Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

Netzwerkgrundlagen

Firewall-Regeln erstellen

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Eine Firewall dient dazu, den Datenverkehr zwischen unterschiedlichen Netzwerken zu regeln. Die Erstellung verschiedener Regeln in einer Firewall ermöglicht den Zugriff auf das Internet.

Transkript

Die Seite kann nicht angezeigt werden. Ja ganz offensichtlich haben wir hier im Browser gerade ein Verbindungsproblem, und ob wir das gelöst bekommen, das wollen wir uns in diesem Video anschauen. Ja, die Seite kann nicht angezeigt werden, warum denn nicht? Sie sollte eigentlich angezeigt werden können denn netzwerktechnisch ist soweit alles OK. Das heißt, wir haben hier verbundene Interfaces, wir haben hier ein Routing das funktioniert, auch ein DNS-Server ist da, es geht hier um das so genannte "Firewalling". Für diese Verbindung gibt es keine Regeln. Ein, zwei Worte zum Thema Firewalling, was ist Firewalling? Mit Hilfe von Firewalls kann ich Datenverkehr zwischen unterschiedlichen Netzwerken regeln und steuern. Und wir kennen zwei unterschiedliche Ansätze, und zwar einmal die Netzwerk-Firewall, die steht also dann in der Mitte irgendwo im Netzwerk und regelt den Datenverkehr zwischen unterschiedlichen Netzwerken, und die so genannte "Personal Firewall", die sitzt dann direkt auf dem Host von dem aus dann der Traffic gesteuert werden soll, und beide Konzepte haben Vor- und Nachteile. Wir behandeln jetzt hier nur die Netzwerk-Firewall. Dort ist der Vorteil natürlich, dass diejenigen, die den Traffic verursachen, das Regelwerk auf dieser Firewall nicht beeinflussen können. Wenn man einen Nachteil konstruieren möchte, dann kann man sagen, dass Angriffe aus dem Segment, aus einem eigenen Segment, auf den Host dies kann natürlich von der Netzwerk-Firewall nicht verhindert werden, denn die sieht den Traffic gar nicht. Also, wenn der Angriff aus dem eigenen Segment kommt, dann kann eine Netzwerk-Firewall natürlich nichts machen. Bevor wir loslegen, möchte ich ganz kurz das Netz hier vorstellen, in dem wir arbeiten. Wir haben hier auf der linken Seite ein LAN, das steckt in der 192.168.100.0/24, und wir haben auf der rechten Seite hier ein Wan, das ist ein simuliertes WAN, das habe ich mal mit der 1.1.1.0/8 bezeichnet, und in der Mitte steht eine Firewall, das ist hier die Monowall, ist ein FreeBSD-basiertes Produkt, und das wollen wir jetzt hier mal verwenden. Diese Monowall, die steht mit einem Beinchen hier, also links im LAN mit der IP 254 hinten dran, und mit dem anderen Beinchen steht sie hier im simulierten Internet, wir haben also hier die IP 1.1.1.11. Diese DMZ hier unten, die wollen wir in diesem Video nicht betrachten. Schauen wir mal rein in diese Firewall, ich habe sie hier schon mal geöffnet, browser-basiert, und es ist jetzt so, dass ich bei der Monowall hier nicht noch ein explizites NAT einrichten muss. Ich muss im Vorfeld ein LAN- und ein WAN-Interface definieren, und auf dem WAN-Interface ist dann das NAT automatisch aktiviert. Ich muss hier also explizit nichts machen. Ein Stück weiter unten haben wir hier die Firewall-Regeln. Wir beschränken uns jetzt hier mal auf Firewall-Regeln für IPv4, und wir sehen, es gibt hier tatsächlich überhaupt keine Regeln. Die Firewall funktioniert jetzt hier so, dass wir die einzelnen Regeln festlegen können, und zwar von dem Interface, von dem der Traffic dann kommt. Also wenn ich jetzt hier auf dem Registerreiter LAN bin, dann regle ich den Traffic, der jetzt tatsächlich auf diesem Interface auch ankommt. Was hier auf dem WAN ist, das interessiert ihn dann auf diesem Registerreiter eben nicht. Es gibt ein Regelwerk, das wird dann eben von oben nach unten abgearbeitet, und wie man sieht, wenn keine Regeln definiert sind, dann greift eine so genannte Standardregel, Das ist hier eine Regel, die sagt: "Nee, dann passiert eben nichts. Dann wird das Paket verworfen." Wenn eine Regel greift, dann wird die Aktion ausgeführt, die ich eben hinterlegt habe. Wenn das Regelwerk von oben nach unten abgearbeitet