Angriffen oder übermäßigen DNS-Abfrageangriffen, die die Performance oder Verfügbarkeit des Servers beeinträchtigen könnten.

• Netzwerksegmentierung

  • Indem Sie den DNS-Server hinter einer Firewall platzieren, können Sie ihn innerhalb eines geschützten Netzwerksegments (z. B. DMZ) isolieren und sicherstellen, dass der Zugriff des Angreifers auf den Rest Ihres Netzwerks auch bei einer Gefährdung des DNS-Servers eingeschränkt ist.

• Unterstützung für sichere DNS-Protokolle

  • Firewalls können sichere DNS-Protokolle wie DNS über HTTPS (DoH) oder DNS über TLS (DoT) durchsetzen, um zu gewährleisten, dass der DNS-Verkehr verschlüsselt ist. Dadurch wird verhindert, dass DNS-Abfragen und -Antworten abgehört oder manipuliert werden, und Benutzer werden vor Man-in-the-Middle-Angriffen geschützt.

• Reduzierung der Angriffsfläche

  • Indem Sie die echte IP-Adresse des DNS-Servers hinter der Firewall verstecken, reduzieren Sie die Gefährdung potenzieller Angreifer. Die Firewall fungiert als Vermittler und bietet eine Verteidigungsschicht zwischen dem öffentlichen Internet und Ihrer DNS-Infrastruktur.

Insgesamt verbessert das Platzieren einer Firewall vor Ihrem DNS-Server die Sicherheit, Performance und Resilienz des Servers, indem er unbefugten Zugriff verhindert, böswilligen Traffic erkennt und einen robusten Schutz vor einer Vielzahl von DNS-bezogenen Bedrohungen bietet.

Ziele

• Das Hauptziel dieses Tutorials besteht darin, den gesamten Ost-West-Traffic, einschließlich DNS-Abfragen, über eine pfSense-Firewall zu leiten, die geprüft werden muss. Darüber hinaus überwachen wir einige Anforderungen mit der Paketerfassungsfunktion der Firewall.

• Außerdem stellen wir einen öffentlichen Windows-Jumpserver bereit, der als Zugriffspunkt für die Verwaltung anderer privater Instanzen in OCI-VCNs dient, insbesondere der pfSense-Firewall.

• Am Ende dieses Tutorials ist es unser Ziel, ein Hub- & Spoke-Netzwerkarchitekturmodell zu etablieren. Dieses Setup wird die Sicherheit verbessern, die Netzwerkverwaltung für OraStage optimieren, indem die Routingkontrolle zwischen Netzwerken über den Hub zentralisiert wird, und die Skalierbarkeit erhöhen, sodass das Unternehmen dem vorhandenen Hub jederzeit neue Netzwerke hinzufügen kann.

Hinweis:

• Dieses Tutorial behandelt keine Schutzfunktionen vor DNS-spezifischen Angriffen. Stattdessen konzentrieren wir uns darauf, die pfSense-Firewall bereitzustellen und in die vorhandene Umgebung zu integrieren, um den gesamten Traffic durch sie zu leiten (z.B. FE-VM zu BE-VM, FE-VM zu DNS-NLB usw.). Außerdem erfahren Sie, wie Sie grundlegende Zugriffskontrollregeln für die Firewall konfigurieren.

• Sie können diesem Tutorial auch dann folgen, wenn Sie bereits eine andere Art von Firewalllösung wie OCI Network Firewall oder eine Marketplace-Netzwerkfirewall wie Palo Alto oder FortiGate haben.

Abschließende Architektur

Voraussetzungen

• Zugriff auf einen OCI-Mandanten und Berechtigungen zum Verwalten der erforderlichen Netzwerk-, Compute- und Objektspeicherservices.

• Grundlegendes Verständnis von OCI-Netzwerkrouting und -sicherheit und ihren Funktionen: Virtuelles Cloud-Netzwerk (VCN), Routentabelle, dynamisches Routinggateway (DRG), Sicherheitsliste, Bastion und OCI Network Load Balancer.

• Grundlegendes Verständnis von DNS im Allgemeinen.

• Führen Sie die folgenden Tutorials aus:

  1. Konfigurieren Sie das Domain Name System BIND9 in Oracle Cloud Infrastructure.
  2. Implementieren Sie High Availability auf dem Domain Name System BIND9 in Oracle Cloud Infrastructure.
  3. Native Domains mit Oracle Cloud Infrastructure DNS auflösen.

• Ein VCN ist erforderlich. Erstellen Sie es mit dem Assistenten, damit Sie alle erforderlichen Standardkomponenten im VCN abrufen und an das DRG anhängen. Weitere Informationen finden Sie unter Aufgabe 1.3: VCNs an das DRG anhängen.

  • Hub-VCN: Das öffentliche Subnetz hostet den Jump-Server, und das private Subnetz hostet die pfSense-Firewall.

• Basierend auf den oben genannten Voraussetzungen sollten Sie die folgende Architektur bereits erstellt haben.

Aufgabe 1: Routing- und Sicherheitsnetzwerkkomponenten einrichten

Aufgabe 1.1: Virtuelles Cloud-Netzwerk (Hub-VCN) erstellen

Stellen Sie sicher, dass das Hub-VCN (10.4.0.0/16) bereits erstellt wurde, das Hub-Private-Subnetz (10.4.0.0/24) und Hub-Public-Subnetz (10.4.1.0/24) enthält.

• Klicken Sie in der oberen linken Ecke auf das Hamburger-Menü (≡).

  

  1. Klicken Sie auf Networking.
  2. Klicken Sie auf Virtual Cloud Networks.

  

• Wie bereits erwähnt, kann das VCN angezeigt werden. Stellen Sie sicher, dass es mit dem Assistenten erstellt wird. Daher erhalten Sie standardmäßig die folgenden Komponenten: drei Gateways, ein öffentliches Subnetz mit einer Routentabelle und einer daran angehängten Sicherheitsliste sowie ein privates Subnetz mit einer Routentabelle und einer daran angehängten Sicherheitsliste.

Hinweis:

• Ab sofort werden in einigen Teilen der Routentabellen- und Sicherheitslistenkonfiguration alle Netzwerke aggregiert: DNS-VCN (10.0.0.0/16), Frontend-VCN (10.1.0.0/16), Backend-VCN(10.2.0.0/16), LSN-VCN (10.3.0.0/16), Hub-VCN (10.4.0.0/16) in nur einem Adressblock (10.0.0.0/8), um die Verwaltung zu vereinfachen, da dadurch die Anzahl der Regeln reduziert wird.

