Praktische Aufgaben zur PIX Firewall (PRIVAT INTERNET EXCHANGE)

Transkript

1 Fachbereich Informatik Fachbereich efi Labor Netzwerktechnik Praktische Aufgaben zur (PRIVAT INTERNET EXCHANGE) Version 1.1e Cisco Pix 501 Firewall Prof. Dr. Alfons Eizenhöfer Dipl.-Inf. (FH) Daniel Beuchler Fachhochschule Nürnberg 2003

2 Default Einstellung der PIX (PRIVAT INTERNET EXCHANGE) Alle Ping (ICMP) Versuche durch die Firewall werden verworfen. Nutzer auf der Innenseite (privates Netz) der Firewall (Security Level 100) dürfen Verbindungen ins Internet (Security Level 0) aufbauen. Nutzer auf der Außenseite (Internet) der Firewall (Security Level 0) dürfen keine Verbindungen zu der Innenseite der Firewall aufbauen. Es wird Hide-NAT (PAT) verwendet Serielle Verbindung herstellen Um eine Verbindung mit einer Cisco Pix herstellen zu können wird eine funktionierende Netzwerkverbindung oder eine Direktverbindung über den Console Port der Pix benötigt. Da die Netzwerkverbindung erst später konfiguriert wird, kann die Konfiguration zunächst nur über eine Direktverbindung mit Hilfe von Hyper Terminal erfolgen. Für das Hyper Terminal finden sie auf dem Desktop einen vorkonfigurierten Link. (Einstellungen siehe unten). Einstellungen Hyper Terminal Verbinden über: COM1 Bit pro Sekunde : 9600 Datenbits: 8 Parität: Keine Stopbits: 1 Flussteuerung: Hardware.2 Das Testnetz Host daco /24 Wenn die Pix richtig verkabelt und eingeschaltet ist, dann erscheint ein leeres Terminalfenster, in dem links unten die Anzeige "Verbunden" (markiert) zu erkennen ist. Nach dem Drücken der Returntaste erscheint der User Mode Prompt. serielle Verbindung private Testnet.1 eth1 intern extern.252 eth0 Hilfe: Verfügbare Kommandos ausgeben: pixfirewall>? Kommando erklären lassen: pixfirewall> help login /24.1 default gateway /24 Internet.11 http Server Hinweis: Bei den folgenden Versuchen kann die Frage nach einem Passwort mit Return beantwortet werden. Es ist kein Passwort gesetzt. Version 1.1 Fachhochschule Nürnberg 2005 Seite 2 von 10

3 Praktische Aufgabe 1 Ziel: Über die serielle Verbindung in die verschiedenen Modi der Pix wechseln und zwischen aktiver Konfiguration und gespeicherter Konfiguration unterscheiden lernen. Durchführung: Überprüfung der Seriellen Verbindung 5 x RETURN pixfirewall> In den privileged mode wechseln: pixfirewall> enable Password: RETURN Löschen der alten Configuration pixfirewall# write erase pixfirewall# reload RETURN Erklärung: Das PIXOS (PIX Operating System) hat drei grundlegende Modi, den unprivileged mode, den privileged mode und den config mode. Im unprivileged mode kann man auf der im Gegensatz zum Cisco Router nur wenige Befehle ausführen. Im privileged mode kann man sich den aktuellen Konfigurationszustand ansehen. Im config mode kann man die Konfiguration ändern. Die aktuelle Konfiguration ansehen: pixfirewall# show running-config unprivileged mode pixfirewall > enable exit privileged mode pixfirewall # config terminal exit config mode pixfirewall (config) # Erklärung: Die momentan aktive Konfiguration wird seitenweise ausgegeben. Mit der Leer Taste kommt man jeweils eine Seite weiter. Jede Zeile entspricht einem Kommando des config mode s. Am Ende der Konfiguration steht eine Crypto-checksum. Sie dient dazu, sicherzustellen, dass die Konfiguration nicht geändert wurde. Wenn die Konfiguration geändert wird, so ändert sich auch die Cryptochecksum. Wird die Änderung rückgängig gemacht, ergibt sich wieder die gleiche Cryptochecksum wie vor der Änderung. Die Cryptochecksum ist also eindeutig für jede Konfiguration. ssh timeout 5 terminal width 80 Cryptochecksum:c6a4cb19998e022ddb72d097d2a45459 : end pixfirewall# In den config mode wechseln um die aktuelle Konfiguration zu ändern: pixfirewall# config terminal pixfirewall(config)# Den Hostnamen in der aktuellen Konfiguration ändern: pixfirewall(config)# host wildschwein wildschwein(config)# Erklärung: Um in großen Netzwerken nicht die Übersicht zu verlieren kann für jedes Gerät ein eindeutiger Name vergeben werden. Hier: wildschwein. In den privileged mode zurück wechseln: wildschwein(config)# exit wildschwein# Version 1.1 Fachhochschule Nürnberg 2005 Seite 3 von 10

