Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- p:netzwerke:firewall [2023/12/25 15:03] – [2. Exkurs Firewall] Ralf Kretzschmar
+++ p:netzwerke:firewall [2024/09/30 15:11] (aktuell) – [💻-🧱-💻 Firewall] Ralf Kretzschmar
@@ Zeile 1: / Zeile 1: @@
+{{gem/mgr}}{{ gem/pageinfo}}
+====== 💻-🧱-💻 Firewall ======
+**🎯 Worum geht es?**((Bildquellen: Wenn nicht anders angegeben, stellen die Bilder Screenshots der [[https://www.lernsoftware-filius.de|Software Filius]] von Stefan Freischlad dar und unterliegen der [[https://www.gnu.org/licenses/gpl-3.0.html|GNU General Public License V3]]))
+  * Du richtest eine Firewall auf einem Router ein.
+  * Du erfährst, wie geregelt werden kann, welche Protokolle in ein Subnetz hinein und welche aus einem Subnetz heraus dürfen.
+~~INTOC~~
+\\
+===== - Netzwerk für die Firewall vorbereiten =====
+<WRAP center round box >
+== ✍ Auftrag – Filius Firewall 1 ==
+{{ gem/flag?label=Erledigt&icon=%E2%9C%8D#a9a492f559169040}}{{ :p:netzwerke:entwurfsmodus.png?nolink&51|}}
+👉 Du bereitest ein Netzwerk für den Firewall-Einsatz vor.
+  - Erstelle ein neues Netzwerk in Filius gemäss untenstehender Abbildung wie folgt.
+    - Typ: ''Notebook'', Name: ''Client 192.168.0.10''
+    - Typ: ''Notebook'', Name: ''Client 192.168.0.11''
+    - Typ: ''Switch''
+    - Typ: ''Vermittlungsrechner'', Name: ''Router / Firewall''
+    - Typ: ''Server'', Name: ''Server 10.0.0.10''
+    - Wähle für alle Netzwerkkarten aller Clients, Server und Router geeignete IP-Adressen und Gateways.
+    - Installiere auf jeden Client: ''Befehlszeile'', ''Einfacher Client'' und ''Webbrowser''.
+    - Installiere auf dem Server: ''Echo-Server'' und ''Webserver''.
+  - {{ :p:netzwerke:aktionsmodus.png?nolink&51|}} ▶️ Wechsle in den Aktionsmodus.
+  - Teste ob der ''Client 192.168.0.10'' den ''Server'', Name: ''Server 10.0.0.10'' per ''ping'' erreichen kann.
+  - Teste den ''Echo-Server'' mit dem ''Einfachen Client''
+  - Teste den ''Webserver'' mit dem ''Browser'' (starte einfach den ''Webserver'' und öffne die Webserver-IP-Adresse im ''Browser'' - es wird die Defaultwebseite angezeigt).
+  - Speichere das Netzwerk unter FiliusFirewall1 ab, dieses wird für den Auftrag FiliusFirewall2 gebraucht.
+  - Markiere danach diesen Auftrag als "Erledigt".{{ :p:netzwerke:firewallfilius.png |}}
+</WRAP>
+\\
+===== - Exkurs Firewall =====
+🤓 Um zu verstehen wie eine Firewall funktioniert ganz wenig Theorie.
+  ; Firewall
+  : Eine Firewall ist ein Dienst, der regelt, wer von aussen auf ein Netzwerk zugreifen und wer von Netzwerk aus etwas aus dem Netzwerk heraus schicken darf. Eine Firewall, die auf einem Router läuft, prüft dafür Empfänger- oder Absender-IP-Adressen und die Empfänger- und Absender-Port-Nummern. Eine Firewall, die auf einem Desktop läuft, kann zusätzlich noch prüfen, welches Programm empfangen soll oder senden will. Jedoch kann eine Desktop-Firewall einfacher von einer Malware lahmgelegt werden, als eine Router-Firewall.
