musterlösung it-struktur an schulen © zentrale planungsgruppe netze am kultusministerium...
TRANSCRIPT
Musterlösung
IT-Struktur an Schulen
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
Firewall
BorderManager V 3.7
Autor: Michael Stütz
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 2Autor: Michael Stütz - Firewall
Musterlösung
Übersicht
• Firewall
– Grundlagen: BorderManager, iManager
– Beispiele:
• NetStorage
• RemoteManager
• Chatten, Realplayer
• E-Stat
• News (mit GroupWise)
– Übungen
• Zusatz: NCF Datei for tuning BorderManager
(sys:nwmuster\brdtune.ncf)
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 3Autor: Michael Stütz - Firewall
Musterlösung
Übersicht: Firewall
• Von Außen nach Innen
– über den Browser
– über ein Zusatzprogramm (z.B: GW-Client, FTP)
=> Freischaltung per BorderManager Rules, Application Proxy (Acceleration, Generic TCP Proxy)
und FilterExceptions, Filters
– VPN-Zugang
=> Spezielle Konfiguration
• Von Innen nach Außen
– über den Browser
– über ein Zusatzprogramm (z.B: GW-Client, FTP)
=> Freischaltung per BorderManager Rules, Application Proxy und FilterExceptions, Filters
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 4Autor: Michael Stütz - Firewall
Musterlösung
Übersicht: Firewall
Einstellungen über INETCFG
• INETCFG | Protocols | TCP/IP
– IP Packet Forwarding „Enabled Router“
– Filter Support „Enabled“
– NAT Implicit Fitering
• Disabled= allow the inbound packets to communicate with the serverSet NAT dynamic mode to pass thru = ON
• Enabled Set NAT dynamic mode to pass thru = OFF
• INETCFG | Bindings | „Public“ NIC | Configure TCP/IP Bind Options | Expert TCP/IP Bind Options | Network Address Translation | Dynamic Only
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 5Autor: Michael Stütz - Firewall
Musterlösung
Übersicht: Firewall Verwaltungstools
• NWAdmin
– sys:public\win32
– BorderManager Setup
– BorderManager Access Rules
• iManager
– https://10.1.1.22:2200/eMFrame/imanager.html
– SERVICES
– FILTERS
– FILTEREXECPTIONS
• Firewall Tools
– data:pgm\firewall
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 6Autor: Michael Stütz - Firewall
Musterlösung
Netzwerkkarten im Server
Begriffe: Public – Private (FiltCfg)
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 7Autor: Michael Stütz - Firewall
Musterlösung
NWAdmin – BorderManager Setup
allgemeine Einstellungen
dienstspezifischeEinstellungen
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 8Autor: Michael Stütz - Firewall
Musterlösung
BM Setup: Allgemeine Einstellungen: IP - Adressen
Schaltfläche um neue IP-Adresse einzugeben
PRIVAT = Verbindung zum lokalen Netz
PUBLIC = Verbindung zum Router, der mit dem Internet z. B. per ISDN-Leitung verbunden ist.