• In einigen Szenarios müssen Spoke-Netzwerke innerhalb einer Hub- und Spoke-Topologie möglicherweise Internetzugriff vom Hubnetzwerk erhalten, damit der Traffic aus Sicherheitsgründen durch die Firewall geleitet wird. Aus diesem Grund leiten wir auf der Spoke-Subnetzebene den gesamten Traffic an das DRG weiter. In diesem Tutorial zeigen wir jedoch keine Szenarien für den Internetzugang.

Aufgabe 1.2: Routing und Sicherheit für Hub-VCN konfigurieren

• Dies muss in jedem der beiden Subnetze geschehen. Navigieren Sie zur Seite "VCNs", und klicken Sie auf Hub-VCN.

  

• Wir beginnen mit dem öffentlichen Subnetz und klicken darauf.

  

• Klicken Sie auf Routentabelle, eine zugewiesene Routentabelle.

• Fügen Sie die folgende Regel hinzu.

  • 0.0.0.0/0 - Internetgateway: Für bidirektionalen Zugriff auf das Internet. Wir benötigen es, um mit seiner öffentlichen IP-Adresse auf den Jump-Server zuzugreifen.

  

• Machen wir die Sicherheit für das öffentliche Subnetz. Gehen Sie zur Seite Subnetzdetails, und klicken Sie auf die zugewiesene Sicherheitsliste.

• Ingress-Traffic zulassen: RDP-Traffic (TCP/Port 3389) von überall.

  

• Lassen Sie den gesamten Egress-Traffic zu.

  

• Navigieren Sie zurück zur VCN-Seite, und klicken Sie auf das private Subnetz.

  

• Klicken Sie auf Routentabelle, eine zugewiesene Routentabelle.

• Fügen Sie die folgenden Regeln hinzu.

  • 0.0.0.0/0 - NAT-Gateway: Um unidirektionalen Zugriff auf das Internet zu haben, um bei Bedarf Packages oder Patches zu installieren. Es ist keine kritische Komponente in diesem Tutorial, aber gut, es zu haben, wenn pfSense Internetzugriff benötigt.

  • 10.0.0.0/8 - DRG: Leiten Sie Traffic, der für Frontend-VCN, Backend-VCN, DNS-VCN oder LSN-VCN bestimmt ist, an das DRG weiter. Wenn die Firewall mit der Prüfung des Traffics fertig ist, leitet sie den zulässigen Traffic weiter. Dadurch wird diese Routentabelle verwendet und an das DRG gesendet.

  

• Machen wir die Sicherheit für das private Subnetz. Gehen Sie zur Seite Subnetzdetails, und klicken Sie auf die zugewiesene Sicherheitsliste.

  

• Ingress-Traffic zulassen: Alle Traffictypen vom Frontend-VCN, Backend-VCN, DNS-VCN und LSN-VCN.

  

• Lassen Sie den gesamten Egress-Traffic zu.

  

Aufgabe 1.3: Routing und Sicherheit für LSN-VCN konfigurieren

• Dies muss auf Subnetzebene erfolgen. Navigieren Sie zur Seite "VCNs", und klicken Sie auf LSN-VCN.

  

• Klicken Sie auf das private Subnetz.

  

• Klicken Sie auf Routentabelle, eine zugewiesene Routentabelle.

  

• Wir werden alle Regeln löschen.

  

• Wir werden alle folgenden Regeln durch nur eine Regel ersetzen.

  • 0.0.0.0/0 - DRG: Leiten Sie den gesamten Traffic an das DRG weiter, einschließlich Traffic, der zu einem der anderen VCNs geleitet wird, und Traffic, der zum Internet geleitet wird.

  

• Lasst uns jetzt die Sicherheit tun. Gehen Sie zur Seite Subnetzdetails, und klicken Sie auf die zugewiesene Sicherheitsliste.

  

• Wir löschen alle Ingress-Regeln, die DNS-Traffic zulassen.

  

• Wir werden die folgenden Regeln durch nur diese beiden Regeln ersetzen.

  

  Hinweis: Ändern Sie nichts in den Egress-Regeln.

Aufgabe 1.4: Routing und Sicherheit für DNS-VCN konfigurieren

• Dies muss auf Subnetzebene erfolgen. Navigieren Sie zur Seite "VCNs", und klicken Sie auf DNS-VCN.

  

• Klicken Sie auf das private Subnetz.

  

• Klicken Sie auf Routentabelle, eine zugewiesene Routentabelle.

  

• Wir löschen alle folgenden Regeln.

  

• Wir werden die folgenden Regeln durch nur eine Regel ersetzen.

  • 0.0.0.0/0 - DRG: Leiten Sie den gesamten Traffic an das DRG weiter, einschließlich Traffic, der zu einem der anderen VCNs geleitet wird, und Traffic, der zum Internet geleitet wird.

  

• Lasst uns jetzt die Sicherheit tun. Gehen Sie zur Seite Subnetzdetails, und klicken Sie auf die zugewiesene Sicherheitsliste.

  

• Wir löschen alle Ingress-Regeln, die DNS-Traffic zulassen.

  

• Wir werden die folgenden Regeln durch nur diese beiden Regeln ersetzen.

  

  Hinweis: Ändern Sie nichts in den Egress-Regeln.

Aufgabe 1.5: Routing und Sicherheit für Frontend-VCN konfigurieren

• Dies muss auf Subnetzebene erfolgen. Navigieren Sie zur Seite "VCNs", und klicken Sie auf Frontend-VCN.

  

• Klicken Sie auf das private Subnetz.

  

• Klicken Sie auf Routentabelle, eine zugewiesene Routentabelle.

  

• Wir löschen alle folgenden Regeln.

  

• Wir werden die folgenden Regeln durch diese beiden Regeln ersetzen.

  • 0.0.0.0/0 - DRG: Leiten Sie den gesamten Traffic an das DRG weiter, einschließlich Traffic, der zu einem der anderen VCNs geleitet wird, und Traffic, der zum Internet geleitet wird.

  • Alle LIN-Services in Oracle Services Network - Service Gateway: Um Zugriff auf Oracle-Services in der Region Mailand zu ermöglichen, ist dies erforderlich, um die Konnektivität mit dem OCI Bastion-Service aufrechtzuerhalten, wenn Sie dies nicht tun Hier finden Sie eine Regel für den Zugriff auf das Internet oder die Oracle-Services. Dann tritt ein Fehler mit dem Bastion-Plug-in auf, bei dem Sie keine Bastion für den Zugriff auf FE-VM verwenden können.

