Firewall BorderManager V 3.7 Autor: Michael Stütz LFB Materialien - (c) M. Stütz 27.03.2017 Firewall BorderManager V 3.7 Autor: Michael Stütz (c) Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
Übersicht Firewall Grundlagen: BorderManager, iManager Beispiele: NetStorage RemoteManager Chatten, Realplayer E-Stat News (mit GroupWise) Übungen Zusatz: NCF Datei for tuning BorderManager (sys:nwmuster\brdtune.ncf) Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übersicht: Firewall Von Außen nach Innen über den Browser über ein Zusatzprogramm (z.B: GW-Client, FTP) => Freischaltung per BorderManager Rules, Application Proxy (Acceleration, Generic TCP Proxy) und FilterExceptions, Filters VPN-Zugang => Spezielle Konfiguration Von Innen nach Außen => Freischaltung per BorderManager Rules, Application Proxy und FilterExceptions, Filters Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übersicht: Firewall Einstellungen über INETCFG INETCFG | Protocols | TCP/IP IP Packet Forwarding „Enabled Router“ Filter Support „Enabled“ NAT Implicit Fitering Disabled = allow the inbound packets to communicate with the server Set NAT dynamic mode to pass thru = ON Enabled Set NAT dynamic mode to pass thru = OFF INETCFG | Bindings | „Public“ NIC | Configure TCP/IP Bind Options | Expert TCP/IP Bind Options | Network Address Translation | Dynamic Only Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übersicht: Firewall Verwaltungstools LFB Materialien - (c) M. Stütz 27.03.2017 Übersicht: Firewall Verwaltungstools NWAdmin sys:public\win32 BorderManager Setup BorderManager Access Rules iManager https://10.1.1.22:2200/eMFrame/imanager.html SERVICES FILTERS FILTEREXECPTIONS Firewall Tools data:pgm\firewall Aufgabe des Kapitel 9 ist die Rolle des Netzwerkberaters (in) in der Schule zu beschreiben. Durch den Einzug der Computer nicht nur in den Computerraum, sondern auch in die Klassenzimmer war eine Überarbeitung, bzw. festlegen der Rolle des Netzwerkberaters notwendig. Die Rolle lässt sich unter verschiedenen Blickrichtungen betrachten. Das Spannungsfeld in der Schule gibt einen Überblick über die Begleitumstände, denen der Netzwerkberater (in) in der Schule begegnet. Danach wird der Aufgabenbereich des Netzberaters (in) umrissen. Es folgen die Unterstützungsmaßnahmen, die für den Netzwerkberater (in) existieren und die erst durch den Einsatz der Musterlösung greifen. Immer wieder wurde von der Hotline (LEU im Rahmen des Supportprojektes 2001) bemerkt, dass die Netzwerkberater(innen) sprachlos sind, wenn sie einen Fehler melden sollen. Mit diesem Feld beschäftigt sich der letzte Abschnitt. Autor: Michael Stütz - Firewall Stand: Jan. 2004 (c) Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
Netzwerkkarten im Server Begriffe: Public – Private (FiltCfg) Autor: Michael Stütz - Firewall Stand: Jan. 2004
NWAdmin – BorderManager Setup dienstspezifische Einstellungen allgemeine Einstellungen Autor: Michael Stütz - Firewall Stand: Jan. 2004
BM Setup: Allgemeine Einstellungen: IP - Adressen Schaltfläche um neue IP-Adresse einzugeben PRIVAT = Verbindung zum lokalen Netz PUBLIC = Verbindung zum Router, der mit dem Internet z. B. per ISDN-Leitung verbunden ist. Autor: Michael Stütz - Firewall Stand: Jan. 2004
BM Setup: Acceleration Autor: Michael Stütz - Firewall Stand: Jan. 2004
BM Setup: Acceleration Autor: Michael Stütz - Firewall Stand: Jan. 2004
BM Setup: Generic TCP Proxy Autor: Michael Stütz - Firewall Stand: Jan. 2004
BM Setup: Generic TCP Proxy Zusätzlich in der 2-Server-Version 10.1.1.21 8108 10.1.1.21 8109 10.1.1.21 2210 Autor: Michael Stütz - Firewall Stand: Jan. 2004
BM: Access Rules Autor: Michael Stütz - Firewall Stand: Jan. 2004
iManager Autor: Michael Stütz - Firewall Stand: Jan. 2004
iManager Paketweiterleitungsfilter (Filter, FilterExceptions) Services (Protokoll, Ports) Ein-/Ausgangsfilter (Routing Filter Autor: Michael Stütz - Firewall Stand: Jan. 2004
iManager Filter: keine Weiterleitung Ausnahmefilter: Weiterleitung (FilterExceptions) Autor: Michael Stütz - Firewall Stand: Jan. 2004
iManager: Services Autor: Michael Stütz - Firewall Stand: Jan. 2004
iManager: Services Bezeichnung: beliebig, eindeutig Port; Bereich mit Bindestrich Automatisches Portverwaltung für die Antwort Autor: Michael Stütz - Firewall Stand: Jan. 2004
iManager: Ausnahmefilter (FilterExceptions) Autor: Michael Stütz - Firewall Stand: Jan. 2004
iManager: Ausnahmefilter (FilterExceptions) Out => PRIVATE Out => PUBLIC In => PUBLIC In => PRIVATE Autor: Michael Stütz - Firewall Stand: Jan. 2004