4 Die aktuelle Konfiguration ansehen: wildschwein# show running-config Erklärung: In den ersten Zeilen steht jetzt: hostname wildschwein. Dies zeigt, dass in der aktuellen Konfiguration der hostname erfolgreich geändert wurde. Die gespeicherte Konfiguration ansehen: wildschwein# show startup-config Erklärung: In den ersten Zeilen ist zu erkennen, dass hier im Gegensatz zur aktuellen Konfiguration immer noch der hostname pixfirewall vergeben ist. Bei einer fehlerhaften aktuellen Konfiguration, ist zu diesem Zeitpunkt, durch einen Neustart oder ein Zurückschreiben der Konfiguration aus dem nicht flüchtigen Speicher, dieser Fehler sehr schnell behoben. Funktioniert die aktuelle Konfiguration fehlerfrei, so kann diese abgespeichert werden. Aktuelle Konfiguration abspeichern: wildschwein# write mem Building configuration... Cryptochecksum: c 26180c3f 941df83e d9e42a6b [OK] wildschwein# Die gespeicherte Konfiguration ansehen: wildschwein# show startup-config Erklärung: Nun ist die aktuelle Konfiguration gespeichert worden. Dies ist am geänderten hostname Befehl in den ersten Zeilen der Konfiguration zu erkennen. Fragen & Antworten 1. Welche drei grundlegenden Modi besitzt die Pix Firewall? 2. Welchen Sinn hat die Cryptochecksum? 3. Wie wird die aktuelle Konfiguration gespeichert wenn wildschwein(config)# als Prompt zusehen ist? Version 1.1 Fachhochschule Nürnberg 2005 Seite 4 von 10

