Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium...

Musterlösung

Regionale Fortbildung

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)

Die Firewall in der Musterlösung

Teil 2:Bordermanager für den Zugang aus dem Internet

Bereitstellung spezieller zusätzlicher Dienste

Autoren:H.Bechtold, E.Dietrich, G.Ehmann, K.Gutjahr,

R.Stegmaier

02.04.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 2H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 2)

Musterlösung

Überblick

• Teil 1:– Grundbegriffe zum Datentransport im Internet– Bordermanager für den Zugang zum Internet

• Teil 2:– Bordermanager für den Zugang aus dem

Internet– Bereitstellung spezieller zusätzlicher Dienste

• Teil 3:– Die Filterregeln beim Bordermanager– Das Tool zur Firewall

• Teil 4:– Experimente zur Firewall

02.04.2005


Musterlösung

Die Firewall

• In der ML 2 wird der Zugriff von innen auf das Internet und von außen auf das Schulnetz (Intranet) durch eine Firewall (eine Brandwand) kontrolliert.

• Die Firewall besteht aus zwei Teilen:– Bordermanager– Paketfilter

• Wenn ein Dienst nicht erreichbar ist, gilt folgende Regel:– Paketfilter entladen und den Dienst verfügbar machen.– Paketfilter so anpassen, dass der Dienst verfügbar bleibt.

• Da wir uns in diesem Teil der Fortbildung auf den Bordermanager konzentrieren wollen, schalten wir die Paketfilter ab. Dazu an der Serverkonsole eingeben:– Startbrd (NCF Datei zum Starten der

Bordermanagerdienste).– M ipflt (Nachschauen ob die Filter aktiv sind).– Unload ipflt (Paketfilter entladen).

02.04.2005


Musterlösung

Der Bordermanager

• Ohne Bordermanager geht nichts nach außen:– Wir benutzen ja in unseren Schulnetzen private IP-Adressen. – Also muss jemand stellvertretend mit seiner öffentlichen IP-

Adresse für uns ins Internet gehen. Dies macht der Bordermanager-Proxydienst oder ein NAT-Dienst, wie wir in Teil 1 erfahren haben.

• Ohne Bordermanager geht nichts von außen:– Alle Dienste laufen auf der privaten IP-Adresse des GServer02.

Von außen ist aber nur die öffentliche IP-Adresse des GServer02 bzw. KServer02 erreichbar.

– Also muss jemand die Dienste nach außen weitervermitteln.

• Fortbildungsinhalt: 1. Wiederholung: die Application-Proxy-Dienste – HTTP nach

außen.2. Erweiterung: die Accelerator-Dienste – HTTP(S) von außen.3. Zugabe: die Generic-Proxy-Dienste – Portweiterleitung für

zusätzliche Dienste.– Der Bordermanager kontrolliert darüber hinaus u.a.

personenbezogen den Internetzugang. Diese Access-Rules sind nicht Gegenstand dieser Fortbildung.

02.04.2005


Musterlösung

1.1 Die Anbindung ans Internet

FIREWALL

N

A

T

Proxy

CACHE

Internet

LAN

10.1.10.200 10.1.1.22 | 141.69.160.67 198.65.12.23

Novell Server

Private Public

02.04.2005


Musterlösung

1.2 Standartdienste beim Bordermanager

• Public IP ist eingetragen (inetcfg) und Bordermanager gestartet (StartBrd) – vgl. Teil 1:– Die nicht öffentlichen Adressen werden vom BM auf die

öffentliche Adresse umgesetzt. – Die Standarddienste wie HTTP, FTP usw. sind möglich.

02.04.2005


Musterlösung

1.3 Aktivierte Application Proxys

Ansicht mit NWAdmin

02.04.2005


Musterlösung

1.4 Webzugriff nach außen

Zugriff auf Webseiten (intern und extern) ist möglich.

