Die Firewall in der Musterlösung

Slides:



Advertisements
Ähnliche Präsentationen
Aufbau eines Netzwerkes
Advertisements

Powerpoint-Präsentation
Sichere Anbindung kleiner Netze ans Internet
Die Schulkonsole für Lehrerinnen und Lehrer
für das Schulnetz der BS Roth
Softwareverteilung.
Musterlösung Hintergrundinformationen © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Workstation – Import Teil 3: Verlauf.
Workstation – Import Teil 2: Kontrollen
Zugriff von außen auf das Homeverzeichnis
Webbasierter Zugriff von außen auf das Homeverzeichnis
Zugriff von außen auf den Schulserver
Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Zertifikate für den Zugriff auf die Schuldaten.
Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Zertifikat für den Zugriff auf die Schuldaten.
RIS mit Treibereinbindung, Ewest/Rau, Windows 200x Musterlösung 1 RIS (mit Treibereinbindung) Teil 1 – Was ist RIS?
Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Zertifikat für den Zugriff auf die Schuldaten.
IT – Struktur an Schulen
Musterlösung Hintergrundinformationen © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Workstation – Import Teil 1: Übersicht.
Richtlinien und Richtlinienpakete in der Novell Musterlösung
Firewall BorderManager V 3.7 Autor: Michael Stütz
Pflege der Internetdienste
Musterlösung IT-Struktur an Schulen © M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg zwei Pflege der Internetdienste.
Pflege der Internetdienste
C.M. Presents D.A.R. und Ein Bisschen dies und das!
Rechneraufbau & Rechnerstrukturen, Folie 14.1 © W. Oberschelp, G. Vossen W. Oberschelp G. Vossen Kapitel 14.
Paketorientierte Datenübertragung
PC I Kursdauer:3 x 3 Stunden Dozentin:Johanna Vohwinkel.
Netze Vorlesung 11 Peter B. Ladkin
Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze
Einführung in die Technik des Internets
CCNA2 – Module 11 Access Control Lists
Internet Protocol [IP] Adressen und Adressklassen
Netzwerktechnik Wiederholung Mag. Sabine Tullits.
DNS Domain Name System oder Domain Name Service
IP Adresse / DNS / URL Bernd Liebenwein.
Weltweite Kommunikation mit Exchange Server über das Internet
Mit Schülern ein internetfähiges Netzwerk aufbauen
Firewall.
Begriffe -Technische Geräte
Freifach Netzwerktechnik mit Übungen
Grundlagen der Netzwerktechnik
Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Die Firewall in der Musterlösung Teil 3:
Netzwerke.
TCP – transmission control protocol Wenn eine Applikation (z. B
Musterlösung Hintergrundinformationen © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Importierte Workstation Teil 4: Was.
Meldungen über Ethernet mit FINS/UDP
Netzwerke.
Adressierung in Netzwerken
Konfiguration zu W2K3S Server
Provider und Dienste im Internet
W.H. Windows 2003 Server Zentrale Verwaltung der IP-Adressen im LAN mittels eines DHCP-Servers Dynamic Host Configuration Protocol.
IPv6 Von Judith Weerda Diese Vorlage kann als Ausgangspunkt für die Präsentation von Schulungsmaterialien in einer Gruppensitzung dienen. Abschnitte.
DNS DNS Das Domain Name System ist der Dienst im Internet, der DNS Namen in entsprechenden IP Adressen umsetzt und umgekehrt auch IPAdressen Namen zuordnen.
© Fink/Spengler/AINF-Lehrgang 2003 – Folie 1 AINF/3. Jahrgang Netzwerke Anwendungen (Clientseitig) Karl Brenner, Andreas Fink, Gerhard Jüngling, Albert.
Willkommen zum Brückensemester
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr,
Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Die Firewall in der Musterlösung Teil 2:
Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Zertifikat für den Zugriff auf die Schuldaten.
Musterlösung IT-Struktur an Schulen © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Zertifikat für den Zugriff auf die Schuldaten.
Lösungen 1. Zu einem Dienst gehören immer: Diensterbringer (Server), Dienstbenutzer (Client) und Protokoll.
Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Die Firewall in der Musterlösung Teil 4:
Musterlösung IT-Struktur an Schulen © M. Stütz, F. Wrede LEU - Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg zwei Workstation -
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr,
Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Der Enterprise-Webserver fürs Intra – und Internet.
Lisa Huber DHBW Mannheim
Aufbau eines Netzwerkes
LINUX II Harald Wegscheider
Regionale Lehrerfortbildung
Ich brauche eine Web-Seite vom Server im Internet
 Präsentation transkript:

