Das Schulnetz ist wie folgt aufgebaut:

Transkript

1 Praktische Aufgaben zu der Check Point Firewall für die FH Nürnberg Das Schulnetz ist wie folgt aufgebaut: Host Host /24 intern /24 intern serielle Verbindung Cisco Router.1 fastether0 serielle Verbindung Pix Firewall.1 eth1.253 eth0.252 eth / eth1 Checkpoint NG.250 eth2 squid Proxy auf Linux.251 eth0 Default Gateway.1 eth0.1 eth / /24 intern /24 intern Host Host Praktische Aufgabe 1: Ziel: Starten des Check Point SmartDashboard: Durchführung:

2 Starten des Check Point Firewall Management Clients: Verbinden mit der Check Point Firewall: Die Einstellungen sollten denen im obigen Bild entsprechen, das Passwort lautet simon.

3 Der Check Point Manager: - Auf der linken Seite befinden sich die Network Objects. Hier trägt man alle Geräte die in der Check Point Regelbasis berücksichtigt werden sollen ein. - Rechts oben befinden sich einige Reiter mit verschiedenen Ansichten der CP Regelbasis (z.b. Security Standard, Address Translation Standard,...). - Die darunter befindlichen zwei Fenster sind unwichtig und werden mit View/Object List und View/SmartMap ausgeblendet. Praktische Aufgabe 2: Ziel: Das Firewall Object editieren und drei Network Objects sowie drei Node Objects anlegen

4 Durchführung: Firewall Object editieren: Der CP die IP Adresse zuweisen: Auf Topology wechseln und mit Get Topology die Einstellungen der Interfaces der CP Firewall holen:

5 Erklärung: Bei der Installation des Linux Betriebsystems auf dem die CP läuft, wurden den Netzwerkkarten (o. Interfaces) bereits IP Adressen händisch zugewiesen. Dies ist nötig damit sich das Check Point SmartDashboard (Client) überhaupt mit der Check Point Firewall (Server) verbinden kann. Um das Spoofing einzustellen gehen wir unter Topology/eth2/Edit.../Topology/External (leads out to the internet): Erklärung: Spoofing = Fälschen. Mit Fälschen sind die Absender IP Adressen gemeint. Ein Angreifer könnte beispielsweise versuchen vom Internet (External eth2) ein manipuliertes Packet zu verschicken in dem die Absenderadresse aus dem internen Netz steht. Wenn die Firewall keinen Anti-spoofing Mechanismus hätte, würde sie das Packet mit den Regeln des internen Netzes behandeln, das meist sehr weitreichende Berechtigungen hat. Mit Anti-spoofing schaut die Firewall ob der Absender auf dem empfangenden Interface überhaupt möglich ist und vernichtet das Packet im Zweifel. Mit der eben getätigten Einstellung sind folgende Absender erlaubt: Eth0: Eth1: Eth2: Alles ist erlaubt außer

6 Network Object für das interne Netz anlegen: Eigenschaften eintragen: Das gleiche machen wir für: DMZ-Netz Farbe: z.b. ORANGE externes-netz Farbe: z.b. ROT transit-netz Farbe: z.b. SCHWARZ

7 Anmerkung: Es dürfen bei Name nur Zeichen von 0-9, a-z, A-Z und benutzt werden. Es ist zwar möglich andere Zeichen ein zu geben diese führen aber zu Kompilierungsfehlern. Erklärung: Die Network Objects sind später für das erstellen von Regeln (Rules) notwendig. Sie erleichtern uns zudem das Denken, weil es leichter ist Dingen Namen zu geben und damit zu Denken, als mit abstrakten Netzadressen. Nun müsssen wir nur noch die Nodes anlegen: Als erstes definieren wir einen Gateway:

8 Toplogy des Gateway wie folgt konfigurieren: Erklärung: Der erstellte Gateway hat nichts mit dem Gateway der Check Point zu tun. Wenn man bei der CP einen Gateway festlegt, schickt diese alle Pakete von denen sie nicht weis wohin sie müssen an ihren Gateway. Der Gateway den wir grade angelegt haben, kann einer unter vielen sein und ist für die Erstellung von komplexen Regelwerken nötig. Den Node (Host) mit dem Namen Test-Rechner erstellen:

9 Die Topology des Test-Rechners wie folgt konfigurieren: Das gleiche für den Management-Client: General Properties -> Name: Management-Client IP: Toplogy -> Name: internes-netz Ip Address: Net Mask: Und als letztes der DMZ-Server: General Properties-> Name: DMZ-Server IP: Toplogy -> Name: DMZ-Netz Ip Address: Net Mask: Praktische Aufgabe 3: Ziel: Erste Regeln konfigurieren, kompilieren und einspielen Durchführung: Nun kommen wir zu der eigentlichen Hauptaufgabe einer Firewall, den Regeln (oder Rules).