+\\
+===== - Firewall einrichten und testen =====
+<WRAP center round box >
+== ✍ Auftrag – Filius Firewall 2 ==
+{{ gem/flag?label=Erledigt&icon=%E2%9C%8D#48dfc75fd79e06eb}}{{ :p:netzwerke:aktionsmodus.png?nolink&51|}}
+👉 Du verstehst, wie IP-Adressen mithilfe von einem DHCP-Server vergeben werden.
+  - ⚠️ Arbeite mit dem Netzwerk in Filius, welches du unter dem Namen FiliusFirewall2 abgespeichert hattest.
+  - Teste zu Beginn gleich noch einmal, ob auf **beiden** Clients ''ping'', ''Echo-Dienst'' und ''Webbrowser'' funktionieren.
+  - {{ :p:netzwerke:entwurfsmodus.png?nolink&51|}} Wechsle in den Entwurfsmodus
+  - Öffne die Konfiguration des ''Routers'', klicke im Register ''Allgemein'' auf ''Firewall einrichten'' und tätige folgende Einstellungen:
+    - Im Register ''Netzwerkschnittstellen'':
+      - Setze ein Häkchen vor ''Firewall aktivieren''
+      - Setze ein Häkchen vor ''ICMP-Paktete filtern''
+      - Das Häkchen vor ''nur SYN-Pakete verwerfen'' muss bleiben
+    - Im Register ''Firewall-Regeln'' stelle sicher, dass ''Standardaktion, wenn keine Regel greift'' auf ''verwerfen'' steht und füge folgende neue Regel hinzu:
+      - Quell-IP: ''192.168.0.10''
+      - Netzmaske an beiden Orten: ''255.255.255.0''
+      - Ziel-IP: ''10.0.0.10''
+      - Protokoll: ''TCP''
+      - Port: ''80''
+      - Aktion?: ''akzeptieren''
+  - {{ :p:netzwerke:aktionsmodus.png?nolink&51|}} ▶️ Wechsle in den Aktionsmodus.
+  - Teste nun ''ping'', ''Echo-Dienst'', ''Webbrowser'' auf beiden Clients.\\ ⚠️ Wenn alles geklappt hat, sollte nur noch der Webbrowser auf dem ''Client 192.168.0.10'' funktionieren - der Rest wird durch die Firewall geblockt.
+  - Konfiguriere die Firewall nun so, dass
+    - ''ping'' von beiden Clients aus funktioniert
+    - ''Echo-Dienst'' nur vom ''Client 192.168.0.11'' aus funktioniert
+    - ''Webbrowser'' von beiden Clients aus funktioniert
+  - Vergleiche deine Lösung mit der "Beispiellösung".
+  - Markiere danach diesen Auftrag als "Erledigt".
+++++Beispiellösung|''ping'' von beiden Clients: Dazu muss einfach das Häkchen vor ''ICMP-Pakte filtern'' in der Konfiguration der Firewall entfernt werden\\ \\ ''Echo-Dienst'' auf ''Client 192.168.0.11'': Dazu braucht es eine zusätzliche Firewall-Regel, welche für die Quelle 192.168.0.11 für den Server 10.0.0.10 den Port 55555 freigibt (der Rest ist gleich wie bei der Webbrowser-Regel\\ \\ ''Webbrowser'' auf beiden Clients: Entweder eine zusätzliche Regel welche den Port 80 für die Quelle 192.168.0.11 freigibt oder in der bestehenden Regel für den Port 80 einfach die Quell-IP von ''192.168.0.10'' auf ''192.168.0.0'' abändern, dann ist der Webbrowser aber gleich für alle Clients im 192.168er Netzwerk freigegeben (auch wenn neue Clients dazu kommen).++++
+</WRAP>
+\\
+=== Eigene Notizen ===
+{{gem/quill#2e8b1210b7cb3004}}

exorciser.ch

Webseiten-Werkzeuge

Unterschiede

Benutzer-Werkzeuge

Seiten-Werkzeuge

Webseiten-Werkzeuge