Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Die Firewall in der Musterlösung Teil 2:

Ähnliche Präsentationen


Präsentation zum Thema: "Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Die Firewall in der Musterlösung Teil 2:"—  Präsentation transkript:

1 Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Die Firewall in der Musterlösung Teil 2: Bordermanager für den Zugang aus dem Internet Bereitstellung spezieller zusätzlicher Dienste Autoren: H.Bechtold, E.Dietrich, G.Ehmann, K.Gutjahr, R.Stegmaier

2 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) Überblick Teil 1: –Grundbegriffe zum Datentransport im Internet –Bordermanager für den Zugang zum Internet Teil 2: –Bordermanager für den Zugang aus dem Internet –Bereitstellung spezieller zusätzlicher Dienste Teil 3: –Die Filterregeln beim Bordermanager –Das Tool zur Firewall Teil 4: –Experimente zur Firewall

3 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) Die Firewall In der ML 2 wird der Zugriff von innen auf das Internet und von außen auf das Schulnetz (Intranet) durch eine Firewall (eine Brandwand) kontrolliert. Die Firewall besteht aus zwei Teilen: –Bordermanager –Paketfilter Wenn ein Dienst nicht erreichbar ist, gilt folgende Regel: –Paketfilter entladen und den Dienst verfügbar machen. –Paketfilter so anpassen, dass der Dienst verfügbar bleibt. Da wir uns in diesem Teil der Fortbildung auf den Bordermanager konzentrieren wollen, schalten wir die Paketfilter ab. Dazu an der Serverkonsole eingeben: –Startbrd (NCF Datei zum Starten der Bordermanagerdienste). –M ipflt (Nachschauen ob die Filter aktiv sind). –Unload ipflt (Paketfilter entladen).

4 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) Der Bordermanager Ohne Bordermanager geht nichts nach außen: –Wir benutzen ja in unseren Schulnetzen private IP-Adressen. –Also muss jemand stellvertretend mit seiner öffentlichen IP-Adresse für uns ins Internet gehen. Dies macht der Bordermanager- Proxydienst oder ein NAT-Dienst, wie wir in Teil 1 erfahren haben. Ohne Bordermanager geht nichts von außen: –Alle Dienste laufen auf der privaten IP-Adresse des GServer02. Von außen ist aber nur die öffentliche IP-Adresse des GServer02 bzw. KServer02 erreichbar. –Also muss jemand die Dienste nach außen weitervermitteln. Fortbildungsinhalt: 1.Wiederholung: die Application-Proxy-Dienste – HTTP nach außen. 2.Erweiterung: die Accelerator-Dienste – HTTP(S) von außen. 3.Zugabe: die Generic-Proxy-Dienste – Portweiterleitung für zusätzliche Dienste. –Der Bordermanager kontrolliert darüber hinaus u.a. personenbezogen den Internetzugang. Diese Access-Rules sind nicht Gegenstand dieser Fortbildung.

5 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 1.1 Die Anbindung ans Internet FIREWALLFIREWALL NATNAT Proxy CACHECACHE Internet LAN | Novell Server Private Public

6 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 1.2 Standartdienste beim Bordermanager Public IP ist eingetragen (inetcfg) und Bordermanager gestartet (StartBrd) – vgl. Teil 1: –Die nicht öffentlichen Adressen werden vom BM auf die öffentliche Adresse umgesetzt. –Die Standarddienste wie HTTP, FTP usw. sind möglich.

7 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 1.3 Aktivierte Application Proxys Ansicht mit NWAdmin

8 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 1.4 Webzugriff nach außen Zugriff auf Webseiten (intern und extern) ist möglich.

9 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 1.5 Notwendige Browser Einstellung (1) Bei den Internetoptionen des Internet Explorers ist festgelegt, dass die Internetverbindung über den Proxydienst des Bordermanagers (Port 8080) hergestellt werden soll.

10 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 1.5 Notwendige Browser Einstellung (2) Diese Einstellungen für den Proxyserver werden über eine Benutzerrichtlinie erzwungen. Näheres dazu in der Fortbildung „Richtlinien in der ML“.

11 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 2.1 Zugriff von innen Öffnen des Internet Explorers Eingabe der Adresse: https:// /schulwebhttps:// /schulweb intern: Zugriff auf Webseiten ist möglich.

12 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 2.2 Zugriff von außen Wir probieren den Zugriff auf unseren Webserver über die öffentliche IP-Adresse. Von außen: Zugriff auf Webserver ist nicht möglich. /schulweb/

13 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 2.3 Öffentliche IP beim Bordermanager (1) Die Konfiguration des Bordermanagers erfolgt mit NWAdmin. Die öffentliche IP Adresse der Public Netzwerkkarte wird für die Applicationproxys automatisch berücksichtigt, für weitere Dienste aber muss der Bordermanager konfiguriert werden. 1. Schritt: Öffentliche IP Adresse auch beim Bordermanager eintragen. –NWAdmin starten. –Dienste  Server  GSERVER02  Eigenschaften  BM Setup. –Bei der „Zwei Server“ Lösung läuft der Bordermanager auf dem Kserver: Dienste  Server  KSERVER02  Eigenschaften  BM Setup.

14 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 2.3 Öffentliche IP beim Bordermanager (2)

15 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 2.3 Öffentliche IP beim Bordermanager (3) Keinesfalls darf der ausgelieferte Eintrag der Adresse gelöscht werden, da sonst viele Voreinstellungen verloren gehen. Die neue Einstellung wird übernommen, wenn das Eigenschaftsfenster geschlossen wird. Die Übernahme quittiert der Server mit zwei Piepstönen.