  

  Hinweis: Ändern Sie nichts in den Ingress- und Egress-Regeln.

Aufgabe 1.6: Routing und Sicherheit für Backend-VCN konfigurieren

• Dies muss auf Subnetzebene erfolgen. Navigieren Sie zur Seite "VCNs", und klicken Sie auf Backend-VCN.

  

• Klicken Sie auf das private Subnetz.

  

• Klicken Sie auf Routentabelle, eine zugewiesene Routentabelle.

  

• Wir löschen alle folgenden Regeln.

  

• Wir werden die folgenden Regeln durch diese beiden Regeln ersetzen.

  • 0.0.0.0/0 - DRG: Leiten Sie den gesamten Traffic an das DRG weiter, einschließlich Traffic, der zu einem der anderen VCNs geleitet wird, und Traffic, der zum Internet geleitet wird.

  • Alle LIN-Services in Oracle Services Network - Service Gateway: Um Zugriff auf Oracle-Services in der Region Mailand zu ermöglichen, ist dies erforderlich, um die Konnektivität mit dem OCI Bastion-Service aufrechtzuerhalten, wenn Sie dies nicht tun Hier finden Sie eine Regel für den Zugriff auf das Internet oder die Oracle-Services. Dann tritt ein Fehler mit dem Bastion-Plug-in auf, bei dem Sie keine Bastion für den Zugriff auf die BE-VM verwenden können.

  

Hinweis: Ändern Sie nichts in den Ingress- und Egress-Regeln.

Aufgabe 1.7: Spoke-VCNs-Routing in DRG konfigurieren

Der Zweck dieser Aufgabe besteht darin, sicherzustellen, dass der gesamte Traffic, der von einem der Netzwerke (DNS/LSN/Frontend/Backend) gesendet und vom DRG empfangen wird, an den Hub weitergeleitet wird, wo er von der Firewall geprüft wird.

• Klicken Sie in der oberen linken Ecke auf das Hamburger-Menü (≡).

  

  1. Klicken Sie auf Networking.
  2. Klicken Sie auf Dynamisches Routinggateway.

  

• Klicken Sie auf DRG.

  

  1. Klicken Sie auf VCN-Anhänge. Ein VCN-Anhang stellt einen Link dar, der das VCN mit dem DRG verbindet, um den Netzwerktraffic zwischen dem VCN und externen Netzwerken oder anderen VCNs zu ermöglichen.
  2. Sie werden feststellen, dass alle VCNs angehängt sind.

  

  1. Klicken Sie auf DRG-Routentabellen.
  2. Click Create DRG route table.
  3. Geben Sie einen Namen für die Routentabelle ein.
  4. Routingregel hinzufügen: Wählen Sie 0.0.0.0/0 und Hub-VCN-Anhang aus, der alles an den Hubanhang weiterleitet.
  5. Click Create DRG route table.
  6. Die Routentabelle wurde erfolgreich erstellt.

  

  

  

• Weisen Sie die Routentabelle allen Spoke-VCN-Anhängen zu, beginnend mit dem Backend-VCN-Anhang, und klicken Sie darauf.

  

  1. Klicken Sie auf Bearbeiten.
  2. Klicken Sie auf Erweiterte Optionen anzeigen.
  3. Klicken Sie auf DRG-Routentabelle.
  4. Wählen Sie Spoke-DRG-RT aus.
  5. Klicken Sie auf Änderungen speichern.
  6. Die DRG-Routentabelle wurde dem Backend-VCN-Anhang erfolgreich zugewiesen. Jetzt wird der gesamte Traffic, der aus dem Backend-VCN an das DRG kommt, an das Hub-VCN weitergeleitet.

  

  

  

• Wiederholen Sie die Schritte 1 bis 6 für den Rest der Anhänge.

  

Aufgabe 2: Windows-Jump-Server bereitstellen

• In dieser Aufgabe stellen wir eine neue Windows-Compute-Instanz bereit und verwenden sie für die Verbindung mit anderen privaten Ressourcen. Zu den vorgesehenen Verwendungszwecken gehören:

  • (Obligatorisch): Um die pfSense-Firewall über den Browser (HTTP/S) aufzurufen und zu verwalten.

  • (Optional): Um auf die FE-VM-Instanz zuzugreifen und den Test auszuführen. Sie können entweder den OCI Bastion-Service verwenden oder diesen Server als neue Jumpbox verwenden.

• Klicken Sie in der oberen linken Ecke auf das Hamburger-Menü (≡).

  

  1. Klicken Sie auf Berechnen.
  2. Klicken Sie auf Instanzen.

  

• Klicken Sie auf Instanz erstellen.

  

• Geben Sie einen Namen für die Instanz ein.

  

  1. Klicken Sie auf Image ändern.
  2. Wählen Sie Windows aus.
  3. Wählen Sie das Image Windows Server 2016 Standard aus.
  4. Wählen Sie diese Option aus, um den Nutzungsbedingungen zuzustimmen.
  5. Klicken Sie auf Image auswählen.
  6. Das Betriebssystem (BS) der Instanz wurde erfolgreich in Windows Server 2016 Standard geändert.

  

  

  

• Geben Sie im Abschnitt Informationen zur primären VNIC die folgenden Informationen ein.

  1. Wählen Sie Hub-VCN aus.
  2. Wählen Sie das öffentliche Subnetz aus, damit der Instanz eine öffentliche IP-Adresse zugewiesen wird.
  3. Weisen Sie der Instanz eine private IP-Adresse 10.4.1.5 zu.

  

  

  1. Beim Erstellen des Windows-Rechners wird eine Notiz angezeigt, in der angegeben wird, dass Nach der Instanzerstellung ein anfängliches Kennwort generiert wird. Der Unterschied besteht im Linux-Betriebssystem. SSH-Schlüssel werden für die Authentifizierung verwendet.
  2. Klicken Sie auf Erstellen.

  

• Die Compute-Instanz Jump-Server wurde erfolgreich erstellt. Notieren Sie sich die folgenden Details, die Sie beim Zugriff auf die Instanz verwenden.

  1. Öffentliche IP-Adresse.
  2. Benutzername.
  3. Anfängliches Kennwort.

  

• Um von Ihrem Windows-PC auf den Jump-Server zuzugreifen, öffnen Sie die Remote-Desktopverbindung, geben Sie die öffentliche IP der Instanz ein, und klicken Sie auf Verbinden.

  

• Klicken Sie auf Ja.

  

• Geben Sie das anfängliche Kennwort ein, das auf der Instanzseite angegeben wurde, und klicken Sie auf Weiter.

