MBK-LABORVERSUCH Firewall Teil 1 Aufbau eines Unternehmensnetzes



Ähnliche Dokumente
MBK-LABORVERSUCH Firewall Teil 2 Accesslisten

Firewall-Versuch mit dem CCNA Standard Lab Bundle

Walther- Übungsaufgabe 24. Januar 2016 Rathenau- Routing Name: Gewerbeschule Freiburg DHCP Klasse: E3FI1T Seite 1 Punkte: /20 Note:

How-to: Webserver NAT. Securepoint Security System Version 2007nx

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

DNÜ-Tutorium HS Niederrhein, WS 2014/2015. Probeklausur

Anbindung des eibport an das Internet

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Übung - Konfigurieren einer Windows-XP-Firewall

Routing und DHCP-Relayagent

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite Copyright Stefan Dahler Oktober 2008 Version 1.

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Virtual Private Network

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Einrichtung von VPN-Verbindungen unter Windows NT

Übung - Konfigurieren einer Windows Vista-Firewall

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

OP-LOG

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

Guide DynDNS und Portforwarding

1. Der Router ist nicht erreichbar Lösungsansatz: IP Adresse des Routers überprüfen ( entweder irgendwo auf dem Gerät aufgeklebt oder im Handbuch )

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Windows 2008 Server im Datennetz der LUH

ISA Server 2004 stellt verschiedene Netzwerkvorlagen zur Einrichtung einer sicheren Infrastruktur zur Verfügung:

Anleitung Grundsetup C3 Mail & SMS Gateway V

Pädagogische Hochschule Thurgau. Lehre Weiterbildung Forschung

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

(Hinweis: Dieses ist eine Beispielanleitung anhand vom T-Sinus 154 Komfort, T-Sinus 154 DSL/DSL Basic (SE) ist identisch)

ANYWHERE Zugriff von externen Arbeitsplätzen

CCNA Exploration Network Fundamentals. Chapter 6 Subnetze

1 Mit einem Convision Videoserver über DSL oder ISDN Router ins Internet

Konfiguration von Exchange 2000 zum versenden und empfangen von Mails & Lösung des SEND after POP Problems

Benutzerhinweise IGW/920-SK/92: Einsatz als VPN-Client

Windows 2008R2 Server im Datennetz der LUH

Praktikum Rechnernetze für Studiengang Elektrotechnik / Elektronik

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

Powermanager Server- Client- Installation

Netzwerkeinstellungen unter Mac OS X

Technische Grundlagen von Internetzugängen

WLAN Konfiguration. Michael Bukreus Seite 1

Um DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden:

Panda GateDefender Virtual eseries ERSTE SCHRITTE

Schnellstart. MX510 ohne mdex Dienstleistung

Wireless LAN PCMCIA Adapter Installationsanleitung

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken

Konfiguration des Fernzugriffes auf Eyseo-IP-Netzwerkkameras mittels dynamischer IP-Adresse

Information über das Virtual Private Networks (VPNs)

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Service & Support. Was sind die Vorraussetzungen für einen Client-Server-Betrieb mit Simatic WinCC (<V5 & V5)? WinCC.

Netzwerk-Migration. Netzwerk-Migration IACBOX.COM. Version Deutsch

Firewalls für Lexware Info Service konfigurieren

Überprüfung der digital signierten E-Rechnung

Grundlagen PIX-Firewall

Benutzerhinweise: IGW/920-SK/92 COM Port Redirector

Gruppe Grundlegende Konfiguration... 1 Übersicht Routerbefehle... 2 Schlussendliche Konfiguration... 2 TFTP-Server... 5 Gruppe 2...

Panda GateDefender Software eseries ERSTE SCHRITTE

Netzwerktechnik Cisco CCNA

-Bundle auf Ihrem virtuellen Server installieren.

Horstbox VoIP. Stefan Dahler. 1. HorstBox Konfiguration. 1.1 Einleitung

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Übung - Konfigurieren einer Windows 7-Firewall

ADNP/9200 mit E2U/ESL1: Web Interface Beispiele

Installationsanleitung Webserver - Datenkommunikation

Konfigurationsanleitung SIP Phone zum SIP Provider Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Karten-Freischaltung mit dem UNLOCK MANAGER

Firewalls für Lexware Info Service konfigurieren

Hilfestellung. ALL500VDSL2 Rev.B & ALL02400N. Zugriff aus dem Internet / Portweiterleitung / Fernwartung. Router. Endgeräte. lokales.

