ppt

Regionale Fortbildung
Musterlösung
Die Firewall in der Musterlösung
Teil 1:
Grundbegriffe zum Datentransport im Internet
Bordermanager für den Internetzugang
Autoren:
H.Bechtold, E.Dietrich, G.Ehmann, K.Gutjahr, R.Stegmaier
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
Überblick
Musterlösung
• Teil 1:
– Grundbegriffe zum Datentransport im Internet
– Bordermanager für den Zugang zum Internet
• Teil 2:
– Bordermanager für den Zugang aus dem Internet
– Bereitstellung spezieller zusätzlicher Dienste
• Teil 3:
– Die Filterregeln beim Bordermanager
– Das Tool zur Firewall
• Teil 4:
– Experimente zur Firewall
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
2
Die Infrastruktur unserer Schulnetze
Musterlösung
Öffentliche IP der Schule
Server
Hub
Router
GServer02
10.1.1.22
KServer02
10.1.1.21
Backbone
Anbindung an
das Internet
über „Belwü“
Switch
10.1.3.x
EDV1
DHCP: 10.1.10.x
Client
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
Ein-Server-Lösung
Gserver02
ins Internet
02.04.2005
3
Grundbegriffe
Musterlösung
• Jede Netzwerkkarte hat eine eindeutige, vom Hersteller
vergebene Adresse, die MAC Adresse.
• Beim TCP/IP Protokoll erhält jeder Computer in einem
Netz zusätzlich eine eindeutige Nummer, die IP Adresse.
– Man unterscheidet zwischen öffentlichen IP Adressen und
nicht öffentlichen IP Adressen.
– Nicht öffentliche IP Adressbereiche sind:
10.x.x.x; 172.16.x.x – 172.31.x.x; 192.168.x.x
– Z.B.: 10.1.1.22 (Private) und 141.69.160.67 (Public).
• Zu den IP Adressen gibt es zugeordnete Namen wie z.B.
„www.belwue.de“ für 129.143.2.9 als IP Adresse.
– Diese Zuordnung erfolgt durch das DNS (Domain Name
System).
• Die Kontrolle der IP Daten eines Windows-Rechners
erfolgt über Ipconfig /all an der Eingabeaufforderung oder
über die Statusanzeige der Netzwerkverbindung.
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
4
Kontrolle der IP Konfiguration eines Rechners (1)
Musterlösung
1. Über Start/Ausführen mit dem Befehl cmd die
Eingabeaufforderung starten.
2. Ipconfig /all eingeben.
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
5
Kontrolle der IP Konfiguration eines Rechners (2)
Musterlösung
Mit Klick auf die LAN-Verbindung
die Statusanzeigeanzeige öffnen.
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
6
Internetdienste
Musterlösung
• Auf einem Server laufen viele Dienste zum Beispiel:
– Mail
– Web
– ...
• Diese Dienste sind unter der gleichen IP Adresse
(Serveradresse zum Beispiel: 10.1.1.22 ) erreichbar
und werden durch Portnummern unterschieden.
–
–
–
–
Mail: Port 25 (SMTP Protokoll)
Web: Port 80 (HTTP Protokoll)
Web: Port 443 (HTTPS Protokoll)
...
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
7
Aufgabe der Ports
Musterlösung
• Vergleich:
Der Briefträger stellt die „Post“ (Daten) an die
Hausadresse (IP Adresse) zu und verteilt sie in die
entsprechenden Briefkästen (Port).
• TCP/IP Kommunikation:
– Der Datenaustausch zwischen zwei Rechnern wird
über deren IP Adressen zugestellt.
– Innerhalb des Rechners erfolgt die Weiterleitung der
Daten über die Ports an die Dienste (beim Server)
bzw. die Anwendungen (beim Client).
