Die Firewall in der Musterlösung

30
Musterlösun g Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Die Firewall in der Musterlösung Teil 1: Grundbegriffe zum Datentransport im Internet Bordermanager für den Internetzugang Autoren: H.Bechtold, E.Dietrich, G.Ehmann, K.Gutjahr, R.Stegmaier

description

Die Firewall in der Musterlösung. Teil 1: Grundbegriffe zum Datentransport im Internet Bordermanager für den Internetzugang Autoren: H.Bechtold, E.Dietrich, G.Ehmann, K.Gutjahr, R.Stegmaier. Überblick. Teil 1: Grundbegriffe zum Datentransport im Internet - PowerPoint PPT Presentation

Transcript of Die Firewall in der Musterlösung

Page 1: Die Firewall in der Musterlösung

Musterlösung

Regionale Fortbildung

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)

Die Firewall in der Musterlösung

Teil 1:Grundbegriffe zum Datentransport im Internet

Bordermanager für den Internetzugang

Autoren:H.Bechtold, E.Dietrich, G.Ehmann, K.Gutjahr,

R.Stegmaier

Page 2: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 2H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Überblick

• Teil 1:– Grundbegriffe zum Datentransport im Internet– Bordermanager für den Zugang zum Internet

• Teil 2:– Bordermanager für den Zugang aus dem

Internet– Bereitstellung spezieller zusätzlicher Dienste

• Teil 3:– Die Filterregeln beim Bordermanager– Das Tool zur Firewall

• Teil 4:– Experimente zur Firewall

Page 3: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 3H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Die Infrastruktur unserer Schulnetze

Backbone

Switch

GServer02 KServer02

EDV1

Server

Client

Hub

Anbindung an das Internet über „Belwü“

Router

10.1.1.22 10.1.1.21

10.1.3.x

DHCP: 10.1.10.x

Öffentliche IP der Schule

Gserver02 ins Internet

Ein-Server-Lösung

Page 4: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 4H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Grundbegriffe

• Jede Netzwerkkarte hat eine eindeutige, vom Hersteller vergebene Adresse, die MAC Adresse.

• Beim TCP/IP Protokoll erhält jeder Computer in einem Netz zusätzlich eine eindeutige Nummer, die IP Adresse. – Man unterscheidet zwischen öffentlichen IP Adressen und

nicht öffentlichen IP Adressen.– Nicht öffentliche IP Adressbereiche sind:

10.x.x.x; 172.16.x.x – 172.31.x.x; 192.168.x.x– Z.B.: 10.1.1.22 (Private) und 141.69.160.67 (Public).

• Zu den IP Adressen gibt es zugeordnete Namen wie z.B. „www.belwue.de“ für 129.143.2.9 als IP Adresse.– Diese Zuordnung erfolgt durch das DNS (Domain Name

System).

• Die Kontrolle der IP Daten eines Windows-Rechners erfolgt über Ipconfig /all an der Eingabeaufforderung oder über die Statusanzeige der Netzwerkverbindung.

Page 5: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 5H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Kontrolle der IP Konfiguration eines Rechners (1)

1. Über Start/Ausführen mit dem Befehl cmd die Eingabeaufforderung starten.

2. Ipconfig /all eingeben.

Page 6: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 6H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Kontrolle der IP Konfiguration eines Rechners (2)

Mit Klick auf die LAN-Verbindungdie Statusanzeigeanzeige öffnen.

Page 7: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 7H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Internetdienste

• Auf einem Server laufen viele Dienste zum Beispiel:– Mail – Web– ...

• Diese Dienste sind unter der gleichen IP Adresse (Serveradresse zum Beispiel: 10.1.1.22 ) erreichbar und werden durch Portnummern unterschieden.– Mail: Port 25 (SMTP Protokoll) – Web: Port 80 (HTTP Protokoll)– Web: Port 443 (HTTPS Protokoll)– ...

Page 8: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 8H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Aufgabe der Ports

• Vergleich:Der Briefträger stellt die „Post“ (Daten) an die Hausadresse (IP Adresse) zu und verteilt sie in die entsprechenden Briefkästen (Port).