02.04.2005


Musterlösung

1.5 Notwendige Browser Einstellung (1)

• Bei den Internetoptionen des Internet Explorers ist festgelegt, dass die Internetverbindung über den Proxydienst des Bordermanagers (Port 8080) hergestellt werden soll.

02.04.2005


Musterlösung

1.5 Notwendige Browser Einstellung (2)

• Diese Einstellungen für den Proxyserver werden über eine Benutzerrichtlinie erzwungen.

• Näheres dazu in der Fortbildung „Richtlinien in der ML“.

02.04.2005


Musterlösung

2.1 Zugriff von innen

• Öffnen des Internet Explorers• Eingabe der Adresse: https://10.1.1.22/schulweb

intern: Zugriff auf Webseiten ist möglich.

02.04.2005


Musterlösung

2.2 Zugriff von außen

• Wir probieren den Zugriff auf unseren Webserver über die öffentliche IP-Adresse.

Von außen: Zugriff auf Webserver ist nicht möglich.

/schulweb/

02.04.2005


Musterlösung

2.3 Öffentliche IP beim Bordermanager (1)

• Die Konfiguration des Bordermanagers erfolgt mit NWAdmin.

• Die öffentliche IP Adresse der Public Netzwerkkarte wird für die Applicationproxys automatisch berücksichtigt, für weitere Dienste aber muss der Bordermanager konfiguriert werden.

• 1. Schritt: Öffentliche IP Adresse auch beim Bordermanager eintragen.– NWAdmin starten.– Dienste Server GSERVER02 Eigenschaften

BM Setup.– Bei der „Zwei Server“ Lösung läuft der

Bordermanager auf dem Kserver:Dienste Server KSERVER02 Eigenschaften BM Setup.

02.04.2005


Musterlösung


12

3

4

02.04.2005


Musterlösung


• Keinesfalls darf der ausgelieferte Eintrag der Adresse 192.168.1.2 gelöscht werden, da sonst viele Voreinstellungen verloren gehen.

• Die neue Einstellung wird übernommen, wenn das Eigenschaftsfenster geschlossen wird.

• Die Übernahme quittiert der Server mit zwei Piepstönen.

02.04.2005


Musterlösung

2.4 Öffentliche IP beim HTTP Accelerator (1)

• Der Webserver-Dienst muss zwischen Private und Public weitergeleitet werden.

• Dies geschieht beim Bordermanager über den HTTP Accelerator.

• Im Auslieferungszustand sind ein Accelerator für den Port 80 (HTTP) und einer für den Port 443 (HTTPS) vordefiniert.

• Beide sind aber der Adresse 192.168.1.2 zugewiesen und disabled.

• 2. Schritt:Soll der Webserver von außen verfügbar sein, muss die Public IP Adresse eingetragen und der jeweilige Accelerator enabled werden.

02.04.2005


Musterlösung


• BorderManager Setup HTTP Acceleration Detail

02.04.2005


Musterlösung


Mit einem Doppelklick auf einen Accelerator öffnet sich das Konfigurationsfenster.

Mit Doppelklick auf diesen

Eintrag wird die IP Adresse

angepasst.

02.04.2005


Musterlösung


Die IP Adresse ist angepasst.

02.04.2005


Musterlösung


• Das Setup Programm des Bordermanagers beenden. • Warten bis zwei Piepstöne vom Server gekommen sind. • Danach kann man den Test beginnen.

Von außen: Zugriff auf Webserver ist jetzt möglich.

02.04.2005


Musterlösung

3.1 Remote Management über Port 8009 (1)

Über den Port 8009 kann man den Server verwalten.

02.04.2005


Musterlösung

3.1 Remote Management über Port 8009 (2)

Der Port 8009 ist aber von außen nicht verfügbar.

02.04.2005


Musterlösung

3.2 Weitere Dienste nutzbar machen

• Konfiguration des Bordermanagers für Dienste deren Ports über 1024 liegen.

• Dies geschieht über den „Generic TCP Proxy“.

