Teil 1: Grundbegriffe zum Datentransport im Internet Bordermanager für den Internetzugang

 Documents

 261 views
of 30
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Description
Regionale Fortbildung Musterlösung Die Firewall in der Musterlösung Teil 1: Grundbegriffe zum Datentransport im Internet Bordermanager für den Internetzugang…
Share
Transcript
Regionale Fortbildung Musterlösung Die Firewall in der Musterlösung Teil 1: Grundbegriffe zum Datentransport im Internet Bordermanager für den Internetzugang Autoren: H.Bechtold, E.Dietrich, G.Ehmann, K.Gutjahr, R.Stegmaier © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) Überblick Musterlösung • Teil 1: – Grundbegriffe zum Datentransport im Internet – Bordermanager für den Zugang zum Internet • Teil 2: – Bordermanager für den Zugang aus dem Internet – Bereitstellung spezieller zusätzlicher Dienste • Teil 3: – Die Filterregeln beim Bordermanager – Das Tool zur Firewall • Teil 4: – Experimente zur Firewall H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 2 Die Infrastruktur unserer Schulnetze Musterlösung Öffentliche IP der Schule Hub Server Router GServer02 KServer02 Backbone 10.1.1.22 10.1.1.21 Anbindung an das Internet Switch über „Belwü“ 10.1.3.x EDV1 Ein-Server-Lösung DHCP: 10.1.10.x Client Gserver02 ins Internet H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 3 Grundbegriffe Musterlösung • Jede Netzwerkkarte hat eine eindeutige, vom Hersteller vergebene Adresse, die MAC Adresse. • Beim TCP/IP Protokoll erhält jeder Computer in einem Netz zusätzlich eine eindeutige Nummer, die IP Adresse. – Man unterscheidet zwischen öffentlichen IP Adressen und nicht öffentlichen IP Adressen. – Nicht öffentliche IP Adressbereiche sind: 10.x.x.x; 172.16.x.x – 172.31.x.x; 192.168.x.x – Z.B.: 10.1.1.22 (Private) und 141.69.160.67 (Public). • Zu den IP Adressen gibt es zugeordnete Namen wie z.B. „www.belwue.de“ für 129.143.2.9 als IP Adresse. – Diese Zuordnung erfolgt durch das DNS (Domain Name System). • Die Kontrolle der IP Daten eines Windows-Rechners erfolgt über Ipconfig /all an der Eingabeaufforderung oder über die Statusanzeige der Netzwerkverbindung. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 4 Kontrolle der IP Konfiguration eines Rechners (1) Musterlösung 1. Über Start/Ausführen mit dem Befehl cmd die Eingabeaufforderung starten. 2. Ipconfig /all eingeben. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 5 Kontrolle der IP Konfiguration eines Rechners (2) Musterlösung Mit Klick auf die LAN-Verbindung die Statusanzeigeanzeige öffnen. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 6 Internetdienste Musterlösung • Auf einem Server laufen viele Dienste zum Beispiel: – Mail – Web – ... • Diese Dienste sind unter der gleichen IP Adresse (Serveradresse zum Beispiel: 10.1.1.22 ) erreichbar und werden durch Portnummern unterschieden. – Mail: Port 25 (SMTP Protokoll) – Web: Port 80 (HTTP Protokoll) – Web: Port 443 (HTTPS Protokoll) – ... H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 7 Aufgabe der Ports Musterlösung • Vergleich: Der Briefträger stellt die „Post“ (Daten) an die Hausadresse (IP Adresse) zu und verteilt sie in die entsprechenden Briefkästen (Port). • TCP/IP Kommunikation: – Der Datenaustausch zwischen zwei Rechnern wird über deren IP Adressen zugestellt. – Innerhalb des Rechners erfolgt die Weiterleitung der Daten über die Ports an die Dienste (beim Server) bzw. die Anwendungen (beim Client). • Beispiel von Diensten beim GSERVER02: – Remote Manager: https://10.1.1.22:8009 (Port 8009) – Web Manager: https://10.1.1.22:2200 (Port 2200) H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 