5 Praktische Aufgabe 2 Ziel: Host daco-132 ist auf der Innenseite der Firewall (im privaten Netz) und soll Verbindungen zu den Rechnern mit den IP-Adressen und ( ) auf der Außenseite (Internet) aufbauen dürfen. Verbindungen von der Außenseite zur Innenseite der PIX sollen nicht möglich sein. Die Adresse des internen Netzes soll mit PAT in die Adresse des externen Netzes übersetzt werden um, Routing Probleme vom externen Netz in das Interne zu vermeiden. In der Praxis werden intern nicht routing fähige Adressen verwendet, was Adressübersetzung nötig macht. Die Netzwerkmaske ist in allen Netzen 24 Bit oder dezimal In Konfigurationsmodus wechseln: wildschwein# config terminal wildschwein(config)# Host daco-132 Schnittstellen Namen zu weisen: nameif ethernet0 outside security0 nameif ethernet1 inside security100 Erklärung: Die Syntax des Befehls lässt sich mit help nameif abfragen. Mit ethernet0 ist das Physikalische Interface gemeint. Die entsprechenden Beschriftungen finden sich auf der Rückseite der Pix. Outside bzw. inside sind selbst wählbare Namen. Mit Security ist der Security Level gemeint. Security100 bedeutet, dass dieses Interface sehr vertrauenswürdig ist. Security0 bedeutet das Gegenteil. Die Hardware Geschwindigkeit der physikalischen Interfaces einstellen: interface ethernet0 10baset interface ethernet1 100full /24 intern.1 eth /24 extern.1 default gateway.252 eth0 Erklärung: Mit 10baset ist gemeint, dass das Interface mit dem 10BaseT Standard abreiten soll. Die 10 bedeutet eine Übertragungsgeschwindigkeit von 10Mbit/Sekunde. Das Base bedeutet Basisband. Das t am Ende steht für twisted Pair. Das 100full bedeutet 100Mbit/Sek, full-duplex Betrieb. full- duplex bedeutet, dass ein Interface gleichzeitig senden und empfangen kann / http Server Den Interfaces IP Adressen zuweisen: ip address outside ip address inside Erklärung: Inside bzw. outside ist die Bezeichnung für das Interface dem die IP Adresse zugewiesen werden soll. Dahinter kommt die IP und danach die Subnet Maske. Mit Subnetzen kann man dem Router verständlich machen, welche Netze zu ihm gehören. In unserer praktischen Aufgabe ist die Subnet Maske immer Die Subnet Maske in der ersten Zeile bedeutet das alle Hosts von bis mit dem outside Interface erreichen kann. In der zweiten Zeile sind das die Hosts von bis Default Route setzen: route outside Erklärung: Um einen Host zu erreichen, der nicht direkt angeschlossen ist wird die default Route zum default Gateway benötigt. Das Default Gateway ist normalerweise ein Router in Richtung Internet. Ohne dieses Gateway müsste die Pix alle Routen die es gibt kennen. Wenn die Pix ein Packet bekommt von dem sie nicht weiß wohin es soll wird es an das Default Gateway geschickt. Ist kein Default Gateway eingetragen, wird eine ICMP Fehlermeldung an den Absender zurück geschickt. Version 1.1 Fachhochschule Nürnberg 2005 Seite 5 von 10

6 PAT (Port Address Translation) konfigurieren: nat (inside) global (outside) 1 interface Erklärung: Bei der Port Address Translation werden viele Adressen auf eine oder wenige übersetzt. In unserem Fall wird das ganze interne Netz auf die Adresse übersetzt. In der meisten Zeit, in der die Pix ihren Dienst tut braucht sie nur normales nat für die Adressübersetzung. Das heißt es wird nur die IP Adressse übersetzt, aber in einigen Sonderfällen, zum Beispiel wenn beide Rechner des internen Netzes mit dem gleiche Absender Port auf den gleichen Web Server wollen, dann muss auch der Port übersetzt werden, weil man sonst nicht mehr unterschieden werden kann welche Pakete für welchen Rechner sind. Mit dem nat Befehl werden die IP Adressen angegeben, in die übersetzt werden soll.. Hier ist das auf dem Inside Interface das ganze Netz. ( bis ) Danach kommt die Maske die in diesem Beispiel lautet. Am Ende stehen noch zwei einzelne Nullen die für default Werte stehen. Mit dem global Befehl wird die IP Adresse(n) bzw. das Interface angeben, in die übersetzt werden soll. Da man mehrere nat und global Befehle kombinieren kann, ist es nötig die Nat den global Befehlen zuzuordnen. Dies geschieht mit der NAT-ID, hier die 1. Die 0 hat eine Sonderstellung. Host 1 Host 2 Absender Port 3456 Absender Port /24 intern.1 eth1.252 eth0 Host Absender-IP Port -> Port Absender-IP Host > Host > /24 extern www Server Hinweis: Eine der Grundsätze der Pix ist es auf keine Ping Pakete auf dem externen Interface zu antworten. Dies hat den Vorteil, dass sich für eine Angreifer schwer oder gar nicht erkennen lässt ob die IP Adresse überhaupt vergeben ist. Version 1.1 Fachhochschule Nürnberg 2005 Seite 6 von 10