Proxy. Krishna Tateneni Übersetzer: Stefan Winter

Prof. Dr. R. Sethmann Übungen: Datum: Rechnernetze und Telekommunikation

Proxyeinstellungen für Agenda-Anwendungen

Switching. Übung 7 Spanning Tree. 7.1 Szenario

How to install freesshd

Stecken Sie Ihren USB Stick oder Ihre externe USB Festplatte in den USB Steckplatz des Sinus 154 DSL SE.

ORGA 6000 in Terminalserver Umgebung

ADSL-Verbindungen über PPtP (Mac OS X 10.1)

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

Anbinden der Visualisierung GILLES TOUCH (VNC)

POP -Konto auf iphone mit ios 6 einrichten

Kurzanleitung OOVS. Reseller Interface. Allgemein

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

Installationsanleitung DSL Business Standleitung unter Windows 7

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Inhaltverzeichnis 1 Einführung Zugang zu den Unifr Servern Zugang zu den Druckern Nützliche Links... 6

Tutorial -

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Die Subnetzmaske/Netzwerkmaske

Aufruf der Weboberflache des HPM- Warmepumpenmanagers aus dem Internet TIPPS

Web Interface für Anwender

START - SYSTEMSTEUERUNG - SYSTEM - REMOTE

Einrichtungsanleitung Router MX200

FTP Server unter Windows XP einrichten

unter runtergeladen werden.

Der Schalter Eigenschaften öffnet die rechts stehende Ansicht. Internetprotokolle aussuchen

Machen Sie Ihr Zuhause fit für die

Kommunikations-Parameter

FTP-Leitfaden RZ. Benutzerleitfaden

Transkript:

MBK-LABORVERSUCH Firewall Teil 1 Aufbau eines Unternehmensnetzes Fach Multimediale Breitbandkommunikation (MBK) Autoren: Stephanie Endlich Stephan Gitz Matthias Härtel Thomas Hein Prof. Dr. Richard Sethmann Hochschule Bremen Fachbereich Elektrotechnik und Informatik Studiengang Prof. Dr. Richard Sethmann Datei: V1_Unternehmensnetz.doc 1 / 8

1. Einleitung Die Vernetzung von Computern schreitet weiterhin fort. Unternehmen, Bildungseinrichtungen und private Haushalte sind meist zusammen an ein Netz angebunden. Angriffe von außen oder von innen auf das eigene Netz sind keine Seltenheit, daher müssen sensible Daten vor Angriffen geschützt werden. Aus diesem Grund beschäftigt sich dieser Versuch mit dem Thema Firewalls. Aufgrund der Komplexität des Themas werden deshalb im Fach Multimediale Breitbandkommunikation zwei aufeinander aufbauende Versuche angeboten. In diesem ersten Teil geht es vor allem um den Aufbau eines virtuellen Unternehmensnetzes mit einer Internetanbindung, während der zweite Versuch sich mit der Absicherung desselben mittels Access-Listen auf Cisco-Routern beschäftigt. In der Versuchsgruppe soll ein Unternehmensnetz simuliert und ein Firewallkonzept implemen-tiert werden. Da Unternehmensnetze beliebig komplex sein können, beschäftigen wir uns mit den wichtigsten Merkmalen eines modernen Unternehmensnetzes, d.h. der Anbindung des Unternehmensnetzes mit einem Provider im Internet sowie mit dem Schutz der Unternehmens-Server vor Angriffen von außen und von innen. Das hierbei betrachtete Firewallkonzept nennt sich Demilitarisierte Zone, welches aber erst im zweiten Versuch zur Anwendung kommt. Die Versuche sind mit den dazugehörigen Grundlagen, dem Cisco-Curriculum und der Ciscopedia vollständig zu lösen, so dass keine zusätzlichen Unterlagen ge-braucht werden. Als Hinweis zu den Versuchen werden benötigte Kommandos im Anhang angegeben. Bei weiterem Interesse sind Literaturempfehlungen und entsprechende WWW-Adressen im Anhang der Grundlagen zufinden. Zum Lösen von Problemen wird die Software Ethereal eingesetzt. 2. Grundlagen zum Versuch Die wichtigsten Informationen sind in den Grundlagen der beiden Versuche sowie der Präsentation zu entnehmen. Weitere Informationsquelle ist das Cisco Curriculum CCNA1 und CCNA 2. Alle Cisco-Router-Befehle befinden sich in CiscoPedia. Die folgenden Themen sind relevant: LAN-Topologie, Layer1, TCP, IP- Defaultgateway, IP- Adressraum, IP- Subnetting, UDP, ICMP, TCP- und UDP- Portvergabe, Telnet, statische Routen. Prof. Dr. Richard Sethmann Datei: V1_Unternehmensnetz.doc 2 / 8