  

• Das Kennwort muss vor der Anmeldung geändert werden, und klicken Sie auf OK.

  

• Geben Sie Ihr neues Kennwort zweimal ein.

  

• Das Kennwort wurde erfolgreich geändert. Klicken Sie auf OK, um fortzufahren.

  

• Geben Sie Ihr neues Kennwort ein, und klicken Sie auf Weiter.

  

• Sie sind erfolgreich mit dem Jump-Server verbunden.

  

• Die Architektur sollte wie in der folgenden Abbildung dargestellt aussehen.

  

Aufgabe 3: pfSense-Firewall installieren und konfigurieren

Hinweis: Wenn bereits ein anderer Firewalllösungstyp vorhanden ist, können Sie die Aufgabe 3.1 bis 3.7 überspringen und von 3.8 aus fortfahren.

Aufgabe 3.1: pfSense-Image herunterladen

• Laden Sie das Bild pfSense von der Netgate-Website herunter. Stellen Sie sicher, dass Sie die memstick-serial-Version herunterladen. Der Dateiname des verwendeten Images lautet pfSense-CE-memstick-serial-2.7.2-RELEASE-amd64.img.gz. Weitere Informationen finden Sie unter Netgate.

  

• Die installierte Datei hat das Format .gz. Nachdem Sie die Datei extrahiert haben, wird der Imagedateiname pfSense-CE-memstick-serial-2.7.2-RELEASE-amd64.img angezeigt.

  

Aufgabe 3.2: OCI Object Storage-Bucket erstellen

In dieser Aufgabe erstellen wir einen OCI Object Storage-Bucket, mit dem das pfSense-Image hochgeladen wird, und erstellen mit diesem Objektimage ein benutzerdefiniertes Image in OCI.

• Klicken Sie in der oberen linken Ecke auf das Hamburger-Menü (≡).

  

  1. Klicken Sie auf Speicher.
  2. Klicken Sie auf Buckets.

  

  1. Klicken Sie auf Bucket erstellen.
  2. Geben Sie einen Wert für Gruppenname ein.
  3. Wählen Sie Standard Storage Tier als Standard Storage Tier aus.
  4. Klicken Sie auf "Erstellen".

  

  

• Beachten Sie, dass der Speicher-Bucket erstellt wurde.

  

Aufgabe 3.3: pfSense-Image in den Speicher-Bucket hochladen

• Gehen Sie zur Seite Bucket-Details.

  1. Scrollen Sie auf der Bucket-Seite nach unten.
  2. Klicken Sie auf Hochladen.

  

• Geben Sie auf der Seite Objekte hochladen die folgenden Informationen ein.

  1. Klicken Sie auf Dateien auswählen, und wählen Sie das Image pfSense aus.
  2. Klicken Sie auf Hochladen.

  

• Während das pfSense-Image in den Speicher-Bucket hochgeladen wird, können Sie den Fortschritt überwachen.

  

  1. Wenn das pfSense-Image vollständig hochgeladen wurde, lautet der Fortschrittsstatus Fertig.
  2. Klicken Sie auf Schließen.

  

Aufgabe 3.4: Benutzerdefiniertes Image erstellen

Das Image pfSense wurde hochgeladen. Jetzt müssen wir ein benutzerdefiniertes OCI-Image daraus erstellen. Mit diesem benutzerdefinierten Image wird die pfSense-Firewallinstanz erstellt.

• Klicken Sie in der oberen linken Ecke auf das Hamburger-Menü (≡).

  

  1. Klicken Sie auf Berechnen.
  2. Klicken Sie auf Benutzerdefinierte Images.

  

• Klicken Sie auf Image importieren.

• Geben Sie auf der Seite Image importieren die folgenden Informationen ein.

  1. Geben Sie einen Namen ein.
  2. Wählen Sie Generisches Linux als Betriebssystem aus.
  3. Wählen Sie Aus Object Storage-Bucket importieren aus.
  4. Wählen Sie den Speicher-Bucket aus, in den Sie das Image hochgeladen haben.
  5. Wählen Sie unter Objektname das Objekt aus, das wir in den Bucket hochgeladen haben (Image pfSense).
  6. Wählen Sie VMDK als Imagetyp aus.
  7. Wählen Sie Paravirtualisierter Modus aus.
  8. Klicken Sie auf Image importieren.

  

  

• Das benutzerdefinierte Image ist IMPORTING.

  

• Nach einigen Minuten ist der Status VERFÜGBAR.

  

Aufgabe 3.5: Instanz mit dem benutzerdefinierten pfSense-Image erstellen

• Klicken Sie in der oberen linken Ecke auf das Hamburger-Menü (≡).

  

  1. Klicken Sie auf Berechnen.
  2. Klicken Sie auf Instanzen.

  

• Klicken Sie auf Instanz erstellen.

  

• Geben Sie einen Namen für die Firewallinstanz ein.

  

  1. Klicken Sie auf Image ändern.
  2. Wählen Sie Meine Bilder aus.
  3. Klicken Sie auf Benutzerdefinierte Images.
  4. Wählen Sie das in Aufgabe 3.4 erstellte benutzerdefinierte Image aus.
  5. Klicken Sie auf Image auswählen.
  6. Beachten Sie, dass das Image pfSense ausgewählt ist.

  

  

  

• Geben Sie im Abschnitt Informationen zur primären VNIC die folgenden Informationen ein.

  1. Wählen Sie Hub-VCN aus.
  2. Wählen Sie das private Subnetz aus.
  3. Weisen Sie der Instanz eine private IP-Adresse 10.4.0.5 zu.

  

  

  1. Wählen Sie Keine SSH-Schlüssel aus.
  2. Klicken Sie auf Erstellen.

  

• Die pfSense-Firewall-Compute-Instanz wurde erfolgreich erstellt.

  

Aufgabe 3.6: pfSense auf der Instanz installieren

Sie müssen die Erstinstallation und dann die pfSense-Firewall einrichten. Die ausgeführte Instanz ist bereits vorhanden.

• Um die pfSense-Firewallsoftware zu installieren, müssen Sie eine Konsolenverbindung erstellen. Blättern Sie auf der Seite der Firewallinstanz nach unten.

  1. Klicken Sie auf Konsolenverbindung.
  2. Klicken Sie auf Cloud Shell-Verbindung starten.

  

• Einige Startnachrichten werden angezeigt. Klicken Sie auf ENTER.

  

• Lesen Sie die Copyright-Nachrichten, wählen Sie Akzeptieren, und drücken Sie die EINGABETASTE.