02.04.2005


Musterlösung

3.3 Generic TCP Proxy konfigurieren (1)

• Beim Generic Proxy muss noch die richtige IP Adresse den freizugebenden Diensten zugeordnet werden.

• Doppelklick auf den entsprechenden Dienst Adresse ändern und Dienst freigeben (enable).

02.04.2005


Musterlösung


• Der Port 8009 ist freigegeben.• Das Setup Programm des Bordermanagers

beenden. • Warten bis zwei Piepstöne vom Server

gekommen sind. • Danach kann man den Test beginnen.

02.04.2005


Musterlösung


Der Port 8009 ist nun von außen verfügbar.

02.04.2005


Musterlösung

3.4 Zuordnung der Ports beim Generic Proxy

DienstPort

http https

Remote Manager

(8008) 8009

Webmanager 2200

NetStorage 51080 51443

IFolder 52080 52443

NAMP 53080 53443

Groupwise Client

1677 (POL)1678 (POS)

02.04.2005


Musterlösung

Übung: Den Bordermanager konfigurieren

• Kontrollieren Sie, ob die öffentliche Adresse und die default Route bei Ihrem Server richtig eingestellt sind (vergleiche Teil 1).

• Starten Sie den Bordermanager (startbrd) und entladen sie die Paketfilter (unload ipflt).

• Konfigurieren Sie den Bordermanager mit der richtigen Adresse.

• Konfigurieren Sie den Bordermanager so, dass von außen auf den Webserver zugegriffen werden kann. (Acceleration).

• Konfigurieren Sie Bordermanager so, dass ein Zugriff von außen auf den „Remote Manager“ und den „Webmanager“ möglich ist (Generic Proxy).

02.04.2005


Musterlösung

Nachschlag: Zusätzliche Internetdienste

• Im IT Unterricht ist es eventuell wünschenswert, mit den Schülerinnen und Schülern zusätzliche Internetdienste einzusetzen:– Ping zum Testen der Erreichbarkeit eines Rechners.– TraceRt zum Ermitteln der Route eines Datenpaketes.

• Diese Dienste kann man im LAN kennen lernen. Nach außen sind sie meist nicht verfügbar.

• Für diese Dienste gibt es einen Service von Belwü, der sie zum Schulnetz und im Internet zur Verfügung stellt:http://www.belwue.de/netz/lg.html

• Will man sie vom Schulnetz ins Internet hinein nutzen, so geht dies nicht über den Bordermanager.

• In diesem Fall muss man direkt an der Public Karte NAT aktivieren.

• Die nächsten Folien zeigen, wie das geht.

02.04.2005


Musterlösung

NAT an der PUBLIC Netzwerkkarte aktivieren (1)

Bei INetCfg den Menüpunkt „Bindings“ und danach das PUBLIC Interface auswählen:

02.04.2005


Musterlösung


02.04.2005


Musterlösung


• Status auf „Dynamic Only“ setzten.• Mit ESC jeweils ein Fenster zurück.• Übernahme der Konfigurationsänderung

bestätigen.• Das System reinitialisieren.

02.04.2005


Musterlösung


Jetzt gehen ping und tracert von LAN ins WAN. Voraussetzung aber ist, dass Ihr Router dies auch zulässt.Damit sind aber auch andere Verbindungenam Bordermanager vorbei möglich. Deshalb sollte genau überlegt werden, ob nicht der erwähnte von Belwü angebotene Service zu diesen Diensten ausreicht. (http://www.belwue.de/netz/lg.html)

02.04.2005


Musterlösung

Thema „Sicherheit“

• Wie sicher ist mein Server gegen Angriffe von außen?

• Im Moment ist er offen wie ein Scheunentor, da wir die Filter entladen haben.

• Wir können die Sicherheit erhöhen, indem wir die Filterregeln für die Firewall konfigurieren und aktivieren.

• Dies ist Thema des nächsten Moduls zur Firewall in der ML2.

Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium...

Documents

Transcript of Musterlösung Regionale Fortbildung © Zentrale Planungsgruppe Netze am Kultusministerium...