Die Firewall in der Musterlösung Teil 1: Grundbegriffe zum Datentransport im Internet Bordermanager für den Internetzugang Autoren: H.Bechtold, E.Dietrich, G.Ehmann, K.Gutjahr, R.Stegmaier

Regionale Lehrerfortbildung Referent: Name, Datum Überblick Teil 1: Grundbegriffe zum Datentransport im Internet Bordermanager für den Zugang zum Internet Teil 2: Bordermanager für den Zugang aus dem Internet Bereitstellung spezieller zusätzlicher Dienste Teil 3: Die Filterregeln beim Bordermanager Das Tool zur Firewall Teil 4: Experimente zur Firewall H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 Redaktion: F.Wrede, ZPN

Die Infrastruktur unserer Schulnetze Backbone Switch GServer02 KServer02 EDV1 Server Client Hub Anbindung an das Internet über „Belwü“ Router 10.1.1.22 10.1.1.21 10.1.3.x DHCP: 10.1.10.x Öffentliche IP der Schule Gserver02 ins Internet Ein-Server-Lösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005

Regionale Lehrerfortbildung Referent: Name, Datum Grundbegriffe Jede Netzwerkkarte hat eine eindeutige, vom Hersteller vergebene Adresse, die MAC Adresse. Beim TCP/IP Protokoll erhält jeder Computer in einem Netz zusätzlich eine eindeutige Nummer, die IP Adresse. Man unterscheidet zwischen öffentlichen IP Adressen und nicht öffentlichen IP Adressen. Nicht öffentliche IP Adressbereiche sind: 10.x.x.x; 172.16.x.x – 172.31.x.x; 192.168.x.x Z.B.: 10.1.1.22 (Private) und 141.69.160.67 (Public). Zu den IP Adressen gibt es zugeordnete Namen wie z.B. „www.belwue.de“ für 129.143.2.9 als IP Adresse. Diese Zuordnung erfolgt durch das DNS (Domain Name System). Die Kontrolle der IP Daten eines Windows-Rechners erfolgt über Ipconfig /all an der Eingabeaufforderung oder über die Statusanzeige der Netzwerkverbindung. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 Redaktion: F.Wrede, ZPN

Kontrolle der IP Konfiguration eines Rechners (1) Über Start/Ausführen mit dem Befehl cmd die Eingabeaufforderung starten. Ipconfig /all eingeben. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005

Kontrolle der IP Konfiguration eines Rechners (2) Regionale Lehrerfortbildung Referent: Name, Datum Kontrolle der IP Konfiguration eines Rechners (2) Mit Klick auf die LAN-Verbindung die Statusanzeigeanzeige öffnen. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 Redaktion: F.Wrede, ZPN

Regionale Lehrerfortbildung Referent: Name, Datum Internetdienste Auf einem Server laufen viele Dienste zum Beispiel: Mail Web ... Diese Dienste sind unter der gleichen IP Adresse (Serveradresse zum Beispiel: 10.1.1.22 ) erreichbar und werden durch Portnummern unterschieden. Mail: Port 25 (SMTP Protokoll) Web: Port 80 (HTTP Protokoll) Web: Port 443 (HTTPS Protokoll) H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 Redaktion: F.Wrede, ZPN

Regionale Lehrerfortbildung Referent: Name, Datum Aufgabe der Ports Vergleich: Der Briefträger stellt die „Post“ (Daten) an die Hausadresse (IP Adresse) zu und verteilt sie in die entsprechenden Briefkästen (Port). TCP/IP Kommunikation: Der Datenaustausch zwischen zwei Rechnern wird über deren IP Adressen zugestellt. Innerhalb des Rechners erfolgt die Weiterleitung der Daten über die Ports an die Dienste (beim Server) bzw. die Anwendungen (beim Client). Beispiel von Diensten beim GSERVER02: Remote Manager: https://10.1.1.22:8009 (Port 8009) Web Manager: https://10.1.1.22:2200 (Port 2200) H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 Redaktion: F.Wrede, ZPN

