Musterlösung

Regionale Fortbildung

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)

Die Firewall in der Musterlösung

Teil 3:Die Filterregeln beim Bordermanager

Das Tool zur Firewall

Autoren:H.Bechtold, E.Dietrich, G.Ehmann, K.Gutjahr,

R.Stegmaier

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 2H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

Überblick

• Teil 1:– Grundbegriffe zum Datentransport im Internet– Bordermanager für den Zugang zum Internet

• Teil 2:– Bordermanager für den Zugang aus dem

Internet– Bereitstellung spezieller zusätzlicher Dienste

• Teil 3:– Die Filterregeln beim Bordermanager– Das Tool zur Firewall

• Teil 4:– Experimente zur Firewall

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 3H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

Lernziele

• Die Betreuung der Firewall geschieht mit dem Firewall-Tool:– Wir lernen IManager zur Filterverwaltung kennen.– Wir passen die zahlreich vordefinierten

Filterregeln an die öffentliche IP-Adresse der PUBLIC Netzwerkkarte an.

– Wir kontrollieren die aktiven Filterregeln.– Wir aktivieren oder deaktivieren einzelne

Filterausnahmen.

• Im Teil 4 geht es dann um Grundverständnis und Grunderfahrung durch eigene Experimente:– Wir sperren auf Filterebene jeden Datenverkehr.– Wir erzeugen selbst exemplarisch die notwendigen

Filterausnahmen um im Internet browsen zu können.

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 4H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

Gliederung

3.1 IP-Adresse bei den Filtern anpassen.

Danach funktioniert die Firewall. Die weiteren Teile dienen der Vertiefung:

3.2 Ausnahmefilter deaktivieren und aktivieren.

3.3 Ausnahmefilter und zugehörige Services löschen.

3.4 Service und Ausnahmefilter bereitstellen.

3.5 Disaster - Recovery: Die Firewall neu aufbauen.

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 5H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

FIREWALL

N

A

T

Proxy

CACHE

Internet

LAN

Novell Server

Erhöhen der Sicherheit durch eine Firewall

Prinzip:• Jeder Verkehr nach draußen wird unterbunden.• Jeder Verkehr von außen wird unterbunden.• Nur definierte Ausnahmen dürfen passieren.

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 6H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

Wo finde ich die Filter? (1)

Den IManger starten:– Über den bereitgestellten Link im NAL

(2 Server: IManager KServer02).– Über den Web Manager (Port 2200).

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 7H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

Wo finde ich die Filter? (2)

Den Server auswählen (2 Server: KServer02!).

Auswahl

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 8H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

Wo finde ich die Filter? (3)

„Paketweiterleitungsfilter konfigurieren“ wählen.

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 9H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

Wo finde ich die Filter? (4)

Liste zu konfigurierender Filter erscheint.

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 10H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

Grundeinstellung der Filterkonfiguration

Erklärung zur vorhergehenden Folie• Status:

Wenn beim Server grundsätzlich die TCP/IP-Filterunterstützung aktiviert und IPFLT geladen ist, können hier die Filter ein- und ausgeschaltet werden:– Aktiviert.– Deaktiviert.

• Aktion:Es gibt zwei Grundeinstellungen:– Pakete in Filterliste ablehnen.– Pakete in Filterliste zulassen.

• Liste zu konfigurierender Filter:– Filterliste: Konfiguration der Grundeinstellung.– Ausnahmeliste: Konfiguration der Ausnahmen.

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 11H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

Filterliste zum Blockieren von Paketen

• Filter bekommen einen erklärenden Namen:– BlockIPIO=Block IP In Out = Raus– BlockIPOI=Block IP Out In = Rein

• Filter wirken zwischen einem Ursprung und einem Ziel (Interface=Netzwerkkarte):– Raus: Ursprung=All Interfaces, Ziel=Public– Rein: Ursprung=Public, Ziel=All Interfaces

• Filter beziehen sich auf einen Service-Typ:– Hier: Any=Alle

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 12H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

Ausnahmeliste zum Zulassen von Paketen

• In der Musterlösung sind zahlreiche Ausnahmen für die Paketweiterleitungsfilter vordefiniert.

• Neben Ursprung und Ziel ist manchmal auch eine bestimmte IP-Adresse angegeben.