• Beispiel von Diensten beim GSERVER02:
– Remote Manager: https://10.1.1.22:8009 (Port 8009)
– Web Manager: https://10.1.1.22:2200 (Port 2200)
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
8
Port 8009: Der Remote Manager
Musterlösung
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
9
Port 2200: Der Web Manager
Musterlösung
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
10
Standard-Gateway: die Paketsortieranlage
Musterlösung
•
•
•
Ein Paket bleibt in einer Stadt, wenn sich die Zustelladresse
innerhalb des Ortes befindet, sonst wird er weitergeleitet.
Kennzeichen hierfür ist die PLZ.
Datenpakete bleiben in einem lokalen Netz (LAN), wenn ihre
Zieladresse in dem lokalen Bereich liegt. Sonst kommen sie an das
Gateway, das sie weiterleitet.
Kennzeichen für den LAN Bereich ist Netz-ID und Subnetzmaske.
Der LAN Bereich der Musterlösung ist 10.1.x.y , denn 255.255.0.0
ist die Subnetmask.
10
1
1
22
GSERVER02
10
1
10
78
Arbeitsstation
255 255
0
0
Subnetz-Maske
Netz-ID
Host-ID
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
11
Der Weg ins Internet
Musterlösung
Internet
Server
Router
Default
Route
Interner Bereich
Öffentlicher Bereich
LAN
Gleiche Netz-ID.
Unterschiedliche Host-ID.
Als Default Gateway ist
der Server eingetragen.
Datenpakete, die nicht ins LAN gehören (unterschiedliche
Netz-ID), werden zum Server geschickt (default Gateway).
Dieser adressiert sie um und schickt sie weiter zum Router
(default Route). Der Router kümmert sich dann um den
Weg durch das Internet zum Zielrechner.
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
12
Exkurs: Adressierung von Datenpaketen (1)
Musterlösung
Grundsätzliches:
• Jede IP Schnittstelle ( Workstation, Server, Router usw.) hat eine
weltweit eindeutige MAC Adresse bei der Herstellung erhalten.
• Jeder IP Schnittstelle muss eine IP Adresse zugeordnet werden.
• Datenpakete werden von Hop zu Hop (von Hand zu Hand) über
die MAC Adresse weitergeleitet.
• Jedes Datenpaket enthält die Absender-IP-Adresse und die
Empfänger-IP-Adresse. Diese Adresse ändert sich nicht.
• Ausnahme: Verwendet man in einem Intranet aus Sicherheitsund Kostengründen Nicht öffentliche IP Adressen, so braucht
man auf dem Server oder Router einen Dienst, der die
nichtöffentlichen IP-Adresse gegen seine öffentliche IP-Adresse
austauscht.
• Diesen Dienst kann „Network Address Translation (NAT)“ bereit
stellen oder ein Proxy-Dienst (Stellvertreter – Dienst).
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
13
Exkurs: Adressierung von Datenpaketen (2)
Musterlösung
• Prinzipieller Aufbau eines Datenpakets:
Empf.
Absend.
Mac-Ad. Mac-Ad.
Empf.
IP-Ad.
Absend.
IP-Ad.
Empf.
Port
Absend.
Port
Daten
Paket
Frame
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
14
Exkurs: Adressierung von Datenpaketen (3)
Musterlösung
•
•
•
Beispiel: Aufruf der Site von www.stern.de
MAC Adresse verkürzt dargestellt
Ports ausgeklammert
Host
MAC: F5.25
IP: 10.1.10.1
Server
Private:
MAC: 23.45
IP: 10.1.1.22
Public:
MAC: 45.E8
IP: 141.69.160.67
Router
Interface 1 intern
MAC: 54.32
Ip: 141.69.160.254
Interface 2 extern
MAC: 76.34
IP: 129.143.37.26
www.stern.de
MAC: 89.45
IP: 194.12.210.201
89.45|xx.xx|194.12.210.201|141.69.160.67
23.45|F5.25|194.12.210.201|10.1.10.1
NAT oder PROXY
45.E8|23.45|194.12.210.201|141.69.160.67
54.32|45.E8|194.12.210.201|141.69.160.67
Internet
76.34|54.32|194.12.210.201|141.69.160.67
xx.xx|76.34|194.12.210.201|141.69.160.67
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
15
Exkurs: Adressierung von Datenpaketen (4)
Musterlösung
Beispiel: Wegverfolgung mit TraceRt
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
16
Zusammenfassung
Musterlösung
• Es gibt private und öffentliche IP Adressen.