3. Versuchsvorbereitung Folgende Fragen: 1. Wie unterscheidet sich der Private Adressraum von dem Öffentlichen? 2. Wie funktioniert NAT? 3. Errechnen von Subnetzmasken / Aufgabe zur Wildcardmaske : a. Teilen Sie das vorgegebene Netz mit der Adresse 204.204.7.0 (bis 204.204.7.15) mit der Subnetzmaske 255.255.255.240 in zwei weitere Subnetze auf. Notieren Sie zu jedem der beiden Subnetze Netzadresse, Broadcastadresse sowie die Subnetzmaske. b. Machen Sie sich nochmals klar, wie die Wildcardmasken von Accesslisten funktionieren. Warum werden Pakete von der IP-Adresse 192.168.0.10 mit einer ACL-Anweisung permit 192.168.0.0 255.255.255.0 nicht durchgelassen? 4. Was ist ein Defaultgateway? 4. Laborkonfiguration Da das Unternehmensnetz neu aufgebaut werden soll, sind keine speziellen Konfigurationen von Seiten der Studenten notwendig, da die konkrete Topologie im Versuch aufgestellt werden soll. Deshalb sollte sichergestellt sein, dass die im Versuch zu benutzenden Router unkonfiguriert sind. Um eine schnellere Überprüfung mit der Software Ethereal zu gewährleisten, sollte die Namensauflösung vor dem Aufzeichnen ausgeschaltet werden. Prof. Dr. Richard Sethmann Datei: V1_Unternehmensnetz.doc 3 / 8

5. Versuchsdurchführung Der vorliegende Versuch ist für eine Gruppengröße von 3-4 Studenten konzipiert. Jeder Gruppe stehen hierfür drei Router, drei PCs, ein Switch und ein Hub zur Verfügung um folgende Topologie aufzubauen: Company Network NAT Router Fa0/1 Fa0/0 Fa0/0 S0/1 S0/0 Company R ISP Router Center Top Bottom Fa0/0 Internet 204.204.7.3 FTP DNS FTP Mail DNS Web Mail Web 210.93.105.201 192.168.0.101 LAN PCs DMZ Server Internet Server ISP/Internet NAT Router: Company R: ISP Router: Fa0/1:192.168.0.1 Fa0/0: 204.204.7.4 Fa0/0: 210.93.105.1 Fa0/0 (NAT): 204.204.7.1 S0/1: 204.204.7.9 S0/0: 204.204.7.14 DNS-Namen: dns_server.firma.de mail_server.firma.de dmz_server.firma.de webserver.internet.de Bitte folgende Tabelle ausfüllen: IP-Adresse Subnetzmaske Defaultgateway NAT-Rechner DMZ-Server Internet-Server Prof. Dr. Richard Sethmann Datei: V1_Unternehmensnetz.doc 4 / 8

Kurze Beschreibung der Topologie: Die Topologie ist in drei Bereiche eingeteilt: Das unternehmensinterne LAN im privaten Adressraum, das vom Internet erreichbare Unternehmens- LAN mit offiziellen IP-Adressen und das Internet, welches über den Provider erreichbar ist. Das interne Unternehmens- LAN ist mittels Network-Address-Translation des NAT Routers vom öffentlichen Unternehmens- LAN getrennt, so dass vom Internet kein Zugriff auf das interne LAN möglich ist. Die Verbindung zwischen öffentlichen Unternehmens- LAN und dem Provider wird mittels zwei Routern (Company R und ISP Router) über eine serielle Schnittstelle realisiert. Der erste der beiden Router steht auf der Unternehmens-Seite, während der zweite beim Provider seinen Standort hat. NAT Router und Company R bilden zusammen mit dem Unternehmens-Server im Versuch die DMZ. Der Server im internen LAN stellt FTP zur Verfügung, der Unternehmens-Server in der DMZ Mail (POP3 und SMTP), Web, FTP und DNS. Namen der Rechner bzw. die zu erreichenden Dienste: dns_server.firma.de mail_server.firma.de dmz_server.firma.de webserver.internet.de Die Firma hat vom Provider einen Adressblock (204.204.7.0-7.15) von 16 offiziellen IP- Adressen erhalten, von dem der Provider die Adresse 204.204.7.14 einbehalten hat, um sie dem Interface des Provider-Routers zum Unternehmensnetz zu zuweisen. Die Providerseite simuliert das Internet. Auf den beiden Unternehmensservern sind alle für den Versuch benötigten Dienste installiert. Die Unternehmens- Router sind dagegen vollständig unkonfiguriert. Die zu benutzenden Rechner werden vorgegeben. Prof. Dr. Richard Sethmann Datei: V1_Unternehmensnetz.doc 5 / 8