10 Eine neue Regel oben anfügen: Mit der rechten Maustaste unter SOURCE auf * Any klicken und Add wählen. Das interne-netz wählen und auf OK. Bei DESTINATION das gleiche nur hier ente wählen. Die ACTION ändern wir mit der rechte Maustaste auf Accept und TRACK auf log. Jetzt haben wir unsere erste Regel fertig. In ihr haben wir fest gelegt das alle Verbindungen aus dem internen Netz auf die Check Point Firewall zulässig sind. Dies ist nötig damit wir die CP mit dem SmartDashboard nach dem ersten einspielen der Regeln weiter hin managen können. Alles andere ist automatisch verboten. Diese Regel können wir nun mit Policy/Verify auf Kompilierungsfehler testen und danach mit Policy/Install auf der CP einspielen. Mit Start/Ausführen und dann command (oder cmd) kommen wir in die Windows Konsole, von hier aus können wir einige Tests durchführen. Hierzu benutzen wir das Kommando Ping (sendet ICMP Requests an das Ziel) was in etwa folgendes Ergebnis liefern sollte: Antwort von : Bytes=32 Zeit<10ms TTL=128 Antwort von : Bytes=32 Zeit<10ms TTL=128 Antwort von : Bytes=32 Zeit<10ms TTL=128 Antwort von : Bytes=32 Zeit<10ms TTL=128 Anmerkung: Mit STRG + C können wir den Ping vorzeitig abbrechen. Erklärung: Wir haben eine Regel eingetragen die es erlaubt von unserem Client, an dem wir arbeiten, mit beliebigen Diensten auf die CP zuzugreifen. Mit ping und ping bekommen wir stattdessen folgendes Ergebnis: Zeitüberschreitung der Anforderung. Zeitüberschreitung der Anforderung. Zeitüberschreitung der Anforderung. Zeitüberschreitung der Anforderung.

11 Erklärung: Es ist uns nicht gestattet eine Verbindung zum externen-netz bzw. DMZ-Netz herzustellen, daher werden die Ping Packet einfach verworfen Da wir aber auch in das externe-netz möchten müssen wir eine weitere Regel eintragen. Mit Rules/Add/Buttom fügen wir eine weitere Regel an und ändern sie unsere Wünschen entsprechend ab. SOURCE: internes-netz DESTINATION: externes-netz SERVICE : http, icmp, ftp TRACK: log Jetzt wieder mit Policy/Verify auf Kompilierungsfehler testen und danach mit Policy/Install auf der CP einspielen. Ein Ping mit ping liefert uns nun eine Antwort. Das heißt wir dürfen jetzt vom internen-netz in das externe-netz. Wir haben aber nicht nur das ICMP Protokoll frei gegeben sondern auch das http und ftp Protokoll. Http können wir durch die Eingabe von in den Internet Explorer testen. Nach der Eingabe sollte die FH Testseite erscheinen. Im DMZ-Netz stehen normalerweise Server, die zentrale Aufgaben für ein Netzwerk übernehmen. In unserem Fall soll das ein besonders geschützter ssh Server sein, damit der Systemadministrator das Netz von zu hause aus managen kann. (würde man in der Realität komplizierter lösen) Dazu müssen wir vom externen-netz zum DMZ-Netz den ssh Dienst und vom DMZ-Netz zum internen-netz alle Dienste durch lassen. Wir erstellen also zwei Rules mit folgenden Eigenschaften: SOURCE: externes-netz DESTINATION: DMZ-Netz SERVICE : ssh TRACK : log SOURCE: DMZ-Netz DESTINATION: internes-netz SERVICE: All TRACK: log Um unsere Regel zu testen geben wir unter Start/Ausführen putty ein. Ein Fenster öffnet sich in dem wir als IP Adresse eingeben und als Protokol ssh wählen. Die Verbindung wird mit Open gestartet. Nun sollte nach Usernamen und Passwort gefragt werden. Bei beidem geben wir gast ein. Jetzt sind wir auf dem Default Gateway. Von hier aus können wir einen Ping zu unserem DMZ-Server testen. Es sollte keine Antwort zurück kommen, dies liegt daran das wir nur ssh frei gegeben haben. Mit ssh gast@ verbinden wir uns nun vom Default Gateway auf den DMZ-Server. Als Name und Passwort geben wir wieder gast ein. Wir versuchen einen Ping auf Es kommt keine Antwort, da wir es nicht explizit erlaubt haben. Stattdessen probieren wir einen Ping auf (der Rechner an dem wir sitzen) und bekommen eine Antwort, da wir ja alles vom DMZ-Netz zum internen-netz zugelassen haben.

