Netzwerksicherheit Grundkurs

Vorbereitung zur Einrichtung einer DMZ in Linux-Systemen

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Vor der Einrichtung einer DMZ in Linux-Systemen müssen einige Vorbereitungen getroffen werden. Dazu zählen die Installation der Netzwerkkarten sowie die Aktivierung des internen Routers.

Transkript

Um eine DMZ in einer Linux-Firewall einzurichten, benötigen Sie iptables. Wie iptables das macht, das zeige ich Ihnen jetzt. Wir haben hier in unserem Schaubild einen Client. Hier haben wir die Firewall, mit drei verschiedenen Schnittstellen. Wir haben hier einen Server von außen, oder bzw. einen Client, der dann hier drauf zugreift; und wir haben hier eine Demilitarisierte Zone, mit einem Server, der HTTP und DNS besitzt, bzw. die Dienste laufen hat. Das ganze wird so gesteuert, dass der Client auf alles nach draußen zugreifen kann, dass der Client auch auf alles in der DMZ zugreifen kann. Und wir möchten, dass S3, in dem Fall, auf die Firewall zugreifen und über die Firewall lediglich (hier) HTTP betreiben kann. Dazu sind einige Regeln notwendig. Welche das sind, das möchte ich Ihnen jetzt zeigen. Bevor wir uns jedoch mit den Regeln beschäftigen, müssen wir uns erstmal das System etwas näher anschauen, und die einzelnen Punkte, die es betriff, näher beleuchten. Als erstes brauchen wir natürlich drei Netzwerkkarten. Diese drei Netzwerkkarten müssen parametriert werden. Hierzu gibt es die Datei "interfaces". Wenn wir hier in interfaces sind, können Sie sehen, dass wir eth0, eth1 und eth2 haben. Das sind unsere Schnittstellen, die wir für unsere Zwecke verwenden. Wir haben dementsprechend jeder Schnittstelle ihre IP-Adresse zugewiesen -- plus Subnetzmaske Wie man hier sehen kann, sind die Informationen "static". Das heißt also; sie sind permanent und stehen zur Verfügung. Wir haben also auf eth0 das interne Netzwerk mit 172.16.0.1, bzw. das Netzwerk 172.16.0.0. Wir haben auf eth1, das wäre die DMZ, das Netzwerk 192.168.1.0, und wir haben auf unserer Warnseite die 10.0.0.0 als Netzwerk eingerichtet. Linux ist von Haus aus so eingeschaltet, dass es nicht routet. Das bedeutet: Im Normalfall sind alle drei Netzwerkkarten die wir haben Endpunkte von dem jeweiligen Netzwerk. Um jetzt die Durchreichungsfunktionalität zu erreichen, müssen wir als erstes das Routing aktivieren. Ob es aktiviert ist, oder nicht, können wir recht einfach feststellen. Es gibt hier einen Befehl "cat". Damit liest man normalerweise Dateien aus. Aber bei Linux und YouLess gilt ja: alles ist eine Datei. Ich kann hier auch dementsprechend einen Bereich auslesen, der mich darüber informiert, ob der Router aktiviert ist, oder nicht. Steht eine Null drin, dann ist er nicht aktiviert, steht eine Eins drin, dann brauch ich mich um das Thema nicht mehr zu kümmern. In unserem Falle haben wir eine Null drin stehen. Das bedeutet im Klartext: Wir müssen etwas tun. Mit diesem Befehl sind Sie in der Lage kurzfristig in diesem Bereich eine Eins einzupflegen und somit das Routing zu aktivieren. Wir können dann auch gleich noch einmal nachschauen. Wir sehen also: Die Routing-Information ist angekommen. und ist dementsprechend freigegeben. Wenn Sie das Ganze aber fixiert haben wollen, (das wäre ja wohl in dem Fall sinnvoller) dann muss man hier ein bisschen anders vorgehen. Hier muss man eine Datei editieren und dort einen Eintrag freischalten. Das System ist dann routing-technisch freigegeben. In der Datei sysctl.conf (configuration), unter etc, können Sie das Ganze hier aufrufen. Ich schalte das einmal in Klartext. Jetzt kann man es besser sehen. Da haben wir einen Punkt. Der heißt net.ipv4.ip_forward=1. Das bitte entfernen, das Ganze abspeichern, und das System zum Beispiel neu starten. Schauen wir uns nun an, ob die Eintragung eine Auswirkung hat. Ich gehe nochmals auf ip_forward und schaue mir das Ergebnis an. In diesem Fall bekomme ich eine 1 angezeigt. D.h. das Routing ist aktiv. Wir haben gesehen, dass wir, um eine DMZ aufzubauen, drei Netzwerkkarten mit unterschiedlichen Netzwerken brauchen. Und wir müssen das Routing zu Beginn freischalten, was wir hier gesehen haben.

Netzwerksicherheit Grundkurs

Machen Sie sich mit den grundlegenden Konzepten der Netzwerksicherheit vertraut und erfahren Sie, wie Sie Ihre Kenntnisse unter Windows, OS X und Linux praktisch umsetzen können.

11 Std. 47 min (142 Videos)
Derzeit sind keine Feedbacks vorhanden...

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!