Musterlösung
Regionale Fortbildung
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
Die Firewall in der Musterlösung
Teil 3:Die Filterregeln beim Bordermanager
Das Tool zur Firewall
Autoren:H.Bechtold, E.Dietrich, G.Ehmann, K.Gutjahr,
R.Stegmaier
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 2H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
Überblick
• Teil 1:– Grundbegriffe zum Datentransport im Internet– Bordermanager für den Zugang zum Internet
• Teil 2:– Bordermanager für den Zugang aus dem
Internet– Bereitstellung spezieller zusätzlicher Dienste
• Teil 3:– Die Filterregeln beim Bordermanager– Das Tool zur Firewall
• Teil 4:– Experimente zur Firewall
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 3H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
Lernziele
• Die Betreuung der Firewall geschieht mit dem Firewall-Tool:– Wir lernen IManager zur Filterverwaltung kennen.– Wir passen die zahlreich vordefinierten
Filterregeln an die öffentliche IP-Adresse der PUBLIC Netzwerkkarte an.
– Wir kontrollieren die aktiven Filterregeln.– Wir aktivieren oder deaktivieren einzelne
Filterausnahmen.
• Im Teil 4 geht es dann um Grundverständnis und Grunderfahrung durch eigene Experimente:– Wir sperren auf Filterebene jeden Datenverkehr.– Wir erzeugen selbst exemplarisch die notwendigen
Filterausnahmen um im Internet browsen zu können.
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 4H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
Gliederung
3.1 IP-Adresse bei den Filtern anpassen.
Danach funktioniert die Firewall. Die weiteren Teile dienen der Vertiefung:
3.2 Ausnahmefilter deaktivieren und aktivieren.
3.3 Ausnahmefilter und zugehörige Services löschen.
3.4 Service und Ausnahmefilter bereitstellen.
3.5 Disaster - Recovery: Die Firewall neu aufbauen.
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 5H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
FIREWALL
N
A
T
Proxy
CACHE
Internet
LAN
Novell Server
Erhöhen der Sicherheit durch eine Firewall
Prinzip:• Jeder Verkehr nach draußen wird unterbunden.• Jeder Verkehr von außen wird unterbunden.• Nur definierte Ausnahmen dürfen passieren.
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 6H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
Wo finde ich die Filter? (1)
Den IManger starten:– Über den bereitgestellten Link im NAL
(2 Server: IManager KServer02).– Über den Web Manager (Port 2200).
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 7H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
Wo finde ich die Filter? (2)
Den Server auswählen (2 Server: KServer02!).
Auswahl
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 8H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
Wo finde ich die Filter? (3)
„Paketweiterleitungsfilter konfigurieren“ wählen.
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 9H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
Wo finde ich die Filter? (4)
Liste zu konfigurierender Filter erscheint.
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 10H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
Grundeinstellung der Filterkonfiguration
Erklärung zur vorhergehenden Folie• Status:
Wenn beim Server grundsätzlich die TCP/IP-Filterunterstützung aktiviert und IPFLT geladen ist, können hier die Filter ein- und ausgeschaltet werden:– Aktiviert.– Deaktiviert.
• Aktion:Es gibt zwei Grundeinstellungen:– Pakete in Filterliste ablehnen.– Pakete in Filterliste zulassen.
• Liste zu konfigurierender Filter:– Filterliste: Konfiguration der Grundeinstellung.– Ausnahmeliste: Konfiguration der Ausnahmen.
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 11H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
Filterliste zum Blockieren von Paketen
• Filter bekommen einen erklärenden Namen:– BlockIPIO=Block IP In Out = Raus– BlockIPOI=Block IP Out In = Rein
• Filter wirken zwischen einem Ursprung und einem Ziel (Interface=Netzwerkkarte):– Raus: Ursprung=All Interfaces, Ziel=Public– Rein: Ursprung=Public, Ziel=All Interfaces
• Filter beziehen sich auf einen Service-Typ:– Hier: Any=Alle
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 12H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
Ausnahmeliste zum Zulassen von Paketen
• In der Musterlösung sind zahlreiche Ausnahmen für die Paketweiterleitungsfilter vordefiniert.
• Neben Ursprung und Ziel ist manchmal auch eine bestimmte IP-Adresse angegeben.