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 9Autor: Michael Stütz - Firewall
Musterlösung
BM Setup: Acceleration
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 10Autor: Michael Stütz - Firewall
Musterlösung
BM Setup: Acceleration
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 11Autor: Michael Stütz - Firewall
Musterlösung
BM Setup: Generic TCP Proxy
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 12Autor: Michael Stütz - Firewall
Musterlösung
BM Setup: Generic TCP Proxy
Zusätzlich in der 2-Server-Version
10.1.1.21 810810.1.1.21 810910.1.1.21 2210
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 13Autor: Michael Stütz - Firewall
Musterlösung
BM: Access Rules
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 14Autor: Michael Stütz - Firewall
Musterlösung
iManager
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 15Autor: Michael Stütz - Firewall
Musterlösung
iManager
Ein-/Ausgangsfilter (Routing Filter
Services (Protokoll, Ports)
Paketweiterleitungsfilter(Filter, FilterExceptions)
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 16Autor: Michael Stütz - Firewall
Musterlösung
iManager
Filter: keine Weiterleitung
Ausnahmefilter: Weiterleitung(FilterExceptions)
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 17Autor: Michael Stütz - Firewall
Musterlösung
iManager: Services
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 18Autor: Michael Stütz - Firewall
Musterlösung
iManager: Services
Bezeichnung: beliebig, eindeutig
Port; Bereich mit Bindestrich
Automatisches Portverwaltung für die Antwort
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 19Autor: Michael Stütz - Firewall
Musterlösung
iManager: Ausnahmefilter (FilterExceptions)
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 20Autor: Michael Stütz - Firewall
Musterlösung
iManager: Ausnahmefilter (FilterExceptions)
Out => PRIVATE
In => PUBLIC
Out => PUBLIC
In => PRIVATE
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 21Autor: Michael Stütz - Firewall
Musterlösung
iManager: Ausnahmefilter (FilterExceptions)
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 22Autor: Michael Stütz - Firewall
Musterlösung
iManager: Ausnahmefilter (FilterExceptions)
Musterlösung
IT-Struktur an Schulen
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg
Übungen
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 24Autor: Michael Stütz - Firewall
Musterlösung
Übungen
• Firewall (BorderManager, iManager)– Übung 1: Chatten über das Firewall-Tool
freischalten
– Übung 2: Neue Services und Filterausnahmen (FilterException) integrieren
– Übung 3: Fehler von IP-ChangeNeue Services und Filterausnahmen (FilterException) integrieren
– Übung 4: E-Stat Erweiterung
– Übung 5: Fragen zum RemoteManagement
– Übung 6: Newsgroups mit GroupWise
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 25Autor: Michael Stütz - Firewall
Musterlösung
• Beispiele: http://www.bravo.de http://www.chat.de
Geht Chatten ?
JA NEIN
Fertig !Filter an der Konsole deaktivierten:
=> unload ipflt
Chatten geht => FilterException anpassen
Chatten geht nicht! ???
Übung 1: Chatten über das Firewall-Tool freischalten
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 26Autor: Michael Stütz - Firewall
Musterlösung
Übung 1: Chatten über das Firewall-Tool freischalten
• Kopieren Sie ins Verzeichnis pgm\firewall die aktuelle Version des
Tools
• Firewall Tools (data:pgm\firewall) starten
• ggf vorhandenen CHAT Filter und Service löschen
• CHAT Service und Filter per Firewalltool integrieren
– Service hinzufügen: Chat_Services_Add.ldif
– FilterException hinzufügen:
Chat_FilterExceptions_Add.LDIF
– FilterException aktivieren: Chat_FilterException_Aktiv.ldif
• Kontrolle per
– Firewall-Tool
– iManager
– Browser (Chatraum aufsuchen)
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 27Autor: Michael Stütz - Firewall
Musterlösung
Übung 1: Chatten über das Firewall-Tool freischalten
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 28Autor: Michael Stütz - Firewall
Musterlösung
Übung 1: Chatten über das Firewall-Tool freischalten
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 29Autor: Michael Stütz - Firewall
Musterlösung
Admin-Passwort eingeben
Übung 1: Chatten über das Firewall-Tool freischalten
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 30Autor: Michael Stütz - Firewall
Musterlösung
Übung 1: Chatten über das Firewall-Tool freischalten
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 31Autor: Michael Stütz - Firewall
Musterlösung
Übung 1: Chatten über das Firewall-Tool freischalten
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 32Autor: Michael Stütz - Firewall
Musterlösung
Übung 1: Chatten über das Firewall-Tool freischalten
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 33Autor: Michael Stütz - Firewall
Musterlösung
IP-Adressen kontrollieren / anpassen…..[Settings]EditTree=SCHULBAUM02EditContext=NBMRuleContainer.Server.DIENSTEIP_old=63.63.63.63REM IP_new=191.168.1.2IP_new=129.143.2.153
Hinweis:• Beim Einlesen neuer FilterExceptions wird
den Filtern die IP-Adresse 63.63.63.63zugewiesen.
• Damit die Filter wirksam werden, müssen diese Einträge angepasst werden.
• Passen Sie deshalb die INI-Datei vor demAufruf von CHANGEIP entsprechend an.
• REM dient dabei als Kennzeichen für einen Kommentar.
