Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

Netzwerksicherheit Grundkurs

Firewall-Regeln erstellen

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Die Erstellung entsprechender Firewall-Regeln dient dazu, dem System Zugriff auf den HTTP- und den DNS-Server zu gewähren sowie sämtliche weitere Aktivitäten zu sperren.

Transkript

Ich möchte Ihnen nun zeigen, wie Sie Ihre ersten Regeln schreiben und wie das System darauf reagiert. Um eine Regel in die Firewall einzutragen, müssen Sie darauf achten, dass Sie als erstes den richtigen Reiter wählen. D.h. wir haben hier, je nachdem wie viele Schnittstellen zur Verfügung stehen, 2,3,4,5 verschiedene Reiter. Für jeden dieser Reiter gibt es einen Satz von Regeln. Wenn Sie diesen Eintrag auf der falschen Seite, oder auf dem falschen Reiter machen, dann hat das unter Umständen fatale Folgen, oder es wirkt sich falsch aus. In unserem Falle wollen wir erreichen, dass unser System im Inneren nach draußen gehen darf, um dort dementsprechend auf HTTP und auf DNS zugreifen zu können; mehr nicht. Mehr wollen wir nicht. Das wäre also das, was wir jetzt hier erreichen wollen. Hierzu gehe ich her, drücke auf + und bekomme jetzt die Möglichkeit eine Regel auszufüllen. Das beginnt grundsätzlich damit, dass hier das Interface steht. Hier haben wir das Protokoll. Erst die Version: IPv4, IPv6 oder beides. Und jetzt haben wir das Protokoll. Hier steht dann UDP, TCP, oder beides. Das muss man im Einzelfall sehen; je nachdem, was Sie dort für einen Dienst oder für ein Protokoll ansprechen wollen. Wir wollen jetzt vom LAN den DNS-Dienst ansprechen. Demnach müssen wir jetzt eine Regel definieren, die da heißt: TCP/UDP; denn DNS-Server kann es sowohl für UDP, als auch für TCP geben. Deswegen müssen wir die zwei Varianten in diesem Fall zusammen schreiben. Jetzt kommt es darauf an, von wo es kommt. Da ist es natürlich sinnvoll, wenn man entweder die IP-Adresse des Netzwerkes eingibt, oder aber: hier gibt es z.B. LAN address. Man kann also selbst entscheiden, wie man das möchte. Ich gebe jetzt in dem Fall die IP-Adresse ein: "Netzwerk" in dem Fall. Dann geben wir dementsprechend 172.16.0.0 ein. Wir müssen die Subnet Bits definieren. Das wären in unserem Fall hier 24; bzw. 16 machen wir hier. Das wäre also jetzt quasi die Quelle, von der es kommt. Jetzt geht's darum: Wollen Sie nur eine Maschine ansprechen, dann könnte man das da definieren. Oder aber Sie möchten alle Maschinen DNS-Server ansprechen. Dann können Sie das so lassen. Das müssen Sie jetzt im Einzelfall entscheiden. Wenn Sie sagen: Ich habe einen ganz spezifischen DNS-Server. Es soll mir kein anderer diese Information liefern. Dies kann natürlich auch einen Punkt Sicherheit bringen, wenn man weiß: Den DNS-Server kenne ich; dem kann ich vertrauen. Sie können ja mit DNS eine ganze Menge an Schindluder treiben. Ich sage immer: Ein DNS-Server ist wie eine Auskunft. Wenn ich eine Auskunft anrufe und die mir die falsche Telefonnummer gibt, dann rufe ich an der falschen Stelle an. Das ist genauso beim DNS-Server. Wenn Sie dort einen Namen abgeben, bekommen Sie eine IP-Adresse. Sie machen weder bei der Telefonauskunft, noch beim DNS-Server einen zweiten Anruf, oder eine zweite Abfrage, um zu überprüfen, ob die Nummer stimmt. Von daher wäre es schon interessant, wenn man einen DNS-Server hat, dass man sagt: Ich nehme nur den. Dann hat man aber folgenden Nachteil: Im Falle des Ausfalls des DNS-Servers könnten Sie keine Namensauflösung mehr haben. Das ist immer so eine Sache. Man kann dann natürlich auch zwei Regeln machen. Das muss man dann einzeln entscheiden. Wir bleiben jetzt aber bei der Tatsache, dass wir sagen: Nein. Ich möchte keinen DNS-Server exakt definieren. Mir reicht es aus, wenn ich sage: DNS-Server sind ok; egal welche. Jetzt muss ich mir hier natürlich noch die passende Information aussuchen. Das wäre DNS. Hier haben wir es. Sie könnten natürlich auch den Port 53 eingeben. Das wäre auch eine Möglichkeit. Aber die gängigsten Komponenten, bzw. die gängigsten Protokolle sind hier schon vordefiniert. Da kann man dann relativ einfach auswählen. Das war's schon. Hier gibt es natürlich noch jede Menge Zusatzinformationen. Aber das brauchen wir nicht. So. Die erste Regel steht. Denken Sie bitte immer an "Apply changes". Im Angebot hätten wir jetzt noch die 2. Regel, die wir brauchen. Dafür gehen wir wieder hier drauf. In diesem Falle hätten wir HTTP. HTTP gibt es nur in TCP-Form, also können wir das in der Form lassen. Wir geben als Quelle wieder unser Netzwerk ein. Das wäre in dem Falle also Network. 172.16.0.0 Und hier wieder die 16 bit. Dann hätten wir jetzt in dem Fall als Destination port range HTTP. Dann drücken Sie auch wieder auf "Save". Da haben wir wohl einen Fehler gemacht. Da ist ein kleiner Punkt zu viel. Das System verzeiht nichts. Sie sehen also: Man kann sich hier nicht vertun. Das System hilft. "Apply changes" Jetzt haben wir hier die zwei Regeln definiert. Wenn diese Regeln jetzt richtig eingestellt sind, dann sollte ein Ping nicht mehr funktionieren. Ich muss aber auf die Gegenseite gehen können und die Webseite bekommen, und das mit einer Namensauflösung. Schauen wir uns nun an, ob das mit den Regeln so funktioniert, wie wir uns das vorstellen. Ich habe jetzt den Ping auf die 10.0.100.2 gesetzt. Sie sehen keine Reaktion, d.h. also, hier wird nichts mehr durchgereicht. Jetzt gehe ich hier einmal auf einen neuen Reiter und starte mal www.global.lan. Man sieht, dass www.global.lan in dem Fall durchgereicht wird. Ich bekomme eine Namensauflösung. Und in diesem Falle wird der Web-Server angesprochen und ich bekomme das Bild, das mir IIS7 in diesem Zusammenhang zeigt. Wir haben also gesehen, dass zwei Regeln in diesem Falle ausreichen, um eine Namensauflösung zu definieren, damit ich über diese Namensauflösung einen Web-Server erreichen kann, der mir dann seine Informationen bereitwillig preisgibt.

Netzwerksicherheit Grundkurs

Machen Sie sich mit den grundlegenden Konzepten der Netzwerksicherheit vertraut und erfahren Sie, wie Sie Ihre Kenntnisse unter Windows, OS X und Linux praktisch umsetzen können.

11 Std. 47 min (142 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!