• Bereiche für private Adressen sind:
10.x.y.z, 172.16.x.y, 192.168.x.y
Alles andere ist im Wesentlichen öffentlich.
(Ausnahme 127.0.0.1 für die lokale Maschine.)
• Die Umsetzung der privaten IP für das Internet geschieht
mit NAT (Network Address Translation) oder einem Proxy:
Der Server vertritt mit seiner öffentlichen Adresse die
privaten Adressen der Clients.
• Der Datenverkehr zwischen der privaten und der
öffentlichen Netzwerkkarte im Server wird vom
Bordermanager mit seinen Zugangsregeln und Filtern
überwacht (Firewall).
• Von außen ist nur die öffentliche Adresse des Servers
sichtbar. Dies ist eine erster Sicherheitsmassnahme, da es
keinen direkten Kontakt aus dem Internet zu einem Rechner
im lokalen Netz gibt (keine lokale Firewall nötig).
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
17
Notwendige Anpassungen
Musterlösung
• Private Netzadressen
– Sind bei allen Installationen gleich.
– Werden für die Arbeitsplätze ab der Adresse 10.1.10.1
automatisch durch den DHCP Dienst vergeben.
– Der DHCP Dienst teilt den Arbeitsplätzen auch ihr
Default Gateway mit.
– Der DHCP Dienst ist vorkonfiguriert.
• Öffentliche Netzadressen
– Sind bei allen Installationen verschieden.
– Die öffentliche IP-Adresse der Public Karte muss vor
Ort angepasst werden.
– Die Default Route muss vor Ort an die innere
Routeradresse angepasst werden.
• In der folgenden Übung erfahren Sie, wie man diese
Anpassungen vornimmt.
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
18
Übung: Zugang zum Internet freigeben
Musterlösung
• Zur Verwaltung der IP Konfiguration benutzt man das
NLM INETCFG an der Serverkonsole.
• Folgende Einstellungen müssen durchgeführt werden:
– Öffentliche Adresse des Servers eintragen.
– Routeradresse für die Default Route eintragen.
– Änderungen übernehmen (reinitial system).
• Danach kann der Internet-Zugang freigegeben werden:
– Bordermanager starten (startbrd).
– Filter entladen (unload ipflt).
• Die Anleitung zur Durchführung zeigen die folgenden
Folien.
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
19
Öffentliche Adresse der Netzwerkkarte Public (1)
Musterlösung
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
20
Öffentliche Adresse der Netzwerkkarte Public (2)
Musterlösung
Zustand bei Auslieferung:
Private Adresse z.B. für
T@School Zugang.
Zugang über BelWÜ:
Öffentliche IP und
Subnetz-Maske eintragen.
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
21
Öffentliche Adresse der Netzwerkkarte Public (3)
Musterlösung
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
22
Routeradresse für die Default Route (1)
Musterlösung
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
23
Routeradresse für die Default Route (2)
Musterlösung
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
24
Routeradresse für die Default Route (3)
Musterlösung
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
25
Routeradresse für die Default Route (4)
Musterlösung
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
26
Die Änderungen übernehmen
Musterlösung
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
27
Die Änderungen kontrollieren
Musterlösung
Geben Sie an der Serverkonsole den Befehl: config ein.
Es werden die Daten der Netzwerkkarten angezeigt.
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
28
Bordermanager starten und Filter entladen
Musterlösung
• Geben Sie an der Serverconsole ein:
– Startbrd
– Unload ipflt
• Die Standarddienste wie HTTP, FTP, DNS usw. sind nun
möglich ( siehe Liste der Services).
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
29
Der Zugriff auf Webseiten ist jetzt möglich.
Musterlösung
H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1)
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN)
02.04.2005
30