wird und eine Bedingung innerhalb der Regel greift, dann passiert die Aktion, die in der Regel hinterlegt ist. Wollen wir mal so eine Regel bauen. Ich drücke hier auf das Plus-Zeichen. Hier oben habe ich dann auch gleich die Aktion. Für uns soll das natürlich jetzt ein "Zulassen" sein. Ich habe hier noch "Block" und "Reject". Beim Reject kommt noch eine ICMP-Meldung zurück, beim Block wird's einfach sang- und klanglos vom Netz genommen. Ich habe das Interface, das passt soweit. Ja, und hier sieht man schon, ich muss also tatsächlich die Protokolle, die ich verwenden will, die muss ich kennen, ich muss wissen um was es geht. Was wollen wir jetzt hier machen? Wir wollen ja mit dem Browser später eben auf das Internet zugreifen und das ist entweder HTTP oder HTTPS und das basiert tatsächlich auf TCP, auf dem Transmission Control Protocol. Können wir hier die einzelnen Protokolle auswählen, ich lasse jetzt hier TCP. So, dann haben wir hier eine Quelle, und die Quelle, die könnten wir jetzt natürlich auch direkt eintragen, die Monowall ist hier aber so nett und hat an den Interfaces schon die entsprechenden Adressen hier drin abgebildet, das heißt wenn ich jetzt hier mein LAN-Subnet verwende, dann habe ich automatisch die 192.168.100.0 in diese Regel eingetragen als Quelle. Dann haben wir eine Quellport-Range, die wir hier eintragen müssen. Welche Quellports stehen also in dem Paket drin? Beim Browser ist es ja so, dass ich den Zielport mit 80 adressiere, den Quellport kann ich aber im Vorfeld nicht bestimmen, weil den der Browser automatisch auswählt. Das ist irgendwo was über 1024. Dann nehme ich hier jetzt mal "any to any". Das Ziel? Ja, ich kann noch nicht wissen, wo der Webserver steht, welches Ziel das ist, keine Ahnung, deswegen muss ich beim Ziel tatsächlich hier auch "any" lassen. Und beim Zielport, da kann ich jetzt ziemlich genau bestimmen was ich haben möchte, ich möchte hier HTTP haben, könnte aber natürlich auch "Port 80" eintragen. Wunderbar, und wir speichern das Ganze ab und registrieren die Änderungen. Schauen wir mal, ob's klappt. Ich aktualisiere den Browser. Nee, passiert immer noch nichts. Warum? Weil so ein Browser-Abruf hier natürlich nicht nur auf dem HTTP-Protokoll basiert, sondern ich brauche auch noch eine Namensauflösung. Wie man sieht, man muss also die Netzwerkkommunikation schon im Kopf haben, wenn man ein eigenes Firewall-Regelwerk entwickeln möchte, Also machen wir eine zweite Regel hinzu und sagen jetzt, also: Es soll durchgelassen werden am Interface WAN das DNS-Protokoll, und DNS basiert aber nicht auf TCP, sondern es ist ein statusloses Protokoll auf UDP. Zumindest die Standard-Lookups basieren auf UDP. So, auch hier wieder: Die Quelle wird also mein LAN. Quellport kann ich nicht definieren. Zielport ist aber DNS, sprich Port 53. So, speichern wir das Ganze ab. OK, und dann schauen wir mal ob's funktioniert. Und tatsächlich: Die Verbindung funktioniert. Ja, und wie man hier ganz gut sehen kann, jetzt funktionieren genau zwei Regeln, nämlich HTTP und DNS, sobald ich aber auf eine Webseite draufkomme, die mich zwingend auf HTTPS umroutet, dann würde das Regelwerk hier schon wieder schief gehen und ich muss es erweitern. Deswegen muss ich mir im Vorfeld Gedanken machen, welche Protokolle denn raus dürfen und welche nicht, und in kleineren Unternehmen ist es dann tatsächlich häufig so, dass man sagt, also, es darf dann alles raus, ich mache also eine Regel, die sagt: Es darf alles raus. Rein darf ja standardmäßig sowieso nichts, sondern nur die Antworten dürfen rein, und dort macht man dann eben eine Regel, die dann besagt: Also, alles von intern nach extern ist erlaubt. Dann kommt jeder Client mit jedem Protokoll raus. Das müssen Sie aber im Netzwerkdesign dann für sich selber entscheiden.

Netzwerkgrundlagen

Lassen Sie sich die grundlegenden Netzwerktechniken erklären und erfahren Sie anhand vieler Beispiele, wie Netzwerke in der Praxis aufgebaut werden und wie sie funktionieren.

6 Std. 38 min (63 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!