iManager: Ausnahmefilter (FilterExceptions) Autor: Michael Stütz - Firewall Stand: Jan. 2004
iManager: Ausnahmefilter (FilterExceptions) Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übungen
Übungen Firewall (BorderManager, iManager) Übung 1: Chatten über das Firewall-Tool freischalten Übung 2: Neue Services und Filterausnahmen (FilterException) integrieren Übung 3: Fehler von IP-Change Neue Services und Filterausnahmen (FilterException) integrieren Übung 4: E-Stat Erweiterung Übung 5: Fragen zum RemoteManagement Übung 6: Newsgroups mit GroupWise Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 1: Chatten über das Firewall-Tool freischalten Beispiele: http://www.bravo.de http://www.chat.de Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 1: Chatten über das Firewall-Tool freischalten Kopieren Sie ins Verzeichnis pgm\firewall die aktuelle Version des Tools Firewall Tools (data:pgm\firewall) starten ggf vorhandenen CHAT Filter und Service löschen CHAT Service und Filter per Firewalltool integrieren Service hinzufügen: Chat_Services_Add.ldif FilterException hinzufügen: Chat_FilterExceptions_Add.LDIF FilterException aktivieren: Chat_FilterException_Aktiv.ldif Kontrolle per Firewall-Tool iManager Browser (Chatraum aufsuchen) Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 1: Chatten über das Firewall-Tool freischalten Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 1: Chatten über das Firewall-Tool freischalten Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 1: Chatten über das Firewall-Tool freischalten Admin-Passwort eingeben Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 1: Chatten über das Firewall-Tool freischalten Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 1: Chatten über das Firewall-Tool freischalten Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 1: Chatten über das Firewall-Tool freischalten Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 1: Chatten über das Firewall-Tool freischalten IP-Adressen kontrollieren / anpassen ….. [Settings] EditTree=SCHULBAUM02 EditContext=NBMRuleContainer.Server.DIENSTE IP_old=63.63.63.63 REM IP_new=191.168.1.2 IP_new=129.143.2.153 Hinweis: Beim Einlesen neuer FilterExceptions wird den Filtern die IP-Adresse 63.63.63.63 zugewiesen. Damit die Filter wirksam werden, müssen diese Einträge angepasst werden. Passen Sie deshalb die INI-Datei vor dem Aufruf von CHANGEIP entsprechend an. REM dient dabei als Kennzeichen für einen Kommentar. Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 1: Chatten über das Firewall-Tool freischalten Über die Schaltfläche müssen ggf. die IP-Adressen noch angepasst werden Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 1: Chatten über das Firewall-Tool freischalten Fragen für den Problemfall: Welches Protokoll und welche Ports müssen freigeschaltet werden? Protokoll: TCP/IP Ports: 6660-6670, ggf. auch 7000 iManager Service vorhanden oder muss er neu angelegt werden? Ausnahmeregel (FilterException) prüfen/definieren Filter an der Konsole aktivieren Filter an der Konsole deaktivierten: => load ipflt Test Sind die Ports aktiv ? An der Konsole: tcpcon Protocol-Information | TCP | TCP Connections Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 2: Fehler von Change-IP Nach der Installation der Musterlösung werden die öffentlichen IP-Adressen in den FilterException über die im Firewall-Tool angepasst. A1: Informieren Sie sich über das Internet über aktuelle Änderungen. A2: Kontrollieren Sie über den iManager die IP- Adressen bei den FilterException (insbesondere bei NTP-Time und SMTP-IN). . FilterException (Empfehlung in Fettdruck) Name Bemerkung Dienste Ursprung Service-Typ Ziel aktiviert deaktiviert NTP-Time Erlaubt es dem Server die Zeit von einem Zeitserver (hier BelWü) zu holen. Da eDirectory mit Zeitstempeln arbeitet, sollte dieser Ausnahmefilter immer gesetzt sein. NTP PUBLIC 192.168.2 PUBLIC 129.69.1.153 SMTP-In Erlaubt eingehenden SMTP Verkehr auf dem Server (Ursprungsadresse ist für BelWü vorkonfiguriert) SMTP PUBLIC 129.143.2.0 255.255.255.128 smtp-st PUBLIC 192.168.1.2 Autor: Michael Stütz - Firewall Stand: Jan. 2004
