Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- lager:oeff_netze:firewall_labor [10.06.2017 15:28] – Externe Bearbeitung 127.0.0.1
+++ lager:oeff_netze:firewall_labor [04.02.2025 12:09] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 1: / Zeile 1: @@
-~~DISCUSSION|Ergänzungen~~
+~~DISCUSSION:closed|Ergänzungen~~
-===== Labor-Übung zu Firewall =====
+====== Labor-Übung zu Firewall ======
 Die Labor-Übung basiert auf der Linux-Firewall ((Netfilter)) ''iptables''.
-**HINWEIS:** Wenn mit virtuellen Maschinen gearbeitet wird, dann sind die **[[network:labornutzung#arbeiten_mit_virtuellen_maschinen_vm | notwendigen Anpassungen]]** auf jeden Fall zu berücksichtigen. Ansonsten wird die Anwendung u.U. nicht funktionieren.
+**HINWEIS:** Es sollten KEINE Filter auf der Schnittstelle ''eth0'' (graue Schnittstelle) konfiguriert werden, da so u.U. die Verbindung zum ''raumserver'' unterbrochen wird
+(z.B. ''INPUT''-chain wird auf ''DROP'' gesetzt und damit keine Pakete mehr von außen angenommen).
 ====== Einführung in Firewall-Regeln ======
@@ Zeile 91: / Zeile 93: @@
 Die folgende Abbildung zeigt eine beispielhafte Vernetzung beim Einsatz einer VM-Firewall.
-{{:lager:oeff_netze:bilder:firewall_vm_vernetzung.png|Vernetzung}}
+{{:lager:oeff_netze:bilder:firewall_einfach.png|Vernetzung}}
 Die Firewall fungiert hier in einigen Fällen zusätzlich als Router. Aus diesem Grund muss in der VM das
@@ Zeile 97: / Zeile 99: @@
 <code>sudo sysctl net.ipv4.ip_forward=1</code>
-Weiterhin muss die Zuordnung der Schnittstellen((virtuelle "Verkabelung" zwischen Host-PC und Guest-VM s. Abbildung Vernetzung)) anhand der MAC-Adressen überprüft werden. Diese
-Zuordnung ist zunächst zufällig und kann ebenfalls im Netzwerk-Dialog vorgenommen werden. Hier
-werden auch die VM-Schnittstellen per **Netzwerkbrücke** eingerichtet.
-Das ''sudo''-Passwort lautet: ''ubuntu.14''(**TIP**: Mit ''sudo -s'' kann man dauerhaft auf root wechseln.)
 Alle Einstellungen lassen sich mittels ''ifconfig'' und ''route -n'' über eine Konsole überprüfen.
@@ Zeile 132: / Zeile 130: @@
 ==== Aufgabe 3: Filterung auf das Layer4-Protokoll ====
-{{:lager:oeff_netze:bilder:firewall_aufgabe03.png?200 | Aufgabe 3}}Setzen Sie einen Filter so, dass Ihr Rechner keine TCP-Pakete annimmt. Testen Sie den Filter mit einem ''http''-Request vom PC Ihres Nachbarn auf Ihren PC. Der Webserver ''apache'' ist in der virutellen Maschine Ubuntu 12.04 installiert und kann durch den folgenden Befehl gestartet werden.
+{{:lager:oeff_netze:bilder:firewall_aufgabe03.png?200 | Aufgabe 3}}Setzen Sie einen Filter so, dass Ihr Rechner keine TCP-Pakete annimmt. Testen Sie den Filter mit einem ''http''-Request vom PC Ihres Nachbarn auf Ihren PC. Der Webserver ''apache'' ist auf allen Rechner installiert.
-<code>sudo /etc/init.d/apache2 start</code>
 Kann ihr PC mit anderen Protokollen noch erreichen (z.B. ''ping'')?
@@ Zeile 146: / Zeile 143: @@
 ==== Aufgabe 5: Filterung auf IP Adresse und Port ====
-{{:lager:oeff_netze:bilder:firewall_aufgabe05.png?200 | Aufgabe 5}}Erstellen Sie einen Regelsatz, der einen Zugriff auf den Webserver Ihren Rechner vom PC Ihres Nachbarn unterbindet. Auf andere Dienste soll Ihr Nachbar jedoch zugreifen können. Andere PCs sollen auch auf Ihren Webserver zugreifen können. Arbeiten Sie bei dieser Aufgabe mit zwei Chains.
+{{:lager:oeff_netze:bilder:firewall_aufgabe05.png?200 | Aufgabe 5}}Erstellen Sie einen Regelsatz, der einen Zugriff auf den Webserver Ihres Rechners vom PC Ihres Nachbarn unterbindet. Auf andere Dienste soll Ihr Nachbar jedoch zugreifen können. Andere PCs sollen auch auf Ihren Webserver zugreifen können. Arbeiten Sie bei dieser Aufgabe mit zwei Chains.
 ==== Extra Aufgabe 6: Filterung auf Nachrichtentypen ====
@@ Zeile 159: / Zeile 156: @@
 {{ :lager:oeff_netze:bilder:firewall_aufgabe07.png | Aufgabe 7}}
-Der LAN-PC soll ausschließlich auf die WWW-Seiten und ICMP des Servers zugreifen können. Alle anderen
+Der LAN-PC soll ausschließlich auf die WWW-Seiten und ICMP des Servers zugreifen können. Alle anderen Dienst sind zu sperren.
-Dienst sind zu sperren.
   - Fertigen Sie eine Skizze Ihres Aufbaus an (inkl. aller verwendeten Schnittstellen und IP-Adressen).
   - Planen Sie Ihre Firewall-Regeln mit Hilfe der Tabelle (s. Tab 1: Planung der Firewall-Regeln).
@@ Zeile 179: / Zeile 175: @@
 {{ :lager:oeff_netze:bilder:firewall_aufgabe08extra.png | Aufgabe 8}}
-Die Firma möchte ihr lokales Netz gegen unberechtigte Zugriff von externen schützen. Die Mitarbeiter
+Die Firma möchte ihr lokales Netz gegen unberechtigte Zugriff von externen schützen. Die Mitarbeiter sollen aber alle Webseiten der Server und diese auch per ICMP erreichen können. Alle anderen Dienst sind zu sperren. Die Firewalls sollen darüber hinaus weder von innen noch von außen per ICMP erreichbar
-sollen aber alle Webseiten der Server und diese auch per ICMP erreichen können. Alle anderen Dienst
-sind zu sperren. Die Firewalls sollen darüber hinaus weder von innen noch von außen per ICMP erreichbar
 sein. Der Webserver darf weder auf die DMZ noch auf das LAN zugreifen können.
 Nr