Übung 1: Chatten über das Firewall-Tool freischalten
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 34Autor: Michael Stütz - Firewall
Musterlösung
Übung 1: Chatten über das Firewall-Tool freischalten
• Über die Schaltfläche müssen ggf. die IP-Adressen noch angepasst werden
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 35Autor: Michael Stütz - Firewall
Musterlösung
Fragen für den Problemfall:1. Welches Protokoll und welche Ports müssen
freigeschaltet werden?– Protokoll: TCP/IP– Ports: 6660-6670, ggf. auch 7000
2. iManager – Service vorhanden oder muss er neu angelegt
werden?– Ausnahmeregel (FilterException) prüfen/definieren
3. Filter an der Konsole aktivieren– Filter an der Konsole deaktivierten: => load ipflt
4. Test5. Sind die Ports aktiv ?
- An der Konsole: tcpconProtocol-Information | TCP | TCP Connections
Übung 1: Chatten über das Firewall-Tool freischalten
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 36Autor: Michael Stütz - Firewall
Musterlösung
Übung 2: Fehler von Change-IP
• Nach der Installation der Musterlösung werden die öffentlichen IP-Adressen in den FilterException über die im Firewall-Tool angepasst.
• A1: Informieren Sie sich über das Internet über aktuelle Änderungen.
• A2: Kontrollieren Sie über den iManager die IP-Adressen bei den FilterException (insbesondere bei NTP-Time und SMTP-IN).
.
FilterException(Empfehlung in Fettdruck)
Name Bemerkung Dienste Ursprung Service-Typ Ziel
aktiviert deaktiviert NTP-Time Erlaubt es dem Server die Zeit von einem Zeitserver (hier BelWü) zu holen. Da eDirectory mit Zeitstempeln arbeitet, sollte dieser Ausnahmefilter immer gesetzt sein.
NTP PUBLIC 192.168.2
NTP-Time PUBLIC129.69.1.153
aktiviert deaktiviert SMTP-In Erlaubt eingehenden SMTP Verkehr auf dem Server (Ursprungsadresse ist für BelWü vorkonfiguriert)
SMTP PUBLIC 129.143.2.0255.255.255.128
smtp-st PUBLIC 192.168.1.2
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 37Autor: Michael Stütz - Firewall
Musterlösung
Übung 3: E-Stat
1. Konfigurieren Sie den Zugang zu E-Stat mit Hilfe– des Firewall-Tools
und vordefinierten LDIF-Dateienoder über– das Programm iManager
2. Beschreiben Sie stichwortartig Ihre Vorgehensweise.
3. Lassen Sie Ihre Beschreibung von einer anderen Arbeitsgruppe überprüfen.
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 38Autor: Michael Stütz - Firewall
Musterlösung
Übung 3: E-Stat
• NWAdmin – BorderManager Setup | HTTP Proxy | Details
• iManager – Service
• iManager - FilterException
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 39Autor: Michael Stütz - Firewall
Musterlösung
Übung 3: E-Stat
http://svnt2.kultus-bw.de:7779/estat/start.html
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 40Autor: Michael Stütz - Firewall
Musterlösung
• Firewall Tools (data:pgm\firewall) starten
– Update-Ldif Datei einlesen ML25_Firewall_Update01.ldif
– Neue FilterException aktivieren ML25_Firewall_Update01-Aktiv.ldif
– Über die Schaltfläche müssen ggf. die IP-Adressen noch angepasst werdenBitte beachten Sie die Einstellung in der Date changeip.ini.
• Kontrolle per
– iManager: Services, FilterException sowie IP-Adressen kontrollieren
– Neue FilterException testen (z.B. RealAudio)
• RealPlayer http://de.real.com/freeplayer_r1p.html
• BBC www.bbc.co.uk dann links z.B. auf News Audio
klicken
Übung 4: Neue Services und FilterException integrieren
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 41Autor: Michael Stütz - Firewall
Musterlösung
Übung 5: Portal-Management
• Im Auslieferungszustand der Musterlösung 2.x
kann per Portal-Management nur auf den
GServer02 nicht aber auf den KServer02
zugegriffen werden.
• A1: Welche Angaben / Daten werden
benötigt, um das Problem zu lösen?