8 Port 8009: Der Remote Manager Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 9 Port 2200: Der Web Manager Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 10 Standard-Gateway: die Paketsortieranlage Musterlösung • Ein Paket bleibt in einer Stadt, wenn sich die Zustelladresse innerhalb des Ortes befindet, sonst wird er weitergeleitet. Kennzeichen hierfür ist die PLZ. • Datenpakete bleiben in einem lokalen Netz (LAN), wenn ihre Zieladresse in dem lokalen Bereich liegt. Sonst kommen sie an das Gateway, das sie weiterleitet. • Kennzeichen für den LAN Bereich ist Netz-ID und Subnetzmaske. Der LAN Bereich der Musterlösung ist 10.1.x.y , denn 255.255.0.0 ist die Subnetmask. 10 1 1 22 GSERVER02 10 1 10 78 Arbeitsstation 255 255 0 0 Subnetz-Maske Netz-ID Host-ID H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 11 Der Weg ins Internet Musterlösung Internet Server Router Default Route Interner Bereich Öffentlicher Bereich LAN Gleiche Netz-ID. Datenpakete, die nicht ins LAN gehören (unterschiedliche Unterschiedliche Host-ID. Netz-ID), werden zum Server geschickt (default Gateway). Als Default Gateway ist Dieser adressiert sie um und schickt sie weiter zum Router der Server eingetragen. (default Route). Der Router kümmert sich dann um den Weg durch das Internet zum Zielrechner. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 12 Exkurs: Adressierung von Datenpaketen (1) Musterlösung Grundsätzliches: • Jede IP Schnittstelle ( Workstation, Server, Router usw.) hat eine weltweit eindeutige MAC Adresse bei der Herstellung erhalten. • Jeder IP Schnittstelle muss eine IP Adresse zugeordnet werden. • Datenpakete werden von Hop zu Hop (von Hand zu Hand) über die MAC Adresse weitergeleitet. • Jedes Datenpaket enthält die Absender-IP-Adresse und die Empfänger-IP-Adresse. Diese Adresse ändert sich nicht. • Ausnahme: Verwendet man in einem Intranet aus Sicherheits- und Kostengründen Nicht öffentliche IP Adressen, so braucht man auf dem Server oder Router einen Dienst, der die nichtöffentlichen IP-Adresse gegen seine öffentliche IP-Adresse austauscht. • Diesen Dienst kann „Network Address Translation (NAT)“ bereit stellen oder ein Proxy-Dienst (Stellvertreter – Dienst). H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 13 Exkurs: Adressierung von Datenpaketen (2) Musterlösung • Prinzipieller Aufbau eines Datenpakets: Empf. Absend. Empf. Absend. Empf. Absend. Daten Mac-Ad. Mac-Ad. IP-Ad. IP-Ad. Port Port Paket Frame H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 14 Exkurs: Adressierung von Datenpaketen (3) Musterlösung • Beispiel: Aufruf der Site von www.stern.de www.stern.de • MAC Adresse verkürzt dargestellt MAC: 89.45 • Ports ausgeklammert IP: 194.12.210.201 Host MAC: F5.25 89.45|xx.xx|194.12.210.201|141.69.160.67 IP: 10.1.10.1 Server Private: 23.45|F5.25|194.12.210.201|10.1.10.1 MAC: 23.45 NAT oder PROXY IP: 10.1.1.22 Public: 45.E8|23.45|194.12.210.201|141.69.160.67 MAC: 45.E8 IP: 141.69.160.67 54.32|45.E8|194.12.210.201|141.69.160.67 Internet Router Interface 1 intern 76.34|54.32|194.12.210.201|141.69.160.67 MAC: 54.32 Ip: 141.69.160.254 Interface 2 extern MAC: 76.34 xx.xx|76.34|194.12.210.201|141.69.160.67 IP: 129.143.37.26 H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 15 Exkurs: Adressierung von Datenpaketen (4) Musterlösung Beispiel: Wegverfolgung mit TraceRt H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 16 Zusammenfassung Musterlösung • Es gibt private und öffentliche IP Adressen. • Bereiche für private Adressen sind: 10.x.y.z, 172.16.x.y, 192.168.x.y Alles andere ist im Wesentlichen öffentlich. (Ausnahme 127.0.0.1 für die lokale Maschine.) • Die