  

  1. Wählen Sie Install pfSense aus.
  2. Wählen Sie OK, und klicken Sie auf ENTER.

  

  1. Wählen Sie Manuelles Festplattensetup (Experten) aus.
  2. Wählen Sie OK, und klicken Sie auf ENTER.

  

  1. Wählen Sie da0 - 47 GB MBR.
  2. Wählen Sie Erstellen, und drücken Sie die EINGABETASTE.

  

  1. Geben Sie unter Typ den Wert freebsd ein.
  2. Geben Sie unter Größe 46 GB ein.
  3. Geben Sie Mountpoint ein.
  4. Wählen Sie OK, und klicken Sie auf ENTER.

  

  1. Wählen Sie unter da0s4 die Option 46 GB BSD aus.
  2. Wählen Sie Erstellen, und drücken Sie die EINGABETASTE.

  

  1. Geben Sie unter Typ den Wert freebsd-ufs ein.
  2. Geben Sie unter Größe 40 GB ein.
  3. Geben Sie unter Mountpoint den Wert / ein.
  4. Wählen Sie OK, und klicken Sie auf ENTER.

  

  1. Beachten Sie, dass der Einhängepunkt für / erstellt wird.
  2. Geben Sie unter da0s4 46 GB BSD ein.
  3. Wählen Sie Erstellen, und drücken Sie die EINGABETASTE.

  

  1. Geben Sie unter Typ den Wert freebsd-swap ein.
  2. Geben Sie unter Größe 5670 MB ein.
  3. Geben Sie Mountpoint ein.
  4. Wählen Sie OK, und klicken Sie auf ENTER.

  

  1. Beachten Sie, dass der Einhängepunkt für Swap erstellt wird.
  2. Wählen Sie Fertigstellen, und drücken Sie die EINGABETASTE.

  

• Wählen Sie Commit, und drücken Sie die EINGABETASTE.

  

  

• Wählen Sie Reboot, und drücken Sie die EINGABETASTE.

  

• Nach dem ersten Neustart erhalten Sie einige Konfigurationsoptionen zur Konfiguration der WAN-Schnittstelle. Geben Sie unter Sollten VLANS eingerichtet werden n ein, und drücken Sie die EINGABETASTE.

  

• Geben Sie für Geben Sie den WAN-Schnittstellennamen oder "a" für die automatische Erkennung (vtnet0 oder a) vtnet0 ein.

  

• In diesem Setup erstellen wir eine Firewall mit nur einer Schnittstelle, sodass die LAN-Schnittstelle nicht konfiguriert wird. Daher drücken Sie für die Eingabe des LAN-Schnittstellennamens oder "a" zur automatischen Erkennung die EINGABETASTE, um die Einrichtung dieser Schnittstelle zu überspringen.

  

  1. Prüfen Sie den WAN-Schnittstellennamen.
  2. Geben Sie unter Do you want to continue y ein, und drücken Sie die EINGABETASTE.

  

• Beachten Sie einige Meldungen, und die Konfiguration wird ausgeführt. Das Betriebssystem pfSense führt einen vollständigen Boot-Vorgang aus.

  1. Sie sehen, dass die IP-Adresse mit DHCP konfiguriert wird.
  2. Beachten Sie das Menü pfSense, um eine zusätzliche Basiskonfiguration durchzuführen.

  

• Die Architektur sollte wie in der folgenden Abbildung dargestellt aussehen.

  

Aufgabe 3.7: Verbindung zur Webgrafikbenutzeroberfläche (Web Graphic User Interface, GUI) von pfSense herstellen und die anfängliche Einrichtung abschließen

Die Installation ist abgeschlossen. Jetzt müssen Sie eine Verbindung zur Web-GUI der pfSense-Firewall herstellen. Stellen Sie zuvor jedoch sicher, dass HTTP-/HTTPS-Traffic von Hub-Public-Subnet zulässig ist, da hier eine Verbindung zur Firewall-GUI von dem dort platzierten Jump-Server hergestellt wird. Der gesamte Traffic von allen VCNs (10.0.0.0/8) konnte bereits in Aufgabe 1.2 durch die Firewall geleitet werden.

• Geben Sie die IP-Adresse der pfSense-Firewall ein.

  1. Öffnen Sie in der Windows-Instanz einen Browser, und navigieren Sie mit HTTPS zur Firewall-IP pfSense.
  2. Klicken Sie auf Erweitert.

  

• Klicken Sie auf Fortfahren.

  

  1. Geben Sie den Standardbenutzernamen als admin ein.
  2. Geben Sie das Standardkennwort als pfsense ein.
  3. Klicken Sie auf Anmelden.

  

• Klicken Sie auf Weiter.

  

• Klicken Sie auf Weiter.

  

  1. Geben Sie einen Hostnamen ein.
  2. Geben Sie einen Domainnamen ein, oder behalten Sie den Domainnamen als Standardwert bei.
  3. Scrollen Sie nach unten, und klicken Sie auf Weiter.

  

• Klicken Sie auf Weiter.

  

  Hinweis: In diesem speziellen Fall reserviert Oracle die statische IP auf seinem DHCP-Server und weist diese Adresse der pfSense-Firewall zu. Die pfSense-Firewall erhält also immer dieselbe IP-Adresse, aus OCI-Perspektive ist dies jedoch eine statische IP. Aus pfSense-Perspektive ist dies eine DHCP-Adresse.

  1. Wählen Sie im Abschnitt Configure WAN Interface (WAN-Schnittstelle konfigurieren) die Option DHCP (DHCP).
  2. Scrollen Sie nach unten, und behalten Sie alle anderen Elemente als Standard bei, und klicken Sie auf Weiter.

  

  1. Geben Sie ein neues Admin-Kennwort ein.
  2. Geben Sie Admin-Kennwort ERNEUT ein.
  3. Klicken Sie auf Weiter.

  

• Klicken Sie auf Erneut laden.

  

• Beachten Sie, dass die pfSense-Firewallkonfiguration neu geladen wird.

  

• Scrollen Sie nach unten, und klicken Sie auf Fertigstellen.

  

• Klicken Sie auf Annehmen.

  

• Klicken Sie auf Schließen.

  

  Wenn die pfSense-Firewall das Internet nicht erreichen kann, dauert das Laden der Dashboard-Seite etwas länger. Dies kann jedoch behoben werden, indem pfSense über das OCI-NAT-Gateway, das wir bereits in Aufgabe 1.2 ausgeführt haben, auf das Internet zugreifen kann. In dieser Abbildung wird die pfSense installiert und das Dashboard angezeigt.