16 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 2.4 Öffentliche IP beim HTTP Accelerator (1) Der Webserver-Dienst muss zwischen Private und Public weitergeleitet werden. Dies geschieht beim Bordermanager über den HTTP Accelerator. Im Auslieferungszustand sind ein Accelerator für den Port 80 (HTTP) und einer für den Port 443 (HTTPS) vordefiniert. Beide sind aber der Adresse zugewiesen und disabled. 2. Schritt: Soll der Webserver von außen verfügbar sein, muss die Public IP Adresse eingetragen und der jeweilige Accelerator enabled werden.

17 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 2.4 Öffentliche IP beim HTTP Accelerator (2) BorderManager Setup  HTTP Acceleration  Detail

18 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 2.4 Öffentliche IP beim HTTP Accelerator (3) Mit einem Doppelklick auf einen Accelerator öffnet sich das Konfigurationsfenster. Mit Doppelklick auf diesen Eintrag wird die IP Adresse angepasst.

19 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 2.4 Öffentliche IP beim HTTP Accelerator (4) Die IP Adresse ist angepasst.

20 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 2.4 Öffentliche IP beim HTTP Accelerator (5) Das Setup Programm des Bordermanagers beenden. Warten bis zwei Piepstöne vom Server gekommen sind. Danach kann man den Test beginnen. Von außen: Zugriff auf Webserver ist jetzt möglich.

21 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 3.1 Remote Management über Port 8009 (1) Über den Port 8009 kann man den Server verwalten.

22 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 3.1 Remote Management über Port 8009 (2) Der Port 8009 ist aber von außen nicht verfügbar.

23 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 3.2 Weitere Dienste nutzbar machen Konfiguration des Bordermanagers für Dienste deren Ports über 1024 liegen. Dies geschieht über den „Generic TCP Proxy“.

24 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 3.3 Generic TCP Proxy konfigurieren (1) Beim Generic Proxy muss noch die richtige IP Adresse den freizugebenden Diensten zugeordnet werden. Doppelklick auf den entsprechenden Dienst  Adresse ändern und Dienst freigeben (enable).

25 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 3.3 Generic TCP Proxy konfigurieren (2) Der Port 8009 ist freigegeben. Das Setup Programm des Bordermanagers beenden. Warten bis zwei Piepstöne vom Server gekommen sind. Danach kann man den Test beginnen.

26 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 3.3 Generic TCP Proxy konfigurieren (3) Der Port 8009 ist nun von außen verfügbar.

27 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) 3.4 Zuordnung der Ports beim Generic Proxy Dienst Port httphttps Remote Manager(8008)8009 Webmanager2200 NetStorage IFolder NAMP Groupwise Client 1677 (POL) 1678 (POS)

28 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) Übung: Den Bordermanager konfigurieren Kontrollieren Sie, ob die öffentliche Adresse und die default Route bei Ihrem Server richtig eingestellt sind (vergleiche Teil 1). Starten Sie den Bordermanager (startbrd) und entladen sie die Paketfilter (unload ipflt). Konfigurieren Sie den Bordermanager mit der richtigen Adresse. Konfigurieren Sie den Bordermanager so, dass von außen auf den Webserver zugegriffen werden kann. (Acceleration). Konfigurieren Sie Bordermanager so, dass ein Zugriff von außen auf den „Remote Manager“ und den „Webmanager“ möglich ist (Generic Proxy).

29 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) Nachschlag: Zusätzliche Internetdienste Im IT Unterricht ist es eventuell wünschenswert, mit den Schülerinnen und Schülern zusätzliche Internetdienste einzusetzen: –Ping zum Testen der Erreichbarkeit eines Rechners. –TraceRt zum Ermitteln der Route eines Datenpaketes. Diese Dienste kann man im LAN kennen lernen. Nach außen sind sie meist nicht verfügbar. Für diese Dienste gibt es einen Service von Belwü, der sie zum Schulnetz und im Internet zur Verfügung stellt: Will man sie vom Schulnetz ins Internet hinein nutzen, so geht dies nicht über den Bordermanager. In diesem Fall muss man direkt an der Public Karte NAT aktivieren. Die nächsten Folien zeigen, wie das geht.

30 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) NAT an der PUBLIC Netzwerkkarte aktivieren (1) Bei INetCfg den Menüpunkt „Bindings“ und danach das PUBLIC Interface auswählen:

31 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) NAT an der PUBLIC Netzwerkkarte aktivieren (2)

32 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) NAT an der PUBLIC Netzwerkkarte aktivieren (3) Status auf „Dynamic Only“ setzten. Mit ESC jeweils ein Fenster zurück. Übernahme der Konfigurationsänderung bestätigen. Das System reinitialisieren.

33 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) NAT an der PUBLIC Netzwerkkarte aktivieren (4) Jetzt gehen ping und tracert von LAN ins WAN. Voraussetzung aber ist, dass Ihr Router dies auch zulässt. Damit sind aber auch andere Verbindungenam Bordermanager vorbei möglich. Deshalb sollte genau überlegt werden, ob nicht der erwähnte von Belwü angebotene Service zu diesen Diensten ausreicht. (http://www.belwue.de/netz/lg.html)http://www.belwue.de/netz/lg.html

34 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2) Thema „Sicherheit“ Wie sicher ist mein Server gegen Angriffe von außen? Im Moment ist er offen wie ein Scheunentor, da wir die Filter entladen haben. Wir können die Sicherheit erhöhen, indem wir die Filterregeln für die Firewall konfigurieren und aktivieren. Dies ist Thema des nächsten Moduls zur Firewall in der ML2.


Herunterladen ppt "Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Die Firewall in der Musterlösung Teil 2:"

Ähnliche Präsentationen


Google-Anzeigen