Musterlösung IT-Struktur an Schulen © Zentrale Planungsgruppe Netze am Kultusministerium...

Musterlösung

IT-Struktur an Schulen

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg

Firewall

BorderManager V 3.7

Autor: Michael Stütz

Stand: Jan. 2004

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 2Autor: Michael Stütz - Firewall

Musterlösung

Übersicht

• Firewall

– Grundlagen: BorderManager, iManager

– Beispiele:

• NetStorage

• RemoteManager

• Chatten, Realplayer

• E-Stat

• News (mit GroupWise)

– Übungen

• Zusatz: NCF Datei for tuning BorderManager

(sys:nwmuster\brdtune.ncf)

Stand: Jan. 2004


Musterlösung

Übersicht: Firewall

• Von Außen nach Innen

– über den Browser

– über ein Zusatzprogramm (z.B: GW-Client, FTP)

=> Freischaltung per BorderManager Rules, Application Proxy (Acceleration, Generic TCP Proxy)

und FilterExceptions, Filters

– VPN-Zugang

=> Spezielle Konfiguration

• Von Innen nach Außen

– über den Browser

– über ein Zusatzprogramm (z.B: GW-Client, FTP)

=> Freischaltung per BorderManager Rules, Application Proxy und FilterExceptions, Filters

Stand: Jan. 2004


Musterlösung

Übersicht: Firewall

Einstellungen über INETCFG

• INETCFG | Protocols | TCP/IP

– IP Packet Forwarding „Enabled Router“

– Filter Support „Enabled“

– NAT Implicit Fitering

• Disabled= allow the inbound packets to communicate with the serverSet NAT dynamic mode to pass thru = ON

• Enabled Set NAT dynamic mode to pass thru = OFF

• INETCFG | Bindings | „Public“ NIC | Configure TCP/IP Bind Options | Expert TCP/IP Bind Options | Network Address Translation | Dynamic Only

Stand: Jan. 2004


Musterlösung

Übersicht: Firewall Verwaltungstools

• NWAdmin

– sys:public\win32

– BorderManager Setup

– BorderManager Access Rules

• iManager

– https://10.1.1.22:2200/eMFrame/imanager.html

– SERVICES

– FILTERS

– FILTEREXECPTIONS

• Firewall Tools

– data:pgm\firewall

Stand: Jan. 2004


Musterlösung

Netzwerkkarten im Server

Begriffe: Public – Private (FiltCfg)

Stand: Jan. 2004


Musterlösung

NWAdmin – BorderManager Setup

allgemeine Einstellungen

dienstspezifischeEinstellungen

Stand: Jan. 2004


Musterlösung

BM Setup: Allgemeine Einstellungen: IP - Adressen

Schaltfläche um neue IP-Adresse einzugeben

PRIVAT = Verbindung zum lokalen Netz

PUBLIC = Verbindung zum Router, der mit dem Internet z. B. per ISDN-Leitung verbunden ist.

Stand: Jan. 2004


Musterlösung

BM Setup: Acceleration

Stand: Jan. 2004


Musterlösung

BM Setup: Generic TCP Proxy

Stand: Jan. 2004


Musterlösung

BM Setup: Generic TCP Proxy

Zusätzlich in der 2-Server-Version

10.1.1.21 810810.1.1.21 810910.1.1.21 2210

Stand: Jan. 2004


Musterlösung

BM: Access Rules

Stand: Jan. 2004


Musterlösung

iManager

Stand: Jan. 2004


Musterlösung

iManager

Ein-/Ausgangsfilter (Routing Filter

Services (Protokoll, Ports)

Paketweiterleitungsfilter(Filter, FilterExceptions)

Stand: Jan. 2004


Musterlösung

iManager

Filter: keine Weiterleitung

Ausnahmefilter: Weiterleitung(FilterExceptions)

Stand: Jan. 2004


Musterlösung

iManager: Services

Stand: Jan. 2004


Musterlösung

iManager: Services

Bezeichnung: beliebig, eindeutig

Port; Bereich mit Bindestrich

Automatisches Portverwaltung für die Antwort

Stand: Jan. 2004


Musterlösung

iManager: Ausnahmefilter (FilterExceptions)

Stand: Jan. 2004


Musterlösung


Out => PRIVATE

In => PUBLIC

Out => PUBLIC

In => PRIVATE

Stand: Jan. 2004


Musterlösung


Musterlösung

IT-Struktur an Schulen

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg

Übungen

Stand: Jan. 2004


Musterlösung

Übungen

• Firewall (BorderManager, iManager)– Übung 1: Chatten über das Firewall-Tool

freischalten

– Übung 2: Neue Services und Filterausnahmen (FilterException) integrieren

– Übung 3: Fehler von IP-ChangeNeue Services und Filterausnahmen (FilterException) integrieren

– Übung 4: E-Stat Erweiterung

– Übung 5: Fragen zum RemoteManagement

– Übung 6: Newsgroups mit GroupWise

Stand: Jan. 2004


Musterlösung

• Beispiele: http://www.bravo.de http://www.chat.de

Geht Chatten ?