• A2: Finden Sie mind. zwei Lösungen?
• A3: Wie sind die Lösungen bzgl. des
Sicherheits- aspekts zu bewerten?
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 42Autor: Michael Stütz - Firewall
Musterlösung
Übung 6: Newsgroups mit GroupWise
Übersicht• Firewall anpassen: Ausnahmefilter News-St-Out
• Groupwise Client anpassen– News-Server bei BelWue: news.belwue.de– Newsgroups:
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 43Autor: Michael Stütz - Firewall
Musterlösung
Übung 6: Newsgroups mit GroupWise
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 44Autor: Michael Stütz - Firewall
Musterlösung
Übung 6: Newsgroups mit GroupWise
news.belwue.de
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 45Autor: Michael Stütz - Firewall
Musterlösung
Übung 6: Newsgroups mit GroupWise
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 46Autor: Michael Stütz - Firewall
Musterlösung
Übung 6: Newsgroups mit GroupWise
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 47Autor: Michael Stütz - Firewall
Musterlösung
Übung 6: Newsgroups mit GroupWise
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 48Autor: Michael Stütz - Firewall
Musterlösung
Übung 6: Newsgroups mit GroupWise
• Ist der News-Ausnahmefilter aktiv?
• Firewall deaktivieren über „unload ipflt“ an der Serverkonsole
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 49Autor: Michael Stütz - Firewall
Musterlösung
Übung 6: Newsgroups mit GroupWise
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 50Autor: Michael Stütz - Firewall
Musterlösung
Übung 6: Newsgroups mit GroupWise
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 51Autor: Michael Stütz - Firewall
Musterlösung
Übung 6: Newsgroups mit GroupWise
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 52Autor: Michael Stütz - Firewall
Musterlösung
Übung 6: Newsgroups mit GroupWise
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 53Autor: Michael Stütz - Firewall
Musterlösung
Übung 6: Newsgroups mit GroupWise
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 54Autor: Michael Stütz - Firewall
Musterlösung
NCF Datei for tuning BorderManager
######################################################## ## NCF Datei for tuning BorderManager ## Watch BorderManager performance and customize ## the parameters! ## ## Novell Consulting FAu 06.Feb.2002 ## ################################################################## Communications Parameter #################################################################SET Maximum Physical Receive Packet Size = 4224SET Maximum Packet Receive Buffers = 10000SET Minimum Packet Receive Buffers = 5000SET New Packet Receive Buffer Wait Time = 0.1 secSET Maximum Interrupt Events = 50
################################################################# Memory Parameter #################################################################SET Garbage Collection Interval = 5
################################################################# File Caching Parameter #################################################################SET Read Ahead Enabled = onSET Maximum Concurrent Disk Cache Writes = 750SET Dirty Disk Cache Delay Time = 0.1 sec
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 55Autor: Michael Stütz - Firewall
Musterlösung
NCF Datei for tuning BorderManager
#######################################################
########## Directory Caching Parameter ###############################################################
##SET Dirty Directory Cache Delay Time = 0.1 secSET Maximum Concurrent Directory Cache Writes = 125SET Directory Cache Allocation Wait Time = 0.1 secSET Directory Cache Buffer NonReferenced delay = 30 minSET Minimum Directory Cache Buffers = 1000SET Maximum Directory Cache Buffers = 4000SET Maximum Number of Internal Directory Handles = 500
#######################################################
########## File System Parameter ###############################################################
##SET Immediate Purge of Deleted Files = onSET Enable File Compression = off
#######################################################
########## Locks Parameter ###############################################################
##SET Maximum File Locks = 100000
Stand: Jan. 2004
© Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg 56Autor: Michael Stütz - Firewall
Musterlösung
NCF Datei for tuning BorderManager
#######################################################
########## Disk Parameter ###############################################################
##SET Enable Hardware Write Back = onSET Enable Disk Read After Write Verify = off
#######################################################
########## Miscellaneous Parameter ###############################################################
##SET Worker Thread Execute In A Row Count = 15SET Pseudo Preemption Count = 200SET Minimum Service Processes = 500SET Maximum Service Processes = 1000SET New Service Process Wait Time = 0.3 sec