Port 8009: Der Remote Manager H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005

Port 2200: Der Web Manager H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005

Standard-Gateway: die Paketsortieranlage Regionale Lehrerfortbildung Referent: Name, Datum Standard-Gateway: die Paketsortieranlage Ein Paket bleibt in einer Stadt, wenn sich die Zustelladresse innerhalb des Ortes befindet, sonst wird er weitergeleitet. Kennzeichen hierfür ist die PLZ. Datenpakete bleiben in einem lokalen Netz (LAN), wenn ihre Zieladresse in dem lokalen Bereich liegt. Sonst kommen sie an das Gateway, das sie weiterleitet. Kennzeichen für den LAN Bereich ist Netz-ID und Subnetzmaske. Der LAN Bereich der Musterlösung ist 10.1.x.y , denn 255.255.0.0 ist die Subnetmask. Netz-ID Host-ID 10 1 78 255 22 GSERVER02 Arbeitsstation Subnetz-Maske Server Rolle beschreiben: Server leitet an Router weiter. (Wird unter Windows auch als Gateway bezeichnet) Bild lokale IP-Umgebung, daran Begriffe erklären. (Status von Lanverbindungen, Details) H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 Redaktion: F.Wrede, ZPN

Der Weg ins Internet Server Router Internet Default Route Interner Bereich LAN Gleiche Netz-ID. Unterschiedliche Host-ID. Als Default Gateway ist der Server eingetragen. Öffentlicher Bereich Datenpakete, die nicht ins LAN gehören (unterschiedliche Netz-ID), werden zum Server geschickt (default Gateway). Dieser adressiert sie um und schickt sie weiter zum Router (default Route). Der Router kümmert sich dann um den Weg durch das Internet zum Zielrechner. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005

Exkurs: Adressierung von Datenpaketen (1) Grundsätzliches: Jede IP Schnittstelle ( Workstation, Server, Router usw.) hat eine weltweit eindeutige MAC Adresse bei der Herstellung erhalten. Jeder IP Schnittstelle muss eine IP Adresse zugeordnet werden. Datenpakete werden von Hop zu Hop (von Hand zu Hand) über die MAC Adresse weitergeleitet. Jedes Datenpaket enthält die Absender-IP-Adresse und die Empfänger-IP-Adresse. Diese Adresse ändert sich nicht. Ausnahme: Verwendet man in einem Intranet aus Sicherheits- und Kostengründen Nicht öffentliche IP Adressen, so braucht man auf dem Server oder Router einen Dienst, der die nichtöffentlichen IP-Adresse gegen seine öffentliche IP-Adresse austauscht. Diesen Dienst kann „Network Address Translation (NAT)“ bereit stellen oder ein Proxy-Dienst (Stellvertreter – Dienst). H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005

Exkurs: Adressierung von Datenpaketen (2) Prinzipieller Aufbau eines Datenpakets: Empf. Mac-Ad. Absend. IP-Ad. Daten Paket Frame Port H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005

Exkurs: Adressierung von Datenpaketen (3) Regionale Lehrerfortbildung Referent: Name, Datum Exkurs: Adressierung von Datenpaketen (3) Beispiel: Aufruf der Site von www.stern.de MAC Adresse verkürzt dargestellt Ports ausgeklammert Host MAC: F5.25 IP: 10.1.10.1 www.stern.de MAC: 89.45 IP: 194.12.210.201 89.45|xx.xx|194.12.210.201|141.69.160.67 Internet Server Private: MAC: 23.45 IP: 10.1.1.22 Public: MAC: 45.E8 IP: 141.69.160.67 Router Interface 1 intern MAC: 54.32 Ip: 141.69.160.254 Interface 2 extern MAC: 76.34 IP: 129.143.37.26 23.45|F5.25|194.12.210.201|10.1.10.1 NAT oder PROXY 45.E8|23.45|194.12.210.201|141.69.160.67 54.32|45.E8|194.12.210.201|141.69.160.67 76.34|54.32|194.12.210.201|141.69.160.67 xx.xx|76.34|194.12.210.201|141.69.160.67 H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 Redaktion: F.Wrede, ZPN