JA NEIN

Fertig !Filter an der Konsole deaktivierten:

=> unload ipflt

Chatten geht => FilterException anpassen

Chatten geht nicht! ???

Übung 1: Chatten über das Firewall-Tool freischalten

Stand: Jan. 2004


Musterlösung


• Kopieren Sie ins Verzeichnis pgm\firewall die aktuelle Version des

Tools

• Firewall Tools (data:pgm\firewall) starten

• ggf vorhandenen CHAT Filter und Service löschen

• CHAT Service und Filter per Firewalltool integrieren

– Service hinzufügen: Chat_Services_Add.ldif

– FilterException hinzufügen:

Chat_FilterExceptions_Add.LDIF

– FilterException aktivieren: Chat_FilterException_Aktiv.ldif

• Kontrolle per

– Firewall-Tool

– iManager

– Browser (Chatraum aufsuchen)

Stand: Jan. 2004


Musterlösung


Stand: Jan. 2004


Musterlösung

Admin-Passwort eingeben


Stand: Jan. 2004


Musterlösung


Stand: Jan. 2004


Musterlösung

IP-Adressen kontrollieren / anpassen…..[Settings]EditTree=SCHULBAUM02EditContext=NBMRuleContainer.Server.DIENSTEIP_old=63.63.63.63REM IP_new=191.168.1.2IP_new=129.143.2.153

Hinweis:• Beim Einlesen neuer FilterExceptions wird

den Filtern die IP-Adresse 63.63.63.63zugewiesen.

• Damit die Filter wirksam werden, müssen diese Einträge angepasst werden.

• Passen Sie deshalb die INI-Datei vor demAufruf von CHANGEIP entsprechend an.

• REM dient dabei als Kennzeichen für einen Kommentar.


Stand: Jan. 2004


Musterlösung


• Über die Schaltfläche müssen ggf. die IP-Adressen noch angepasst werden

Stand: Jan. 2004


Musterlösung

Fragen für den Problemfall:1. Welches Protokoll und welche Ports müssen

freigeschaltet werden?– Protokoll: TCP/IP– Ports: 6660-6670, ggf. auch 7000

2. iManager – Service vorhanden oder muss er neu angelegt

werden?– Ausnahmeregel (FilterException) prüfen/definieren

3. Filter an der Konsole aktivieren– Filter an der Konsole deaktivierten: => load ipflt

4. Test5. Sind die Ports aktiv ?

- An der Konsole: tcpconProtocol-Information | TCP | TCP Connections


Stand: Jan. 2004


Musterlösung

Übung 2: Fehler von Change-IP

• Nach der Installation der Musterlösung werden die öffentlichen IP-Adressen in den FilterException über die im Firewall-Tool angepasst.

• A1: Informieren Sie sich über das Internet über aktuelle Änderungen.

• A2: Kontrollieren Sie über den iManager die IP-Adressen bei den FilterException (insbesondere bei NTP-Time und SMTP-IN).

.

FilterException(Empfehlung in Fettdruck)

Name Bemerkung Dienste Ursprung Service-Typ Ziel

aktiviert deaktiviert NTP-Time Erlaubt es dem Server die Zeit von einem Zeitserver (hier BelWü) zu holen. Da eDirectory mit Zeitstempeln arbeitet, sollte dieser Ausnahmefilter immer gesetzt sein.

NTP PUBLIC 192.168.2

NTP-Time PUBLIC129.69.1.153

aktiviert deaktiviert SMTP-In Erlaubt eingehenden SMTP Verkehr auf dem Server (Ursprungsadresse ist für BelWü vorkonfiguriert)