Umsetzung der privaten IP für das Internet geschieht mit NAT (Network Address Translation) oder einem Proxy: Der Server vertritt mit seiner öffentlichen Adresse die privaten Adressen der Clients. • Der Datenverkehr zwischen der privaten und der öffentlichen Netzwerkkarte im Server wird vom Bordermanager mit seinen Zugangsregeln und Filtern überwacht (Firewall). • Von außen ist nur die öffentliche Adresse des Servers sichtbar. Dies ist eine erster Sicherheitsmassnahme, da es keinen direkten Kontakt aus dem Internet zu einem Rechner im lokalen Netz gibt (keine lokale Firewall nötig). H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 17 Notwendige Anpassungen Musterlösung • Private Netzadressen – Sind bei allen Installationen gleich. – Werden für die Arbeitsplätze ab der Adresse 10.1.10.1 automatisch durch den DHCP Dienst vergeben. – Der DHCP Dienst teilt den Arbeitsplätzen auch ihr Default Gateway mit. – Der DHCP Dienst ist vorkonfiguriert. • Öffentliche Netzadressen – Sind bei allen Installationen verschieden. – Die öffentliche IP-Adresse der Public Karte muss vor Ort angepasst werden. – Die Default Route muss vor Ort an die innere Routeradresse angepasst werden. • In der folgenden Übung erfahren Sie, wie man diese Anpassungen vornimmt. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 18 Übung: Zugang zum Internet freigeben Musterlösung • Zur Verwaltung der IP Konfiguration benutzt man das NLM INETCFG an der Serverkonsole. • Folgende Einstellungen müssen durchgeführt werden: – Öffentliche Adresse des Servers eintragen. – Routeradresse für die Default Route eintragen. – Änderungen übernehmen (reinitial system). • Danach kann der Internet-Zugang freigegeben werden: – Bordermanager starten (startbrd). – Filter entladen (unload ipflt). • Die Anleitung zur Durchführung zeigen die folgenden Folien. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 19 Öffentliche Adresse der Netzwerkkarte Public (1) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 20 Öffentliche Adresse der Netzwerkkarte Public (2) Musterlösung Zustand bei Auslieferung: Private Adresse z.B. für T@School Zugang. Zugang über BelWÜ: Öffentliche IP und Subnetz-Maske eintragen. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 21 Öffentliche Adresse der Netzwerkkarte Public (3) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 22 Routeradresse für die Default Route (1) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 23 Routeradresse für die Default Route (2) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 24 Routeradresse für die Default Route (3) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 25 Routeradresse für die Default Route (4) Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 26 Die Änderungen übernehmen Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 27 Die Änderungen kontrollieren Musterlösung Geben Sie an der Serverkonsole den Befehl: config ein. Es werden die Daten der Netzwerkkarten angezeigt. H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 28 Bordermanager starten und Filter entladen Musterlösung • Geben Sie an der Serverconsole ein: – Startbrd – Unload ipflt • Die Standarddienste wie HTTP, FTP, DNS usw. sind nun möglich ( siehe Liste der Services). H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 29 Der Zugriff auf Webseiten ist jetzt möglich. Musterlösung H. Bechtold, E. Dietrich, G. Ehmann, K.Gutjahr, R. Stegmaier: Firewall (Teil 1) 02.04.2005 © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg (ZPN) 30
Related Search
We Need Your Support
Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

Thanks to everyone for your continued support.

No, Thanks