Versuch 3: Routing und Firewall Ziel Konfiguration eines Linux-basierten Routers/Firewall zum Routen eines privaten bzw. eines öffentlichen Subnetzes und zur Absicherung bestimmter Dienste des Subnetzes. Vergabe der internen Adressen statisch bzw. via DHCP. Konfiguration und Anwendung von Firewall- Regeln, NAT und Port Forwarding. Überprüfung der Absicherung mittels Port-Scans. Anwendung Darstellung Sitzung Transport Vermittlung Sicherung Übertragung Voraussetzungen ROUTER o Pentium, 100MHz, 32MB RAM o Coyote Linux Firewall 2.22 RN5 o Intel P4, 3GHz, 1GB RAM o Microsoft Windows Server 2003 EE (SP2) (MSDNAA) RN11 o Sun Ultra 20 M2 o AMD Opteron X2, 1,8GHz, 2GB RAM o Sun Solaris 10, alternativ SuSE Linux 10.1 o Dienste: telnet, ftp, time, etc. MAC (Reserve) o Apple Macintosh Mac o PowerPC 4,400MHz, 512MB RAM o Mac OS X (10.3) SWITCH o 10/100MBit Switch Netgear Aufgabenstellung 1. Erstellen Sie mit dem Wizard eine Coyote Linux Boot Diskette. 2. Konfigurieren Sie die Firewall via Web-Frontend aus dem Subnetz heraus. 3. Untersuchen Sie das Verhalten von NAT bei einem privaten Subnetz. 4. Konfigurieren und testen Sie Port Forwarding (privates Netz). 5. Konfigurieren und testen Sie Firewall-Filter-Regeln (öffentliches Netz). 6. Testen Sie mit einem Port Scanner die Wirksamkeit der Firewall (öffentliches Netz). 22
Stand:15..10.2013 Durchführung Grundlegende Fragen bezüglich Routing und Firewall werden mit m Hilfe einer Linux-basierten Firewall-Lösung bearbeitet. Als Softwaree wird Coyote Linux eingesetzt. Imm Router-PC sind zwei baugleiche Netzwerkkarten 3COM 3C905-TX eingebaut. Teil 1: Privates Netz Sie finden das Programm Coyote Disk Creator (siehe Abbildung) installiert unter C:\Programme bzw. über einen Link auf dem Desktop. Bezüglich Details der Installation und Konfigurationn dieser Software wird auf die User Dokumentation (v1.4) verwiesen: 23
24
Stand:15..10.2013 Erstellen Sie zunächst eine Firewall-Boot-Diskette für das Routing eines privaten Netzes (z.b. 192.168.0.0/255.255.255.0). Die Administrationn der Firewall erfolgt über HTTP und Web-Browser (Port: 8180). Web Administration ist ausschließlich vom internen Netz aus möglich! 25
Für das private Netz soll die Firewall die Dienste DHCP, NAT und Port Forwarding anbieten. Als Server bzw. Client im privaten Netz können alternativ eine Windows XP Station bzw. die Solaris 10 Station eingesetzt werden. Die IP-Konfiguration der internen Stationen ist auf DHCP einzustellen und die erhaltenen IP-Konfigurationen sind zu überprüfen (ipconfig/windows, ifconfig/unix). Überprüfen Sie anhand der erhaltenen DHCP-Leases, welche Netzwerkkarte mit dem Hausnetz verbunden werden muss. Überlegen Sie, wie Sie das Funktionieren von NAT überprüfen können und führen Sie einen geeigneten Test durch. Wählen Sie geeignete interne Dienste aus und richten Sie Port Forwarding für diese Dienste ein. Die Funktionsweise ist von einer externen Station aus zu überprüfen. 26
Stand:15..10.2013 Teil 2: Öffentliches Netz Erstellen Sie anschließend eine Firewall-Boot-Diskette für das Routing R eines öffentlichen Subnetzes (149.205.230.0/255.255.255.224). Überprüfen Sie die Unerreichbarkeit derr internenn Stationen bei gleichzeitiger Möglichkeit des Erreichenss des Internets. Konfigurieren Sie für ausgewähltee interne Dienste spezielle Filterregeln. Anmerkung: Aufgrund konfigurierter Routen in der Netztechnik des Rechnenzentrums sollten Sie dem internen Adapter die IP-Adresse 149.205.230.300 zuweisen!! Überprüfen Sie mit einem Portscanner diee richtige Konfiguratio on der Firewall. Die folgende Abbildung zeigt Ihnen den LANguard Port Scanner, den Sie ebenfalls e unter C:\Programme bzw. als Link auf dem Desktop des Windows-Rechners finden. 27
Protokoll Erwartet wird die Abgabe eines Protokolls über die durchgeführten Konfigurationen sowie deren Ergebnisse und Auswirkungen. Empfehlenswert ist dabei die Einbindung entsprechender Screenshots (unter Windows: ALT+Druck Zwischenablage CTRL+V z.b. in Paint ) als Beleg. Die beiden Firewall-Boot-Disketten sind abzugeben. Bitte achten Sie darauf, dass die durchgeführten Konfigurationen auf die Disketten zurück geschrieben wurden! 28