Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Die Firewall in der Musterlösung Teil 4:

Ähnliche Präsentationen


Präsentation zum Thema: "Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Die Firewall in der Musterlösung Teil 4:"—  Präsentation transkript:

1 Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Die Firewall in der Musterlösung Teil 4: Experimente zur Firewall Autoren: H.Bechtold, E.Dietrich, G.Ehmann, K.Gutjahr, R.Stegmaier

2 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Überblick Teil 1: –Grundbegriffe zum Datentransport im Internet –Bordermanager für den Zugang zum Internet Teil 2: –Bordermanager für den Zugang aus dem Internet –Bereitstellung spezieller zusätzlicher Dienste Teil 3: –Die Filterregeln beim Bordermanager –Das Tool zur Firewall Teil 4: –Experimente zur Firewall

3 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) FIREWALLFIREWALL NATNAT Proxy CACHECACHE Internet LAN Novell Server Erhöhen der Sicherheit durch eine Firewall Prinzip: Jeder Verkehr nach draußen wird unterbunden. Jeder Verkehr von außen wird unterbunden. Nur definierte Ausnahmen dürfen passieren.

4 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Lernziele In diesem Teil geht es um Grundverständnis und Grunderfahrung: –Wir sperren auf Filterebene jeden Datenverkehr. –Wir erzeugen selbst exemplarisch die notwendigen Ausnahmeregeln um im Internet browsen zu können. Die eigentliche Betreuung der Firewall geschieht mit dem Firewall Tool, siehe Teil 3: –Filterverwaltung mit dem iManager. –Anpassung der zahlreich vordefinierten Filterregeln an die öffentliche IP Adresse der PUBLIC Netzwerkkarte. –Kontrolle der aktiven Filterregeln. –Aktivieren oder deaktivieren einzelner Ausnahmeregeln.

5 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Filter, die den Datenverkehr blockieren Filter bekommen einen erklärenden Namen: –BlockIPIO=Block IP In Out = Raus –BlockIPOI=Block IP Out In = Rein Filter wirken zwischen einem Ursprung und einem Ziel: –Raus: Ursprung=All Interfaces, Ziel=Public –Rein: Ursprung=Public, Ziel=All Interfaces Filter beziehen sich auf einen Service-Typ: –Hier: Any=Alle

6 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Wo finde ich die Filter? (1) Den iManger starten: –Über den bereitgestellten Link im NAL (2 Server: iManager KServer02). –Über den Web Manager (Port 2200).

7 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Wo finde ich die Filter? (2) Den Server auswählen (2 Server: KServer02!). Auswahl

8 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Wo finde ich die Filter? (3) „Paketweiterleitungsfilter konfigurieren“ wählen.

9 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Wo finde ich die Filter? (4) Liste zu konfigurierender Filter erscheint.

10 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Paketweiterleitungsfilter Status: Wenn beim Server grundsätzlich die TCP/IP- Filterunterstützung aktiviert und ipflt geladen ist, können hier die Filter ein- und ausgeschaltet werden: –Aktiviert. –Deaktiviert. Aktion: Es gibt zwei Grundeinstellungen: –Pakete in Filterliste ablehnen. –Pakete in Filterliste zulassen. Liste zu konfigurierender Filter: –Filterliste: Die eingestellte Aktion wird durchgeführt. –Ausnahmeliste: Die Aktion wird nicht durchgeführt.

11 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Filter zum Ablehnen der Pakete

12 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Ausnahmeliste zum Zulassen von Paketen In der Musterlösung sind zahlreiche Ausnahmen für die Paketweiterleitungsfilter vordefiniert. Neben Ursprung und Ziel ist manchmal auch eine bestimmte IP Adresse angegeben. Die voreingestellte Adresse muss durch die öffentliche IP vor Ort ersetzt werden. Dazu dient u.a. das Firewall Tool (siehe Teil 3).

13 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Vorbereitung zum Experimentieren Für die folgenden Experimente sind einige Voraussetzungen zu erfüllen: –Beim Server sind öffentliche IP Adresse und die default Route eingetragen (INETCFG). (vgl. Teil 1) –Der Bordermanager ist gestartet (startbrd) und konfiguriert (NWADMIN). (vgl. Teil 2) Öffentliche IP Adresse ist eingetragen. Der HTTP-Accellerator ist richtig aktiviert. Der Remote Manager ist von außen zugänglich. –Der Filtersupport beim Server ist aktiviert: Beim TCP/IP Protokoll ist der „Filter Support“enabled (inetcfg). „NAT Implicit Filtering“ kann disabled sein. Das NLM ipflt ist gestartet. –Die Ausnahmeliste für die Weiterleitungsfilter beim Bordermanager ist gelöscht.

14 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Aktivierung der Filter beim Server

15 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Löschen der Ausnahmeliste Alle Ausnahmen markieren und dann löschen. Fertig nicht vergessen.

16 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Experiment (1) Die Filter werden deaktiviert. Fertig nicht vergessen.

17 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Experiment (2) Eine Webseite im Internet wird aufgerufen. Browsen geht.

18 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Experiment (3) Die Weiterleitungsfilter im iManager werden aktiviert. Browsen geht nicht mehr. Wir brauchen eine Ausnahmeregel.

19 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Ausnahmeregel für HTTP (1) Wir wählen die Ausnahmeliste an.

20 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Ausnahmeregel für HTTP (2) Es sind keine Ausnahmen definiert. Es wird eine Ausnahme hinzugefügt.

21 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Ausnahmeregel für HTTP (3) Wer vergeben einen Namen und klicken dann „Service Typ ändern an.

22 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Ausnahmeregel für HTTP (4) Wir wählen den Servicetyp: www-http-st. St steht für stateful= statusbezogen. Unangeforderte eingehend Verbindungen werden dabei geblockt, aber Antworten von Servern, die von internen Client ausgelöst wurden, können passieren. Quelle:

23 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Ausnahmeregel für HTTP (5) Von wo (Ursprung) nach wo (Ziel) werden die Pakete gereicht

24 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Ausnahmeregel für HTTP (6) Von wo (Ursprung) nach wo (Ziel) werden die Pakete gereicht

25 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Ausnahmeregel für HTTP (7) Ausnahme fertig, aber noch nicht aktiv Konfiguration beenden mit Fertig.

26 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Experiment (5) Wir klicken auf aktualisieren. Browsen geht wieder.

27 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Alles ok ? Mit dieser einen Ausnahme können wir auf Webseiten zugreifen. Aber der Erfolg trügt: –Haben wir den DNS wirklich zur Verfügung? –Die Adresse lehrerfortbildung-bw.de haben wir vorher schon mal aufgerufen, also ist sie dem Bordermanager schon bekannt und ihre zugehörige IP Adresse in seine DNS-Cache. Einen wirklichen Test müssen wir mit einer Unfugsadresse durchführen. Ob DNS funktioniert sehen wir dann an den Fehlermeldungen des Bordermanagers.

28 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) DNS: Filter aktiv

29 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) DNS: Filter nicht aktiv

30 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) DNS: Ausnahme für Namensauflösung Server zur Namensauflösung bieten ihre Dienste mit den Protokollen TCP oder UDP an. Deshalb müssen zwei Ausnahmen zur Namensauflösung konfiguriert werden:

31 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Experiment (6) Test, ob DNS tut. Die Fehlermeldung beweist es.

32 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 4) Übung Führen Sie die „Vorbereitungen zum Experimentieren“ durch (Folie 13). Stellen Sie das Experiment nach und erzeugen Sie die notwendigen Ausnahmeregel Schritt für Schritt. Konfigurieren Sie ihre Firewall so, dass das Surfen wieder möglich ist. Falls noch Zeit ist: –Überprüfen Sie den Zugriff von außen auf die Webseiten. –Erstellen Sie gegebenenfalls weitere Ausnahmeregeln.


Herunterladen ppt "Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Die Firewall in der Musterlösung Teil 4:"

Ähnliche Präsentationen


Google-Anzeigen