• Die voreingestellte Adresse (hier 63.63.63.63) muss durch die öffentliche IP vor Ort ersetzt werden.

• Dazu dient u.a. das Firewall-Tool.

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 13H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

Vorbereitungen

Für das Folgende sind einige Voraussetzungen zu erfüllen:

– Beim Server sind öffentliche IP-Adresse und die default Route eingetragen (INETCFG). (vgl. Teil 1)

– Der Bordermanager ist gestartet (STARTBRD) und konfiguriert (NWADMIN). (vgl. Teil 2)

• Öffentliche IP-Adresse ist eingetragen.• Der HTTP-Accelerator ist richtig aktiviert.• Der Remote Manager ist von außen zugänglich.

– Der Filtersupport beim Server ist aktiviert:• Beim TCP/IP Protokoll ist der „Filter Support“enabled

(inetcfg).• „NAT Implicit Filtering“ sollte disabled sein. • Das NLM ipflt ist gestartet.

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 14H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

Aktivierung der Filter beim Server

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 15H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

Das Firewall-Tool (1)

Das Firewall-Tool bietet folgende Features:

– Bequemes ändern der IP-Adressen bei den Filterausnahmen

– Filterausnahmen deaktivieren– Filterausnahmen aktivieren– Neue Filterausnahmen importieren– Filterausnahmen löschen– Service Typen löschen– Service Typen hinzufügen

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 16H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

Das Firewall-Tool (2)

• Die Firewall ist einfach betrachtet ein Regelwerk – aus Filtern (1), die den Datenverkehr blocken. – aus Filterausnahmen (2), die aus dem geblockten

Datenverkehr Ausnahmen zulassen– aus den Services (3), die bei den Filtern und

Filterausnahmen u.a. die Protokolle und die Ports festlegen.

• Mit dem Firewall-Tool können alle drei Komponenten angezeigt, aktiviert, deaktiviert, erzeugt oder gelöscht werden.

1

2

3

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 17H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

Filterausnahmen im IManager

Die Filterausnahmen bei der Musterlösung werden mit der nichtöffentlichen Class-C IP-Adresse 192.168.1.2 ausgeliefert. Deshalb müssen die Filterausnahmen auf die eigene öffentliche Adresse der Public-Netzwerkkarte angepasst werden.

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 18H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

IP-Adresse beim Firewall-Tool anpassen

Zunächst müssen zwei INI Dateien angepasst werden.

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 19H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

ChangeIp INI-Datei anpassen (1)

Hier wird die öffentliche IP Adresse eintragen

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 20H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

ChangeIp INI-Datei anpassen (2)

Adresse ist geändert, nun muss die Änderung nur noch gespeichert werden.

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 21H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

Firewall INI-Datei anpassen

und speichern

Öffentliche Adresseeintragen

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 22H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

IP-Adressen bei den Filterausnahmen ändern (1)

Adresse ist übernommen

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 23H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

IP Adressen bei den Filterausnahmen ändern (2)

IP Adressen ändern

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 24H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

IP Adressen bei den Filterausnahmen ändern (3)

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 25H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

Kontrolle der IP-Adressänderung im IManager

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 26H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

Nacharbeiten nach der Adressänderung

2. Mailserver BELWÜ, hier mit Adresse 129.143.2.0/255.255.255.128

Zwei Adressen müssen noch geändert werden:

1. Zeitserver, hier wird die Adresse 129.69.1.153 verwendet.

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 27H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

Übung zum Teil 3.1

• Überprüfen Sie, dass Sie mit geladenen Filtern nicht mehr ins Internet kommen.

• Stellen Sie die Firewall auf die im Fortbildungsraum gültigen Adressen um.

• Führen Sie die Nacharbeiten aus.• Stellen Sie mit den geladenen Filtern eine

Browserverbindung in das Internet her.• Kontrollieren Sie, ob der Zeitserver arbeitet:

– Debuggen einschalten am Monitor oder über den Remote-Manager (vgl. nächste Folie) mit dem Set-Parameter TIMESYNC DEBUG = 7.

– Zeitdienst neu starten TIMESYNC Restart Flag = ON.– Im Timesync Debug Screen ist der Verbindungsaufbau

zum Zeitserver zu beobachten.

• Damit ist die Firewall fertig.

30.06.2005

© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 28H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)

Musterlösung

Die Parameter für den Zeitdienst