7 Praktische Aufgabe 3 Ziel: Herstellen einer Verbindung mit dem Internet Explorers zum Web Server Durchführung: - Den Internet Explorer unter Start/Programme/Internet Explorer starten - Oben in der Zeile für die Zieladresse des Ziel Web Servers eintragen: - Mit Return die Eingabe abschließen - Wenn Sie alles richtig gemacht haben sollte jetzt eine Testseite der FH Nürnberg erscheinen Praktische Aufgabe 4 Ziel: Die Erreichbarkeit der Zielsysteme mit Hilfe des Ping Kommandos überprüfen. Durchführung: - unter Start/Ausführen gehen - dort dann cmd bzw. command eingeben und mit Return abschließen um die Kommando Zeile von Windows auf zu rufen - Mit ipconfig kann die eigene IP Adresse überprüft werden ( ) - Das Wichtigste Werkzeug eines Systemadministrators ist das Ping Kommando. Aus diesem Grund ist es auf jedem IP fähigem Betriebsystem zu finden. - Um die Verbindung mit dem Inside Interface der Pix zu testen geben wir ping ein. Wir bekommen eine Antwort. - Um die Verbindung mit dem outside Interface der Pix zu testen, geben wir ping ein. => Das Zielsystem ist nicht erreichbar!!!! - Um die Verbindung mit dem Gateway das sich im gleichen Netz befindet wie das outside Interface zu testen geben wir ping ein. => Das Zielsystem ist nicht erreichbar!!!! - Da wir aber die Funktionalität unseres Netzes testen möchten, können wir diesen Grundsatz nicht gebrauchen. Eine Access-Liste erstellen die IP, icmp Pakete (Ping) auf das externe Interface zu lässt: access-list in-outside permit icmp any any access-list in-outside permit ip any any Erklärung: Die erste Zeile erstellt eine Access-Liste mit dem Namen in-outside, die icmp Pakete von überall nach überall zulässt. Die zweite Zeile gehört zu der gleichen Access-Liste und gibt alle IP Pakete frei, dies ist notwendig da die Pix am Ende jeder Access Liste automatisch, alles was nicht explizit erlaubt wurde, verbietet. Eine Access-Liste dem externen Interface zuweisen: access-group in-outside in interface outside Erklärung: Mit dem Access-Group Befehl bindet man eine Access-List auf ein Interface. Als erstes kommt der Name der Access-List dann ob (in)bound oder (out)bound und zuletzt das Interface. Wir geben erneut ping ein. => Das Zielsystem ist jetzt erreichbar!!!! Überprüfen der statefull Übersetzungstabelle der Pix: wildschwein(config)# show xlate 1 in use, 1 most used PAT Global (0) Local ICMP id 512 wildschwein(config)# Erklärung: Mit xlate wird die Übersetzungstabelle ausgegeben. Es ist zu erkennen, dass die Absenderadresse von (intern) auf (extern) übersetzt wird. Das Zielsystem im externen Netz hat es jetzt einfach eine Antwort zu schicken. Da sich die Absenderadresse im gleichen Netz wie das Ziel befindet, an das der Ping gerichtet war. Die Antwort geht direkt an die Pix. Diese erkennt anhand ihrer NAT Tabelle, dass kurz davor ein icmp (Ping) Packet von Innen nach Außen gegangen ist und übersetzt die Zieladresse des Antwortpakets wieder in die IP Adresse des internen Clients. Version 1.1 Fachhochschule Nürnberg 2005 Seite 7 von 10