SMTP PUBLIC 129.143.2.0255.255.255.128

smtp-st PUBLIC 192.168.1.2

Stand: Jan. 2004


Musterlösung

Übung 3: E-Stat

1. Konfigurieren Sie den Zugang zu E-Stat mit Hilfe– des Firewall-Tools

und vordefinierten LDIF-Dateienoder über– das Programm iManager

2. Beschreiben Sie stichwortartig Ihre Vorgehensweise.

3. Lassen Sie Ihre Beschreibung von einer anderen Arbeitsgruppe überprüfen.

Stand: Jan. 2004


Musterlösung

Übung 3: E-Stat

• NWAdmin – BorderManager Setup | HTTP Proxy | Details

• iManager – Service

• iManager - FilterException

Stand: Jan. 2004


Musterlösung

Übung 3: E-Stat

http://svnt2.kultus-bw.de:7779/estat/start.html

Stand: Jan. 2004


Musterlösung

• Firewall Tools (data:pgm\firewall) starten

– Update-Ldif Datei einlesen ML25_Firewall_Update01.ldif

– Neue FilterException aktivieren ML25_Firewall_Update01-Aktiv.ldif

– Über die Schaltfläche müssen ggf. die IP-Adressen noch angepasst werdenBitte beachten Sie die Einstellung in der Date changeip.ini.

• Kontrolle per

– iManager: Services, FilterException sowie IP-Adressen kontrollieren

– Neue FilterException testen (z.B. RealAudio)

• RealPlayer http://de.real.com/freeplayer_r1p.html

• BBC www.bbc.co.uk dann links z.B. auf News Audio

klicken

Übung 4: Neue Services und FilterException integrieren

Stand: Jan. 2004


Musterlösung

Übung 5: Portal-Management

• Im Auslieferungszustand der Musterlösung 2.x

kann per Portal-Management nur auf den

GServer02 nicht aber auf den KServer02

zugegriffen werden.

• A1: Welche Angaben / Daten werden

benötigt, um das Problem zu lösen?

• A2: Finden Sie mind. zwei Lösungen?

• A3: Wie sind die Lösungen bzgl. des

Sicherheits- aspekts zu bewerten?

Stand: Jan. 2004


Musterlösung

Übung 6: Newsgroups mit GroupWise

Übersicht• Firewall anpassen: Ausnahmefilter News-St-Out

• Groupwise Client anpassen– News-Server bei BelWue: news.belwue.de– Newsgroups:

Stand: Jan. 2004


Musterlösung


Stand: Jan. 2004


Musterlösung


news.belwue.de

Stand: Jan. 2004


Musterlösung


Stand: Jan. 2004


Musterlösung


• Ist der News-Ausnahmefilter aktiv?

• Firewall deaktivieren über „unload ipflt“ an der Serverkonsole

Stand: Jan. 2004


Musterlösung


Stand: Jan. 2004


Musterlösung

NCF Datei for tuning BorderManager

######################################################## ## NCF Datei for tuning BorderManager ## Watch BorderManager performance and customize ## the parameters! ## ## Novell Consulting FAu 06.Feb.2002 ## ################################################################## Communications Parameter #################################################################SET Maximum Physical Receive Packet Size = 4224SET Maximum Packet Receive Buffers = 10000SET Minimum Packet Receive Buffers = 5000SET New Packet Receive Buffer Wait Time = 0.1 secSET Maximum Interrupt Events = 50

################################################################# Memory Parameter #################################################################SET Garbage Collection Interval = 5

################################################################# File Caching Parameter #################################################################SET Read Ahead Enabled = onSET Maximum Concurrent Disk Cache Writes = 750SET Dirty Disk Cache Delay Time = 0.1 sec

Stand: Jan. 2004


Musterlösung


#######################################################

########## Directory Caching Parameter ###############################################################

##SET Dirty Directory Cache Delay Time = 0.1 secSET Maximum Concurrent Directory Cache Writes = 125SET Directory Cache Allocation Wait Time = 0.1 secSET Directory Cache Buffer NonReferenced delay = 30 minSET Minimum Directory Cache Buffers = 1000SET Maximum Directory Cache Buffers = 4000SET Maximum Number of Internal Directory Handles = 500

#######################################################

########## File System Parameter ###############################################################

##SET Immediate Purge of Deleted Files = onSET Enable File Compression = off

#######################################################

########## Locks Parameter ###############################################################

##SET Maximum File Locks = 100000

Stand: Jan. 2004


Musterlösung


#######################################################

########## Disk Parameter ###############################################################

##SET Enable Hardware Write Back = onSET Enable Disk Read After Write Verify = off

#######################################################

########## Miscellaneous Parameter ###############################################################

##SET Worker Thread Execute In A Row Count = 15SET Pseudo Preemption Count = 200SET Minimum Service Processes = 500SET Maximum Service Processes = 1000SET New Service Process Wait Time = 0.3 sec

Musterlösung IT-Struktur an Schulen © Zentrale Planungsgruppe Netze am Kultusministerium...

Documents

Transcript of Musterlösung IT-Struktur an Schulen © Zentrale Planungsgruppe Netze am Kultusministerium...