12 Praktische Aufgabe 4: Ziel: Implied Rules und SmartView Tracker kennen lernen. Durchführung: Wenn man bei der Erstellung der Rules nicht genau aufpasst, bzw. irgendwann auf Grund der Anzahl die Übersicht verliert, kommt es irgend wann vor, das man sich von der Check Point ausschließt. (in unserem Beispiel wenn wir die erste Regel löschen) Wenn man vorher kein Backup der Firewall mit einer Backupsoftware bzw. von der Regelbasis mit File/Save as angelegt hat dann kann man die Firewall neu installieren. Um dieses Problem zu vermeiden hat sich Check Point die Implied Rules ausgedacht. Dies sind Regeln die anhand der Properties (Einstellungen) generiert werden, aber auf anhieb nicht sichtbar sind. Sichtbar können wir die Regeln mit View/Implied Rules machen. Man erkennt deutlich das die Implied Rules von der Priorität höher sind, da sie fast alle vor den von uns eingetragenen Rules kommen. Wenn wir die Implied Rules ändern möchten, gehen wir unter Policy/General Properties. Die obersten zwei Regel sind dafür zuständig das wir auch wenn wir als einzige Regel ein Verbiete Alles eintragen und einspielen, uns trotz dem mit der CP verbinden können. Dies können wir leicht testen, idem wir bei jeder von uns eingetragenen Regel vorne auf die Zahl mit der rechten Maustaste drücken und disable Rule(s) wählen und als letzte Regel ein verbiete alles eintragen. Nachdem wir die Regel eingespielt haben, beenden wir das CP Smart Dashboard und verbinden uns neu. Wir bekommen wie gewohnt eine Verbindung. Jetzt entfernen die Disabled Einträge wieder. Die CP hält aber noch eine weitere Überraschung auf Lager, den SmartView Tracker. Starten können wir ihn mit Start/Programme/Check Point SMART Clients/SmartView Tracker. Alle Regeln denen wir vorher mit Track: log angewiesen haben ihre Aktionen zu loggen finden wir hier wieder. Hier können wir alle geglückten Ping Versuche aus den vorherigen Übungen betrachten. Um auch die Pakete zu sehen auf die keine Regel zu trifft, fügen wir im Smart Dashboard ganz unten eine weitere Regel die alles verbietet und loggt hinzu. Jetzt können wir

13 alle Aktionen der Firewall beobachten. Die Einträge im SmartView Tracker die keine Rule Nummer haben kommen von den Implied Rules. Praktische Aufgabe 5: Ziel: Pakete vom Internen Netzwerk zum Internet mit Adressübersetzung (NAT Native Address Translation) übersetzen. Native Address Translation Arten: Source Static NAT: Hie wird von allen Paketen die vorher festgelegte Eigenschaften aufweisen, werden die Quelladresse ausgetauscht. Source Hide NAT: Von allen Paketen die vorher festgelegte Eigenschaften aufweisen, werden die Quelladressen und Zielports ausgetauscht. Destination NAT: Von allen Paketen die vorher festgelegte Eigenschaften aufweisen werden die Zieladressen ausgetauscht. Destination Port Static NAT: Von allen Paketen dei vorher festgelegte Eigenschaften aufweisen werden die Zieladressen und Zielports ausgetauscht. Durchführung: Wir löschen alle Regeln die wir in den vorherigen Aufgaben erstellt haben. Danach erstellen wir zwei neu Regeln: 1. Alle aus dem internen Netz dürfen überall hin außer in das DMZ-Netz mit jedem Service. 2. Der Rest wird weg geschmissen und ebenfalls wie Regel1 geloggt. Danach wechseln wir vom Reiter Security zu Address Translation. Dort erstellen wir folgende NAT Regel: Bei allen Packeten von internes-netz nach überall, wird die Quelladresse durch die vom

14 ente Ausgangsinterface ausgetauscht. Da es sich um eine Source Hide NAT Regel handelt, kann man an ein H bei ente erkennen. Nachdem wir die Regeln eingespielt haben, senden wir einen Ping mit ping Wir bekommen eine Antwort (ICMP Reply) und daran erkennen wir das unsere Regeln richtig sind. Erklärung: Bei der Port Address Translation werden viele Adressen auf einer oder wenigen übersetzt. In unserem Fall wird das ganze interne Netz (1-254) auf die Adresse übersetzt. In der meisten Zeit in der die CP ihren Dienst tut braucht sie nur normales Nat für die Adressübersetzung. Das heißt es wird nur die IP Adresse und die Sequenz Nummer übersetzt. Aber in einigen Sonderfällen zum Beispiel wenn beide Rechner des internen Netzes zufällig mit dem gleiche Absender Port auf den gleichen Web Server wollen, dann muss der Port auch übersetzt werden, weil man nur schwer unterscheiden könnte welche Pakete für welchen Rechner sind. Host 1 Host 2 Absender Port 3456 Absender Port /24 intern.1 eth1.252 eth0 Host Absender-IP Port -> Port Absender-IP Host > Host > /24 extern www Server