8 Praktische Aufgabe 5 Ziel: Ein Web Server soll auf dem Inside Interface der Pix aufgestellt werden der vom externen Interface aus für jedermann erreichbar sein soll. Setzen einer Regel die Verbindungen vom outside zum Inside Interface zulässt: static (inside, outside) interface Erklärung: Eine der Grundsätze der Pix Firewall ist, dass sie nur Pakete vom Interface eines hohen Security Levels zu dem eines niedrigerem durch lässt. Die entsprechenden Rückpakete werden dann automatisch durch den NAT Algorithmus zeitweilig frei geschaltet. Wenn aber z.b. einen Web Server mit der eigenen Homepage betreiben werden soll, muss dieser Grundsatz teilweise gebrochen werden. Dazu dient der static Befehl. Zuerst kommt das Interface, an das die Pakete gehen sollen, danach das Interface von dem sie kommen. Dann kommt interface, das bedeutet, dass die IP vom externen interface für den Webserver nach außen hin benutzt wird. Zuletzt kommt die IP des inside Interfaces zu dem die Packete für den Webserver gehen sollen. Hier muss dann auch der Webserver angeschlossen sein. Host 1.2 Web Server mit Homepage /24 intern.1 eth1.252 eth /24 extern User will auf Webserver.X Praktische Aufgabe 6 Ziel: Den http Server (Webserver) der Pix aktivieren und sich mit diesem per Internet Explorer verbinden. Durchführung: Den http Server der Pix aktivieren: http server enable Alle User auf dem Inside Interface dürfen sich mit dem http Server verbinden: http inside Den Internet Explorer starten und folgendes als Zieladresse eingeben: Alle Folgenden Fragen mit OK oder Ja beantworten. Nach einiger Wartezeit sollte folgendes Fenster erscheinen. (Java Applet nächste Seite) Erklärung: Die meisten der Funktionen der Pix lassen sich neben der händischen Befehlseingabe auch von hier aus steuern. Im Reiter Access Rules der direkt nach dem starten des Java Applets erscheint, können wir die eben händisch konfigurierten Regeln erkennen. Version 1.1 Fachhochschule Nürnberg 2005 Seite 8 von 10

9 Aufgabe 6 Java Applet Praktische Aufgabe 7 Ziel: Die Adressübersetzung (PAT/NAT) der Pix ausschalten und normales Routing aktivieren. Durchführung: - Auf den Reiter Translation Rules klicken - Mit der rechten Maustaste auf die weiß hervorgehobene Übersetzungsregel klicken und Delete wählen - Mit der rechten Maustaste unter das Feld Interface klicken und Add.. wählen - Das nun erscheinende Fenster den unten stehenden Einstellungen angleichen (IP address, Mask und Address pool) Version 1.1 Fachhochschule Nürnberg 2005 Seite 9 von 10

10 Die geänderte Konfiguration muss mit OK und dann Apply in die aktuelle Konfiguration der Pix eingespielt werden. Erklärung: Um bei der Pix das Routing abzuschalten muss ein kleiner Trick angewandt werden. Man lässt die Pix die Adressen auf sich selbst übersetzen. Im Gegensatz zu Vorher werden die Pakete jetzt nicht mehr adressübersetzt sondern geroutet. Der Nachteil ist, dass das Ziel nun den Rückweg kennen muss um eine Antwort zu schicken, vorher war das nicht nötig da sich der Absender durch die Adressübersetzung im gleiche Netzt wie das Ziel befunden hat. Übersetzungstabelle löschen: wildschwein(config)# clear xlate Um die Verbindung mit dem outside Interface der Pix zu testen geben wir in der Kommandozeile von Windows ping ein. => Ping ist erfolgreich. Überprüfen der statefull Übersetzungstabelle der Pix: wildschwein(config)# show xlate 1 in use, 1 most used Global Local wildschwein(config)# Erklärung: Mit diesem Befehl wird die Übersetzungstabelle ausgegeben. Es ist zuerkennen, dass die Absenderadresse von auf übersetzt werden. Also faktisch gar nicht übersetzt, sondern nur geroutet werden. - ENDE - Version 1.1 Fachhochschule Nürnberg 2005 Seite 10 von 10