Konfigurieren Sie den Zugang zu E-Stat mit Hilfe Übung 3: E-Stat Konfigurieren Sie den Zugang zu E-Stat mit Hilfe des Firewall-Tools und vordefinierten LDIF-Dateien oder über das Programm iManager Beschreiben Sie stichwortartig Ihre Vorgehensweise. Lassen Sie Ihre Beschreibung von einer anderen Arbeitsgruppe überprüfen. Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 3: E-Stat NWAdmin – BorderManager Setup | HTTP Proxy | Details iManager – Service iManager - FilterException Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 3: E-Stat http://svnt2.kultus-bw.de:7779/estat/start.html Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 4: Neue Services und FilterException integrieren Firewall Tools (data:pgm\firewall) starten Update-Ldif Datei einlesen ML25_Firewall_Update01.ldif Neue FilterException aktivieren ML25_Firewall_Update01-Aktiv.ldif Über die Schaltfläche müssen ggf. die IP-Adressen noch angepasst werden Bitte beachten Sie die Einstellung in der Date changeip.ini. Kontrolle per iManager: Services, FilterException sowie IP-Adressen kontrollieren Neue FilterException testen (z.B. RealAudio) RealPlayer http://de.real.com/freeplayer_r1p.html BBC www.bbc.co.uk dann links z.B. auf News Audio klicken Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 5: Portal-Management Im Auslieferungszustand der Musterlösung 2.x kann per Portal-Management nur auf den GServer02 nicht aber auf den KServer02 zugegriffen werden. A1: Welche Angaben / Daten werden benötigt, um das Problem zu lösen? A2: Finden Sie mind. zwei Lösungen? A3: Wie sind die Lösungen bzgl. des Sicherheits- aspekts zu bewerten? Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 6: Newsgroups mit GroupWise Übersicht Firewall anpassen: Ausnahmefilter News-St-Out Groupwise Client anpassen News-Server bei BelWue: news.belwue.de Newsgroups: Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 6: Newsgroups mit GroupWise Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 6: Newsgroups mit GroupWise news.belwue.de Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 6: Newsgroups mit GroupWise Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 6: Newsgroups mit GroupWise Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 6: Newsgroups mit GroupWise Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 6: Newsgroups mit GroupWise Ist der News-Ausnahmefilter aktiv? Firewall deaktivieren über „unload ipflt“ an der Serverkonsole Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 6: Newsgroups mit GroupWise Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 6: Newsgroups mit GroupWise Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 6: Newsgroups mit GroupWise Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 6: Newsgroups mit GroupWise Autor: Michael Stütz - Firewall Stand: Jan. 2004
Übung 6: Newsgroups mit GroupWise Autor: Michael Stütz - Firewall Stand: Jan. 2004
NCF Datei for tuning BorderManager ####################################################### # # # NCF Datei for tuning BorderManager # # Watch BorderManager performance and customize # # the parameters! # # Novell Consulting FAu 06.Feb.2002 # ########## Communications Parameter ########## SET Maximum Physical Receive Packet Size = 4224 SET Maximum Packet Receive Buffers = 10000 SET Minimum Packet Receive Buffers = 5000 SET New Packet Receive Buffer Wait Time = 0.1 sec SET Maximum Interrupt Events = 50 ########## Memory Parameter ########## SET Garbage Collection Interval = 5 ########## File Caching Parameter ########## SET Read Ahead Enabled = on SET Maximum Concurrent Disk Cache Writes = 750 SET Dirty Disk Cache Delay Time = 0.1 sec Autor: Michael Stütz - Firewall Stand: Jan. 2004
NCF Datei for tuning BorderManager ####################################################### ########## Directory Caching Parameter ########## SET Dirty Directory Cache Delay Time = 0.1 sec SET Maximum Concurrent Directory Cache Writes = 125 SET Directory Cache Allocation Wait Time = 0.1 sec SET Directory Cache Buffer NonReferenced delay = 30 min SET Minimum Directory Cache Buffers = 1000 SET Maximum Directory Cache Buffers = 4000 SET Maximum Number of Internal Directory Handles = 500 ########## File System Parameter ########## SET Immediate Purge of Deleted Files = on SET Enable File Compression = off ########## Locks Parameter ########## SET Maximum File Locks = 100000 Autor: Michael Stütz - Firewall Stand: Jan. 2004
NCF Datei for tuning BorderManager ####################################################### ########## Disk Parameter ########## SET Enable Hardware Write Back = on SET Enable Disk Read After Write Verify = off ########## Miscellaneous Parameter ########## SET Worker Thread Execute In A Row Count = 15 SET Pseudo Preemption Count = 200 SET Minimum Service Processes = 500 SET Maximum Service Processes = 1000 SET New Service Process Wait Time = 0.3 sec Autor: Michael Stütz - Firewall Stand: Jan. 2004