Aufgaben: Führen Sie folgende Schritte durch und dokumentieren Sie die Eingaben. 1. Stellen Sie die physikalische Verbindung des Netzes anhand der vorgegebenen Topologie her. 2. Wie sehen die Subnetzmasken der jeweiligen Interfaces in der Topologie aus (Subnetzmasken sind unterschiedlich)? 3. Geben Sie die IP-Adressen auf den jeweiligen Rechnern ein. 4. Stellen Sie nun das Defaultgateway auf den Unternehmens- PCs ein und deaktivieren Sie die Optische Netzkarte. 5. Konfigurieren Sie die angegebenen Parameter(für NAT, Company, ISP Router) und geben Sie die statische Routen auf den Cisco-Routern ein, NAT vorerst noch nicht implementieren: Hinweis: Nicht den vorgegebenen Setup-Modus benutzen! Achten Sie auf die Eingabe der korrekten Subnetzmasken. a. Hostname b. Passwörter (cisco und class (secret)) c. Konsole (line console 0 ( login, Password: cisco) d. Virtual Terminal (line vty 0 15) e. Interfaces (Achtung: no shutdown nicht vergessen, Clockrate 64000) f. Statische Routen 6. Topologie- und Windows-Routen-Tests Versuchen Sie die Interfaces von verschiedenen Positionen aus zu erreichen. (Eingabeaufforderung) a. Kann man vom öffentlichen Unternehmens-Server auf das interne Unternehmens- LAN zugreifen? Wenn ja, warum. Wenn nein, warum nicht? b. Kann man vom Internetserver auf das interne Unternehmens- LAN zugreifen? Wenn ja, warum. Wenn nein, warum nicht? 7. Implementieren Sie nun NAT auf dem NAT Router. Tipp: CiscoPedia (am Beispiel orientieren!) (Kommando: ip nat inside source, Hinweis: Overload, Interface inside/outside) Folgende Punkte müssen konfiguriert werden: Nat-Pool Accesslist mit internen Adressen NAT an den entsprechenden Interfaces einstellen 8. Erneute Tests: Prof. Dr. Richard Sethmann Datei: V1_Unternehmensnetz.doc 6 / 8

a. Versuchen Sie erneut die Interfaces von verschiedenen Positionen aus zu erreichen. Vergewissern Sie sich, dass NAT funktioniert, indem Sie mit Ethereal den Netzverkehr in der DMZ beobachten. Woran kann man bei einem Ping vom internen LAN in die DMZ erkennen, dass NAT korrekt arbeitet? i. Kann man vom öffentlichen Unternehmens-Server auf das interne Unternehmens- LAN zugreifen? Wenn ja, warum. Wenn nein, warum nicht? ii. Kann man vom Internetserver auf das interne Unternehmens- LAN zugreifen? Wenn ja, warum. Wenn nein, warum nicht? b. Pingen Sie mit Hilfe von Aliasen (> ping dns_server) aus dem internen LAN in die DMZ (Namensauflösung siehe oben). Funktioniert DNS? 9. Sichern Sie die Konfigurationsdateien auf einer Diskette. Prof. Dr. Richard Sethmann Datei: V1_Unternehmensnetz.doc 7 / 8

6. Versuchsauswertung Beschreiben Sie Ihre Probleme beim Durchführen des Versuches. Halten Sie die wichtigsten Punkte fest und beantworten Sie folgende Fragen: 1. Was ist der Zweck von Default-Routen? 2. Wieso soll auf dem NAT Router und Company R Subnetting eingestellt werden? 3. Über welches Protokoll wird DNS transportiert? 4. Aus welchen Gründen wird NAT in LANs eingesetzt? 5. Wozu dient ein NAT-Pool? 6. Welche Funktion haben die Accesslisten für NAT? 7. Literaturhinweise -keine- Prof. Dr. Richard Sethmann Datei: V1_Unternehmensnetz.doc 8 / 8

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback