Die Firewall in der Musterlösung Teil 1: Grundbegriffe zum Datentransport im Internet Bordermanager für den Internetzugang Autoren: H.Bechtold, E.Dietrich, G.Ehmann, K.Gutjahr, R.Stegmaier
Regionale Lehrerfortbildung Referent: Name, Datum Überblick Teil 1: Grundbegriffe zum Datentransport im Internet Bordermanager für den Zugang zum Internet Teil 2: Bordermanager für den Zugang aus dem Internet Bereitstellung spezieller zusätzlicher Dienste Teil 3: Die Filterregeln beim Bordermanager Das Tool zur Firewall Teil 4: Experimente zur Firewall H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 Redaktion: F.Wrede, ZPN
Die Infrastruktur unserer Schulnetze Backbone Switch GServer02 KServer02 EDV1 Server Client Hub Anbindung an das Internet über „Belwü“ Router 10.1.1.22 10.1.1.21 10.1.3.x DHCP: 10.1.10.x Öffentliche IP der Schule Gserver02 ins Internet Ein-Server-Lösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005
Regionale Lehrerfortbildung Referent: Name, Datum Grundbegriffe Jede Netzwerkkarte hat eine eindeutige, vom Hersteller vergebene Adresse, die MAC Adresse. Beim TCP/IP Protokoll erhält jeder Computer in einem Netz zusätzlich eine eindeutige Nummer, die IP Adresse. Man unterscheidet zwischen öffentlichen IP Adressen und nicht öffentlichen IP Adressen. Nicht öffentliche IP Adressbereiche sind: 10.x.x.x; 172.16.x.x – 172.31.x.x; 192.168.x.x Z.B.: 10.1.1.22 (Private) und 141.69.160.67 (Public). Zu den IP Adressen gibt es zugeordnete Namen wie z.B. „www.belwue.de“ für 129.143.2.9 als IP Adresse. Diese Zuordnung erfolgt durch das DNS (Domain Name System). Die Kontrolle der IP Daten eines Windows-Rechners erfolgt über Ipconfig /all an der Eingabeaufforderung oder über die Statusanzeige der Netzwerkverbindung. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 Redaktion: F.Wrede, ZPN
Kontrolle der IP Konfiguration eines Rechners (1) Über Start/Ausführen mit dem Befehl cmd die Eingabeaufforderung starten. Ipconfig /all eingeben. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005
Kontrolle der IP Konfiguration eines Rechners (2) Regionale Lehrerfortbildung Referent: Name, Datum Kontrolle der IP Konfiguration eines Rechners (2) Mit Klick auf die LAN-Verbindung die Statusanzeigeanzeige öffnen. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 Redaktion: F.Wrede, ZPN
Regionale Lehrerfortbildung Referent: Name, Datum Internetdienste Auf einem Server laufen viele Dienste zum Beispiel: Mail Web ... Diese Dienste sind unter der gleichen IP Adresse (Serveradresse zum Beispiel: 10.1.1.22 ) erreichbar und werden durch Portnummern unterschieden. Mail: Port 25 (SMTP Protokoll) Web: Port 80 (HTTP Protokoll) Web: Port 443 (HTTPS Protokoll) H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 Redaktion: F.Wrede, ZPN
Regionale Lehrerfortbildung Referent: Name, Datum Aufgabe der Ports Vergleich: Der Briefträger stellt die „Post“ (Daten) an die Hausadresse (IP Adresse) zu und verteilt sie in die entsprechenden Briefkästen (Port). TCP/IP Kommunikation: Der Datenaustausch zwischen zwei Rechnern wird über deren IP Adressen zugestellt. Innerhalb des Rechners erfolgt die Weiterleitung der Daten über die Ports an die Dienste (beim Server) bzw. die Anwendungen (beim Client). Beispiel von Diensten beim GSERVER02: Remote Manager: https://10.1.1.22:8009 (Port 8009) Web Manager: https://10.1.1.22:2200 (Port 2200) H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 Redaktion: F.Wrede, ZPN
Port 8009: Der Remote Manager H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005
Port 2200: Der Web Manager H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005