  

Aufgabe 3.8: Traffic in die pfSense-Firewall weiterleiten

In Aufgabe 1 haben wir das Routing auf unseren VCNs und DRG so konfiguriert, dass der gesamte Traffic, der von den Speichen gesendet wird, in das Hubnetzwerk eingedrungen ist (grüner Pfeil). Diese Aufgabe beantwortet, wie dieser gesamte Traffic an die pfSense-Firewall (roter Pfeil) weitergeleitet wird.

Dazu erstellen wir eine Ingress-Routentabelle (Transitroutentabelle). Dies ist im Grunde eine Routentabelle, die Sie auf VCN-Ebene erstellen, die Sie jedoch im DRG zuweisen, sodass der Traffic, der in den Hub eingeht, an ein bestimmtes Ziel Ihrer Wahl weitergeleitet wird (pfSense-Firewall in unserem Szenario).

• Navigieren Sie zur pfSense-Firewallinstanz.

  1. Klicken Sie auf Berechnen.
  2. Klicken Sie auf Instanzen.

  

• Klicken Sie auf Firewall.

  

• Bildlauf nach unten.

  1. Klicken Sie auf Angehängte VNICs.
  2. Klicken Sie auf die drei Punkte.
  3. Klicken Sie auf VNIC bearbeiten.
  4. Wählen Sie Quell-/Zielprüfung überspringen aus. Wenn Sie diesen Schritt verpasst haben, tritt bei der Erstellung der Routingregel ein Problem auf.
  5. Klicken Sie auf Änderungen speichern.

  

  

• Navigieren Sie zur Seite "VCNs", und geben Sie Hub-VCN ein.

  

• Bildlauf nach unten.

  1. Klicken Sie auf Routentabellen.
  2. Klicken Sie auf Routentabelle erstellen.
  3. Geben Sie einen Namen für die Routentabelle ein.
  4. Klicken Sie auf Weitere Routingregel.
  5. Wählen Sie unter Zieltyp die Option Private IP aus.
  6. Geben Sie unter Ziel-CIDR-Block den Wert 0.0.0.0/0 ein.
  7. Geben Sie die private IP der pfSense ein.
  8. Klicken Sie auf Erstellen.
  9. Routentabelle wurde erfolgreich erstellt. Sie müssen sie jetzt zuweisen.

  

  

  

  

• Navigieren Sie zur DRG-Seite, und klicken Sie auf Hub-VCN-Anhang.

  

• Klicken Sie auf Bearbeiten.

  

• Klicken Sie auf Erweiterte Optionen anzeigen.

  

  1. Klicken Sie auf VCN-Routentabelle.
  2. Wählen Sie unter Routentabelle verknüpfen die Option Vorhandene auswählen aus.
  3. Wählen Sie die erstellte Routentabelle aus.
  4. Klicken Sie auf Änderungen speichern.

  

• VCN-Routentabelle wurde erfolgreich zugewiesen.

  

  Hinweis: Im DRG-Anhang können Sie zwei Typen von Routentabellen zuweisen:

  1. DRG-Routentabelle: Die Tabelle, die wir für die Spoke-Anhänge in Aufgabe 1.7 erstellt haben. Diese Tabelle wird jedes Mal geprüft, wenn Traffic aus des VCN-Anhangs gesendet wird.
  2. VCN-Routentabelle: Die Tabelle, die wir in dieser Aufgabe 3.8 erstellt haben. Diese Tabelle wird geprüft, wenn Traffic empfangen wird und in den VCN-Anhang gelangt.

• In dieser Phase haben wir alle OCI-bezogenen Konfigurationen abgeschlossen, um sicherzustellen, dass der Traffic zwischen zwei beliebigen Ressourcen in dieser Architektur zuerst über pfSense zur Prüfung weitergeleitet wird. Was wäre, wenn wir einen Schnelltest durchgeführt hätten, indem wir BE-VM von FE-VM pingen, sollte das funktionieren?

  

  Wie Sie beobachtet haben, blockiert pfSense den gesamten Traffic, bis Sie ihn explizit zulassen, was wir in der bevorstehenden Aufgabe tun werden.

Aufgabe 3.9: Durchlaufen von pfSense Traffic zulassen

In diesem Tutorial werden wir zwei Features der pfSense nutzen.

• Zugriffsregeln: Lässt Traffic basierend auf Protokoll, Portnummer, Quelladresse und Zieladresse zu oder verweigert ihn.

• Paketerfassung: Wenden Sie einen Filter basierend auf IP-Adressen, Pakettyp, Portnummer usw. an, um eingehenden und ausgehenden Datenverkehr auf Paketebene zu analysieren, die von der Firewall geprüft werden.

Denken Sie daran, dass Sie mit pfSense noch viel mehr tun können, aber unser Schwerpunkt liegt hier mehr auf der Installation von pfSense in OCI und der Integration in unsere vorhandene Netzwerkarchitektur mit der Implementierung des richtigen Routings und der richtigen Sicherheit in OCI.

• In dieser Aufgabe werden wir Traffic zulassen, der in einigen unserer Szenarien benötigt wird. Da die Konzentration dieser Tutorialreihe auf DNS liegt, beziehen sich die von uns hinzugefügten Regeln speziell auf den DNS-Traffic (sowohl nativ als auch BIND9-basiert). Navigieren Sie jetzt zur Webverwaltungsoberfläche pfSense.

  1. Klicken Sie auf Firewall.
  2. Klicken Sie auf Regeln.

  

• Beachten Sie die Standardregeln der pfSense-Firewall.

  

Erste Regel (optional):

• Verbindungsdetails.

  • Quelle: Jump-Server (10.4.1.5).
  • Ziel: FE-VM (10.1.0.5).
  • Protokoll: SSH.
  • Portnummer: 22.
  • Aktion: Pass.
  • Begründung: Wir möchten über den Jump-Server auf FE-VM zugreifen. Dies ist eine optionale Regel, da Sie die Bastion weiterhin für die Verbindung verwenden können.

• Klicken Sie auf Hinzufügen.

  

  1. Wählen Sie Aktion zum Übergeben aus.
  2. Wählen Sie Protokoll für TCP aus.
  3. Geben Sie Quelladresse in 10.4.1.5 ein.
  4. Geben Sie unter Zieladresse die Adresse 10.1.0.5 ein.
  5. Geben Sie unter Zielport den Wert 22 ein.
  6. Klicken Sie auf Speichern.
  7. Klicken Sie auf Änderungen anwenden.
  8. Es wird eine Meldung angezeigt, dass die Änderungen erfolgreich angewendet wurden.
  9. Die Regel wird hinzugefügt.