• TCP/IP Kommunikation:– Der Datenaustausch zwischen zwei Rechnern wird

über deren IP Adressen zugestellt.– Innerhalb des Rechners erfolgt die Weiterleitung

der Daten über die Ports an die Dienste (beim Server) bzw. die Anwendungen (beim Client).

• Beispiel von Diensten beim GSERVER02:– Remote Manager: https://10.1.1.22:8009 (Port

8009)– Web Manager: https://10.1.1.22:2200 (Port 2200)

Page 9: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 9H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Port 8009: Der Remote Manager

Page 10: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 10H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Port 2200: Der Web Manager

Page 11: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 11H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Standard-Gateway: die Paketsortieranlage

• Ein Paket bleibt in einer Stadt, wenn sich die Zustelladresse innerhalb des Ortes befindet, sonst wird er weitergeleitet. Kennzeichen hierfür ist die PLZ.

• Datenpakete bleiben in einem lokalen Netz (LAN), wenn ihre Zieladresse in dem lokalen Bereich liegt. Sonst kommen sie an das Gateway, das sie weiterleitet.

• Kennzeichen für den LAN Bereich ist Netz-ID und Subnetzmaske. Der LAN Bereich der Musterlösung ist 10.1.x.y , denn 255.255.0.0 ist die Subnetmask.

Netz-ID Host-ID

10 1

10 78

255 255 0 0

10 1

1 22 GSERVER02

Arbeitsstation

Subnetz-Maske

Page 12: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 12H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Der Weg ins Internet

Server Router

Internet

Default Route

Interner Bereich

LAN Gleiche Netz-ID.Unterschiedliche Host-ID. Als Default Gateway ist der Server eingetragen.

Öffentlicher Bereich

Datenpakete, die nicht ins LAN gehören (unterschiedliche Netz-ID), werden zum Server geschickt (default Gateway). Dieser adressiert sie um und schickt sie weiter zum Router (default Route). Der Router kümmert sich dann um den Weg durch das Internet zum Zielrechner.

Page 13: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 13H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Exkurs: Adressierung von Datenpaketen (1)

Grundsätzliches:• Jede IP Schnittstelle ( Workstation, Server, Router usw.) hat

eine weltweit eindeutige MAC Adresse bei der Herstellung erhalten.

• Jeder IP Schnittstelle muss eine IP Adresse zugeordnet werden.

• Datenpakete werden von Hop zu Hop (von Hand zu Hand) über die MAC Adresse weitergeleitet.

• Jedes Datenpaket enthält die Absender-IP-Adresse und die Empfänger-IP-Adresse. Diese Adresse ändert sich nicht.

• Ausnahme: Verwendet man in einem Intranet aus Sicherheits- und Kostengründen Nicht öffentliche IP Adressen, so braucht man auf dem Server oder Router einen Dienst, der die nichtöffentlichen IP-Adresse gegen seine öffentliche IP-Adresse austauscht.

• Diesen Dienst kann „Network Address Translation (NAT)“ bereit stellen oder ein Proxy-Dienst (Stellvertreter – Dienst).

Page 14: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 14H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Exkurs: Adressierung von Datenpaketen (2)

• Prinzipieller Aufbau eines Datenpakets:

Empf. Mac-Ad.

Absend. Mac-Ad.

Absend.

IP-Ad.

Empf. IP-Ad.

Daten

Paket

Frame

Empf. Port

Absend.

Port

Page 15: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 15H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Exkurs: Adressierung von Datenpaketen (3)

• Beispiel: Aufruf der Site von www.stern.de • MAC Adresse verkürzt dargestellt• Ports ausgeklammert

HostMAC: F5.25IP: 10.1.10.1

www.stern.deMAC: 89.45

IP: 194.12.210.201

89.45|xx.xx|194.12.210.201|141.69.160.67

Internet

ServerPrivate:

MAC: 23.45IP: 10.1.1.22

Public:MAC: 45.E8

IP: 141.69.160.67

RouterInterface 1 intern

MAC: 54.32Ip: 141.69.160.254Interface 2 extern

MAC: 76.34IP: 129.143.37.26

23.45|F5.25|194.12.210.201|10.1.10.1

NAT oder PROXY

45.E8|23.45|194.12.210.201|141.69.160.67

54.32|45.E8|194.12.210.201|141.69.160.67

76.34|54.32|194.12.210.201|141.69.160.67

xx.xx|76.34|194.12.210.201|141.69.160.67

Page 16: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 16H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Exkurs: Adressierung von Datenpaketen (4)

Beispiel: Wegverfolgung mit TraceRt

Page 17: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 17H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Zusammenfassung

• Es gibt private und öffentliche IP Adressen.• Bereiche für private Adressen sind:

10.x.y.z, 172.16.x.y, 192.168.x.yAlles andere ist im Wesentlichen öffentlich. (Ausnahme 127.0.0.1 für die lokale Maschine.)

• Die Umsetzung der privaten IP für das Internet geschieht mit NAT (Network Address Translation) oder einem Proxy:Der Server vertritt mit seiner öffentlichen Adresse die privaten Adressen der Clients.

• Der Datenverkehr zwischen der privaten und der öffentlichen Netzwerkkarte im Server wird vom Bordermanager mit seinen Zugangsregeln und Filtern überwacht (Firewall).

• Von außen ist nur die öffentliche Adresse des Servers sichtbar. Dies ist eine erster Sicherheitsmassnahme, da es keinen direkten Kontakt aus dem Internet zu einem Rechner im lokalen Netz gibt (keine lokale Firewall nötig).

Page 18: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 18H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Notwendige Anpassungen

• Private Netzadressen– Sind bei allen Installationen gleich.– Werden für die Arbeitsplätze ab der Adresse

10.1.10.1 automatisch durch den DHCP Dienst vergeben.

– Der DHCP Dienst teilt den Arbeitsplätzen auch ihr Default Gateway mit.

– Der DHCP Dienst ist vorkonfiguriert.• Öffentliche Netzadressen

– Sind bei allen Installationen verschieden.– Die öffentliche IP-Adresse der Public Karte muss

vor Ort angepasst werden.– Die Default Route muss vor Ort an die innere

Routeradresse angepasst werden.• In der folgenden Übung erfahren Sie, wie man

diese Anpassungen vornimmt.

Page 19: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 19H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Übung: Zugang zum Internet freigeben

• Zur Verwaltung der IP Konfiguration benutzt man das NLM INETCFG an der Serverkonsole.

• Folgende Einstellungen müssen durchgeführt werden:– Öffentliche Adresse des Servers eintragen.– Routeradresse für die Default Route eintragen.– Änderungen übernehmen (reinitial system).

• Danach kann der Internet-Zugang freigegeben werden:– Bordermanager starten (startbrd).– Filter entladen (unload ipflt).

• Die Anleitung zur Durchführung zeigen die folgenden Folien.

Page 20: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 20H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Öffentliche Adresse der Netzwerkkarte Public (1)

Page 21: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 21H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Öffentliche Adresse der Netzwerkkarte Public (2)

Zustand bei Auslieferung:Private Adresse z.B. fürT@School Zugang.

Zugang über BelWÜ:Öffentliche IP undSubnetz-Maske eintragen.

Page 22: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 22H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Öffentliche Adresse der Netzwerkkarte Public (3)

Page 23: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 23H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Routeradresse für die Default Route (1)

Page 24: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 24H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Routeradresse für die Default Route (2)

Page 25: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 25H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Routeradresse für die Default Route (3)

Page 26: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 26H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Routeradresse für die Default Route (4)

Page 27: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 27H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Die Änderungen übernehmen

Page 28: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 28H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Die Änderungen kontrollieren

Geben Sie an der Serverkonsole den Befehl: config ein.Es werden die Daten der Netzwerkkarten angezeigt.

Page 29: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 29H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Bordermanager starten und Filter entladen

• Geben Sie an der Serverconsole ein:– Startbrd– Unload ipflt

• Die Standarddienste wie HTTP, FTP, DNS usw. sind nun möglich ( siehe Liste der Services).

Page 30: Die Firewall in der Musterlösung

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 30H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)

Musterlösung

Der Zugriff auf Webseiten ist jetzt möglich.