• Die voreingestellte Adresse (hier 63.63.63.63) muss durch die öffentliche IP vor Ort ersetzt werden.
• Dazu dient u.a. das Firewall-Tool.
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 13H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
Vorbereitungen
Für das Folgende sind einige Voraussetzungen zu erfüllen:
– Beim Server sind öffentliche IP-Adresse und die default Route eingetragen (INETCFG). (vgl. Teil 1)
– Der Bordermanager ist gestartet (STARTBRD) und konfiguriert (NWADMIN). (vgl. Teil 2)
• Öffentliche IP-Adresse ist eingetragen.• Der HTTP-Accelerator ist richtig aktiviert.• Der Remote Manager ist von außen zugänglich.
– Der Filtersupport beim Server ist aktiviert:• Beim TCP/IP Protokoll ist der „Filter Support“enabled
(inetcfg).• „NAT Implicit Filtering“ sollte disabled sein. • Das NLM ipflt ist gestartet.
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 14H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
Aktivierung der Filter beim Server
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 15H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
Das Firewall-Tool (1)
Das Firewall-Tool bietet folgende Features:
– Bequemes ändern der IP-Adressen bei den Filterausnahmen
– Filterausnahmen deaktivieren– Filterausnahmen aktivieren– Neue Filterausnahmen importieren– Filterausnahmen löschen– Service Typen löschen– Service Typen hinzufügen
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 16H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
Das Firewall-Tool (2)
• Die Firewall ist einfach betrachtet ein Regelwerk – aus Filtern (1), die den Datenverkehr blocken. – aus Filterausnahmen (2), die aus dem geblockten
Datenverkehr Ausnahmen zulassen– aus den Services (3), die bei den Filtern und
Filterausnahmen u.a. die Protokolle und die Ports festlegen.
• Mit dem Firewall-Tool können alle drei Komponenten angezeigt, aktiviert, deaktiviert, erzeugt oder gelöscht werden.
1
2
3
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 17H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
Filterausnahmen im IManager
Die Filterausnahmen bei der Musterlösung werden mit der nichtöffentlichen Class-C IP-Adresse 192.168.1.2 ausgeliefert. Deshalb müssen die Filterausnahmen auf die eigene öffentliche Adresse der Public-Netzwerkkarte angepasst werden.
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 18H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
IP-Adresse beim Firewall-Tool anpassen
Zunächst müssen zwei INI Dateien angepasst werden.
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 19H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
ChangeIp INI-Datei anpassen (1)
Hier wird die öffentliche IP Adresse eintragen
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 20H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
ChangeIp INI-Datei anpassen (2)
Adresse ist geändert, nun muss die Änderung nur noch gespeichert werden.
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 21H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
Firewall INI-Datei anpassen
und speichern
Öffentliche Adresseeintragen
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 22H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
IP-Adressen bei den Filterausnahmen ändern (1)
Adresse ist übernommen
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 23H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
IP Adressen bei den Filterausnahmen ändern (2)
IP Adressen ändern
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 24H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
IP Adressen bei den Filterausnahmen ändern (3)
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 25H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
Kontrolle der IP-Adressänderung im IManager
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 26H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
Nacharbeiten nach der Adressänderung
2. Mailserver BELWÜ, hier mit Adresse 129.143.2.0/255.255.255.128
Zwei Adressen müssen noch geändert werden:
1. Zeitserver, hier wird die Adresse 129.69.1.153 verwendet.
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 27H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
Übung zum Teil 3.1
• Überprüfen Sie, dass Sie mit geladenen Filtern nicht mehr ins Internet kommen.
• Stellen Sie die Firewall auf die im Fortbildungsraum gültigen Adressen um.
• Führen Sie die Nacharbeiten aus.• Stellen Sie mit den geladenen Filtern eine
Browserverbindung in das Internet her.• Kontrollieren Sie, ob der Zeitserver arbeitet:
– Debuggen einschalten am Monitor oder über den Remote-Manager (vgl. nächste Folie) mit dem Set-Parameter TIMESYNC DEBUG = 7.
– Zeitdienst neu starten TIMESYNC Restart Flag = ON.– Im Timesync Debug Screen ist der Verbindungsaufbau
zum Zeitserver zu beobachten.
• Damit ist die Firewall fertig.
30.06.2005
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 28H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 3.1)
Musterlösung
Die Parameter für den Zeitdienst