  

  

  

  

Zweite Regel:

• Verbindungsdetails.

  • Quelle: FE-VM (10.1.0.5).
  • Ziel: BU-VM (10.2.0.5).
  • Protokoll: ICMP.
  • Aktion: Pass.
  • Begründung: Zu Testzwecken müssen wir FE-VM für das Pingen von BE-VM aktivieren.

• Klicken Sie auf Hinzufügen.

  

  1. Wählen Sie Aktion zum Übergeben aus.
  2. Wählen Sie Protokoll für ICMP und Untertyp für beliebige aus.
  3. Geben Sie Quelladresse in 10.1.0.5 ein.
  4. Geben Sie unter Zieladresse die Adresse 10.2.0.5 ein.
  5. Klicken Sie auf Speichern.
  6. Klicken Sie auf Änderungen anwenden.
  7. Es wird eine Meldung angezeigt, dass die Änderungen erfolgreich angewendet wurden.
  8. Die Regel wird hinzugefügt.

  

  

  

  

Dritte Regel:

• Verbindungsdetails.

  • Quelle: Vorwärts von Frontend-VCN (10.1.0.6).
  • Ziel: LSN (10.3.0.6).
  • Protokolle: TCP und UDP.
  • Portnummer: 53.
  • Aktion: Pass.
  • Begründung: FE-VM soll in der Lage sein, BE-VM (be-vm.beprivatesubnet.backendvcn.oraclevcn.com) aufzulösen. Dazu muss die Weiterleitung des Frontend-VCN den Listener abfragen können. Daher muss DNS-Traffic zulässig sein.

• Klicken Sie auf Hinzufügen.

  

  1. Wählen Sie Aktion zum Übergeben aus.
  2. Wählen Sie Protokoll für TCP/UDP aus.
  3. Geben Sie Quelladresse in 10.1.0.6 ein.
  4. Geben Sie unter Zieladresse die Adresse 10.3.0.6 ein.
  5. Geben Sie unter Zielport den Wert 53 ein.
  6. Klicken Sie auf Speichern.
  7. Klicken Sie auf Änderungen anwenden.
  8. Es wird eine Meldung angezeigt, dass die Änderungen erfolgreich angewendet wurden.
  9. Die Regel wird hinzugefügt.

  

  

  

  

Vierte Regel:

• Verbindungsdetails.

  • Quelle: Vorwärts von Frontend-VCN (10.1.0.6).
  • Ziel: DNS-NLB (10.0.0.110).
  • Protokolle: TCP und UDP.
  • Portnummer: 53.
  • Aktion: Pass.
  • Begründung: FE-VM soll in der Lage sein, BE-VM (be.orastage.com) aufzulösen. Dazu muss die Weiterleitung des Frontend-VCN in der Lage sein, den DNS-NLB abzufragen, der den Traffic an einen der Backend-DNS-Server BIND9 sendet. Daher muss DNS-Traffic zulässig sein.

• Klicken Sie auf Hinzufügen.

  

  1. Wählen Sie Aktion zum Übergeben aus.
  2. Wählen Sie Protokoll für TCP/UDP aus.
  3. Geben Sie Quelladresse in 10.1.0.6 ein.
  4. Geben Sie unter Zieladresse die Adresse 10.0.0.110 ein.
  5. Geben Sie unter Zielport den Wert 53 ein.
  6. Klicken Sie auf Speichern.
  7. Klicken Sie auf Änderungen anwenden.
  8. Es wird eine Meldung angezeigt, dass die Änderungen erfolgreich angewendet wurden.
  9. Die Regel wird hinzugefügt.

  

  

  

  

Fünfte Regel:

• Verbindungsdetails.

  • Quelle: Vorwärts von Backend-VCN (10.2.0.6).
  • Ziel: LSN (10.3.0.6).
  • Protokolle: TCP und UDP.
  • Portnummer: 53.
  • Aktion: Pass.
  • Begründung: Wir möchten, dass BE-VM FE-VM (fe-vm.feprivatesubnet.frontendvcn.oraclevcn.com) auflösen kann. Dazu muss die Weiterleitung des Backend-VCN den Listener abfragen können. Daher muss DNS-Traffic zulässig sein.

  Hinweis: Wiederholen Sie die in der dritten Regel ausgeführten Schritte. Diesmal ist die Quelle jedoch anders. Diesmal wird die Quelle von Backend-VCN (10.2.0.6) weitergeleitet.

Sechste Regel:

• Verbindungsdetails.

  • Quelle: Vorwärts von Backend-VCN (10.2.0.6).
  • Ziel: DNS-NLB (10.0.0.110).
  • Protokolle: TCP und UDP.
  • Portnummer: 53.
  • Aktion: Pass.
  • Begründung: Wir möchten, dass BE-VM FE-VM (fe.orastage.com) auflösen kann. Dazu muss die Weiterleitung des Backend-VCN in der Lage sein, den DNS-NLB abzufragen, der den Traffic an einen der Backend-DNS-Server BIND9 sendet. Daher muss DNS-Traffic zulässig sein.

  Hinweis: Wiederholen Sie die in der vierten Regel ausgeführten Schritte. Diesmal ist die Quelle jedoch eine andere Quelle, die von Backend-VCN (10.2.0.6) weitergeleitet wird.

Aufgabe 4: Testen und validieren

• Wir testen nur von der FE-VM-Instanz.

  Hinweis: (Optional) Wir verwenden den Windows-Jump-Server, um eine Verbindung zu FE-VM herzustellen. Wenn Sie dies wünschen, können Sie sich weiterhin über Bastion anmelden.

  1. Kopieren Sie den in OCI Cloud Shell verwendeten Private Key aus den vorherigen Tutorials in die Windows-Instanz.
  2. Installieren Sie OpenSSH auf dem Server. Weitere Informationen finden Sie unter Technisch: OpenSSH SFTP auf Windows Server 2016 installieren.
  3. Führen Sie den SSH-Befehl aus.
  4. Wir haben uns erfolgreich bei der FE-VM-Instanz angemeldet.

  

Testszenario 1

• Testen Sie native Domains *.oraclevcn.com. Der FE-VM-Clientrechner sollte be-vm.beprivatesubnet.backendvcn.oraclevcn.com auflösen können. Wir haben diesen Traffic bereits in pfSense zugelassen. In diesem Test verwenden wir das Feature Packet Capture in pfSense, um sicherzustellen, dass Traffic durch ihn geleitet wird.

• Vorwärtsverkehr:

  

• Antwortverkehr:

  

• Greifen Sie über den Windows-Rechner auf pfSense zu.

