Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Die Firewall in der Musterlösung Teil 3:

Ähnliche Präsentationen


Präsentation zum Thema: "Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Die Firewall in der Musterlösung Teil 3:"—  Präsentation transkript:

1 Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Die Firewall in der Musterlösung Teil 3: Die Filterregeln beim Bordermanager Das Tool zur Firewall Autoren: H.Bechtold, E.Dietrich, G.Ehmann, K.Gutjahr, R.Stegmaier

2 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) Überblick Teil 1: –Grundbegriffe zum Datentransport im Internet –Bordermanager für den Zugang zum Internet Teil 2: –Bordermanager für den Zugang aus dem Internet –Bereitstellung spezieller zusätzlicher Dienste Teil 3: –Die Filterregeln beim Bordermanager –Das Tool zur Firewall Teil 4: –Experimente zur Firewall

3 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) Lernziele Die Betreuung der Firewall geschieht mit dem Firewall-Tool: –Wir lernen IManager zur Filterverwaltung kennen. –Wir passen die zahlreich vordefinierten Filterregeln an die öffentliche IP-Adresse der PUBLIC Netzwerkkarte an. –Wir kontrollieren die aktiven Filterregeln. –Wir aktivieren oder deaktivieren einzelne Filterausnahmen. Im Teil 4 geht es dann um Grundverständnis und Grunderfahrung durch eigene Experimente: –Wir sperren auf Filterebene jeden Datenverkehr. –Wir erzeugen selbst exemplarisch die notwendigen Filterausnahmen um im Internet browsen zu können.

4 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) Gliederung 3.1IP-Adresse bei den Filtern anpassen. Danach funktioniert die Firewall. Die weiteren Teile dienen der Vertiefung: 3.2 Ausnahmefilter deaktivieren und aktivieren. 3.3Ausnahmefilter und zugehörige Services löschen. 3.4Service und Ausnahmefilter bereitstellen. 3.5Disaster - Recovery: Die Firewall neu aufbauen.

5 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) FIREWALLFIREWALL NATNAT Proxy CACHECACHE Internet LAN Novell Server Erhöhen der Sicherheit durch eine Firewall Prinzip: Jeder Verkehr nach draußen wird unterbunden. Jeder Verkehr von außen wird unterbunden. Nur definierte Ausnahmen dürfen passieren.

6 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) Wo finde ich die Filter? (1) Den IManger starten: –Über den bereitgestellten Link im NAL (2 Server: IManager KServer02). –Über den Web Manager (Port 2200).

7 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) Wo finde ich die Filter? (2) Den Server auswählen (2 Server: KServer02!). Auswahl

8 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) Wo finde ich die Filter? (3) Paketweiterleitungsfilter konfigurieren wählen.

9 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) Wo finde ich die Filter? (4) Liste zu konfigurierender Filter erscheint.

10 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) Grundeinstellung der Filterkonfiguration Erklärung zur vorhergehenden Folie Status: Wenn beim Server grundsätzlich die TCP/IP- Filterunterstützung aktiviert und IPFLT geladen ist, können hier die Filter ein- und ausgeschaltet werden: –Aktiviert. –Deaktiviert. Aktion: Es gibt zwei Grundeinstellungen: –Pakete in Filterliste ablehnen. –Pakete in Filterliste zulassen. Liste zu konfigurierender Filter: –Filterliste: Konfiguration der Grundeinstellung. –Ausnahmeliste: Konfiguration der Ausnahmen.

11 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) Filterliste zum Blockieren von Paketen Filter bekommen einen erklärenden Namen: –BlockIPIO=Block IP In Out = Raus –BlockIPOI=Block IP Out In = Rein Filter wirken zwischen einem Ursprung und einem Ziel (Interface=Netzwerkkarte): –Raus: Ursprung=All Interfaces, Ziel=Public –Rein: Ursprung=Public, Ziel=All Interfaces Filter beziehen sich auf einen Service-Typ: –Hier: Any=Alle

12 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) Ausnahmeliste zum Zulassen von Paketen In der Musterlösung sind zahlreiche Ausnahmen für die Paketweiterleitungsfilter vordefiniert. Neben Ursprung und Ziel ist manchmal auch eine bestimmte IP-Adresse angegeben. Die voreingestellte Adresse (hier ) muss durch die öffentliche IP vor Ort ersetzt werden. Dazu dient u.a. das Firewall-Tool.