Standard-Gateway: die Paketsortieranlage Regionale Lehrerfortbildung Referent: Name, Datum Standard-Gateway: die Paketsortieranlage Ein Paket bleibt in einer Stadt, wenn sich die Zustelladresse innerhalb des Ortes befindet, sonst wird er weitergeleitet. Kennzeichen hierfür ist die PLZ. Datenpakete bleiben in einem lokalen Netz (LAN), wenn ihre Zieladresse in dem lokalen Bereich liegt. Sonst kommen sie an das Gateway, das sie weiterleitet. Kennzeichen für den LAN Bereich ist Netz-ID und Subnetzmaske. Der LAN Bereich der Musterlösung ist 10.1.x.y , denn 255.255.0.0 ist die Subnetmask. Netz-ID Host-ID 10 1 78 255 22 GSERVER02 Arbeitsstation Subnetz-Maske Server Rolle beschreiben: Server leitet an Router weiter. (Wird unter Windows auch als Gateway bezeichnet) Bild lokale IP-Umgebung, daran Begriffe erklären. (Status von Lanverbindungen, Details) H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 Redaktion: F.Wrede, ZPN
Der Weg ins Internet Server Router Internet Default Route Interner Bereich LAN Gleiche Netz-ID. Unterschiedliche Host-ID. Als Default Gateway ist der Server eingetragen. Öffentlicher Bereich Datenpakete, die nicht ins LAN gehören (unterschiedliche Netz-ID), werden zum Server geschickt (default Gateway). Dieser adressiert sie um und schickt sie weiter zum Router (default Route). Der Router kümmert sich dann um den Weg durch das Internet zum Zielrechner. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005
Exkurs: Adressierung von Datenpaketen (1) Grundsätzliches: Jede IP Schnittstelle ( Workstation, Server, Router usw.) hat eine weltweit eindeutige MAC Adresse bei der Herstellung erhalten. Jeder IP Schnittstelle muss eine IP Adresse zugeordnet werden. Datenpakete werden von Hop zu Hop (von Hand zu Hand) über die MAC Adresse weitergeleitet. Jedes Datenpaket enthält die Absender-IP-Adresse und die Empfänger-IP-Adresse. Diese Adresse ändert sich nicht. Ausnahme: Verwendet man in einem Intranet aus Sicherheits- und Kostengründen Nicht öffentliche IP Adressen, so braucht man auf dem Server oder Router einen Dienst, der die nichtöffentlichen IP-Adresse gegen seine öffentliche IP-Adresse austauscht. Diesen Dienst kann „Network Address Translation (NAT)“ bereit stellen oder ein Proxy-Dienst (Stellvertreter – Dienst). H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005
Exkurs: Adressierung von Datenpaketen (2) Prinzipieller Aufbau eines Datenpakets: Empf. Mac-Ad. Absend. IP-Ad. Daten Paket Frame Port H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005
Exkurs: Adressierung von Datenpaketen (3) Regionale Lehrerfortbildung Referent: Name, Datum Exkurs: Adressierung von Datenpaketen (3) Beispiel: Aufruf der Site von www.stern.de MAC Adresse verkürzt dargestellt Ports ausgeklammert Host MAC: F5.25 IP: 10.1.10.1 www.stern.de MAC: 89.45 IP: 194.12.210.201 89.45|xx.xx|194.12.210.201|141.69.160.67 Internet Server Private: MAC: 23.45 IP: 10.1.1.22 Public: MAC: 45.E8 IP: 141.69.160.67 Router Interface 1 intern MAC: 54.32 Ip: 141.69.160.254 Interface 2 extern MAC: 76.34 IP: 129.143.37.26 23.45|F5.25|194.12.210.201|10.1.10.1 NAT oder PROXY 45.E8|23.45|194.12.210.201|141.69.160.67 54.32|45.E8|194.12.210.201|141.69.160.67 76.34|54.32|194.12.210.201|141.69.160.67 xx.xx|76.34|194.12.210.201|141.69.160.67 H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 Redaktion: F.Wrede, ZPN
Exkurs: Adressierung von Datenpaketen (4) Beispiel: Wegverfolgung mit TraceRt H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005