  1. Klicken Sie auf Diagnose.
  2. Klicken Sie auf Paketerfassung.
  3. Geben Sie die Quell-IP (FWD - 10.1.0.6) und die Ziel-IP (LSN - 10.3.0.6) ein.
  4. Geben Sie 53 als Portnummer ein.
  5. Klicken Sie auf Start.
  6. Sie können den DNS-Traffic von Vorwärts zu LSN überwachen.

  

  

  

• Pingen Sie unter FE-VM die native Domain be-vm.beprivatesubnet.backendvcn.oraclevcn.com von BE-VM.

  

• In der Paketerfassung werden Sie jedes Mal bemerken, wenn wir eine Abfrage pingen.

  

• Ändern Sie den Filter, um den Ping-Traffic zu überwachen.

• Vorwärtsverkehr:

  

• Antwortverkehr:

  

  1. Geben Sie die Quell-IP (FE-VM - 10.1.0.5) und die Ziel-IP (BE-VM - 10.2.0.5) ein.
  2. Geben Sie Protokoll als ICMPv4 ein.
  3. Klicken Sie auf Start.
  4. Sie können den Ping-Traffic von FE-VM zu BE-VM überwachen.

  

  

• Führen Sie unter FE-VM ein weiteres Ping an BE-VM be-vm.beprivatesubnet.backendvcn.oraclevcn.com aus.

  

• In der Packet Capture wird der Ping-Traffic angezeigt.

  

• Scrollen Sie nach oben, und klicken Sie auf Stoppen, um die Paketerfassung zu stoppen, wenn Sie den Test abgeschlossen haben.

  

• Klicken Sie auf Erfassungen löschen, um einen weiteren Capture-Vorgang zu starten.

  

  Hinweis: Sie können dieselben Schritte im Test ausführen, jedoch in die entgegengesetzte Richtung, von BE-VM bis FE-VM fe-vm.feprivatesubnet.frontendvcn.oraclevcn.com. Da Traffic für dieses Szenario bereits zulässig ist.

Testszenario 2

• Testen Sie die verwaltete BIND9-Domain *.orastage.com des Unternehmens. Der FE-VM-Clientrechner sollte be.orastage.com auflösen können. Wir haben diesen Traffic bereits in pfSense zugelassen. In diesem Test verwenden wir das Feature "Paketerfassung" in pfSense, um sicherzustellen, dass Traffic durch ihn geleitet wird.

• Vorwärtsverkehr:

  

• Antwortverkehr:

  

• Greifen Sie über den Jump-Server auf pfSense zu.

  1. Klicken Sie auf Diagnose.
  2. Klicken Sie auf Paketerfassung.
  3. Geben Sie die Quell-IP (FWD - 10.1.0.6) und die Ziel-IP (DNS-NLB - 10.0.0.110) ein.
  4. Geben Sie 53 als Portnummer ein.
  5. Klicken Sie auf Start.
  6. Sie können den DNS-Traffic von Vorwärts zu DNS-NLB überwachen.

  

  

  

• Pingen Sie unter FE-VM die BE-VM-Domain be.orastage.com.

  

• In der Paketerfassung werden Sie jedes Mal bemerken, wenn wir eine Abfrage pingen.

  

• Ändern Sie den Filter, um den Ping-Traffic zu überwachen.

• Vorwärtsverkehr:

  

• Antwortverkehr:

  

  1. Geben Sie die Quell-IP (FE-VM - 10.1.0.5) und die Ziel-IP (BE-VM - 10.2.0.5) ein.
  2. Geben Sie Protokoll als ICMPv4 ein.
  3. Klicken Sie auf Start.
  4. Sie können den Ping-Traffic von FE-VM zu BE-VM überwachen.

  

  

• Führen Sie unter FE-VM ein weiteres Ping an BE-VM be.orastage.com aus.

  

• In der Packet Capture wird der Ping-Traffic angezeigt.

  

• Scrollen Sie nach oben, und klicken Sie auf Stoppen, um die Paketerfassung zu stoppen, wenn Sie den Test abgeschlossen haben.

  

• Klicken Sie auf Erfassungen löschen, da der Test abgeschlossen ist.

  

  Hinweis: Sie können dieselben Schritte im Test ausführen, jedoch in die entgegengesetzte Richtung, von BE-VM bis FE-VM fe.orastage.com. Da Traffic für dieses Szenario bereits zulässig ist.

Schlussfolgerung

Herzlichen Glückwunsch. Wir haben endlich das Ende unserer DNS-Reise erreicht.

In diesem Tutorial haben wir uns auf die Verbesserung der DNS-Architektur von OraStage mit pfSense konzentriert, die eine entscheidende Verteidigungsschicht gegen eine Vielzahl von DNS-basierten Angriffen und Sicherheitslücken bietet. Durch Filtern des Datenverkehrs, Durchsetzen sicherer DNS-Protokolle und Blockieren böswilliger Domains kann OraStage sicherstellen, dass ihre DNS-Server sicher und effizient arbeiten.

Im Laufe der Serie haben Sie einige wichtige Fähigkeiten in OCI erworben. Jedes Tutorial basiert auf dem letzten und bietet Ihnen eine solide Grundlage in OCI, während Sie sich auf einen progressiven Lernansatz verlassen. Mit diesen Fähigkeiten können Sie Ihre Cloud-Infrastruktur effektiv verwalten und optimieren:

• Richten Sie Routing und Sicherheit für das virtuelle Cloud-Netzwerk (VCN) ein.
• Richten Sie ein dynamisches Routinggateway (Dynamic Routing Gateway, DRG) ein.
• Richten Sie OCI Bastion ein, und verwenden Sie sie, um auf private Instanzen zuzugreifen.
• Richten Sie einen Windows-Jump-Server ein, und verwenden Sie ihn, um auf private Instanzen zuzugreifen.
• Installieren und konfigurieren Sie die DNS-Lösung BIND9 in OCI.
• Konfigurieren und verwenden Sie OCI Network Load Balancer für High Availability.
• Konfigurieren und verwenden Sie private OCI-DNS-Komponenten, um native Domains aufzulösen.
• Installieren und konfigurieren Sie die pfSense-Firewall in OCI und integrieren Sie sie in eine Hub- und Spoke-Architektur.

Danksagungen

• Autor - Anas abdallah (Cloud Networking Specialist)

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie im Oracle Learning YouTube-Channel auf weitere kostenlose Lerninhalte zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

<

Adding Security to the Domain Name System Architecture using pfSense Firewall

G19394-02

Copyright ©2025, Oracle and/or its affiliates.