Exkurs: Adressierung von Datenpaketen (4) Beispiel: Wegverfolgung mit TraceRt H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005

Regionale Lehrerfortbildung Referent: Name, Datum Zusammenfassung Es gibt private und öffentliche IP Adressen. Bereiche für private Adressen sind: 10.x.y.z, 172.16.x.y, 192.168.x.y Alles andere ist im Wesentlichen öffentlich. (Ausnahme 127.0.0.1 für die lokale Maschine.) Die Umsetzung der privaten IP für das Internet geschieht mit NAT (Network Address Translation) oder einem Proxy: Der Server vertritt mit seiner öffentlichen Adresse die privaten Adressen der Clients. Der Datenverkehr zwischen der privaten und der öffentlichen Netzwerkkarte im Server wird vom Bordermanager mit seinen Zugangsregeln und Filtern überwacht (Firewall). Von außen ist nur die öffentliche Adresse des Servers sichtbar. Dies ist eine erster Sicherheitsmassnahme, da es keinen direkten Kontakt aus dem Internet zu einem Rechner im lokalen Netz gibt (keine lokale Firewall nötig). Server vertritt mit seiner öffentichen IP Adresse die Clients mit ihrer Privaten IP Adresse im Internet. Dieser Dienst heiß Network Adress Translation (NAT). Er wird z.B. vom Bordermanager bereitgestellt. Sicherheitsaspekt extra H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 Redaktion: F.Wrede, ZPN

Notwendige Anpassungen Regionale Lehrerfortbildung Referent: Name, Datum Notwendige Anpassungen Private Netzadressen Sind bei allen Installationen gleich. Werden für die Arbeitsplätze ab der Adresse 10.1.10.1 automatisch durch den DHCP Dienst vergeben. Der DHCP Dienst teilt den Arbeitsplätzen auch ihr Default Gateway mit. Der DHCP Dienst ist vorkonfiguriert. Öffentliche Netzadressen Sind bei allen Installationen verschieden. Die öffentliche IP-Adresse der Public Karte muss vor Ort angepasst werden. Die Default Route muss vor Ort an die innere Routeradresse angepasst werden. In der folgenden Übung erfahren Sie, wie man diese Anpassungen vornimmt. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 Redaktion: F.Wrede, ZPN

Übung: Zugang zum Internet freigeben Zur Verwaltung der IP Konfiguration benutzt man das NLM INETCFG an der Serverkonsole. Folgende Einstellungen müssen durchgeführt werden: Öffentliche Adresse des Servers eintragen. Routeradresse für die Default Route eintragen. Änderungen übernehmen (reinitial system). Danach kann der Internet-Zugang freigegeben werden: Bordermanager starten (startbrd). Filter entladen (unload ipflt). Die Anleitung zur Durchführung zeigen die folgenden Folien. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005

Öffentliche Adresse der Netzwerkkarte Public (1) H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005

Öffentliche Adresse der Netzwerkkarte Public (2) Zustand bei Auslieferung: Private Adresse z.B. für T@School Zugang. Zugang über BelWÜ: Öffentliche IP und Subnetz-Maske eintragen. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005

Öffentliche Adresse der Netzwerkkarte Public (3) H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005

Routeradresse für die Default Route (1) H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005

Routeradresse für die Default Route (2) H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005

Routeradresse für die Default Route (3) H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005

Routeradresse für die Default Route (4) H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005

Die Änderungen übernehmen H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005

Die Änderungen kontrollieren Geben Sie an der Serverkonsole den Befehl: config ein. Es werden die Daten der Netzwerkkarten angezeigt. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005

Bordermanager starten und Filter entladen Geben Sie an der Serverconsole ein: Startbrd Unload ipflt Die Standarddienste wie HTTP, FTP, DNS usw. sind nun möglich ( siehe Liste der Services). H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005

Der Zugriff auf Webseiten ist jetzt möglich. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.