Regionale Lehrerfortbildung Referent: Name, Datum Zusammenfassung Es gibt private und öffentliche IP Adressen. Bereiche für private Adressen sind: 10.x.y.z, 172.16.x.y, 192.168.x.y Alles andere ist im Wesentlichen öffentlich. (Ausnahme 127.0.0.1 für die lokale Maschine.) Die Umsetzung der privaten IP für das Internet geschieht mit NAT (Network Address Translation) oder einem Proxy: Der Server vertritt mit seiner öffentlichen Adresse die privaten Adressen der Clients. Der Datenverkehr zwischen der privaten und der öffentlichen Netzwerkkarte im Server wird vom Bordermanager mit seinen Zugangsregeln und Filtern überwacht (Firewall). Von außen ist nur die öffentliche Adresse des Servers sichtbar. Dies ist eine erster Sicherheitsmassnahme, da es keinen direkten Kontakt aus dem Internet zu einem Rechner im lokalen Netz gibt (keine lokale Firewall nötig). Server vertritt mit seiner öffentichen IP Adresse die Clients mit ihrer Privaten IP Adresse im Internet. Dieser Dienst heiß Network Adress Translation (NAT). Er wird z.B. vom Bordermanager bereitgestellt. Sicherheitsaspekt extra H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 Redaktion: F.Wrede, ZPN
Notwendige Anpassungen Regionale Lehrerfortbildung Referent: Name, Datum Notwendige Anpassungen Private Netzadressen Sind bei allen Installationen gleich. Werden für die Arbeitsplätze ab der Adresse 10.1.10.1 automatisch durch den DHCP Dienst vergeben. Der DHCP Dienst teilt den Arbeitsplätzen auch ihr Default Gateway mit. Der DHCP Dienst ist vorkonfiguriert. Öffentliche Netzadressen Sind bei allen Installationen verschieden. Die öffentliche IP-Adresse der Public Karte muss vor Ort angepasst werden. Die Default Route muss vor Ort an die innere Routeradresse angepasst werden. In der folgenden Übung erfahren Sie, wie man diese Anpassungen vornimmt. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 Redaktion: F.Wrede, ZPN
Übung: Zugang zum Internet freigeben Zur Verwaltung der IP Konfiguration benutzt man das NLM INETCFG an der Serverkonsole. Folgende Einstellungen müssen durchgeführt werden: Öffentliche Adresse des Servers eintragen. Routeradresse für die Default Route eintragen. Änderungen übernehmen (reinitial system). Danach kann der Internet-Zugang freigegeben werden: Bordermanager starten (startbrd). Filter entladen (unload ipflt). Die Anleitung zur Durchführung zeigen die folgenden Folien. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005
Öffentliche Adresse der Netzwerkkarte Public (1) H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005
Öffentliche Adresse der Netzwerkkarte Public (2) Zustand bei Auslieferung: Private Adresse z.B. für T@School Zugang. Zugang über BelWÜ: Öffentliche IP und Subnetz-Maske eintragen. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005
Öffentliche Adresse der Netzwerkkarte Public (3) H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005
Routeradresse für die Default Route (1) H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005
Routeradresse für die Default Route (2) H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005
Routeradresse für die Default Route (3) H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005
Routeradresse für die Default Route (4) H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005
Die Änderungen übernehmen H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005
Die Änderungen kontrollieren Geben Sie an der Serverkonsole den Befehl: config ein. Es werden die Daten der Netzwerkkarten angezeigt. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005
Bordermanager starten und Filter entladen Geben Sie an der Serverconsole ein: Startbrd Unload ipflt Die Standarddienste wie HTTP, FTP, DNS usw. sind nun möglich ( siehe Liste der Services). H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005
Der Zugriff auf Webseiten ist jetzt möglich. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005