13 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) Vorbereitungen Für das Folgende sind einige Voraussetzungen zu erfüllen: –Beim Server sind öffentliche IP-Adresse und die default Route eingetragen (INETCFG). (vgl. Teil 1) –Der Bordermanager ist gestartet (STARTBRD) und konfiguriert (NWADMIN). (vgl. Teil 2) Öffentliche IP-Adresse ist eingetragen. Der HTTP-Accelerator ist richtig aktiviert. Der Remote Manager ist von außen zugänglich. –Der Filtersupport beim Server ist aktiviert: Beim TCP/IP Protokoll ist der Filter Supportenabled (inetcfg). NAT Implicit Filtering sollte disabled sein. Das NLM ipflt ist gestartet.

14 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) Aktivierung der Filter beim Server

15 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) Das Firewall-Tool (1) Das Firewall-Tool bietet folgende Features: –Bequemes ändern der IP-Adressen bei den Filterausnahmen –Filterausnahmen deaktivieren –Filterausnahmen aktivieren –Neue Filterausnahmen importieren –Filterausnahmen löschen –Service Typen löschen –Service Typen hinzufügen

16 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) Das Firewall-Tool (2) Die Firewall ist einfach betrachtet ein Regelwerk –aus Filtern (1), die den Datenverkehr blocken. –aus Filterausnahmen (2), die aus dem geblockten Datenverkehr Ausnahmen zulassen –aus den Services (3), die bei den Filtern und Filterausnahmen u.a. die Protokolle und die Ports festlegen. Mit dem Firewall-Tool können alle drei Komponenten angezeigt, aktiviert, deaktiviert, erzeugt oder gelöscht werden

17 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) Filterausnahmen im IManager Die Filterausnahmen bei der Musterlösung werden mit der nichtöffentlichen Class-C IP-Adresse ausgeliefert. Deshalb müssen die Filterausnahmen auf die eigene öffentliche Adresse der Public-Netzwerkkarte angepasst werden.

18 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) IP-Adresse beim Firewall-Tool anpassen Zunächst müssen zwei INI Dateien angepasst werden.

19 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) ChangeIp INI-Datei anpassen (1) Hier wird die öffentliche IP Adresse eintragen

20 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) ChangeIp INI-Datei anpassen (2) Adresse ist geändert, nun muss die Änderung nur noch gespeichert werden.

21 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) Firewall INI-Datei anpassen und speichern Öffentliche Adresse eintragen

22 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) IP-Adressen bei den Filterausnahmen ändern (1) Adresse ist übernommen

23 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) IP Adressen bei den Filterausnahmen ändern (2) IP Adressen ändern

24 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) IP Adressen bei den Filterausnahmen ändern (3)

25 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) Kontrolle der IP-Adressänderung im IManager

26 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) Nacharbeiten nach der Adressänderung 2. Mailserver BELWÜ, hier mit Adresse / Zwei Adressen müssen noch geändert werden: 1. Zeitserver, hier wird die Adresse verwendet.

27 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) Übung zum Teil 3.1 Überprüfen Sie, dass Sie mit geladenen Filtern nicht mehr ins Internet kommen. Stellen Sie die Firewall auf die im Fortbildungsraum gültigen Adressen um. Führen Sie die Nacharbeiten aus. Stellen Sie mit den geladenen Filtern eine Browserverbindung in das Internet her. Kontrollieren Sie, ob der Zeitserver arbeitet: –Debuggen einschalten am Monitor oder über den Remote- Manager (vgl. nächste Folie) mit dem Set-Parameter TIMESYNC DEBUG = 7. –Zeitdienst neu starten TIMESYNC Restart Flag = ON. –Im Timesync Debug Screen ist der Verbindungsaufbau zum Zeitserver zu beobachten. Damit ist die Firewall fertig.

28 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1) Die Parameter für den Zeitdienst


Herunterladen ppt "Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Die Firewall in der Musterlösung Teil 3:"

Ähnliche Präsentationen


Google-Anzeigen